AUDITORÍA REMOTA DE SISTEMAS DE GESTION

Publicado el por Ing. Hugo Gonzalez
audioria-remota-de-sistemas-de-gestion

¿QUÉ ES UNA AUDITORÍA REMOTA?

Una pregunta frecuente en el ámbito de los sistemas de gestión es la siguiente: ¿Qué es una auditoría remota?

El concepto de Auditoría Remota, también conocida como auditoría a distancia, es un método de auditoría que se describe en la norma ISO 19011:2018 – Directrices para auditoría de sistemas de gestión:

Auditoría remota: Auditoría cuyas actividades se realizan en cualquier lugar que no sea la ubicación del auditado, independientemente de la distancia.

A su vez, existen dos escenarios generales:

  1. Auditoría remota on site: el auditor se encuentra en la instalación o centro de la organización auditada y está auditando a personal, procesos y actividades que se están llevando a cabo en otros sitios de operación de la propia organización.
  2. Auditoría remota off-site: el auditor no está en la organización auditada y tanto el personal como los procesos y servicios se llevan a cabo en las instalaciones del cliente o en otros centros (tales como en las instalaciones distintas al centro de la organización).

También, se debe considerar que las actividades de auditoría se pueden realizar con o sin interacción humana:

  • Actividades de auditoría con interacción humana: implican interacción entre el personal del auditado y el equipo de auditoría.
  • Actividades de auditoría sin interacción humana: no implican interacción humana con las personas que representan al auditado, pero sí implican la interacción con el equipo, las instalaciones y la documentación.

Entonces, para el caso de auditorías remotas, las actividades con interacción humana implican la utilización de medios de comunicación interactiva, como por ejemplo:

  • Realización de entrevistas.
  • Observación del trabajo realizado con la guía remota.
  • Completando listas de verificación y cuestionarios.
  • Realización de revisión de documentos con participación de los propietarios.

Entre las actividades sin interacción humana se encuentran las siguientes:

  • Realización de revisión de documentos (registros, análisis de datos).
  • Observación del trabajo realizado a través de medios de vigilancia, teniendo en cuenta los requisitos legales, sociales, estatutarios y normativos.
  • Análisis de datos

Además de establecer el significado de una Auditoría Remota, también es muy importante no confundir a ésta con una Auditoría Virtual, ya que NO son términos equivalentes:

Auditoría Virtual: Evaluación de la conformidad a una organización que desempeña trabajo o proporciona un servicio usando un entorno en línea.

¿ESTÁ PREPARADA MI ORGANIZACIÓN PARA UNA AUDITORÍA REMOTA?

Una vez que se ha establecido en qué consiste una auditoría remota, la pregunta que se debe responder a continuación es si la organización está o no preparada para una auditoría remota, y sobre todo, qué implica esa preparación.

Aquí, es oportuno citar la norma  ISO 19011:2018 – Directrices para auditoría de sistemas de gestión y tomar como referencia la definición del concepto de «Auditoría»:

Auditoría: proceso sistemático, independiente y documentado para obtener evidencia objetiva y evaluarla objetivamente para determinar en qué medida se cumplen los criterios de auditoría.
Nota 1: las auditorías internas, a veces llamadas auditorías de primera parte, son realizadas por, o en nombre de, la organización misma.
Nota 2: Las auditorías externas incluyen aquellas generalmente llamadas auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por las partes que tienen un interés en la organización, como los clientes, o por otras personas en su nombre. Las auditorías de tercera parte son llevadas a cabo por organizaciones de auditoría independientes, como aquellas que proporcionan certificación / registro de conformidad o agencias gubernamentales.

De este modo, se comprende que el objetivo de una auditoría remota consiste en obtener evidencia objetiva para evaluarla objetivamente, mediante el uso de recursos tecnológicos (uso de TIC – Tecnología de Información y Comunicación) que permitan llevar adelante las actividades de auditoría,  con o sin interacción humana.

Para alcanzar este objetivo, es preciso que todas las partes interesadas conozcan su papel en el proceso, los elementos de entrada, los resultados previstos y los riesgos y oportunidades asociados.

Hay una gran variedad de razones por las que un auditor puede no estar presente in situ, como restricciones de seguridad, de viaje o por pandemias.

El confinamiento voluntario u obligatorio debido a la pandemia de COVID19, la puesta en marcha de aerogeneradores de viento con estructuras de andamiaje, la realización de pruebas y ensayos con explosivos y otros escenarios son algunos ejemplos de estas situaciones en las que la realización de la auditoría remota puede ser beneficiosa.

Pero también se debe tener en cuenta las limitaciones y los riesgos que implica el uso de TIC para lograr los objetivos de auditoria, como por ejemplo:

  • Cuestiones sobre seguridad de la información.
  • Protección de datos y confidencialidad.
  • Veracidad y calidad de la evidencia recopilada.

CONSIDERACIONES PARA AUDITORÍAS REMOTAS

Al respecto, la norma ISO 19011:2018 establece que la realización de la auditoría remota utilizando TIC debería considerarse cuando se está definiendo el programa de auditorías. Para ello deberían verificarse, entre otros, los siguientes aspectos:

Viabilidad de auditorías remotas

El uso de TIC para auditorías remotas solo será exitoso si se dan las condiciones adecuadas para ello, tanto por parte de los auditores como de los auditados. Y un aspecto central es el conocimiento acerca de cómo utilizar las TIC.

Entonces, el primer paso para asegurar la viabilidad es establecer qué tecnología se va a utilizar, si tanto los auditores como los auditores tienen las competencias necesarias y que se dispone de los recursos necesarios.

También la infraestructura disponible afecta de manera crucial a la viabilidad de la auditoría remota, por lo que debería verificarse la calidad de la conexión online y del hardware a utilizar, ya que el proceso de auditoría puede estar afectado por la velocidad a la que el auditado accede y muestra las evidencias al auditor.

AUDITORÍA REMOTA DE SISTEMAS DE GESTIONN
AUDITORÍA REMOTA DE SISTEMAS DE GESTION
Confidencialidad, seguridad de la información y protección de datos (CSPD)

Los aspectos relacionados con la confidencialidad, seguridad de la información y protección de datos son críticos con el uso de TIC.

Es fundamental, tanto para el auditor como para el auditado, tener en consideración los requisitos legales y normativos que resulten aplicables, lo que pueda requerir la necesidad de establecer acuerdos adicionales por ambas partes, como por ejemplo los referidos a la grabación o no imágenes o sonido de personas.

Es posible que en algunas situaciones, los requisitos de seguridad no permitan el uso de TICs, de modo que se deberían identificar todos los requisitos de confidencialidad, seguridad de la información y protección de datos tanto de la organización como aquellos normativos y legales y establecer medidas para garantizar su eficaz implantación.

Deberían estar disponibles las evidencias de los acuerdos en materia de CSPD, como por ejemplo registros, procedimientos acordados o emails, poniendo énfasis en que estos criterios sean conocidos y acordados por los participantes en el proceso de auditoría.

Las medidas que garanticen la confidencialidad y seguridad se confirmarán
durante la reunión inicial.

El equipo auditor debería evitar acceder y conservar más documentación que la que utilizaría en una auditoría presencial. Es probable que el equipo auditor quiera tener acceso a más información para preparar la auditoria o para poder analizar la documentación sin necesidad de presencia vía TIC del auditado.

RIESGOS DE AUDITORÍAS REMOTAS

Una cuestión clave para la práctica de Auditorías Remotas es el análisis de los riesgos que están asociados a ésta. Así, se deben identificar, analizar y gestionar los riesgos asociados al logro de los objetivos previstos de la auditoria remota.

Otro aspecto importante es establecer claramente qué procesos, actividades o instalaciones de la organización pueden ser auditadas en forma remota y cuáles no.

AUDITORÍA REMOTA DE SISTEMAS DE GESTIONN
AUDITORÍA REMOTA DE SISTEMAS DE GESTION
Riesgos de auditorías remotas – Aspectos a considerar

En el documento “Remote Audits (2020)” elaborado por el ISO 9001 Auditing Practices Group (APG) de ISO & IAF se establece que tal decisión se deberá basar en el análisis documentado de riesgos y oportunidades que puedan tener un impacto en la auditoria, para cada TIC considerada.

Esta evaluación debería hacerse y documentarse para cada auditoría de forma específica involucrando a todos los miembros del equipo auditor y a un representante de la organización auditada. Cualquier acuerdo específico debería documentarse y comunicarse entre las partes interesadas relevantes.

Entre los aspectos a analizar deberían incluirse, al menos, los siguientes:

  • Asegurar un acuerdo entre el auditor y auditado sobre los aspectos relativos a CSPD.
  • Documentar dichos acuerdos.
  • Verificar infraestructura de TIC necesaria para las actividades de auditoría planificadas, tal que permita acceder a información documentada relevante incluyendo software, bases de datos, registros, etc.
  • Verificar la identidad de las personas entrevistadas, preferentemente con imagen.
  • Posibilidad de observar de instalaciones, procesos, actividades, etc.
  • Posibilidad de contactar y realizar entrevistas con personal relevante de la organización.
  • Asegurar que las operaciones que se estén llevando a cabo resulten representativas y permitan el cumplimiento de los objetivos de la auditoría.
  • Efectuar conclusiones acerca si es factible lograr los objetivos de la auditoria remota.
  • Validar el análisis de riesgos con el responsable del programa de auditoria.

El enfoque de este análisis es tener la posibilidad de identificar riesgos y oportunidades, establecer cuáles riesgos son aceptables o cuáles se
pueden mitigar y poder tomar una decisión informada sobre proceder o no con los métodos de auditoría remota.

Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
Riesgos y oportunidades de auditorías remotas – Ejemplos

Algunos ejemplos de los riesgos que presenta la práctica de auditorías remotas son los siguientes:

  • Infracciones a la confidencialidad y seguridad de la información.
  • Diferencias horarias entre el auditado y el auditor.
  • Verificación de la identidad de la persona auditada.
  • Baja calidad en la comunicación.
  • La posibilidad de observar las reacciones del personal auditado puede no ser tan eficaz al realizar entrevistas mediante videollamadas.
  • Falta de interacción con los auditados que no permite aclaración de dudas, al efectuar una revisión documental mediante la web (no en tiempo real).
  • Veracidad de los datos al utilizar grabaciones de video tomadas para la
    auditoría.
  • Imposibilidad de acceder a operaciones seguras, altamente restringidas, o en entornos sensibles, como ingresar con un dispositivo de video a una sala esterilizada, planta química o refinería.
  • Dificultad para crear relaciones con los auditados. Se pierden oportunidades de proporcionar sugerencias, consejos y observaciones para mejorar.
  • Posibilidad de fraude, por ejemplo, mediante la oportunidad de presentar documentos adulterados y omitir la información pertinente.

Algunos ejemplos de las oportunidades que presenta la práctica de auditorías remotas son los siguientes:

  • Reducción de los costos de desplazamiento de auditores.
  • Reducción de impacto medioambiental y de los viajes de auditores.
  • Cobertura ampliada. Las auditorías remotas permiten una mayor cobertura cuando se producen prioridades de volumen y limitaciones de tiempo que compiten entre sí.
  • Uso ampliado de especialistas. Los especialistas pueden conectarse de forma remota para determinadas entrevistas o partes de la planificación de auditorías, y no necesitan estar presentes para realizar una auditoría completa.
  • Revisiones de documentos mejoradas. Las revisiones remotas de los planes y la documentación, a su propio ritmo, contribuyen a una revisión de mayor calidad de la información documentada.
  • Facilita la organización y permite uso más flexible del tiempo del equipo auditor.
  • El uso mejorado de la tecnología disponible fortalece la documentación y la presentación de informes.
  • El uso de la tecnología por parte del personal de las instalaciones para capturar información fotográfica y de video contribuye a mejorar su comprensión y utilización de la tecnología disponible.

TERCERIZACION DE LA AUDITORIA INTERNA

Dado el alto grado de competencia actual en los mercados resulta fundamental poder realizar las auditorías internas de la mejor manera posible y con el mejor uso de los recursos, sobre todo considerando que estas actividades no poseen valor agregado para el cliente externo.

Para ello debe concentrarse la utilización de los recursos de la forma más eficiente posible y mejorando de manera continua los niveles de performance. Los controles deben centrarse en cuestiones o elementos significativos y que tengan un creciente impacto en la organización.

Por todo lo expuesto hasta aquí, toda organización puede considerar como una forma segura de realizar auditorías eficaces que cumplan con todos los requisitos y principios ya mencionados, con mayores niveles de productividad, mejores niveles de calidad y con menores costos, a la contratación de servicios tercerizados de auditoría interna.

De este modo se obtienen las siguientes ventajas:

  • Se evitan costos fijos (sueldos, espacio físico, computadoras, gastos de teléfono, etc.).
  • Facilidad para cambiar de proveedor si los servicios no son adecuados.
  • Auditorías realizadas por auditores con mayor nivel de experiencia.
  • La capacitación de los auditores no corre por cuenta de la empresa sino por parte del prestador del servicio.
  • Posibilidad de recibir servicios con alto nivel de especialización, pues el prestador del servicio puede contar con especialistas para auditar sistemas de gestión de la calidad, gestión ambiental, de salud y seguridad ocupacional, de inocuidad y seguridad alimentaria, de buenas prácticas de manufactura, de gestión de la energía, etc.

Nuestro servicio de Auditorías Internas

Con cada auditoría, nuestros clientes consiguen progresivamente mejorar la eficacia de sus sistemas de gestión, lo que influye favorablemente en la gestión global de la empresa.

En Calidad & Gestión podemos ocuparnos de llevar a cabo las auditorías internas que su empresa necesite, para evidenciar la conformidad de su sistema con los requisitos de normas internacionales de gestión.

Conozca más sobre nuestro servicio de auditorías internas

Bibliografía:

ISO 19011:2018 – Guidelines for auditing management systems (2018)
Remote Audits – ISO 9001 Auditing Practices Group, APG, ISO & IAF (2020)
Mills, David – Manual de Auditoría de la Calidad. Barcelona. (2003)

DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO

DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

SOFTWARE PARA SISTEMAS DE GESTION ISO 9001 - ISO 14001 - ISO 45001 - ISO 50001 width=
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).

Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.