martes, 13 de marzo de 2018

LA EFICACIA DE LAS LISTAS DE COMPROBACIÓN EN AUDITORÍAS INTERNAS

Disponer de una lista de comprobación eficaz puede aportar una gran ayuda de cara a la realización de la auditoría interna como herramienta de calidad y mejora continua.
Siempre ha existido un debate sobre la importancia y la necesidad de utilización de las listas de comprobación en la realización de las auditorías internas, sin embargo hay que hacer una clara diferencia entre aquellas listas que aportan un esquema o guía a seguir y las que se convierten en una serie de preguntas a responder si o no.

Las listas de comprobación bien entendidas y diseñadas se convierten en una herramienta eficaz para la realización de la auditoría interna, debido a que si aportan pautas para su realización y permiten profundizar más ampliamente en aquellos elementos a mejorar o corregir. La gran diferencia entre una lista de comprobación eficaz y aquella que no lo es, es que la primera se convierta en una ayuda a la auditoría y no en un guión de la misma como es el caso de la segunda.  

En este artículo voy a hablar de las características de una lista de comprobación eficaz y su utilización durante el proceso de auditoría interna en cualquiera de sistemas de gestión existentes, como puede ser de la Norma ISO 9001:2015, Sistema de Gestión de la Calidad, ISO 14001:2015, Sistema de Gestión Ambiental, o ISO 27001, Sistema de Gestión de la Seguridad de la Información, por poner algunos ejemplos.

Características de las listas de comprobación.
Las listas de comprobación se convierten en herramientas eficaces en la realización de las Auditoría Internas siempre que se gestionen de forma correcta.
Como indicaba anteriormente, las listas de comprobación se convierten en una herramienta al servicio del auditor para que esta actividad se realice abarcando todos los puntos dentro del alcance de la auditoría interna.

Disponer de una lista de comprobación proporciona, en muchos de los casos, una mayor objetividad entre los distintos auditores que realizan la actividad debido a que aporta un mismo guión a seguir por todas las partes en forma de determinadas preguntas a contestar.

Junto con esto permiten una mejor distribución del tiempo disponible de cara a que no se dedique una parte excesiva del horario en la verificación del cumplimiento de los primeros requisitos y luego, en la última etapa, sea necesario realizar superficialmente la comprobación  del cumplimiento de otros puntos debido a la falta de tiempo.

Por otra parte, las listas de comprobación no aportan solamente ventajas sino que también conllevan un gran riesgo, debido a que pueden hacer que se caiga en la rutina y se conviertan en meros check-list a contestar de  SI/NO, no promoviendo que se registren las evidencias encontradas, por poner un ejemplo.

La eficacia de las listas de comprobación  se puede detectar en el carácter de las preguntas. Vamos a ver un ejemplo a continuación de dos tipos de preguntas que se corresponden a una ineficaz lista de comprobación y a una eficaz lista de comprobación:
  1. Pregunta ineficaz – ¿Tiene un procedimiento de Acciones Correctivas?
  2. Pregunta eficaz – En relación con las acciones correctivas y tomando como referencia cinco registros ¿las acciones para eliminar la causa se han realizado de forma eficaz?

Ambas preguntas son válidas, pero en el primero de los casos es posible contestarla sin revisar ningún registro y sin variar año tras año, por lo que no nos aporta ningún elemento para mejorar. En el caso de la segunda pregunta provoca que en cada auditoría interna se revisen los registros y se dispongan de evidencias de su cumplimiento más allá del mero procedimiento en sí, pasando del procedimiento a la actividad diaria de la empresa. Además, permite que cada año estas preguntas se maticen y se adapte a la realidad de la organización.

De esta forma, la Auditoría Interna no caería en la lectura del auditor de una serie de preguntas y promovería la exploración de las distintas respuestas que se producen durante esta actividad, convirtiéndose en una herramienta de mejora continua.

Algunos de los elementos necesarios para realizar una eficaz lista de comprobación son los siguientes:
  • Basar la lista de comprobación en los distintos procesos, utilizando para ello los modelos de procesos de los que he hablado anteriormente en el artículo “Los modelos de procesos en las auditorías de Normas ISO”
  • No solamente centrarse en los requisitos mínimos de la norma, sino que verificar la adecuación de las entradas de cada proceso y la eficacia de los resultados, para detectar elementos o aspectos de mejora.
  • Debe tener en cuenta la interrelación entre los distintos procesos de forma que se pueda realizar una adecuada trazabilidad de las pistas de auditoría.
  • Es necesario que los puntos o preguntas de las listas de verificación se centren en hechos y datos que permitan una verificación eficaz del cumplimiento, y no en simples respuestas de si/no.
  • Hay que adaptar las preguntas para situaciones específicas de acuerdo a las características de la empresa y de los procesos, incluyendo la terminología utilizada por esta.
  • Deben ser claras y no convertirse en un guión a leer, sino en una herramienta a seguir o guía del proceso a auditor a consultar. 

La utilización de las listas de comprobación en la auditoría interna.
Teniendo en cuenta todo lo indicado anteriormente, es necesario precisar que, como herramienta a emplear, será de gran utilidad en los primeros años del auditor sin embargo, una vez vaya adquiriendo experiencia, cada vez se consultará la lista de comprobación de forma más puntual, aunque siempre es interesante realizarla como guión y preparación de la auditoría.

Durante la auditoría interna, la lista de comprobación se puede emplear tanto en la técnica de desglose como para la técnica de trazado.

En el caso de la primera de estas herramientas, la técnica de desglose, se parte de una explicación por parte del auditado de un proceso concreto, y utilizando la escucha activa se van identificando los puntos clave para obtener más información. Una vez finalizado este paso el auditor vuelve sobre los puntos identificados, consultando los registros y procedimientos documentados y concluyendo el proceso con la revisión del resto de elementos menores. En este caso, la lista de comprobación es útil una vez el auditado a realizado la descripción del proceso ya que permite realizar preguntas y revisar los registros específicos de la actividad.

Por otra parte, la técnica de trazado permite avanzar hacia adelante o hacía atrás en el sistema de gestión, interrelacionando los distintos procesos. En esta técnica la lista de comprobación aporta el guión en cada una de las actividades para que no se quede ningún requisito por comprobar.

En ambos casos, es interesante que se realice una última pregunta general incluida dentro de la lista de comprobación para verificar que se han tratado todos los puntos del proceso o procesos auditados, de forma que se pueda incidir de una forma más específica en determinados aspectos que, si seguimos un check-list propiamente dicho, quedarían enmascarados y no permitirían identificar elementos de mejora.

Por último, es necesario precisar que la lista de comprobación se convierte en la guía para realizar una auditoría fluida en las que la participación del auditado es completa, viéndolo no como una respuesta de si/no a una serie de preguntas leídas o aprendidas de memoria por el auditor, sino en una herramienta que le motiva a aportar puntos a mejorar o elementos que aportan mayor valor al proceso y que no es posible identificarlos desde la mera revisión de la documentación.

Tomado de: https://www.sbqconsultores.es

APLICACIÓN DE LAS NORMAS ISO PARA LA CORRECTA GESTIÓN DE LAS TIC

La utilización de las herramientas adecuadas, es decir, de las Normas ISO que mejor se adapten a sus necesidades, le ayudará a mejorar su gestión de las TIC.
En la actualidad, la utilización de la Tecnología TIC es cada vez mayor y con ello también aumentan los riesgos asociados.

Para poder controlar todos estos riesgos que vienen unidos al aumento del uso de la tecnología, las empresas pueden utilizar una serie de herramientas que les permitirán controlar, prevenir y remediar los fallos de seguridad y dar una confianza y tranquilidad a los clientes que asegurará la fidelidad de estos y su continuidad en el negocio.

De esta forma, vamos a hablar en este post de algunas de estas herramientas que pueden adoptar las empresas que así lo deseen y de las ventajas que aportarán a las organizaciones que las implanten para asegurar que la gestión de las TIC se realiza de forma correcta y que se consiguen los máximos beneficios con la inversión realizada.

Gestión de las TIC en las empresas
Desde la década de los noventa, la utilización de las TIC se ha ido haciendo más relevante para la gestión de las empresas.
En la pasada década de los noventa aparecieron las TIC y esta innovación rápidamente se expandió por todo el tejido empresarial y por las administraciones públicas de todo el país. Pero en ese momento no se pudieron apreciar una serie de preocupaciones que en la actualidad si observamos y no se acompañó a las TIC con una serie de regulaciones de calidad que solucionarán los problemas de seguridad y confianza que iban unidos a las TIC y que surgían de su aplicación en las organizaciones.

Como solución inicial y parcial al problema anteriormente planteado, se utilizó la implantación y la certificación de la Norma ISO 9001, Sistema de Gestión de la Calidad, sin embargo, al no tratarse de una norma específica no se adaptaba correctamente a las necesidades que implicaban las TIC en las empresas.

