4.

PRINCIPIOS DE EVALUACIÓN PARA UNA AUDITORÍA REMOTA

4.1 VIABILIDAD Y ANÁLISIS DE RIESGO DE LA ORGANIZACIÓN

Según la IAF MD4(2018), como parte del requisito del proceso de viabilidad de la auditoría
remota en la organización, el ente certificador debe identificar y documentar los riesgos y
las oportunidades que pueden afectar la eficacia de la auditoría / evaluación para cada uso
de las TIC en las mismas condiciones, incluida la selección de las tecnologías y cómo se
gestionan. Tomando en cuenta lo mencionado, se estimarán aspectos que permitirán evaluar
la viabilidad y el análisis de riesgo para una auditoría en remoto. Esta evaluación debe
realizarse y documentarse para cada auditoría involucrando a todos los miembros del
equipo auditor y a un representante de la organización auditada.

a) Confidencialidad de la seguridad y protección de datos

 Asegurar el control de la información mediante la existencia documentada de un
acuerdo entre el ente de certificación y la organización.
b) Recursos de las TIC
 Buena intensidad y estabilidad de la señal de Wi-Fi
 Existe la posibilidad de auditar los procesos y sitios de manera realista fuera del sitio
con una videocámara, en caso sea relevante.
 Posibilidad de acceder a toda la información documentada relevante bajo el uso de las
TIC.
 Equipos a emplear (cámaras, computador, drones, etc) en funcionamiento adecuado
 Disponibilidad de personal de soporte en sistemas
 Capacidad tecnológica del personal en cada uno de los sitios
c) Personal de la organización
 Identificar y entrevistar al personal relevante de la organización en su totalidad
d) Operaciones
 Si la organización no está en funcionamiento, debido a situaciones de contingencia, los
procesos/actividades que se estén llevando a cabo son representativos y permite el
cumplimiento de los objetivos de la auditoría.
 e) Complejidad de la organización y tipo de auditoría
 En caso de organizaciones, procesos, productos o servicios complejos y donde los
objetivos de la auditoría requieran una auditoría completa de la norma y un muestreo
más amplio (ej., auditoría inicial o reevaluación), se debería realizar un análisis
detallado de la viabilidad de realizar auditorías en remoto que evalúen completamente a
la organización conforme a todos los requisitos necesarios.
f) Validar el análisis de riesgos con el responsable del programa de auditoria
 Establecer acciones para mitigar los riesgos en la auditoria remota.
 Obtener la aprobación del auditor líder para proceder con la ejecución de la auditoria
remota.
g) Conclusiones posibles

Analizando correctamente las variables, se busca conocer cuáles son los límites del
sistema para que podamos recopilar evidencia de las personas, procesos y tecnologías
apropiados. Los enfoques de la auditoría remota que pueden abordarse, habiendo ya
evaluado las variables del análisis de riesgo en la organización, podría ser dada en dos
fases para que de esa forma la evaluación sea más flexible. Tomando en cuenta lo
mencionado, se puede aplicar uno de los dos siguientes enfoques:

Auditoría remota: El Auditor Líder o el Equipo de Auditoría está fuera del sitio y
audita de forma remota una o más de sus ubicaciones utilizando plataformas TIC en un
enfoque de dos fases. La Fase 1 cubriría revisión exhaustiva de los procesos de gestión
(datos, documentos y registros) y soporte; y la Fase 2 cubriría los procesos de control
operativo. Estas fases pueden ser dos eventos separados que permitan la máxima
flexibilidad.

Auditoría parcialmente remota: Igual que el Enfoque (1); sin embargo, la Fase 2
puede llevarse a cabo en el lugar si lo considera necesario o por solicitud suya. Este
enfoque puede funcionar de manera más efectiva para sitios altamente complejos con
amplios controles operativos.

4.2 RECURSOS TECNOLOGICOS

Herramientas
Las TIC son el uso de la tecnología para recopilar, almacenar, recuperar, procesar, analizar
y transmitir información. Incluye software y hardware como teléfonos inteligentes,
dispositivos portátiles, computadoras portátiles, computadoras de escritorio, drones,
cámaras de video, tecnología portátil, inteligencia artificial y otros. El uso de las TIC puede
ser apropiado para la auditoría / evaluación tanto local como remota.

