El programa de auditoría remota está definido en la norma internacional sobre auditoría ISO 19011:2018. Su valor reside en la capacidad de proporcionar flexibilidad a la tarea para lograr los objetivos propuestos y además ofrece muchos otros beneficios.
Para obtenerlos, todos los participantes –auditores y auditados– deben entender cuál es su participación y cómo deben prepararse para asumir este método moderno de auditoría.
Las razones para implementar un programa de auditoría remota son varias. En las condiciones actuales, sobra hablar de la más obvia. Pero existen otras. La seguridad de los auditores, la reducción de costes o la inaccesibilidad a determinadas ubicaciones son solo algunas de ellas.
No obstante, la implementación de un programa de este tipo requiere prever el uso de ciertos recursos tecnológicos, garantizar la seguridad y la integridad de la información y asegurar la preparación de auditores y auditados, entre otras consideraciones, que desglosamos a continuación.
¿Qué tener en cuenta al implementar el programa de auditoría remota con éxito?
Es importante distinguir entre una auditoría de certificación y una auditoría interna. En el primer caso, es el organismo certificador quien decide si acepta o no la auditoría remota. En el segundo, es una decisión autónoma de la organización, que, sin embargo, tendrá que considerar:
La factibilidad
La práctica de auditorías remotas requiere una importante participación de componentes tecnológicos. Pero no basta con contar con recursos TIC suficientes. Es preciso que la tecnología sea accesible y que tanto auditores como auditados cuenten con las competencias necesarias para acceder a ella con eficiencia.
En algunas auditorías remotas, el auditor se encuentra en las instalaciones de la organización auditando personas y procesos en diferentes ubicaciones. En otros casos, el auditor no se encuentra en ubicaciones de la organización y las personas y procesos auditados sí lo están. Esto es importante para definir la tecnología que se utilizará.
En cualquier caso, es preciso considerar:
- Las competencias que tienen auditores y auditados para gestionar los recursos tecnológicos disponibles.
- La calidad de la conexión a Internet.
- Los protocolos de seguridad para la transmisión de datos e información.
La seguridad, integridad y confidencialidad de la información
Un parámetro definitivo para establecer si se puede o no optar por un programa de auditoría remota es la capacidad que tenga la plataforma para ofrecer integridad, seguridad y confidencialidad en la información.
En este punto no solo es preciso tener en cuenta los aspectos técnicos, también los legales. Esto se relaciona especialmente con la debida autorización para grabar sonidos e imágenes, y para el uso posterior de estos materiales. El auditor y la organización deben considerar la legislación nacional, los acuerdos regionales y regulaciones como la RGPD europea, por ejemplo.
La conformidad con el uso de métodos de grabación y reproducción de imagen y vídeo debe acordarse entre las partes en la reunión de apertura y debe ser documentado. Finalmente, es importante que la información documentada se comparta por medios seguros, probados y confiables, acordados por las partes. Esto puede ser en la nube o en una red virtual privada.
La evaluación de riesgos
Es verdad que las auditorías remotas suponen algunos riesgos. Las presenciales también ofrecen otros diferentes. Así, lo importante es llevar a cabo una evaluación de riesgos que considere las amenazas derivadas del uso de determinadas herramientas tecnológicas y los problemas que pueden afectar a la visibilidad, viabilidad y análisis de la información en un programa de auditoría remota.
Entre otros riesgos, debemos considerar:
- Confidencialidad, seguridad y protección de datos.
- Inestabilidad de la conexión.
- Imposibilidad para autenticar la identidad de las personas entrevistadas.
La complejidad de la organización
Organizaciones de gran tamaño con productos y servicios muy complejos requieren de una evaluación exhaustiva antes de determinar la viabilidad de la implementación de un programa de auditoría remota. Esta evaluación debe comprobar que con una auditoría remota es posible verificar realmente y con evidencia suficiente la conformidad con todos los requisitos del estándar auditado o en qué casos es así.
La calidad digital de la información
Al considerar la implementación de un programa de auditoría remota, es preciso revisar la calidad digital de los datos y los documentos. Esto es especialmente importante en aquellas organizaciones que todavía se basan en documentos en papel, que requieren ser escaneados y transmitidos para revisión por medios digitales.
Como conclusión podemos decir que la auditoría remota representa el futuro para las organizaciones que han implementado sistemas de gestión basados en normas ISO, especialmente el sistema de gestión de la calidad ISO 9001. No obstante, es necesario prepararse para este nuevo método con los recursos y la formación adecuada.
Curso Experto en Auditoría Interna ISO 9001:2015 SGC + Método de Auditorías Remotas de Sistemas de Gestión
La auditoría interna es el motor de la mejora continua en un sistema de gestión de la calidad. Hoy, las condiciones exigen más que nunca la presencia de auditores 360º, capacitados y formados para realizar auditorías remotas que se adapten al futuro.
Por ello, la Escuela Europea de Excelencia ha implementado un Pack que reúne el Curso Experto en Auditoría Interna ISO 9001:2015 SGC + Método de Auditorías Remotas de Sistemas de Gestión. Este novedoso programa, además de formar auditores expertos en sistemas de calidad, los actualiza en los métodos de auditoría remota; pero, además, entrega el certificado ERCA que permite el ejercicio como auditor interno de un SGC en cualquier país de la Unión Europea y en algunos de América Latina.
Es tu oportunidad para innovar en tu organización y ocupar una posición de liderazgo. Comienza tu formación ahora.