Auditorías de Sistemas Integrados: Definición Clara y Proceso Paso a Paso para el Éxitopost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Auditorías de Sistemas Integrados: Definición y Proceso

Una auditoría de sistemas de información es un proceso exhaustivo de revisión de la seguridad, la integridad y la eficiencia de los sistemas informáticos de una organización. Como la tecnología se ha integrado cada vez más en la mayoría de los aspectos de la vida empresarial, es cada vez más importante garantizar que los sistemas de información sean seguros, eficientes y cumplan con los estándares de la industria.

Si estás pensando en hacer una auditoría de sistemas de información, es importante entender qué es y por qué es esencial para tu negocio. Una auditoría de sistemas de información es una evaluación exhaustiva de tus sistemas informáticos, incluyendo hardware, software, redes, bases de datos y procedimientos de seguridad.

Proceso de una Auditoría de Sistemas de Información

La auditoría de sistemas de información es un proceso crítico que puede ayudar a garantizar que los sistemas de información de una organización sean seguros, eficientes y efectivos. Las fases clave de este proceso son:

  1. Análisis de los sistemas de información: En esta fase, el equipo de auditoría examinará los sistemas de información de la organización y evaluará su eficacia y eficiencia.
  2. Informe de hallazgos: En esta fase, el equipo de auditoría presentará sus hallazgos y recomendaciones a la gerencia de la organización.

Cumplimiento en Seguridad de Información

El cumplimiento en seguridad de información es un aspecto crítico para todas las industrias, ya que protege la confidencialidad, integridad y disponibilidad de la información y los datos que manejan. Por ejemplo, en la industria financiera, se requiere un alto nivel de cumplimiento debido a la sensibilidad de la información financiera y la necesidad de proteger la información confidencial de los clientes. En la industria de la salud, el cumplimiento es igualmente crítico debido a la sensibilidad de la información médica y a la necesidad de proteger la privacidad de los pacientes.

Legislación en México

En el caso de México, la protección de datos personales y el manejo de información son regulados por la Ley General de Protección de Datos Personales en Posesión de los Particulares, que entró en vigor en el año 2010. De acuerdo con la ley mexicana, los titulares de los datos tienen derecho a conocer, actualizar y controlar la información que se tiene sobre ellos, así como a solicitar su rectificación, cancelación u oposición en caso de ser inexacta o estar siendo utilizada de manera inapropiada.

Lea también: Más sobre Auditorías Ambientales Internas

La ley también establece un marco para el tratamiento de datos sensibles, que son aquellos que pueden revelar aspectos íntimos o privados de una persona, como su orientación sexual, creencias políticas o religiosas, entre otros. El incumplimiento de la ley puede acarrear sanciones administrativas y, en algunos casos, penales. Por esta razón, es importante que las empresas y organismos tomen las medidas necesarias para cumplir con las normas de protección de datos y manejo de información.

ISO 27001: Un Marco para la Seguridad de la Información

ISO 27001 es un marco de trabajo que ayuda a las empresas a implementar medidas de seguridad de la información efectivas. Incluye una serie de controles para proteger los datos y asegurar que se cumplan los estándares internacionales de seguridad. Estos puntos clave se combinan para proporcionar un marco integral para la gestión de la seguridad de la información y asegurar la protección de los datos sensibles y la privacidad de los clientes.

Llevar un plan de auditoría de seguridad de información y certificarse en ISO 27001 puede ser muy beneficioso para las empresas y organizaciones.

Beneficios de la Certificación ISO 27001

La certificación ISO 27001 requiere una revisión periódica y una evaluación continua para mantener la certificación.

Estándares Normativos de Sistemas de Gestión

En la actualidad, las empresas necesitan mejorar su competitividad para lograr resultados positivos y ser sustentables a largo plazo. Los estándares normativos más populares a nivel mundial de sistemas de gestión son: ISO-9001 (Sistemas de gestión de la calidad - Requisitos), ISO-14001 (Sistema de gestión ambiental - Requisitos) y OHSAS-18001 (Sistema de gestión en seguridad y salud ocupacional - Requisitos).

