International Organization for Standardization

International Accreditation Forum Fecha: 25 de agosto de 2005

Grupo de Prcticas de Auditoria ISO Gua sobre:

Auditoria a los sistemas de gestin con base electrnica (SGBE)
1. Introduccin La creciente dependencia de las organizaciones de los medios electrnicos para la operacin y el control de sus sistemas de gestin requiere que los organismos de certificacin/registro y sus auditores busquen enfoques nuevos para garantizar que las auditorias sern eficaces y eficientes. Puede ser necesario redefinir la forma en que se evalan los procesos y los documentos relacionados (incluyendo los registros) para verificar el cumplimiento de los requisitos de auditoria. Este documento se ha desarrollado para proporcionar directrices generales para la realizacin de de sistemas de gestin que tienen base electrnica total o que tienen un alto grado de documentacin en medios electrnicos. Tambin suministra directrices para que los organismos de certificacin/registro y los auditores las tengan en cuenta como complemento de las actividades normales de planificacin y preparacin que se deberan llevar a cabo antes de una auditoria. Este documento se enfoca en aquellos requisitos de ISO 9001 en donde existe la posibilidad de usar documentos, registros electrnicos, etc. y tambin en donde el acceso a tales documentos/registros se puede controlar con sistemas electrnicos. Este documento est destinado a auditores de sistemas de gestin que tienen un rango amplio y variado de experiencia prctica con relacin a los sistemas de gestin con base electrnica (SGBE) - es decir, sistemas de gestin que dependen de documentos y datos electrnicos, y aplicaciones de software para su operacin normal. No obstante, est escrito en un estilo que tambin permitir su uso por parte de aquellos que slo tiene experiencia limitada en computadores y SGBE. Ya sea un organismo de certificacin, un organismo de acreditacin o una funcin de auditoria interna, la organizacin que realiza la auditoria (la organizacin auditora) es responsable por asegurar la eficacia del proceso de auditoria para el SGBE. Este documento emplea la gua suministrada en ISO 19011, y sugiere enfoques que pueden usar los auditores de ISO 9001 y otras normas de sistemas de gestin para verificar la conformidad con la norma referenciada. Los auditores y las organizaciones auditoras deberan hacer los ajustes necesarios para asegurar un enfoque adecuado a medida que ejecutan los pasos del proceso de auditoria indicadas en ISO 19011.

ISO & IAF 2005 Todos los derechos reservados www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup

Se debera observar que la capacidad en la auditoria de un SGBE no se debera considerar excusa para reducir la duracin de la auditoria, sino un medio para optimizar la eficacia y la eficiencia de la auditoria. Este documento no pretende suministrar directrices para los controles de auditoria asociados con la seguridad de la informacin para los SGBE. Aquellos interesados en los controles adicionales asociados con la seguridad de la informacin se remiten a la norma ISO/IEC 17799, la cual es una norma completa sobre estos temas . 2. Iniciacin y planificacin de la auditoria Durante la fase de iniciacin de la auditora (primera etapa de la auditora) la organizacin auditora debera determinar la estructura de la organizacin por auditar y el grado hasta el cual su sistema de gestin tiene base electrnica. Una organizacin con mltiples sitios con un SGBE centralizado o una organizacin virtual requerirn diferentes planes y mtodos de auditoria que para un solo sitio y/o una organizacin fsica. La organizacin auditora y el auditado deberan acordar la forma como los auditores tendrn acceso y usarn el SGBE. Esto puede implicar la consideracin de los siguientes aspectos: - Dar la oportunidad a los miembros del equipo auditor de familiarizarse con el SGBE del auditado (incluyendo la programacin de tiempo suficiente dentro del plan de auditoria para tal orientacin). - Las polticas del auditado para la utilizacin de su infraestructura de tecnologa de la informacin. - Instrucciones para el acceso, y las autorizaciones de seguridad necesarias para dicho acceso, a los documentos y registros organizacionales pertinentes. - Salvaguardas y procesos que garanticen que todos los auditores protegen la confidencialidad de los documentos y registros electrnicos, durante y despus de la auditoria. La organizacin auditora debera asegurar que hay suficiente competencia dentro de su equipo auditor seleccionado para llevar a cabo una evaluacin eficaz del SGBE. 3. Revisin de documentos Dependiendo de si el auditado tiene o no la capacidad de poner a disposicin su documentacin mediante una aplicacin con base en la Web o a travs de transmisin de correo electrnico, la organizacin auditora puede realizar parte o la totalidad de la revisin de documentos fuera del sitio, bien sea en lnea o descargando la documentacin electrnica suministrada por correo electrnico. Dependiendo de factores tcnicos y de seguridad puede no ser factible realizar una revisin completa del SGBE de una organizacin en lnea ni mediante transmisin por correo electrnico de los documentos pertinentes antes de llegar al sitio. En tales casos, podra ser necesario que las actividades de preparacin de la auditoria que requieren de la revisin de documentos electrnicos se lleven a cabo en las instalaciones del auditado durante la primera etapa de la auditoria. 4. Actividades en el sitio El enfoque de la auditoria para sistemas de gestin con base electrnica depender ampliamente de qu tanta cantidad de la evidencia requerida para determinar la conformidad est en forma de registros electrnicos. Durante la realizacin de las actividades en el sitio, la ruta del auditor debera incluir normalmente la ubicacin fsica del proceso que se est auditando. Sin embargo, con un SGBE el tiempo
ISO & IAF 2005 Todos los derechos reservados www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup

necesario para confirmar la evidencia para determinar si se cumplen o no los requisitos se puede dedicar en una estacin de trabajo de computador que puede o no estar cerca del proceso real. Cuando las estaciones de trabajo de computador estn en reas remotas que no son accesibles en el sitio del proceso fsico, se puede reducir el tiempo real de auditoria en la ubicacin fsica del proceso. Sin embargo, el tiempo global de evaluacin no necesariamente se reduce dado que la revisin de la evidencia electrnica puede darse antes y/o despus de confirmar la existencia del proceso fsico. Cuando la estacin de trabajo asociada est alejada, se recomienda especial consideracin al tiempo necesario para el desplazamiento hacia y desde la ubicacin fsica del proceso. Cuando el proceso depende de la intervencin humana, es recomendable que el auditor evale los mtodos empleados para la interaccin entre el proceso fsico y los medios electrnicos para asegurar la exactitud de la informacin asociada. 5. Auditora del control de los documentos electrnicos Los documentos electrnicos que establecen las polticas y los procedimientos del sistema de gestin pueden estar en diferentes formatos de archivo dependiendo de las aplicaciones de software que utilice la organizacin para generarlos. Los formatos de archivo electrnico incluyen texto, HTML, PDF, etc. Los formatos de hoja de clculo y bases de datos tambin se consideran documentos electrnicos sujetos a los elementos de control del sistema de gestin que se est auditando. Dada la relativa facilidad con la que los usuarios pueden crear actualmente hojas de clculo electrnicas y otros documentos electrnicos, los auditores deberan asegurarse de que las polticas que rigen los controles que se aplican en general a la documentacin del sistema de gestin tambin se emplean para los documentos electrnicos a travs de procedimientos apropiados. Es necesario que las organizaciones empleen mtodos eficaces e idneos dentro del entorno electrnico que garanticen revisin, aprobacin y distribucin adecuadas de su documentacin del sistema de gestin. Esto debera ser consistente con los mtodos para el desarrollo y la modificacin de los documentos electrnicos. En muchos casos las medidas de control de documentos tambin pueden ser caractersticas normales de las aplicaciones de software utilizadas para su creacin. Por lo tanto, es recomendable que los auditores entiendan estos controles especficos de la aplicacin en la medida en que stos se utilicen como base para el cumplimiento de la norma del sistema de gestin aplicable. Debido a la creciente capacidad para modificar, actualizar, volver a dar formato y mejorar documentos en otras maneras dentro de un sistema de gestin con base electrnica, los auditores deberan poner atencin particular a los elementos de control tales como la identificacin de los documentos y el nivel de revisin de los documentos. Puesto que los medios electrnicos facilitan una velocidad aumentada de las modificaciones de los documentos, los auditores deberan verificar que se tienen en cuenta los controles empleados para la gestin de los documentos obsoletos en las polticas y los procedimientos de control de documentos de la organizacin. Los auditores deberan verificar que la documentacin del SGBE existe para orientar a los usuarios con relacin a los aspectos funcionales y de control asociados con los documentos electrnicos. Adems, los requisitos del punto de uso asociados con las normas del sistema de gestin aplicables comnmente sern abordados, en parte, por las polticas de acceso a los
ISO & IAF 2005 Todos los derechos reservados www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup

documentos de la organizacin. Los auditores deberan entender las polticas y los procedimientos de la organizacin relacionados con los privilegios de usuario ya que stos se convierten en factores importantes para la realizacin adecuada de los procesos de la organizacin. La comunicacin electrnica externa con proveedores, clientes y otras partes interesadas puede implicar el intercambio de documentos. Dado que estos documentos externos pueden contener parmetros clave que especifican el funcionamiento de los procesos de la organizacin, los auditores deberan verificar el grado hasta el cual estos documentos se introducen y controlan formalmente dentro del sistema de gestin con base electrnica. 6. Auditora del control de los registros electrnicos Los registros electrnicos consisten en los datos de salida de los procesos junto con los formatos electrnicos que albergan a los datos. Estos formatos electrnicos van desde simples documentos en hojas de clculo hasta aplicaciones de bases de datos ms complejas. Los auditores deberan ser conscientes de que los elementos de control que las organizaciones establecen para los formularios electrnicos no son necesariamente los mismos que se aplican a los registros electrnicos. Por ejemplo, con respecto a la identificacin, en el caso de formularios electrnicos, el trmino se refiere a la nomenclatura del formulario electrnico en s. Cuando la identificacin se considera en el caso de un registro electrnico, sta se refiere al uso nico del formulario electrnico para un conjunto determinado de datos. Los auditores deberan revisar los mtodos utilizados por la organizacin para la captura de datos con el objeto de garantizar que las actividades de ingreso de los datos brindan confianza suficiente en su exactitud. Cuando se evalan los controles de la organizacin con respecto al almacenamiento de registros, se recomienda que los auditores verifiquen si las organizaciones entienden su capacidad de almacenamiento frente a: la tasa de generacin de registros; las polticas de retencin de registros y los marcos temporales asociados; la tasa de disposicin de los documentos,

ya que estos factores pueden tener impacto en el funcionamiento adecuado del SGBE. Dado que la base de conocimiento y el desempeo de la organizacin pueden estar casi en su totalidad en los registros electrnicos, los auditores deberan revisar los enfoques de la organizacin para asegurar la informacin contenida en los medios electrnicos. Para mayor informacin consulte la norma ISO/IEC 17799. 7. Recursos de la organizacin A medida que las organizaciones migran hacia la utilizacin de un SGBE, el papel de las funciones de la tecnologa de la informacin se hace vital. Los auditores deberan verificar si la organizacin ha dedicado recursos de tecnologa de la informacin apropiados (incluyendo infraestructura) para garantizar que el SGBE funciona continua y eficazmente. Los auditores tambin deberan verificar si la organizacin ha definido apropiadamente el grado de interaccin, soporte y participacin del personal de tecnologa de la informacin en los asuntos asociados con el establecimiento, la documentacin, la implementacin y el mantenimiento del SGBE.

ISO & IAF 2005 Todos los derechos reservados www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup

Como parte de la verificacin de la asignacin de los recursos apropiados, los auditores deberan evaluar la forma en que la organizacin aborda la competencia requerida del personal que opera el hardware y el software para ejecutar el SGBE. Durante el establecimiento de un SGBE, es comn que se establezcan sistemas paralelos (de copia impresa y electrnicos) durante un periodo de tiempo que permita la adaptacin de los usuarios. En estos casos el auditor debera verificar los enfoques de la organizacin para asegurarse de que el SGBE realmente es asimilado y utilizado por el personal de la organizacin. La complejidad de las estructuras de tecnologa de la informacin de las organizaciones variar dependiendo de la naturaleza y complejidad de los negocios. Los auditores deberan verificar las polticas y los procedimientos de mantenimiento del sistema de una organizacin para su plataforma de tecnologa de la informacin. Tambin los auditores deberan verificar la manera en que la organizacin trata los incidentes de cada del sistema, ya que stos pueden tener impacto en el funcionamiento normal del SGBE. Los auditores deberan evaluar si la organizacin tiene o no sistemas formales de soporte y si stos se revisan o no peridicamente y se prueba su adecuacin Con respecto al software, los auditores deberan verificar los controles establecidos para el software interno y externo, las licencias y las actualizaciones del software. Puesto que el software se puede considerar un documento electrnico dinmico, las directrices suministradas previamente para la auditora de documentos tambin se deberan aplicar a ste. En la medida en que las organizaciones utilizan software para su SGBE, los auditores deberan revisar la funcionalidad de las aplicaciones y su relacin con los elementos del sistema de gestin definidos en los criterios aplicables. Puesto que los factores ambientales pueden tener impacto en el funcionamiento de una plataforma de tecnologa de la informacin, las organizaciones deberan tomar medidas para la proteccin contra dichos factores. Estas medidas pueden variar desde la necesidad de instalaciones o recintos adecuados hasta la necesidad de suministro de energa sin interrupcin (UPS). Los auditores deberan evaluar si en los controles de la organizacin se toman en consideracin aspectos tales como instalaciones para mantenimiento, temperatura, humedad, etc., en la medida en que ellos influyen en la operacin del SGBE. 8. Comunicacin electrnica interna y externa Debido al incremento en las opciones disponibles y la facilidad de uso de la comunicacin electrnica, las organizaciones deberan asegurarse de que el sistema de gestin documentado aborda estos medios, segn sea necesario, para garantizar la consistencia en su utilizacin para cumplir los requisitos de sus SGBE y de la norma del sistema de gestin que se aplica. Cuando se utilizan redes internas (intranet), correo electrnico (e-mail) y mensajera instantnea para cumplir los requisitos del SGBE, los auditores deberan verificar que las polticas y los procedimientos tratan las circunstancias en las cuales se deberan emplear estos medios. Adems, si los resultados de la comunicacin interna se han de usar para satisfacer los criterios de auditora, entonces los auditores deberan verificar la aplicacin de las polticas y los procedimientos para el control de registros. Cuando la organizacin depende de la infraestructura de su tecnologa de la informacin para las comunicaciones electrnicas con sus clientes (por ejemplo para el comercio electrnico), proveedores (adquisicin electrnica), sitios externos y otras partes interesadas, el auditor debera verificar que la metodologa, las polticas y los procedimientos para estas comunicaciones y las transacciones asociadas se consideren formalmente en su SGBE.

