ISO/TC176/AHG/APG/N 23

Organización Internacional Foro Internacional

de Estandarización de Acreditación
Web: www.iso.org Web: www.iaf.nu

Edición 1
Fecha: 2020-04-15

ISO 9001 Grupo de Prácticas de Auditorías

Orientación sobre:
AUDITORÍAS REMOTAS

INTRODUCCION ………………………………………………………………………………………………………………………… 03
INFORMACIÓN GENERAL SOBRE ISO 19011:2018 Y IAF MD 4 ……………………………………………………. 04
RECOMENDACIONES GENERALES PARA AUDITORÍA REMOTA …………………………………………………… 05
PROGRAMA DE AUDITORÍA ………………………………………………………………………………………………………. 05
PLANIFICACIÓN DE AUDITORÍA ………………………………………………………………………………………… 09
REALIZACIÓN DE AUDITORÍA ……………………………………………………………………………………………… 10
CONCLUSIÓN DE LA AUDITORÍA ………………………………………………………………………………………… 11
Anexo: Ejemplo de identificación de riesgos y oportunidades para usar técnicas de auditoría remota
……………………………………………………………………………………………………………………………………… 12

© ISO & IAF 2020 – All rights reserved

"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 2 of 14
ISO/TC176/AHG/APG/N 23

INTRODUCCIÓN

La auditoría remota es uno de los métodos de auditoria descritos en la Norma ISO 19011:2018, Anexo 1. El valor
de este método de auditoria reside en su potencial de proveer flexibilidad para cumplir los objetivos de la auditoria.
Para obtener los beneficios de este método de auditoria, todas las partes interesadas deberían estar conscientes
de su rol en el proceso, los insumos, los resultados esperadas, y los riesgos y oportunidades que proporcionan la
base para cumplir la auditoria y los objetivos del programa de auditoria.

Existe una variedad de razones por la cuales un auditor no puede estar presente debido a restricciones de
seguridad, pandemias o restricciones de viaje. El encierro voluntario u obligatorio, la puesta en marcha de la
instalación de andamios de molinos de viento, pruebas de explosivos y otros escenarios son todos ejemplos en
los cuales la auditoria remota es beneficiosa.

Las nuevas tecnologías de la información y la comunicación (TIC) han hecho que la auditoría remota sea más
factible. A medida que el acceso a las TIC ha aumentado, la auditoría remota se ha vuelto más utilizada. Esto
permite que el auditor se comunique con las personas a nivel global, accediendo a una amplia gama de información
y datos.

Estas técnicas transforman la forma en que trabajamos. Estas TIC abren la oportunidad de auditar sitios y personas
de forma remota, acortando distancias, tiempos de viaje y costos, reduciendo los impactos ambientales asociado
con viajes de auditoría, adaptando auditorías a diferentes modelos organizacionales. Las TIC pueden ayudar a
aumentar el tamaño o la calidad del muestreo en el proceso de auditoría, cuando está preparado, validado y
empleado correctamente. Este es el caso, por ejemplo, cuando se usan cámaras de video, teléfonos inteligentes,
tabletas, drones o imágenes satelitales para verificar configuraciones físicas como la identificación de tuberías en
la industria petrolera, ajustes de maquinaria, áreas de almacenamiento, procesos de producción o sitios forestales
o agrícolas.

El uso de las TIC también permite la inclusión de la experiencia en una auditoría que de otra manera no podría ser
posible debido a limitaciones financieras o logísticas. Por ejemplo, la participación de un experto técnico, solo
puede ser necesario para analizar un proyecto específico durante solo dos horas. Con las TIC disponibles el
experto técnico puede analizar el proceso de forma remota, reduciendo así el tiempo y los costos asociados con
el viaje.

© ISO & IAF 2020 – All rights reserved

"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 3 of 14
ISO/TC176/AHG/APG/N 23
Por otro lado, sin embargo, debemos considerar las limitaciones y los riesgos que plantean las TIC en el
cumplimiento de objetivos de auditoría. Estos incluyen seguridad de la información, protección de datos y
confidencialidad, veracidad y calidad de la evidencia objetiva recopilada, entre otros.

Las siguientes son preguntas que pueden surgir.

