Traduccin libre realizada por INLAC .

Documentos oficiales disponibles en :

www.iso.org/tc176/ISO9001AuditingPracticesGroup

International Organization for Standardization International Accreditation

Forum

ISO 9001 Auditing Practices Group

Guidance on:
Auditando sistemas de gestin en base electrnica (EBMS)

1. Introduccin

La creciente dependencia de las organizaciones en medios electrnicos para la

operacin y control de sus sistemas de gestin, requiere que los cuerpos de
certificacin y sus auditores vean nuevos enfoques para asegurar que las
auditoras sern eficaces y eficientes. Ellos necesitarn redefinir el modo como
los procesos y los documentos relacionados (incluyendo los registros) van a ser
evaluados para verificar su conformidad con el criterio de auditora.

Este documento ha sido desarrollado para dar unas directrices generales para
la realizacin de auditoras a sistemas de gestin que estn totalmente
basados en sistemas electrnicos o tengan un alto grado de su documentacin
en medios electrnicos. Tambin proporciona directrices para los cuerpos de
certificacin y auditores para considerar como un complemento a las
actividades de planificacin y preparacin normal que pudieran ocurrir antes de
una auditora.

Este documento se enfoca a aquellos requisitos de la norma ISO 9001 donde

existe la posibilidad de utilizar documentos, registros, etc, electrnicos y
tambin donde el acceso a esos documentos/registros pudiera estar controlado
por sistemas electrnicos.

Este documento va dirigido a auditores de sistemas de gestin que tienen una

amplia y variada experiencia con respecto a sistemas de gestin en base
electrnica (EBMS) e.g. sistemas de gestin que son dependientes de
documentos electrnicos, datos y aplicaciones de software para su operacin
normal. Sin embargo, est escrito en un estilo que tambin permitir ser
utilizado por aquellos que solamente tienen una experiencia limitada en
computadoras y EBMS.

Sin importar si es un cuerpo de certificacin de tercera parte, un cuerpo de

acreditacin o una funcin de auditora interna, quin realice la auditora (la
organizacin auditora) es responsable de asegurar la eficacia del proceso de
 Traduccin libre realizada por INLAC . Documentos oficiales disponibles en :
www.iso.org/tc176/ISO9001AuditingPracticesGroup
auditora para el EBMS. Este documento utiliza la gua proporcionada en la
norma ISO 19011, y sugiere enfoques que pudieran ser utilizados por auditores
de ISO 9001, y otras normas de sistemas de gestin, con la intencin de
verificar la conformidad con la norma referenciada. Los auditores y las
organizaciones auditoras deben hacer los ajustes necesarios para asegurar un
enfoque apropiado a como desarrollan los pasos del proceso de auditora
indicados en la norma ISO 19011.

Debe resaltarse que la destreza en auditar EBMS (Sistemas de gestin en

base electrnica) no debe verse como una excusa para reducir la duracin de
la auditora, sino como un medio de optimizacin de la eficacia y eficiencia de
la auditora.

No se pretende que este documento proporcione directrices para auditar los

controles asociados con la seguridad de la informacin del EBMS. Aquellos
interesados en otro tipo de controles asociados con la seguridad de la
informacin se sugiere que se dirijan al documento ISO/IEC 17799 que es una
norma para estos temas.

2. Iniciacin y planificacin de la auditora

Durante la fase de iniciacin de la auditora (Auditora fase 1) la organizacin

auditora debe determinar la estructura de la organizacin a ser auditada, y el
grado en que su sistema de gestin est basado electrnicamente. Una
organizacin multisitio con un EMBS centralizado, o una organizacin virtual,
requerir diferentes planes de auditora y mtodos que una organizacin de
una sola plaza y/o una organizacin fsica.

La organizacin auditora y el auditado deben acordar como los auditores

accesarn y utilizarn el EBMS.
Esto pudiera involucrar el considerar:
Permitir que los miembros del equipo auditor tengan oportunidad de
familiarizarse con el EBMS del auditado (incluyendo la calendarizacin
de suficiente tiempo dentro del plan de auditora para esa orientacin)
Las polticas del auditado para el uso de la infraestructura de Tecnologa
de la informacin.
Instrucciones para acceder, y las licencias de seguridad para acceder y
los documentos y registros organizacionales pertinentes
Los seguros y procesos para asegurar que los auditores protejan la
confidencialidad de los documentos y registros electrnicos durante y
despus de la auditora.

La organizacin auditora debe asegurar que existe la competencia suficiente

dentro de su equipo auditor seleccionado para realizar una evaluacin eficaz
del EBMS.

3. Revisin documental

Dependiendo de su el auditado tiene la habilidad para hacer que su

documentacin est disponible a travs de una aplicacin basada en red o a
 Traduccin libre realizada por INLAC . Documentos oficiales disponibles en :
www.iso.org/tc176/ISO9001AuditingPracticesGroup
travs de transmisin por correo electrnico, la organizacin auditora pudiera
conducir parte o toda la revisin documental de manera remota; ya sea en lnea
o por descarga de la documentacin electrnica enviada por correo electrnico.

Dependiendo de los factores tcnicos o de seguridad, pudiera no ser factible el

conducir una revisin total del EMBS de la organizacin en lnea o por la
transmisin de documentos relevantes por correo electrnico, antes de llegar al
sitio. En estos casos, las actividades de preparacin de la auditora que
requieran la revisin de documentos electrnicos necesitara realizarse en las
instalaciones del auditado durante la fase 1 de auditora.

4. Actividades de realizacin en sitio

El enfoque para los sistemas de gestin en base electrnica depender

ampliamente de que tanto de la evidencia requerida para determinar la
conformidad est en forma de registros electrnicos.

Durante las actividades de realizacin en el sitio, el camino del auditor debe

incluir tpicamente la ubicacin fsica del proceso que est auditando. Sin
embargo, con un EBMS el tiempo requerido para confirmar la evidencia para
determinar si se cumplen o no los requisitos, pudiera dedicarse en una
computadora o estacin de trabajo que pudiera estar o no localizada cerca del
proceso en cuestin.

Cuando las estaciones de trabajo computarizadas estn en reas remotas que

no son accesibles para la ubicacin fsica de operacin del proceso, el tiempo
real de auditora en la ubicacin fsica del proceso pudiera reducirse. Sin
embargo, el tiempo total de evaluacin pudiera no necesariamente reducirse
dado que la revisin de la evidencia electrnica pudiera ocurrir antes y/o
despus de confirmar la existencia del proceso fsico.

En los casos donde la estacin de trabajo de la computadora es remoto, se

debe dar una consideracin especial al tiempo requerido de traslado hacia y
desde la ubicacin fsica del proceso.

Cuando el proceso es dependiente de la intervencin humana, el auditor debe

evaluar los mtodos empleados para la interaccin entre el proceso fsico y el
medio electrnico para asegurar la precisin de la informacin asociada.

5. Auditando el control de los documentos electrnicos.

Los documentos electrnicos que establecen polticas y procedimientos del

sistema de gestin pueden estar en una gran variedad de formatos
dependiendo de las aplicaciones de software que son utilizados por la
organizacin para generar los documentos. Los archivos electrnicos pueden
incluir formatos como texto, html, pdf, etc. Las hojas de clculo y los formatos
de bases de datos son tambin considerados documentos electrnicos y
estn sujetos a los elementos de control del sistema de gestin a auditar.
 Traduccin libre realizada por INLAC . Documentos oficiales disponibles en :
www.iso.org/tc176/ISO9001AuditingPracticesGroup
Dada la relativa facilidad con que los usuarios pueden ahora crear hojas de
clculo electrnicas y otros documentos electrnicos, los auditores deben
asegurar que las polticas que gobiernan los controles que aplican a la
documentacin del sistema de gestin, en general tambin se apliquen a los
documentos electrnicos a travs de los procedimientos adecuados.

Las organizaciones necesitan emplear mtodos adecuados y eficaces dentro

del ambiente electrnico para asegurar la adecuada revisin, aprobacin,
publicacin y distribucin de la documentacin de su sistema de gestin. Estos
deben ser consistentes con los mtodos para el desarrollo y modificacin de
documentos electrnicos.

En muchos casos las medidas de control de documentos pudieran tambin ser

caractersticas estndar de la aplicacin del software usados para su creacin.
Por lo tanto los auditores deben entender esos controles de aplicacin
especficos al grado de que estos sean utilizados como base para la
conformidad a la norma de sistema de gestin aplicable.

Dado el incremento de capacidad para modificar, actualizar, reformar y de

cierta forma mejorar los documentos dentro de un sistema de gestin
electrnico, los auditores deben poner particular atencin en los elementos de
control como la identificacin de documentos y el nivel de revisin de los
documentos.

Como el medio electrnico facilita el incremento de modificaciones a

documentos, los auditores deben verificar que los controles empleados para la
gestin de documentos obsoletos sean considerados dentro de las polticas y
procedimientos de control de documentos de la organizacin.

