Traduccin libre realizada por INLAC. Documentos oficiales disponibles en: www.iso.

org/tc176/ISO9001AuditingPracticesGroup

International Organization for Standardization Forum

International Accreditation

Auditando sistemas de gestin en base electrnica

1. Introduccin La creciente dependencia de las organizaciones en medios electrnicos para la operacin y control de sus sistemas de gestin, requiere que los cuerpos de certificacin y sus auditores vean nuevos enfoques para asegurar que las auditoras sern eficaces y eficientes. Ellos necesitarn redefinir el modo cmo los procesos y los documentos relacionados (incluyendo los registros) van a ser evaluados para verificar su conformidad con el criterio de auditora. Este documento ha sido desarrollado para dar directrices generales para la realizacin de auditoras a sistemas de gestin que estn totalmente basados en sistemas electrnicos o tengan un alto grado de su documentacin en medios electrnicos. Tambin proporciona directrices para los cuerpos de certificacin y auditores para considerar como un complemento a las actividades de planificacin y preparacin normal que pudieran ocurrir antes de una auditora. Este documento se enfoca a aquellos requisitos de la norma ISO 9001 donde existe la posibilidad de utilizar documentos, registros, electrnicos y tambin donde el acceso a esos documentos/registros pudiera estar controlado por sistemas electrnicos. Este documento va dirigido a auditores de sistemas de gestin que tienen una amplia y variada experiencia con respecto a sistemas de gestin en base electrnica (EBMS) e.g. sistemas de gestin que son dependientes de documentos electrnicos, datos y aplicaciones de software para su operacin normal. Sin embargo, est escrito en un estilo que tambin permitir ser utilizado por aquellos que solamente tienen una experiencia limitada en computadoras y EBMS. Sin importar si es un cuerpo de certificacin de tercera parte, un cuerpo de acreditacin o una funcin de auditora interna, quin realice la auditora (la organizacin auditora) es responsable de asegurar la eficacia del proceso de auditora para el EBMS. Este documento utiliza la gua proporcionada en la norma ISO 19011, y sugiere enfoques que pudieran ser utilizados por auditores de ISO 9001, y otras normas de sistemas de gestin, con la intencin de verificar la conformidad con la norma referenciada. Los auditores y las

Traduccin libre realizada por INLAC. Documentos oficiales disponibles en: www.iso.org/tc176/ISO9001AuditingPracticesGroup organizaciones auditoras deben hacer los ajustes necesarios para asegurar un enfoque apropiado a como desarrollan los pasos del proceso de auditora indicados en la norma ISO 19011. Debe resaltarse que la destreza en auditar EBMS (Sistemas de gestin en base electrnica) no debe verse como una excusa para reducir la duracin de la auditora, sino como un medio de optimizacin de la eficacia y eficiencia de la auditora. No se pretende que este documento proporcione directrices para auditar los controles asociados con la seguridad de la informacin del EBMS. Aquellos interesados en otro tipo de controles asociados con la seguridad de la informacin se sugiere que se dirijan al documento ISO/IEC 17799 que es una norma para estos temas. 2. Iniciacin y planificacin de la auditora Durante la fase de iniciacin de la auditora (Auditora fase 1) la organizacin auditora debe determinar la estructura de la organizacin a ser auditada, y el grado en que su sistema de gestin est basado electrnicamente. Una organizacin multisitio con un EMBS centralizado, o una organizacin virtual, requerir diferentes planes de auditora y mtodos que una organizacin de una sola plaza y/o una organizacin fsica. La organizacin auditora y el auditado deben acordar como los auditores accesarn y utilizarn el EBMS. Esto pudiera involucrar el considerar: Permitir que los miembros del equipo auditor tengan oportunidad de familiarizarse con el EBMS del auditado (incluyendo la calendarizacin de suficiente tiempo dentro del plan de auditora para esa orientacin) Las polticas del auditado para el uso de la infraestructura de Tecnologa de la informacin. Instrucciones para acceder, y las licencias de seguridad para acceder y los documentos y registros organizacionales pertinentes Los seguros y procesos para asegurar que los auditores protejan la confidencialidad de los documentos y registros electrnicos durante y despus de la auditora. La organizacin auditora debe asegurar que existe la competencia suficiente dentro de su equipo auditor seleccionado para realizar una evaluacin eficaz del EBMS. 3. Revisin documental Dependiendo de su el auditado tiene la habilidad para hacer que su documentacin est disponible a travs de una aplicacin basada en red o a travs de transmisin por correo electrnico, la organizacin auditora pudiera conducir parte o toda la revisin documental de manera remota; ya sea en lnea o por descarga de la documentacin electrnica enviada por correo electrnico.

