GUÍA GP 123

PERUANA 2020
Dirección de Normalización - INACAL
Calle Las Camelias 817, San Isidro (Lima 27) Lima, Perú

L
IA
C
R
PA
O
L
TA
TO
N
IO
C

LINEAMIENTOS PARA LA GESTIÓN DE

C

AUDITORÍAS REMOTAS
U
D
O

GUIDELINES FOR MANAGING REMOTE AUDITS

R
EP
R

2020-07-31
SU

1ª Edición
A
ID
IB
H
O
PR

R.D. N° 020-2020-INACAL/DN. Publicada el 2020-08-05 Precio basado en 16 páginas

I.C.S.: 03.120.20 ESTA GUÍA ES RECOMENDABLE
Descriptores: Auditorías remotas, auditorías, lineamientos, sistemas de gestión

© INACAL 2020
 L
IA
C
R
PA
O
L
TA
TO
N
IO
C
C
U
D
O
R
EP
R
SU
A
D

© INACAL 2020
I
IB
H

Todos los derechos son reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación
O

podrá ser reproducida o utilizada por cualquier medio, electrónico o mecánico, incluyendo fotocopia o
PR

publicándolo en el internet o intranet, sin permiso por escrito del INACAL.

INACAL

Calle Las Camelias 817, San Isidro

Lima - Perú
Tel.: +51 1 640-8820
publicaciones@inacal.gob.pe
www.inacal.gob.pe

i
© INACAL 2020 - Todos los derechos son reservados
 ÍNDICE

página

ÍNDICE ii

PRÓLOGO iii

INTRODUCCIÓN vi

L
IA
C
1 Objeto y campo de aplicación 1

R
PA
2 Referencias normativas 1

O
3 Términos y definiciones 2

L
TA
4 Criterios generales para las auditorias remotas 2
4.1 Identificación de riesgos y oportunidadesTO 2
4.2 Recursos tecnológicos 4
N
4.3 Competencias del equipo auditor 7
IO
C

5 Planificación de las auditorías 7

C
U

6 Ejecución de las auditorías 9

D
O

7 Actividades posteriores a la auditoría 11

R
EP

ANEXO A (INFORMATIVO) Ejemplo de identificación de 12

R

riesgos y oportunidades para usar técnicas de auditoría remota

SU

BIBLIOGRAFÍA 16
A
ID
IB
H
O
PR

ii
© INACAL 2020 - Todos los derechos son reservados
 PRÓLOGO

A. RESEÑA HISTÓRICA

A.1 El Instituto Nacional de Calidad - INACAL, a través de la Dirección de

Normalización, es la autoridad competente que aprueba las Normas Técnicas Peruanas a
nivel nacional. Es miembro de la Organización Internacional de Normalización (ISO) y la
Comisión Electrotécnica Internacional (IEC), en representación del país.

L
IA
C
R
A.2 La presente Guía Peruana ha sido elaborada por el Comité Técnico de

PA
Normalización de Gestión y aseguramiento de la calidad, mediante el Sistema 2 u
Ordinario, durante los meses de abril a junio de 2020, utilizando como antecedentes a los

O
documentos que se mencionan en la Bibliografía.

L
TA
A.3 TO
El Comité Técnico de Normalización de Gestión y aseguramiento de la
calidad presentó a la Dirección de Normalización -DN- con fecha 2020-06-07, el
N
PGP 123:2020 para su revisión y aprobación, siendo sometido a la etapa de discusión
IO

pública el 2020-06-29. Habiéndose recibido observaciones, estas fueron revisadas y luego

C

de su evaluación correspondiente fue oficializada como Guía Peruana GP 123:2020

C

LINEAMIENTOS PARA LA GESTIÓN DE AUDITORÍAS REMOTAS, 1ª Edición,

U

el 05 de agosto de 2020.
D
O
R
EP

A.3 La presente Guía Peruana ha sido estructurada de acuerdo con las Guías
Peruanas GP 001:2016 y GP 002:2016.
R
SU
A

B. INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIÓN

D

DE LA GUÍA PERUANA
I
IB
H
O

Secretaría Instituto para la Calidad - Pontificia

PR

Universidad Católica del Perú

Presidente Erasmo Zorrilla Trisano

Secretario Oscar Valdizán Aste

iii
© INACAL 2020 - Todos los derechos son reservados
ENTIDAD REPRESENTANTE

AVANTIA S. A. C. Aldo Sarmiento Carreño

Néstor Zamudio Manchego

BUREAU VERITAS CERTIFICATION Jocelyne Arzich Piña

PERÚ

CASAL CONSULTORES S. A. C. Sandra Carpio Salinas

Zenaida Enciso Acuña

L
IA
C
CÁMARA DE COMERCIO DE LIMA Yusith Vega Odes

R
PA
CESEL S. A. C. Juan Verástegui Maldonado

O
CONTROL DE SANEAMIENTO Iván Jerí San Miguel

L
AMBIENTAL S. A. C.

