Auditando sistemas de gestión informatizados

Las organizaciones dependen cada vez más de medios informáticos para la operación y control de sus sistemas de gestión. Esto significa que los organismos de certificación y sus auditores deben utilizar  nuevos formas de auditar para asegurar que sus auditorías sean eficaces. El Grupo de Prácticas de Auditorías considera que se deben reconsiderar los métodos de evaluación de los procesos y de los documentos y registros relacionados.

NUEVO! Verifique su conocimiento

1. ¿Qué es un sistema de gestión informatizado (SGI)?

a) Un sistema desarrollado por organismos de certificación para administrar las auditorías.

b) Un sistema que permite que las auditorías se puedan conducir desde fuera del sitio (por ejemplo, desde la computadora del auditor).

c) Un sistema que depende de documentos y datos  electrónicos y aplicaciones informáticas para su operación normal.  

d) Todas las anteriores.

2. Cuando planifica una auditoría a un SGI debería tener en cuenta :

a) Cómo el equipo auditor podrá acceder al SGI.

b) Las precauciones para asegurar que los auditores protegen la confidencialidad de los documentos electrónicos.

c) Las políticas del auditado para el uso de su infraestructura de TI.

d) Todas las anteriores.

3. Con el fin de confirmar si los requisitos sobre los procesos se cumplen, Ud. se da cuenta que se debe usar parte del tiempo de la auditoría en un puesto de trabajo que no está ubicado cerca de donde se realiza el proceso. En este caso, Ud. debería:

a) Considerar esta situación como una no conformidad.

b) Reducir el tiempo previsto de la auditoría en el lugar donde se desarrolla el proceso.  

c) Contemplar tiempo extra para viajar hacia y desde el lugar donde se desarrolla el proceso.

d) Todas las anteriores.

4. Cuando audita el control de documentos electrónicos, Ud. debería:

a) Asegurarse que todos los documentos están en el mismo formato, tales como: texto, HTML o PDF.

b) Entender las políticas y documentos de la organización respecto a la asignación de privilegios.

c) Asegurarse que los documentos no obsoletos son controlados dentro del SGI.

d) Todas las anteriores.

5. Cuando analiza el rol que tiene la función de TI de su organización, Ud. debería tener en cuenta:

a) Los controles para los software internos y externos.

b) Los factores ambientales que pueden tener una relación con el SGI.

c) La competencia del personal que operan el hardware y el software.

d) Todas las anteriores.

Para saber cuántos puntos obtuvo, consulte las respuestas correctas al final de este documento.


Planificación de una auditoría a un SGI

Una organización puede tener implementado para su operación normal un sistema de gestión basado en documentos y datos electrónicos y aplicaciones de software. Esto es lo que se llama sistema de gestión basado en la electrónica (SGI).

Durante la auditoría en su fase inicial (primera etapa de la auditoría) el auditor debería determinar la estructura de la organización a ser auditada y el grado en que su sistema de gestión está basado en la electrónica. Por ejemplo, puede ser una organización multi-sitio con un SGI centralizado, o más aún, una organización virtual. Por lo tanto, los auditores deberían verificar si los controles sobre un sistema de gestión multi-sitio están definidos y establecidos en forma apropiada en el marco de las políticas y procedimientos de la organización.

Lista de verificación del auditor :

  • asegurar que el equipo auditor tiene la oportunidad de familiarizarse con el SGI de los auditados  
  • revisar las políticas del auditado para el uso de su infraestructura de TI  
  • revisar las instrucciones para acceder a los registros y obtener los permisos de seguridad adecuados
  • verificar que hay salvaguardias para asegurar que los auditores protegen la confidencialidad de los documentos electrónicos
  • verificar la competencia del equipo auditor para realizar una evaluación eficaz del SGI; las organizaciones que realizan las auditorías deberían proporcionar capacitación adecuada con respecto a las tendencias generales de la TI y consideraciones específicas relacionadas con las auditorías  
  • asegurar que el análisis de la documentación pueda ser realizado fuera del sitio, tanto online o descargando documentación recibida por correo electrónico; si factores técnicos o de seguridad no permiten que esto sea posible, la revisión de la documentación electrónica deberá realizarse en el sitio del auditado durante la primera  etapa de la auditoría.

Realización de actividades en el sitio

La pista que sigue el auditor debería normalmente incluir la locación física donde se realiza el proceso que se está auditando.
Sin embargo, con un SGI, la verificación del cumplimiento con los requisitos puede ser realizada en un puesto de computadora que no está ubicado cerca del proceso real. De esta forma el tiempo real utilizado para auditar en el sitio donde se realiza el proceso puede reducirse, pero se debe tener en cuenta el tiempo necesario para viajar hacia y desde ese sitio.
El auditor debería evaluar los métodos utilizados para la interacción entre el proceso mismo y los medios electrónicos para asegurar la exactitud de la información asociada con dicho proceso. 