Lea también: Rendimiento Empresarial

Países con Mayor Cantidad de Certificados Emitidos

Los países con mayor cantidad de certificados emitidos de las principales normas (ISO-9001 e ISO-14001) que definen los requisitos para sistemas de gestión y su proporción porcentual con respecto al total de certificados de dichas normas emitidos en Latinoamérica, son:

  • Brasil (23 984 - 38.4 %)
  • Colombia (14 926 - 23.9 %)
  • Argentina (8678 - 13.9 %)
  • Chile (6233 - 10.0 %)

En Chile, las empresas acreditadas en el Instituto Nacional de Acreditación (INN) para certificar sistemas de gestión bajo la norma internacional ISO-9001, son diez y en el caso de la norma ISO-14001, son ocho organizaciones (Instituto Nacional de Normalización, INN, 2017).

Auditorías Internas y Externas

En el caso de la retroalimentación interna, corresponde a las auditorías internas también llamadas auditorías de primera parte, realizadas en general por el propio personal de la organización con las competencias adecuadas de acuerdo con lo definido por la propia empresa.

La realización de auditorías a los sistemas de gestión es un requisito común de las normas internacionales ISO, donde se incluyen las antes mencionadas auditorías de primera parte (auditoría interna) y auditorías de tercera parte (auditoría realizada por entidad externa e independiente de la empresa).

Calidad de las Auditorías y Competencias de los Auditores

La calidad de las auditorías a los sistemas de gestión de las empresas depende de factores como las competencias de los auditores de certificación, en especial sobre los conocimientos de los procesos a revisar, su educación, formación y experiencia en procesos de auditoría, de acuerdo a la norma ISO-19001:2011 "Directrices para la auditoría de sistemas de gestión" (International Organization for Standardization, ISO, 2011). Es importante destacar que la norma ISO-19001 no es certificable, se entiende como una recomendación para realizar procesos de auditoría a sistemas de gestión y define competencias mínimas requeridas por los auditores de dichos sistemas.

Lea también: Realizar Auditorías

Las empresas certificadoras, si bien mantienen y contratan a auditores de sistemas de gestión que cumplen sus requisitos de competencias establecidos, esto no asegura que los auditores cumplan todas las directrices de un proceso de auditoría a un sistema de gestión, de acuerdo con la norma internacional ISO-19011. De acuerdo con lo anterior, solo el 40.8 % cumple las directrices de la norma ISO-19011 y el 9.2 % no sigue ninguna directriz para realizar una auditoría de un proceso de certificación o seguimiento.

El desempeño de los auditores de sistemas de gestión también puede verse afectado por las condiciones laborales y la demografía de estos (López, 2016). Dado lo anterior, es relevante conocer los perfiles de los auditores de empresas certificadoras, ya que esto nos permite asegurar la calidad de los procesos de auditoría que conforman la certificación de los sistemas de gestión, sean mononormativo o bien sistemas integrados de gestión, es decir, conformados por dos o más estándares normativos.

El objetivo del presente estudio consiste en describir los perfiles de competencias de los auditores certificadores de empresas en Chile en términos de experiencia, formación y educación (nivel de estudios). De esta forma, cabe preguntarse: ¿cuál es el perfil de los auditores certificadores de empresas en términos de experiencia, tipo de formación y nivel de estudios?

En este estudio participaron 22 profesionales de al menos 4 diferentes empresas certificadoras acreditadas en Chile, donde la mayor parte de ellos tenía dedicación de tiempo completo. De estos, 20 respuestas fueron consideradas válidas y utilizadas para el análisis de los datos, contando con las 2 empresas certificadoras acreditadas en el INN con mayor participación en el mercado chileno en cuanto a número de certificados emitidos de normas de sistemas de gestión.

