Código : FUS-AUD-01

PROCEDIMIENTO DE AUDITORÍAS REMOTAS Versión : 01

Fecha : Mayo 2020

PROCEDIMIENTO DE AUDITORÍAS REMOTAS

Elaborado por Juan Fustamante, para más información visita: https://fustamante.com/

 Código : FUS-AUD-01
PROCEDIMIENTO DE AUDITORÍAS REMOTAS Versión : 01
Fecha : Mayo 2020

PROCEDIMIENTO DE AUDITORÍAS REMOTAS

1. OBJETO Y ALCANCE

Este procedimiento esta elaborado como un documento voluntario y a modelo de

realización de auditorías remotas en las organizaciones.
Es aplicable desde la programación de las auditorías, realización y culminación, hasta la
determinación de las competencias de los auditores.

2. REFERENCIAS NORMATIVAS

• ISO 19011-2018 – Directrices para la auditoría de sistemas de gestión

• ISO 9001:2015 – Sistemas de gestión de la calidad – Requisitos
• ISO 14001:2015 – Sistemas de gestión ambiental – Requisitos con orientación para su
uso
• ISO 45001:2015 – Sistemas de gestión de la seguridad y salud en el trabajo –
Requisitos con orientación para su uso

3. TERMINOS Y DEFINICIONES

• Proceso: conjunto de actividades mutuamente relacionadas que utilizan las entradas

para proporcionar un resultado previsto.
• Auditoría: proceso sistemático, independiente y documentado para obtener
evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el
grado en que se cumplen los criterios de auditoría.
• Auditoría remota: Una auditoría virtual sigue el proceso estándar de auditoría a la
vez que se usa la tecnología para verificar las evidencias objetivas.
• Programa de auditoría: acuerdos para un conjunto de una o más auditorías
planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito
específico.
• Alcance de la auditoría: extensión y límites de una auditoría.
• Plan de auditoría: descripción de las actividades y de los detalles acordados de una
auditoría.
• Criterios de auditoría: conjunto de requisitos usados como referencia frente a la cual
se compara la evidencia objetiva.
• Auditor: persona que lleva a cabo una auditoría.
• Equipo auditor: una o más personas que llevan a cabo una auditoría con el apoyo, si
es necesario, de expertos técnicos.

Elaborado por Juan Fustamante, para más información visita: https://fustamante.com/

 Código : FUS-AUD-01
PROCEDIMIENTO DE AUDITORÍAS REMOTAS Versión : 01
Fecha : Mayo 2020

• Tecnologías de la información y la comunicación: aplicación de ordenadores y

equipos de telecomunicación para almacenar, recuperar, transmitir y manipular
datos, con frecuencia utilizado en el contexto de los negocios u otras empresas.
• Sistema de gestión: conjunto de elementos de una organización interrelacionados o
que interactúan para establecer políticas, objetivos y procesos para lograr estos
objetivos.
• Riesgo: efecto de la incertidumbre.
• Conformidad: cumplimiento de un requisito.
• No conformidad: incumplimiento de un requisito.

4. OPERACIONES

4.1 GENERALIDADES

Las auditorías remotas se realizarán en situaciones en donde:

✓ El auditado justifique que tiene una incapacidad para poder recibir a un

auditor, ya que esto significa un riesgo para una de las dos partes.
✓ Debido al contexto en el que se encuentren, no sea posible realizar una
auditoría in situ.
✓ Exista la disponibilidad de tecnologías de la información y las comunicaciones
para poder realizar una auditoría eficaz.
✓ Cuando una organización desempeña un trabajo o proporciona un servicio
usando un entorno en línea que permite a las personas con independencia de
la ubicación física, ejecutar procesos.
✓ Cuando la alta dirección lo disponga necesario.

El auditado y el equipo auditor deberían asegurar los requisitos tecnológicos

apropiados para las auditorías virtuales, que pueden incluir:

✓ Asegurarse de que el equipo auditor está usando los protocolos de acceso

remoto acordados, incluyendo loa dispositivos, software, etc.
✓ Realizar verificaciones técnicas antes de la auditoría para resolver cuestiones
técnicas.
✓ Asegurarse de que se dispone de planes de contingencia y de que se
comunican (por ejemplo, interrupción del acceso, uso de tecnologías
alternativas), incluyendo la provisión de tiempo adicional para la auditoría si es
necesario.