TA
EIDON CORE S. A. C. TO
Carmen Chávarry Vargas
N
EQ SOLUTIONS S. A. C. Hebert Zevallos Tejada
IO
C

ICONTEC DEL PERÚ S. R. L. Ennio Peirano Mejía

C
U

INTERTEK TESTING SERVICES Vanessa Gonzáles Oberti

D
O

INSTITUTO PARA LA CALIDAD - PUCP Mónica Puertas Vásquez

R
EP

INSTITUTO TECNOLÓGICO DE LA Susan Montero Beramendi

R

PRODUCCIÓN - CITE PESQUERO Mónica Espinosa Sánchez

SU

KIENVER S. A. Igor Verona Silva

A
D

LAM GROUP S. A. C. Lorena Samaniego Lara

I
IB

Francisco De Velasco Torrelly

H
O

MINISTERIO DE LA PRODUCCIÓN Julia Canchucaja Ruiz

PR

MINISTERIO DE TRABAJO Jéssica López Salcedo

NSF INASSA S. A. C. Marjorie Cueto Castillo

OSINERGMIN Yenny Clavijo Dueñas

Olinda Cóndor Arroyo

iv
© INACAL 2020 - Todos los derechos son reservados
PARADIGMA PERÚ S. A. C. Katia Custodio Chaupis

QUALITY ASSURANCE SERVICES S. A. Guillermo Zevallos Dávila

QUALITAS DEL PERÚ S. A. C. César Rivasplata Lino Montes

QUARA PERÚ S. A. C. Estuardo Castañeda Trevejo

STRATEGIA - CONSULTORES Jaime Vera Saldarriaga

Y PROYECTOS S. A. C.

L
IA
TACTICAL SERVICES GROUP América Cárdenas Ontón

C
CONSULTING S. A. C.

R
PA
UNIVERSIDAD PERUANA DE Everth Martell Mateo
CIENCIAS APLICADAS

O
L
CONSULTOR María Altamirano Echevarría

TA
CONSULTOR TO
Ricardo Bravo Montenegro
N
CONSULTOR Antonio Carpio Salinas
IO
C

CONSULTOR Lizbeth Carrasco Benites

C
U

CONSULTOR Patricia Infante Villanueva

D
O

CONSULTOR Minerva Mayorga Silva

R
EP

CONSULTOR Carlos Montoro Yaya

R
SU

CONSULTOR María Napaico Sandoval

A

CONSULTOR Blasco Núñez Velasco

D
I
IB

CONSULTOR Pedro Reátegui Angulo

H
O

CONSULTOR Cecilia Sierra Alcázar

PR

v
© INACAL 2020 - Todos los derechos son reservados
 INTRODUCCIÓN

La auditoría remota es uno de los métodos de auditoría descritos en el Anexo A de la

NTP-ISO 19011:2018. Según el subcapítulo A.16 de dicha norma, las auditorías remotas
hacen referencia al uso de tecnología para recopilar información, entrevistar a un
auditado, entre otros, cuando los métodos “cara a cara” no son posibles o deseables.

El valor de este método de auditoría reside en su potencial para proporcionar flexibilidad

L
IA
para lograr los objetivos de la auditoría. Con el fin de obtener los beneficios de este

C
método de auditoría, todas las partes interesadas pertinentes deberían tomar conciencia

R
sobre su rol en el proceso, las entradas, las salidas esperadas y los riesgos y oportunidades,

PA
que proporcionarán la base para lograr los objetivos de la auditoría y del programa de
auditoría.

O
L
TA
Existe una variedad de razones por las cuales un auditor podría no estar presente en el
TO
sitio de auditoría, por ejemplo, circunstancias que pudieran afectar su integridad física
(manifestaciones, huelgas, entre otros), circunstancias o eventos que prohíben el libre
N
desplazamiento (epidemia, pandemia, inundaciones u otros desastres naturales, entre
IO

otros).
C
C
U

Las nuevas tecnologías de información y comunicación (TIC) han hecho que la auditoría
D

remota sea más factible. Dado que el acceso a las TIC ha aumentado, la auditoría remota
O

se ha vuelto más utilizada. Esto permite que el auditor se comunique con las personas a
R
EP

nivel mundial, accediendo a una amplia gama de información y de datos.

R
SU

Estas técnicas transforman la manera en que trabajamos. Las TIC abren la oportunidad
de auditar sitios y personas de forma remota, acortando distancias, tiempos y gastos de
A

viaje, reduciendo el impacto ambiental asociado a los viajes para realizar una auditoría y
D

adaptando las auditorías a diferentes modelos organizacionales. Las TIC pueden ayudar
I
IB

a incrementar el tamaño o la calidad del muestreo en el proceso de auditoría, cuando se

H

preparan, validan y utilizan apropiadamente. Este es el caso, por ejemplo, cuando se

O

utilizan cámaras de video, teléfonos inteligentes, tabletas, drones o imágenes satelitales

PR

para verificar configuraciones físicas como la identificación de tuberías en la industria

petrolera, configuraciones de maquinaria, áreas de almacenamiento, procesos de
producción o terrenos forestales o agrícolas.

vi
© INACAL 2020 - Todos los derechos son reservados
El uso de las TIC también permite la inclusión de pericia en una auditoría que de otra
manera no sería posible debido a restricciones financieras o logísticas. Por ejemplo, la
participación de un experto técnico puede ser necesaria solo para analizar un proyecto
específico durante únicamente dos horas. Con las TIC disponibles, el experto técnico
puede analizar el proceso de forma remota, reduciendo así el tiempo y los gastos
asociados con el viaje.