Traduccin libre realizada por INLAC. Documentos oficiales disponibles en: www.iso.org/tc176/ISO9001AuditingPracticesGroup Dependiendo de los factores tcnicos o de seguridad, pudiera no ser factible el conducir una revisin total del EMBS de la organizacin en lnea o por la transmisin de documentos relevantes por correo electrnico, antes de llegar al sitio. En estos casos, las actividades de preparacin de la auditora que requieran la revisin de documentos electrnicos necesitara realizarse en las instalaciones del auditado durante la fase 1 de auditora. 4. Actividades de realizacin en sitio El enfoque para los sistemas de gestin en base electrnica depender ampliamente de que tanto de la evidencia requerida para determinar la conformidad est en forma de registros electrnicos. Durante las actividades de realizacin en el sitio, el camino del auditor debe incluir tpicamente la ubicacin fsica del proceso que est auditando. Sin embargo, con un EBMS el tiempo requerido para confirmar la evidencia para determinar si se cumplen o no los requisitos, pudiera dedicarse en una computadora o estacin de trabajo que pudiera estar o no localizada cerca del proceso en cuestin. Cuando las estaciones de trabajo computarizadas estn en reas remotas que no son accesibles para la ubicacin fsica de operacin del proceso, el tiempo real de auditora en la ubicacin fsica del proceso pudiera reducirse. Sin embargo, el tiempo total de evaluacin pudiera no necesariamente reducirse dado que la revisin de la evidencia electrnica pudiera ocurrir antes y/o despus de confirmar la existencia del proceso fsico. En los casos donde la estacin de trabajo de la computadora es remoto, se debe dar una consideracin especial al tiempo requerido de traslado hacia y desde la ubicacin fsica del proceso. Cuando el proceso es dependiente de la intervencin humana, el auditor debe evaluar los mtodos empleados para la interaccin entre el proceso fsico y el medio electrnico para asegurar la precisin de la informacin asociada. 5. Auditando el control de los documentos electrnicos. Los documentos electrnicos que establecen polticas y procedimientos del sistema de gestin pueden estar en una gran variedad de formatos dependiendo de las aplicaciones de software que son utilizados por la organizacin para generar los documentos. Los archivos electrnicos pueden incluir formatos como texto, html, pdf, etc. Las hojas de clculo y los formatos de bases de datos son tambin considerados documentos electrnicos y estn sujetos a los elementos de control del sistema de gestin a auditar. Dada la relativa facilidad con que los usuarios pueden ahora crear hojas de clculo electrnicas y otros documentos electrnicos, los auditores deben asegurar que las polticas que gobiernan los controles que aplican a la documentacin del sistema de gestin, en general tambin se apliquen a los documentos electrnicos a travs de los procedimientos adecuados.

Traduccin libre realizada por INLAC. Documentos oficiales disponibles en: www.iso.org/tc176/ISO9001AuditingPracticesGroup Las organizaciones necesitan emplear mtodos adecuados y eficaces dentro del ambiente electrnico para asegurar la adecuada revisin, aprobacin, publicacin y distribucin de la documentacin de su sistema de gestin. Estos deben ser consistentes con los mtodos para el desarrollo y modificacin de documentos electrnicos. En muchos casos las medidas de control de documentos pudieran tambin ser caractersticas estndar de la aplicacin del software usados para su creacin. Por lo tanto los auditores deben entender esos controles de aplicacin especficos al grado de que estos sean utilizados como base para la conformidad a la norma de sistema de gestin aplicable. Dado el incremento de capacidad para modificar, actualizar, reformar y de cierta forma mejorar los documentos dentro de un sistema de gestin electrnico, los auditores deben poner particular atencin en los elementos de control como la identificacin de documentos y el nivel de revisin de los documentos. Como el medio electrnico facilita el incremento de modificaciones a documentos, los auditores deben verificar que los controles empleados para la gestin de documentos obsoletos sean considerados dentro de las polticas y procedimientos de control de documentos de la organizacin. Los auditores deben verificar que la documentacin del EBMS existe para proporcionar orientacin a los usuarios respecto a los aspectos funcionales y de control asociados a los documentos electrnicos. Adicionalmente, los requisitos en el punto de uso asociados con las normas de sistema de gestin aplicables, tpicamente se cubrirn en parte por las polticas de acceso a documentos de la organizacin. Los auditores deben entender las polticas y procedimientos de la organizacin que tratan sobre los privilegios de los usuarios ya que estos son factores importantes para comprender apropiadamente los procesos de la organizacin. La comunicacin electrnica externa con proveedores, clientes y otras partes interesadas pudieran involucrar el intercambio de documentos. Dado que estos documentos externos pudieran contener parmetros clave que especifican el funcionamiento de los procesos de la organizacin, los auditores deben verificar el grado en que estos documentos son formalmente introducidos y controlados dentro del sistema de gestin en base electrnica. 6. Auditando el control de los registros electrnicos Los registros electrnicos consisten en los datos de los resultados de los procesos combinados con los formatos electrnicos que contienen los datos. Estos formatos electrnicos van desde una simple hoja electrnica a las aplicaciones de base de datos ms complejas. Los auditores deben estar concientes de que los elementos de control que establecen las organizaciones para las formas electrnicas no son

