PROYECTO DE GUÍA PGP 123

PERUANA 2020
Dirección de Normalización - INACAL
Calle Las Camelias 817, San Isidro (Lima 27) Lima, Perú

.
A
C
LI
B
PÚ
N
Ó
SI
U
C
IS
D
EN
TO
EN

LINEAMIENTOS PARA LA GESTIÓN DE

M
U

AUDITORÍAS REMOTAS
C
O
.D

GUIDELINES FOR MANAGING REMOTE AUDITS

A
N
A
U

2020-06-04
R

1ª Edición
PE
ÍA
U
G
E
D
TO
C
YE
O
PR

“Este documento se encuentra en etapa de estudio, sujeto a posibles

cambios. No debe ser usado como Guía Peruana” Precio basado en 16 páginas
I.C.S.: 03.120.20
Descriptores: Auditorías remotas, auditorías, lineamientos, sistemas de gestión
 ÍNDICE

página

ÍNDICE i

PRÓLOGO ii

.
A
C
INTRODUCCIÓN v

LI
B
PÚ
1 Objeto y campo de aplicación 1

N
Ó
2 Referencias normativas 1

SI
U
C
3 Términos y definiciones 1

IS
D
4 Criterios generales para las auditorias remotas 2

EN
4.1 Identificación de riesgos y oportunidades 3
TO
4.2 Recursos tecnológicos 4
4.3 Competencias del equipo auditor 6
EN
M

5 Planificación de las auditorías 6

U
C
O

6 Ejecución de las auditorías 9

.D
A

7 Actividades posteriores a la auditoría 10

N
A
U

ANEXO A (INFORMATIVO) Ejemplo de identificación de 12

R
PE

riesgos y oportunidades para usar técnicas de auditoría remota

ÍA

BIBLIOGRAFÍA 16
U
G
E
D
TO
C
YE
O
PR

i
 PRÓLOGO

A. RESEÑA HISTÓRICA

A.1 El presente Proyecto de Guía Peruana fue elaborado por el Comité Técnico
de Normalización de Gestión y aseguramiento de la calidad, mediante el Sistema 2 u

.
A
Ordinario, durante los meses de abril a junio de 2020, siendo aprobado como Proyecto de

C
Guía Peruana, el 04 de junio de 2020.

LI
B
PÚ
A.2 El Comité Técnico de Normalización de Gestión y aseguramiento de la

N
Ó
calidad presentó a la Dirección de Normalización -DN- con fecha 2020-06-07, el

SI
PGP 123:2020 LINEAMIENTOS PARA LA GESTIÓN DE AUDITORÍAS

U
C
REMOTAS, para su revisión y aprobación, previa a la etapa de discusión pública.

IS
D
EN
A.3 El presente Proyecto de Guía Peruana ha sido estructurado de acuerdo con
TO
las Guías Peruanas GP 001:2016 y GP 002:2016.
EN
M
U
C

B. INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIÓN

O

DEL PROYECTO DE NORMA TÉCNICA PERUANA

.D
A
N
A

Secretaría Instituto para la Calidad - Pontificia

U

Universidad Católica del Perú

R
PE
ÍA

Presidente Erasmo Zorrilla Trisano

U
G
E
D

Secretario Oscar Valdizán Aste

TO
C
YE
O
PR

ii
 ENTIDAD REPRESENTANTE

AVANTIA S.A.C. Aldo Sarmiento Carreño

Néstor Zamudio Manchego

BUREAU VERITAS CERTIFICATION Jocelyne Arzich Piña

PERÚ

.
A
CASAL CONSULTORES S.A.C. Sandra Carpio Salinas

C
Zenaida Enciso Acuña

LI
B
PÚ
CÁMARA DE COMERCIO DE LIMA Yusith Vega Odes

N
Ó
CESEL S.A.C. Juan Verástegui Maldonado

SI
U
C
CITE PESQUERO Susan Montero Beramendi

IS
Mónica Espinosa Sánchez

D
EN
CONTROL DE SANEAMIENTO Iván Jerí San Miguel
TO
AMBIENTAL S.A.C.
EN

EIDON CORE S.A.C. Carmen Chávarry Vargas

M
U
C

EQ SOLUTIONS S.A.C. Hebert Zevallos Tejada

O
.D

ICONTEC DEL PERÚ S.R.L. Ennio Peirano Mejía

A
N
A

INTERTEK TESTING SERVICES Vanessa Gonzáles Oberti

U
R
PE

INSTITUTO PARA LA CALIDAD - PUCP Mónica Puertas Vásquez

ÍA

KIENVER S.A. Igor Verona Silva

U
G
E

LAM GROUP S.A.C. Lorena Samaniego Lara

D

Francisco De Velasco Torrelly

TO
C

MINISTERIO DE LA PRODUCCIÓN Julia Canchucaja Ruiz

YE
O

MINISTERIO DE TRABAJO Jéssica López Salcedo

PR

NSF INASSA S.A.C. Marjorie Cueto Castillo

OSINERGMIN Yenny Clavijo Dueñas

Olinda Cóndor Arroyo

PARADIGMA PERÚ S.A.C. Katia Custodio Chaupis

iii
 QUALITY ASSURANCE SERVICES S.A. Guillermo Zevallos Dávila

QUALITAS DEL PERÚ S.A.C. César Rivasplata Lino Montes

QUARA PERÚ S.A.C. Estuardo Castañeda Trevejo

STRATEGIA - CONSULTORES Jaime Vera Saldarriaga

Y PROYECTOS S.A.C.