Para que lo entendamos mejor, debemos pensar que la Norma ISO 9001 ofrece unas soluciones generalistas que, aunque son de gran utilidad para cualquier organización, no permiten resolver todas las demandas que las TIC necesitan. Es decir, las empresas deben adoptar unas herramientas más aptas y que se adapten mejor a la importancia, responsabilidad, espacio y competencia de las TIC en la empresa, dando resultados más adaptados a las necesidades de estas aplicaciones.

Sin perjuicio de lo anteriormente dicho, no debemos olvidar que las TIC y los responsables de su aplicación se configuran con un área más de la empresa, con unos objetivos empresariales claros y definidos por la dirección y, por lo tanto, deben de seguir el mismo concepto de calidad, seguridad, eficacia y eficiencia que el resto de la empresa.

Aplicación de la Norma ISO 27001 a la gestión TIC en las empresas
La Norma ISO 27001, junto con otras normas ISO, aportan soluciones adaptadas a las TIC y permiten su correcta gestión.
La Norma ISO 27001, Sistema de Gestión de la Seguridad de la Información, ayuda a la gestión correcta de las TIC en las empresas gracias a una mejora en el campo de la gestión, aportando una seguridad de la información de que dispone la empresa y que se convierte en un valor de gran importancia para la correcta gestión de la organización.

Tenemos que tener en cuenta que la consecución de un grado alto de seguridad es un valor altamente buscado por todas las empresas y disponer de un sistema que nos ayuda a ver los puntos débiles de nuestro sistema, corregir los errores en materia de seguridad de la información y evitar que estos se produzcan antes de que supongan un alto riesgo, aporta seguridad a nuestros clientes y, en definitiva, lucha por una gestión eficaz e eficiente de la seguridad de la información, es un punto en alta estima y un gran valor estratégico para cualquier empresa.

En definitiva, podemos resumir que la implantación de la Norma ISO 27001 o Sistema de Gestión de Seguridad de la Información ayuda a la gestión adecuada y eficaz de los riesgos existentes en los sistemas de información de la empresa y ayuda a aumentar la seguridad de los mismos. Estos dos factores conllevan la minimización de los posibles riesgos de las TIC y aumenta la confianza y, además, si lo unimos con las Normas que a continuación vamos a explicar, conseguirán que la empresa disponga y ofrezca unos servicios con una alta seguridad y calidad en el uso de las TIC.

Aplicación de otras Normas ISO a las TIC
Podemos dividir la aplicación de las herramientas adaptadas a las TIC en diferentes campos según la utilidad y finalidad con la que se han creado. En primer lugar, en el campo de la gestión, existen las siguientes herramientas:
  • La Norma ISO 27001 o Sistema de Gestión de la Seguridad de la Información que hemos visto anteriormente.
  • Y el Sistema de Gestión de Servicios TI SGSTI (UNE-ISO / IEC 20000 – 1).

Por otro lado, en el campo de las actividades enfocadas a la calidad del software disponemos del:
  • Modelo de evaluación, mejora y madurez del software SPICE ISO 15504
  • ISO 12207, Ciclo de vida de desarrollo del software
  • Sistema de Gestión de activos de software (Licencias de software) UNE-ISO 19770 – 1.
Adicionalmente, también se puede completar con:
  • ISO / IEC 29110 sobre perfiles del ciclo de vida para pequeñas entidades.
  • Familia de Normas ISO 25000 sobre Calidad del Producto de Software.
  • ISO / IEC 29119 sobre pruebas de software que todavía se encuentra en elaboración.
Por último, tenemos que tener en cuenta que todas estas normas tienen su base en el reconocido mundialmente esquema PHVA (Planificar – Hacer – Verificar y Actuar) y, por lo tanto, son perfectamente compatibles con otros modelos de gestión como el Sistema de Gestión de la Calidad según la ISO 9001 o el Sistema de Gestión Ambiental según la Norma ISO 14001.

Las Normas ISO están al alcance de cualquier empresa u organización, pública o privada, que quiera gestionar adecuadamente las TIC y aportar un valor añadido a la empresa frente a sus competidores y a sus clientes. Para la correcta aplicación de estas es aconsejable ponerse en manos de profesionales que, como SBQ Consultores, estudien las características de su empresa y sus necesidades y le aconsejen sobre la implantación de las herramientas que mayores beneficios le aporten, solucionen de una forma más completa y eficaz los problemas derivados de la aplicación de las TIC y solucione cualquier consulta que pueda tener sobre el tema que hemos tratado en este post.

Tomado de: https://www.sbqconsultores.es