Sin embargo, debemos considerar las limitaciones y los riesgos que las TIC presentan en
el cumplimiento de los objetivos de auditoría. Estos incluyen temas de seguridad de la
información, protección de datos y asuntos referidos a la confidencialidad, veracidad y

L
IA
calidad de la evidencia objetiva recopilada, entre otros.

C
R
PA
Pueden surgir las siguientes preguntas:

O
L
- Cuando se observan imágenes, ¿se está viendo imágenes en tiempo real o

TA
son grabaciones de video?

-
TO
¿Se puede visualizar todo sobre el sitio remoto o están siendo guiados por
N
imágenes seleccionadas?
IO
C

- Cuando se planifica una entrevista remota, ¿se contará con una conexión
C

estable a Internet y la persona a entrevistar sabe cómo utilizarla?

U
D

- ¿Los procesos y sitios a auditarse pueden realmente ser auditados fuera del
O

sitio?
R
EP

- ¿Se puede tener un buen panorama de las instalaciones, equipos,

R

operaciones y controles?
SU

- ¿Se puede acceder a toda la información pertinente?

A
I D
IB

Muchas de estas preguntas solo pueden responderse después de una visita al sitio.
H
O
PR

Para utilizar las TIC en el proceso de auditoría, el responsable del programa de auditoría
y el equipo auditor necesitan identificar los riesgos y las oportunidades, y definir los
criterios de decisión para aceptar o no su uso y en qué condiciones.

En esta guía se aborda la auditoría remota considerando los criterios generales para su
planificación, su ejecución y las actividades posteriores a la auditoría. También se
presenta un análisis genérico de riesgos y oportunidades para el uso de algunas TIC, que
puede servir como base para el proceso de toma de decisiones.

vii
© INACAL 2020 - Todos los derechos son reservados
Para auditorías de tercera parte, los organismos de acreditación y organismos de
certificación proporcionan el marco para determinar la elegibilidad de técnicas de
auditoría remota. Para auditorías de primera y de segunda parte, es competencia del
cliente o de la organización auditada determinar la conveniencia de la auditoría remota
de acuerdo con los objetivos de la auditoría. El presente documento aborda estos dos tipos
de auditoría, sin embargo, algunos lineamientos también pueden ser utilizados en
auditorías de tercera parte.

L
IA
C
R
---oooOooo---

PA
O
L
TA
TO
N
IO
C
C
U
D
O
R
EP
R
SU
A
ID
IB
H
O
PR

viii
© INACAL 2020 - Todos los derechos son reservados
GUÍA GP 123
PERUANA 1 de 16

LINEAMIENTOS PARA LA GESTIÓN DE AUDITORÍAS

REMOTAS

L
IA
1 Objeto y campo de aplicación

C
R
PA
Esta Guía Peruana proporciona lineamientos a considerar para organizar y ejecutar auditorías
remotas de sistemas de gestión, desde que se identifica la necesidad de una auditoría remota

O
en la elaboración del programa de auditorías hasta las actividades posteriores a la auditoría.

L
TA
TO
Esta Guía Peruana es aplicable a todas las organizaciones que llevan a cabo auditorías
internas, o de primera parte, y auditorías realizadas a sus proveedores externos, o de segunda
N
parte, sin importar su tipo, tamaño o sistema de gestión implementado.
IO
C
C

Si bien el presente documento aborda las auditorías de primera y de segunda parte, algunos
U

lineamientos también pueden ser utilizados en auditorías de tercera parte.

D
O
R
EP

2 Referencias normativas
R
SU

Los siguientes documentos a los cuales se hace referencia en el texto constituyen requisitos
A

de esta Guía Peruana en parte o en todo su contenido. Para las referencias con fecha, sólo se
D

aplica la edición citada. Para referencias sin fecha se aplica la última edición del documento.
I
IB
H
O

2.1 Norma Técnica Nacional

PR

NTP-ISO 19011 Directrices para la auditoría de los sistemas

de gestión

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 2 de 16

3 Términos y definiciones

Para los fines de este documento, se aplican los términos y definiciones incluidos en la
NTP-ISO 19011 además de los siguientes:

L
IA
C
3.1

R
auditoría remota

PA
auditoría de un sistema de gestión que es posible realizar de manera no presencial

O
L
[FUENTE: IAF ID 12:2015, 3.1, modificada — Se ha adecuado la definición de “evaluación

TA
remota” a una auditoría remota.]
TO
N
3.2
IO

TIC (tecnologías de información y comunicación)

C

tecnologías para recopilar, almacenar, recuperar, procesar, analizar y transmitir información

C
U
D
O

4 Criterios generales para las auditorias remotas

R
EP
R

4.1 Identificación de riesgos y oportunidades

SU
A

La NTP-ISO 19011 establece que las personas responsables del programa de auditorías
D

deberían asegurar la realización de las auditorías de acuerdo con el programa de auditoría,

I
IB

gestionando todos los riesgos, oportunidades y cuestiones operacionales (es decir, eventos
H

inesperados), según surjan durante el despliegue del programa. En ese sentido, para alcanzar
O

los objetivos de la auditoría se deberían identificar, evaluar y gestionar los riesgos y

PR

oportunidades.

