Las auditorias pueden llevarse a cabo en el sitio (in situ), remotamente, o como una combinación de ambas, los responsables de la gestión del programa de auditoria son quienes escogen el método que mejor se adapte a cada una de las auditorias programadas, esto lo hacen teniendo en cuenta los objetivos, el alcance y los criterios de la auditoria.
Las auditorias remotas no son algo nuevo, es un método de auditoria comúnmente utilizado por muchas organizaciones y entidades de certificación, sin embargo, en estos tiempos en los que movilizarnos ya no es tan sencillo debido a la pandemia y todas las restricciones impuestas por algunas ciudades/ países, este método de auditoria se ha convertido en la solución.
El avance de la tecnología permite que ahora este tipo de auditoria se den de mejor forma y existen muchísimas plataformas que te permiten hacerlas, además que representa un ahorro considerable de los costos de las auditorias, así que la pandemia no puede ser una excusa.
Hay dos tipos de auditorías remotas, con interacción humana y sin interacción humana, la diferencia entre una y otra es que la primera implica interacción entre el auditado y el equipo auditor y en la segunda la interacción es con la información documentada o datos.
Cuando la auditoria remota tiene interacción humana se hace a través de medios de comunicación interactivos por lo que el contacto con el auditado permite realizar entrevistas, completar listas de verificación y revisar los documentos en conjunto con el auditado.
Las auditorias remotas sin interacción se basan en una revisión documental y de datos enviados previamente por el auditado, en algunos casos se le puede solicitar que llene una lista de autoevaluación con los aspectos que buscamos verificar.
En este orden de ideas nos viene a la mente la incógnita, ¿Qué se debería contemplar antes de hacer una auditoria remota?
A continuación, te doy algunas recomendaciones sobre que deberías hacer para que tu auditoria remota con interacción humana sea un éxito:
Plan de auditoria. Las auditorias remotas siguen el proceso estándar de cualquier auditoria, por lo que se debe preparar y comunicar el plan de la auditoria con la diferencia de que este en lugar de detallar la ubicación, indicará el software que se utilizará y los tiempos que durarán la sesiones.
Tiempo de auditoria. A diferencia de las auditorias presenciales se debe tener claro que las horas de auditoria serán menos, considerando el intervalo de tiempo que sea cómodo para estar al frente del computador tanto para el auditor como para el auditado.
Solicitud de información previa auditoria. Esto es parte normal de una auditoria, sin embargo, ya que las horas con este método de auditoria son menos que en una presencial es necesario solicitar previamente la mayor cantidad de información al auditado, teniendo en consideración que información documentada no es confidencial para la organización auditada y puedan enviarla por correo electrónico u otro medio al equipo auditor.
Es importante que estén claros que se deben solicitar los permisos necesarios para las capturas de pantalla de la información mostrada por el auditado, grabaciones y demás aspectos que consideren necesarios en relación a la confidencialidad y seguridad.
Entrevistas. Ya que la entrevista será la protagonista en este tipo de auditoria es importante que el equipo auditor tenga el cuestionario de preguntas listo al momento de auditar, de manera que las preguntas permitan encontrar la evidencia objetiva. Si las preguntas van asociadas a una lista de verificación mi recomendación es que el tiempo sea para las dudas que surjan de la revisión de la información documentada previamente efectuada.
Plan de contingencia. Hay que estar preparados y acordar previamente con el auditado como se actuará en caso de interrupción del acceso, el uso de tecnologías alternativas, incluyendo la necesidad de tiempo adicional para la auditoría si es necesario.
Aspectos no auditados. En este tipo de auditorias hay que estar claros que quedarán aspectos sin auditar, ya sea porque necesiten ser verificados de forma presencial o que la información no pueda ser enviada por ser confidencial para la organización, cualquiera que sea la razón esto debe ser comunicado a los auditados y acordar cuando serán evaluados de forma presencial.
Tomando en cuenta los aspectos antes mencionados las auditorias remotas representan una buena opción para no dejar de cumplir con nuestro programa de auditorías en estos tiempos de pandemia.
Si este tipo de auditorias ya formaba parte de tu programa o si piensas incluirlo no olvides hacer un análisis cuyo objetivo sea el de identificar peligros que puedan presentarse en cualquiera de las etapas de la auditoria, gestionar los riesgos asociados a dichos peligros y establecer medidas de mitigación apropiadas en búsqueda de eliminarlos o mitigarlos.
Además del nivel de riesgo para el logro de los objetivos de auditoria se deben tener en cuenta los requisitos reglamentarios, esto es lo que nos dirá que tan viable es este método para nuestro programa.
Los hallazgos de auditoria deben ser presentados en cada sesión, esto quiere decir que al finalizar cada sesión se debe hacer un resumen o pequeña reunión de cierre de forma que cada detalle quede claro, además se debe informar al auditado el porcentaje de cumplimiento del plan.
Como en cualquier otra auditoria el ser organizado, prepararte con antelación, leer la información documentada previamente enviada por el auditado, jugarán a tu favor y harán que cumplas con el objetivo, además debes manejar la confianza, flexibilidad y cordialidad durante toda la auditoria.
A mí me parecen super prácticas para las auditorias de seguimiento siempre y cuando lo que quieras verificar se adapte a esta forma de interacción como lo he mencionado y lo más importante que se logre el objetivo de la auditoria.
Espero que esta información te sirva de ayuda, recuerda que si tienes alguna duda puedes dejarla en los comentarios.