Se aplicó un cuestionario estructurado cuyo diseño fue sometido a juicio de expertos en procesos de auditoría de sistemas de gestión bajo las normas más populares en el mundo (ISO-9001, ISO-14001 y OHSAS-18001).

Experiencia de los Auditores Trinorma

En relación con los años de experiencia y número de auditorías, implementaciones y relatorías realizadas, los auditores trinorma poseen en promedio una mayor cantidad de años de experiencia como auditores en certificadoras (8.5 años). Lo mismo ocurre con la experiencia en implementación de sistemas de gestión (10.0 años), la implementación de sistemas de gestión integrados (4.5 años) y como relator de cursos para empresas de sistemas de gestión (9.4 años), en comparación a los auditores que no son trinorma.

Considerando la cantidad media de eventos de participación en procesos de auditoría, los auditores trinorma bajo IRCA alcanzan un promedio de 600 eventos (DS=592,2), lo que significa que existe una alta dispersión entre las experiencias entre auditores y se traduce en auditores con hasta 1600 eventos de auditorías de tercera parte.

Nivel de Estudios y Certificación

En relación con el tipo de estudio de los auditores participantes, los profesionales con mayor experiencia como auditores de empresas certificadoras son los tienen estudios de pregrado, con una media de 6.1 años, por sobre los que tienen estudios de posgrado, con 4.3 años de experiencia.

Del total de profesionales válidamente considerados, el 65 % posee estudios de pregrado (se consideran carreras de pregrado completas, incompletas y técnicos titulados) y el 35 % restante de las personas posee un estudio de posgrado (magíster o doctorado). Si se consideran los auditores con estudios de posgrado, el 43 % de los participantes posee acreditación trinorma.

Del total de auditores encuestados certificados mediante cursos auditor líder IRCA de sistemas de gestión, el 81 % se encuentra certificado en la norma ISO 9001:2008, el 38.1 % en la norma ISO 14001:2004 y solo el 33.3 % en la norma OHSAS 18001:2007. Si se observa la certificación conjunta en las tres normas, solo el 38.1 % se encuentra certificado en los tres estándares normativos.

La mayor parte de los auditores participantes están certificados bajo los estándares más comunes de los sistemas de gestión en los ámbitos de calidad, ambiental, y seguridad y salud ocupacional.

Experiencia y Actividades de los Auditores con Posgrado

En relación con el tipo de actividad que han desarrollado auditores con estudios de posgrado, estos representan un 35 % del total de la muestra. El 55 % de todos los profesionales poseen experiencia en las tres áreas; auditoria, consultoria y capacitación.

El 15 % de los auditores declara experiencia en los ámbitos de auditoria y capacitación, el 15 % manifiesta solo experiencia en auditoria a sistemas de gestión y el 10 % de los casos expresa tener experiencia en las áreas de auditoria e implementación de sistemas de gestión.

El 40 % de los profesionales consultados posee calificación de curso auditor líder con reconocimiento IRCA en las tres normas principales: ISO-9001, ISO-14001 y OHSAS-18001. Para el caso de los profesionales consultados con calificación trinorma de cursos auditor líder con reconocimiento IRCA, poseen ellos experiencia en las tres áreas de desempeño (auditoría, consultoria y capacitación). En cambio, los profesionales sin calificación trinorma, solo llegan al 50 % de estos.

Posteriormente, en los resultados y en relación con el primer objetivo específico: "Comparar el tipo de certificación de los auditores y sus áreas de desempeño", se observa que un paso en la experiencia corresponde a trabajar como consultores externos realizando asesoría en la implementación de sistemas de gestión. En muchas ocasiones los profesionales en esta etapa también comienzan a realizar capacitaciones en el ámbito de los sistemas de gestión.

Además, se observa que existe diferencia entre el grupo de profesionales con acreditación trinorma con cursos auditor líder IRCA con respecto a los otros auditores no trinorma.

ISO 19011:2018 y la Formación de Auditores de Sistemas de Gestión

La ISO 19011:2018 Directrices para la Auditoría de los Sistemas de Gestión es utilizada alrededor del mundo por organizaciones que ofrecen el servicio de formación de Auditores de los Sistemas de Gestión, tanto para la obtención de los conocimientos necesarios en auditorías como en su certificación. La publicación de la ISO 19011:2018 fue gracias a que se han publicado nuevas Normas de Sistemas de Gestión las cuales cuentan con una Estructura de Alto Nivel, donde tienen una estructura común, requisitos esenciales, idénticos, términos comunes y definiciones esenciales.

Gracias a esas nuevas publicaciones se tenía la necesidad de considerar un enfoque más amplio para la Auditoría de los Sistemas de Gestión, así como de proporcionar una orientación más genérica. Esta norma proporciona orientación sobre la gestión de un programa de auditoría, sobre la planificación y la realización de auditorías de Sistemas de Gestión, así como sobre la competencia y evaluación de un auditor y un equipo auditor.

Los resultados de las auditorías en base a la ISO 19011:2018 proporcionan las entradas para el aspecto de análisis de la planificación del negocio y pueden contribuir a la identificación de necesidades y actividades de mejora.

Definiciones Clave según ISO 19011:2018

  • Auditoría: El proceso sistémico, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría.
  • Auditor: La persona que lleva a cabo una auditoría.

Formación de Auditores de los Sistemas de Gestión

La formación de Auditores de los Sistemas de Gestión es una necesidad de las organizaciones que toman la decisión estratégica de manejar uno o más Sistemas de Gestión. La importancia de esta figura es que ellos son el motor principal para el mantenimiento y mejoramiento del Sistema de Gestión o Sistema Integrado de Gestión de la organización.

Para que una persona logre la competencia como Auditor de los Sistemas de Gestión requiere:

  1. Completar exitosamente los programas de formación que cubren los conocimientos y habilidades básicas de un auditor.
  2. Aprobar los exámenes correspondientes a todos los programas cursados durante su formación.
  3. Obtener experiencia en una función profesional que involucre el ejercicio de juicio, la toma de decisiones, la solución de problemas y la comunicación con miembros de la dirección, profesionales, pares, clientes y otras partes interesadas.
  4. Complementar con la formación y experiencia en una disciplina y sector de Sistemas de Gestión específicos.
  5. Obtener la experiencia en auditorías adquirida bajo la supervisión de un auditor competente en la misma disciplina.

Es importante destacar que los Auditores de los Sistemas de Gestión en base a la ISO 19011:2018 pueden ser personas con alguna profesión o personas con estudios inferiores al nivel superior.

Un Auditor de los Sistemas de Gestión en base a la ISO 19011:2018 debe ser capaz de realizar auditorías a las normas de Sistemas de Gestión u otros documentos normativos. Además de que deben ser capaces de realizar de forma efectiva auditorías a Sistemas Integrados de Gestión debido a que la norma ISO 19011:2018 adopta un enfoque de auditoría combinada cuando se auditan juntos dos o más Sistemas de Gestión de distintas disciplinas.

Competencias de un Auditor de los Sistemas de Gestión

Las competencias con las que cuenta un Auditor de los Sistemas de Gestión las obtiene de su formación como auditor, de su experiencia en auditorías y del intercambio de ideas y experiencia con otros auditores. La formación sólo es la base y para que su desempeño y efectividad alcancen cada vez más un mejor nivel debe estar dentro de las auditorías, sólo con la práctica los obtendrá.

Así que las competencias con las que debe contar un Auditor de los Sistemas de Gestión son:

  1. Principios, procesos y métodos de auditoría.
  2. Normas de Sistemas de Gestión y otras referencias.
  3. Conocimiento de la organización y su contexto.
  4. Requisitos legales y reglamentarios aplicables y otros requisitos.

