Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Edición 1
Fecha: 2020-04-15
INTRODUCCION ………………………………………………………………………………………………………………………… 03
INFORMACIÓN GENERAL SOBRE ISO 19011:2018 Y IAF MD 4 ……………………………………………………. 04
RECOMENDACIONES GENERALES PARA AUDITORÍA REMOTA …………………………………………………… 05
PROGRAMA DE AUDITORÍA ………………………………………………………………………………………………………. 05
PLANIFICACIÓN DE AUDITORÍA ………………………………………………………………………………………… 09
REALIZACIÓN DE AUDITORÍA ……………………………………………………………………………………………… 10
CONCLUSIÓN DE LA AUDITORÍA ………………………………………………………………………………………… 11
Anexo: Ejemplo de identificación de riesgos y oportunidades para usar técnicas de auditoría remota
……………………………………………………………………………………………………………………………………… 12
INTRODUCCIÓN
La auditoría remota es uno de los métodos de auditoria descritos en la Norma ISO 19011:2018, Anexo 1. El valor
de este método de auditoria reside en su potencial de proveer flexibilidad para cumplir los objetivos de la auditoria.
Para obtener los beneficios de este método de auditoria, todas las partes interesadas deberían estar conscientes
de su rol en el proceso, los insumos, los resultados esperadas, y los riesgos y oportunidades que proporcionan la
base para cumplir la auditoria y los objetivos del programa de auditoria.
Existe una variedad de razones por la cuales un auditor no puede estar presente debido a restricciones de
seguridad, pandemias o restricciones de viaje. El encierro voluntario u obligatorio, la puesta en marcha de la
instalación de andamios de molinos de viento, pruebas de explosivos y otros escenarios son todos ejemplos en
los cuales la auditoria remota es beneficiosa.
Las nuevas tecnologías de la información y la comunicación (TIC) han hecho que la auditoría remota sea más
factible. A medida que el acceso a las TIC ha aumentado, la auditoría remota se ha vuelto más utilizada. Esto
permite que el auditor se comunique con las personas a nivel global, accediendo a una amplia gama de información
y datos.
Estas técnicas transforman la forma en que trabajamos. Estas TIC abren la oportunidad de auditar sitios y personas
de forma remota, acortando distancias, tiempos de viaje y costos, reduciendo los impactos ambientales asociado
con viajes de auditoría, adaptando auditorías a diferentes modelos organizacionales. Las TIC pueden ayudar a
aumentar el tamaño o la calidad del muestreo en el proceso de auditoría, cuando está preparado, validado y
empleado correctamente. Este es el caso, por ejemplo, cuando se usan cámaras de video, teléfonos inteligentes,
tabletas, drones o imágenes satelitales para verificar configuraciones físicas como la identificación de tuberías en
la industria petrolera, ajustes de maquinaria, áreas de almacenamiento, procesos de producción o sitios forestales
o agrícolas.
El uso de las TIC también permite la inclusión de la experiencia en una auditoría que de otra manera no podría ser
posible debido a limitaciones financieras o logísticas. Por ejemplo, la participación de un experto técnico, solo
puede ser necesario para analizar un proyecto específico durante solo dos horas. Con las TIC disponibles el
experto técnico puede analizar el proceso de forma remota, reduciendo así el tiempo y los costos asociados con
el viaje.
• Cuando miramos imágenes, ¿estamos viendo imágenes en tiempo real o estamos viendo grabaciones de
video?
• ¿Podemos capturar todo sobre el sitio remoto o estamos siendo guiados por imágenes seleccionadas?
• Cuando se planifique una entrevista remota, ¿habrá una conexión a Internet estable y la persona a ser
entrevistada sabe cómo usarla?
• ¿Pueden los procesos y sitios a ser auditados ser auditados de manera realista fuera del sitio?
• ¿Puede tener una buena visión general de las instalaciones, equipos, operaciones, controles?
• ¿Se puede acceder a toda la información relevante?
Muchas de estas preguntas solo pueden responderse después de una visita al sitio.
Para utilizar las TIC en el proceso de auditoría, el gerente del programa de auditoría y el equipo de auditoría, deben
identificar los riesgos y las oportunidades y definir los criterios de decisión para aceptar o no su uso, dónde y en
qué condiciones.
En este documento abordamos la auditoría remota desde el establecimiento del programa de auditoría, pasando
a la planificación de la auditoría y la realización de la auditoría. Señalamos algunas buenas y malas prácticas en
su uso y compartimos algunos ejemplos. Presentamos un análisis genérico de riesgo y oportunidad para el uso de
algunas TIC, que puede servir como base para el proceso de toma de decisiones.
De acuerdo con la Norma ISO 19011:2018, la viabilidad de una auditoría remota utilizando TIC debería
considerarse al establecer el programa de auditoría. Es importante verificar la idoneidad de los recursos necesarios
para garantizar un resultado de una auditoría efectiva. En su anexo A.1, de la ISO 19011 ofrece varios ejemplos
para la aplicación de métodos de auditoría remota en combinación con métodos in situ.
"Las auditorías remotas se refieren al uso de las TIC para recopilar información, entrevistar a un auditado, etc.,
cuando los métodos" cara a cara "no son posibles o deseados. (ISO 19011)
La Guía IAF MD 4 es un documento obligatorio para el uso de las TIC con fines de auditoría/evaluación. Define
las reglas que los organismos de certificación y sus auditores deben seguir para garantizar que las TIC se utilicen
para optimizar la eficiencia y la eficacia de la auditoría/evaluación, al tiempo que respaldan y mantienen la
integridad del proceso de auditoría.
© ISO & IAF 2020 – All rights reserved
"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 4 of 14
ISO/TC176/AHG/APG/N 23
Tanto la Norma ISO 19011 como la Guía IAF MD 4 deberían ser conocidas y consideradas por los auditores.
Una aclaratoria importante hecha en la ISO 19011, anexo A.16 es entre auditorías remotas y auditorías de
ubicaciones virtuales. "La auditoría de una ubicación virtual a veces se denomina auditoría virtual".
La auditoría virtual es un conjunto de actividades de auditoría en un entorno virtual. Un entorno virtual puede estar
compuesto por actividades digitales y / o no digitales que utilizan activos tecnológicos (software, hardware,
sensores, PLC, dispositivos automatizados) que toman algunas o todas las decisiones del proceso. Como ejemplo,
una planta de fabricación puede tener robots que realizan algunos procesos de producción, pero también personas
que realizan procesos de producción tradicionales. Las decisiones sobre los procesos de producción realizadas
por robots o personas son igualmente importantes. Los de los robots ciertamente provienen de personas que
hacen su código, establecen sus suposiciones, criterios de toma de decisiones y otras características.
Factibilidad
El uso de las TIC para la auditoría remota solo tendrá éxito si se cumplen las condiciones
adecuadas. Las fundamentales son que la tecnología está disponible y que tanto los auditores
como los auditados sean competentes y se sientan cómodos con su funcionamiento. Esto debe
evaluarse antes de la decisión de utilizar técnicas remotas. Esta preparación contribuye a
optimizar el proceso de auditoría.
Hay dos escenarios generales:
- Auditoría remota en el sitio: el auditor está en los sitios de la organización y está
auditando a las personas, actividades o procesos que están fuera del sitio;
- Auditoría remota fuera del sitio: el auditor no se encuentra en la organización y las
personas y los procesos están ubicados en las instalaciones del cliente o en otro lugar
(como una instalación fuera del sitio).
El primer paso para garantizar la viabilidad es determinar qué tecnología se puede utilizar, si
los auditores y auditados tienen competencias y si hay recursos disponibles.
Finalmente, al analizar la viabilidad, también se debe considerar la calidad digital de los datos
a revisar. Esto es más relevante cuando la organización aún retiene información en papel que
necesita ser escaneada para revisión remota.
El Anexo en este documento proporciona una identificación genérica de riesgos y oportunidades
potenciales por tipo de tecnología de comunicación y puede usarse como punto de partida para
la determinación de R&O para el proceso de toma de decisiones. En cualquier caso, la
determinación debe hacerse o revisarse para cada situación. También es importante recordar
que la intención no es diseñar un enfoque complejo, formal y cuantificado para la determinación
de riesgos y oportunidades. La intención es tener la capacidad de identificar las oportunidades
y los riesgos, y determinar si los riesgos pueden mitigarse o aceptarse y tomar una decisión
fundamentada sobre si proceder con la aplicación de métodos remotos o no.
PLANIFICACIÓN DE LA AUDITORÍA
La planificación de la auditoría, al menos en las primeras auditorías, llevará más tiempo por
las siguientes razones:
- evaluar y documentar la viabilidad y los riesgos con el auditado;
- determinar los diferentes TIC utilizadas y cómo se utilizarán,
- definir la agenda que podría necesitar disposiciones diferentes de una auditoría in situ (por
ejemplo, una mejor definición de las tareas por parte de los diferentes miembros del equipo
para garantizar que los auditores auditen por separado y hagan el mejor uso del tiempo,
una definición más detallada de los temas que se manejarán en diferentes períodos de
tiempo diferente los cuales requerirán una mejor comprensión previa de los procesos de la
organización, etc.);
- permitir que la organización identifique a las personas a ser auditadas y garantizar su
disponibilidad en el momento definido;
- realizar una prueba sobre el uso de las TIC antes de la auditoría para confirmar que la
conexión disponible es estable y que las personas saben cómo usar la tecnología.
Las conclusiones, de los análisis de riesgos y las oportunidades, proporcionan la base para
definir qué procesos se auditarán bajo qué TIC específica.
REALIZACIÓN DE LA AUDITORÍA
Al revisar el plan de auditoría en la reunión de apertura, se debe confirmar la disponibilidad y la
factibilidad de utilizar las TIC. Las medidas para garantizar la confidencialidad y la seguridad
también deben revisarse y acordarse. Si el auditor tiene la intención de tomar capturas de
pantalla de documentos u otro tipo de registros, debe pedir permiso, ya sea en la reunión de
apertura o cuando use las TIC.
© ISO & IAF 2020 – All rights reserved
"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 10 of 14
ISO/TC176/AHG/APG/N 23
Al usar las TIC para entrevistar a las personas, el equipo de auditoría debe registrar el nombre
y la función de las personas entrevistadas y decirles qué información se retiene. Al realizar
entrevistas de forma remota, el auditor deberá verificar las declaraciones de hechos con otras
pruebas. Estos deben ser solicitados y analizados por el auditor. Si se envían por correo
electrónico, el auditor debe garantizar el nivel de confidencialidad requerido para esos
documentos.
También es importante asegurarse de que no haya ruido que perturbe la comunicación. Si el
auditor está auditando remotamente fuera del sitio, debe asegurarse de que no haya
interrupciones ni perturbaciones. Del mismo modo, cuando hay pausas, asegúrese de que el
sonido esté en silencio y la imagen apagada para garantizar la privacidad.
Al usar videos para ver imágenes en vivo en línea de sitios remotos, es importante que la
organización demuestre la veracidad de las imágenes. Si observa imágenes de una instalación,
estas se pueden comparar con los planos de planta. Las imágenes de un sitio geográfico que
se observan se pueden comparar con las imágenes satelitales disponibles o la información
disponible de los Sistemas de Información Geográfica (SIG). La evidencia y la forma en que se
recopilaron deben registrarse.
En una auditoría remota, es importante permitir pequeños descansos, típicos de aquellos que
generalmente ocurren de manera no planificada en una auditoría in situ. Estar sentado y usar
la pantalla continuamente puede ser agotador. Permitir pequeños intervalos para estirar las
piernas y reducir la fatiga visual ayuda a mejorar la atención al recibir retroalimentación.
También es aceptable que el auditor informe al auditado cuando se requiere una interrupción
para leer y analizar la información que se ha proporcionado. Esto permite una mayor
comprensión de la documentación y la evidencia que se ha presentado y la determinación de
preguntas adicionales antes de volver a convocar la entrevista.
Si se consume tiempo en problemas como el tiempo de inactividad de la red, interrupciones o
demoras inesperadas, problemas de accesibilidad u otros desafíos de las TIC, este tiempo no
debe contarse como tiempo de auditoría. Se deben establecer disposiciones para garantizar el
tiempo de auditoría.
CONCLUSIÓN DE LA AUDITORÍA
El informe de auditoría debe indicar claramente el alcance del uso de las TIC, así como la
efectividad de su uso para lograr los objetivos de la auditoría. El informe debe indicar aquellos
procesos que no pudieron ser auditados y deberían haber sido auditados en el sitio. Esta
información es importante para el proceso de decisión y las auditorías posteriores
Anexo: Ejemplo de identificación de riesgos y oportunidades para usar técnicas de auditoría remota
Tecnología de la
Información y Uso Potencial Riesgos Oportunidades
Comunicación (TIC)
Violaciones de seguridad y confidencialidad Entrevistas con personas pertinentes trabajando remotamente,
Por ejemplo, oficina en la casa, equipos de proyecto en diseño y
Diferencias de zonas horarias desarrollo;
Conducir Autenticación de la persona Reuniones de apertura y cierre en auditorias multisitio;
Entrevistas
La posibilidad para observar la organización en Actividades / sitio remoto donde la observación física no es
Visitas Guiadas una manera más autónoma y libre se debilita en la crítica;
en el sitio medida en que el auditor no dirige la cámara Reducción en tiempo / costos de viaje y en los impactos
Video llamada ambientales asociados;
La posibilidad de observar reacciones de algunos
(sincronizada) auditados a la comunicación puede ser más débil Mayor rango geográfico;
(ej.: Skype, WebEx,
Violaciones de seguridad y confidencialidad Revisión de documentos donde el viaje a los sitios no es
ZOOM, Hangouts)
Dificultad potencial en responder a requerimientos factible, por ej.: en auditoría de primera etapa en las cuales la
de documentación; visita al sitio no es crítica para el logro de los objetivos y existen
Revisión restricciones de tiempo y viaje;
Tiempo requerido incrementado (procesos que
