Las tecnologías de la información y comunicación (TICs)  nos ayudan a continuar con nuestro trabajo como profesionales de calidad y mejora continua en el contexto actual. El acelerado avance de las tecnologías en las últimas décadas nos permite optimizar procesos, pero debemos cuidar la integridad de los datos y procesos.

En  nuestro espacio «El poder del 1%: un podcast de mejora continua» conversamos sobre  auditorías remotas y el uso de TICs en las implementaciones. Para ello  recibimos  a Hugo Barragán, director de operaciones de GW Certified desde México.

Uso de tecnologías de la información y comunicación TICs

 

TICs son tecnologías de la información y comunicación, nos facilitan el recibir, almacenar, recuperar, transmitir y procesar información.  Pueden ser plataformas, nubes, sistemas, dispositivos, aplicaciones, etc. Las principales tecnologías son: aplicaciones para videollamadas, para grabación de información, sitios de almacenamiento de información y acceso a sitios remotos.

El uso de TICs en una auditoría no es obligatorio, pero si las utilizamos para alguno de los 4 propósitos detallados arriba, debemos cumplir el mandatorio N° 4 del Foro Internacional de la Acreditación.

Debemos cuidar la seguridad y confidencialidad: tiene que haber común acuerdo entre auditado y auditor, qué plataformas se usarán, a qué información se accederá y a cuál no. Es importante analizar los riesgos y oportunidades de cada plataforma o tecnología. Tenemos que llevar adelante un análisis de riesgos como los que estamos acostumbrados en las estructuras de alto nivel. A su vez, los controles adicionales por el uso de tecnologías deben figurar en el plan de auditoría.

Sobre este tema podés ver también: Una auditoría eficiente

¿Cuál es la diferencia entre una auditoría “convencional” y otra con uso de TICs?

 

La asignación del equipo auditor debe cubrir la formación y competencia en las tecnologías utilizadas y hay que darles un tiempo a los imponderables que se puedan dar por inconvenientes con ellas. Para definir si usamos TICs y cuales debemos tener en cuenta: identificar riesgos y oportunidades, establecer controles para el uso adecuado, asegurar la competencia de auditores y auditados y plasmarlo tanto en el plan como en el informe.

¿Cómo llevamos adelante una auditoría remota?

 

Una auditoría remota es aquella que se lleva a cabo fuera del sitio. Implica el aprovechamiento de las tecnologías para las auditorías y debe ser consensuada. Nos regimos por la norma ISO 19011 sobre directrices para una auditoría interna. No cambia el proceso, sino que se complementa. Se aplica para este caso el mandatorio N° 12 del Foro Internacional de la Acreditación.

• ¿Aplica una auditoría remota o no? Antes que nada debemos definir criterios. Puede ser conveniente cuando hay cambios en la programación, cuando la información está  organizada sistemáticamente o cuando hay un historial positivo de cumplimiento. Es importante que no sea la inicial o general, es mejor abordar una más pequeña para acotar los riesgos. Hay estándares, como la ISO, que permiten una auditoría 100% online y otros que no, por ejemplo, los que se vinculan con alimentos permiten hasta un 50%. También debemos evaluar los requisitos legales o posibles incompatibilidades.

 

• ¿Cuál es el proceso? Una vez definido el criterio, es decir si aplica, debemos cumplir ciertas condiciones previas (agenda, alcance que incluya cómo se maneja la información que no se puede acceder de forma remota, etc. ). Es necesario recibir información antes de la auditoría (documentación del sistema, registros, todo lo que haya que tener disponible) y planificar (determinar plataforma según las capacitaciones, agregar accesos al auditor y establecer uso de cámaras y micrófonos para la auditoría, manejo de eliminación de información posterior entre otras).

 

• ¿Cuáles son las actividades posteriores? En general no es demasiado diferente a lo convencional.  Si se debe establecer canal de comunicación posterior a la auditoría.

«Las TICs traen mucho ahorro en tiempo y en recursos financieros. Sin embargo, entendemos que no todas las actividades o sectores presentan la oportunidad de usar tecnologías al 100% pero siempre podemos aprovecharlas por ejemplo para reuniones y optimizar recursos.»