Las auditorías en remoto es uno de los métodos de auditoría que se describen en la ISO 19001:2018, anexo A1. Debido a la pandemia del COVID-19, en este último semestre han sido las más frecuentes. Pero hay una serie de factores que hay que tener en cuenta antes de realizarlas.
Las auditorías en remoto requieren el uso de nuevas tecnologías de la información y comunicación (TICs). Además, los auditores deben conocer tanto la ISO19001 como el documento obligatorio del foro internacional de acreditación 4 (International Accreditation Forum Mandatory Document, IAF MD 4).
Cuál es la viabilidad de una auditoría en remoto
La viabilidad de hacer una auditoría en remoto usando TICs debe ser ya establecida en el programa de auditoría. Para ello debemos:
- Determinar qué tecnología puede ser usada
- Conocer si los auditores tienen las competencias y los recursos disponibles.
- Saber la calidad de la conexión online, la velocidad a la que accede el auditado y nos muestra la evidencia por video, que puede afectar al proceso de auditoría.
- Comprobar que TICs permiten: el acceso a la documentación relevante; la identificación de los auditados preferiblemente por imagen; observar las instalaciones, procesos, actividades, etc.
- Asegurarnos entrevistar al personal involucrado y tener el acceso a la documentación relevante del Sistema de Gestión de la Calidad (SGC).
Confidencialidad, seguridad y protección de datos (CSPD)
La confidencialidad, seguridad y protección de datos (CSPD) de TICs es crítica. Se debe identificar y tomar las medidas para asegurar la implementación de la CSPD y debe haber evidencias del acuerdo entre auditor y auditados (registros, acuerdos o mails). Estas medidas de CSPD deben ser confirmadas durante la reunión de apertura.
Los auditores no pueden hacer capturas de pantalla de documentos, registros u otro tipo de evidencia sin tener una autorización previa por la organización auditada.
Cuando evaluamos la viabilidad, debemos tener en cuenta la calidad de los documentos digitalizados que tenemos que revisar. Esto es importante en aquellas organizaciones que tienen documentación en papel y tienen que escanearla para su revisión en remoto.
La evaluación de los riesgos para alcanzar los objetivos que deben ser identificados, evaluados y gestionados. Es importante conocer qué procesos actividades y lugares de la organización pueden ser auditados en remoto y qué TICs pueden ser utilizadas.
El IAF MD 4 describe las cuestiones claves para evaluar la viabilidad y el análisis de riesgos para las auditorías en remoto. Todas estas evaluaciones deben ser realizadas y documentadas para cada auditoría involucrando a todos los miembros del equipo auditor y el representante de la organización auditada.
Planificación de las primeras auditorías en remoto
La planificación de las primeras auditorías requiere más tiempo:
- Para evaluar y documentar la viabilidad y los riesgos con el auditado.
- Determinar las diferentes TICs a utilizar y cómo.
- Para definir la agenda que puede necesitar adaptar las disposiciones que difieren de una auditoría en la organización.
- Permitir a la organización identificar las personas que serán auditadas y su disponibilidad.
- Prever una prueba del uso de TICs antes de la auditoría (conexión estable y conocimiento de cómo usarla).
En el caso que sea detectada una situación de alto riesgo, la auditoría será presencial.
Otras situaciones posibles deben abordarse mediante las medidas apropiadas que se reflejarán, según sea necesario, en el plan de auditoría.
En el plan de auditoría debe identificarse claramente qué, cuándo y cómo se llevará a cabo la auditoría.
Por ejemplo, si se realizará mediante una llamada, videoconferencia compartiendo o no pantalla, reunión vía web, video a tiempo real, acceso a videos que monitorizan el lugar o la revisión asincrónica de documentos y datos.
Durante la realización de la auditoría en remoto
Durante la realización de la auditoría, en la reunión de inicio al revisar el plan de auditoría debemos:
- Confirmar la disponibilidad y viabilidad del uso de TICs.
- Revisar y acordar las medidas para asegurar la CSPD.
- Pedir permiso para realizar capturas de pantallas, si aplica.
Al utilizar TICs, en las entrevistas individuales se debe registrar el nombre y la función de la persona entrevistada e informarle qué información será registra. El auditor deberá verificar las declaraciones de los hechos con otras pruebas. Por ello, si se envían por correo electrónico, el auditor deberá garantizar el nivel de confidencialidad requerido para esos documentos.
Durante la auditoría en remoto, debe asegurarse que no haya ruido, ni interrupciones, ni perturbaciones que altere la comunicación. También es importante que durante los descansos nos aseguremos auditor y auditado se hayan silenciado o apagado el video, para mantener la confidencialidad en todo momento.
Cuando se utiliza el vídeo en tiempo real de los lugares auditados es importante que la organización demuestre la veracidad de dichas imágenes. Por ejemplo:
- Si es de un sitio de la organización, comparando con planos de planta.
- Las imágenes de un sitio geográfico, comparando con las imágenes de satélite o con la información disponible en los Sistemas de Información Geográfica (SIG).
Siempre se deben registrar las pruebas y la forma en que se recogieron las mismas, en el informe de auditoría.
Si el auditor necesita tiempo para leer o analizar información que le han proporcionado, deberá informar al auditado.
Se puede consumir tiempo por inactividad de la red, interrupciones o retrasos inesperados, problemas de accesibilidad u otros problemas de TICs. Este tiempo no debe contarse como tiempo de auditoría. Por este motivo, deben preverse tiempo extra para garantizar que se realiza la auditoría en el tiempo planificado.
Qué debe llevar el informe de auditoría en remoto
En el informe de auditoría se debe indicar claramente el grado de utilización de TICs, así como la eficacia de su uso en el logro de los objetivos de la auditoría. El informe debe indicar los procesos que no pudieron ser y deberían haber sido auditados in situ.
Además, es necesario tener el feedback del equipo de la auditoría en relación con el uso de TICs. El responsable del programa de auditoría deberá tener en cuenta esta información para actualizar los riesgos y oportunidades previamente identificados. Así como, para el ciclo de mejora continua de la organización y tenerlo en cuenta para futuras auditorías en remoto para la organización auditada u otras organizaciones.
Ventajas de una auditoría en remoto
- Comunicarse con gente mundialmente de forma remota.
- Acortar distancias.
- Reducir tiempo y costes de viaje.
- Evitamos el jet lag del auditor, cuando viajan a diferentes zonas horarias.
- Adaptar las auditorías a los diferentes modelos de las organizaciones.
- Podemos aumentar el tamaño de la muestra.
- También podemos incluir expertos en la auditoría que por costes en otras situaciones no lo podríamos incluir.
Desventajas de una auditoría en remoto
- La planificación de las primeras auditorías requiere más tiempo:
- Para evaluar y documentar la viabilidad y los riesgos con el auditado.
- Determinar las diferentes tecnologías de la información y comunicación (TICs) a utilizar y cómo.
- Para definir la agenda que puede necesitar adaptar las disposiciones que difieren de una auditoría in situ.
- Prever una prueba del uso de TICs antes de la auditoría (conexión estable y conocimiento de cómo usarla).
- La calidad de los documentos digitalizados que tenemos que revisar no sean óptimas. Esto es importante en aquellas organizaciones que tienen documentación en papel y tienen que escanearla para la revisión asincrónica de documentos y datos.
- Ruido que perturbe la comunicación. Debe asegurarse de que no haya interrupciones, ni perturbaciones durante la auditoría. En los descansos asegurarse que se ha silenciado o apagado el video.
- En las entrevistas individuales, el auditor deberá verificar las declaraciones de los hechos con otras pruebas. Si se envían por correo electrónico, el auditor deberá garantizar el nivel de confidencialidad requerido para esos documentos.
- Se puede consumir tiempo por inactividad de la red, interrupciones o retrasos inesperados, problemas de accesibilidad u otros problemas de las TIC. Por este motivo, deben preverse tiempo extra para garantizar el tiempo planificado de auditoría.
Limitaciones de una auditoría en remoto
- Los auditores deben conocer tanto la ISO19001 como la IAF MD 4.
- Requieren el uso de las nuevas TICs.
- Aseguramiento de la seguridad, protección de datos y confidencialidad (CSPD) de TICs.
- Buena calidad de la conexión. En las entrevistas la conexión debe ser buena y el entrevistado conocer la plataforma utilizada.
- Veracidad y calidad de las evidencias recogidas. Ejemplos:
- Las imágenes mostradas son a tiempo real o son grabaciones.
- Cuando se hace una visita remota a un centro ¿son zonas seleccionadas previamente? ¿estamos viendo lo mismo que veríamos si fuéramos al centro?
- ¿Tenemos acceso a toda la información relevante o sólo nos muestran lo que quieren que veamos?
Conclusiones
Por todo ello, hay que hacer una evaluación de riesgos para valorar si es necesaria una visita posterior a la organización, centro o no. Dependiendo si se han alcanzado, se han alcanzado parcialmente o no se han alcanzado, los objetivos de la auditoría en remoto.
En el caso que sea detectada una situación de alto riesgo la auditoría será in situ.
María Elena Pacheco Trujillo, alumna del Master en Gestión y Auditoría de Calidad de IMF Business School.
Formación Relacionada
Últimos posts de El Blog de IMF Smart Education (ver todo)
- ¿Vale la pena formarse en un MBA? - 18/01/2023
- Integración, procesos de planificación y certificación PMI - 19/05/2022
- Todo sobre un Consultor de Gestión de Proyectos - 10/05/2022