.
A
TACTICAL SERVICES GROUP América Cárdenas Ontón

C
CONSULTING S.A.C.

LI
B
PÚ
UNIVERSIDAD PERUANA DE CIENCIAS Everth Martell Mateo
APLICADAS

N
Ó
SI
CONSULTOR María Altamirano Echevarría

U
C
IS
CONSULTOR Ricardo Bravo Montenegro

D
EN
CONSULTOR Antonio Carpio Salinas
TO

CONSULTOR Lizbeth Carrasco Benites

EN
M

CONSULTOR Patricia Infante Villanueva

U
C
O

CONSULTOR Minerva Mayorga Silva

.D
A

CONSULTOR Carlos Montoro Yaya

N
A
U

CONSULTOR María Napaico Sandoval

R
PE

CONSULTOR Blasco Núñez Velasco

ÍA
U
G

CONSULTOR Pedro Reátegui Angulo

E
D

CONSULTOR Cecilia Sierra Alcázar

TO
C
YE
O
PR

iv
 INTRODUCCIÓN

La auditoría remota es uno de los métodos de auditoría descritos en el Anexo A1 de la

NTP-ISO 19011:2018. Según dicha norma, las auditorías remotas hacen referencia al uso
de tecnología para recopilar información, entrevistar a un auditado, entre otros, cuando
los métodos “cara a cara” no son posibles o deseables.

.
A
C
El valor de este método de auditoría reside en su potencial para proporcionar flexibilidad

LI
B
para lograr los objetivos de la auditoría. Con el fin de obtener los beneficios de este

PÚ
método de auditoría, todas las partes interesadas pertinentes deberían tomar conciencia
sobre su rol en el proceso, las entradas, las salidas esperadas y los riesgos y oportunidades,

N
Ó
que proporcionarán la base para lograr los objetivos de la auditoría y del programa de

SI
auditoría.

U
C
IS
D
Existe una variedad de razones por las cuales un auditor podría no estar presente en el

EN
sitio de auditoría, por ejemplo, circunstancias que pudieran afectar su integridad física
TO
(manifestaciones, huelgas, entre otros), circunstancias o eventos que prohíben el libre
desplazamiento (epidemia, pandemia, inundaciones u otros desastres naturales, entre
EN

otros).
M
U
C
O

Las nuevas tecnologías de información y comunicación (TIC) han hecho que la auditoría
.D

remota sea más factible. Dado que el acceso a las TIC ha aumentado, la auditoría remota
A

se ha vuelto más utilizada. Esto permite que el auditor se comunique con las personas a
N
A

nivel mundial, accediendo a una amplia gama de información y de datos.

U
R
PE

Estas técnicas transforman la manera en que trabajamos. Las TIC abren la oportunidad
ÍA

de auditar sitios y personas de forma remota, acortando distancias, tiempos y gastos de

U
G

viaje, reduciendo el impacto ambiental asociado a los viajes para realizar una auditoría y
E

adaptando las auditorías a diferentes modelos organizacionales. Las TIC pueden ayudar
D

a incrementar el tamaño o la calidad del muestreo en el proceso de auditoría, cuando se

TO

preparan, validan y utilizan apropiadamente. Este es el caso, por ejemplo, cuando se

C

utilizan cámaras de video, teléfonos inteligentes, tabletas, drones o imágenes satelitales

YE

para verificar configuraciones físicas como la identificación de tuberías en la industria

O

petrolera, configuraciones de maquinaria, áreas de almacenamiento, procesos de

PR

producción o terrenos forestales o agrícolas.

v
 El uso de las TIC también permite la inclusión de pericia en una auditoría que de otra
manera no sería posible debido a restricciones financieras o logísticas. Por ejemplo, la
participación de un experto técnico puede ser necesaria solo para analizar un proyecto
específico durante únicamente dos horas. Con las TIC disponibles, el experto técnico
puede analizar el proceso de forma remota, reduciendo así el tiempo y los gastos
asociados con el viaje.

Sin embargo, debemos considerar las limitaciones y los riesgos que las TIC presentan en

.
A
el cumplimiento de los objetivos de auditoría. Estos incluyen temas de seguridad de la

C
información, protección de datos y asuntos referidos a la confidencialidad, veracidad y

LI
B
calidad de la evidencia objetiva recopilada, entre otros.

PÚ
N
Ó
Pueden surgir las siguientes preguntas:

SI
U
C
IS
- Cuando se observan imágenes, ¿se está viendo imágenes en tiempo real o

D
son grabaciones de video?

EN
TO
- ¿Se puede visualizar todo sobre el sitio remoto o está siendo guiados por
imágenes seleccionadas?
EN
M

- Cuando se planifica una entrevista remota, ¿se contará con una conexión
U
C

estable a Internet y la persona a entrevistar sabe cómo utilizarla?

O
.D

- ¿Los procesos y sitios a auditarse pueden realmente ser auditados fuera del
A

sitio?
N
A
U

- ¿Se puede tener un buen panorama de las instalaciones, equipos,

R
PE

operaciones y controles?
ÍA

- ¿Se puede acceder a toda la información pertinente?

U
G
E
D

Muchas de estas preguntas solo pueden responderse después de una visita al sitio.
TO
C
YE

Para utilizar las TIC en el proceso de auditoría, el responsable del programa de auditoría
O

y el equipo auditor necesitan identificar los riesgos y las oportunidades, y definir los
PR

criterios de decisión para aceptar o no su uso y en qué condiciones.

En esta guía se aborda la auditoría remota considerando los criterios generales para su
planificación, su ejecución y las actividades posteriores a la auditoría. También se
presenta un análisis genérico de riesgos y oportunidades para el uso de algunas TIC, que
puede servir como base para el proceso de toma de decisiones.

vi
 Para auditorías de tercera parte, los organismos de acreditación y organismos de
certificación proporcionan el marco para determinar la elegibilidad de técnicas de
auditoría remota. Para auditorías de primera y de segunda parte, es competencia del
cliente o de la organización auditada determinar la conveniencia de la auditoría remota
de acuerdo con los objetivos de la auditoría. El presente documento aborda estos dos tipos
de auditoría, sin embargo , algunos lineamientos también pueden ser utilizados en
auditorías de tercera parte.

.
A
C
LI
B
PÚ
---oooOooo---

N
Ó
SI
U
C
IS
D
EN
TO
EN
M
U
C
O
.D
A
N
A
U
R
PE
ÍA
U
G
E
D
TO
C
YE
O
PR

vii
 PROYECTO DE GUÍA PGP 123
PERUANA 1 de 16

LINEAMIENTOS PARA LA GESTIÓN DE AUDITORÍAS

REMOTAS

.
A
C
LI
B
1 Objeto y campo de aplicación

PÚ
N
Ó
Este Proyecto de Guía Peruana proporciona lineamientos a considerar para organizar y

SI
ejecutar auditorías remotas de sistemas de gestión, desde que se identifica la necesidad de

U
una auditoría remota en la elaboración del programa de auditorías hasta las actividades

C
IS
posteriores a la auditoría.

D
EN
El Proyecto de Guía Peruana es aplicable a todas las organizaciones que llevan a cabo
TO

auditorías internas, o de primera parte, y auditorías realizadas a sus proveedores externos, o

EN

de segunda parte, sin importar su tipo, tamaño o sistema de gestión implementado.

M
U
C
O

Si bien el presente documento aborda las auditorías de primera y de segunda parte, algunos
.D

lineamientos también pueden ser utilizados en auditorías de tercera parte.

A
N
A
U
R
PE

2 Referencias normativas
ÍA
U
G

Los siguientes documentos a los cuales se hace referencia en el texto constituyen requisitos
E

de este Proyecto de Guía Peruana en parte o en todo su contenido. Para las referencias con
D

fecha, sólo se aplica la edición citada. Para referencias sin fecha se aplica la última edición
TO

del documento.
C
YE
O

NTP-ISO 19011 Directrices para la auditoría de los sistemas de gestión

PR

3 Términos y definiciones

Para los fines de este documento, se aplican los términos y definiciones incluidos en la
NTP-ISO 19011 además de los siguientes:
 PROYECTO DE GUÍA PGP 123
PERUANA 2 de 16

3.1
auditoría remota
auditoría de un sistema de gestión que es posible realizar de manera no presencial[FUENTE:

.
A
IAF ID 12:2015, 3.1, modificada — Se ha adecuado la definición de “evaluación remota” a una auditoría

C
remota.]

LI
B
PÚ
N
4 Criterios generales para las auditorias remotas

Ó
SI
U
C
4.1 Identificación de riesgos y oportunidades

IS
D
EN
La NTP-ISO 19011 establece que las personas responsables del programa de auditorías
TO
deberían asegurar la realización de las auditorías de acuerdo con el programa de auditoría,
EN

gestionando todos los riesgos, oportunidades y cuestiones operacionales (es decir, eventos
M

inesperados), según surjan durante el despliegue del programa. En ese sentido, para alcanzar
U

los objetivos de la auditoría se deberían identificar, evaluar y gestionar los riesgos y

C

oportunidades.
O
.D
A
N

Otro aspecto importante es comprender qué procesos, actividades o sitios de la organización

A
U

pueden auditarse de forma remota con la herramienta de TIC que esté disponible.
R
PE
ÍA

La siguiente tabla enumera los principales aspectos para evaluar la viabilidad y el análisis
U

de riesgos para una auditoría remota. Esta evaluación debería realizarse y documentarse para
G

cada auditoría, involucrando a todos los miembros del equipo auditor y al representante del
E
D

auditado.
TO
C
YE

Cualquier arreglo específico debería documentarse y comunicarse entre las partes

interesadas pertinentes
O
PR

Viabilidad y análisis de riesgos para auditorías remotas

1. Confidencialidad, seguridad y protección de datos (CSPD)
- Asegurar el acuerdo entre el auditor y el auditado sobre los problemas de la CSPD.
- Documentar cualquier arreglo para asegurarlos.
2. Uso de las TIC
- Se cuenta con una conexión estable y buena calidad de conexión en línea.
 PROYECTO DE GUÍA PGP 123
PERUANA 3 de 16

Viabilidad y análisis de riesgos para auditorías remotas

- Las TIC permiten el acceso a información documentada pertinente que incluye
software, bases de datos, registros, entre otros.
- Es posible realizar la autenticación / identificación de personas entrevistadas

.
A
preferiblemente con imagen.

C
- Si la observación de las instalaciones, procesos, actividades, entre otros, es

LI
B
pertinente para lograr los objetivos de la auditoría, es posible acceder a ellos por

PÚ
video.
- El personal que participa de la auditoría tiene competencias sobre el uso de las TIC

N
Ó
a emplear.

SI
3. Personas en la organización

U
C
- Es posible acceder y entrevistar a las personas pertinentes para el sistema de gestión.

IS
4. Operaciones

D
- Si la organización no está operando regularmente debido a situaciones de
EN
contingencia, los procesos / actividades que se realizan son representativos y
TO
permiten el cumplimiento de los objetivos de la auditoría.
5. Complejidad de la organización y tipo de auditoría
EN

- En el caso de organizaciones, procesos o productos y servicios complejos y donde

M

los objetivos del tipo de auditoría requieren una evaluación completa de la norma y
U
C

un muestreo más amplio, se debería realizar un análisis cuidadoso de la viabilidad

O

de auditorías remotas para evaluar completamente la conformidad de la

.D

organización con todos los requisitos.

A
N

6. Validación del análisis de riesgos con el responsable del programa de auditoría

A

- Establecer acciones para eliminar o minimizar los riesgos para la auditoria remota.
U
R

- Obtener la aprobación del auditor líder para la ejecución de la auditoria remota.

PE

7. Conclusiones posibles
ÍA
U

Cumplimiento de objetivos de Acción a tomar

G

auditoría
E
D

Si los objetivos de la auditoría se Proceder a la auditoría remota

TO

pueden alcanzar con la auditoría

remota
C
YE

Si los objetivos de la auditoría se Se puede realizar parcialmente una

O

pueden lograr parcialmente auditoría remota y luego

PR

complementarse con una auditoría

en el sitio
Si los objetivos de la auditoría no se No proceder a la auditoría remota
pueden alcanzar a través de la
auditoría remota
 PROYECTO DE GUÍA PGP 123
PERUANA 4 de 16

Finalmente, al analizar la viabilidad, también se debería considerar la calidad digital de los

datos a revisar. Esto tiene mayor relevancia cuando el auditado aún conserva información
en papel que necesita ser escaneada para revisión remota.

.
A
C
El anexo en este documento proporciona una identificación genérica de riesgos y

LI
B
oportunidades potenciales por tipo de TIC y puede usarse como punto de partida para la

PÚ
determinación de riesgos y oportunidades para el proceso de toma de decisiones. En
cualquier caso, la determinación debería hacerse o revisarse para cada situación. También es

N
Ó
importante recordar que la intención no es diseñar un enfoque complejo, formal y

SI
cuantificado para la determinación de riesgos y oportunidades. La intención es tener la

U
capacidad de identificar las oportunidades y los riesgos, y determinar si los riesgos pueden

C
IS
mitigarse o aceptarse y tomar una decisión fundamentada sobre si se procede con la

D
aplicación de métodos remotos o no.

EN
TO

4.2 Recursos tecnológicos

EN
M
U

4.2.1 Herramientas
C
O
.D
A

Las TIC son el uso de tecnología para recopilar, almacenar, recuperar, procesar, analizar y
N
A

transmitir información. Incluye software y hardware como teléfonos inteligentes,

U

dispositivos portátiles, computadoras portátiles, computadoras de escritorio, drones, cámaras

R
PE

de video, inteligencia artificial y otros. El uso de las TIC puede ser apropiado para la
auditoría tanto presencial como remota. Debería verificarse, previamente al proceso de
ÍA

auditoría, que las herramientas de TIC utilizadas por el equipo auditor y por los auditados
U
G

sean compatibles y permitan una comunicación eficaz entre las partes.

E
D
TO

Ejemplos del uso de las TIC durante las auditorías remotas pueden incluir, pero no limitarse
C

a:
YE
O
PR

- Reuniones mediante instalaciones de teleconferencia, que incluyen audio,

video y compartir información.

- Auditoría de documentos y registros mediante acceso remoto, ya sea

sincrónicamente (en tiempo real) o, cuando corresponda, asincrónicamente.

- Grabación de información y evidencia por medio de grabaciones video o

audio.
 PROYECTO DE GUÍA PGP 123
PERUANA 5 de 16

- Proporcionar acceso visual y de audio a ubicaciones remotas o

potencialmente peligrosas

.
A
C
4.2.2 Viabilidad

LI
B
PÚ
El uso de las TIC para la auditoría remota solo tendrá́ éxito si se cumplen las condiciones

N
Ó
adecuadas. Las fundamentales son que la tecnología está disponible y que tanto los auditores

SI
como los auditados sean competentes y se sienten cómodos con su funcionamiento. Esto

U
debería evaluarse antes de la decisión de utilizar técnicas remotas. Esta preparación

C
IS
contribuye a optimizar el proceso de auditoría.

D
Hay dos escenarios generales: EN
TO
EN
M

- auditoría remota en el sitio: el auditor está en los sitios de la organización y

U

está auditando personas, actividades o procesos que están fuera del sitio; y
C
O
.D

- auditoría remota fuera del sitio: el auditor no está en la organización y las

A

personas y los procesos están ubicados en las instalaciones del cliente o en

N
A

otra ubicación (como una instalación fuera del sitio).

U
R
PE

El primer paso para asegurar la viabilidad es determinar qué TIC se tiene disponible como
ÍA

recurso y si los auditores y auditados tienen las competencias para el uso de las TIC a utilizar.
U
G
E
D

La viabilidad también depende de la calidad de la conexión en línea. Un insuficiente ancho

TO

de banda o una capacidad de hardware limitada pueden ralentizar el proceso hasta el punto
C

de la ineficiencia. El proceso de auditoría puede verse afectado por la velocidad a la que el

YE

auditado accede y muestra la evidencia por video a través de una tableta o computadora
O
PR

4.2.3 Confidencialidad, seguridad y protección de datos (CSPD)

Los asuntos sobre confidencialidad y seguridad, así́ como la protección de datos, son un
factor crítico para el uso de las TIC. El cliente de la auditoría y el auditado deberían tener en
cuenta los requisitos legales y reglamentarios u otros requisitos que pueden requerir acuerdos
adicionales de ambas partes (por ejemplo, no habrá́ grabación de sonido e imágenes, ni
 PROYECTO DE GUÍA PGP 123
PERUANA 6 de 16

autorizaciones para usar las imágenes de las personas). Cuando lo establezca la legislación
nacional, el responsable de la protección de datos de ambas partes debería participar en la
evaluación de estos asuntos. En algunas situaciones, los requisitos de seguridad no
permitirán el uso de las TIC.

.
A
C
LI
B
La evidencia de los acuerdos relacionados con la CSPD debería estar disponible. Esta

PÚ
evidencia podría ser registros, procedimientos acordados o correos electrónicos. La
importancia reside en que estos criterios de la CSPD sean reconocidos por todos los

N
Ó
participantes.

SI
U
C
IS
Es una buena práctica que, cuando la información documentada se analice de forma

D
asincrónica, se comparta en un sistema seguro y acordado, como la nube, la red privada

EN
virtual u otros sistemas de intercambio de archivos, utilizando las directrices acordadas
previamente para la CSPD.
TO
EN
M

Los auditores no deberían realizar capturas de pantalla de los auditados como evidencia de
U

auditoría. Cualquier captura de pantalla de documentos, registros u otro tipo de evidencia

C
O

debería ser previamente autorizada por el auditado.

.D
A
N
A

4.3 Competencias del equipo auditor

U
R
PE

En adición a los conocimientos y habilidades establecidos para el equipo auditor, se debería

ÍA

contemplar que éste tenga la habilidad en el manejo de las TIC que se utilicen para realizar
U
G

auditorías remotas ya de manera sincrónica o asincrónica. Entre los aspectos que podrían
E

considerarse en el manejo de las TICs se encuentran las siguientes:

D
TO
C

- Identificación de riesgos que puedan presentarse durante la ejecución de la

YE

auditoria remota.
O
PR

- Comunicación interactiva virtual que facilite la revisión de registros, análisis

de datos, considerando los requisitos del sistema de gestión que se audita,
incluido los requisitos legales y reglamentarios.

- Confirmación de ubicaciones físicas mediante el uso de planos u otros

mecanismos de ubicación remota para referencia.

- Resolución de problemas técnicos básicos en el uso de las TIC.

 PROYECTO DE GUÍA PGP 123
PERUANA 7 de 16

Si se considera necesario, también podría contemplarse que el equipo auditor tenga las
habilidades en el manejo de drones u otros dispositivos relacionados con las TIC.

.
A
C
LI
B
PÚ
5 Planificación de las auditorías

N
Ó
SI
U
La planificación requiere que se considere cuidadosamente lo siguiente:

C
IS
D
EN
- identificar la zona horaria para coordinar tiempos de convocatoria razonables
y mutuamente aceptables; y
TO
EN

- facilitar la organización y permitir un uso más flexible del tiempo por parte
M

del equipo de auditoría.

U
C
O
.D

La planificación de la auditoría, al menos en las primeras auditorías, tomará más tiempo por
A

las siguientes razones:

N
A
U
R

- para evaluar y documentar la viabilidad y los riesgos con el auditado;

PE
ÍA

- para determinar las diferentes TIC utilizadas y cómo se utilizarán;

U
G

- para brindar accesos al equipo auditor, de ser requerido;

E
D

- para definir la agenda que puede necesitar ajustar disposiciones de manera

TO

diferente que para una auditoría in situ (por ejemplo, una mejor definición de
C

las tareas por parte de diferentes miembros del equipo de la organización para
YE

asegurar que los auditores auditen por separado y hagan el mejor uso del
O
PR

tiempo, una definición más detallada de los temas que se manejarán en

diferentes horarios que requerirán una mejor comprensión previa de los
procesos de la organización, entre otros.);

- para permitir que la organización identifique a las personas que serán

auditadas y asegurar su disponibilidad en el momento definido;

- para realizar una prueba del uso de las TIC antes de la auditoría para
confirmar que se cuenta con una conexión estable, que las personas conocen
 PROYECTO DE GUÍA PGP 123
PERUANA 8 de 16

cómo usar la tecnología y que existe compatibilidad de las plataformas entre

los auditados y el equipo auditor.

.
A
Las conclusiones, después de analizar los riesgos y las oportunidades, proporcionan la base

C
para definir qué procesos se auditarán bajo qué TIC.

LI
B
PÚ
El auditor líder debería confirmar con la organización la viabilidad del método de auditoría
remota propuesto en el programa, basado en las TIC requeridas y su conocimiento por parte

N
de la organización. Esto incluye la verificación de que las personas involucradas conocerán

Ó
SI
cómo utilizar la herramienta. El auditor revisa los riesgos y las oportunidades determinadas

U
a la luz de esta auditoría específica y sus objetivos, y puede proponer cambios en el uso de

C
IS
las TIC que se hayan determinado. En caso de que se detecte una situación de alto riesgo, la

D
auditoría debería realizarse in situ. Todas las demás situaciones potenciales deberían

EN
abordarse mediante medidas apropiadas que se reflejen, según sea necesario, en el plan de
auditoría. A pesar de utilizar métodos de auditoría remota, debería mantenerse la confianza
TO
de que se alcanzarán los objetivos de auditoría deseados.
EN
M
U

El plan de auditoría debería identificar claramente qué, cuándo y cómo se llevará a cabo la
C

auditoría.
O
.D
A

Ejemplos de interacción remota para diferentes actividades de auditoría.

N
A
U
R
PE
ÍA
U
G
E
D
TO
C
YE
O
PR
 PROYECTO DE GUÍA PGP 123
PERUANA 9 de 16

Actividades de auditoria Interacción remota

1. Actividades de auditoría Llamada telefónica, videoconferencia,
a. Reuniones de apertura y cierre con reunión web
personas de diferentes sitios.

.
A
b. Revisión del plan de auditoría en

C
diferentes etapas de la auditoría.

LI
B
c. Informe de conclusiones intermedias

PÚ
d. Reuniones intermedias del equipo auditor

N
2. Procesos / actividades / personas de la Videoconferencia con pantalla

Ó
organización compartida.

SI
a. Personas que trabajan desde casa o fuera Imágenes de video en tiempo real

U
C
del sitio obtenidas con drones, cámaras de

IS
b. Procesos o actividades donde el objeto de video móviles o fijas.

D
auditoría es principalmente la revisión de Acceso a monitoreo por video de sitios

EN
documentos e información explicativa
TO
obtenida a través de entrevistas, tales
como compras, recursos humanos /
EN

formación, procesos comerciales, diseño

M

y desarrollo. Muchas de estas actividades

U
C

son realizadas por servicios compartidos.

O

c. Infraestructura que tiene una amplia

.D

gama territorial, como el transporte de

A

agua o energía.
N
A

3. Situaciones particulares Videoconferencia, imágenes en tiempo

U

a. Participación de expertos. real, pantalla compartida, revisión

R
PE

asincrónica de documentos y datos

6 Ejecución de las auditorías
ÍA
U
G
E

Al revisar el plan de auditoría en la reunión de apertura, se debería confirmar la

D

disponibilidad y la viabilidad del uso de las TIC. También deberían revisarse y acordarse las
TO

medidas para asegurar la confidencialidad y la seguridad. Si el auditor tiene la intención de

C

tomar capturas de pantalla de documentos u otro tipo de registros, debería pedir permiso, ya
YE

sea en la reunión de apertura o cuando use las TIC.

O
PR

Cuando se utilicen las TIC para entrevistar a las personas, el equipo auditor debería registrar
el nombre y la función de las personas entrevistadas e indicarles qué información se está
conservando. Al realizar entrevistas de forma remota, el auditor necesita verificar las
declaraciones de hechos con otras evidencias, estos deberían ser solicitados y analizados por
el auditor. Si éstas se envían por correo electrónico, el auditor debería asegurar el nivel de
confidencialidad requerido para esos documentos.
 PROYECTO DE GUÍA PGP 123
PERUANA 10 de 16

También es importante asegurarse de que no haya ruido que perturbe la comunicación. Si el

auditor está auditando remotamente fuera del sitio, debería asegurarse de que no haya
interrupciones ni perturbaciones. Del mismo modo, si se realizan pausas, debería asegurarse
de que el sonido esté en silencio y la imagen apagada para asegurar la privacidad.

.
A
C
LI
B
Cuando se utilicen videos para ver imágenes en vivo en línea de sitios remotos, es importante

PÚ
que la organización demuestre la veracidad de las imágenes. Si se observan imágenes de una
instalación, éstas se pueden comparar con los planos de planta, las imágenes de un sitio

N
Ó
geográfico que se observan se pueden comparar con las imágenes satelitales disponibles o

SI
la información disponible de los Sistemas de Información Geográfica. Se deberían registrar

U
las evidencias y la forma en que se recopilaron.

C
IS
D
EN
En una auditoría remota es importante permitir pequeños descansos, típicos de aquellos que
generalmente ocurren de manera no planificada en una auditoría in situ. Estar sentado y usar
TO

la pantalla continuamente puede ser agotador. Permitir pequeños intervalos para estirar las
EN

piernas y reducir la fatiga visual ayuda a mejorar la atención al recibir retroalimentación.

M
U
C
O

También es aceptable que el auditor informe al auditado cuando se requiere una interrupción
.D

para leer y analizar la información que se ha proporcionado. Esto permite una mayor
A

comprensión de la documentación y las evidencias que se han presentado y la determinación

N
A

de preguntas adicionales antes de volver a convocar la entrevista.