Traduccin libre realizada por INLAC. Documentos oficiales disponibles en: www.iso.org/tc176/ISO9001AuditingPracticesGroup necesariamente los mismos que los que aplican a los registros electrnicos. Por ejemplo, con respecto a la Identificacin, en el caso de formas electrnicas, el trmino se refiere a la nomenclatura del formato electrnico mismo. Cuando la identificacin es considerada en el caso de un registro electrnico, esta se refiere al uso nico del formato electrnico para un grupo dado de datos. Los auditores deben revisar los mtodos empleados por la organizacin para la captura de datos, con la finalidad de asegurar que las actividades de introduccin de datos proporciona la suficiente confianza en su exactitud. Cuando se evala los controles de la organizacin con respecto al almacenaje de registros, los auditores deben verificar si las organizaciones tienen un entendimiento de su capacidad de almacenamiento contra: El rango de generacin de registros Las polticas de retencin de registros y tiempos asociados El rango de disposicin de registros, ya que estos factores pudieran impactar el funcionamiento apropiado del EBMS. Dado que la base de conocimientos y el desempeo de la organizacin pudiera estar casi totalmente en registros electrnicos, los auditores deben revisar los enfoques de la organizacin para seguridad de la informacin contenida en medios electrnicos. Para ms informacin sobre Seguridad de la Informacin ver la norma ISO/IEC 17799. 7. Recursos Organizacionales Conforme las organizaciones emigran al uso de EBMS, el papel de las funciones de IT (tecnologa de la informacin) se vuelven vitales. Los auditores deben verificar si las organizacin ha dedicado los recursos de IT apropiados (incluyendo la infraestructura) para asegurar que el EBMS opera continua y eficazmente. Los auditores deben tambin verificar si la organizacin tiene definidos apropiadamente el nivel de interaccin, soporte e involucramiento del personal de IT en aspectos asociados con el establecimiento, documentacin, implementacin y mantenimiento del EBMS. Como parte de la verificacin de la asignacin de los recursos apropiados, los auditores deben evaluar como la organizacin cubre la competencia requerida del personal para operar el equipo (hardware) y el software para correr el EBMS. Durante el establecimiento de un EBMS, es una prctica comn que sistemas paralelos (manuales y electrnicos) estn funcionando por un perodo de tiempo que permita a los usuarios su adaptacin. En estos casos el auditor debe verificar los enfoques de la organizacin para asegurar que el EBMS ha sido realmente asimilado y utilizado por el personal de la organizacin.

