Inter American Accreditation Cooperation

IAF MD 4:2008 Documento obligatorio de IAF para el uso de Técnicas de Auditoría Asistidas por Computadora (“CAAT”) para la Certificación Acreditada de Sistemas de Gestión Este documento es una traducción al español preparada y endosada por IAAC, del documento “IAF Mandatory Document for the use of Computer Assisted Auditing Techniques(“CAAT”) for Accredited Certification of Management Systems"

CLASIFICACIÓN Este documento está clasificado como un Documento Obligatorio de IAAC.

AUTORIZACIÓN Publicación No. 01 Traducción preparada por:Subcomité de Documentación Revisión No. 00 Traducción aprobada por: Comité Ejecutivo 15 de setiembre de 2008 Fecha de Publicación: Fecha de Aplicación: 15 de setiembre de 2008 Número del Documento: IAAC MD 021/08 (IAF MD 4:2008) Enviar preguntas a: Secretariado de IAAC Teléfono: +52 (55) 9148-4300 e-mail: [email protected]

DISPONIBILIDAD: Hay copias disponibles de este documento en español, en el sitio web de IAAC y en el Secretariado de IAAC.

Traducción al español de IAF MD 4:2008 Fecha de Publicación: 15 septiembre, 2008 IAAC MD 021/08

Página 1 de 7

Inter American Accreditation Cooperation

IAF MD 4:2008

Foro Internacional de Acreditación, Inc.

Documento Obligatorio del IAF Documento Obligatorio del IAF para el uso de Técnicas de Auditoría Asistidas por Computadora (“CAAT”) para la Certificación Acreditada de Sistemas de Gestión

Publicación 1

(IAF MD 4:2008)

Traducción al español de IAF MD 4:2008 Fecha de Publicación: 15 septiembre, 2008 IAAC MD 021/08

Página 2 de 7

Inter American Accreditation Cooperation El Foro Internacional de Acreditación, Inc. (IAF por sus siglas en inglés) opera programas para la acreditación de organismos que brindan servicios para la evaluación de la conformidad. La acreditación facilita el comercio y reduce la demanda de certificación múltiple. La acreditación reduce el riesgo para los negocios y sus clientes asegurándoles que los Organismos de Evaluación de la Conformidad acreditados (OECs) son competentes para realizar el trabajo con el que se comprometen dentro de su ámbito de acreditación. Los Organismos de Acreditación (OAs), miembros del IAF y sus OECs acreditados, tienen como requisito cumplir con las normas internacionales adecuadas y los documentos obligatorios de IAF para la aplicación consistente de esas normas. Los OA miembros del Acuerdo de Reconocimiento Multilateral (MLA) del IAF realizan evaluaciones regulares entre ellos para asegurar la equivalencia de sus programas de acreditación. Los MLAs del IAF operan a dos niveles: •

Un MLA, para la acreditación de los OECs según normas que incluyen la ISO/IEC 17020 para los organismos de inspección, ISO/IEC 17021 para los organismos de certificación de sistemas de gestión, ISO/IEC 17024 para los organismos de certificación de personal y la Guía 65 ISO/IEC para los organismos de certificación de productos, es considerado un MLA marco. Un MLA marco proporciona la confianza de que los OECs acreditados son equivalentemente confiables en cuanto al desempeño de las actividades para la evaluación de la conformidad.

•

Un MLA para la acreditación de los OECs, que también incluyan la norma específica para la evaluación de la conformidad o el esquema como un ámbito de la acreditación, proporciona confianza en la equivalencia de la certificación.

Un MLA del IAF provee la confianza necesaria para que el mercado acepte la certificación. Una organización o persona con una certificación en una norma específica o esquema que sea acreditado por un OA signatario del MLA del IAF puede ser reconocido a nivel mundial de modo que facilita el comercio internacional. Publicación No 1 Preparado por: Comité Técnico de IAF Aprobado por: Miembros del IAF

Fecha: 1 noviembre 2007

Fecha de Publicación: 1 de febrero, 2008 Fecha de Aplicación: 15, septiembre, 2008 Persona de contacto: John Owen, Secretario Corporativo del IAF Contacto: Telefónico: +612 9481 7343; Email: [email protected] Traducción al español de IAF MD 4:2008 Fecha de Publicación: 15 septiembre, 2008 IAAC MD 021/08

Página 3 de 7

Inter American Accreditation Cooperation Introducción a Documentos Obligatorios de IAF El término “debería” se utiliza en este documento para indicar los medios reconocidos para cumplir con los requisitos de la norma. Un Organismo de Evaluación de la Conformidad (OEC) puede cumplir con estos requisitos de forma equivalente siempre y cuando lo pueda demostrar ante un Organismo de Acreditación (OA). El término “debe” se utiliza en este documento para indicar aquellas disposiciones que son obligatorias y reflejan los requisitos de la norma pertinente.

Traducción al español de IAF MD 4:2008 Fecha de Publicación: 15 septiembre, 2008 IAAC MD 021/08

Página 4 de 7

Inter American Accreditation Cooperation Documento Obligatorio del IAF para el uso de Técnicas de Auditoría Asistidas por Computadora (“CAAT”) para la Certificación Acreditada de Sistemas de Gestión Este documento obligatorio proporcionar una aplicación consistente de la ISO/IEC 17021:2006 cuando se utilicen técnicas de auditorías asistidas por computadora, como parte de la metodología de auditoría. El uso del CAAT (por sus siglas en inglés) no es obligatorio; pero si un organismo de certificación y su cliente optan por el uso del CAAT, es obligatorio que estén en conformidad con este documento y puedan demostrar conformidad al organismo de acreditación. 0. INTRODUCCIÓN 0.1.