U
R
PE
ÍA
U
G
E
D
TO
C
YE
O
PR
 PROYECTO DE GUÍA PGP 123
PERUANA 11 de 16

Si se consume tiempo en problemas tales como inactividad de la red, interrupciones o

demoras inesperadas, problemas de accesibilidad u otros desafíos de las TIC, este tiempo no
debería contarse como parte de la auditoría. Se deberían establecer disposiciones para
asegurar o recuperar el tiempo de auditoría.

.
A
C
LI
B
PÚ
7 Actividades posteriores a la auditoría

N
Ó
SI
El informe de auditoría debería indicar claramente detalles sobre:

U
C
IS
D
- los métodos de auditoría remota utilizados;

- el alcance del uso de las TIC; EN

TO
EN

- la eficacia del uso de las TIC para lograr los objetivos de la auditoría; y
M
U

- los elementos de la auditoría remota que no permitieron alcanzar los objetivos

C
O

de la auditoría, de ser el caso.

.D
A
N
A

El informe debería indicar los procesos que no pudieron ser auditados de manera remota y
U

que deberían ser auditados en el sitio. Esta información es importante para el proceso de
R
PE

decisión y las auditorías posteriores.

ÍA
U
G

La retroalimentación del equipo auditor con respecto al uso de las TIC debería entregarse al
E

responsable del programa de auditoría. Teniendo en cuenta la retroalimentación del equipo

D

auditor con respecto al uso de las TIC, la eficacia de su uso para lograr los objetivos de la
TO

auditoría, los elementos que no permitieron alcanzar los objetivos de la auditoría de ser el
C

caso y otra información pertinente, el responsable del programa de auditoría debería

YE

actualizar los riesgos y oportunidades relacionadas con el proceso de auditoría y asegurar

O

que estos se gestionen.

PR

El equipo auditor debería conservar o eliminar la información documentada relativa a la

auditoría en formato electrónico según los acuerdos previos realizados con el cliente de
auditoria o con el auditado. En caso de conservar información y otros datos obtenidos de
manera remota y que suelen estar en formatos electrónicos, se debería implementar
mecanismos de ciberseguridad que permitan asegurar la integridad y confiabilidad de estos.
 PROYECTO DE GUÍA PGP 123
PERUANA 12 de 16

Si el programa de auditoría contempla la evaluación del desempeño del equipo auditor, dicha
evaluación debería contemplar las habilidades del equipo auditor en el uso de TIC

.
A
C
LI
B
PÚ
N
Ó
SI
U
C
IS
D
EN
TO
EN
M
U
C
O
.D
A
N
A
U
R
PE
ÍA
U
G
E
D
TO
C
YE
O
PR
 PROYECTO DE GUÍA PGP 123
PERUANA 13 de 16

ANEXO A
(INFORMATIVO)

.
Ejemplo de identificación de riesgos y oportunidades para

A
C
LI
usar técnicas de auditoría remota

B
PÚ
N
Ó
SI
Tecnología de la

U
información y la
Uso potencial Riesgos Oportunidades

C
comunicación

IS
(TIC)

D
 Violaciones de  Entrevista con personal
seguridad y
EN pertinente que trabaja
TO
confidencialidad. de forma remota, por
 Diferencias en zonas
EN

ejemplo, oficina en
horarias. casa, equipos de
M

 Autenticación de la proyecto en diseño y

U
C

persona. desarrollo.
O

 Realizar  Baja calidad de  Reunión de apertura y

.D

entrevistas. comunicación. de cierre en auditorías

A

 La posibilidad de multisitio.
N

 Sitio o actividades
A

 Visitas observar la organización

U

guiadas al remotas donde la

R

de una manera más

PE

sitio. autónoma y libre se observación física no es

debilita ya que el auditor crítica.
ÍA

no ordena a la cámara.  Reducción de tiempo o

U

Videollamada
 La posibilidad de
G

costos de viaje e
(sincrónica)
E

observar reacciones de impactos ambientales

D

varios auditados a la asociados.

TO

comunicación puede ser  Mayor rango

C

más débil. geográfico.

YE

 Violaciones de  Revisiones de
O

seguridad y documentos donde el

PR

confidencialidad. viaje al sitio no es

 Revisión  Posible dificultad para
documentaria responder a solicitudes
con de documentación.
participación  Aumento del tiempo
del auditado. requerido (proceso
potencialmente lento).
 Posible manipulación de
datos.
factible, por ejemplo,
auditorías donde la
visita al sitio no es
crítica para el logro de
objetivos y existen
limitaciones de tiempo
/ viaje.
 PROYECTO DE GUÍA PGP 123
PERUANA 14 de 16

Tecnología de la
información y la
Uso potencial Riesgos Oportunidades
comunicación
(TIC)

.
 La interacción con los  Multisitio - propicio

A
C
auditados puede para sitios remotos

LI
B
debilitarse. donde se puede omitir

PÚ
 Disminución de la la visita al sitio, o
calidad de la donde las visitas

N
Ó
información recopilada periódicas dentro del

SI
programa de auditoría

U
no son necesarias, pero

C
se necesita algún

IS
D
seguimiento.
 Reducción de tiempo o
EN costos de viaje e
TO
impactos ambientales
EN

asociados.
 Garantía de  Mejor conocimiento de
M
U

autenticidad. la organización,
C

 Necesidad de desarrollar aplicable en la etapa de

O
.D

previamente la lista de preparación de la

verificación y auditoría.
A

 Permite preparar el
N

posiblemente preparar al
 Completar
A

Encuestas, encuestado para trabajo de auditoría,

U

listas de
R

aplicaciones responderlas, lo que que debería verificarse

verificación y
PE

informáticas aumenta los costos. durante la auditoría

cuestionarios.
mediante la
ÍA

recopilación de otra
U
G

evidencia.
E

Permite a la
D

organización prepararse
TO

para la visita in situ.

