Guía ISO para auditar sistemas de calidad electrónicos

El Grupo de Prácticas de Auditoría, conformado por expertos de la Organización Internacional de Normalización y del Foro Internacional de Acreditación, publicaron el documento titulado Directrices sobre auditoría de los sistemas de gestión con base electrónica (SGBE).

Este documento fue traducido al español por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), y es transcrito a continuación:

 

La creciente dependencia de las organizaciones de los medios electrónicos para la operación y el control de sus sistemas de gestión requiere que los organismos de certificación y sus auditores busquen enfoques nuevos para garantizar que las auditorías serán eficaces y eficientes.

 

Puede ser necesario redefinir la forma en que se evalúan los procesos y los documentos relacionados (incluyendo los registros) para verificar el cumplimiento de los requisitos de auditoría.

 

Este documento se ha desarrollado para proporcionar directrices generales para la realización de auditorías de sistemas de gestión que tienen base electrónica total o que tienen un alto grado de documentación en medios electrónicos. También suministra directrices para que los organismos de certificación y los auditores las tengan en cuenta como complemento de las actividades normales de planificación y preparación que se deberían llevar a cabo antes de una auditoría.

 

Este documento se enfoca en aquellos requisitos de ISO 9001 en donde existe la posibilidad de usar documentos, registros electrónicos, etc. y también en donde el acceso a tales documentos/registros se puede controlar con sistemas electrónicos.

 

Este documento está destinado a auditores de sistemas de gestión que tienen un rango amplio y variado de experiencia práctica con relación a los sistemas de gestión con base electrónica (SGBE) - es decir, sistemas de gestión que dependen de documentos y datos electrónicos, y aplicaciones de software para su operación normal. No obstante, está redactado en un estilo que también permitirá su uso por parte de aquellos que sólo tiene experiencia limitada en computadores y SGBE.

 

Se trate de un organismo de certificación por tercera parte, un organismo de acreditación o una función de auditoría interna, la organización que realiza la auditoría (“la organización auditora”) es responsable de garantizar la eficacia del proceso de auditoría para el SGBE. Este documento emplea la directriz suministrada en ISO 19011, y sugiere enfoques que pueden usar los auditores de ISO 9001 y otras normas de sistemas de gestión para verificar la conformidad con la norma referenciada. Los auditores y las organizaciones auditoras deberían hacer los ajustes necesarios para asegurar un enfoque adecuado a medida que ejecutan las etapas del proceso de auditoría indicadas en ISO 19011.

 

Es recomendable observar que la destreza en la auditoría de un SGBE no se debería considerar excusa para reducir la duración de la auditoría, sino un medio para optimizar la eficacia y la eficiencia de la auditoría.

 

Este documento no pretende suministrar directrices para los controles de auditoría asociados con la seguridad de la información para los SGBE. Aquellos interesados en los controles adicionales asociados con la seguridad de la información se remiten a la norma ISO/IEC 17799, la cual es una norma completa sobre estos temas.

 

2. Iniciación y planificación de la auditoría

 

Durante la etapa de iniciación de la auditoría (primera etapa de la auditoría) la organización auditora debería determinar la estructura de la organización que va a auditar y el grado hasta el cual su sistema de gestión tiene base electrónica. Una organización con múltiples sitios con un SGBE centralizado o una organización “virtual” requerirán diferentes planes y métodos de auditoría que para un solo sitio y/o una organización física.

 

Se recomienda que la organización auditora y el auditado acuerden la forma en que los auditores tendrán acceso y usarán el SGBE. Esto puede implicar la consideración de los siguientes aspectos:

 

- Dar la oportunidad a los miembros del equipo auditor de familiarizarse con el SGBE del auditado (incluyendo la programación de tiempo suficiente dentro del plan de auditoría para tal orientación).

- Las políticas del auditado para la utilización de su infraestructura de tecnología de la información.

- Instrucciones para el acceso y las autorizaciones de seguridad necesarias para dicho acceso a los documentos y registros organizacionales pertinentes.

- Salvaguardas y procesos que garanticen que todos los auditores protegen la confidencialidad de los documentos y registros electrónicos, durante y después de la auditoría.

 

La organización auditora debería garantizar que hay suficiente competencia dentro de su equipo auditor seleccionado para llevar a cabo una evaluación eficaz del SGBE.