• Cuando miramos imágenes, ¿estamos viendo imágenes en tiempo real o estamos viendo grabaciones de
video?
• ¿Podemos capturar todo sobre el sitio remoto o estamos siendo guiados por imágenes seleccionadas?
• Cuando se planifique una entrevista remota, ¿habrá una conexión a Internet estable y la persona a ser
entrevistada sabe cómo usarla?
• ¿Pueden los procesos y sitios a ser auditados ser auditados de manera realista fuera del sitio?
• ¿Puede tener una buena visión general de las instalaciones, equipos, operaciones, controles?
• ¿Se puede acceder a toda la información relevante?
Muchas de estas preguntas solo pueden responderse después de una visita al sitio.

Para utilizar las TIC en el proceso de auditoría, el gerente del programa de auditoría y el equipo de auditoría, deben
identificar los riesgos y las oportunidades y definir los criterios de decisión para aceptar o no su uso, dónde y en
qué condiciones.

En este documento abordamos la auditoría remota desde el establecimiento del programa de auditoría, pasando
a la planificación de la auditoría y la realización de la auditoría. Señalamos algunas buenas y malas prácticas en
su uso y compartimos algunos ejemplos. Presentamos un análisis genérico de riesgo y oportunidad para el uso de
algunas TIC, que puede servir como base para el proceso de toma de decisiones.

INFORMACIÓN GENERAL SOBRE ISO 19011:2018 y la IAF MD 4

De acuerdo con la Norma ISO 19011:2018, la viabilidad de una auditoría remota utilizando TIC debería
considerarse al establecer el programa de auditoría. Es importante verificar la idoneidad de los recursos necesarios
para garantizar un resultado de una auditoría efectiva. En su anexo A.1, de la ISO 19011 ofrece varios ejemplos
para la aplicación de métodos de auditoría remota en combinación con métodos in situ.

"Las auditorías remotas se refieren al uso de las TIC para recopilar información, entrevistar a un auditado, etc.,
cuando los métodos" cara a cara "no son posibles o deseados. (ISO 19011)

La Guía IAF MD 4 es un documento obligatorio para el uso de las TIC con fines de auditoría/evaluación. Define
las reglas que los organismos de certificación y sus auditores deben seguir para garantizar que las TIC se utilicen
para optimizar la eficiencia y la eficacia de la auditoría/evaluación, al tiempo que respaldan y mantienen la
integridad del proceso de auditoría.
© ISO & IAF 2020 – All rights reserved
"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 4 of 14
ISO/TC176/AHG/APG/N 23
Tanto la Norma ISO 19011 como la Guía IAF MD 4 deberían ser conocidas y consideradas por los auditores.

Una aclaratoria importante hecha en la ISO 19011, anexo A.16 es entre auditorías remotas y auditorías de
ubicaciones virtuales. "La auditoría de una ubicación virtual a veces se denomina auditoría virtual".

La auditoría virtual es un conjunto de actividades de auditoría en un entorno virtual. Un entorno virtual puede estar
compuesto por actividades digitales y / o no digitales que utilizan activos tecnológicos (software, hardware,
sensores, PLC, dispositivos automatizados) que toman algunas o todas las decisiones del proceso. Como ejemplo,
una planta de fabricación puede tener robots que realizan algunos procesos de producción, pero también personas
que realizan procesos de producción tradicionales. Las decisiones sobre los procesos de producción realizadas
por robots o personas son igualmente importantes. Los de los robots ciertamente provienen de personas que
hacen su código, establecen sus suposiciones, criterios de toma de decisiones y otras características.

RECOMENDACIONES GENERALES PARA AUDITORÍAS REMOTAS

PROGRAMA DE AUDITORÍA
Consideraciones para el uso de técnicas de auditoría remota.
Los requisitos de los documentos, organismos de acreditación y organismos de certificación de
la IAF proporcionan el marco para determinar la elegibilidad para el uso de técnicas de auditoría
remota. Para las auditorías de segunda y primera parte, es competencia del cliente o de la
organización auditada determinar la conveniencia de la auditoría remota de acuerdo con los
objetivos de la auditoría.

Factibilidad
El uso de las TIC para la auditoría remota solo tendrá éxito si se cumplen las condiciones
adecuadas. Las fundamentales son que la tecnología está disponible y que tanto los auditores
como los auditados sean competentes y se sientan cómodos con su funcionamiento. Esto debe
evaluarse antes de la decisión de utilizar técnicas remotas. Esta preparación contribuye a
optimizar el proceso de auditoría.
Hay dos escenarios generales:
- Auditoría remota en el sitio: el auditor está en los sitios de la organización y está
auditando a las personas, actividades o procesos que están fuera del sitio;
- Auditoría remota fuera del sitio: el auditor no se encuentra en la organización y las
personas y los procesos están ubicados en las instalaciones del cliente o en otro lugar
(como una instalación fuera del sitio).
El primer paso para garantizar la viabilidad es determinar qué tecnología se puede utilizar, si
los auditores y auditados tienen competencias y si hay recursos disponibles.

© ISO & IAF 2020 – All rights reserved

"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 5 of 14
ISO/TC176/AHG/APG/N 23
La viabilidad también depende de la calidad de la conexión en línea. Un ancho de banda débil
o una capacidad de hardware limitada pueden ralentizar el proceso hasta el punto de la
ineficiencia. El proceso de auditoría puede verse afectado por la velocidad a la que el auditado
accede y muestra evidencia por video, o a través de una tableta o computadora.

Confidencialidad, seguridad y protección de datos (PCSD)

Crítico para el uso si las TIC son cuestiones de confidencialidad y seguridad, así como la
protección de datos. El OC y la organización deben tener en cuenta la legislación y las
regulaciones, que pueden requerir acuerdos adicionales de ambos lados (por ejemplo, no habrá
grabación de sonido e imágenes, ni autorizaciones para usar las imágenes de las personas), y
posiblemente del auditado mismo. Cuando corresponda por la legislación nacional, el DPO
(oficial de protección de datos) de ambas organizaciones debe participar en la evaluación de
estos problemas. En algunas situaciones, los requisitos de seguridad no permitirán el uso de
las TIC.
Para prepararse para el uso de las TIC, se deben identificar todos los requisitos legales y de
certificación del cliente relacionados con la confidencialidad, la seguridad y la protección de
datos y se deben tomar medidas para garantizar su implementación efectiva. Esto implica que
tanto el auditor como el auditado están de acuerdo con el uso de las TIC y con las medidas
tomadas para cumplir con estos requisitos.
La evidencia de los acuerdos relacionados con la PCSD debe estar disponible. Esta evidencia
podría ser registros, procedimientos acordados o correos electrónicos. La importancia reside
en que estos criterios de la PCSD sean reconocidos por todos los participantes.
Las medidas para garantizar la confidencialidad y la seguridad deben confirmarse durante la
reunión de apertura.
El equipo de auditoría debe evitar el acceso y la retención de más información documentada de
lo que lo haría en una auditoría normal cara a cara. Es probable que el equipo de auditoría
quiera tener acceso a más información para prepararse para la auditoría, o tener la capacidad
de analizar información documentada de forma asincrónica. Sin embargo, es importante
reforzar la confianza en el proceso de auditoría.
Es una buena práctica que, cuando la información documentada se analice de forma
asíncronica, se comparta en un sistema seguro y acordado, como una red privada virtual
basada en la nube u otros sistemas de intercambio de archivos, utilizando las directrices de la
PCSD. Una vez que la auditoría es completada, el auditor debe eliminar de su sistema o eliminar
el acceso a cualquier información documentada y registros que no requieren ser retenidos como
evidencia objetiva.
Los auditores no deben tomar capturas de pantalla de los auditados como evidencia de
auditoría. Cualquier captura de pantalla de documentos o registros u otro tipo de evidencia debe
ser previamente autorizada por la organización auditada.

© ISO & IAF 2020 – All rights reserved

"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 6 of 14
ISO/TC176/AHG/APG/N 23
Evaluación de riesgos
Los riesgos para lograr los objetivos de auditoría se identifican, evalúan y gestionan.
Otra cuestión importante es comprender qué procesos, actividades o sitios de la organización
pueden auditarse de forma remota con qué herramienta TIC y si está disponible.
El MD 4 de IAF deja en claro que esta decisión debe basarse en la identificación documentada
de los riesgos y oportunidades que pueden afectar la auditoría / evaluación, para cada ICT
considerado.
La siguiente tabla enumera los principales problemas para evaluar la viabilidad y el análisis de
riesgos para una auditoría remota. Esta evaluación debe hacerse y documentarse para cada
auditoría que involucre a todos los miembros del equipo de auditoría y al representante de la
organización auditada.
Cualquier arreglo específico debe documentarse y comunicarse entre las partes interesadas
relevantes.

VIABILIDAD Y ANÁLISIS DE RIESGOS PARA AUDITORÍAS REMOTAS

1. Confidencialidad, seguridad y protección de los datos
Asegurar el acuerdo entre el auditor y el auditado sobre los problemas de la PCSD. Documente
cualquier arreglo para asegurarlos.
2. Uso de TIC
Hay una conexión estable con buena calidad de conexión en línea
La TIC permite el acceso a información documentada relevante, incluyendo software, bases de
datos, registros, etc.
Es posible realizar la autenticación / identificación de personas entrevistadas preferiblemente con
imagen
Si la observación de las instalaciones, procesos, actividades, etc., es relevante para lograr los
objetivos de la auditoría, es posible acceder a ellos por video.
3. Personas en la organización
Es posible acceder y entrevistar a personas relevantes para el SGC
4. Operaciones
5.Si la organización no está operando regularmente, debido a situaciones de contingencia, los
procesos / actividades que se realizan son representativos y permiten el cumplimiento de los
objetivos de la auditoría.
5. Complejidad de la organización y tipo de auditoría
1.En el caso de organizaciones, procesos o productos y servicios complejos y donde los objetivos
del tipo de auditoría requieren una evaluación completa del muestreo estándar y más amplio (por
ejemplo, evaluación inicial o reevaluación) se debe realizar un análisis cuidadoso de la viabilidad
de auditorías remotas para evaluar completamente la conformidad de la organización a todos los
requisitos.
6. Conclusiones
2.Los objetivos de la auditoría se pueden alcanzar con la auditoría remota: proceder a la auditoría
remota.

© ISO & IAF 2020 – All rights reserved

"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 7 of 14
ISO/TC176/AHG/APG/N 23
3.Los objetivos de la auditoría se pueden lograr parcialmente: una auditoría remota se puede hacer
parcialmente y luego complementarse con una auditoría en el sitio.
4.Los objetivos de la auditoría no se pueden alcanzar a través de la auditoría remota.
7. Valide el análisis de riesgos con el administrador del programa de auditoría

Finalmente, al analizar la viabilidad, también se debe considerar la calidad digital de los datos
a revisar. Esto es más relevante cuando la organización aún retiene información en papel que
necesita ser escaneada para revisión remota.
El Anexo en este documento proporciona una identificación genérica de riesgos y oportunidades
potenciales por tipo de tecnología de comunicación y puede usarse como punto de partida para
la determinación de R&O para el proceso de toma de decisiones. En cualquier caso, la
determinación debe hacerse o revisarse para cada situación. También es importante recordar
que la intención no es diseñar un enfoque complejo, formal y cuantificado para la determinación
de riesgos y oportunidades. La intención es tener la capacidad de identificar las oportunidades
y los riesgos, y determinar si los riesgos pueden mitigarse o aceptarse y tomar una decisión
fundamentada sobre si proceder con la aplicación de métodos remotos o no.

Determinar el uso de las TIC para el ciclo de auditoría de terceras partes

Toda la información necesaria para comprender la organización para evaluar la aplicación de
las TIC no estará disponible antes de la auditoría inicial. Una de las preguntas principales, antes
de evaluar la viabilidad, es la disposición de la organización del cliente a dar su consentimiento
para la aplicación de la auditoría remota. La auditoría remota solo se puede introducir y
confirmar en el programa de auditoría después de la evaluación inicial, a menos que se
determine que es un caso especial basado en criterios establecidos.
En un programa de auditoría para un ciclo de auditoría de certificación inicial, donde existe un
conocimiento limitado de la organización, puede ser aceptable llevar a cabo algunas partes de
las auditorías de ese ciclo de forma remota, si hay ubicaciones de sitios donde los procesos se
repiten desde otros sitios y no son demasiado complejas ni exigentes.
Un argumento convincente de un caso especial para una auditoría remota con frecuencia
implica una auditoría inicial de la etapa 1 de una organización pequeña o mediana. La duración
de la auditoría es corta, el tiempo de viaje es largo y el tiempo para la auditoría hace que sea
inconveniente ir al sitio para 2 visitas separadas. Una auditoría de etapa 1 en un sistema de
gestión ISO 9001 se centra en la preparación del sistema y generalmente se centra en la
información documentada. Los riesgos, en este caso, también son más fuertes para la
organización. Como el auditor puede perder información por no visitar las instalaciones y la
auditoría externa puede no interactuar con las principales personas involucradas en el sistema,
el riesgo de que el estado de preparación no se evalúe bien en la etapa 1 es mayor. Se debe
informar a la organización que una auditoría remota de la etapa 1 tendrá estos riesgos y que
podrían perder todos los beneficios de una etapa 1, es decir, la capacidad de identificar
deficiencias en el sistema de gestión que pueden resolverse antes de la etapa 2. Para el auditor,
la etapa 2 permitirá mitigar cualquier deficiencia en la etapa 1. Una auditoría inicial de la etapa
© ISO & IAF 2020 – All rights reserved
"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 8 of 14
ISO/TC176/AHG/APG/N 23
1 en el sitio, también es una buena oportunidad para evaluar el uso de las TIC en auditorías
posteriores.
El administrador del programa de auditoría adquiere conocimiento de la organización durante
las diversas auditorías del ciclo de auditoría con respecto a sus procesos, actividades, grado
de digitalización, TIC disponibles para su uso, criticidad de los sitios, resultados de auditorías
internas, actividades remotas y personas. El auditor debe determinar y comunicar la madurez
del sistema de gestión y qué registros y pruebas se pueden evaluar de forma remota y cuáles
deben observarse en el sitio. El programa de auditoría puede revisarse para ajustar el uso de
las TIC con el objetivo de optimizar el proceso de auditoría. Para un programa de auditoría
actualizado continuamente, el auditor debe dar retroalimentación sobre el uso de estas técnicas
al final de la auditoría indicando los cambios que deben realizarse, tales como nuevos procesos,
sitios o funciones que se incluirán o retirarán. Se debe comunicar información sobre las mejores
y / o técnicas disponibles.
El programa de auditoría debe identificar qué procesos, sitios o requisitos de ISO 9001 serán
auditados de forma remota.
Al permitir la auditoría remota a los sitios, el programa de auditoría puede cambiar entre
auditorías en el sitio y fuera del sitio asegurando el equilibrio adecuado entre las auditorías en
el sitio y las remotas en un ciclo de certificación. El uso de métodos remotos está incluido en el
tiempo de auditoría.

PLANIFICACIÓN DE LA AUDITORÍA
La planificación de la auditoría, al menos en las primeras auditorías, llevará más tiempo por
las siguientes razones:
- evaluar y documentar la viabilidad y los riesgos con el auditado;
- determinar los diferentes TIC utilizadas y cómo se utilizarán,
- definir la agenda que podría necesitar disposiciones diferentes de una auditoría in situ (por
ejemplo, una mejor definición de las tareas por parte de los diferentes miembros del equipo
para garantizar que los auditores auditen por separado y hagan el mejor uso del tiempo,
una definición más detallada de los temas que se manejarán en diferentes períodos de
tiempo diferente los cuales requerirán una mejor comprensión previa de los procesos de la
organización, etc.);
- permitir que la organización identifique a las personas a ser auditadas y garantizar su
disponibilidad en el momento definido;
- realizar una prueba sobre el uso de las TIC antes de la auditoría para confirmar que la
conexión disponible es estable y que las personas saben cómo usar la tecnología.
Las conclusiones, de los análisis de riesgos y las oportunidades, proporcionan la base para
definir qué procesos se auditarán bajo qué TIC específica.

© ISO & IAF 2020 – All rights reserved

"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 9 of 14
ISO/TC176/AHG/APG/N 23
El auditor debería confirmar con la organización la viabilidad del método de la auditoría remota
propuesto en el programa, basado en las TIC requeridas y su conocimiento de la organización.
Esto incluye la verificación de que las personas involucradas sabrán cómo usar la herramienta.
El auditor revisa el riesgo y las oportunidades determinadas para esta auditoría específica y sus
objetivos y puede proponer cambios en el uso determinado de las TIC. En caso de que se
detecte una situación de alto riesgo, la auditoría debe realizarse in situ. Todas las demás
situaciones potenciales deben abordarse mediante medidas apropiadas que se reflejan según
sea necesario en el plan de auditoría. A pesar de utilizar métodos de auditoría remota, debe
mantenerse la confianza de que se alcanzarán los objetivos deseados de la auditoría.
El plan debería identificar claramente qué, cuándo y cómo se llevará a cabo la auditoría.
Ejemplos de requisitos, actividades y procesos que probablemente serán auditados de forma
remota:
Actividades de Auditoría Interacción Remota
1. Actividades de la auditoría Llamada telefónica, videoconferencia
a. Reuniones de apertura y cierre con
Reunión web
personas de diferentes sitios.
b. Revisión del plan de auditoría en diferentes
etapas de la auditoría
c. Informe de conclusiones intermedias
d. Reuniones intermedias del equipo de
auditoría
2. Procesos / actividades / personas de la Videoconferencia con pantalla compartida
organización
Imágenes de video en tiempo real obtenidas con drones,
a. Personas que trabajan desde la casa o
cámaras de video móviles o fijas.
fuera del sitio
b. Procesos o actividades donde el objeto de
auditoría es principalmente la revisión de
documentos e información obtenida a través Acceso a video monitoreo de sitios.
de entrevistas, tales como compras,
recursos humanos / capacitación, procesos
comerciales, diseño y desarrollo. Muchas
de estas actividades son realizadas por
servicios compartidos.
c. Infraestructura que tiene una amplia gama
territorial, como el transporte de agua o energía.
1. Situaciones particulares
a. Participación de expertos Videoconferencia, imágenes en tiempo real, pantalla
compartida, revisión asincrónica de documentos y datos

REALIZACIÓN DE LA AUDITORÍA
Al revisar el plan de auditoría en la reunión de apertura, se debe confirmar la disponibilidad y la
factibilidad de utilizar las TIC. Las medidas para garantizar la confidencialidad y la seguridad
también deben revisarse y acordarse. Si el auditor tiene la intención de tomar capturas de
pantalla de documentos u otro tipo de registros, debe pedir permiso, ya sea en la reunión de
apertura o cuando use las TIC.
© ISO & IAF 2020 – All rights reserved
"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 10 of 14
ISO/TC176/AHG/APG/N 23
Al usar las TIC para entrevistar a las personas, el equipo de auditoría debe registrar el nombre
y la función de las personas entrevistadas y decirles qué información se retiene. Al realizar
entrevistas de forma remota, el auditor deberá verificar las declaraciones de hechos con otras
pruebas. Estos deben ser solicitados y analizados por el auditor. Si se envían por correo
electrónico, el auditor debe garantizar el nivel de confidencialidad requerido para esos
documentos.
También es importante asegurarse de que no haya ruido que perturbe la comunicación. Si el
auditor está auditando remotamente fuera del sitio, debe asegurarse de que no haya
interrupciones ni perturbaciones. Del mismo modo, cuando hay pausas, asegúrese de que el
sonido esté en silencio y la imagen apagada para garantizar la privacidad.
Al usar videos para ver imágenes en vivo en línea de sitios remotos, es importante que la
organización demuestre la veracidad de las imágenes. Si observa imágenes de una instalación,
estas se pueden comparar con los planos de planta. Las imágenes de un sitio geográfico que
se observan se pueden comparar con las imágenes satelitales disponibles o la información
disponible de los Sistemas de Información Geográfica (SIG). La evidencia y la forma en que se
recopilaron deben registrarse.
En una auditoría remota, es importante permitir pequeños descansos, típicos de aquellos que
generalmente ocurren de manera no planificada en una auditoría in situ. Estar sentado y usar
la pantalla continuamente puede ser agotador. Permitir pequeños intervalos para estirar las
piernas y reducir la fatiga visual ayuda a mejorar la atención al recibir retroalimentación.
También es aceptable que el auditor informe al auditado cuando se requiere una interrupción
para leer y analizar la información que se ha proporcionado. Esto permite una mayor
comprensión de la documentación y la evidencia que se ha presentado y la determinación de
preguntas adicionales antes de volver a convocar la entrevista.
Si se consume tiempo en problemas como el tiempo de inactividad de la red, interrupciones o
demoras inesperadas, problemas de accesibilidad u otros desafíos de las TIC, este tiempo no
debe contarse como tiempo de auditoría. Se deben establecer disposiciones para garantizar el
tiempo de auditoría.