La organización debe asegurarse de que ningún auditor esté realizando la

auditoría de su propia área de trabajo.

Elaborado por Juan Fustamante, para más información visita: https://fustamante.com/

 Código : FUS-AUD-01
PROCEDIMIENTO DE AUDITORÍAS REMOTAS Versión : 01
Fecha : Mayo 2020

4.2 PROGRAMA DE AUDITORÍA

Se establece un programa de auditoría que incluye todas las auditorías a realizar

en un periodo de tiempo establecido, este programa de auditoría asegura los
recursos necesarios que aseguren una auditoría eficaz y eficiente, así mismo,
cuenta con lo siguiente:

✓ Objetivos.
✓ Riesgos y oportunidades.
✓ Alcance.
✓ Fechas.
✓ Tipos.
✓ Criterios.
✓ Competencia de los auditores.

Este programa es revisado periódicamente para asegurar la mejora permanente.

4.3 DETERMINACION DE LOS RIESGOS Y OPORTUNIDADES DEL PROGRAMA

Periódicamente se realizará una determinación, evaluación y toma de acciones de

los riesgos y oportunidades relacionados con el programa de auditorías.
Estos riesgos u oportunidades se pueden encontrar relacionados con:

✓ La planificación de las auditorías.

✓ Los recursos en general.
✓ La selección del equipo auditor.
✓ Los recursos de comunicación o de TI a utilizar.
✓ El control de la información documentada.
✓ El seguimiento y mejora de la programación de la auditoría.
✓ La disponibilidad de los auditados.
✓ Los recursos de logística necesarios, tal como internet o aplicaciones a utilizar
para la auditoría remota (hardware y software).
✓ Acuerdos de confidencialidad.

Los riesgos y oportunidades quedaran documentados para asegurar su

seguimiento, medición, análisis y evaluación, con la finalidad de asegurar su
mejora continua.

4.4 COMPETENCIAS DEL EQUIPO AUDITOR

El (los) responsable(s) del programa de auditorías determinara(n) las

competencias necesarias para el equipo auditor, en función a los riesgos y
oportunidades que estos representen para la organización.

Elaborado por Juan Fustamante, para más información visita: https://fustamante.com/

 Código : FUS-AUD-01
PROCEDIMIENTO DE AUDITORÍAS REMOTAS Versión : 01
Fecha : Mayo 2020

La competencia del auditor debería incluir:

✓ Habilidades técnicas para usar los equipos electrónicos apropiados y otras
tecnologías durante la auditoría;
✓ Experiencia en facilitar reuniones virtualmente para realizar la auditoría de
manera remota.

De acuerdo con las necesidades y la extensión del programa de auditoría el

equipo auditor podrá estar conformado por:

✓ Auditor líder: auditor responsable del proceso de auditoría.

✓ Auditor: persona que lleva a cabo una auditoría.
✓ Experto técnico: persona que aporta conocimientos o experiencia específicos
al equipo auditor.
✓ Observador: persona que acompaña al equipo auditor (3.14) pero no actúa
como un auditor.

La selección del equipo auditor y la competencia general para las actividades

deberían llevarse a cabo asegurando la identificación de la competencia necesaria
para lograr los objetivos de la auditoría.
Se recomienda que las competencias del equipo auditor se definan en función de
la educación, formación o experiencia necesaria, incluyendo las competencias
para el buen adecuado de las tecnologías de información a utilizar.

4.5 PLAN DE AUDITORIA

Para poder elaborar el plan de auditoría consideraremos los riesgos determinados

y evaluados previamente.
En el plan de auditoría se establecerá todos los elementos necesarios para una
adecuada ejecución de la auditoría remora, esta podrá incluir:

✓ Objetivos.
✓ Tipo de auditoría.
✓ Fechas.
✓ Equipo auditor.
✓ Alcance de la auditoría.
✓ Criterios.
✓ Sedes.
✓ Funciones del equipo auditor.
✓ Recursos de TI que utilizar (comunicación vía remota, telefónica, video
conferencia, acceso a sistema documentario, acceso a video cámaras de las
instalaciones, entre otras)
✓ Procesos que auditar.

Elaborado por Juan Fustamante, para más información visita: https://fustamante.com/

 Código : FUS-AUD-01
PROCEDIMIENTO DE AUDITORÍAS REMOTAS Versión : 01
Fecha : Mayo 2020

✓ Tiempos de auditoría para cada actividad.