Auditoría al control de documentos electrónicos

Los documentos electrónicos que establecen políticas y procedimientos del sistema de gestión pueden existir en una variedad de formatos, tales como texto, HTML, PDF, etc. Hojas de cálculo y bases de datos son consideradas también documentos electrónicos sujetos a los elementos de control establecidos en el sistema de gestión que está siendo auditado . 

Lista de verificación del auditor :

  • asegurar que las políticas que regulan el control que se aplica sobre la documentación general del sistema de gestión se aplican también a los documentos electrónicos
  • confirmar que hay métodos eficaces dentro del ambiente electrónico para asegurar la revisión, aprobación, publicación y distribución adecuadas de la documentación del sistema de gestión
  • entender los métodos específicos del software, en el grado que se utilicen como bases de la conformidad con la norma que se aplica en el sistema de gestión
  • prestar particular atención a los elementos de control tales como identificación y estado de revisión de los documentos
  • verificar que los controles que se aplican a la gestión de los documentos obsoletos son apropiados 
  • verificar que la documentación del SGI existe para proporcionar orientación al usuario con respecto a los aspectos funcionales y de control asociados con los documentos electrónicos
  • entender las políticas y procedimientos de la organización respecto a los privilegios de los usuarios
  • verificar el grado en que los documentos electrónicos intercambiados con terceras partes son formalmente introducidos y controlados dentro del SGI

Auditoría al control de registros electrónicos

Registros electrónicos son la combinación de los datos de salida de los procesos volcados en formatos electrónicos que contienen esos datos. La forma de controlar los formatos electrónicos no es necesariamente la misma que la que se aplica para controlar los registros electrónicos.
Por ejemplo, respecto a la identificación, en el caso de formatos electrónicos, el término se refiere a la categorización del propio formato electrónico. La identificación de un registro electrónico se refiere al uso único que se le da al formato para contener un conjunto de datos específico.
Dado que la base de conocimiento y el desempeño de la organización pueden estar casi en su totalidad en registros electrónicos, los auditores deberían analizar los enfoques de la organización para asegurar la información contenida en medios electrónicos. Para obtener mayor información sobre seguridad de la información, también puede consultar la norma ISO/IEC 17799.


Recursos organizacionales de TI

 A medida que una organización migra hacia el uso de SGI, la función de TI asume cada vez más importancia.

Lista de verificación del auditor:

  • la organización ha dedicado suficientes recursos de TI para asegurar que el SGI funciona eficazmente
  • el nivel de interacción, soporte y participación del personal de TI están adecuadamente definidos
  • cómo encara la organización el tema de la competencia requerida del personal de TI que opera el hardware y software necesarios para operar el SGI
  • el personal de la organización ha sido asimilado y es utilizado por el personal de la organización
  • cuáles son las políticas y procedimientos para el mantenimiento de la plataforma de TI de la organización
  • la organización tiene sistemas formales de copias de seguridad (backup) y son éstos revisados periódicamente
  • los controles establecidos para el software interno y externo, licencias y actualizaciones son adecuados
  • la organización ha tenido en cuenta factores que pueden afectar la operación del SGI, tales como el mantenimiento de las instalaciones, temperatura, humedad.

Internal and external electronic communication

Cuando para satisfacer las necesidades del SGI se utilizan intranet, correo electrónico y mensajería instantánea, los auditores deberían verificar si las políticas y procedimientos tienen en cuenta las circunstancias bajos las cuales se utilizan estos medios .
Cuando la organización utiliza su infraestructura de TI para comunicarse con sus clientes (por ejemplo ventas electrónicas), con sus proveedores (compras electrónicas), sitios externos y otras partes interesadas, el auditor debería verificar si la metodología, políticas y procedimientos para estas comunicaciones y para las transacciones asociadas  están formalmente incorporadas en el SGI.

 

Respuestas al cuestionario: 1 (c); 2 (d); 3 (b y c); 4 (b); 5 (d )

El Grupo de Prácticas de Auditoría ISO 9001 es un grupo informal de expertos en sistemas de gestión de la calidad, auditores y profesionales miembros del IAF y del Comité Técnico ISO/TC 176 “Gestión y Aseguramiento de la Calidad”. Este grupo ha desarrollado un conjunto de guías y presentaciones que contienen explicaciones sobre las auditorías de sistemas de gestión de la calidad, y reflejan el enfoque por procesos que es esencial para auditar los requisitos de la norma ISO 9001 .

 

Este artículo es una versión editada del “Sistemas de gestión basados en la electrónica”, que puede consultarse en el sitio web del Grupo de Prácticas de Auditoría, y es reproducido por cortesía de ISO y de IAF. Estos documentos fueron desarrollados tomando como referencia buenas prácticas actuales y, por lo tanto, no han sido avalados formalmente como recomendaciones del  International Accreditation Forum (IAF) ni como interpretaciones del Comité ISO TC176. Para obtener información sobre el Grupo de Prácticas de Auditoría, consulte el link Auditing Practices Group.