 

3. Revisión de documentos

 

Dependiendo de si el auditado tiene o no la capacidad de poner a disposición su documentación mediante una aplicación con base en la web o a través de transmisión de correo electrónico, la organización auditora puede realizar parte o la totalidad de la revisión de documentos fuera del sitio, bien sea en línea o descargando la documentación electrónica suministrada por correo electrónico.

 

Dependiendo de factores técnicos y de seguridad puede no ser factible realizar una revisión completa del SGBE de una organización en línea ni mediante transmisión por correo electrónico de los documentos pertinentes antes de llegar al sitio. En tales casos, podría ser necesario que las actividades de preparación de la auditoría que requieren de la revisión de documentos electrónicos se lleven a cabo en las instalaciones del auditado durante la primera etapa de la auditoría.

 

4. Actividades en el sitio

 

El enfoque de la auditoría para sistemas de gestión con base electrónica dependerá ampliamente de qué tanta cantidad de la evidencia requerida para determinar la conformidad esté en forma de registros electrónicos.

 

Durante la realización de las actividades en el sitio, la senda del auditor debería incluir normalmente la ubicación física del proceso que se está auditando. Sin embargo, con un SGBE el tiempo necesario para confirmar la evidencia para determinar si se cumplen o no los requisitos se puede dedicar en una estación de trabajo de computador que puede o no estar cerca del proceso real.

 

Cuando las estaciones de trabajo de computador están en áreas remotas que no son accesibles en el sitio del proceso físico, se puede reducir el tiempo real de auditoría en la ubicación física del proceso. Sin embargo, el tiempo global de evaluación no necesariamente se reduce dado que la revisión de la evidencia electrónica puede darse antes y/o después de confirmar la existencia del proceso físico.

 

Cuando la estación de trabajo asociada está alejada, se recomienda especial consideración al tiempo necesario para el desplazamiento hacia y desde la ubicación física del proceso.

 

Cuando el proceso depende de la intervención humana, es recomendable que el auditor evalúe los métodos empleados para la interacción entre el proceso físico y los medios electrónicos para asegurar la exactitud de la información asociada.

 

5. Auditoría del control de los documentos electrónicos

 

Los documentos electrónicos que establecen las políticas y los procedimientos del sistema de gestión pueden estar en diferentes formatos de archivo dependiendo de las aplicaciones de software que utilice la organización para generarlos. Los formatos de archivo electrónico incluyen texto, HTML, PDF, etc. Los formatos de hoja de cálculo y bases de datos también se consideran “documentos” electrónicos sujetos a los elementos de control del sistema de gestión que se está auditando.

 

Dada la relativa facilidad con la que los usuarios pueden crear actualmente hojas de cálculo electrónicas y otros documentos electrónicos, los auditores deberían asegurarse de que las políticas que rigen los controles que se aplican a la documentación general del sistema de gestión también se emplean para los documentos electrónicos a través de procedimientos adecuados.

 

Es necesario que las organizaciones empleen métodos eficaces y adecuados dentro del entorno electrónico que garanticen revisión, aprobación y distribución adecuadas de su documentación del sistema de gestión. Esto debería ser consistente con los métodos para el desarrollo y la modificación de los documentos electrónicos.

 

En muchos casos las medidas de control de documentos también pueden ser características normales de las aplicaciones de software utilizadas para su creación. Por lo tanto, es recomendable que los auditores entiendan estos controles específicos de la aplicación en la medida en que éstos se utilicen como base para el cumplimiento de la norma del sistema de gestión aplicable.

 

Debido a la creciente capacidad para modificar, actualizar, volver a dar formato y mejorar documentos en otras maneras dentro de un sistema de gestión con base electrónica, los auditores deberían poner atención particular a los elementos de control tales como la identificación de los documentos y el nivel de revisión de los documentos.

 

Puesto que los medios electrónicos facilitan una velocidad aumentada de las modificaciones de los documentos, los auditores deberían verificar que se tienen en cuenta los controles empleados para la gestión de los documentos obsoletos en las políticas y los procedimientos de control de documentos de la organización.

 

Es recomendable que los auditores verifiquen que la documentación del SGBE existe para orientar a los usuarios con relación a los aspectos funcionales y de control asociados con los documentos electrónicos. Además, los requisitos del “punto de uso” asociados con las normas del sistema de gestión aplicables comúnmente serán abordados, en parte, por las políticas de acceso a los documentos de la organización. Los auditores deberían entender las políticas y los procedimientos de la organización relacionados con los privilegios de usuario ya que éstos se convierten en factores importantes para la realización adecuada de los procesos de la organización.