Los auditores deben verificar que la documentacin del EBMS existe para
proporcionar orientacin a los usuarios respecto a los aspectos funcionales y
de control asociados a los documentos electrnicos. Adicionalmente, los
requisitos en el punto de uso asociados con las normas de sistema de gestin
aplicables, tpicamente se cubrirn en parte por las polticas de acceso a
documentos de la organizacin. Los auditores deben entender las polticas y
procedimientos de la organizacin que tratan sobre los privilegios de los
usuarios ya que estos son factores importantes para comprender
apropiadamente los procesos de la organizacin.

La comunicacin electrnica externa con proveedores, clientes y otras partes

interesadas pudieran involucrar el intercambio de documentos. Dado que estos
documentos externos pudieran contener parmetros clave que especifican el
funcionamiento de los procesos de la organizacin, los auditores deben
verificar el grado en que estos documentos son formalmente introducidos y
controlados dentro del sistema de gestin en base electrnica.

6. Auditando el control de los registros electrnicos

Los registros electrnicos consisten en los datos de los resultados de los

procesos combinados con los formatos electrnicos que contienen los datos.
 Traduccin libre realizada por INLAC . Documentos oficiales disponibles en :
www.iso.org/tc176/ISO9001AuditingPracticesGroup
Estos formatos electrnicos van desde una simple hoja electrnica a las
aplicaciones de base de datos ms complejas.

Los auditores deben estar concientes de que los elementos de control que
establecen las organizaciones para las formas electrnicas no son
necesariamente los mismos que los que aplican a los registros electrnicos.
Por ejemplo, con respecto a la Identificacin, en el caso de formas
electrnicas, el trmino se refiere a la nomenclatura del formato electrnico
mismo. Cuando la identificacin es considerada en el caso de un registro
electrnico, esta se refiere al uso nico del formato electrnico para un grupo
dado de datos.

Los auditores deben revisar los mtodos empleados por la organizacin para la
captura de datos, con la finalidad de asegurar que las actividades de
introduccin de datos proporciona la suficiente confianza en su exactitud.

Cuando se evala los controles de la organizacin con respecto al almacenaje

de registros, los auditores deben verificar si las organizaciones tienen un
entendimiento de su capacidad de almacenamiento contra:
El rango de generacin de registros
Las polticas de retencin de registros y tiempos asociados
El rango de disposicin de registros,

ya que estos factores pudieran impactar el funcionamiento apropiado del

EBMS.

Dado que la base de conocimientos y el desempeo de la organizacin pudiera

estar casi totalmente en registros electrnicos, los auditores deben revisar los
enfoques de la organizacin para seguridad de la informacin contenida en
medios electrnicos. Para ms informacin sobre Seguridad de la Informacin
ver la norma ISO/IEC 17799.

7. Recursos Organizacionales

Conforme las organizaciones emigran al uso de EBMS, el papel de las

funciones de IT (tecnologa de la informacin) se vuelven vitales. Los auditores
deben verificar si las organizacin ha dedicado los recursos de IT apropiados
(incluyendo la infraestructura) para asegurar que el EBMS opera continua y
eficazmente.

Los auditores deben tambin verificar si la organizacin tiene definidos

apropiadamente el nivel de interaccin, soporte e involucramiento del personal
de IT en aspectos asociados con el establecimiento, documentacin,
implementacin y mantenimiento del EBMS.

Como parte de la verificacin de la asignacin de los recursos apropiados, los

auditores deben evaluar como la organizacin cubre la competencia requerida
del personal para operar el equipo (hardware) y el software para correr el
EBMS.
 Traduccin libre realizada por INLAC . Documentos oficiales disponibles en :
www.iso.org/tc176/ISO9001AuditingPracticesGroup
Durante el establecimiento de un EBMS, es una prctica comn que sistemas
paralelos (manuales y electrnicos) estn funcionando por un perodo de
tiempo que permita a los usuarios su adaptacin. En estos casos el auditor
debe verificar los enfoques de la organizacin para asegurar que el EBMS ha
sido realmente asimilado y utilizado por el personal de la organizacin.

La complejidad de la infraestructura de IT de las organizaciones variar,

dependiendo de la naturaleza y complejidad de los negocios. Los auditores
deben verificar los procedimientos y polticas de mantenimiento del sistema de
la organizacin para su plataforma de IT. Tambin, los auditores deben verificar
como la organizacin cubre los incidentes de paros del sistema, ya que esto
impactar el funcionamiento normal del EBMS. Los auditores deben evaluar si
la organizacin tiene o no sistemas formales de respaldo, y si stos se revisan
y prueban peridicamente en su adecuacin o no.