Traduccin libre realizada por INLAC. Documentos oficiales disponibles en: www.iso.org/tc176/ISO9001AuditingPracticesGroup La complejidad de la infraestructura de IT de las organizaciones variar, dependiendo de la naturaleza y complejidad de los negocios. Los auditores deben verificar los procedimientos y polticas de mantenimiento del sistema de la organizacin para su plataforma de IT. Tambin, los auditores deben verificar como la organizacin cubre los incidentes de paros del sistema, ya que esto impactar el funcionamiento normal del EBMS. Los auditores deben evaluar si la organizacin tiene o no sistemas formales de respaldo, y si stos se revisan y prueban peridicamente en su adecuacin o no. En relacin al software, los auditores deben verificar los controles establecidos para el software interno, el software externo, las licencias de software y las actualizaciones del software. Ya que el software puede ser considerado un documento electrnico dinmico, las directrices dadas con anterioridad para auditar los documentos pudieran tambin ser aplicables a ste. Dependiendo de que tanto la organizacin utilice software para su EBMS, los auditores deben revisar la funcionalidad de las aplicaciones y su relacin con los elementos del sistema de gestin definidos en el criterio aplicable. Como los factores ambientales pudieran impactar en el funcionamiento de una plataforma de IT, las organizaciones deben tener medidas para protegerse contra esos factores. Esto puede variar desde la necesidad de adecuar las instalaciones hasta la necesidad de tener fuentes ininterrumpibles de energa (UPS). Los auditores deben evaluar si los controles de la organizacin toman en cuenta aspectos como el mantenimiento de instalaciones, temperatura, humedad, etc, en la medida que estos amenacen la operacin del EBMS. 8. Comunicacin electrnica interna y externa Dado que las opciones disponibles y la facilidad de uso en la comunicacin electrnica aumenta, las organizaciones deben asegurar que el sistema de gestin documentado cubre estos medios, segn sea necesario, para asegurar consistencia en su utilizacin para satisfacer los requisitos de su EBMS y la norma de sistema de gestin aplicable. Cuando se utilizan intranets, emails y mensajes instantneos para satisfacer los requisitos del EBMS, los auditores deben verificar las polticas y procedimientos que cubran las circunstancias bajo las cuales estos medios pudieran se empleados. Adicionalmente, si los resultados de la comunicacin electrnica interna sern utilizados para satisfacer los criterios de auditora, los auditores deben verificar que las polticas y procedimientos para el control de registros se hayan aplicado. Cuando la organizacin dependa de su infraestructura de IT para las comunicaciones electrnicas con sus clientes (e.g. para e-commerce), proveedores (e-procurement), sitios remotos y otras partes interesadas, el auditor debe verificar que la metodologa, polticas y procedimientos para esas comunicaciones y transacciones asociadas estn formalmente cubiertas dentro del EBMS.

Traduccin libre realizada por INLAC. Documentos oficiales disponibles en: www.iso.org/tc176/ISO9001AuditingPracticesGroup 9. Sistemas de gestin Multi-sitios Las organizaciones que operan a travs de multiples sitios (o desde una central a ubicaciones satlites) normalmente mantienen comunicaciones y comparten polticas, procedimientos y datos de procesos entre sus varias ubicaciones via electrnica, como el Internet, extranets, e-mail y Messenger. Cuando la plataforma IT y su software de aplicacin asociado se utilizan para compartir informacin que es pertinente al criterio de auditora, los auditores deben entender los diferentes medios de red que se emplean en la organizacin en la medida que sea necesario para juzgar si el EBMS cumple con el criterio de auditora. Los auditores deben verificar si los controles sobre un sistema de gestin multi sitio son cubiertos y establecidos apropiadamente dentro de las polticas y procedimientos de la organizacin. 10. Competencia del auditor La confiabilidad del proceso de auditora para un EBMS depender de la habilidad de los auditores para entender las tendencias en la Tecnologa de la Informacin ya que las organizaciones dependen cada vez ms del software para dar seguimiento y controlar sus operaciones. Las organizaciones auditoras deben tomar las medidas necesarias, incluyendo la provisin de entrenamiento, para cubrir las necesidades generales e individuales de su base de auditores con respecto a: Tendencias generales en Tecnologa de la Informacin que pudiera impactar la operacin de los sistemas de gestin Consideraciones especiales de auditora para cada asignacin de auditora que se tome.

Como las innovaciones en el sector IT son relativamente rpidas comparadas con los cambios en los criterios de auditora, los auditores y las organizaciones auditoras se ven retadas con la necesidad de tener un entendimiento prctico de las tendencias asociadas y como ellas pudieran ser aplicables y utilizadas dentro de un EBMS. A la luz de las innovaciones que influencian el funcionamiento de un EBMS, las organizaciones auditoras deben determinar si la experiencia necesaria para ser eficaces en una auditora dada, se encuentra en el equipo auditor mismo o cuando se requerir la asistencia de un experto tcnico.