✓ Actividades por realizar.

El plan de auditoría lo debería proponer el auditor líder y una vez este quede
aprobado deberá ser comunicado, con suficiente anticipación, para que el equipo
auditor y los auditados se preparen para el proceso de auditoría.
En caso sea necesario se deberían de probar los diferentes recursos de TI a
utilizar, mediante un simulacro previo, con la finalidad de asegurar que estas se
encuentren disponibles y en buen estado y evitar que se generen contingencias o
pérdidas de tiempo, durante la realización de la auditoría.

4.6 REALIZACION DE LA AUDITORÍA REMOTA

REUNION DE APERTURA
Se recomienda que para la reunión de apertura asistan el equipo auditor, la alta
dirección, los representantes de los procesos a auditar y las partes interesadas
pertinentes para el proceso de auditoría, esta se realizara utilizando el medio
remoto seleccionado.
La reunión de apertura será dirigida por el auditor líder.
Según sea posible, la reunión de apertura deberá:

✓ Confirmar con los representantes de los auditados el plan de auditoría.

✓ Presentar al equipo auditor y declarar las funciones de este.
✓ Asegurarse de tener los medios suficientes para la realización de la auditoría
remota.
✓ El método de informar los hallazgos de la auditoría incluyendo los criterios
para la categorización, si existen.
✓ Las condiciones bajo las cuales la auditoría puede darse por terminada.
✓ Cómo tratar los posibles hallazgos durante la auditoría.
✓ Cualquier sistema de retroalimentación del auditado.

Para algunas situaciones de auditoría, la reunión puede ser formal y las actas,
incluyendo los registros de asistencia, deberían conservarse.

COMUNICACIÓN DURANTE LA AUDITORÍA

Durante la auditoría, puede ser necesario llegar a acuerdos formales para la

comunicación entre el equipo auditor, así como con el auditado.
El equipo auditor debería reunirse periódicamente para intercambiar información,
evaluar el progreso de la auditoría, y reasignar las tareas entre los miembros del
equipo auditor, según sea necesario.

Elaborado por Juan Fustamante, para más información visita: https://fustamante.com/

 Código : FUS-AUD-01
PROCEDIMIENTO DE AUDITORÍAS REMOTAS Versión : 01
Fecha : Mayo 2020

Durante la auditoría, el líder del equipo auditor debería comunicar

periódicamente los progresos, los hallazgos importantes y cualquier inquietud al
auditado.
Las evidencias recopiladas durante la auditoría que sugieren un riesgo inmediato y
significativo deberían comunicarse sin demora al auditado.
Cualquier inquietud sobre una cuestión fuera del alcance de la auditoría debería
notificarse al líder del equipo auditor, para su posible comunicación al auditado.

DISPONIBILIDAD Y ACCESO DE LA INFORMACIÓN DE AUDITORÍA

Se debe de confirmar el momento y la manera en que se accede a la información

determinando los métodos de auditoría, esta se puede dar mostrando la
información vía acceso a los documentos del sistema de gestión de auditado,
mostrándolos por video conferencia entre otros.

REVISIÓN DE LA INFORMACIÓN DOCUMENTADA DURANTE LA AUDITORÍA

La información documentada pertinente del auditado debería revisarse para

determinar la conformidad del sistema con los criterios de auditoría, sobre la base
de la documentación disponible y reunir información para apoyar las actividades
de auditoría.

RECOPILACIÓN Y VERIFICACIÓN DE LA INFORMACIÓN

Durante la auditoría, solo debería aceptarse como evidencia de la auditoría la

información que puede estar sujeta a algún grado de verificación. Cuando el grado
de verificación es bajo, el auditor debería utilizar su juicio profesional para
determinar el grado de fiabilidad que se puede depositar en la información como
evidencia. Debería registrarse la evidencia que conduce a hallazgos de la
auditoría.
Los métodos para recopilar la información incluyen, pero sin limitarse a
entrevistas, observaciones, revisión de la información documentada.

GENERACIÓN DE HALLAZGOS DE LA AUDITORÍA

La evidencia de la auditoría debería evaluarse frente a los criterios de auditoría

para determinar los hallazgos de la auditoría. Los hallazgos de la auditoría pueden
indicar conformidad o no conformidad con los criterios de auditoría.
Deberían registrarse las no conformidades y la evidencia de la auditoría que las
apoya.
Las no conformidades pueden clasificarse dependiendo del contexto de la
organización y de sus riesgos.