En relacin al software, los auditores deben verificar los controles establecidos

para el software interno, el software externo, las licencias de software y las
actualizaciones del software. Ya que el software puede ser considerado un
documento electrnico dinmico, las directrices dadas con anterioridad para
auditar los documentos pudieran tambin ser aplicables a ste.

Dependiendo de que tanto la organizacin utilice software para su EBMS, los

auditores deben revisar la funcionalidad de las aplicaciones y su relacin con
los elementos del sistema de gestin definidos en el criterio aplicable.

Como los factores ambientales pudieran impactar en el funcionamiento de una

plataforma de IT, las organizaciones deben tener medidas para protegerse
contra esos factores. Esto puede variar desde la necesidad de adecuar las
instalaciones hasta la necesidad de tener fuentes ininterrumpibles de energa
(UPS). Los auditores deben evaluar si los controles de la organizacin toman
en cuenta aspectos como el mantenimiento de instalaciones, temperatura,
humedad, etc, en la medida que estos amenacen la operacin del EBMS.

8. Comunicacin electrnica interna y externa

Dado que las opciones disponibles y la facilidad de uso en la comunicacin

electrnica aumenta, las organizaciones deben asegurar que el sistema de
gestin documentado cubre estos medios, segn sea necesario, para asegurar
consistencia en su utilizacin para satisfacer los requisitos de su EBMS y la
norma de sistema de gestin aplicable.

Cuando se utilizan intranets, emails y mensajes instantneos para satisfacer

los requisitos del EBMS, los auditores deben verificar las polticas y
procedimientos que cubran las circunstancias bajo las cuales estos medios
pudieran se empleados. Adicionalmente, si los resultados de la comunicacin
electrnica interna sern utilizados para satisfacer los criterios de auditora, los
auditores deben verificar que las polticas y procedimientos para el control de
registros se hayan aplicado.
 Traduccin libre realizada por INLAC . Documentos oficiales disponibles en :
www.iso.org/tc176/ISO9001AuditingPracticesGroup
Cuando la organizacin dependa de su infraestructura de IT para las
comunicaciones electrnicas con sus clientes (e.g. para e-commerce),
proveedores (e-procurement), sitios remotos y otras partes interesadas, el
auditor debe verificar que la metodologa, polticas y procedimientos para esas
comunicaciones y transacciones asociadas estn formalmente cubiertas dentro
del EBMS.

9. Sistemas de gestin Multi-sitios

Las organizaciones que operan a travs de multiples sitios (o desde una central
a ubicaciones satlites) normalmente mantienen comunicaciones y comparten
polticas, procedimientos y datos de procesos entre sus varias ubicaciones via
electrnica, como el Internet, extranets, e-mail y Messenger.

Cuando la plataforma IT y su software de aplicacin asociado se utilizan para

compartir informacin que es pertinente al criterio de auditora, los auditores
deben entender los diferentes medios de red que se emplean en la
organizacin en la medida que sea necesario para juzgar si el EBMS cumple
con el criterio de auditora.

Los auditores deben verificar si los controles sobre un sistema de gestin multi
sitio son cubiertos y establecidos apropiadamente dentro de las polticas y
procedimientos de la organizacin.

10. Competencia del auditor

La confiabilidad del proceso de auditora para un EBMS depender de la

habilidad de los auditores para entender las tendencias en la Tecnologa de la
Informacin ya que las organizaciones dependen cada vez ms del software
para dar seguimiento y controlar sus operaciones.

Las organizaciones auditoras deben tomar las medidas necesarias, incluyendo

la provisin de entrenamiento, para cubrir las necesidades generales e
individuales de su base de auditores con respecto a:

Tendencias generales en Tecnologa de la Informacin que pudiera

impactar la operacin de los sistemas de gestin
Consideraciones especiales de auditora para cada asignacin de
auditora que se tome.

Como las innovaciones en el sector IT son relativamente rpidas comparadas

con los cambios en los criterios de auditora, los auditores y las organizaciones
auditoras se ven retadas con la necesidad de tener un entendimiento prctico
de las tendencias asociadas y como ellas pudieran ser aplicables y utilizadas
dentro de un EBMS.

A la luz de las innovaciones que influencian el funcionamiento de un EBMS, las

organizaciones auditoras deben determinar si la experiencia necesaria para ser
eficaces en una auditora dada, se encuentra en el equipo auditor mismo o
cuando se requerir la asistencia de un experto tcnico.