UDITORIAS INTERNAS DE LOS SISTEMAS DE GESTIN

Resumen: Para realizar una auditora con xito y alcanzar un resultado favorable, deben conocerse las mejores prcticas de auditora y los requerimientos relacionados con la misin y actividad del auditor.

Autor del artculo JOS LUIS COLOM PLANAS

Colaboracin MARGARITA PARDO DE SANTAYANA C.

Actualizado

19 de septiembre de 2013

NDICE.
1. INTRODUCCIN 2. FORMALIZACIN 3. CMO GESTIONAR LA AUDITORA 3.1. En qu basarse? 3.2. Preparacin de la auditora 3.3. Realizacin de la auditora 3.4. El informe de auditora 3.5. La reunin de cierre 4. PROFUNDIZANDO UN POCO MS 4.1. La funcin de auditora y su estatuto 4.2. Planificacin de la auditora 4.3. Efecto de las leyes y la regulacin en la planificacin 4.4. Procedimientos generales de auditora 5. GLOSARIO

6. BIBLIOGRAFIA CONSULTADA 7. DERECHOS DE AUTOR

1. INTRODUCCIN.

Muchos piensan que las auditoras internas, realizadas por personal de la propia empresa, son nicamente un paso previo para preparar las auditoras de certificacin o recertificacin que marca el cumplimiento de una norma. No es as. En noviembre de 2011 se public la ltima versin del estndar relativo a Auditoras, norma ISO 19011:2011 DIRECTRICES PARA LA AUDITORIA DE LOS SISTEMAS DE GESTIN que sustituye a la del ao 2002. Ya en el ttulo del estndar se reconoce el primer cambio: No es aplicable slo a Sistemas de Gestin de Calidad o Medio Ambiental. Sino en general a cualquier Sistema de Gestin. De hecho cada uno de estos estndares de sistemas de gestin orientados a procesos y basados en el Ciclo de Deming de Mejora continua, recogen un apartado especfico dedicado a la realizacin de Auditoras internas del propio SG que se tenga implantado: ISO9001:2008, ISO20000:2011, ISO27001:2013, ISO22301:2012,

Las auditoras internas son esenciales en los Sistemas de Gestin (certificados o no) y estn ntimamente ligadas con las revisiones necesarias por parte de la Direccin. Proporcionan la base para el establecimiento de acciones correctivas y preventivas. No olvidemos LO QUE NO SE AUDITA, mide o comprueba, no se conoce y por tanto NO SE PUEDE MEJORAR. De la experiencia se deduce que si la auditora interna est bien llevada, permite adems vislumbrar opciones de mejora adicionales en los procesos y procedimientos de la empresa, que en una auditora de certificacin podran pasar inadvertidos. Cuntas veces la empresa prepara las reuniones que han de tener con el auditor externo que debe certificarles, mediante directrices a los empleados como la siguiente: vosotros limitaros a contestar las preguntas del auditor y no comentis nada mas. En la auditora interna sin embargo los empleados pueden sincerarse, dado que no peligra la certificacin. El objetivo que se persigue con la auditora interna es doble: Por un lado, efectivamente preparar la consecucin y/o renovacin de la certificacin ISO de la empresa en caso de que ste sea un inters del negocio. Por otro, lograr lo que realmente interesa: optimizar para mejorar la eficacia y la eficiencia en la gestin, y en consecuencia los resultados de la empresa, asegurando que el sistema de gestin contina siendo adecuado a la realidad de la empresa.

2. FORMALIZACIN.

Cada norma ISO incorpora un captulo sobre las auditoras internas. No solo eso, sino que si consultamos que dice la norma ISO 19011:2011 DIRECTRICES PARA LA AUDITORIA DE LOS SISTEMAS DE GESTIN, en el captulo 3.1 Definiciones de auditora, dice textualmente: - Las auditoras internas, denominadas en algunos casos como auditoras de primera parte, se realizan por, o en nombre de, la propia organizacin, para la revisin por la direccin y con otros fines internos (por ejemplo para confirmar el funcionamiento previsto del sistema de gestin o para obtener informacin para la mejora del sistema de gestin), y pueden constituir la base para una autodeclaracin de conformidad de una organizacin. - Las auditoras externas incluyen lo que se denomina generalmente auditoras de segunda y tercera parte. Las auditoras de segunda parte se llevan a cabo por partes que tienen un inters en la organizacin, tal como los clientes, o por otras personas en su nombre. Las auditoras de tercera parte se llevan a cabo por organizaciones auditoras independientes y externas, tales como

aquellas que proporcionan el registro o la certificacin de conformidad de acuerdo con los requisitos de las Normas ISO. Se ve claramente la desvinculacin de objetivos entre una y otra. Adems, con independencia de la periodicidad de auditoras internas definida en el propio SG, stas deberan hacerse cuando: La amplitud o profundidad de las posibles modificaciones efectuadas al Sistema de Gestin as lo aconsejen. Parcialmente, cuando se implanten procedimientos nuevos o se detecten no conformidades en las reas afectadas. Cuando el nivel de los servicios de la empresa est comprometido sin causa aparente.

3. COMO GESTIONAR LA AUDITORA.

3.1. En que basarse?

El programa de auditoras internas debe basarse en:

El estado y la importancia de los procesos Las reas a auditar Los resultados de las auditoras previas

3.2. Preparacin de la auditora.

Podemos considerar la fase de preparacin como la ms crtica del proceso de auditora. Todo proceso de preparacin eficaz, incluye 7 pasos:

Definir y comprender el alcance de la auditora Revisar las normas aplicable Preparar un modelo de proceso Revisar la documentacin aplicable Revisar los resultados de las auditoras anteriores Crear una lista de comprobacin eficaz Realizar una reunin previa a la auditora

3.3. Realizacin de la auditora.

Una posible tcnica de las muchas posibles es la llamada de desglose. Consiste en pedirle al auditado que describa el proceso que se est auditando. Se prestar especial atencin a los siguientes puntos, corroborndolo todo con evidencias documentales:

Reclamaciones de los clientes de los servicios Auditoras internas anteriores Auditoras externas Informe de no conformidad de servicios (si procede) Registro de accin correctiva (si procede) Anlisis de la causa inicial (si procede) Plan de accin Verificacin Cierre

3.4. El informe de auditora.

El informe de auditora debe incluir una hoja resumen que describa la informacin clave relacionada con la auditora. Debera incluir: Los nombres de los auditores Las fechas de la auditora El alcance de la auditoria, incluyendo el proceso o procesos auditados con la referencia a la norma aplicable (si procede) y las reas o departamentos visitados durante la auditora Un resumen de no conformidades, si se encuentran Las observaciones anotadas Las oportunidades de mejora detectadas Las evidencias de mejora desde la ltima auditora Las expectativas de las respuestas a la accin correctiva

3.5. La reunin de cierre.

En ella deberan participar los directivos de las reas auditadas y los propietarios de los procesos. Debe hacerse si es posible en un plazo no superior a las 24 horas a partir de la auditora. Su propsito es garantizar que los responsables comprendan cuales son las conclusiones, por qu son sas y si procede, que tipo de accin correctiva se necesita. Debe darse a los asistentes la posibilidad de preguntar y comprender cada conclusin del informe. Por tanto, es importante que si hay PACs (Planes de accin correctiva), stos contengan la referencia de la conclusin y la evidencia objetiva especfica.

4. PROFUNDIZANDO UN POCO MS

4.1. La funcin de auditora y su estatuto

El rol de la funcin interna de auditora debera establecerse en un estatuto de auditora aprobado por los rganos de gobierno corporativo y el comit de auditora (caso de existir). Para la funcin de auditora, dicho estatuto debera establecer claramente las responsabilidades y los objetivos de la Direccin de cada rea a auditar y describir detalladamente:

La autoridad El alcance Las responsabilidades generales

Pueden contemplarse auditoras verticales, por ejemplo del departamento de SI (Sistemas de Informacin); o auditoras transversales, por ejemplo de cumplimiento de la regulacin vigente en materia de proteccin de datos. NOTA DEL EDITOR: Debe distinguirse entre el estatuto de auditora, que es un documento de alcance general que cubre todas las posibles actividades de auditora en una organizacin y una carta de compromiso que se centra en un ejercicio particular de auditora que se pretende iniciar con un objetivo especfico. Caso de externalizar determinados servicios de auditora, el alcance y los objetivos de estos servicios deben documentarse en un

contrato suscrito entre ambas partes, la organizacin que contrata y la empresa de servicios de auditora. Siempre la funcin de auditora interna debe ser independiente del rea auditada. Tiene que reportar al comit de auditora (de existir) o en su defecto al CD (Comit de Direccin) corporativa.

4.2. Planificacin de la auditora

El auditor debe desarrollar un plan de auditora que tome en consideracin los objetivos relevantes del auditado con respecto al rea auditada. La planificacin debe lograr correspondencia entre los recursos disponibles de auditora y las tareas definidas en el plan. Es importante considerar el rea bajo revisin y conocer su relacin con la organizacin desde los puntos de vista:

Estratgico Financiero Operativo

El plan estratgico de la compaa, y quiz del rea auditada, nos aportar mucha informacin. Los pasos para realizar una planificacin de auditora, segn ISACA (Information Systems Audit and Control Association), son: Lograr una comprensin de la misin, los objetivos, el propsito y los procesos del negocio, incluyendo los requerimientos de informacin y su tratamiento, tales como seguridad (disponibilidad, integridad, confidencialidad) y tecnologa empleada por la organizacin.

Identificar los contenidos especficos tales como polticas, estndares y polticas requeridas, procedimientos y estructura de la organizacin. Realizar un anlisis de riesgos para ayudar a realizar un plan de auditora. Establecer el alcance y los objetivos de la auditora. Desarrollar el enfoque de la auditora (estrategia). Asignar recursos humanos a la auditora. Dirigir la logstica del trabajo de auditora.

Para lograr la comprensin del negocio, el auditor podra apoyarse en: Lectura de informes generales del sector (publicaciones, informes anuales, benchmarks, anlisis financieros independientes). Consulta de anteriores informes de auditora o revisiones regulatorias. Revisin del negocio y sus planes estratgicos a largo plazo. Entrevistas a los directivos clave para entender pormenores del negocio. Identificar las regulaciones especficas aplicables a la empresa y su sector de actividad. Identificar las funciones que intervienen en el rea auditada, con independencia de que sean internas o externalizadas. Recorrido fsico por las instalaciones clave de la organizacin.

4.3. Efecto de las leyes y la regulacin en la planificacin

Todas las organizaciones, con independencia de su tamao, deben cumplir con la legislacin vigente.

Pasos segn ISACA que debe seguir un auditor para determinar el nivel de cumplimiento de una organizacin con los requerimientos externos: Determinar los requerimientos legales u otros externos relevantes (Datos personales, comercio electrnico, telecomunicaciones, IP (propiedad industrial), derechos de autor, firmas digitales). Documentar las leyes y regulaciones aplicables. Determinar si los rganos de gobierno corporativo han tomado en consideracin los requerimientos externos relevantes al realizar planes y establecer polticas, estndares y procedimientos. Revisar los documentos internos del departamento / funcin / actividad que se ocupan del cumplimiento de las leyes aplicables a la industria o sector de actividad. Determinar el cumplimiento con los procedimientos establecidos que se ocupan de stos requerimientos. Determinar si hay definidos procedimientos para asegurar que los contratos o acuerdos con prestadores de servicios externalizados, reflejen cualquier requerimiento legal relacionado con las responsabilidades.

4.4. Procedimientos generales de auditora

Los pasos bsicos para la realizacin de una auditora, normalmente incluyen: Obtencin del conocimiento sobre el rea / objeto de la auditora y su documentacin. Evaluacin de riesgos, planificacin general de la auditora y cronograma.

Planificacin detallada de la auditora, que incluir los pasos de la auditora necesarios y un desglose, mediante un cronograma, del trabajo planificado. Revisin preliminar del rea / objeto de la auditora. Evaluacin del rea / objeto de la auditora. Verificacin y evaluacin de la pertinencia de los controles diseados para cumplir los objetivos de control. Pruebas de cumplimiento, es decir, pruebas de la implementacin de controles y su aplicacin consistente. Pruebas sustantivas, es decir, que confirmen la exactitud de la informacin tratada. Reporte (informe de los resultados y conclusiones obtenidas en base a evidencias). Seguimiento en los casos que haya una funcin de auditora interna o as se contrate.

5. GLOSARIO.

Definiciones admitidas en general por las normas ISO, relativas a sistemas de gestin: Auditora Interna: Proceso sistemtico, independiente y documentado para obtener evidencias de la auditora y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditora. Las auditoras internas se

realizan por, o en nombre de, la propia organizacin para la revisin por la direccin y otros fines internos, su propsito es evaluar el Sistema de Gestin para mejorarlo y puede tambin constituir la base para la declaracin de conformidad. Criterios de auditora: Conjunto de polticas, procedimientos o requisitos. Evidencia de la auditora: Registros, declaraciones de hechos o cualquier otra informacin que son pertinentes para los criterios de auditora y que son verificables. Hallazgos de la auditora: Resultados de la evaluacin de la evidencia de la auditora recopilada frente a los criterios de auditora. Los hallazgos de la auditora pueden indicar conformidad o no conformidad con los criterios de auditora, u oportunidades de mejora. Conclusiones de la auditora: Resultado de una auditora que proporciona el equipo auditor tras considerar los objetivos de la auditora y todos los hallazgos de la auditora. Programa de la auditora: Conjunto de una o ms auditoras planificadas para un periodo de tiempo determinado y dirigidas hacia un propsito especfico Plan de auditora: Descripcin de las actividades y de los detalles acordados de una auditora. Alcance de la auditora: Extensin y lmites de una auditora. Incluye generalmente una descripcin de las ubicaciones, las unidades de la organizacin, las actividades y los procesos, as como el perodo de tiempo cubierto.

Auditor: Persona con la competencia para llevar a cabo una auditora. Equipo auditor: Uno o ms auditores que llevan a cabo una auditora, con el apoyo, si es necesario, de expertos tcnicos. Auditado: Responsable de un rea o persona delegada por l, que va a ser sometido a control por parte del auditor para comprobar el cumplimiento del rea a su cargo respecto del marco normativo de referencia. No conformidad mayor: incumplimiento total de una parte de la norma o un procedimiento, o no aplicacin de objetivos de control y/o controles que sean de aplicacin y no estn debidamente justificados. No conformidad menor: incumplimiento parcial de una parte de la norma o de lo dictado en alguno de los procedimientos. Observaciones: recomendaciones de mejora por parte del auditor que podran derivar en no conformidades en aos sucesivos. No sera un incumplimiento.

6. BIBLIOGRAFIA CONSULTADA.

- BS EN ISO 19011:2011. Guidelines for auditing management systems. (Incorporating corrigendum December 2011). - AENOR ediciones. Cmo gestionar con xito una auditora interna conforme a ISO 9001:2008. Ann W. Philips. 2010. - ISACA. ITAF (A Professional Practices Framework for IS Audit/Assurance). 2nd Edition. 2013. - ISACA. Marco general de estndares de aseguramiento y auditora de TI.www.isaca.org/standards .

7. DERECHOS DE AUTOR
La presente obra y su ttulo estn protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformacin de sta para generar otras basadas en ella, tambin se ven afectadas por dicho derecho. Sobre el autor:

Jos Luis Colom Planas es Director de Sistemas y Consultora en ANTARA INFORMATIC. Motivado por la Seguridad de la Informacin y la Proteccin de Datos es editor del Blog temtico Aspectos Profesionales dedicado a la Proteccin de Datos, Cloud Computing y Sistemas de Gestin. Ha cursado Ingeniera tcnica de Telecomunicaciones en la Salle Bonanova de Barcelona y est adscrito a la AEGITT (Asociacin Espaola de Graduados e Ingenieros Tcnicos de Telecomunicacin). Es Auditor e Implantador ISO 27001 (Gestin de la Seguridad de la Informacin) por AENOR. Ha obtenido la certificacin internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science). Es asociado snior de la APEP (Asociacin Profesional Espaola de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociacin Espaola para el Fomento de la Seguridad de la Informacin) y ATI (Asociacin de Tcnicos de Informtica).