ISO & IAF 2005 Todos los derechos reservados www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup

9. Sistemas de gestin de mltiples sitios Las organizaciones que operan a travs de mltiples sitios (o desde una ubicacin central hasta sitios satlites) normalmente mantienen comunicaciones y comparten polticas y datos de procesos y procedimientos con sus diferentes sitios a travs de medios electrnicos, como Internet, redes externas (extranets), correo electrnico y mensajera instantnea. Cuando se utilice la plataforma de tecnologa de la informacin y sus aplicaciones de software asociadas para compartir informacin que es pertinente a los criterios de auditoria, los auditores deberan entender los diferentes medios de trabajo en red empleados por la organizacin en la medida en que sea necesario para determinar si el SGBE satisface los criterios de auditoria. Los auditores deberan verificar si los controles en un sistema de gestin de mltiples sitios se consideran y establecen adecuadamente dentro de las polticas y los procedimientos de la organizacin. 10. Competencia del auditor La confiabilidad del proceso de auditoria para el SGBE depender de la capacidad de los auditores para entender las tendencias de la tecnologa de la informacin puesto que las organizaciones dependen cada vez ms del software para el monitoreo y el control de sus operaciones. Las organizaciones auditoras deberan tomar las medidas necesarias, incluyendo la provisin de entrenamiento, para considerar las necesidades generales e individuales de sus auditores con respecto a: - Tendencias generales de la tecnologa de la informacin que pueden tener impacto en la operacin de los sistemas de gestin. - Consideraciones especficas de auditoria para cada asignacin de auditoria que emprendan. Ya que las innovaciones en el sector de la tecnologa de la informacin son relativamente rpidas en comparacin con los cambios en los criterios de auditoria, los auditores y las organizaciones auditoras tienen el reto de la necesidad de tener comprensin prctica de las tendencias asociadas y cmo se pueden aplicar y utilizar dentro de un SGBE. En vista de las innovaciones que influyen en el funcionamiento de un SGBE, las organizaciones auditoras deberan determinar si el equipo auditor posee la experiencia necesaria para tener eficacia en una auditoria dada o si se requerira de la asistencia de un experto tcnico.

Para mayor informacin sobre el Grupo de Prcticas de Auditora ISO 9001 por favor consulte el documento: Introduccin al grupo de Prcticas de Auditora ISO 9001 (Introduction to the ISO 9001 Auditing Practices Group). El Grupo de Prcticas de Auditora ISO 9001 utilizar la retroalimentacin por parte de los usuarios para determinar si es recomendable desarrollar documentos de gua adicionales o si los existentes se deberan revisar. Los comentarios sobre los documentos o las presentaciones se pueden enviar a la siguiente direccin de correo electrnico: charles.corrie@bsi-global.com. Los dems docum entos y presentaciones del Grupo de Prcticas de Auditora ISO 9001 se pueden descargar de los siguientes sitios Web:
ISO & IAF 2005 Todos los derechos reservados www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup

www.iaf.nu www.iso.org/tc176/ISO9001AuditingPracticesGroup
Exoneracin de responsabilidad Este documento no se ha sometido a un proceso de aprobacin por parte de la Organizacin Internacional de Normalizacin (ISO), el Comit Tcnico ISO 176, ni del Foro Internacional de Acreditacin (IAF). La informacin contenida aqu est disponible con propsitos educativos y de comunicacin. El Grupo de Prcticas de Auditora ISO 9001 no es responsable de los errores, omisiones ni otras obligaciones que se puedan originar en el suministro o posterior uso de dicha informacin.

ISO & IAF 2005 Todos los derechos reservados www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup