Resumen: Para realizar una auditoría con éxito y alcanzar un
resultado favorable, deben conocerse las mejores prácticas de auditoría y los
requerimientos relacionados con la misión y actividad del auditor.
Autor del artículo
|
Colaboración
|
|
JOSÉ
LUIS COLOM PLANAS
|
MARGARITA PARDO DE SANTAYANA C.
|
|
Actualizado
|
19 de septiembre de 2013
|
|
ÍNDICE.
1. INTRODUCCIÓN
2. FORMALIZACIÓN
3. CÓMO GESTIONAR LA AUDITORÍA
3.1. ¿En qué basarse?
3.2. Preparación de la auditoría
3.3. Realización de la auditoría
3.4. El informe de auditoría
3.5. La reunión de cierre
4. PROFUNDIZANDO UN POCO MÁS
4.1. La función de auditoría y su estatuto
4.2. Planificación de la auditoría
4.3. Efecto de las leyes y la regulación en la planificación
4.4. Procedimientos generales de auditoría
5. GLOSARIO
6. BIBLIOGRAFIA CONSULTADA
7. DERECHOS DE AUTOR
1. INTRODUCCIÓN.
En noviembre de 2011 se publicó la
última versión del estándar relativo a Auditorías, norma ISO 19011:2011
“DIRECTRICES PARA LA AUDITORIA DE LOS SISTEMAS DE GESTIÓN” que sustituye a la
del año 2002. Ya en el título del estándar se reconoce el primer cambio: No es
aplicable sólo a Sistemas de Gestión de Calidad o Medio Ambiental. Sino en
general a cualquier Sistema de Gestión.
De
hecho cada uno de estos estándares de sistemas de gestión orientados a procesos
y basados en el “Ciclo de Deming” de Mejora continua, recogen un apartado
específico dedicado a la realización de Auditorías internas del propio SG que
se tenga implantado: ISO9001:2008, ISO20000:2011, ISO27001:2013, ISO22301:2012,
…
Las
auditorías internas son esenciales en los Sistemas de Gestión (certificados o no) y están íntimamente ligadas con las
revisiones necesarias por parte de la Dirección. Proporcionan la base para el
establecimiento de acciones correctivas y preventivas.
No
olvidemos LO QUE NO SE AUDITA, mide o comprueba, no se conoce y por tanto NO SE
PUEDE MEJORAR.
De
la experiencia se deduce que si la auditoría interna está bien llevada, permite
además vislumbrar opciones de mejora adicionales en los procesos y
procedimientos de la empresa, que en una
“auditoría de certificación” podrían pasar inadvertidos.
Cuántas
veces la empresa prepara las reuniones que han de tener con el auditor externo
que debe certificarles, mediante directrices a los empleados como la siguiente:
“vosotros limitaros a contestar las preguntas del auditor y no comentéis nada
mas”.
En
la auditoría interna sin embargo los empleados pueden sincerarse, dado que no
peligra la certificación.
El
objetivo que se persigue con la auditoría interna es doble:
- Por un lado, efectivamente preparar la consecución y/o renovación de la certificación ISO de la empresa en caso de que éste sea un interés del negocio.
- Por otro, lograr lo que realmente interesa: optimizar para mejorar la eficacia y la eficiencia en la gestión, y en consecuencia los resultados de la empresa, asegurando que el sistema de gestión continúa siendo adecuado a la realidad de la empresa.
2. FORMALIZACIÓN.
- Las auditorías internas, denominadas en
algunos casos como auditorías de primera parte, se realizan por, o en nombre
de, la propia organización, para la
revisión por la dirección y con otros fines internos (por ejemplo para
confirmar el funcionamiento previsto del sistema de gestión o para obtener
información para la mejora del sistema de gestión), y pueden constituir la
base para una autodeclaración de conformidad de una organización.
- Las auditorías externas incluyen lo que
se denomina generalmente auditorías de segunda y tercera parte. Las auditorías
de segunda parte se llevan a cabo por partes que tienen un interés en la
organización, tal como los clientes, o por otras personas en su nombre. Las
auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes
y externas, tales como aquellas que proporcionan el registro o la certificación
de conformidad de acuerdo con los requisitos de las Normas ISO.
Se
ve claramente la desvinculación de objetivos entre una y otra. Además, con
independencia de la periodicidad de auditorías internas definida en el propio
SG, éstas deberían hacerse cuando:
- La amplitud o profundidad de las posibles modificaciones efectuadas al Sistema de Gestión así lo aconsejen.
- Parcialmente, cuando se implanten procedimientos nuevos o se detecten no conformidades en las áreas afectadas.
- Cuando el nivel de los servicios de la empresa está comprometido sin causa aparente.
3. COMO GESTIONAR LA
AUDITORÍA.
3.1. ¿En que basarse?
El
programa de auditorías internas debe basarse en:
- El estado y la importancia de los procesos
- Las áreas a auditar
- Los resultados de las auditorías previas
3.2. Preparación de la
auditoría.
Podemos
considerar la fase de preparación como la más crítica del proceso de auditoría.
Todo proceso de preparación eficaz,
incluye 7 pasos:
- Definir y comprender el alcance de la auditoría
- Revisar las normas aplicable
- Preparar un modelo de proceso
- Revisar la documentación aplicable
- Revisar los resultados de las auditorías anteriores
- Crear una lista de comprobación eficaz
- Realizar una reunión previa a la auditoría
3.3. Realización de la
auditoría.
Una
posible técnica de las muchas posibles es la llamada “de desglose”. Consiste en
pedirle al auditado que describa el proceso que se está auditando.
Se
prestará especial atención a los siguientes puntos, corroborándolo todo con
evidencias documentales:
- Reclamaciones de los clientes de los servicios
- Auditorías internas anteriores
- Auditorías externas
- Informe de no conformidad de servicios (si procede)
- Registro de acción correctiva (si procede)
- Análisis de la causa inicial (si procede)
- Plan de acción
- Verificación
- Cierre
3.4. El informe de
auditoría.
El
informe de auditoría debe incluir una hoja resumen que describa la información
clave relacionada con la auditoría. Debería incluir:
- Los nombres de los auditores
- Las fechas de la auditoría
- El alcance de la auditoria, incluyendo el proceso o procesos auditados con la referencia a la norma aplicable (si procede) y las áreas o departamentos visitados durante la auditoría
- Un resumen de no conformidades, si se encuentran
- Las observaciones anotadas
- Las oportunidades de mejora detectadas
- Las evidencias de mejora desde la última auditoría
- Las expectativas de las respuestas a la acción correctiva
3.5. La reunión de cierre.
En
ella deberían participar los directivos de las áreas auditadas y los
propietarios de los procesos.
Debe
hacerse si es posible en un plazo no superior a las 24 horas a partir de la
auditoría. Su propósito es garantizar que los responsables comprendan cuales
son las conclusiones, por qué son ésas y si procede, que tipo de acción
correctiva se necesita.
Debe
darse a los asistentes la posibilidad de preguntar y comprender cada conclusión
del informe.
Por
tanto, es importante que si hay PACs (Planes de acción correctiva), éstos
contengan la referencia de la conclusión y la evidencia objetiva específica.
4. PROFUNDIZANDO UN POCO
MÁS
4.1. La función de
auditoría y su estatuto
Para la función de auditoría, dicho estatuto debería establecer claramente las
responsabilidades y los objetivos de la Dirección de cada área a auditar y describir detalladamente:
- La autoridad
- El alcance
- Las responsabilidades generales
Pueden
contemplarse auditorías verticales,
por ejemplo del departamento de SI (Sistemas de Información); o auditorías transversales, por ejemplo
de cumplimiento de la regulación vigente en materia de protección de datos.
NOTA DEL EDITOR: Debe distinguirse entre el
estatuto de auditoría, que es un
documento de alcance general que cubre todas las posibles actividades de
auditoría en una organización y una carta
de compromiso que se centra en un ejercicio particular de auditoría que se
pretende iniciar con un objetivo específico.
Caso
de externalizar determinados servicios de auditoría, el alcance y los objetivos
de estos servicios deben documentarse en un contrato suscrito entre ambas
partes, la organización que contrata y la empresa de servicios de auditoría.
Siempre
la función de auditoría interna debe ser independiente del área auditada. Tiene
que reportar al comité de auditoría (de existir) o en su defecto al CD (Comité
de Dirección) corporativa.
4.2. Planificación de la
auditoría
El
auditor debe desarrollar un plan de
auditoría que tome en consideración los objetivos relevantes del auditado
con respecto al área auditada.
La
planificación debe lograr correspondencia
entre los recursos disponibles de auditoría y las tareas definidas en el plan.
Es
importante considerar el área bajo revisión y conocer su relación con la
organización desde los puntos de vista:
- Estratégico
- Financiero
- Operativo
El plan estratégico de la
compañía, y quizá del área auditada, nos aportará mucha información.
Los pasos para realizar una
planificación de auditoría, según ISACA (Information Systems Audit and Control
Association), son:
- Lograr una comprensión de la misión, los objetivos, el propósito y los procesos del negocio, incluyendo los requerimientos de información y su tratamiento, tales como seguridad (disponibilidad, integridad, confidencialidad) y tecnología empleada por la organización.
- Identificar los contenidos específicos tales como políticas, estándares y políticas requeridas, procedimientos y estructura de la organización.
- Realizar un análisis de riesgos para ayudar a realizar un plan de auditoría.
- Establecer el alcance y los objetivos de la auditoría.
- Desarrollar el enfoque de la auditoría (estrategia).
- Asignar recursos humanos a la auditoría.
- Dirigir la logística del trabajo de auditoría.
Para lograr la comprensión
del negocio, el auditor podría apoyarse en:
- Lectura de informes generales del sector (publicaciones, informes anuales, benchmarks, análisis financieros independientes…).
- Consulta de anteriores informes de auditoría o revisiones regulatorias.
- Revisión del negocio y sus planes estratégicos a largo plazo.
- Entrevistas a los directivos clave para entender pormenores del negocio.
- Identificar las regulaciones específicas aplicables a la empresa y su sector de actividad.
- Identificar las funciones que intervienen en el área auditada, con independencia de que sean internas o externalizadas.
- Recorrido físico por las instalaciones clave de la organización.
4.3. Efecto de las leyes y la regulación
en la planificación
Todas las organizaciones,
con independencia de su tamaño, deben
cumplir con la legislación vigente.
Pasos según ISACA que debe
seguir un auditor para determinar el nivel de cumplimiento de una organización
con los requerimientos externos:
- Determinar los requerimientos legales u otros externos relevantes (Datos personales, comercio electrónico, telecomunicaciones, IP (propiedad industrial), derechos de autor, firmas digitales…).
- Documentar las leyes y regulaciones aplicables.
- Determinar si los órganos de gobierno corporativo han tomado en consideración los requerimientos externos relevantes al realizar planes y establecer políticas, estándares y procedimientos.
- Revisar los documentos internos del departamento / función / actividad que se ocupan del cumplimiento de las leyes aplicables a la industria o sector de actividad.
- Determinar el cumplimiento con los procedimientos establecidos que se ocupan de éstos requerimientos.
- Determinar si hay definidos procedimientos para asegurar que los contratos o acuerdos con prestadores de servicios externalizados, reflejen cualquier requerimiento legal relacionado con las responsabilidades.
4.4. Procedimientos generales de
auditoría
Los pasos básicos para la
realización de una auditoría, normalmente incluyen:
- Obtención del conocimiento sobre el área / objeto de la auditoría y su documentación.
- Evaluación de riesgos, planificación general de la auditoría y cronograma.
- Planificación detallada de la auditoría, que incluirá los pasos de la auditoría necesarios y un desglose, mediante un cronograma, del trabajo planificado.
- Revisión preliminar del área / objeto de la auditoría.
- Evaluación del área / objeto de la auditoría.
- Verificación y evaluación de la pertinencia de los controles diseñados para cumplir los objetivos de control.
- Pruebas de cumplimiento, es decir, pruebas de la implementación de controles y su aplicación consistente.
- Pruebas sustantivas, es decir, que confirmen la exactitud de la información tratada.
- Reporte (informe de los resultados y conclusiones obtenidas en base a evidencias).
- Seguimiento en los casos que haya una función de auditoría interna o así se contrate.
5. GLOSARIO.
Definiciones
admitidas en general por las normas ISO, relativas a sistemas de gestión:
Auditoría Interna: Proceso sistemático, independiente y documentado
para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el
fin de determinar el grado en que se cumplen los criterios de auditoría. Las
auditorías internas se realizan por, o en nombre de, la propia organización
para la revisión por la dirección y otros fines internos, su propósito es
evaluar el Sistema de Gestión para mejorarlo y puede también constituir la base
para la declaración de conformidad.
Criterios de auditoría: Conjunto de políticas, procedimientos o requisitos.
Evidencia de la auditoría: Registros, declaraciones de hechos o cualquier otra
información que son pertinentes para los criterios de auditoría y que son
verificables.
Hallazgos de la auditoría: Resultados de la evaluación de la evidencia de la
auditoría recopilada frente a los criterios de auditoría. Los hallazgos de la
auditoría pueden indicar conformidad o no conformidad con los criterios de
auditoría, u oportunidades de mejora.
Conclusiones de la auditoría: Resultado de una auditoría que proporciona el equipo
auditor tras considerar los objetivos de la auditoría y todos los hallazgos de
la auditoría.
Programa de la auditoría: Conjunto de una o más auditorías planificadas para un
periodo de tiempo determinado y dirigidas hacia un propósito específico
Plan de auditoría: Descripción de las actividades y de los detalles
acordados de una auditoría.
Alcance de la auditoría: Extensión y límites de una auditoría. Incluye
generalmente una descripción de las ubicaciones, las unidades de la
organización, las actividades y los procesos, así como el período de tiempo
cubierto.
Auditor: Persona con la competencia para llevar a cabo una
auditoría.
Equipo auditor: Uno o más auditores que llevan a cabo una auditoría,
con el apoyo, si es necesario, de expertos técnicos.
Auditado: Responsable de un área o persona delegada por él, que
va a ser sometido a control por parte del auditor para comprobar el
cumplimiento del área a su cargo respecto del marco normativo de referencia.
No conformidad mayor: incumplimiento total de una parte de la norma o un
procedimiento, o no aplicación de objetivos de control y/o controles que sean
de aplicación y no estén debidamente justificados.
No conformidad menor: incumplimiento parcial de una parte de la norma o de
lo dictado en alguno de los procedimientos.
Observaciones: recomendaciones de mejora por parte del auditor que
podrían derivar en no conformidades en años sucesivos. No sería un
incumplimiento.
6. BIBLIOGRAFIA
CONSULTADA.
- AENOR ediciones. Cómo gestionar con éxito
una auditoría interna conforme a ISO 9001:2008. Ann
W. Philips. 2010.
- ISACA. ITAF© (A Professional Practices Framework for IS
Audit/Assurance). 2nd Edition. 2013.
- ISACA. “Marco general de estándares de
aseguramiento y auditoría de TI”. www.isaca.org/standards .
7. DERECHOS DE AUTOR
La presente obra y su título
están protegidos por el derecho de autor.
Las denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas Posee
un doble perfil, jurídico y técnico, que le facilita el desempeño profesional
en el ámbito de los diferentes marcos normativos, especialmente del Derecho de
las nuevas tecnologías y las normas ISO de adscripción voluntaria.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en GOVERTIS Advisory Services
cómo Compliance, Management & IT Advisor, incidiendo en Compliance
Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad
y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas
ISO, individuales o integrados, y en la optimización de sus procesos. Ha
realizado diferentes niveles de auditorías de cumplimiento legal ya sea para
organizaciones sujetas a Derecho público o privado.
También colabora con BSI como
auditor jefe de certificación e impartiendo formación para la obtención de la
certificación de lead auditor, en diferentes marcos normativos. A partir de su
dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
Colaboración
|
||
MARGARITA PARDO DE SANTAYANA C.
|
||
Twittear