C

 Seguridad y  Facilita la organización

YE

confidencialidad. y permite un uso más

O

Revisión de  Dificultad en la flexible del tiempo por

 Visualización
PR

documentos y visualización de parte del equipo

de registros, auditor.
datos documentos (por
procedimient
(asincrónica) ejemplo, acceso remoto  Permite una mejor, más
os, flujos de
(por ejemplo, y navegación en el sitio independiente y más
trabajo,
revisión de web de la organización). profunda exploración
monitores,
documentos
entre otros.  Mayor tiempo requerido de la información del
web) (proceso potencialmente auditado.
lento).  Posibilidad de integrar
personal con pericia
 PROYECTO DE GUÍA PGP 123
PERUANA 15 de 16

Tecnología de la
información y la
Uso potencial Riesgos Oportunidades
comunicación
(TIC)

.
 Posible manipulación de

A
que no podría viajar al

C
datos. sitio.

LI
 La falta de interacción  Proporciona una buena

B
PÚ
con los auditados no base para comprender
permite aclarar los el sistema de gestión de

N
Ó
problemas. la organización y

SI
Transparencia: el potencialmente

U
auditado pierde la proporciona rutas de

C
auditoría que el auditor

IS
percepción de lo que se

D
está auditando y de la puede utilizar durante

EN
muestra. las entrevistas.
 Riesgos inherentes al  Fácil seguimiento de
TO
uso y presencia de tareas de alto riesgo.
EN

equipos; por ejemplo,  Aumento de muestreo.

caída de drones, uso de 
M

 Seguimiento Ideal para actividades

U

equipos, condiciones de auditoría donde los

C

de trabajos
climáticas requisitos de seguridad
O

remotos o de
.D

desfavorables. no permiten la
alto riesgo.
 Pobre calidad de presencia del equipo
A

 Visita guiada
N

Video imagen. auditor, o para observar

al sitio.
A

(sincrónico)  Apreciación parcial del lugares e instalaciones

U

 Capacidad
R

(por ejemplo: sitio, equipo y donde la relación

para ver
PE

dron, transmisión condiciones. tiempo de viaje versus

procesos u
en vivo)  Veracidad de los datos. tiempo de auditoría es
ÍA

operaciones
alta.
U

de alto riesgo.
G

 Propicio para
 Testificación
E

complementar las
D

de procesos
visitas de campo en
TO

en ejecución.
actividades al aire libre
C

(por ejemplo, sitios

YE

forestales y agrícolas,
O

minería).
PR

Video  Seguridad y  Mejor utilización del

 Seguimiento
(asíncrono) confidencialidad. tiempo (posibilidad de
de actividades
(por ejemplo:
que no están  Pobre calidad de seleccionar solo los
cámara de imagen. momentos de interés
en curso en el
vigilancia,
momento de  Apreciación parcial del del video).
grabaciones de sitio, equipo y  Posibilidad de observar
la auditoría.
video tomadas condiciones. lugares, instalaciones
 Procesar
deliberadamente
videos.  Veracidad de los datos. de difícil acceso y
para auditoría) mejorar el muestreo.
 PROYECTO DE GUÍA PGP 123
PERUANA 16 de 16

Tecnología de la
información y la
Uso potencial Riesgos Oportunidades
comunicación
(TIC)

.
 Grabaciones  Si el registro

A
C
de voz del electrónico contiene

LI
B
centro de datos confidenciales

PÚ
atención que los criterios de la
telefónica CSPD consideran no

N
Ó
(call center). elegibles para la

SI
 Seminarios auditoría remota, el

U
web de auditor debería

C
considerar reasignar

IS
entrenamient

D
o grabados. esa revisión de

EN
registros para la
auditoría in situ.
TO
EN
M
U
C
O
.D
A
N
A
U
R
PE
ÍA
U
G
E
D
TO
C
YE
O
PR
 PROYECTO DE GUÍA PGP 123
PERUANA 17 de 16

BIBLIOGRAFÍA

.
A
[1] ISO – IAF: ISO 9001 Auditing Practices Group - Guidance on remote audits, Ed. 01

C
LI
B
[2] IAF ID 12:2015 - Principles on Remote Assessment

PÚ
[3] IAF MD 4:2018 - IAF mandatory document for the use of information and

N
Ó
communication technology (ICT) for auditing/assessment purposes

SI
U
[4] NTP-ISO 19011:2018 - Directrices para la auditoría de los sistemas de gestión

C
IS
D
EN
TO
EN
M
U
C
O
.D
A
N
A
U
R
PE
ÍA
U
G
E
D
TO
C
YE
O
PR