Otro aspecto importante es comprender qué procesos, actividades o sitios de la organización

pueden auditarse de forma remota con la herramienta de TIC que esté disponible.

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 3 de 16

La siguiente tabla enumera los principales aspectos para evaluar la viabilidad y el análisis
de riesgos para una auditoría remota. Esta evaluación debería realizarse y documentarse para
cada auditoría, involucrando a todos los miembros del equipo auditor y al representante del
auditado.

L
IA
Cualquier arreglo específico debería documentarse y comunicarse entre las partes

C
interesadas pertinentes.

R
PA
Viabilidad y análisis de riesgos para auditorías remotas

O
1. Confidencialidad, seguridad y protección de datos (CSPD)

L
- Asegurar el acuerdo entre el auditor y el auditado sobre los problemas de la

TA
CSPD.
- Documentar cualquier arreglo para asegurarlos.TO
2. Uso de las TIC
N
- Se cuenta con una conexión estable y buena calidad de conexión en línea.
IO

- Las TIC permiten el acceso a información documentada pertinente que incluye

C

software, bases de datos, registros, entre otros.

C

- Es posible realizar la autenticación / identificación de personas entrevistadas

U

preferiblemente con imagen.

D

- Si la observación de las instalaciones, procesos, actividades, entre otros, es

O
R

pertinente para lograr los objetivos de la auditoría, es posible acceder a ellos por
EP

video.
- El personal que participa de la auditoría tiene competencias sobre el uso de las TIC
R

a emplear.
SU

3. Personas en la organización
- Es posible acceder y entrevistar a las personas pertinentes para el sistema de
A

gestión.
ID

4. Operaciones
IB

- Si la organización no está operando regularmente debido a situaciones de

H

contingencia, los procesos / actividades que se realizan son representativos y

O

permiten el cumplimiento de los objetivos de la auditoría.

PR

5. Complejidad de la organización y tipo de auditoría

- En el caso de organizaciones, procesos o productos y servicios complejos y donde
los objetivos del tipo de auditoría requieren una evaluación completa de la norma
y un muestreo más amplio, se debería realizar un análisis cuidadoso de la
viabilidad de auditorías remotas para evaluar completamente la conformidad de la
organización con todos los requisitos.
6. Validación del análisis de riesgos con el responsable del programa de auditoría
- Establecer acciones para eliminar o minimizar los riesgos para la auditoria remota.
- Obtener la aprobación del auditor líder para la ejecución de la auditoria remota.

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 4 de 16

Viabilidad y análisis de riesgos para auditorías remotas

7. Conclusiones posibles

Cumplimiento de objetivos de Acción a tomar

auditoría

L
Si los objetivos de la auditoría se pueden Proceder a la auditoría remota

IA
alcanzar con la auditoría remota

C
Si los objetivos de la auditoría se pueden Se puede realizar parcialmente una

R
lograr parcialmente auditoría remota y luego

PA
complementarse con una auditoría en el
sitio

O
Si los objetivos de la auditoría no se No proceder a la auditoría remota

L
TA
pueden alcanzar a través de la auditoría
remota
TO
N
IO

Finalmente, al analizar la viabilidad, también se debería considerar la calidad digital de los

C

datos a revisar. Esto tiene mayor relevancia cuando el auditado aún conserva información
C
U

en papel que necesita ser escaneada para revisión remota.

D
O
R

El anexo en este documento proporciona una identificación genérica de riesgos y

EP

oportunidades potenciales por tipo de TIC y puede usarse como punto de partida para la
R

determinación de riesgos y oportunidades para el proceso de toma de decisiones. En

cualquier caso, la determinación debería hacerse o revisarse para cada situación. También es
SU

importante recordar que la intención no es diseñar un enfoque complejo, formal y

A

cuantificado para la determinación de riesgos y oportunidades. La intención es tener la

D

capacidad de identificar las oportunidades y los riesgos, y determinar si los riesgos pueden
I
IB

mitigarse o aceptarse y tomar una decisión fundamentada sobre si se procede con la

aplicación de métodos remotos o no.
H
O
PR

4.2 Recursos tecnológicos

4.2.1 Herramientas

Las TIC incluyen software y hardware como teléfonos inteligentes, dispositivos portátiles,
computadoras portátiles, computadoras de escritorio, drones, cámaras de video, inteligencia
artificial y otros. El uso de las TIC puede ser apropiado para la auditoría tanto presencial
como remota. Debería verificarse, previamente al proceso de auditoría, que las herramientas
© INACAL 2020 - Todos los derechos son reservados
GUÍA GP 123
PERUANA 5 de 16

de TIC utilizadas por el equipo auditor y por los auditados sean compatibles y permitan una
comunicación eficaz entre las partes.

Ejemplos del uso de las TIC durante las auditorías remotas pueden incluir, pero no limitarse
a:

L
IA
C
R
- Reuniones mediante instalaciones de teleconferencia, que incluyen audio,

PA
video y compartir información.

O
- Auditoría de documentos y registros mediante acceso remoto, ya sea

L
sincrónicamente (en tiempo real) o, cuando corresponda, asincrónicamente.

TA
- TO
Grabación de información y evidencia por medio de grabaciones video o
audio.
N
IO

- Proporcionar acceso visual y de audio a ubicaciones remotas o

C

potencialmente peligrosas
C
U
D

4.2.2 Viabilidad
O
R
EP

El uso de las TIC para la auditoría remota solo tendrá́ éxito si se cumplen las condiciones
R

adecuadas. Las fundamentales son que la tecnología esté disponible y que tanto los auditores
SU

como los auditados sean competentes y se sientan cómodos con su funcionamiento. Esto
debería evaluarse antes de la decisión de utilizar técnicas remotas. Esta preparación
A

contribuye a optimizar el proceso de auditoría.

ID
IB
H

Hay dos escenarios generales:

O
PR

- auditoría remota en el sitio: el auditor está en los sitios de la organización y

está auditando personas, actividades o procesos que están fuera del sitio; y

- auditoría remota fuera del sitio: el auditor no está en la organización y las

personas y los procesos están ubicados en las instalaciones del cliente o en
otra ubicación (como una instalación fuera del sitio).

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 6 de 16

El primer paso para asegurar la viabilidad es determinar qué TIC se tiene disponible como
recurso y si los auditores y auditados tienen las competencias para el uso de las TIC a utilizar.

La viabilidad también depende de la calidad de la conexión en línea. Un insuficiente ancho

de banda o una capacidad de hardware limitada pueden ralentizar el proceso hasta el punto

L
IA
de la ineficiencia. El proceso de auditoría puede verse afectado por la velocidad a la que el

C
auditado accede y muestra la evidencia por video a través de una tableta o computadora.

R
PA
4.2.3 Confidencialidad, seguridad y protección de datos (CSPD)

O
L
TA
Los asuntos sobre confidencialidad y seguridad, así como la protección de datos, son un
TO
factor crítico para el uso de las TIC. El cliente de la auditoría y el auditado deberían tener en
cuenta los requisitos legales y reglamentarios u otros requisitos que pueden requerir acuerdos
N
adicionales de ambas partes (por ejemplo, no habrá grabación de sonido e imágenes, ni
IO

autorizaciones para usar las imágenes de las personas). Cuando lo establezca la legislación
C

nacional, el responsable de la protección de datos de ambas partes debería participar en la

C

evaluación de estos asuntos. En algunas situaciones, los requisitos de seguridad no

U

permitirán el uso de las TIC.

D
O
R
EP

La evidencia de los acuerdos relacionados con la CSPD debería estar disponible. Esta
evidencia podría ser registros, procedimientos acordados o correos electrónicos. La
R

importancia reside en que estos criterios de la CSPD sean reconocidos por todos los
SU

participantes.
A
D

Es una buena práctica que, cuando la información documentada se analice de forma

I
IB

asincrónica, se comparta en un sistema seguro y acordado, como la nube, la red privada

H

virtual u otros sistemas de intercambio de archivos, utilizando las directrices acordadas

O

previamente para la CSPD.

PR

Los auditores no deberían realizar capturas de pantalla de los auditados como evidencia de
auditoría. Cualquier captura de pantalla de documentos, registros u otro tipo de evidencia
debería ser previamente autorizada por el auditado.

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 7 de 16

4.3 Competencias del equipo auditor

En adición a los conocimientos y habilidades establecidos para el equipo auditor, se debería

contemplar que este tenga la habilidad en el manejo de las TIC que se utilicen para realizar
auditorías remotas ya sea de manera sincrónica o asincrónica. Entre los aspectos que podrían

L
IA
considerarse en el manejo de las TICs se encuentran las siguientes:

C
R
PA
- Identificación de riesgos que puedan presentarse durante la ejecución de la
auditoria remota.

O
L
- Comunicación interactiva virtual que facilite la revisión de registros, análisis

TA
de datos, considerando los requisitos del sistema de gestión que se audita,
TO
incluido los requisitos legales y reglamentarios.
N
- Confirmación de ubicaciones físicas mediante el uso de planos u otros
IO

mecanismos de ubicación remota para referencia.

C
C

- Resolución de problemas técnicos básicos en el uso de las TIC.

U
D
O

Si se considera necesario, también podría contemplarse que el equipo auditor tenga las
R
EP

habilidades en el manejo de drones u otros dispositivos relacionados con las TIC.

R
SU

5 Planificación de las auditorías

A
ID
IB

La planificación requiere que se considere cuidadosamente lo siguiente:

H
O
PR

- identificar la zona horaria para coordinar tiempos de convocatoria razonables

y mutuamente aceptables; y

- facilitar la organización y permitir un uso más flexible del tiempo por parte
del equipo de auditoría.

La planificación de la auditoría, al menos en las primeras auditorías, tomará más tiempo por
las siguientes razones:

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 8 de 16

- para evaluar y documentar la viabilidad y los riesgos con el auditado;

- para determinar las diferentes TIC utilizadas y cómo se utilizarán;

- para brindar accesos al equipo auditor, de ser requerido;

L
IA
- para definir la agenda que puede necesitar ajustar disposiciones de manera

C
diferente que para una auditoría in situ (por ejemplo, una mejor definición de

R
las tareas por parte de diferentes miembros del equipo de la organización para

PA
asegurar que los auditores auditen por separado y hagan el mejor uso del
tiempo, una definición más detallada de los temas que se manejarán en

O
diferentes horarios que requerirán una mejor comprensión previa de los

L
procesos de la organización, entre otros);

TA
- TO
para permitir que la organización identifique a las personas que serán
auditadas y asegurar su disponibilidad en el momento definido; y
N
IO

- para realizar una prueba del uso de las TIC antes de la auditoría para
C

confirmar que se cuenta con una conexión estable, que las personas conocen
C

cómo usar la tecnología y que existe compatibilidad de las plataformas entre

U

los auditados y el equipo auditor.

D
O
R
EP

Las conclusiones, después de analizar los riesgos y las oportunidades, proporcionan la base
para definir qué procesos se auditarán bajo qué TIC.
R
SU

El auditor líder debería confirmar con la organización la viabilidad del método de auditoría
A

remota propuesto en el programa, basado en las TIC requeridas y su conocimiento por parte
D

de la organización. Esto incluye la verificación de que las personas involucradas conocerán

I
IB

cómo utilizar la herramienta. El auditor revisa los riesgos y las oportunidades determinadas
H

a la luz de esta auditoría específica y sus objetivos, y puede proponer cambios en el uso de
O

las TIC que se hayan determinado. En caso de que se detecte una situación de alto riesgo, la
PR

auditoría debería realizarse in situ. Todas las demás situaciones potenciales deberían
abordarse mediante medidas apropiadas que se reflejen, según sea necesario, en el plan de
auditoría. A pesar de utilizar métodos de auditoría remota, debería mantenerse la confianza
de que se alcanzarán los objetivos de auditoría deseados.

El plan de auditoría debería identificar claramente qué se auditará, quién auditará y cuándo
y cómo se llevará a cabo la auditoría.

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 9 de 16

Ejemplos de interacción remota para diferentes actividades de auditoría.

Actividades de auditoria Interacción remota

1. Actividades de auditoría Llamada telefónica, videoconferencia,
a. Reuniones de apertura y cierre con reunión web.

L
IA
personas de diferentes sitios.

C
b. Revisión del plan de auditoría en

R
diferentes etapas de la auditoría.

PA
c. Informe de conclusiones intermedias.
d. Reuniones intermedias del equipo

O
auditor.

L
2. Procesos / actividades / personas de la Videoconferencia con pantalla

TA
organización compartida.
a. Personas que trabajan desde casa o fuera TO
Imágenes de video en tiempo real
del sitio. obtenidas con drones, cámaras de video
N
b. Procesos o actividades donde el objeto de móviles o fijas.
IO

auditoría es principalmente la revisión de Acceso a monitoreo por video de sitios.

C

documentos e información explicativa

C

obtenida a través de entrevistas, tales

U

como compras, recursos humanos /

D

formación, procesos comerciales, diseño

O

y desarrollo. Muchas de estas actividades

R
EP

son realizadas por servicios compartidos.

c. Infraestructura que tiene una amplia gama
R

territorial, como el transporte de agua o

SU

energía.
3. Situaciones particulares Videoconferencia, imágenes en tiempo
A

a. Participación de expertos. real, pantalla compartida, revisión

D

asincrónica de documentos y datos.

I
IB
H
O
PR

6 Ejecución de las auditorías

Al revisar el plan de auditoría en la reunión de apertura, se debería confirmar la

disponibilidad y la viabilidad del uso de las TIC. También deberían revisarse y acordarse las
medidas para asegurar la confidencialidad y la seguridad. Si el auditor tiene la intención de
tomar capturas de pantalla de documentos u otro tipo de registros, debería pedir permiso, ya
sea en la reunión de apertura o cuando use las TIC.

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 10 de 16

Cuando se utilicen las TIC para entrevistar a las personas, el equipo auditor debería registrar
el nombre y la función de las personas entrevistadas e indicarles que información se está
conservando. Al realizar entrevistas de forma remota, el auditor necesita verificar las
declaraciones de hechos con otras evidencias, estos deberían ser solicitados y analizados por
el auditor. Si estas se envían por correo electrónico, el auditor debería asegurar el nivel de
confidencialidad requerido para esos documentos.

L
IA
C
R
También es importante asegurarse de que no haya ruido que perturbe la comunicación. Si el

PA
auditor está auditando remotamente fuera del sitio, debería asegurarse de que no haya
interrupciones ni perturbaciones. Del mismo modo, si se realizan pausas, debería asegurarse

O
de que el sonido esté en silencio y la imagen apagada para asegurar la privacidad.

L
TA
TO
Cuando se utilicen videos para ver imágenes en vivo en línea de sitios remotos, es importante
que la organización demuestre la veracidad de las imágenes. Si se observan imágenes de una
N
instalación, estas se pueden comparar con los planos de planta, las imágenes de un sitio
IO

geográfico que se observan se pueden comparar con las imágenes satelitales disponibles o
C

la información disponible de los Sistemas de Información Geográfica. Se deberían registrar

C

las evidencias y la forma en que se recopilaron.

