Escuela de Gestión de Riesgos

Cómo diseñar programas efectivos para la auditoría interna

Escrito por Escuela de Gestión de Riesgos | 28 de enero de 2025

En esta sesión Olga Torres, directora de operaciones en Pirani, nos enseña qué es un programa/plan anual de auditorías, los elementos claves de un programa de auditoría, también nos muestra un caso práctico, diseño de programas efectivos y nos da algunos consejos adicionales.

¿Qué es un programa/plan anual de auditorías?

Un programas de auditorías según ISO 19011:2018 son las disposiciones para un conjunto de una o más auditorías planificadas para un período de tiempo específico y dirigidas a un propósito específico.

En este se define los objetivos, alcances, recursos necesarios y la programación de auditorías, permitiendo una gestión estructurada y proactiva de las actividades de auditoría interna.

ISO 19011:2018

El Plan Anual de Auditorías es un documento estratégico que establece las directrices generales para la realización de auditorías dentro de una organización durante un período determinado, típicamente un año fiscal. Este plan define los objetivos, alcances, recursos necesarios y la programación de auditorías, permitiendo una gestión estructurada y proactiva de las actividades de auditoría interna.

Normas globales de auditoría Interna 2024

Elementos claves de un programa de auditoría

  • Objetivos
  • Alcance
  • Criterios de la auditoría
  • Métodos
  • Cronograma 
  • Equipo auditor
  • Recursos necesarios

Caso práctico

"Tech Solutions", es un empresa dedica al desarrollo de software como servicio (SaaS) para empresas. La organización está interesada en auditar sus procesos internos de control de datos sensibles debido a la reciente expansión a nuevos mercados que requieren un cumplimiento más estricto de las regulaciones de privacidad y seguridad.

Diseño de programas efectivos

1. Alineación de objetivos de auditoría interna con los estratégicos

Objetivo estratégico: La empresa quiere asegurarse de que sus controles de seguridad, en particular los relacionados con la protección de datos sensibles, estén funcionando correctamente, para cumplir con GDPR y CCPA en los nuevos mercados donde ha expandido su presencia.

Objetivo Auditoria interna: El objetivo de la auditoría interna es evaluar los procesos relacionados con el almacenamiento, procesamiento y transmisión de datos sensibles para asegurarse de que cumplan con las regulaciones de privacidad.

2. Realizar evaluación de riesgos

Al revisar la matriz de riesgos, el equipo de auditoría identifica que el riesgo de acceso no autorizado a los datos sensibles tiene una alta probabilidad e impacto en el proceso de "Gestión de acceso y control de datos".

Revisión de riesgos no identificados en la matriz organizacional: El riesgo de no cumplir con la ley local de privacidad de datos en un nuevo mercado, como CCPA.

3. Definir el alcance de la auditoría y priorizar la ejecución

El alcance de la auditoría se centrará en los procesos con mayor riesgo residual (por ejemplo, Gestión de datos sensibles). 

Adicionalmente evaluar criterios como:

  • Grado de dependencia a normativas relevantes
  • Resultados auditorias previas - Hallazgos críticos y sin resolver
  • Cambios en procesos
  • Impacto de negocio
  • Fecha de última auditoría

4. Definir criterios de auditoría

  • Normas aplicables: ISO 27001, GDPR, CCPA.
  • Políticas internas: Políticas de acceso a datos, protocolos de seguridad en AWS, y políticas de gestión de datos sensibles.
  • Controles de referencia: Controles específicos definidos en el ISMS (Sistema de Gestión de Seguridad de la Información).

5. Asignar recursos adecuados

Tech Solutions debe asegurarse de asignar auditores con conocimientos en seguridad de datos y cumplimiento regulatorio. Esto es crucial para auditar procesos como el control de acceso a datos sensibles y la gestión de seguridad en la nube.

Estimar el tiempo necesario para realizar la auditoría (por ejemplo, la auditoría de Gestión de acceso y control de datos sensibles puede tomar 2 semanas).

Asegurarse de contar con herramientas adecuadas de auditoría, como software de escaneo de vulnerabilidades y herramientas de monitoreo de seguridad.

6. Desarrollar un cronograma y plan de trabajo

El equipo de auditoría debe crear un cronograma detallado basado en las prioridades de los procesos a auditar. Este cronograma debe ser lo suficientemente flexible para adaptarse a cambios regulatorios o problemas imprevistos.

7. Métodos de auditoría

  • Métodos remotos: Análisis de registros y entrevistas virtuales con el equipo técnico.
  • Métodos in situ: Inspecciones físicas y pruebas de control en la oficina principal.

Consejos adicionales

  • Mantén la Comunicación Abierta: Establece una comunicación clara entre la función de auditoría y las partes interesadas clave para asegurar que el programa esté alineado con las prioridades organizacionales.
  • Enfoque Basado en Riesgos: Asegúrate de que el programa de auditoría esté basado en los riesgos identificados, lo que permitirá una asignación más eficiente de recursos.
  • Adapta el Programa: El programa debe ser lo suficientemente flexible como para adaptarse a las circunstancias cambiantes y los nuevos riesgos.
  • Recursos Adecuados: Garantiza que el equipo de auditoría tenga las herramientas y capacitación necesarias para llevar a cabo auditorías efectivas.

Amplía tu conocimiento con este ebook 👇
Ver post completo