Grupo de Prácticas de Auditoria ISO Guía sobre:

Transcripción

1 International Organization for Standardization International Accreditation Forum Fecha: 25 de agosto de 2005 Grupo de Prácticas de Auditoria ISO Guía sobre: Auditoria a los sistemas de gestión con base electrónica (SGBE) 1. Introducción La creciente dependencia de las organizaciones de los medios electrónicos para la operación y el control de sus sistemas de gestión requiere que los organismos de certificación/registro y sus auditores busquen enfoques nuevos para garantizar que las auditorias serán eficaces y eficientes. Puede ser necesario redefinir la forma en que se evalúan los procesos y los documentos relacionados (incluyendo los registros) para verificar el cumplimiento de los requisitos de auditoria. Este documento se ha desarrollado para proporcionar directrices generales para la realización de de sistemas de gestión que tienen base electrónica total o que tienen un alto grado de documentación en medios electrónicos. También suministra directrices para que los organismos de certificación/registro y los auditores las tengan en cuenta como complemento de las actividades normales de planificación y preparación que se deberían llevar a cabo antes de una auditoria. Este documento se enfoca en aquellos requisitos de ISO 9001 en donde existe la posibilidad de usar documentos, registros electrónicos, etc. y también en donde el acceso a tales documentos/registros se puede controlar con sistemas electrónicos. Este documento está destinado a auditores de sistemas de gestión que tienen un rango amplio y variado de experiencia práctica con relación a los sistemas de gestión con base electrónica (SGBE) - es decir, sistemas de gestión que dependen de documentos y datos electrónicos, y aplicaciones de software para su operación normal. No obstante, está escrito en un estilo que también permitirá su uso por parte de aquellos que sólo tiene experiencia limitada en computadores y SGBE. Ya sea un organismo de certificación, un organismo de acreditación o una función de auditoria interna, la organización que realiza la auditoria ( la organización auditora ) es responsable por asegurar la eficacia del proceso de auditoria para el SGBE. Este documento emplea la guía suministrada en ISO 19011, y sugiere enfoques que pueden usar los auditores de ISO 9001 y otras normas de sistemas de gestión para verificar la conformidad con la norma referenciada. Los auditores y las organizaciones auditoras deberían hacer los ajustes necesarios para asegurar un enfoque adecuado a medida que ejecutan los pasos del proceso de auditoria indicadas en ISO

2 Se debería observar que la capacidad en la auditoria de un SGBE no se debería considerar excusa para reducir la duración de la auditoria, sino un medio para optimizar la eficacia y la eficiencia de la auditoria. Este documento no pretende suministrar directrices para los controles de auditoria asociados con la seguridad de la información para los SGBE. Aquellos interesados en los controles adicionales asociados con la seguridad de la información se remiten a la norma ISO/IEC 17799, la cual es una norma completa sobre estos temas. 2. Iniciación y planificación de la auditoria Durante la fase de iniciación de la auditoría (primera etapa de la auditoría) la organización auditora debería determinar la estructura de la organización por auditar y el grado hasta el cual su sistema de gestión tiene base electrónica. Una organización con múltiples sitios con un SGBE centralizado o una organización virtual requerirán diferentes planes y métodos de auditoria que para un solo sitio y/o una organización física. La organización auditora y el auditado deberían acordar la forma como los auditores tendrán acceso y usarán el SGBE. Esto puede implicar la consideración de los siguientes aspectos: - Dar la oportunidad a los miembros del equipo auditor de familiarizarse con el SGBE del auditado (incluyendo la programación de tiempo suficiente dentro del plan de auditoria para tal orientación). - Las políticas del auditado para la utilización de su infraestructura de tecnología de la información. - Instrucciones para el acceso, y las autorizaciones de seguridad necesarias para dicho acceso, a los documentos y registros organizacionales pertinentes. - Salvaguardas y procesos que garanticen que todos los auditores protegen la confidencialidad de los documentos y registros electrónicos, durante y después de la auditoria. La organización auditora debería asegurar que hay suficiente competencia dentro de su equipo auditor seleccionado para llevar a cabo una evaluación eficaz del SGBE. 3. Revisión de documentos Dependiendo de si el auditado tiene o no la capacidad de poner a disposición su documentación mediante una aplicación con base en la Web o a través de transmisión de correo electrónico, la organización auditora puede realizar parte o la totalidad de la revisión de documentos fuera del sitio, bien sea en línea o descargando la documentación electrónica suministrada por correo electrónico. Dependiendo de factores técnicos y de seguridad puede no ser factible realizar una revisión completa del SGBE de una organización en línea ni mediante transmisión por correo electrónico de los documentos pertinentes antes de llegar al sitio. En tales casos, podría ser necesario que las actividades de preparación de la auditoria que requieren de la revisión de documentos electrónicos se lleven a cabo en las instalaciones del auditado durante la primera etapa de la auditoria. 4. Actividades en el sitio El enfoque de la auditoria para sistemas de gestión con base electrónica dependerá ampliamente de qué tanta cantidad de la evidencia requerida para determinar la conformidad esté en forma de registros electrónicos. Durante la realización de las actividades en el sitio, la ruta del auditor debería incluir normalmente la ubicación física del proceso que se está auditando. Sin embargo, con un SGBE el tiempo 2

