Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lineamientos para Auditorias Remotas PDF
Lineamientos para Auditorias Remotas PDF
PERUANA 2020
Dirección de Normalización - INACAL
Calle Las Camelias 817, San Isidro (Lima 27) Lima, Perú
.
A
C
LI
B
PÚ
N
Ó
SI
U
C
IS
D
EN
TO
EN
AUDITORÍAS REMOTAS
C
O
.D
2020-06-04
R
1ª Edición
PE
ÍA
U
G
E
D
TO
C
YE
O
PR
página
ÍNDICE i
PRÓLOGO ii
.
A
C
INTRODUCCIÓN v
LI
B
PÚ
1 Objeto y campo de aplicación 1
N
Ó
2 Referencias normativas 1
SI
U
C
3 Términos y definiciones 1
IS
D
4 Criterios generales para las auditorias remotas 2
EN
4.1 Identificación de riesgos y oportunidades 3
TO
4.2 Recursos tecnológicos 4
4.3 Competencias del equipo auditor 6
EN
M
BIBLIOGRAFÍA 16
U
G
E
D
TO
C
YE
O
PR
i
PRÓLOGO
A. RESEÑA HISTÓRICA
A.1 El presente Proyecto de Guía Peruana fue elaborado por el Comité Técnico
de Normalización de Gestión y aseguramiento de la calidad, mediante el Sistema 2 u
.
A
Ordinario, durante los meses de abril a junio de 2020, siendo aprobado como Proyecto de
C
Guía Peruana, el 04 de junio de 2020.
LI
B
PÚ
A.2 El Comité Técnico de Normalización de Gestión y aseguramiento de la
N
Ó
calidad presentó a la Dirección de Normalización -DN- con fecha 2020-06-07, el
SI
PGP 123:2020 LINEAMIENTOS PARA LA GESTIÓN DE AUDITORÍAS
U
C
REMOTAS, para su revisión y aprobación, previa a la etapa de discusión pública.
IS
D
EN
A.3 El presente Proyecto de Guía Peruana ha sido estructurado de acuerdo con
TO
las Guías Peruanas GP 001:2016 y GP 002:2016.
EN
M
U
C
ii
ENTIDAD REPRESENTANTE
.
A
CASAL CONSULTORES S.A.C. Sandra Carpio Salinas
C
Zenaida Enciso Acuña
LI
B
PÚ
CÁMARA DE COMERCIO DE LIMA Yusith Vega Odes
N
Ó
CESEL S.A.C. Juan Verástegui Maldonado
SI
U
C
CITE PESQUERO Susan Montero Beramendi
IS
Mónica Espinosa Sánchez
D
EN
CONTROL DE SANEAMIENTO Iván Jerí San Miguel
TO
AMBIENTAL S.A.C.
EN
iii
QUALITY ASSURANCE SERVICES S.A. Guillermo Zevallos Dávila
.
A
TACTICAL SERVICES GROUP América Cárdenas Ontón
C
CONSULTING S.A.C.
LI
B
PÚ
UNIVERSIDAD PERUANA DE CIENCIAS Everth Martell Mateo
APLICADAS
N
Ó
SI
CONSULTOR María Altamirano Echevarría
U
C
IS
CONSULTOR Ricardo Bravo Montenegro
D
EN
CONSULTOR Antonio Carpio Salinas
TO
iv
INTRODUCCIÓN
.
A
C
El valor de este método de auditoría reside en su potencial para proporcionar flexibilidad
LI
B
para lograr los objetivos de la auditoría. Con el fin de obtener los beneficios de este
PÚ
método de auditoría, todas las partes interesadas pertinentes deberían tomar conciencia
sobre su rol en el proceso, las entradas, las salidas esperadas y los riesgos y oportunidades,
N
Ó
que proporcionarán la base para lograr los objetivos de la auditoría y del programa de
SI
auditoría.
U
C
IS
D
Existe una variedad de razones por las cuales un auditor podría no estar presente en el
EN
sitio de auditoría, por ejemplo, circunstancias que pudieran afectar su integridad física
TO
(manifestaciones, huelgas, entre otros), circunstancias o eventos que prohíben el libre
desplazamiento (epidemia, pandemia, inundaciones u otros desastres naturales, entre
EN
otros).
M
U
C
O
Las nuevas tecnologías de información y comunicación (TIC) han hecho que la auditoría
.D
remota sea más factible. Dado que el acceso a las TIC ha aumentado, la auditoría remota
A
se ha vuelto más utilizada. Esto permite que el auditor se comunique con las personas a
N
A
Estas técnicas transforman la manera en que trabajamos. Las TIC abren la oportunidad
ÍA
viaje, reduciendo el impacto ambiental asociado a los viajes para realizar una auditoría y
E
adaptando las auditorías a diferentes modelos organizacionales. Las TIC pueden ayudar
D
v
El uso de las TIC también permite la inclusión de pericia en una auditoría que de otra
manera no sería posible debido a restricciones financieras o logísticas. Por ejemplo, la
participación de un experto técnico puede ser necesaria solo para analizar un proyecto
específico durante únicamente dos horas. Con las TIC disponibles, el experto técnico
puede analizar el proceso de forma remota, reduciendo así el tiempo y los gastos
asociados con el viaje.
Sin embargo, debemos considerar las limitaciones y los riesgos que las TIC presentan en
.
A
el cumplimiento de los objetivos de auditoría. Estos incluyen temas de seguridad de la
C
información, protección de datos y asuntos referidos a la confidencialidad, veracidad y
LI
B
calidad de la evidencia objetiva recopilada, entre otros.
PÚ
N
Ó
Pueden surgir las siguientes preguntas:
SI
U
C
IS
- Cuando se observan imágenes, ¿se está viendo imágenes en tiempo real o
D
son grabaciones de video?
EN
TO
- ¿Se puede visualizar todo sobre el sitio remoto o está siendo guiados por
imágenes seleccionadas?
EN
M
- Cuando se planifica una entrevista remota, ¿se contará con una conexión
U
C
- ¿Los procesos y sitios a auditarse pueden realmente ser auditados fuera del
A
sitio?
N
A
U
operaciones y controles?
ÍA
Muchas de estas preguntas solo pueden responderse después de una visita al sitio.
TO
C
YE
Para utilizar las TIC en el proceso de auditoría, el responsable del programa de auditoría
O
y el equipo auditor necesitan identificar los riesgos y las oportunidades, y definir los
PR
En esta guía se aborda la auditoría remota considerando los criterios generales para su
planificación, su ejecución y las actividades posteriores a la auditoría. También se
presenta un análisis genérico de riesgos y oportunidades para el uso de algunas TIC, que
puede servir como base para el proceso de toma de decisiones.
vi
Para auditorías de tercera parte, los organismos de acreditación y organismos de
certificación proporcionan el marco para determinar la elegibilidad de técnicas de
auditoría remota. Para auditorías de primera y de segunda parte, es competencia del
cliente o de la organización auditada determinar la conveniencia de la auditoría remota
de acuerdo con los objetivos de la auditoría. El presente documento aborda estos dos tipos
de auditoría, sin embargo , algunos lineamientos también pueden ser utilizados en
auditorías de tercera parte.
.
A
C
LI
B
PÚ
---oooOooo---
N
Ó
SI
U
C
IS
D
EN
TO
EN
M
U
C
O
.D
A
N
A
U
R
PE
ÍA
U
G
E
D
TO
C
YE
O
PR
vii
PROYECTO DE GUÍA PGP 123
PERUANA 1 de 16
.
A
C
LI
B
1 Objeto y campo de aplicación
PÚ
N
Ó
Este Proyecto de Guía Peruana proporciona lineamientos a considerar para organizar y
SI
ejecutar auditorías remotas de sistemas de gestión, desde que se identifica la necesidad de
U
una auditoría remota en la elaboración del programa de auditorías hasta las actividades
C
IS
posteriores a la auditoría.
D
EN
El Proyecto de Guía Peruana es aplicable a todas las organizaciones que llevan a cabo
TO
Si bien el presente documento aborda las auditorías de primera y de segunda parte, algunos
.D
2 Referencias normativas
ÍA
U
G
Los siguientes documentos a los cuales se hace referencia en el texto constituyen requisitos
E
de este Proyecto de Guía Peruana en parte o en todo su contenido. Para las referencias con
D
fecha, sólo se aplica la edición citada. Para referencias sin fecha se aplica la última edición
TO
del documento.
C
YE
O
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones incluidos en la
NTP-ISO 19011 además de los siguientes:
PROYECTO DE GUÍA PGP 123
PERUANA 2 de 16
3.1
auditoría remota
auditoría de un sistema de gestión que es posible realizar de manera no presencial[FUENTE:
.
A
IAF ID 12:2015, 3.1, modificada — Se ha adecuado la definición de “evaluación remota” a una auditoría
C
remota.]
LI
B
PÚ
N
4 Criterios generales para las auditorias remotas
Ó
SI
U
C
4.1 Identificación de riesgos y oportunidades
IS
D
EN
La NTP-ISO 19011 establece que las personas responsables del programa de auditorías
TO
deberían asegurar la realización de las auditorías de acuerdo con el programa de auditoría,
EN
gestionando todos los riesgos, oportunidades y cuestiones operacionales (es decir, eventos
M
inesperados), según surjan durante el despliegue del programa. En ese sentido, para alcanzar
U
oportunidades.
O
.D
A
N
pueden auditarse de forma remota con la herramienta de TIC que esté disponible.
R
PE
ÍA
La siguiente tabla enumera los principales aspectos para evaluar la viabilidad y el análisis
U
de riesgos para una auditoría remota. Esta evaluación debería realizarse y documentarse para
G
cada auditoría, involucrando a todos los miembros del equipo auditor y al representante del
E
D
auditado.
TO
C
YE
.
A
preferiblemente con imagen.
C
- Si la observación de las instalaciones, procesos, actividades, entre otros, es
LI
B
pertinente para lograr los objetivos de la auditoría, es posible acceder a ellos por
PÚ
video.
- El personal que participa de la auditoría tiene competencias sobre el uso de las TIC
N
Ó
a emplear.
SI
3. Personas en la organización
U
C
- Es posible acceder y entrevistar a las personas pertinentes para el sistema de gestión.
IS
4. Operaciones
D
- Si la organización no está operando regularmente debido a situaciones de
EN
contingencia, los procesos / actividades que se realizan son representativos y
TO
permiten el cumplimiento de los objetivos de la auditoría.
5. Complejidad de la organización y tipo de auditoría
EN
los objetivos del tipo de auditoría requieren una evaluación completa de la norma y
U
C
- Establecer acciones para eliminar o minimizar los riesgos para la auditoria remota.
U
R
7. Conclusiones posibles
ÍA
U
auditoría
E
D
.
A
C
El anexo en este documento proporciona una identificación genérica de riesgos y
LI
B
oportunidades potenciales por tipo de TIC y puede usarse como punto de partida para la
PÚ
determinación de riesgos y oportunidades para el proceso de toma de decisiones. En
cualquier caso, la determinación debería hacerse o revisarse para cada situación. También es
N
Ó
importante recordar que la intención no es diseñar un enfoque complejo, formal y
SI
cuantificado para la determinación de riesgos y oportunidades. La intención es tener la
U
capacidad de identificar las oportunidades y los riesgos, y determinar si los riesgos pueden
C
IS
mitigarse o aceptarse y tomar una decisión fundamentada sobre si se procede con la
D
aplicación de métodos remotos o no.
EN
TO
4.2.1 Herramientas
C
O
.D
A
Las TIC son el uso de tecnología para recopilar, almacenar, recuperar, procesar, analizar y
N
A
de video, inteligencia artificial y otros. El uso de las TIC puede ser apropiado para la
auditoría tanto presencial como remota. Debería verificarse, previamente al proceso de
ÍA
auditoría, que las herramientas de TIC utilizadas por el equipo auditor y por los auditados
U
G
Ejemplos del uso de las TIC durante las auditorías remotas pueden incluir, pero no limitarse
C
a:
YE
O
PR
.
A
C
4.2.2 Viabilidad
LI
B
PÚ
El uso de las TIC para la auditoría remota solo tendrá́ éxito si se cumplen las condiciones
N
Ó
adecuadas. Las fundamentales son que la tecnología está disponible y que tanto los auditores
SI
como los auditados sean competentes y se sienten cómodos con su funcionamiento. Esto
U
debería evaluarse antes de la decisión de utilizar técnicas remotas. Esta preparación
C
IS
contribuye a optimizar el proceso de auditoría.
D
Hay dos escenarios generales: EN
TO
EN
M
está auditando personas, actividades o procesos que están fuera del sitio; y
C
O
.D
El primer paso para asegurar la viabilidad es determinar qué TIC se tiene disponible como
ÍA
recurso y si los auditores y auditados tienen las competencias para el uso de las TIC a utilizar.
U
G
E
D
de banda o una capacidad de hardware limitada pueden ralentizar el proceso hasta el punto
C
auditado accede y muestra la evidencia por video a través de una tableta o computadora
O
PR
Los asuntos sobre confidencialidad y seguridad, así́ como la protección de datos, son un
factor crítico para el uso de las TIC. El cliente de la auditoría y el auditado deberían tener en
cuenta los requisitos legales y reglamentarios u otros requisitos que pueden requerir acuerdos
adicionales de ambas partes (por ejemplo, no habrá́ grabación de sonido e imágenes, ni
PROYECTO DE GUÍA PGP 123
PERUANA 6 de 16
autorizaciones para usar las imágenes de las personas). Cuando lo establezca la legislación
nacional, el responsable de la protección de datos de ambas partes debería participar en la
evaluación de estos asuntos. En algunas situaciones, los requisitos de seguridad no
permitirán el uso de las TIC.
.
A
C
LI
B
La evidencia de los acuerdos relacionados con la CSPD debería estar disponible. Esta
PÚ
evidencia podría ser registros, procedimientos acordados o correos electrónicos. La
importancia reside en que estos criterios de la CSPD sean reconocidos por todos los
N
Ó
participantes.
SI
U
C
IS
Es una buena práctica que, cuando la información documentada se analice de forma
D
asincrónica, se comparta en un sistema seguro y acordado, como la nube, la red privada
EN
virtual u otros sistemas de intercambio de archivos, utilizando las directrices acordadas
previamente para la CSPD.
TO
EN
M
Los auditores no deberían realizar capturas de pantalla de los auditados como evidencia de
U
contemplar que éste tenga la habilidad en el manejo de las TIC que se utilicen para realizar
U
G
auditorías remotas ya de manera sincrónica o asincrónica. Entre los aspectos que podrían
E
auditoria remota.
O
PR
Si se considera necesario, también podría contemplarse que el equipo auditor tenga las
habilidades en el manejo de drones u otros dispositivos relacionados con las TIC.
.
A
C
LI
B
PÚ
5 Planificación de las auditorías
N
Ó
SI
U
La planificación requiere que se considere cuidadosamente lo siguiente:
C
IS
D
EN
- identificar la zona horaria para coordinar tiempos de convocatoria razonables
y mutuamente aceptables; y
TO
EN
- facilitar la organización y permitir un uso más flexible del tiempo por parte
M
La planificación de la auditoría, al menos en las primeras auditorías, tomará más tiempo por
A
diferente que para una auditoría in situ (por ejemplo, una mejor definición de
C
las tareas por parte de diferentes miembros del equipo de la organización para
YE
asegurar que los auditores auditen por separado y hagan el mejor uso del
O
PR
- para realizar una prueba del uso de las TIC antes de la auditoría para
confirmar que se cuenta con una conexión estable, que las personas conocen
PROYECTO DE GUÍA PGP 123
PERUANA 8 de 16
.
A
Las conclusiones, después de analizar los riesgos y las oportunidades, proporcionan la base
C
para definir qué procesos se auditarán bajo qué TIC.
LI
B
PÚ
El auditor líder debería confirmar con la organización la viabilidad del método de auditoría
remota propuesto en el programa, basado en las TIC requeridas y su conocimiento por parte
N
de la organización. Esto incluye la verificación de que las personas involucradas conocerán
Ó
SI
cómo utilizar la herramienta. El auditor revisa los riesgos y las oportunidades determinadas
U
a la luz de esta auditoría específica y sus objetivos, y puede proponer cambios en el uso de
C
IS
las TIC que se hayan determinado. En caso de que se detecte una situación de alto riesgo, la
D
auditoría debería realizarse in situ. Todas las demás situaciones potenciales deberían
EN
abordarse mediante medidas apropiadas que se reflejen, según sea necesario, en el plan de
auditoría. A pesar de utilizar métodos de auditoría remota, debería mantenerse la confianza
TO
de que se alcanzarán los objetivos de auditoría deseados.