U
D
O

En una auditoría remota es importante permitir pequeños descansos, típicos de aquellos que
R
EP

generalmente ocurren de manera no planificada en una auditoría in situ. Estar sentado y usar
la pantalla continuamente puede ser agotador. Permitir pequeños intervalos para estirar las
R

piernas y reducir la fatiga visual ayuda a mejorar la atención al recibir retroalimentación.

SU
A

También es aceptable que el auditor informe al auditado cuando se requiere una interrupción
D

para leer y analizar la información que se ha proporcionado. Esto permite una mayor
I
IB

comprensión de la documentación y las evidencias que se han presentado y la determinación

H

de preguntas adicionales antes de volver a convocar la entrevista.

O
PR

Si se consume tiempo en problemas tales como inactividad de la red, interrupciones o

demoras inesperadas, problemas de accesibilidad u otros desafíos de las TIC, este tiempo no
debería contarse como parte de la auditoría. Se deberían establecer disposiciones para
asegurar o recuperar el tiempo de auditoría.

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 11 de 16

7 Actividades posteriores a la auditoría

El informe de auditoría debería indicar claramente detalles sobre:

L
IA
- los métodos de auditoría remota utilizados;

C
R
- el alcance del uso de las TIC;

PA
- la eficacia del uso de las TIC para lograr los objetivos de la auditoría; y

O
L
- los elementos de la auditoría remota que no permitieron alcanzar los objetivos

TA
de la auditoría, de ser el caso.
TO
N
El informe debería indicar los procesos que no pudieron ser auditados de manera remota y
IO

que deberían ser auditados en el sitio. Esta información es importante para el proceso de
C

decisión y las auditorías posteriores.

C
U
D

La retroalimentación del equipo auditor con respecto al uso de las TIC debería entregarse al
O

responsable del programa de auditoría. Teniendo en cuenta la retroalimentación del equipo

R
EP

auditor con respecto al uso de las TIC, la eficacia de su uso para lograr los objetivos de la
auditoría, los elementos que no permitieron alcanzar los objetivos de la auditoría de ser el
R

caso y otra información pertinente, el responsable del programa de auditoría debería

SU

actualizar los riesgos y oportunidades relacionadas con el proceso de auditoría y asegurar

que estos se gestionen.
A
I D
IB

El equipo auditor debería conservar o eliminar la información documentada relativa a la

H

auditoría en formato electrónico según los acuerdos previos realizados con el cliente de
O

auditoría o con el auditado. En caso de conservar información y otros datos obtenidos de

PR

manera remota y que suelen estar en formatos electrónicos, se debería implementar

mecanismos de ciberseguridad que permitan asegurar la integridad y confiabilidad de estos.

Si el programa de auditoría contempla la evaluación del desempeño del equipo auditor, dicha
evaluación debería contemplar las habilidades del equipo auditor en el uso de TIC.

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 12 de 16

ANEXO A
(INFORMATIVO)

Ejemplo de identificación de riesgos y oportunidades para

usar técnicas de auditoría remota

L
IA
C
R
PA
Tecnología de la

O
información y la
Uso potencial Riesgos Oportunidades
comunicación

L
TA
(TIC)
 Violaciones de  Entrevista con
seguridad y TO personal pertinente
confidencialidad. que trabaja de
N

 Diferencias en zonas forma remota, por

IO

horarias. ejemplo, oficina

C

 Autenticación de la en casa, equipos

C

persona. de proyecto en
U

 Baja calidad de diseño y

D

 Realizar desarrollo.
O

comunicación.
 La posibilidad de 
R

entrevistas. Reunión de apertura y

EP

observar la organización de cierre en auditorías

 Visitas de una manera más multisitio.
R

guiadas al autónoma y libre se  Sitio o actividades

SU

sitio. debilita ya que el auditor remotas donde la

no ordena a la cámara. observación física no es
Videollamada
A

 La posibilidad de crítica.
D

(sincrónica)
observar reacciones de  Reducción de tiempo o
I
IB

varios auditados a la costos de viaje e

H

comunicación puede ser impactos ambientales

O

más débil. asociados.

PR

 Violaciones de
seguridad y
 Revisión confidencialidad.
documentaria  Posible dificultad para
con responder a solicitudes
participación de documentación.
del auditado.  Aumento del tiempo
requerido (proceso
potencialmente lento).
© INACAL 2020 - Todos los derechos son reservados
 Mayor rango
geográfico.
 Revisiones de
documentos donde el
viaje al sitio no es
factible, por ejemplo,
auditorías donde la
visita al sitio no es
crítica para el logro de
objetivos y existen
GUÍA GP 123
PERUANA 13 de 16

Tecnología de la
información y la
Uso potencial Riesgos Oportunidades
comunicación
(TIC)
 Posible manipulación de limitaciones de tiempo
datos. / viaje.