3 necesario para confirmar la evidencia para determinar si se cumplen o no los requisitos se puede dedicar en una estación de trabajo de computador que puede o no estar cerca del proceso real. Cuando las estaciones de trabajo de computador están en áreas remotas que no son accesibles en el sitio del proceso físico, se puede reducir el tiempo real de auditoria en la ubicación física del proceso. Sin embargo, el tiempo global de evaluación no necesariamente se reduce dado que la revisión de la evidencia electrónica puede darse antes y/o después de confirmar la existencia del proceso físico. Cuando la estación de trabajo asociada está alejada, se recomienda especial consideración al tiempo necesario para el desplazamiento hacia y desde la ubicación física del proceso. Cuando el proceso depende de la intervención humana, es recomendable que el auditor evalúe los métodos empleados para la interacción entre el proceso físico y los medios electrónicos para asegurar la exactitud de la información asociada. 5. Auditoría del control de los documentos electrónicos Los documentos electrónicos que establecen las políticas y los procedimientos del sistema de gestión pueden estar en diferentes formatos de archivo dependiendo de las aplicaciones de software que utilice la organización para generarlos. Los formatos de archivo electrónico incluyen texto, HTML, PDF, etc. Los formatos de hoja de cálculo y bases de datos también se consideran documentos electrónicos sujetos a los elementos de control del sistema de gestión que se está auditando. Dada la relativa facilidad con la que los usuarios pueden crear actualmente hojas de cálculo electrónicas y otros documentos electrónicos, los auditores deberían asegurarse de que las políticas que rigen los controles que se aplican en general a la documentación del sistema de gestión también se emplean para los documentos electrónicos a través de procedimientos apropiados. Es necesario que las organizaciones empleen métodos eficaces e idóneos dentro del entorno electrónico que garanticen revisión, aprobación y distribución adecuadas de su documentación del sistema de gestión. Esto debería ser consistente con los métodos para el desarrollo y la modificación de los documentos electrónicos. En muchos casos las medidas de control de documentos también pueden ser características normales de las aplicaciones de software utilizadas para su creación. Por lo tanto, es recomendable que los auditores entiendan estos controles específicos de la aplicación en la medida en que éstos se utilicen como base para el cumplimiento de la norma del sistema de gestión aplicable. Debido a la creciente capacidad para modificar, actualizar, volver a dar formato y mejorar documentos en otras maneras dentro de un sistema de gestión con base electrónica, los auditores deberían poner atención particular a los elementos de control tales como la identificación de los documentos y el nivel de revisión de los documentos. Puesto que los medios electrónicos facilitan una velocidad aumentada de las modificaciones de los documentos, los auditores deberían verificar que se tienen en cuenta los controles empleados para la gestión de los documentos obsoletos en las políticas y los procedimientos de control de documentos de la organización. Los auditores deberían verificar que la documentación del SGBE existe para orientar a los usuarios con relación a los aspectos funcionales y de control asociados con los documentos electrónicos. Además, los requisitos del punto de uso asociados con las normas del sistema de gestión aplicables comúnmente serán abordados, en parte, por las políticas de acceso a los 3

4 documentos de la organización. Los auditores deberían entender las políticas y los procedimientos de la organización relacionados con los privilegios de usuario ya que éstos se convierten en factores importantes para la realización adecuada de los procesos de la organización. La comunicación electrónica externa con proveedores, clientes y otras partes interesadas puede implicar el intercambio de documentos. Dado que estos documentos externos pueden contener parámetros clave que especifican el funcionamiento de los procesos de la organización, los auditores deberían verificar el grado hasta el cual estos documentos se introducen y controlan formalmente dentro del sistema de gestión con base electrónica. 6. Auditoría del control de los registros electrónicos Los registros electrónicos consisten en los datos de salida de los procesos junto con los formatos electrónicos que albergan a los datos. Estos formatos electrónicos van desde simples documentos en hojas de cálculo hasta aplicaciones de bases de datos más complejas. Los auditores deberían ser conscientes de que los elementos de control que las organizaciones establecen para los formularios electrónicos no son necesariamente los mismos que se aplican a los registros electrónicos. Por ejemplo, con respecto a la identificación, en el caso de formularios electrónicos, el término se refiere a la nomenclatura del formulario electrónico en sí. Cuando la identificación se considera en el caso de un registro electrónico, ésta se refiere al uso único del formulario electrónico para un conjunto determinado de datos. Los auditores deberían revisar los métodos utilizados por la organización para la captura de datos con el objeto de garantizar que las actividades de ingreso de los datos brindan confianza suficiente en su exactitud. Cuando se evalúan los controles de la organización con respecto al almacenamiento de registros, se recomienda que los auditores verifiquen si las organizaciones entienden su capacidad de almacenamiento frente a: - la tasa de generación de registros; - las políticas de retención de registros y los marcos temporales asociados; - la tasa de disposición de los documentos, ya que estos factores pueden tener impacto en el funcionamiento adecuado del SGBE. Dado que la base de conocimiento y el desempeño de la organización pueden estar casi en su totalidad en los registros electrónicos, los auditores deberían revisar los enfoques de la organización para asegurar la información contenida en los medios electrónicos. Para mayor información consulte la norma ISO/IEC Recursos de la organización A medida que las organizaciones migran hacia la utilización de un SGBE, el papel de las funciones de la tecnología de la información se hace vital. Los auditores deberían verificar si la organización ha dedicado recursos de tecnología de la información apropiados (incluyendo infraestructura) para garantizar que el SGBE funciona continua y eficazmente. Los auditores también deberían verificar si la organización ha definido apropiadamente el grado de interacción, soporte y participación del personal de tecnología de la información en los asuntos asociados con el establecimiento, la documentación, la implementación y el mantenimiento del SGBE. 4

5 Como parte de la verificación de la asignación de los recursos apropiados, los auditores deberían evaluar la forma en que la organización aborda la competencia requerida del personal que opera el hardware y el software para ejecutar el SGBE. Durante el establecimiento de un SGBE, es común que se establezcan sistemas paralelos (de copia impresa y electrónicos) durante un periodo de tiempo que permita la adaptación de los usuarios. En estos casos el auditor debería verificar los enfoques de la organización para asegurarse de que el SGBE realmente es asimilado y utilizado por el personal de la organización. La complejidad de las estructuras de tecnología de la información de las organizaciones variará dependiendo de la naturaleza y complejidad de los negocios. Los auditores deberían verificar las políticas y los procedimientos de mantenimiento del sistema de una organización para su plataforma de tecnología de la información. También los auditores deberían verificar la manera en que la organización trata los incidentes de caída del sistema, ya que éstos pueden tener impacto en el funcionamiento normal del SGBE. Los auditores deberían evaluar si la organización tiene o no sistemas formales de soporte y si éstos se revisan o no periódicamente y se prueba su adecuación Con respecto al software, los auditores deberían verificar los controles establecidos para el software interno y externo, las licencias y las actualizaciones del software. Puesto que el software se puede considerar un documento electrónico dinámico, las directrices suministradas previamente para la auditoría de documentos también se deberían aplicar a éste. En la medida en que las organizaciones utilizan software para su SGBE, los auditores deberían revisar la funcionalidad de las aplicaciones y su relación con los elementos del sistema de gestión definidos en los criterios aplicables. Puesto que los factores ambientales pueden tener impacto en el funcionamiento de una plataforma de tecnología de la información, las organizaciones deberían tomar medidas para la protección contra dichos factores. Estas medidas pueden variar desde la necesidad de instalaciones o recintos adecuados hasta la necesidad de suministro de energía sin interrupción (UPS). Los auditores deberían evaluar si en los controles de la organización se toman en consideración aspectos tales como instalaciones para mantenimiento, temperatura, humedad, etc., en la medida en que ellos influyen en la operación del SGBE. 8. Comunicación electrónica interna y externa Debido al incremento en las opciones disponibles y la facilidad de uso de la comunicación electrónica, las organizaciones deberían asegurarse de que el sistema de gestión documentado aborda estos medios, según sea necesario, para garantizar la consistencia en su utilización para cumplir los requisitos de sus SGBE y de la norma del sistema de gestión que se aplica. Cuando se utilizan redes internas (intranet), correo electrónico ( ) y mensajería instantánea para cumplir los requisitos del SGBE, los auditores deberían verificar que las políticas y los procedimientos tratan las circunstancias en las cuales se deberían emplear estos medios. Además, si los resultados de la comunicación interna se han de usar para satisfacer los criterios de auditoría, entonces los auditores deberían verificar la aplicación de las políticas y los procedimientos para el control de registros. Cuando la organización depende de la infraestructura de su tecnología de la información para las comunicaciones electrónicas con sus clientes (por ejemplo para el comercio electrónico), proveedores (adquisición electrónica), sitios externos y otras partes interesadas, el auditor debería verificar que la metodología, las políticas y los procedimientos para estas comunicaciones y las transacciones asociadas se consideren formalmente en su SGBE. 5