 

La comunicación electrónica externa con proveedores, clientes y otras partes interesadas puede implicar el intercambio de documentos. Dado que estos documentos externos pueden contener parámetros clave que especifican el funcionamiento de los procesos de la organización, los auditores deberían verificar el grado hasta el cual estos documentos se introducen y controlan formalmente dentro del sistema de gestión con base electrónica.

 

6. Auditoría del control de los registros electrónicos

 

Los registros electrónicos consisten en los datos de salida de los procesos junto con los formatos electrónicos que albergan a los datos. Estos formatos electrónicos van desde simples documentos en hojas de cálculo hasta aplicaciones de bases de datos más complejas.

 

Es recomendable que los auditores tengan conciencia de que los elementos de control que las organizaciones establecen para los formularios electrónicos no son necesariamente los mismos que se aplican a los registros electrónicos. Por ejemplo, con respecto a la “identificación”, en el caso de formularios electrónicos, el término se refiere a la nomenclatura del formulario electrónico en sí. Cuando la “identificación” se considera en el caso de un registro electrónico, ésta se refiere al uso único del formulario electrónico para un conjunto determinado de datos.

 

Los auditores deberían revisar los métodos utilizados por la organización para la captura de datos con el objeto de garantizar que las actividades de ingreso de los datos brindan confianza suficiente en su exactitud.

 

Cuando se evalúan los controles de la organización con respecto al almacenamiento de registros, se recomienda que los auditores verifiquen si las organizaciones entienden su capacidad de almacenamiento frente a:

 

- la tasa de generación de registros;

- las políticas de retención de registros y los marcos temporales asociados;

- la tasa de disposición final de los documentos,

 

dado que estos factores pueden tener impacto en el funcionamiento adecuado del SGBE.

 

Puesto que la base de conocimiento y el desempeño de la organización pueden estar casi en su totalidad en los registros electrónicos, los auditores deberían revisar los enfoques de la organización para asegurar la información contenida en los medios electrónicos. Para mayor información consulte la norma ISO / IEC 17799.

 

7. Recursos de la organización

 

A medida que las organizaciones migran hacia la utilización de un SGBE, el papel de las funciones de la tecnología de la información se hace vital. Es recomendable que los auditores verifiquen si la organización ha dedicado recursos de tecnología de la información adecuados (incluyendo infraestructura) para garantizar que el SGBE funciona continua y eficazmente.

 

Los auditores también deberían verificar si la organización ha definido adecuadamente el grado de interacción, soporte y participación del personal de tecnología de la información en los asuntos asociados con el establecimiento, la documentación, la implementación y el mantenimiento del SGBE.

 

Como parte de la verificación de la asignación de los recursos adecuados, los auditores deberían evaluar la forma en que la organización aborda la competencia requerida del personal que opera el hardware y el software para ejecutar el SGBE.

 

Durante la instauración de un SGBE, es común que se establezcan sistemas paralelos (de copia impresa y electrónicos) durante un periodo de tiempo que permita la adaptación de los usuarios. En estos casos es conveniente que el auditor verifique los enfoques de la organización para asegurarse de que el SGBE realmente es asimilado y utilizado por el personal de la organización.

 

La complejidad de las infraestructuras de tecnología de la información de las organizaciones variará dependiendo de la naturaleza y complejidad de los negocios. Los auditores deberían verificar las políticas y los procedimientos de mantenimiento del sistema de una organización para su plataforma de tecnología de la información. También se recomienda que los auditores verifiquen la manera en que la organización trata los incidentes de caída del sistema, ya que éstos pueden tener impacto en el funcionamiento normal del SGBE. Los auditores deberían evaluar si la organización tiene o no sistemas formales de soporte y si éstos se revisan o no periódicamente y se prueba su idoneidad.

 

Con respecto al software, se recomienda que los auditores verifiquen los controles establecidos para el software interno y externo, las licencias y las actualizaciones del software. Puesto que el software se puede considerar un documento electrónico dinámico, las directrices suministradas previamente para la auditoría de documentos también se deberían aplicar a éste.

 

En la medida en que las organizaciones utilizan software para su SGBE, los auditores deberían revisar la funcionalidad de las aplicaciones y su relación con los elementos del sistema de gestión definidos en los criterios aplicables.

 

Puesto que los factores ambientales pueden tener impacto en el funcionamiento de una plataforma de tecnología de la información, las organizaciones deberían tomar medidas para la protección contra dichos factores. Estas medidas pueden variar desde la necesidad de instalaciones o recintos adecuados hasta la necesidad de suministro de energía sin interrupción (UPS). Es conveniente que los auditores evalúen si en los controles de la organización se toman en consideración aspectos tales como mantenimiento, temperatura, humedad, etc. de las instalaciones, en la medida en que ellos influyen en la operación del SGBE.

 

8. Comunicación electrónica interna y externa

 

Debido al incremento en las opciones disponibles y la facilidad de uso de la comunicación electrónica, las organizaciones deberían asegurarse de que el sistema de gestión documentado aborda estos medios, según sea necesario, para garantizar la consistencia en su utilización para cumplir los requisitos de sus SGBE y de la norma del sistema de gestión que se aplica.

 

Cuando se utilizan intranets, correo electrónico (e-mail) y mensajería instantánea para cumplir los requisitos del SGBE, los auditores deberían verificar que las políticas y los procedimientos tratan las circunstancias en las cuales se deberían emplear estos medios. Además, si los resultados de la comunicación interna se han de usar para satisfacer los criterios de auditoría, entonces los auditores deberían verificar la aplicación de las políticas y los procedimientos para el control de registros.

 

Cuando la organización depende de la infraestructura de su tecnología de la información para las comunicaciones electrónicas con sus clientes (por ejemplo para el comercio electrónico), proveedores (adquisición electrónica), sitios externos y otras partes interesadas, es conveniente que el auditor verifique que la metodología, las políticas y los procedimientos para estas comunicaciones y las transacciones asociadas se traten formalmente en su SGBE.

 

9. Sistemas de gestión de múltiples sitios

 

Las organizaciones que operan a través de múltiples sitios (o desde una ubicación central hasta sitios satélites) normalmente mantienen comunicaciones y comparten políticas y datos de procesos y procedimientos con sus diferentes sitios a través de medios electrónicos, como Internet, extranet, correo electrónico y mensajería instantánea.

 

Cuando se utilice la plataforma de tecnología de la información y sus aplicaciones de software asociadas para compartir información que es pertinente para los criterios de auditoría, los auditores deberían entender los diferentes medios de trabajo en red empleados por la organización, en la medida en que sea necesario para determinar si el SGBE satisface los criterios de auditoría.

 

Es conveniente que los auditores verifiquen si los controles en un sistema de gestión de múltiples sitios se abordan y establecen adecuadamente dentro de las políticas y los procedimientos de la organización.

 

10. Competencia del auditor

 

La confiabilidad del proceso de auditoría para el SGBE dependerá de la capacidad de los auditores para entender las tendencias de la tecnología de la información puesto que las organizaciones dependen cada vez más del software para el monitoreo y el control de sus operaciones.

 

Las organizaciones auditoras deberían tomar las medidas necesarias, incluyendo la provisión de entrenamiento, para enfrentar las necesidades generales e individuales de su base de auditores con respecto a:

 

- Tendencias generales de la tecnología de la información que pueden tener impacto en la operación de los sistemas de gestión.

 

- Consideraciones específicas de auditoría para cada asignación de auditoría que emprendan.

 

Ya que las innovaciones en el sector de la tecnología de la información son relativamente rápidas en comparación con los cambios en los criterios de auditoría, los auditores y las organizaciones auditoras tienen el reto de la necesidad de tener comprensión práctica de las tendencias asociadas y cómo se pueden aplicar y utilizar dentro de un SGBE.

 

En vista de las innovaciones que influyen en el funcionamiento de un SGBE, las organizaciones auditoras deberían determinar si el equipo auditor posee la experiencia necesaria para tener eficacia en una auditoría determinada o si se requeriría de la asistencia de un experto técnico.

 

La versión original en inglés de este documento se encuentra disponible en los siguientes sitios Web:

 

www.iaf.nu

www.iso.org/tc176/ISO9001AuditingPracticesGroup

 

La traducción al español se encuentra en:

 

http://www.icontec.org.co/index.php?section=578

Escribir comentario

Comentarios: 0