WBO - ISO 19011 2018

ID IAF 12: 2015 Principios sobre evaluación

remota

IAF MD 4: 2018 El uso de la tecnología de la

información y la

comunicación (TIC) para fines de auditoría

/evaluación

Auditorias

Asistidas por TIC´s

Psicólogo

Auditor Internacional BASC 15-011-6

Auditor Líder de calidad 9K 2015

Registro SCS/SSCE/ QMSLAC/ 506281/P/ 10305 SGS United Kingdom

GP1000 2009

ISO 28000 28001 37001

Entender las

prácticas y

métodos de

auditoria asistidas

por computador

Objetivo

Auditoria

3.1 Auditoría. Proceso sistemático,

independiente y documentado para

obtener evidencias objetivas (3.8) y

evaluarlas de manera objetiva con el fin de

determinar el grado en que se cumplen los

criterios de auditoría (3.7)

Auditoria

Las actividades de auditoría remota se

realizan en cualquier lugar que no sea la

ubicación del auditado,

independientemente de la distancia. (ISO

19011: 2018)

Auditorias internas al sistema

de gestión

Contexto de la empresa

Herramientas tecnológicas

Alcance

Alcance técnico

Procesos

Sistemas de gestión

Alcance geográfico

1. Integridad

2. Presentación imparcial

3. Debido cuidado profesional

Principios

4 Confidencialidad

5 Independencia

6 Enfoque basado en la

evidencia

7 Auditoria basada en el

riesgo

Principios

Tipos de auditorias

1.Auditorias Internas

2. De segunda parte

5. Gestión de un programa de auditoría

Generalidades de la norma

ISO 19011 2018

Contribuir a la mejora del

sistema de gestión y a su

desempeño

Cumplir los requisitos

externos

Verificar la conformidad con

los requisitos contractuales;

Ejemplos de objetivos de un programa

de auditoría incluyen los siguientes:

Obtener y mantener la confianza en la capacidad de un proveedor;

Determinar la eficacia del sistema de gestión;

Evaluar la alineación de los objetivos del sistema de gestión con la

política y los objetivos globales de la organización

Ejemplos de objetivos de un programa

de auditoría incluyen los siguientes:

5.3.1 Funciones y responsabilidades de la persona

responsable de la gestión del programa

— Establecer el alcance del programa;

— Identificar y evaluar los riesgos para el programa;

— Establecer las responsabilidades de la auditoría;

— Establecer procedimientos para los programas;

— Determinar los recursos necesarios;

5.3 Establecimiento del programa

de auditoría

5.3.1 ...

Implementar el programa, establecer los objetivos, el alcance y

los criterios de auditoría, determinar los métodos y la

selección y evaluación del equipo auditor;

Gestionar los registros;

Seguimiento, revisión y mejora del programa de auditoría.

Informar a la dirección del programa de auditoría

5.3 Establecimiento del programa

de auditoría

5.3.2 Competencia de la persona responsable de la gestión

del programa

5.3 Establecimiento del programa

de auditoría

5.3.3 Determinar el alcance del programa

5.3.4 Identificar y evaluar los riesgos relacionados con

el programa

5.3.5 Establecer los procedimientos para el programa

5.3.6 Identificar los recursos del programa

5.3 Establecimiento del programa

de auditoría

6.2 Inicio de la auditoria

6.3 Preparación de

actividades de auditoría

Contenido del plan de auditoria

Objetivo y Alcance.

Documentos de Referencia.

Equipo Auditor.

Lugar y Fecha.

Agenda (Itinerario).

Programación de la reunión de apertura y cierre.

Datos confidenciales (según aplique).

6.4 Realización de las

actividades de auditoría

6.4 Realización de las

actividades de auditoría

Asegurar que el equipo auditor está usando los protocolos de

acceso remoto acordados, incluyendo los dispositivos,

software, etc. requeridos;

Si se toman copias de capturas de pantalla de documentos

de cualquier tipo, pedir permiso por adelantado y considerar

las cuestiones de confidencialidad y seguridad, y evitar

grabar a las personas sin su permiso;

Actividades de la auditoría

virtual

Actividades de la auditoría

virtual

Actividades de la auditoría

virtual

https://youtu.be/SRhyRvTQXVU

Si sucede un incidente durante el acceso remoto, el líder del

equipo auditor debería revisar la situación con el auditado y,

si es necesario, con el cliente de la auditoría, y llegar a un

acuerdo sobre si la auditoría se debería interrumpir,

reprogramar o continuar;

Usar planos/diagramas de planta de la ubicación remota

como referencia;

Actividades de la auditoría

virtual

Si sucede un incidente durante el acceso remoto, el líder del

equipo auditor debería revisar la situación con el auditado y,

si es necesario, con el cliente de la auditoría, y llegar a un

acuerdo sobre si la auditoría se debería interrumpir,

reprogramar o continuar;

Usar planos/diagramas de planta de la ubicación remota

como referencia;

Actividades de la auditoría

virtual

Mantener la privacidad

durante las pausas en la

auditoría.

Disposición de la

información y de las

evidencias de

auditoría,una vez que

haya pasado la necesidad

de su conservación.

Actividades de la auditoría

virtual

A.16 Auditoría de actividades y ubicaciones virtuales

Las auditorías virtuales se realizan cuando una

organización desempeña trabajo o proporciona un

servicio usando un entorno en línea que permite a las

personas con independencia de la ubicación física,

ejecutar procesos (por ejemplo, la intranet de la

empresa, una “computación en la nube”).

Actividades de la auditoría

virtual

Se refiere a la auditoría de una ubicación virtual como

auditoría virtual.

Las auditorías remotas hacen referencia al uso de

tecnología para recopilar información, entrevistar a un

auditado, etc., cuando los métodos “cara a cara” no son

posibles o deseables.

Una auditoría virtual sigue el proceso estándar de

auditoría a la vez que se usa la tecnología para verificar

las evidencias objetivas.

Actividades de la auditoría

virtual

Actividades de la auditoría

virtual

Asegurar los requisitos

tecnológicos apropiados para

las auditorías virtuales, que

pueden incluir:

Asegurarse de que el equipo

auditor está usando los

protocolos de acceso remoto

acordados, incluyendo los

dispositivos, sofware, etc,

requeridos:

https://www.youtube.com/watch?v=10SsEYH0zYA

https://www.youtube.com/watch?v=10SsEYH0zYA

https://www.youtube.com/watch?v=SfHJgTSjsEo

Realizar verificaciones antes

de la auditoría para resolver

cuestiones técnicas;

Disponer de planes de

contingencia (por ejemplo,

interrupción del acceso, uso

de tecnologías alternativas),

incluyendo la provisión de

tiempo adicional para la

auditoría si es necesario.

La competencia del auditor debería incluir:

Habilidades técnicas para usar los equipos electrónicos

apropiados y otras tecnologías durante la auditoría;

Experiencia en facilitar reuniones virtualmente para

realizar la auditoría de manera remota.

Al llevar a cabo la reunión de apertura o la auditoría

virtual, el auditor debería tener en consideración los

siguientes elementos:

— Los riesgos asociados con las auditorías virtuales o

remotas;

— Usar planos/diagramas de planta de las ubicaciones

remotas como referencia o para asignar información

electrónica;

— Facilitar la prevención de interferencias e

interrupciones en la señal por ruidos de fondo;

— Pedir permiso por adelantado para tomar capturas de

pantalla de documentos o cualquier tipo de grabación, y

considerar las cuestiones de confidencialidad y

seguridad;

— Asegurar la confidencialidad y la privacidad durante las

pausas en la auditoría, por ejemplo silenciando los

micrófonos, pausando las cámaras.

La conectividad

La continuidad de la

auditoria

El acceso a información

contextual, lo que se vé,

se oye, se siente, se

percibe

Debilidades de las auditorias

asistidas por computador

La comodidad en el

manejo de la evidencia

Seguridad de la

información

El acceso a la

información en

empresas donde no todo

está digitalizado

Debilidades de las auditorias

asistidas por computador

Accesibilidad

Continuidad del sistema

Economía en

movilizaciones

Economía en tiempo de

auditoria

Fortalezas de las auditorias

asistidas por computador

Permite saber cómo se

está comportando la

empresa y el sistema de

gestión en periodos de

crísis donde no hay

acceso físico a las áreas

de operación

Fortalezas de las auditorias

asistidas por computador

Determinar quiénes

tienen

Voz y voto

Voz sin voto

Sin voz ni voto

Quienes pueden participar

Violar el procedimiento de

control de información

documentada

Violar el derecho a la

intimidad

Violar las políticas de

seguridad de la información

No es buena práctica...

Violar los principios de

auditoria

Violar las restricciones

legales de movilidad para

cumplir con la auditoria

Grabar (audio/video) la

auditoria sin autorización

No es buena práctica...

Tomar evidencias de los

procesos (es mejor tomar

las notas que describen las

evidencias)

No es buena práctica...

Aplicar los principios de

auditoria

Adecuar el procedimiento de

auditoria interna

Adecuar el procedimiento de

control de información

documentada

Buena práctica...

Preparar al equipo auditor

para el uso de las

herramientas tecnológicas a

utilizar

Preparar a los auditados

para el uso de las

herramientas para presentar

sus evidencias de auditoria

Buena práctica...

Utilizar expertos técnicos

para el apoyo en el uso de

las tecnologías para la

auditoria

Asegurar la trazabilidad de

las evidencias de la fase 1 y

la fase 2

Buena práctica...

Contenido del Informe de auditoria

• Objetivo y Alcance.

• Itinerario de la auditoria (lugares y fechas).

• Identificar la documentación de referencia.

• Listas de Verificación.

• Integrantes del equipo auditor.

Contenido del Informe de auditoria

• Personal auditado.

• Resumen de Hallazgos de cumplimiento detallado, fácil de

leer y comprensible.

• Identificar Hallazgos de Incumplimiento la(s) No-

Conformidad(es)

William Sánchez Guerrero

Auditor Internacional Basc 15011-6 v5Auditor Lider de Calidad ISO 9001:2008/2015, Registro

SCS/SSCE/ QMSLAC/ 506281/P/ 10305 SGS United

Kingdom.

NTC GP 1000:2009

ISO 28000 -28001-37001

Psicólogo