Es importante destacar que una auditoría de un Sistema de Gestión no debería tratarse como una auditoría de cumplimiento legal. Para temas muy técnicos en el que el Auditor de los Sistemas de Gestión no es experto se puede apoyar de un Experto técnico, el cual es la persona que aporta conocimientos o experiencia específicos al equipo auditor, esta figura sólo es un apoyo no actúa como auditor.

Tipos de Auditorías Aplicables en Base a la ISO 19011:2018

Existen distintos tipos de auditorías aplicables en base a la ISO 19011:2018 en los Sistemas de Gestión:

  • Auditorías de primera parte / internas: Son aquellas realizadas por los Auditores de los Sistemas de Gestión al o los Sistemas de Gestión que maneja la organización donde labora. Sus fines son internos.
  • Auditoría de segunda parte / externas: Estas auditorías son realizadas a proveedores u otras partes interesadas del Sistema de Gestión pero que no forman parte de la organización. Son aplicadas ya sea por Auditores de los Sistemas de Gestión de la organización o se puede contratar a un tercero. Su fin es el interés de la organización hacia un tercero.
  • Auditoría de tercera parte / Certificación y/o Recertificación: A diferencia de las primeras dos partes, la Auditoría de tercera parte son realizadas por Auditores de los Sistemas de Gestión pertenecientes a organizaciones externas que proporcionan certificaciones a Sistemas de Gestión y que están acreditadas en el caso de México por la Entidad Mexicana de Acreditación, A.C. (EMA).

La ISO 19011:2018 da las directrices para las Auditorías de primera parte y Auditorías de segunda parte. Especifica que la Norma ISO/IEC 17021-1 es quien da los requisitos para realizar auditorías de Sistemas de Gestión para la certificación de tercera parte.

Así que si tu objetivo es desarrollarte y tener una carrera como Auditor de los Sistemas de Gestión tu base será la ISO 19011:2018 y sus actualizaciones para realizar auditorías internas y a partes interesadas, más adelante la complementarás con la ISO/IEC 17021-1 y actualizaciones para realizar auditorías de certificación y recertificación.

Auditorías ISO: Una Visión General

Lo que comúnmente se conoce como auditoría ISO no es exactamente eso. En realidad, se trata de una auditoría de un sistema de gestión que cumple con una norma ISO. Esta auditoría puede ser realizada por el personal de la empresa si es una auditoría interna, o por un organismo de certificación externo como DNV si es una auditoría externa.

Hoy en día, hay una amplia variedad de normas ISO sobre sistemas de gestión que cubren temas como la calidad, la seguridad de la información, el medio ambiente, la salud y la seguridad en el trabajo, entre otros.

Una auditoría ISO es un proceso sistemático para obtener y evaluar pruebas de auditoría de manera objetiva, con el fin de determinar en qué medida se cumplen los criterios de auditoría.

Decidir implantar un sistema de gestión conforme a una norma ISO y obtener la certificación suele ser una acción voluntaria por parte de una empresa. Sin embargo, en algunos casos puede ser necesario para cumplir con una normativa local o nacional.

Más a menudo, puede considerarse una "licencia para comerciar" porque los socios de la cadena de suministro, los clientes y otras partes interesadas exigen pruebas de que la organización emplea las mejores prácticas y se compromete a mejorar continuamente su rendimiento en áreas como productos y servicios, medio ambiente y seguridad de la información.

Las auditorías ISO son una parte esencial del proceso porque están diseñadas para supervisar y garantizar que los procesos de la organización se ajustan a las normas ISO definidas y verificar que el sistema es eficaz y eficiente.

Las auditorías internas, también conocidas como auditorías de primera parte, son realizadas por los propios auditores internos formados de la organización con fines de autoevaluación y mejora. Todas las normas ISO de sistemas de gestión exigen que las organizaciones realicen auditorías internas.

tags: #auditorias #de #sistemas #integrados #definición #y