Download - Auditorias Asistidas por TIC´s - EDUBASC
WBO - ISO 19011 2018
ID IAF 12: 2015 Principios sobre evaluación
remota
IAF MD 4: 2018 El uso de la tecnología de la
información y la
comunicación (TIC) para fines de auditoría
/evaluación
Auditorias
Asistidas por TIC´s
Psicólogo
Auditor Internacional BASC 15-011-6
Auditor Líder de calidad 9K 2015
Registro SCS/SSCE/ QMSLAC/ 506281/P/ 10305 SGS United Kingdom
GP1000 2009
ISO 28000 28001 37001
Entender las
prácticas y
métodos de
auditoria asistidas
por computador
Objetivo
Auditoria
3.1 Auditoría. Proceso sistemático,
independiente y documentado para
obtener evidencias objetivas (3.8) y
evaluarlas de manera objetiva con el fin de
determinar el grado en que se cumplen los
criterios de auditoría (3.7)
Auditoria
Las actividades de auditoría remota se
realizan en cualquier lugar que no sea la
ubicación del auditado,
independientemente de la distancia. (ISO
19011: 2018)
Auditorias internas al sistema
de gestión
Contexto de la empresa
Herramientas tecnológicas
Alcance
Alcance técnico
Procesos
Sistemas de gestión
Alcance geográfico
1. Integridad
2. Presentación imparcial
3. Debido cuidado profesional
Principios
4 Confidencialidad
5 Independencia
6 Enfoque basado en la
evidencia
7 Auditoria basada en el
riesgo
Principios
Tipos de auditorias
1.Auditorias Internas
2. De segunda parte
5. Gestión de un programa de auditoría
Generalidades de la norma
ISO 19011 2018
Contribuir a la mejora del
sistema de gestión y a su
desempeño
Cumplir los requisitos
externos
Verificar la conformidad con
los requisitos contractuales;
Ejemplos de objetivos de un programa
de auditoría incluyen los siguientes:
Obtener y mantener la confianza en la capacidad de un proveedor;
Determinar la eficacia del sistema de gestión;
Evaluar la alineación de los objetivos del sistema de gestión con la
política y los objetivos globales de la organización
Ejemplos de objetivos de un programa
de auditoría incluyen los siguientes:
5.3.1 Funciones y responsabilidades de la persona
responsable de la gestión del programa
— Establecer el alcance del programa;
— Identificar y evaluar los riesgos para el programa;
— Establecer las responsabilidades de la auditoría;
— Establecer procedimientos para los programas;
— Determinar los recursos necesarios;
5.3 Establecimiento del programa
de auditoría
5.3.1 ...
Implementar el programa, establecer los objetivos, el alcance y
los criterios de auditoría, determinar los métodos y la
selección y evaluación del equipo auditor;
Gestionar los registros;
Seguimiento, revisión y mejora del programa de auditoría.
Informar a la dirección del programa de auditoría
5.3 Establecimiento del programa
de auditoría
5.3.2 Competencia de la persona responsable de la gestión
del programa
5.3 Establecimiento del programa
de auditoría
5.3.3 Determinar el alcance del programa
5.3.4 Identificar y evaluar los riesgos relacionados con
el programa
5.3.5 Establecer los procedimientos para el programa
5.3.6 Identificar los recursos del programa
5.3 Establecimiento del programa
de auditoría
6.2 Inicio de la auditoria
6.3 Preparación de
actividades de auditoría
Contenido del plan de auditoria
Objetivo y Alcance.
Documentos de Referencia.
Equipo Auditor.
Lugar y Fecha.
Agenda (Itinerario).
Programación de la reunión de apertura y cierre.
Datos confidenciales (según aplique).
6.4 Realización de las
actividades de auditoría
6.4 Realización de las
actividades de auditoría
Asegurar que el equipo auditor está usando los protocolos de
acceso remoto acordados, incluyendo los dispositivos,
software, etc. requeridos;
Si se toman copias de capturas de pantalla de documentos
de cualquier tipo, pedir permiso por adelantado y considerar
las cuestiones de confidencialidad y seguridad, y evitar
grabar a las personas sin su permiso;
Actividades de la auditoría
virtual
Actividades de la auditoría
virtual
Actividades de la auditoría
virtual
https://youtu.be/SRhyRvTQXVU
Si sucede un incidente durante el acceso remoto, el líder del
equipo auditor debería revisar la situación con el auditado y,
si es necesario, con el cliente de la auditoría, y llegar a un
acuerdo sobre si la auditoría se debería interrumpir,
reprogramar o continuar;
Usar planos/diagramas de planta de la ubicación remota
como referencia;
Actividades de la auditoría
virtual
Si sucede un incidente durante el acceso remoto, el líder del
equipo auditor debería revisar la situación con el auditado y,
si es necesario, con el cliente de la auditoría, y llegar a un
acuerdo sobre si la auditoría se debería interrumpir,
reprogramar o continuar;
Usar planos/diagramas de planta de la ubicación remota
como referencia;
Actividades de la auditoría
virtual
Mantener la privacidad
durante las pausas en la
auditoría.
Disposición de la
información y de las
evidencias de
auditoría,una vez que
haya pasado la necesidad
de su conservación.
