En estos tiempos tan inciertos a causa de la crisis del coronavirus, continuamos despejando dudas a nuestros clientes sobre cómo estamos trabajando en EQM Consulting.
¿Qué es una auditoría online o en remoto?
Una auditoría on-line o en remoto es una auditoría que se realiza a una empresa u organización mediante el uso de herramientas TIC (tecnología de la información y la comunicación) y que no cuenta con la presencia del auditor en el emplazamiento físico auditado, eso es, en la propia empresa u organización.
Para realizar las auditorías en remoto se requiere de una infraestructura TIC que permita la realización de ésta de forma efectiva y que garantice los estándares de calidad, exigencia y objetividad de la propia auditoría. Ejemplos de herramientas TIC que utilizamos en EQM Consulting podrían ser, Microsoft 365 (OneNote, OneDrive, Teams), Google Suite (Meet, Drive…), Skype y/o Cisco Webex. También incluye elementos de comunicación y almacenamiento de datos como portátiles, equipos de almacenamiento físico, teléfonos y otros.
Pero una auditoría on-line o en remoto no es sólo herramientas TIC es mucho más a continuación os daremos algunas pinceladas de cómo realizamos este trabajo en EQM Consulting ya que requiere de varias etapas como la planificación, ejecución y presentación del informe, sin olvidar la confidencialidad de la que ya hemos hablado en algún artículo anterior.
Fase de planificación
Antes de planificar cualquier auditoría de este tipo hay que desarrollar un proceso de adquisición de competencias del personal auditor, para ello desde EQM Consulting, se ha realizado un itinerario formativo (ciberseguridad, seguridad de la información, uso de herramientas TIC) y se ha realizado una evaluación de competencias para comprobar que los auditores han adquiridos las habilidades necesarias para cumplir con los criterios de uso eficaz y la confidencialidad. Independientemente de lo anterior todos nuestros auditores cuentan con un compromiso de confidencialidad firmado entre ambas partes que se hace extensible a este tipo de auditorías.
Seleccionado el auditor a continuación se realiza un análisis de riesgos y oportunidades de la auditoría para garantizar la viabilidad de esta, durante esta fase se pretende por un lado comprobar que la auditoría se puede realizar completamente (o en parte) on-line estableciendo criterios que dependen del tipo de auditoría, sector, norma auditada y herramientas TIC del cliente además de otros criterios como la capacidad del auditado y su equipo.
Una vez que se ha realizado el análisis de riesgos y se han determinado estos, se deberán controlar, entre los riesgos más comunes se encuentran:
- Fallos de comunicación con el auditado, retrasos por latencia.
- Dificultad en el acceso de registros o evidencias aportadas por el cliente.
- Falta de muestreo o ausencia de criterios de objetividad.
- Incumplimiento de horarios de auditoría.
Para ello se establece el plan de auditoría que debe realizarse con la ayuda del responsable del sistema de la organización auditada para concretar horarios y disponibilidad de los auditados, disponibilidad de la información (o en caso contrario puesta a disposición de medios a tal fin), garantía de conexión y comunicación. Para esto último realizamos pruebas en días previos a la auditoría coincidiendo con la elaboración del plan de auditoría.
Aquí es importante mencionar que desde EQM Consulting contamos con medios de comunicación y traspaso de la información propios que hacen que no sea necesario que adquiera o compre el cliente, exigiendo únicamente conexión a internet y portátiles o PC con audio o vídeo, por ello podemos garantizar el éxito en la comunicación en casi todas las circunstancias.
Fase de auditoría
Una vez se ha realizado el plan auditoría se procede a la ejecución de esta siguiendo el propio plan, es difícil encontrarse problemas en la realización de entrevistas o reuniones una vez se han prefijado en el plan y en los calendarios de auditores y auditados, sin embargo, si se produce esta circunstancia se deben establecer reglas para el control, desde EQM Consulting en el desarrollo de competencias se trabajan este tipo de situaciones y se proponen medidas alternativas(1) como son:
Situación auditoría | TIC | Alternativa en caso de error |
---|---|---|
Realización reunión | Teleconferencia | Conexión telefónica |
Revisión evidencias | Teleconferencia con pantalla compartida por el auditado. | Envío de evidencias a cloud compartido y eliminación tras revisión. |
Recopilación de otra información | Cloud, mail, teleconferencia | Videos, mensajería instantánea, etc. |
No obstante lo anterior, esto se habrá previsto en la fase de análisis de riesgos de la auditoría, especial importancia tiene en caso de que la auditoría on-line sea completa y requiera de auditar los puntos operacionales de las normas, donde tenemos especial celo en controlar el muestreo y garantizar la corrección de las entrevistas.
En este punto nuestro consultores se preocupan de mantener una correcta gestión de los horarios, ya que a veces el trabajo desde casa hace que nos distraigamos con tareas ajenas a la propia auditoría, por eso entre nuestras recomendaciones está el desconectar el centro de notificaciones de móvil y otros dispositivos electrónicos y poder atender durante el espacio establecido en el plan exclusivamente a la propia auditoría, este hecho es clave para poder hacer una auditoría con los niveles de calidad exigidos a tan importante proceso.
Durante la auditoría un aspecto muy importante a controlar es la confidencialidad, para ello, se establecen una serie de medidas relativas a la comprobación de:
- Control de claves y password.
- Uso de equipos con antivirus y antimalware actualizado.
- Software actualizado a las últimas versiones.
- Utilizar herramientas que transmitan la información con cifrado.
- Se evita el uso de redes públicas, para las privadas se exige al menos cifrado WPA2.0.
En cualquier caso cualquier evidencia, documento, captura de pantalla o grabación será previamente autorizada por el auditado y una vez terminada la fase de auditoría eliminada convenientemente como una tarea más de la propia auditoría.
Fase de presentación del informe
El informe se presenta por parte del equipo auditor a la finalización de la auditoría, en caso de no poder dejarlo terminado, se entregarán al menos las no conformidades detectadas.
Los informes de auditoría indican en todo momento los puntos de la norma que se han realizado on-line.
A modo de comentario se realizará en el propio informe y durante la presentación de los resultados cualquier comentario orientado a la eficacia de los métodos de tecnología de la información y la comunicación utilizados durante el proceso.