Richiedi un preventivo
Home Risorse Blog Luglio 2020

Auditing remoto: pro e contro ICT

21 luglio 2020
Negli ultimi mesi è stata fornita una quantità significativa di informazioni riguardanti le tecnologie dell'informazione e della comunicazione (ICT), soprattutto per in relazione all'audit da remoto.

Queste informazioni sono state fondamentali poiché le organizzazioni si sforzavano di mantenere le certificazioni del sistema di gestione e gli organismi di certificazione (CB) richiedevano soluzioni alternative, attraverso la loro attività di pianificazione per garantire la continuità aziendale, in modo da proseguire con gli audit anche durante il COVID-19.
 
La condivisione delle informazioni di audit ICT ha assunto numerose forme, tra cui:

  • Migliori pratiche ICT: lezione appresa per aiutare revisori e clienti ad avere un'esperienza positiva nell'uso delle pratiche ICT.

  • IAF MD4:2018 L'uso delle TIC per scopi di audit/valutazione è un documento obbligatorio sviluppato dall'International Accreditation Form (IAF) per la valutazione della conformità che gli OdC sono tenuti a rispettare per quanto riguarda l'audit ICT.

  • IAF ID12:2015 Principles on Remote Assessment è un documento informativo sviluppato per fornire maggiori informazioni di orientamento agli OdC.

  • Auditing Practices Group (APG) ha effettuato una revisione al documento di audit remoto, il quale è stato quello scaricato più frequentemente dal sito Web ISO APG.

  • La direzione settoriale dei settori aerospaziale, automobilistico, dei dispositivi medici e delle telecomunicazioni ha fornito protocolli specifici su ciò che è consentito durante la pandemia.

L'industria aerospaziale ha visto il numero di audit ICT aumentare velocemente nel secondo trimestre, in risposta alla situazione COVID-19. È incoraggiante che la maggior parte dei revisori e dei clienti abbia un'opinione favorevole dell'esperienza di revisione e della qualità delle attività di revisione.

Ciò che è stato appreso dopo diversi mesi di audit ICT sono alcuni pro e contro associati allo svolgimento degli audit ICT.

Pro ICT

  1. L'approccio all'auditing ICT ha consentito di mantenere la fattibilità del sistema di gestione anche durante situazioni di emergenza, come la risposta al COVID-19.
  2. L'efficacia dell'audit ICT è dovuta all'evoluzione e alla sofisticazione della tecnologia grazie a strumenti come le  applicazioni per riunioni Web, video (incluso FaceTime), condivisione di documenti e prove oggettive che potrebbero includere documentazione e foto.
  3. L'audit ICT richiede che l'organismo di certificazione valuti e comprenda i potenziali rischi degli audit remoti, comprese le capacità ICT del cliente, la familiarità con gli strumenti, le considerazioni sul ciclo di audit e l'ambito della certificazione.
  4. L'audit ICT richiede un'ulteriore pianificazione, preparazione e coordinamento da parte dell'auditor con il cliente, il che porta a un audit migliore ed efficace. Le aspettative di audit sono definite con largo anticipo, sicuramente prima dell'audit. Si spera che questa migliore pianificazione dell'audit preliminare venga adottata anche quando si tornerà agli audit in loco.
  5. L'audit ICT riduce le spese di certificazione di terze parti per il cliente grazie alla riduzione dei costi di viaggio dell'auditor, con conseguente risparmio.
  6. L'auditing ICT aumenta la resilienza dell'auditor in quanto riduce l'affaticamento del viaggio e lo stress associato.

 

ICT Cons

  1. L'efficacia dell'Auditing ICT dipende dalla familiarità e dall'esperienza dell'organizzazione e dell'auditor con gli strumenti ICT. Questa preoccupazione si aggrava quando è richiesto il personale aggiuntivo per la chiamata e può mancare di competenze ICT.

  2. I revisori hanno difficoltà a controllare in remoto i processi "pratici" come i processi di ricezione, produzione e verifica. Molte organizzazioni limitano l'uso dei dispositivi ICT, il che diminuisce l'efficacia dell'audit ICT. Ai revisori potrebbe anche essere richiesto di fare affidamento su agenti affidabili dell'organizzazione e controlli guidati.

  3. L'audit ICT è più complicato per le organizzazioni che hanno informazioni prevalentemente cartacee. In genere, queste organizzazioni devono scansionare tutti i documenti, inclusi contratti, prove di ingegneria, ordini di acquisto, viaggiatori di produzione e altre prove oggettive. Questa attività rallenta notevolmente l'audit e comporta anche maggiori rischi di fughe di riservatezza.

  4. L'audit ICT non consente all'auditor di avere segnali visivi durante l'audit. Anche se i valutati utilizzano una videocamera del computer, l'auditor è limitato dalla qualità della connessione e dal fatto stesso di non essere sul posto.

  5. L'audit ICT può creare frustrazioni per auditor e auditee a causa della scarsa connettività Internet, poichè questo può comportare difficoltà nell'ascolto e nella comunicazione.

  6. L'auditing ICT potrebbe non piacere a tutti gli auditor poiché alcuni non si sentono a proprio agio con la tecnologia ICT e trovano l'audit a distanza frustrante.

IAF MD4 ha rimosso la percentuale di restrizione ICT nel 2018 in modo che il 100% dell'attività di audit possa essere eseguito da remoto. Diversi standard di settore hanno adottato una visione più rigorosa dell'audit ICT. Lo schema automobilistico non consente ufficialmente l'audit ICT. Lo schema aerospaziale ha consentito l'audit ICT durante la pandemia, ma per il resto limita l'audit ICT al 30% del tempo di audit.
 
Gli organismi di certificazione dovranno rispettare i requisiti dell'industria e del settore valutando al contempo il rischio di audit ICT. Gli OdC hanno la responsabilità di garantire la credibilità e la reputazione dei certificati che emettono. Poiché sempre più organizzazioni aumentano la forza lavoro remota e gli strumenti ICT continuano a evolversi, si prevede che anche l'applicazione delle tecniche di auditing ICT continuerà ad espandersi e ad essere maggiormente diffusa e scelta.