Actividades de la auditoría
virtual
A.16 Auditoría de actividades y ubicaciones virtuales
Las auditorías virtuales se realizan cuando una
organización desempeña trabajo o proporciona un
servicio usando un entorno en línea que permite a las
personas con independencia de la ubicación física,
ejecutar procesos (por ejemplo, la intranet de la
empresa, una “computación en la nube”).
Actividades de la auditoría
virtual
Se refiere a la auditoría de una ubicación virtual como
auditoría virtual.
Las auditorías remotas hacen referencia al uso de
tecnología para recopilar información, entrevistar a un
auditado, etc., cuando los métodos “cara a cara” no son
posibles o deseables.
Una auditoría virtual sigue el proceso estándar de
auditoría a la vez que se usa la tecnología para verificar
las evidencias objetivas.
Actividades de la auditoría
virtual
Actividades de la auditoría
virtual
Asegurar los requisitos
tecnológicos apropiados para
las auditorías virtuales, que
pueden incluir:
Asegurarse de que el equipo
auditor está usando los
protocolos de acceso remoto
acordados, incluyendo los
dispositivos, sofware, etc,
requeridos:
https://www.youtube.com/watch?v=10SsEYH0zYA
https://www.youtube.com/watch?v=10SsEYH0zYA
https://www.youtube.com/watch?v=SfHJgTSjsEo
Realizar verificaciones antes
de la auditoría para resolver
cuestiones técnicas;
Disponer de planes de
contingencia (por ejemplo,
interrupción del acceso, uso
de tecnologías alternativas),
incluyendo la provisión de
tiempo adicional para la
auditoría si es necesario.
La competencia del auditor debería incluir:
Habilidades técnicas para usar los equipos electrónicos
apropiados y otras tecnologías durante la auditoría;
Experiencia en facilitar reuniones virtualmente para
realizar la auditoría de manera remota.
Al llevar a cabo la reunión de apertura o la auditoría
virtual, el auditor debería tener en consideración los
siguientes elementos:
— Los riesgos asociados con las auditorías virtuales o
remotas;
— Usar planos/diagramas de planta de las ubicaciones
remotas como referencia o para asignar información
electrónica;
— Facilitar la prevención de interferencias e
interrupciones en la señal por ruidos de fondo;
— Pedir permiso por adelantado para tomar capturas de
pantalla de documentos o cualquier tipo de grabación, y
considerar las cuestiones de confidencialidad y
seguridad;
— Asegurar la confidencialidad y la privacidad durante las
pausas en la auditoría, por ejemplo silenciando los
micrófonos, pausando las cámaras.
La conectividad
La continuidad de la
auditoria
El acceso a información
contextual, lo que se vé,
se oye, se siente, se
percibe
Debilidades de las auditorias
asistidas por computador
La comodidad en el
manejo de la evidencia
Seguridad de la
información
El acceso a la
información en
empresas donde no todo
está digitalizado
Debilidades de las auditorias
asistidas por computador
Accesibilidad
Continuidad del sistema
Economía en
movilizaciones
Economía en tiempo de
auditoria
Fortalezas de las auditorias
asistidas por computador
Permite saber cómo se
está comportando la
empresa y el sistema de
gestión en periodos de
crísis donde no hay
acceso físico a las áreas
de operación
Fortalezas de las auditorias
asistidas por computador
Determinar quiénes
tienen
Voz y voto
Voz sin voto
Sin voz ni voto
Quienes pueden participar
Violar el procedimiento de
control de información
documentada
Violar el derecho a la
intimidad
Violar las políticas de
seguridad de la información
No es buena práctica...
Violar los principios de
auditoria
Violar las restricciones
legales de movilidad para
cumplir con la auditoria
Grabar (audio/video) la
auditoria sin autorización
No es buena práctica...
Tomar evidencias de los
procesos (es mejor tomar
las notas que describen las
evidencias)
No es buena práctica...
Aplicar los principios de
auditoria
Adecuar el procedimiento de
auditoria interna
Adecuar el procedimiento de
control de información
documentada
Buena práctica...
Preparar al equipo auditor
para el uso de las
herramientas tecnológicas a
utilizar
Preparar a los auditados
para el uso de las
herramientas para presentar
sus evidencias de auditoria
Buena práctica...
Utilizar expertos técnicos
para el apoyo en el uso de
las tecnologías para la
auditoria
Asegurar la trazabilidad de
las evidencias de la fase 1 y
la fase 2
Buena práctica...
Contenido del Informe de auditoria
• Objetivo y Alcance.
• Itinerario de la auditoria (lugares y fechas).
• Identificar la documentación de referencia.
• Listas de Verificación.
• Integrantes del equipo auditor.
Contenido del Informe de auditoria
• Personal auditado.
• Resumen de Hallazgos de cumplimiento detallado, fácil de
leer y comprensible.
• Identificar Hallazgos de Incumplimiento la(s) No-
Conformidad(es)
William Sánchez Guerrero
Auditor Internacional Basc 15011-6 v5Auditor Lider de Calidad ISO 9001:2008/2015, Registro
SCS/SSCE/ QMSLAC/ 506281/P/ 10305 SGS United
Kingdom.
NTC GP 1000:2009
ISO 28000 -28001-37001
Psicólogo