documental con la consumen tiempo potencialmente); Beneficio para los multi-sitios en las cuales las visitas pueden
participación del ser salteadas o cuando las visitas anuales dentro del programa
auditado Manipulación potencial de datos; de auditoría no son necesarias, pero es necesario algún
La interacción con los auditados puede ser seguimiento;
debilitada Reducción en tiempo / costos de viaje y en los impactos
Calidad disminuida en la información recopilada ambientales asociados;
Garantía de autenticidad; Mejor conocimiento de la organización, aplicable en etapa de
preparación de la auditoría;
Llenar listas de Necesidad de listas de verificación pre-
Encuestas (surveys), desarrolladas y posiblemente preparar al Permite preparar el trabajo de auditoría, que debe verificarse
verificación y
Aplicaciones encuestado para responderlas, lo que aumenta durante la auditoría mediante la recopilación de otras
cuestionarios
los costos evidencias;
Permite a la organización prepararse para la visita in situ;
Seguridad y confidencialidad; Facilita la organización y permite un uso más flexible del tiempo
Ver registros, Dificultad procedimental en la visualización de por parte del equipo de auditoría;
Revisión de datos y procedimientos, documentos (por ejemplo, de forma remota y Permite una exploración más profunda de la información, mejor
documentos (asíncrona) Diagramas de navegando en el sitio web de la organización); y más independiente del auditado;
(Por ej.: revisión de flujo, monitores, Aumento del tiempo requerido (potencialmente Posibilidad de integrar experticias que no sería posible viajar al
documentos en la web) etc. consumidor de tiempo); sitio;
Posible manipulación de datos; Proporciona una buena base para entender el SGC de la
La falta de interacción con los auditados no organización, y potencialmente proporciona pistas de auditoría
permite aclaración de cuestiones; que el auditor puede utilizar durante durante las entrevistas.
Tecnología de la
Información y Uso Potencial Riesgos Oportunidades
Comunicación (TIC)
Seguimiento de Riesgos inherentes al uso y presencia de equipos; Fácil seguimiento de tareas de alto riesgo;
Vídeo (sincronizado) trabajos remotos por ejemplo, caída de drones (drone drop), uso de Aumento del muestreo;
(por ejemplo: drone, o de alto riesgo; equipos condiciones de clima desfavorable; Ideal para actividades de auditoría donde l0s requisitos de
transmisión en vivo) Visita guiada al Calidad de imagen; seguridad no permiten la presencia del equipo de auditoría, o
sitio; Apreciación total del sitio, equipos y condiciones para observar lugares e instalaciones donde la proporción
Capacidad para Veracidad de los datos tiempo de viaje versus tiempo de auditoría es alto;
ver procesos u Bueno para complementar las visitas de campo en actividades
operaciones al aire libre (por ejemplo, sitios forestales, agrícolas y minería)
alto riesgo
Atestiguar
procesos en
funcionamiento
Vídeo (asíncrono) Seguimiento de Seguridad y confidencialidad; Mayor rentabilidad (posibilidad de seleccionar sólo los
(por ejemplo: cámara de las actividades Calidad de imagen; momentos de interés del video);
vigilancia, que no están en Apreciación total del sitio, equipos y condiciones Posibilidad de observar lugares, instalaciones de difícil acceso y
grabaciones de vídeo curso en el Veracidad de los datos mejorar el muestreo
tomadas a propósito momento de la Si el registro electrónico contiene datos confidenciales que los
para la auditoría) auditoría; criterios de la CSDP consideran que no son elegibles para la
Videos de auditoría remota, el auditor debería considerar la posibilidad de
procesos; reasignar ese la revisión de ese registro para la auditoría in situ.
Grabaciones de
voz del centro de
llamadas.
Webinars de
formación
grabados
______________________________________________________________________________________
Para obtener más información sobre el Grupo de prácticas de auditoría ISO 9001, consulte el
documento: Introducción al Grupo de prácticas de auditoría ISO 9001.
Los comentarios de los usuarios serán utilizados por el Grupo de Prácticas de Auditoría ISO 9001
para determinar si se deben desarrollar documentos de orientación adicionales, o si se deben
revisar estos documentos actuales.
Los comentarios sobre los documentos o presentaciones se pueden enviar a la siguiente dirección
de correo electrónico: charles.corrie@bsigoup.com.
Los otros documentos y presentaciones del Grupo de Prácticas de Auditoría ISO 9001 pueden
descargarse de los sitios web:
www.iaf.nu
https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Descargo de Responsabilidad
El Grupo de Prácticas de Auditoría ISO 9001 no se hace responsable de los errores, omisiones u
otras responsabilidades que puedan surgir de la provisión o el uso posterior de dicha información.