Los ejemplos del uso de las TIC durante las auditorías / evaluaciones pueden incluir, entre
otros:

 Reuniones; por medio de instalaciones de teleconferencia, que incluyen audio, video

e intercambio de datos.
 Auditoría / evaluación de documentos y registros mediante acceso remoto, ya sea de
forma sincrónica (en tiempo real) o asíncrona (cuando corresponda).
 Grabación de información y evidencia mediante grabaciones de video, video o
audio.
 Proporcionar acceso visual / de audio a ubicaciones remotas o potencialmente
peligrosas.
Influencia de las TIC en la viabilidad:

El uso de las TIC para auditorías en remoto solamente tendrá éxito si se dan las condiciones
adecuadas para ello. Lo fundamental es que se disponga de la tecnología y que ambos, los
auditores y auditados sepan cómo utilizar las TIC. Todo esto se debería evaluar
previamente a decidir sobre la utilización de TICs, de forma que esta preparación
contribuya a optimizar el proceso de auditoría.

Hay dos escenarios generales:

- auditoría remota en el sitio: el auditor está en los sitios de la organización y está auditando
personas, actividades o procesos que están fuera del sitio; y

- auditoría remota fuera del sitio: el auditor no está en la organización y las personas y los
procesos están ubicados en las instalaciones del cliente o en otra ubicación (como una
instalación fuera del sitio).
El primer paso para asegurar la viabilidad es determinar qué TIC se tiene disponible como
recurso y si los auditores y auditados tienen las competencias para el uso de las TIC a
utilizar.
La viabilidad también depende de la calidad de la conexión en línea. Un insuficiente ancho
de banda o una capacidad de hardware limitada pueden ralentizar el proceso hasta el punto
de la ineficiencia. El proceso de auditoría puede verse afectado por la velocidad a la que el
auditado accede y muestra la evidencia por video a través de una tableta o computadora.

Confidencialidad, seguridad y protección de datos (CSPD)

Los aspectos relacionados con la confidencialidad, seguridad de la información y

protección de datos son críticos con el uso de las TIC. El ente certificador y la organización
auditada deberían tener en consideración la legislación y normativa que pueda requerir la
necesidad de establecer acuerdos adicionales por ambas partes (ej. no se grabarán imágenes
o sonido, o autorizaciones para utilizar las imágenes de personas), y posiblemente del
propio auditado.

El uso de las TIC para fines de auditoría se acordará mutuamente entre el organismo que se
audita y el organismo que realiza la auditoría de acuerdo con las medidas y regulaciones de
seguridad de la información y protección de datos antes de que las TIC se utilicen para
fines de auditoría.

Las medidas para garantizar la confidencialidad y la seguridad deben confirmarse durante

la reunión de apertura.
El equipo de auditoría debe evitar el acceso y la retención de más información
documentada de lo que lo haría en una auditoría normal cara a cara. Es probable que el
equipo de auditoría quiera tener acceso a más información para prepararse para la auditoría,
o tener la capacidad de analizar información documentada de forma asincrónica. Sin
embargo, es importante reforzar la confianza en el proceso de auditoría.
Es una buena práctica que, cuando la información documentada se analice de forma
asíncronica, se comparta en un sistema seguro y acordado, como una red privada virtual
basada en la nube u otros sistemas de intercambio de archivos, utilizando las directrices de
la CSPD. Una vez que la auditoría es completada, el auditor debe eliminar de su sistema o
eliminar el acceso a cualquier información documentada y registros que no requieren ser
retenidos como evidencia objetiva. En caso de incumplimiento de estas medidas o
incumplimiento de las medidas de seguridad de la información y protección de datos, el
organismo que realiza las actividades de auditoría utilizará otros métodos para realizar la
auditoría.

Competencias del equipo auditor:

 El auditor / evaluador debe ser consciente de los riesgos y oportunidades de las
tecnologías de la información y comunicación utilizadas y los impactos que puedan
tener sobre la validez y objetividad de la información recopilada. Ello adquiriendo
conocimiento de la organización a evaluar durante las diversas auditorías del ciclo
de auditoría con respecto a sus procesos, actividades, grado de digitalización, TIC
disponibles para su uso, criticidad de los sitios, resultados de auditorías internas,
actividades remotas y personas.
 El auditor debe determinar y comunicar la madurez del sistema de gestión y qué
registros y pruebas se pueden evaluar de forma remota y cuáles deben observarse en
el sitio. El programa de auditoría puede revisarse para ajustar el uso de las TIC con
el objetivo de optimizar el proceso de auditoría.
 Capacidad de poder dar el soporte ante problemas técnicos de las TIC.
 El auditor debe dar retroalimentación sobre el uso de estas técnicas al final de la
auditoría indicando los cambios que deben realizarse, tales como nuevos procesos,
sitios o funciones que se incluirán o retirarán. Se debe comunicar información sobre
las mejores y / o técnicas disponibles.