Una de las mayores experiencias de la pandemia ha sido el obligarnos a hacer las cosas de una manera diferente, a buscar alternativas para seguir cumpliendo con nuestros objetivos. Las auditorías remotas han sido un gran aprendizaje, que presentan ventajas de costos y logísticos las cuales aún son de ayuda para poderlas mantener dentro de nuestras prácticas de auditoría a los sistemas de Gestión integrados.
Pero para el correcto desarrollo del ejercicio de auditoría remota, la organización ISO creo la guía: ISO 9001 Auditing Practices Group Guidance on Remote Audits. La cual tiene algunas recomendaciones para el desarrollo de auditorías de primera y segunda parte.
- El manejo de las tecnologías de la información y la comunicación (TIC): Las personas deben tener acceso a herramientas de comunicación e interacción que permitan el desarrollo de la entrevista, poder compartir pantalla que permita mostrar aplicativos, archivos digitales, archivos en medio físico y en caso de ser necesario, de acuerdo a los objetivos de auditoría establecidos, acceder por medio de video a las instalaciones, procesos y actividades relevantes para la auditoría. En este último caso es de resaltar que a pesar de existir aplicaciones versátiles que facilitan las comunicaciones, es necesario, evaluar la opción de realizar de manera presencial la visitas a las instalaciones del proceso principalmente en los casos de procesos complejos o instalaciones de gran tamaño.
El manejo de las tecnologías de la información incluye no solamente tener credenciales de acceso a la(s) aplicación(es) sino tener la competencia para su manejo por parte del equipo auditor y los auditados.
- La Confidencialidad, seguridad y la protección de los datos: Previamente a la auditoría se deben identificar los requerimientos de confidencialidad, seguridad y protección de los datos de la organización y sus clientes, así como la identificación de los procedimientos para el total cumplimiento con estos requerimientos. Estos procedimientos deben ser dados a conocer a la totalidad de los participantes del proceso de auditoría.
- Evaluación del riesgo: Se deben identificar, evaluar y gestionar los riesgos para alcanzar los objetivos de la auditoría, dentro del análisis se deben analizar los riesgos asociados al ejercicio de auditoría remota, el cual debe incluir adicionalmente a lo citado en este artículo, la estabilidad y calidad de la conexión a internet, la autenticación-identificación de los auditados, el acceso a la información relevante para la auditoría, entre otros.
- Mayor tiempo de Planificación de la Auditoría: En los primeros ejercicios de auditoría remota se deben incluir los siguientes elementos para asegurar la adecuada planificación del ejercicio de auditoría:
- Evaluar y documentar la factibilidad y los riesgos asociados a la auditoría
- Determinar las diferentes TIC disponibles y cómo serán usadas.
- Realizar test previos de las TIC para confirmar conexión estable, que la información y los programas sean visibles y que los participantes sepan cómo utilizar esta tecnología.
- Segundas opciones en caso de alguna falla de conexión.
Y finalmente, una vez terminada la auditoría, en el informe se deben incluir conclusiones sobre en relación con la extensión y uso de las tecnologías de la información y su eficacia en el logro de los objetivos de la auditoría.
