¿Es posible realizar auditorías internas y/o externas de forma remota? ¿Qué aspectos debemos tener en cuenta? ¿Existe alguna normativa al respecto? En este artículo se contestarán estas y otras preguntas relacionadas con la realización de auditorías a distancia.
Las auditorías virtuales se llevan a cabo cuando una organización realiza su trabajo o presta servicios a través de un entorno en línea que permite a las personas ejecutar procesos sin importar su ubicación física. Esto puede incluir el uso de la intranet de la empresa, servicios de "computación en la nube" u otros sistemas similares. A menudo, se hace referencia a una auditoría realizada en un entorno virtual como una auditoría virtual.
Por otro lado, las auditorías remotas se enfocan en el uso de la tecnología para recopilar información, entrevistar a los auditados y llevar a cabo los procesos de auditoría cuando las reuniones "cara a cara" no son posibles o no son convenientes. Este enfoque permite a los auditores conectarse con los auditados de manera efectiva, sin importar su ubicación geográfica. Este sistema ha sido de especial ayuda en los años de pandemia donde era imposible la realización de auditorías físicas.
Las auditorías remotas pueden ser especialmente útiles en situaciones en las que los viajes son costosos, peligrosos o simplemente no prácticos. Además, pueden ser muy útiles en situaciones en las que se requiere una auditoría rápida y precisa. En tales casos, la tecnología puede permitir que los auditores recopilen la información necesaria en tiempo real y realicen su trabajo de manera eficiente.
En el anexo 4.15c “actividades de auditoría virtual” y el anexo 4.16 "Auditoría de actividades y ubicaciones virtuales" de la norma ISO 19011:2018 "Directrices para la auditoría de los sistemas de gestión", se recomienda incluir en este tipo de auditoría los siguientes aspectos:
Uso de protocolos de acceso remotos, incluyendo los dispositivos y software. Para hacer auditorías remotas, se necesitan dispositivos y software especiales para acceder al sistema de la empresa y consultar los documentos necesarios. La empresa debe otorgar permisos específicos de acceso al auditor para que pueda hacerlo de forma remota. En algunos casos, el auditor debe instalar una aplicación para acceder al sistema, pero en otros, solo necesita una plataforma de video llamada segura para compartir pantalla y visualizar los documentos. Siguiendo estos requisitos, se pueden realizar auditorías remotas eficaces para ayudar a la empresa a cumplir con las regulaciones y mejorar su desempeño.
Se deben realizar verificaciones técnicas antes de la auditoría para resolver cuestiones técnicas. Sobre todo en los casos donde el auditor tiene que instalarse un determinado software o aplicación, ya que no estará familiarizado con ello, y puede que le surjan dudas o problemas a la hora de acceder.
Planes de contingencia ante una incidencia en la comunicación. En la reunión de apertura de la auditoría, tanto el auditor como el auditado, deberían acordar los planes de contingencia a contemplar en el caso de producirse una incidencia en la comunicación durante la conexión remota. Por ejemplo, en el caso de no poder conectarse por problemas técnicos en un momento dado del proceso, acordar cuándo y cómo se va a recuperar el tiempo que no se ha podido auditar.
Otro punto importante, es la competencia del auditor en la realización auditorías remotas, incluyendo los siguientes aspectos:
- Es necesario contar con habilidades técnicas para utilizar adecuadamente los equipos electrónicos necesarios, otras tecnologías, el software y las plataformas acordadas por ambas partes para establecer una comunicación fluida durante la auditoría.- Experiencia en realizar reuniones de forma virtual, así como saber cómo proporcionar los enlaces a la reunión, con la finalidad que ambas partes puedan conectarse de forma segura y ágil.
En la reunión de apertura de una auditoría remota, se deberían incluir y acordar los siguientes aspectos:
- Los riesgos y oportunidades asociados con las auditorías virtuales.- El auditor y el auditado deben asegurarse que están aplicando protocolos acordados por ambas partes de acceso remoto, incluyendo los dispositivos y software.- El uso de planos, diagramas o listados de las ubicaciones remotas de los archivos y documentos del sistema.
- Facilitar la prevención de interferencias e interrupciones en la señal por ruidos de fondo. En estas ocasiones, por ambas partes, eligen realizar las conexiones desde despachos o habitaciones en las que no tengan un ruido de fondo.- El auditor deberá pedir permiso por adelantado para tomar capturas de pantalla de documentos o cualquier tipo de grabación, con la finalidad de garantizar la privacidad, seguridad y confidencialidad del auditado.- En caso de que surja un contratiempo durante el acceso remoto, es importante que el auditor revise la situación con el auditado. De esta manera, se puede llegar a un acuerdo sobre la mejor forma de proceder, ya sea interrumpiendo la auditoría, reprogramándola o continuando con ella- Durante las pausas de la auditoría, ambas partes deberían parar la videollamada (video y voz) para asegurar la confidencialidad y la privacidad durante estos recesos.
Habitualmente, la metodología de una auditoría remota es la siguiente:
El auditor se entrevista con el interlocutor de la empresa a través de una videoconferencia. Durante la sesión, el auditado compartirá la pantalla para permitir que el auditor pueda revisar y verificar los documentos de la empresa de la misma manera que lo haría durante una auditoría presencial. Para ello, la empresa deberá tener digitalizados los diferentes documentos del sistema. Además, el auditor puede solicitar entrevistar a empleados clave y verificar el funcionamiento de procesos específicos. En tales situaciones, el auditado deberá enfocar la cámara en la tarea solicitada para que el auditor pueda verificar la metodología descrita en los procedimientos de la empresa. Como en las auditorías presenciales, el auditor deberá preparar el informe final de auditoría, y presentarlo en la reunión de cierre o final (de forma remota) para aprobarlo por ambas partes. En estos casos la firma del informe se realiza también de forma remota mediante la firma o certificado digital.
En la siguiente tabla se puede observar un breve resumen de los aspectos descritos en este artículo:
La auditoría remota se realiza principalmente para cumplir con las restricciones de tiempo y distancia, lo que hace que la auditoría presencial sea difícil o imposible. Aunque la auditoría remota ofrece una solución práctica en estas situaciones, también puede presentar algunos desafíos, como la falta de acceso a ciertas áreas de la empresa o limitaciones en la calidad de la conexión a internet.
No hay comentarios:
Publicar un comentario