TCAB realiza una auditoría para establecer el cumplimiento del Sistema de Gestión de Servicios Electrónicos de Confianza del Cliente, según el Reglamento UE 910/2014 (eIDAS), en base a los estándares de aplicación.

Normas de aplicación (políticas y procedimientos):

ETSI EN 319 401
ETSI EN 319 411-1
ETSI EN 319 411-2
ETSI EN 319 421
ETSI EN 319 521
ETSI TS 119 441
ETSI TS 119 511

La auditoría se realizaría en varias etapas:

Metodologia de evaluacion
Solicitud de estimación, determinando el alcance de la evaluación.
Planificación de la auditoría, asignando al auditor jefe y al equipo auditor.
Evaluación realizada en dos fases: evaluación documental y auditoría on-site.
Informe de evaluación de la conformidad.En caso de detectarse desviaciones, el auditado debe presentar un plan de acciones correctivas tratando dichas desviaciones.
Una vez finalizada la evaluación y tras el tratamiento de las desviaciones, se toma una decisión de certificación. Cuando la decisión es positiva, un certificado de conformidad es emitido.
Cuando el servicio es certificado, varias acciones de vigilancia se realizan, y el PSC debe notificar cualquier cambio relevante que afecte al servicio.

1.- PLANIFICACIÓN Y PROGRAMACIÓN

Las auditorías se realizan con un Plan de Auditoría, que será realizado por el equipo de auditoría en cada proyecto de evaluación. En este Plan, se establecen los datos de auditoría (fecha, duración, alcance, puntos a auditar, área auditada, personas de contacto)y listas de verificación (fecha, hora, puntos de las normas a auditar,área auditada, personas de contacto, auditores).

Para prepararlo, los informes de otras auditorías ya realizadas podrán incorporarse a la evaluación documental. Una vez que se realice, el Órgano Técnico revisará y aprobará el plan de auditoría.

2.- EJECUCIÓN

Para iniciar la auditoría, se realizará una reunión inicial con el cliente para confirmar el alcance de la auditoría, los datos recopilados en el Plan de auditoría, establecer una secuencia de la auditoría y analizar los puntos que ambas partes consideren necesarios. Después de este paso, la auditoría comenzará siguiendo el Plan de Auditoría como una guía de trabajo. Hay dos pasos en este punto:

  1. Revisión documental: verificaremos la conformidad del sistema (documentos, registros …) a través del cumplimiento de los puntos de las normas / leyes de referencia. Se comprobará la resolución de posibles no conformidades de auditorías previas.
  2. Inspección in situ: se realizarán comprobaciones del cumplimiento de los controles establecidos. Se realizará una inspección de muestreo de las evidencias objetivas para probar el correcto funcionamiento de los procesos técnicos y organizativos relacionados con el alcance de la auditoría. Se comprobará la resolución de posibles no conformidades del documento.

Si la auditoría se llevase a cabo como consecuencia de la presencia de no conformidades, nuestro equipo profundizará en las causas y efectos y definirá una acción correctiva / preventiva.

Una vez finalizada la auditoría, el equipo de auditoría escribirá un informe de resultados, identificando de forma clara y definida las no conformidades detectadas.

Además, habrá una reunión final en la que el equipo de auditoría mostrará el informe al cliente, para que pueda revisarlo y firmarlo. En aquellos casos donde haya presencia de no conformidades significativas, se programará una nueva fecha para la siguiente auditoría para comprobar la eliminación de esas no conformidades.

Es obligatorio enviar el CAR (Organismo de Evaluación de la Conformidad) al Organismo de Supervisión dentro de los 3 días posteriores a su recepción.

3.- INFORME DE EVALUACIÓN

El equipo de auditoría someterá el informe de auditoría a nuestro Órgano Técnico para su revisión y la toma de decisión de certificación, y se emitirá un certificado (si procede) o se realizará una auditoría extraordinaria, si es necesaria para tomar una decisión de certificación.

PERÍODO DE ARCHIVO: Los informes de auditoría y la documentación sobre las desviaciones detectadas serán almacenados por TCAB según los términos establecidos en los acuerdos.