L
 La interacción con los 

IA
Multisitio - propicio
para sitios remotos

C
auditados puede

R
debilitarse. donde se puede omitir

PA
 Disminución de la la visita al sitio, o
calidad de la donde las visitas

O
información recopilada periódicas dentro del
programa de auditoría

L
TA
no son necesarias, pero
se necesita algún
TO seguimiento.
 Reducción de tiempo o
N

costos de viaje e
IO

impactos ambientales
C

asociados.
C

 Garantía de  Mejor conocimiento de

U
D

autenticidad. la organización,
 Necesidad de desarrollar
O

aplicable en la etapa de
R

previamente la lista de preparación de la

EP

verificación y auditoría.
posiblemente preparar al  Permite preparar el
R

 Completar
Encuestas, encuestado para trabajo de auditoría,
SU

listas de
aplicaciones responderlas, lo que que debería verificarse
verificación y
informáticas aumenta los costos. durante la auditoría
A

cuestionarios.
mediante la
D

recopilación de otra
I
IB

evidencia.
H

 Permite a la
O

organización prepararse
PR

para la visita in situ.

 Seguridad y  Facilita la organización
Revisión de confidencialidad. y permite un uso más
 Visualización
documentos y  Dificultad en la flexible del tiempo por
de registros,
datos visualización de parte del equipo
procedimien-
(asincrónica) documentos (por auditor.
tos, flujos de
(por ejemplo, ejemplo, acceso remoto  Permite una mejor, más
trabajo,
revisión de y navegación en el sitio independiente y más
monitores,
documentos web de la organización). profunda exploración
entre otros.
web) de la información del
auditado.
© INACAL 2020 - Todos los derechos son reservados
GUÍA GP 123
PERUANA 14 de 16

Tecnología de la
información y la
Uso potencial Riesgos Oportunidades
comunicación
(TIC)
 Mayor tiempo requerido  Posibilidad de integrar
(proceso potencialmente personal con pericia

L
IA
lento). que no podría viajar al
 Posible manipulación de sitio.

C
 Proporciona una buena

R
datos.

PA
 La falta de interacción base para comprender
con los auditados no el sistema de gestión de

O
permite aclarar los la organización y

L
problemas. potencialmente

TA
 Transparencia: el proporciona rutas de
auditado pierde la auditoría que el auditor
TO
percepción de lo que se puede utilizar durante
está auditando y de la las entrevistas.
N
IO

muestra.
 Riesgos inherentes al  Fácil seguimiento de
C

uso y presencia de tareas de alto riesgo.

C

 Aumento de muestreo.
U

equipos; por ejemplo,

D

 Seguimiento
caída de drones, uso de  Ideal para actividades
O

equipos, condiciones de auditoría donde los

de trabajos
R

climáticas requisitos de seguridad

EP

remotos o de
desfavorables. no permiten la
alto riesgo.
 Pobre calidad de
R

presencia del equipo

 Visita guiada
Video imagen. auditor, o para observar
SU

al sitio.
(sincrónico)  Apreciación parcial del lugares e instalaciones
(por ejemplo:  Capacidad
sitio, equipo y donde la relación
A

dron, transmisión para ver

condiciones. tiempo de viaje versus
D

procesos u
 Veracidad de los datos.
I

en vivo) tiempo de auditoría es

IB

operaciones
alta.
H

de alto riesgo.
 Propicio para
 Testificación
O

complementar las
PR

de procesos
visitas de campo en
en ejecución.
actividades al aire libre
(por ejemplo, sitios
forestales y agrícolas,
minería).
Video  Seguimiento  Seguridad y  Mejor utilización del
(asíncrono) de actividades confidencialidad. tiempo (posibilidad de
(por ejemplo: que no están  Pobre calidad de seleccionar solo los
cámara de en curso en el imagen. momentos de interés
vigilancia, momento de del video).
grabaciones de la auditoría.
© INACAL 2020 - Todos los derechos son reservados
GUÍA GP 123
PERUANA 15 de 16

Tecnología de la
información y la
Uso potencial Riesgos Oportunidades
comunicación
(TIC)
video tomadas  Procesar  Apreciación parcial del  Posibilidad de observar
deliberadamente videos. sitio, equipo y lugares, instalaciones

L
 Grabaciones

IA
para auditoría) condiciones. de difícil acceso y
 Veracidad de los datos. mejorar el muestreo.

C
de voz del
 Si el registro

R
centro de

PA
atención electrónico contiene
telefónica datos confidenciales

O
(call center). que los criterios de la
 Seminarios

L
CSPD consideran no

TA
web de elegibles para la
entrenamien- auditoría remota, el
to grabados. TO auditor debería
considerar reasignar
N

esa revisión de
IO

registros para la
C

auditoría in situ.
C
U
D
O
R
EP
R
SU
A
ID
IB
H
O
PR

© INACAL 2020 - Todos los derechos son reservados

GUÍA GP 123
PERUANA 16 de 16

BIBLIOGRAFÍA

[1] ISO – IAF:2020, ISO 9001 Auditing Practices Group. Guidance on remote audits,
Ed. 01

L
IA
C
[2] IAF ID 12:2015, Principles on remote assessment

R
PA
[3] IAF MD 4:2018, IAF Mandatory document for the use of information and
communication technology (ICT) for auditing/assessment purposes

O
L
[4] NTP-ISO 19011:2018, Directrices para la auditoría de los sistemas de gestión

TA
TO
N
IO
C
C
U
D
O
R
EP
R
SU
A
ID
IB
H
O
PR

© INACAL 2020 - Todos los derechos son reservados