EN
M
U
El plan de auditoría debería identificar claramente qué, cuándo y cómo se llevará a cabo la
C
auditoría.
O
.D
A
.
A
b. Revisión del plan de auditoría en
C
diferentes etapas de la auditoría.
LI
B
c. Informe de conclusiones intermedias
PÚ
d. Reuniones intermedias del equipo auditor
N
2. Procesos / actividades / personas de la Videoconferencia con pantalla
Ó
organización compartida.
SI
a. Personas que trabajan desde casa o fuera Imágenes de video en tiempo real
U
C
del sitio obtenidas con drones, cámaras de
IS
b. Procesos o actividades donde el objeto de video móviles o fijas.
D
auditoría es principalmente la revisión de Acceso a monitoreo por video de sitios
EN
documentos e información explicativa
TO
obtenida a través de entrevistas, tales
como compras, recursos humanos /
EN
agua o energía.
N
A
disponibilidad y la viabilidad del uso de las TIC. También deberían revisarse y acordarse las
TO
tomar capturas de pantalla de documentos u otro tipo de registros, debería pedir permiso, ya
YE
Cuando se utilicen las TIC para entrevistar a las personas, el equipo auditor debería registrar
el nombre y la función de las personas entrevistadas e indicarles qué información se está
conservando. Al realizar entrevistas de forma remota, el auditor necesita verificar las
declaraciones de hechos con otras evidencias, estos deberían ser solicitados y analizados por
el auditor. Si éstas se envían por correo electrónico, el auditor debería asegurar el nivel de
confidencialidad requerido para esos documentos.
PROYECTO DE GUÍA PGP 123
PERUANA 10 de 16
.
A
C
LI
B
Cuando se utilicen videos para ver imágenes en vivo en línea de sitios remotos, es importante
PÚ
que la organización demuestre la veracidad de las imágenes. Si se observan imágenes de una
instalación, éstas se pueden comparar con los planos de planta, las imágenes de un sitio
N
Ó
geográfico que se observan se pueden comparar con las imágenes satelitales disponibles o
SI
la información disponible de los Sistemas de Información Geográfica. Se deberían registrar
U
las evidencias y la forma en que se recopilaron.
C
IS
D
EN
En una auditoría remota es importante permitir pequeños descansos, típicos de aquellos que
generalmente ocurren de manera no planificada en una auditoría in situ. Estar sentado y usar
TO
la pantalla continuamente puede ser agotador. Permitir pequeños intervalos para estirar las
EN
También es aceptable que el auditor informe al auditado cuando se requiere una interrupción
.D
para leer y analizar la información que se ha proporcionado. Esto permite una mayor
A
.
A
C
LI
B
PÚ
7 Actividades posteriores a la auditoría
N
Ó
SI
El informe de auditoría debería indicar claramente detalles sobre:
U
C
IS
D
- los métodos de auditoría remota utilizados;
- la eficacia del uso de las TIC para lograr los objetivos de la auditoría; y
M
U
El informe debería indicar los procesos que no pudieron ser auditados de manera remota y
U
que deberían ser auditados en el sitio. Esta información es importante para el proceso de
R
PE
La retroalimentación del equipo auditor con respecto al uso de las TIC debería entregarse al
E
auditor con respecto al uso de las TIC, la eficacia de su uso para lograr los objetivos de la
TO
auditoría, los elementos que no permitieron alcanzar los objetivos de la auditoría de ser el
C
Si el programa de auditoría contempla la evaluación del desempeño del equipo auditor, dicha
evaluación debería contemplar las habilidades del equipo auditor en el uso de TIC
.
A
C
LI
B
PÚ
N
Ó
SI
U
C
IS
D
EN
TO
EN
M
U
C
O
.D
A
N
A
U
R
PE
ÍA
U
G
E
D
TO
C
YE
O
PR
PROYECTO DE GUÍA PGP 123
PERUANA 13 de 16
ANEXO A
(INFORMATIVO)
.
Ejemplo de identificación de riesgos y oportunidades para
A
C
LI
usar técnicas de auditoría remota
B
PÚ
N
Ó
SI
Tecnología de la
U
información y la
Uso potencial Riesgos Oportunidades
C
comunicación
IS
(TIC)
D
Violaciones de Entrevista con personal
seguridad y
EN pertinente que trabaja
TO
confidencialidad. de forma remota, por
Diferencias en zonas
EN
ejemplo, oficina en
horarias. casa, equipos de
M
persona. desarrollo.
O
La posibilidad de multisitio.
N
Sitio o actividades
A
Videollamada
La posibilidad de
G
costos de viaje e
(sincrónica)
E
Violaciones de Revisiones de
O
Tecnología de la
información y la
Uso potencial Riesgos Oportunidades
comunicación
(TIC)
.
La interacción con los Multisitio - propicio
A
C
auditados puede para sitios remotos
LI
B
debilitarse. donde se puede omitir
PÚ
Disminución de la la visita al sitio, o
calidad de la donde las visitas
N
Ó
información recopilada periódicas dentro del
SI
programa de auditoría
U
no son necesarias, pero
C
se necesita algún
IS
D
seguimiento.
Reducción de tiempo o
EN costos de viaje e
TO
impactos ambientales
EN
asociados.
Garantía de Mejor conocimiento de
M
U
autenticidad. la organización,
C
Permite preparar el
N
posiblemente preparar al
Completar
A
listas de
R
recopilación de otra
U
G
evidencia.
E
Permite a la
D
organización prepararse
TO
Tecnología de la
información y la
Uso potencial Riesgos Oportunidades
comunicación
(TIC)
.
Posible manipulación de
A
que no podría viajar al
C
datos. sitio.
LI
La falta de interacción Proporciona una buena
B
PÚ
con los auditados no base para comprender
permite aclarar los el sistema de gestión de
N
Ó
problemas. la organización y
SI
Transparencia: el potencialmente
U
auditado pierde la proporciona rutas de
C
auditoría que el auditor
IS
percepción de lo que se
D
está auditando y de la puede utilizar durante
EN
muestra. las entrevistas.
Riesgos inherentes al Fácil seguimiento de
TO
uso y presencia de tareas de alto riesgo.
EN
de trabajos
climáticas requisitos de seguridad
O
remotos o de
.D
desfavorables. no permiten la
alto riesgo.
Pobre calidad de presencia del equipo
A
Visita guiada
N
Capacidad
R
operaciones
alta.
U
de alto riesgo.
G
Propicio para
Testificación
E
complementar las
D
de procesos
visitas de campo en
TO
en ejecución.
actividades al aire libre
C
forestales y agrícolas,
O
minería).
PR
Tecnología de la
información y la
Uso potencial Riesgos Oportunidades
comunicación
(TIC)
.
Grabaciones Si el registro
A
C
de voz del electrónico contiene
LI
B
centro de datos confidenciales
PÚ
atención que los criterios de la
telefónica CSPD consideran no
N
Ó
(call center). elegibles para la
SI
Seminarios auditoría remota, el
U
web de auditor debería
C
considerar reasignar
IS
entrenamient
D
o grabados. esa revisión de
EN
registros para la
auditoría in situ.
TO
EN
M
U
C
O
.D
A
N
A
U
R
PE
ÍA
U
G
E
D
TO
C
YE
O
PR
PROYECTO DE GUÍA PGP 123
PERUANA 17 de 16
BIBLIOGRAFÍA
.
A
[1] ISO – IAF: ISO 9001 Auditing Practices Group - Guidance on remote audits, Ed. 01
C
LI
B
[2] IAF ID 12:2015 - Principles on Remote Assessment
PÚ
[3] IAF MD 4:2018 - IAF mandatory document for the use of information and
N
Ó
communication technology (ICT) for auditing/assessment purposes
SI
U
[4] NTP-ISO 19011:2018 - Directrices para la auditoría de los sistemas de gestión
C
IS
D
EN
TO
EN
M
U
C
O
.D
A
N
A
U
R
PE
ÍA
U
G
E
D
TO
C
YE
O
PR