En vista de que las tecnologías de información y comunicación se vuelven cada vez más sofisticadas, es importante que los organismos de certificación puedan utilizar las “Técnicas de Auditoría Asistidas por Computadora”, con el fin de mejorar la efectividad y eficacia de la auditoría, y para apoyar y mantener la integridad del proceso de auditoría. NOTA: Las Directrices sobre el uso de las Técnicas de Auditoría Asistidas por Computadora pueden obtenerse del sitio en internet de ISO/IAF “Auditing Practices Group”

www.iso.org/tc176/ISO9001AuditingPracticesGroup 0.2.

Tales “Técnicas de Auditoría Asistidas por Computadora” (“CAAT”) pueden incluir, por ejemplo: • Teleconferencia, • Reuniones por medio web, • Comunicaciones interactivas por medio web, • Acceso electrónico remoto a la documentación del sistema de gestión y/o los procesos de sistemas de gestión.

0.3.

Los objetivos para la aplicación efectiva de las CAAT son: a) Ofrecer una metodología que sea lo suficientemente flexible y que no sea prescriptivo por naturaleza, con el fin de satisfacer las necesidades de la industria, permitiendo que las organizaciones de los clientes y sus respectivos organismos de certificación las utilicen para mejorar su proceso de auditoría convencional, y b) Asegurar que los controles adecuados se estén cumpliendo con suficiente seguimiento por parte del organismo de acreditación para evitar abusos y para prevenir las presiones comerciales excesivas que pudieran comprometer la integridad del proceso de certificación.

Traducción al español de IAF MD 4:2008 Fecha de Publicación: 15 septiembre, 2008 IAAC MD 021/08

Página 5 de 7

Inter American Accreditation Cooperation 1. REQUISITOS 1.1 Confidencialidad Según ISO/IEC 17021, apartado 8.5.1, la seguridad y confidencialidad de la información electrónica o la transmitida por ése medio, son de particular importancia cuando un organismo de certificación utiliza las CAAT. El organismo de certificación debería acordar las medidas de seguridad de la información mutuamente aceptable con su cliente antes de utilizar las CAAT. 1.2 Requisitos del proceso 1.2.1 Además de los requisitos de ISO/IEC 17021, apartado 9.1.2, el plan de auditoría debe identificar cualquier técnica de auditoría asistida por computadora que vaya a utilizarse. 1.2.2 Además de los requisitos de ISO/IEC 17021, apartado 9.1.3, cuando se utilice las CAAT, se debe dar atención específica a la habilidad de los auditores para entender y utilizar las tecnologías de la información que la organización del cliente emplea para administrar sus procesos de sistemas de gestión. 1.2.3 Además de los requisitos de ISO/IEC 17021, apartado 9.1.4, si un organismo de certificación usa las CAAT, se puede considerar que sea parte de la contribución al total del tiempo del auditor in-situ. Si las actividades de auditoría remotas representan más del 30% planeado para el tiempo auditor in-situ, el organismo de certificación debería justificar el plan de auditoría y obtener la aprobación específica del organismo de acreditación antes de su implementación. NOTAS: 1) Se espera que esta “aprobación específica” se realice inicialmente sobre la base de caso por caso, pero no excluye una “aprobación global” del organismo de acreditación para que el organismo de certificación sobrepase un 30% de reducción, una vez que el organismo de certificación haya demostrado que su proceso es robusto. 2) El tiempo de auditor en sitio se refiere al tiempo del auditor ubicado en el sitio para loslugares individuales. Las auditorías electrónicas de lugares remotos se consideran auditorías remotas, aún si la auditoría electrónica se realiza físicamente desde otras instalaciones de la organización del cliente. 1.2.4 Además de los requisitos de ISO/IEC 17021, apartado 9.1.10, los informes de auditoría deben indicar el grado hasta el cual se han utilizado las CAAT para llevar a cabo la auditoría, y la forma en la que contribuyen a la eficacia y eficiencia de la misma 1.2.5 Además de los requisitos de ISO/IEC 17021, apartado 9.2.2.1 (a), cuando el organismo de certificación proponga el uso de las CAAT como parte de la auditoría, la revisión de la aplicación debe incluir la verificación de que la organización del cliente cuenta con la infraestructura necesaria Traducción al español de IAF MD 4:2008 Fecha de Publicación: 15 septiembre, 2008 IAAC MD 021/08

Página 6 de 7

Inter American Accreditation Cooperation para apoyar este enfoque. 1.2.6 Además de los requisitos de ISO/IEC 17021, apartado 9.3.2.2, a pesar del uso de las CAAT, la organización debe ser visitada físicamente, por lo menos anualmente. 1.2.7 Además de los requisitos de ISO/IEC 17021, apartado 9.9.2, los registros deben indicar el grado hasta el cual las CAAT han sido utilizadas para llevar a cabo la auditoría y la certificación. Fin del Documento Obligatorio para el uso de Técnicas de Auditoría Asistidas por Computadora para la Certificación Acreditada de los Sistemas de Gestión. Para mayor información Para mayor información sobre este documento u otros documentos del IAF, contacte a cualquier miembro del IAF o del Secretariado del IAF. Para detalles sobre contactos de los miembros del IAF ver – Página Web del IAF - http://www.iaf.nu Secretaría – John Owen, Secretario Corporativo del IAF, Teléfono +612 9481 7343 E-mail [email protected]

Traducción al español de IAF MD 4:2008 Fecha de Publicación: 15 septiembre, 2008 IAAC MD 021/08

Página 7 de 7