CONCLUSIÓN DE LA AUDITORÍA
El informe de auditoría debe indicar claramente el alcance del uso de las TIC, así como la
efectividad de su uso para lograr los objetivos de la auditoría. El informe debe indicar aquellos
procesos que no pudieron ser auditados y deberían haber sido auditados en el sitio. Esta
información es importante para el proceso de decisión y las auditorías posteriores

© ISO & IAF 2020 – All rights reserved

"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 11 of 14
ISO/TC176/AHG/APG/N 23

Anexo: Ejemplo de identificación de riesgos y oportunidades para usar técnicas de auditoría remota
Tecnología de la
Información y Uso Potencial Riesgos Oportunidades
Comunicación (TIC)
Violaciones de seguridad y confidencialidad Entrevistas con personas pertinentes trabajando remotamente,
Por ejemplo, oficina en la casa, equipos de proyecto en diseño y
Diferencias de zonas horarias desarrollo;
Conducir Autenticación de la persona Reuniones de apertura y cierre en auditorias multisitio;
Entrevistas
La posibilidad para observar la organización en Actividades / sitio remoto donde la observación física no es
Visitas Guiadas una manera más autónoma y libre se debilita en la crítica;
en el sitio medida en que el auditor no dirige la cámara Reducción en tiempo / costos de viaje y en los impactos
Video llamada ambientales asociados;
La posibilidad de observar reacciones de algunos
(sincronizada) auditados a la comunicación puede ser más débil Mayor rango geográfico;
(ej.: Skype, WebEx,
Violaciones de seguridad y confidencialidad Revisión de documentos donde el viaje a los sitios no es
ZOOM, Hangouts)
Dificultad potencial en responder a requerimientos factible, por ej.: en auditoría de primera etapa en las cuales la
de documentación; visita al sitio no es crítica para el logro de los objetivos y existen
Revisión restricciones de tiempo y viaje;
Tiempo requerido incrementado (procesos que
documental con la consumen tiempo potencialmente); Beneficio para los multi-sitios en las cuales las visitas pueden
participación del ser salteadas o cuando las visitas anuales dentro del programa
auditado Manipulación potencial de datos; de auditoría no son necesarias, pero es necesario algún
La interacción con los auditados puede ser seguimiento;
debilitada Reducción en tiempo / costos de viaje y en los impactos
Calidad disminuida en la información recopilada ambientales asociados;
Garantía de autenticidad; Mejor conocimiento de la organización, aplicable en etapa de
preparación de la auditoría;
Llenar listas de Necesidad de listas de verificación pre-
Encuestas (surveys), desarrolladas y posiblemente preparar al Permite preparar el trabajo de auditoría, que debe verificarse
verificación y
Aplicaciones encuestado para responderlas, lo que aumenta durante la auditoría mediante la recopilación de otras
cuestionarios
los costos evidencias;
Permite a la organización prepararse para la visita in situ;
Seguridad y confidencialidad; Facilita la organización y permite un uso más flexible del tiempo
Ver registros, Dificultad procedimental en la visualización de por parte del equipo de auditoría;
Revisión de datos y procedimientos, documentos (por ejemplo, de forma remota y Permite una exploración más profunda de la información, mejor
documentos (asíncrona) Diagramas de navegando en el sitio web de la organización); y más independiente del auditado;
(Por ej.: revisión de flujo, monitores, Aumento del tiempo requerido (potencialmente Posibilidad de integrar experticias que no sería posible viajar al
documentos en la web) etc. consumidor de tiempo); sitio;
Posible manipulación de datos; Proporciona una buena base para entender el SGC de la
La falta de interacción con los auditados no organización, y potencialmente proporciona pistas de auditoría
permite aclaración de cuestiones; que el auditor puede utilizar durante durante las entrevistas.

© ISO & IAF 2020 – All rights reserved

"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-2020
Page 12 of 14
ISO/TC176/AHG/APG/N 23
Tecnología de la
Información y
Comunicación (TIC)
Vídeo (sincronizado)
(por ejemplo: drone,
transmisión en vivo)
Vídeo (asíncrono)
(por ejemplo: cámara de
vigilancia,
grabaciones de vídeo
tomadas a propósito
para la auditoría)
© ISO & IAF 2020 – All rights reserved
"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-2020
Transparencia - El auditado pierde la percepción
de lo que está siendo auditado y la muestra
Uso Potencial Riesgos Oportunidades
Seguimiento de Riesgos inherentes al uso y presencia de equipos; Fácil seguimiento de tareas de alto riesgo;
trabajos remotos por ejemplo, caída de drones (drone drop), uso de Aumento del muestreo;
o de alto riesgo; equipos condiciones de clima desfavorable; Ideal para actividades de auditoría donde l0s requisitos de
Visita guiada al Calidad de imagen; seguridad no permiten la presencia del equipo de auditoría, o
sitio; Apreciación total del sitio, equipos y condiciones para observar lugares e instalaciones donde la proporción
Capacidad para Veracidad de los datos tiempo de viaje versus tiempo de auditoría es alto;
ver procesos u Bueno para complementar las visitas de campo en actividades
operaciones al aire libre (por ejemplo, sitios forestales, agrícolas y minería)
alto riesgo
Atestiguar
procesos en
funcionamiento
Seguimiento de Seguridad y confidencialidad; Mayor rentabilidad (posibilidad de seleccionar sólo los
las actividades Calidad de imagen; momentos de interés del video);
que no están en Apreciación total del sitio, equipos y condiciones Posibilidad de observar lugares, instalaciones de difícil acceso y
curso en el Veracidad de los datos mejorar el muestreo
momento de la Si el registro electrónico contiene datos confidenciales que los
auditoría; criterios de la CSDP consideran que no son elegibles para la
Videos de auditoría remota, el auditor debería considerar la posibilidad de
procesos; reasignar ese la revisión de ese registro para la auditoría in situ.
Grabaciones de
voz del centro de
llamadas.
Webinars de
formación
grabados
Page 13 of 14
ISO/TC176/AHG/APG/N 23

______________________________________________________________________________________

Para obtener más información sobre el Grupo de prácticas de auditoría ISO 9001, consulte el
documento: Introducción al Grupo de prácticas de auditoría ISO 9001.

Los comentarios de los usuarios serán utilizados por el Grupo de Prácticas de Auditoría ISO 9001
para determinar si se deben desarrollar documentos de orientación adicionales, o si se deben
revisar estos documentos actuales.

Los comentarios sobre los documentos o presentaciones se pueden enviar a la siguiente dirección
de correo electrónico: charles.corrie@bsigoup.com.

Los otros documentos y presentaciones del Grupo de Prácticas de Auditoría ISO 9001 pueden
descargarse de los sitios web:

www.iaf.nu
https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html

Descargo de Responsabilidad

Este documento no ha sido sujeto a un proceso de aprobación por parte de la Organización

Internacional de Normalización (ISO), el Comité Técnico 176 de ISO o el Foro Internacional de
Acreditación (IAF).

La información que contiene está disponible con fines educativos y de comunicación.

El Grupo de Prácticas de Auditoría ISO 9001 no se hace responsable de los errores, omisiones u
otras responsabilidades que puedan surgir de la provisión o el uso posterior de dicha información.

© ISO & IAF 2020 – All rights reserved

"www.iaf.nu; https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
Editon 1 2020-04-15
Traducción libre realizada por Juan Alfredo Hermann, Oscar Ríos, Keyla Soteldo, Adria Lorena Jiménez y Cristóbal Mendoza Rev. 0. 22-04-
2020
Page 14 of 14