Elaborado por Juan Fustamante, para más información visita: https://fustamante.com/

 Código : FUS-AUD-01
PROCEDIMIENTO DE AUDITORÍAS REMOTAS Versión : 01
Fecha : Mayo 2020

PREPARACIÓN PARA LA REUNIÓN DE CIERRE

El equipo auditor debería reunirse antes de la reunión de cierre para:

✓ Revisar los hallazgos de la auditoría y cualquier otra información apropiada

recopilada durante la auditoría frente a los objetivos de esta;
✓ Acordar las conclusiones de la auditoría, teniendo en cuenta la incertidumbre
inherente al proceso de auditoría;
✓ Preparar recomendaciones, si estuviera especificado en el plan de auditoría;

REUNION DE CIERRE

La reunión de cierre debería realizarse para presentar los hallazgos y las

conclusiones de la auditoría.
La reunión de cierre debería estar presidida por el líder del equipo auditor y los
representantes de la dirección del auditado y cuando sea necesario, las partes
interesadas pertinentes.
El grado de detalle debería tener en cuenta la eficacia del sistema de gestión para
alcanzar los objetivos del auditado, incluyendo consideraciones sobre su contexto
y los riesgos y oportunidades.
Para algunas situaciones de auditoría, la reunión puede ser formal y las actas,
incluyendo los registros de asistencia, deberían conservarse.
Cuando sea apropiado, en la reunión de cierre debería explicarse al auditado lo
siguiente:

✓ Advertir que la evidencia de la auditoría recopilada se basó en una muestra de

la información disponible y no es necesariamente totalmente representativa
de la eficacia global de los procesos del auditado.
✓ El método de presentación de la información.
✓ La manera en que deberían tratarse los hallazgos de auditoría basándose en el
proceso acordado.
✓ Las posibles consecuencias de no tratar adecuadamente los hallazgos de
auditoría.
✓ La presentación de los hallazgos y conclusiones de la auditoría de tal manera
que se comprendan y se reconozcan por la dirección del auditado.
✓ Cualquier actividad posterior a la auditoría relacionada.

4.7 ELABORACION DEL INFORME DE AUDITORIA

El informe de la auditoría debería proporcionar un registro completo, preciso,

conciso y claro de la auditoría.
Puede incluir o hacer referencia a lo siguiente, cuando sea apropiado:

Elaborado por Juan Fustamante, para más información visita: https://fustamante.com/

 Código : FUS-AUD-01
PROCEDIMIENTO DE AUDITORÍAS REMOTAS Versión : 01
Fecha : Mayo 2020

✓ El plan de auditoría, incluyendo el horario.

✓ Un resumen del proceso de auditoría, incluyendo cualquier obstáculo
encontrado que pueda disminuir la confianza en las conclusiones de la
auditoría.
✓ La confirmación de que se han cumplido los objetivos de la auditoría dentro
del alcance de la auditoría, de acuerdo con el plan de auditoría.
✓ Cualquier área dentro del alcance de la auditoría no cubierta, incluyendo
cualquier cuestión sobre la disponibilidad de las evidencias, los recursos o la
confidencialidad, con las justificaciones relacionadas.
✓ Un resumen cubriendo las conclusiones de la auditoría y los principales
hallazgos de la auditoría que las apoyan.
✓ Una declaración sobre la naturaleza confidencial de los contenidos.
✓ Cualquier implicación para el programa de auditoría o las auditorías
posteriores.

El informe de la auditoría debería emitirse en el periodo de tiempo acordado. Si se

retrasa, las razones deberían comunicarse al auditado y a las personas
responsables de la gestión del programa de auditoría.
El informe de la auditoría debería estar fechado, revisado y aceptado, según sea
apropiado, de acuerdo con el programa de auditoría.
El informe de la auditoría debería distribuirse a las partes interesadas pertinentes
definidas en el programa de auditoría o en el plan de auditoría.
Al distribuir el informe de la auditoría, deberían tenerse en cuenta las medidas
apropiadas para asegurar la confidencialidad.

--- Fin de la presentación ---

Elaborado por Juan Fustamante, para más información visita: https://fustamante.com/