TCAB realiza una auditoría para establecer el cumplimiento del Sistema de Gestión de Servicios Electrónicos de Confianza del Cliente, según el Reglamento UE 910/2014 (eIDAS), en base a los estándares de aplicación.

Normas de aplicación (políticas y procedimientos):

ETSI EN 319 401
ETSI EN 319 411-1
ETSI EN 319 411-2
ETSI EN 319 421
ETSI EN 319 521
ETSI TS 119 441
ETSI TS 119 511

La auditoría se realizaría en varias etapas:

Metodologia de evaluacion
Solicitud de estimación, determinando el alcance de la evaluación.
Planificación de la auditoría, asignando al auditor jefe y al equipo auditor.
Evaluación realizada en dos fases: evaluación documental y auditoría on-site.
Informe de evaluación de la conformidad.En caso de detectarse desviaciones, el auditado debe presentar un plan de acciones correctivas tratando dichas desviaciones.
Una vez finalizada la evaluación y tras el tratamiento de las desviaciones, se toma una decisión de certificación. Cuando la decisión es positiva, un certificado de conformidad es emitido.
Cuando el servicio es certificado, varias acciones de vigilancia se realizan, y el PSC debe notificar cualquier cambio relevante que afecte al servicio.

1.- PLANIFICACIÓN Y PROGRAMACIÓN

Las auditorías se realizan con un Plan de Auditoría, que será realizado por el equipo de auditoría en cada proyecto de evaluación. En este Plan, se establecen los datos de auditoría (fecha, duración, alcance, puntos a auditar, área auditada, personas de contacto)y listas de verificación (fecha, hora, puntos de las normas a auditar,área auditada, personas de contacto, auditores).

Para prepararlo, los informes de otras auditorías ya realizadas podrán incorporarse a la evaluación documental. Una vez que se realice, el Órgano Técnico revisará y aprobará el plan de auditoría.

2.- EJECUCIÓN

Para iniciar la auditoría, se realizará una reunión inicial con el cliente para confirmar el alcance de la auditoría, los datos recopilados en el plan de auditoría, establecer una secuencia de la auditoría y analizar los puntos que ambas partes consideren necesarios. Después de este paso, la auditoría comenzará siguiendo el Plan de Auditoría como una guía de trabajo. Hay dos pasos en este punto:

  1. Revisión documental: verificaremos la conformidad del sistema (documentos, registros …) a través del cumplimiento de los puntos de las normas / leyes de referencia. Se comprobará la resolución de posibles no conformidades de auditorías previas.
  2. Inspección in situ: se realizarán comprobaciones del cumplimiento de los controles establecidos. Se realizará una inspección de muestreo de las evidencias objetivas para probar el correcto funcionamiento de los procesos técnicos y organizativos relacionados con el alcance de la auditoría. Se comprobará la resolución de posibles no conformidades detectadas en la fase de revisión documental.

Si la auditoría se llevase a cabo como consecuencia de la presencia de no conformidades, nuestro equipo evaluará las acciones correctivas definidas por la entidad tras el análisis de causas y extensión de la desviación, para establecer si se ha realizado un tratamiento correcto de las mismas.

Una vez finalizada la auditoría, el equipo de auditoría escribirá un informe de resultados, identificando de forma clara y definida las no conformidades detectadas.

Durante la reunión final de auditoría, el equipo auditor mostrará el informe al cliente, específicamente indicando los hallazgos encontrados, para que pueda revisarlo y firmarlo. En aquellos casos donde haya presencia de no conformidades significativas, se programará una nueva fecha para la siguiente auditoría para comprobar la eliminación de esas no conformidades, si se considera necesario.

3.- INFORME DE EVALUACIÓN

El equipo de auditoría someterá el informe de auditoría a nuestro Órgano Técnico para su revisión y la toma de decisión de certificación, y se emitirá un certificado (si procede) o se realizará una auditoría extraordinaria, si es necesaria para tomar una decisión de certificación.

Tras la decisión de certificación se enviará al prestador el Informe de Evaluación de la Conformidad (CAR de sus siglas en inglés: Conformity Assessment Report), que es obligatorio enviar el CAR (Informe de Evaluación de la Conformidad) al Organismo de Supervisión eIDAS dentro de los 3 días (72h) posteriores a su recepción.

PERÍODO DE ARCHIVO: Los informes de auditoría y la documentación sobre las desviaciones detectadas serán almacenados por TCAB según los términos establecidos en los acuerdos.