6 9. Sistemas de gestión de múltiples sitios Las organizaciones que operan a través de múltiples sitios (o desde una ubicación central hasta sitios satélites) normalmente mantienen comunicaciones y comparten políticas y datos de procesos y procedimientos con sus diferentes sitios a través de medios electrónicos, como Internet, redes externas (extranets), correo electrónico y mensajería instantánea. Cuando se utilice la plataforma de tecnología de la información y sus aplicaciones de software asociadas para compartir información que es pertinente a los criterios de auditoria, los auditores deberían entender los diferentes medios de trabajo en red empleados por la organización en la medida en que sea necesario para determinar si el SGBE satisface los criterios de auditoria. Los auditores deberían verificar si los controles en un sistema de gestión de múltiples sitios se consideran y establecen adecuadamente dentro de las políticas y los procedimientos de la organización. 10. Competencia del auditor La confiabilidad del proceso de auditoria para el SGBE dependerá de la capacidad de los auditores para entender las tendencias de la tecnología de la información puesto que las organizaciones dependen cada vez más del software para el monitoreo y el control de sus operaciones. Las organizaciones auditoras deberían tomar las medidas necesarias, incluyendo la provisión de entrenamiento, para considerar las necesidades generales e individuales de sus auditores con respecto a: - Tendencias generales de la tecnología de la información que pueden tener impacto en la operación de los sistemas de gestión. - Consideraciones específicas de auditoria para cada asignación de auditoria que emprendan. Ya que las innovaciones en el sector de la tecnología de la información son relativamente rápidas en comparación con los cambios en los criterios de auditoria, los auditores y las organizaciones auditoras tienen el reto de la necesidad de tener comprensión práctica de las tendencias asociadas y cómo se pueden aplicar y utilizar dentro de un SGBE. En vista de las innovaciones que influyen en el funcionamiento de un SGBE, las organizaciones auditoras deberían determinar si el equipo auditor posee la experiencia necesaria para tener eficacia en una auditoria dada o si se requeriría de la asistencia de un experto técnico. Para mayor información sobre el Grupo de Prácticas de Auditoría ISO 9001 por favor consulte el documento: Introducción al grupo de Prácticas de Auditoría ISO 9001 (Introduction to the ISO 9001 Auditing Practices Group). El Grupo de Prácticas de Auditoría ISO 9001 utilizará la retroalimentación por parte de los usuarios para determinar si es recomendable desarrollar documentos de guía adicionales o si los existentes se deberían revisar. Los comentarios sobre los documentos o las presentaciones se pueden enviar a la siguiente dirección de correo electrónico: charles.corrie@bsi-global.com. Los demás documentos y presentaciones del Grupo de Prácticas de Auditoría ISO 9001 se pueden descargar de los siguientes sitios Web: 6

7 Exoneración de responsabilidad Este documento no se ha sometido a un proceso de aprobación por parte de la Organización Internacional de Normalización (ISO), el Comité Técnico ISO 176, ni del Foro Internacional de Acreditación (IAF). La información contenida aquí está disponible con propósitos educativos y de comunicación. El Grupo de Prácticas de Auditoría ISO 9001 no es responsable de los errores, omisiones ni otras obligaciones que se puedan originar en el suministro o posterior uso de dicha información. 7