jueves, 10 de septiembre de 2020

DESARROLLO Y EJECUCIÓN PARA LLEVAR A CABO AUDITORÍAS VIRTUALES

Sin esperarlo, el mundo ha comenzado a vivir un proceso de cambio brutal relacionado con la mitigación y lucha contra el COD-19, conocido popularmente como Coronavirus. 

Debido a este, son muchas las empresas que tendrán que tomar medidas para poder llevar a cabo sus tareas a través del teletrabajo, una de las medidas más importantes que se han llevado a cabo desde hace apenas dos días. En el artículo de hoy hablaremos sobre como las auditorías pueden convertirse en auditorías virtuales si las empresas cuentan con herramientas digitales en la red y canales que así lo permitan ¡Vamos allá!

Desarrollo y ejecución de auditorías virtuales

Las fases que se contemplan para el desarrollo de las auditorías virtuales son: planificación, desarrollo, reporte y seguimiento, alineadas con el ciclo PHVA,

La planificación de la auditoría virtual, debería tratarse los datos normales de una auditoria, como lo son los objetivos, alcance (procesos a auditar), criterios, métodos, responsabilidades, recursos, riesgos, no obstante, es recomendable hacer especial hincapié en la revisión de las tecnologías de la información y las comunicaciones disponibles, así como en la coordinación de la ubicación virtual (herramienta colaborativa de conexión), las fechas, el horario y la duración prevista de las actividades.

Para el desarrollo de la auditoria virtual, previamente debería ejecutarse una etapa revisión Documental , donde el auditor solicita al responsable/dueño del proceso la documentación requerida asociada a los requisitos a auditar como caracterización, procedimientos, riesgos, planes de mejora, indicadores, informes de auditorías, entre otros, los cuales podrán ser remitidos al auditor mediante correo electrónico, links web de publicación o por un acceso controlado (usuario + contraseña) a un software de gestión.

Posteriormente a través de un canal de comunicación en tiempo real, se aplican los métodos la auditoria durante las entrevistas al líder y personal involucrado en la operación del proceso con el fin de validar la información revisada y analizada en la revisión documental por parte del equipo auditor.

Luego se ejecuta la fase de reporte, en donde la evidencia objetiva evaluada, deberá en lo posible ser remitida al correo electrónico, la nube y/o reportada a través la herramienta carga de evidencias y/o resultados, que se designe, en caso de contar con una herramienta de reporte online, el registro de hallazgos de auditoría puede realizarse online y posteriormente consultarse para la elaboración del informe de auditoría.

Finalmente se realiza seguimiento de la auditora virtual, para comunicar los resultados de auditoria, incluyendo los hallazgos, conclusiones y recomendaciones. En síntesis, una auditoría virtual sigue el proceso estándar de auditoría, solo que a la vez usa la tecnología para verificar las evidencias objetivas. El auditado y el equipo auditor deberían asegurar los requisitos tecnológicos apropiados para las auditorías virtuales.

Riesgos y oportunidades de auditorías virtuales

Hay riesgos y oportunidades relacionados con el contexto del auditado que pueden asociarse con el programa de auditoría y con la gestión propia del proceso de autoría, en consecuencia, las personas responsables deberían identificar y tratar oportunamente los siguientes riesgos y oportunidades, sin limitarse a ellos:

Riesgos asociados a los recursos:
  • Recursos tecnológicos
1.1. Deficiente velocidad del sistema operativo de los equipos
1.2. Incertidumbre de la conectividad e indisponibilidad de la información en tiempo real
  • Indisponibilidad de la Infraestructura tecnológica (servidores, computadoras, redes, etc.)
  1. Interferencias e interrupciones en la señal por ruidos externos
  2. Carencia de protocolos de Seguridad cibernética y de la información
  3. Indisponibilidad de herramientas de comunicación multimedia (streaming)
  • Carencia de planos/diagramas de planta de las ubicaciones remotas como referencia o para asignar información electrónica
  • Otros recursos
3.1. Indisponibilidad de tiempo del auditor/auditado para atender la auditoria virtual programada.

Riesgos asociados a la planificación:
2. Riesgos
2.1. Fracaso al definir las competencias del equipo auditor
2.2. Subestimación de las limitaciones de la comunicación virtual
  • Falta de verificaciones técnicas antes de la auditoría para resolver cuestiones técnicas
1. Carencia de protocolos efectivos de seguridad, vacíos en las políticas de disponibilidad, confidencialidad e integridad de la información.
  • Priorización de procesos y oportunidades
Desconocimiento de parte del auditor de los procesos a auditar, su documentación asociada, así como el medio de almacenamiento o infraestructura tecnológica del auditado.
Estructura del programa de auditoria
Fracaso al determinar el alcance, extensión, número, y/o duración de las auditorias virtuales
Fracaso al establecer objetivos de la auditoría pertinentes

Riesgos asociados a la implementación: 
2.Riesgos
2.1. Fallas en los protocolos de acceso remoto acordados, incluyendo los dispositivos, software, etc.
2.2. Incumplimiento de los acuerdos de confidencialidad de la información
  • Priorización de procesos
2.1. Fracaso del auditado de demostrar su capacidad de transformar grandes cantidades de datos (Big Data) en conocimiento que facilite la toma de decisiones y sirva de evidencia

Las oportunidades para mejorar un programa de auditoría, que incluye auditorias virtuales pueden comprender:
  • Mejorar lo protocolos de seguridad de la información, a fin de garantizar un acceso autorizado a la información documentada por parte de los auditores, este protocolo debería incluir como mínimo las políticas para resguardar la confidencialidad e integridad de la información, durante la auditoria virtual, así como en las pausas.
  • Evitar traslados, al permitir llevar a cabo múltiples entrevistas a auditados en una única sesión online;
  • Optimizar el tiempo y costos de la auditoria;
  • Mejorar las habilidades en TICs de los dueños de los procesos auditados
  • Evaluar objetivamente el nivel de competencia del equipo auditor con el nivel de competencia necesario para alcanzar los objetivos de las auditorías virtuales, a fin de identificar brechas a mejorar en próximas auditorias;
  • Facilidad para alinear las fechas de la auditoría virtual con la disponibilidad del personal clave a ser auditado, minimizando las barreras de la distancia y las diferencias horarias.
  • Mejorar los planes de contingencia y de que se comunican (por ejemplo, interrupción del acceso, uso de tecnologías alternativas), incluyendo la provisión de tiempo adicional para la auditoría si es necesario.
Herramientas tecnológicas de Interacción Virtual para las auditorias

El proceso de autoría virtual requiere disponer de herramientas tecnológicas que sirvan de canal de comunicación y de entrega de evidencias y/o resultados entre el auditor y el auditado.

En relación se debería disponer de herramientas colaborativas de comunicación en tiempo real y a su vez habilitar un acceso remoto y controlado por protocolos de Seguridad para el o los auditores, donde se limite el alance del acceso, considerando las políticas de disponibilidad, confidencialidad e integridad de la información y el alcance de la auditoria.

Para poder proporcionar un acceso claro, convincente, continuo y sin interrupciones ni cambios durante las auditorias virtuales, las organizaciones deben contar con plataformas de distribución digital de contenido multimedia (streaming), que permiten almacenar de forma remota los datos de audito/video y retrasmitirlos en tiempo real a través de Internet.

En efecto un proceso habitual de auditoria virtual requiere como mínimo la disponibilidad de:

Canal de comunicación en tiempo real (plataformas streaming para reuniones, seminarios y conferencias online)
  • GoToWebinar
  • GoToMeeting
  • Zoom
  • Skype
Canal de entrega de evidencias y/o resultados:
  • Intranet
  • Nube
  • E-mail
  • Software de automatización de procesos (por ejemplo, ISOTools)
Tomado de: https://www.isotools.org/

AUDITORÍAS VIRTUALES DE SISTEMAS DE GESTIÓN BASADOS EN NORMAS ISO

La transformación digital en las organizaciones cada vez se hace más extensiva a todos los sectores productivos, tanto públicos como privados. 

Las auditorías virtuales es un nuevo concepto adoptado por la ISO 19011:2018, la cual da orientación sobre como realizar las auditorias y hace mención especial a las actividades de auditorías virtuales en los sistemas de gestión, las cuales representan un paso más en este proceso de innovación digital.

Mediante una serie de herramientas tecnológicas, los auditores de sistemas de gestión cada vez pueden llevar a cabo su labor de una manera más ágil y automatizada, de manera que las distancias y las diferencias horarias ya no representen una limitante para la ejecución de la auditoria, como un control que ayude a las organizaciones a asegurar el cumplimiento de forma eficiente y oportuna.

Este artículo pretende que los profesionales de las auditorías en sistemas de gestión conozcan esta nueva tendencia relacionada con la digitalización empresarial, que afecta a los sistemas de gestión.

Enfoque de la ISO 19011:2018 sobre auditorias virtuales

La nueva edición de ISO 19011 presenta cambios muy interesantes con respecto a su antecesora del año 2011. Entre estos destaca la expansión del Anexo A, para orientar sobre nuevos conceptos de auditoría como contexto organizacional, liderazgo y compromiso, auditorías virtuales, conformidad o cadena de suministros.

Como es bien es sabido, esta norma es aplicable a todas aquellas organizaciones que necesitan planear y llevar a cabo auditorías internas o externas de sistemas de gestión o administrar programas de auditorías.

Cualquier persona que forme parte de un equipo de auditores o se encuentre involucrada en auditorías, como auditor o como auditado, puede hacer uso de ISO 19011. Específicamente, la norma ha sido diseñada para personas encargadas de la gestión de programas de auditorías, tanto presenciales como virtuales a partir de su última edición.
Entre una de sus novedades ISO 19011:2018 incluye en su anexo A la posibilidad de poder llevar a cabo auditorías virtuales.
Ventajas de realizar auditorías virtuales

Normalmente estamos acostumbrados a realizar este tipo de actividades de manera presencial. Es desde hace unos años cuando se ha comenzado a escuchar este nuevo concepto de auditoría virtual.

Las auditorías virtuales pueden ser muy útiles de cara a auditar empresas multisede, con el objetivo de ahorrar costes en viajes a cada una de las localizaciones.

Actualmente la ISO 19011:2018 exige que el auditor debe de conocer de la organización que se va a auditar: su dirección estratégica, sus cuestiones internas y externas, cuales son son partes interesadas y sus riesgos y oportunidades. Si se va a hacer una auditoría virtual, tenemos que tener en cuenta que al cliente de la auditoría tenemos que hacerle ciertas preguntas que nos ayudarán a realizar dicha auditoría. Lo mismo indica la norma para una auditoría presencial.

Todas las normas exigen que a la hora de llevar a cabo la planificación de una auditoría, se debe de indicar el método de la auditoría. Gracias a esta novedad, este podrá ser virtual. 

Es importante señalar, que pese a todas las grandes ventajas que ofrece la realización de auditorías virtuales, debe establecerse un método -o metodología- determinado y al tamaño del contexto y necesidad de la organización. Para ello, es preciso conocer muy bien las condiciones de la organización y las competencias del equipo auditor.

Finalmente, vale la pena evaluar la probabilidad de manejar sus auditorías con software especializado, los cuales han sido desarrollados en los últimos años para ayudar a las organizaciones con este requisito. En el mercado puede conseguir y cotizar gran variedad de éstos.

Tomado de: https://www.isotools.org/

INDICADORES Y EL CICLO PHVA

Los indicadores de gestión deben planificarse o diseñarse, ser ejecutados o implantados, verificados y en caso de que sea necesario, ajustarlos. 

Por lo tanto, siguen el ciclo PHVA.

Planificar: diseño de indicadores. Son los indicadores que deben estar alineados a hechos con base a un elemento. Si existe un indicador que no se encuentra alineados a nada, deberá plantearle para que lo has diseñado. Si el contexto empresarial es nuestro escenario, debemos asegurarnos que el indicador que diseñe se encuentre dirigido al logro de un objetivo o política.

Hacer: aplicar medición. Es este momento debemos probar el indicador. Los datos que se están tomando para alimentar la fórmula del indicador deben ser confiables y reales.



Verificar: analizar los datos. Es necesario conocer para que se calcula un indicador. No tiene sentido que se diseñe un indicador, tome datos y después no haga nada más. En este momento es en el que realmente se toma valor al uso de los indicadores y es cuando se toman decisiones.

Actuar: tomar decisiones. Se ejecutan las decisiones previstas en el paso anterior. Las decisiones pueden significar en el inicio de un nuevo ciclo PHVA. Por ejemplo, si ve que la cosa va bien exígele un poco más, pero si ves que algo no va bien debes hacer algo que lo corrija.

Cómo construir un indicador

Construir o diseñar un indicador se hace según la fase de planificar.


Paso 1: Qué está haciendo

Antes de medir es necesario que sea consciente de las actividades que se están realizando. Si tiene caracterizadas con el detalle de entradas y salidas.

En al ámbito de proyectos o en el sector público el esquema puede ser diferente. Suponemos que el objetivo de estudio el sector académico y nos enfocamos en la problemática de la deserción escolar. Siendo un aspecto que se debe medir como pueden ser las causas de deserción escolar.

Durante este análisis será útil que determines los recursos que lleven a cabo las actividades. Esto permite medir los aspectos que son más importantes.


Paso 2: Definición de variables y fórmula de cálculo

Es necesario que se definan las variables de las que se compone el indicador, la relación que tiene entre sí, y con esto la fórmula de cálculo. La relación se encuentra dada por el tipo de información que quieres conseguir. Por lo que un indicador puede ser:

Absoluto: un número que dimensiona un evento o fenómeno según su naturaleza.
Razón: es cociente entre dos cantidades que no tiene elementos comunes o cuenta con un atributo de diferencia. De otra forma, toma las unidades que cuentan con un atributo frente a las que no lo tienen.
Tasa: es el cociente entre dos variables analizadas en un lugar y tiempo específico.
Proporción: siendo la relación entre una cantidad con elementos en común y total de unidades. Dicho de otra manera, es una relación en la que el numerados se encuentra incluido en el denominador.
Variación: fija dos elementos que establecen la variación que existe entre uno y otro.

Paso 3: Elección del indicador

Debemos evaluar cada indicador con base a los criterios establecidos. En caso de que nos quedemos sin suficientes indicadores volvemos a ejecutar el paso 1 y 2.

Paso 4: Definiendo las metas de un indicador

Es necesario que las siguientes consideraciones para la definición de las metas de un indicador de gestión. No todos se aplican, pues esto depende de la organización, proyecto, actividad y sector.
  • Valor de actualidad o histórico. Es necesario que se mire atrás en el tiempo para definir la meta. Es común escuchar empresas que definen sus metas con base en los resultados del año pasado. Si no contamos con datos, podemos hacer mediciones a través del tiempo para tener un punto de partida. El valor no menciona el potencial, pero para eso está otro valor.
  • Valor de potencialidad o estándar. Considera una gestión eficaz de recursos, por la que obtendrá otro valor que está orientado a una situación con los recursos disponibles utilizados de la mejor forma.
  • Valor de competencia. No tiene sentido plantearse una meta si sabes que la competencia la supera por mucho.
  • Valor de usuario/cliente. No debes plantear una meta inferior a la exigida por el cliente.
  • Valor teórico. Se encuentra orientado a maquinaria y equipo. Suele estar expresado por el fabricante.
Paso 5: Fuente de información y frecuencia de recolección

Es necesario conocer la información de los indicadores:
  • La información proviene de informes estatales y se consigue mediante el sitio web de presidencia.
  • La información se consigue con el grupo de personas evaluadas y se obtiene mediante encuestas y su análisis.
  • La información proviene de las bases de datos del cliente y se obtiene por envío de correo electrónico mensual.

Paso 6: Responsables del indicador

Define las diferentes responsabilidades que se encuentran asociadas al indicador.
  • Quién trabaja para que se establezca la información.
  • Quién recolecta la información.
  • Quién analiza dicha información.
  • Quién reporta o presenta la información del indicador.
Paso 7: A quién está dirigida la información del indicador

Con base al destinatario, puede ser posible que se modifique la frecuencia del cálculo del indicador o una presentación específica.

Paso 8: Frecuencia de cálculo

No podemos confundir frecuencia de cálculo con frecuencia de recolección de información. Es necesario que se cuente con una hoja de control de proveedor donde se anota la gestión semanal.

Paso 9: Ficha de indicadores

En este caso se especifican los elementos que componen cada indicador. Es muy útil realizar un resumen de todas las consideraciones que deben tener en cuenta a la hora de realizar la planificación de los indicadores.

Tomado de: https://www.isotools.org/