La Auditoría Remota a los Sistemas de Gestión

Muchas certificadoras han adoptado la auditoría remota para paliar las dificultades inherentes a la auditoría presencial tradicional durante la pandemia. ¿Seguirán utilizándola aún después que volvamos a la normalidad (¡espero!)? Muchos piensan que la auditoría remota ganará terreno y se volverá popular porque piensan que de esa manera se ahorrarán gastos de viaje y sus clientes las preferirán. Sin embargo, creo que la cosa no es tan fácil como parece a primera vista.

La auditoría remota no es nada nuevo ya que es uno de los métodos de auditoría prescritos en el anexo A.16 “Auditoría de actividades y ubicaciones virtuales” de la norma ISO 19011: 2018: “Directrices para auditar sistemas de gestión”. Allí solo se menciona que:

  • el auditado y el equipo auditor deberían asegurar los requisitos tecnológicos apropiados,
  • que la competencia del auditor debería incluir habilidades técnicas para usar los equipos electrónicos apropiados y otras tecnologías durante la auditoría y
  • tener en cuenta los riesgos asociados y asegurar la privacidad y confidencialidad durante esas auditorías.

Pero la IAF va un poco más allá en el Documento Informativo 12:2015 ed. 1, “Principios para la Auditoría Remota”, aplicable a los Organismos de Certificación como complemento de las formas tradicionales de auditoría y no necesariamente para reemplazarlas. En este documento se va a más detalle acerca de:

  • Criterios para iniciar una auditoría remota
  • Planificación y programación de auditorías remotas
  • Realización de auditorías remotas
  • Actividades post auditoría remota

A través de este documento es posible enterarse de que utilizar auditorías remotas no es una tarea fácil porque, dependiendo de las circunstancias, hay que tener en cuenta una serie de cosas que podrían afectar la decisión de utilizar o no este tipo de auditorías.

Una de las principales preguntas, antes de evaluar la viabilidad, es la voluntad de la organización cliente de dar su consentimiento para la aplicación de la auditoría remota. En una auditoría inicial de certificación ¿debería realizarse la auditoría de la etapa 1 de forma remota en el caso de una organización pequeña o mediana? Podría pensarse que la duración de la auditoría es corta, el tiempo de viaje es largo y el tiempo para la auditoría hace que sea inconveniente ir al sitio para 2 visitas separadas.

Una auditoría de etapa 1 en un sistema de gestión ISO 9001 se centra en la preparación del sistema y generalmente se centra en la información documentada. Los riesgos, en este caso, también son más fuertes para la organización. Como el auditor puede perder información por no visitar las instalaciones y la auditoría remota puede que no permita interactuar con las personas principales involucradas en el sistema, el riesgo de que el estado de preparación no esté bien evaluado en la etapa 1 es mayor y se corre el riesgo de perder la capacidad de identificar deficiencias en el sistema de gestión que podrían resolverse antes de la etapa 2.

La planificación de la auditoría remota, al menos en las primeras auditorías, llevará más tiempo por las siguientes razones:

  • evaluar y documentar la viabilidad y los riesgos con el auditado,
  • determinar las diferentes TIC utilizadas y cómo se utilizarán,
  • definir la agenda, para una mejor asignación de los temas a cada auditor que les permita hacer el mejor uso del tiempo,
  • obtener una vista previa de una prueba sobre el uso de TIC antes de la auditoría, para confirmar que existe una conexión estable y que la gente sabe cómo utilizar la tecnología.

Al realizar la auditoría remota es bueno tener en cuenta que:

  • Deben revisarse y acordarse medidas para garantizar la confidencialidad y la seguridad. Si el auditor tiene la intención de realizar capturas de pantalla, copias de documentos u otro tipo de registros, debe solicitar permiso.
  • Al utilizar las TIC para entrevistar a personas, el equipo auditor debe registrar el nombre y la función de las personas entrevistadas y decirles qué información se está reteniendo y verificar las declaraciones de hechos con otras evidencias.
  • Al usar video para ver imágenes en vivo en línea de sitios remotos, es importante pedir a la organización que demuestre la veracidad de las imágenes.
  • También es importante asegurarse de que no haya ruido que perturbe la comunicación.
  • Es importante tener en cuenta las pequeñas interrupciones, típicas de las que suelen ocurrir de forma no planificada en una auditoría in situ. Estar sentado y usar la pantalla continuamente puede resultar agotador. Permitir pequeños intervalos para estirar las piernas y reducir la fatiga ocular ayuda a mejorar la atención al recibir comentarios. También es necesario que el auditor informe al auditado cuando se requiere una interrupción para leer y analizar la información que se ha proporcionado.
  • Deben establecerse disposiciones para asegurar el tiempo de auditoría. Si se consume tiempo en problemas como el tiempo de inactividad de la red, interrupciones o retrasos inesperados, problemas de accesibilidad u otros desafíos de las TIC, este tiempo no debe contarse como tiempo de auditoría.

Las conclusiones de la auditoría remota deben indicar claramente el alcance del uso de las TIC y la eficacia de su uso en lograr los objetivos de la auditoría.

Como pueden ver aquí resumido y consultando los documentos de referencia, realizar auditorías remotas para fines de certificación de sistema de gestión no es una tarea fácil y, antes de adoptarlas, espero que consideren muy atentamente los riesgos y oportunidades involucrados.

 

Referencias:

ISO 19011:2018 < A.16 “Auditoría de actividades y ubicaciones virtuales”

IAF MD 4: 2018 Rev 2 < “Documento obligatorio para el uso de tecnología de información y comunicación (TIC) con fines de auditoría / evaluación”

IAF – Documento Informativo 12:2015 ed. 1 < “Principios para la Auditoría Remota”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *