Auditoría interna: etapas que debes tener en cuenta
Conoce cuál es la función que cumple el área de auditoría, cuáles son las cinco etapas básicas para llevar a cabo una auditoría en tu organización y cómo hacerla más simple a través del uso de una herramienta tecnológica.
Introducción
Una auditoría interna, de acuerdo con el Instituto de Auditores Internos (IIA), se trata de “una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización”.
En general, el objetivo de la auditoría interna es brindar aseguramiento, asesoría y análisis basados en riesgos para que la organización cumpla sus objetivos y pueda mejorar la eficacia de sus procesos de gestión de riesgos, control y gobierno.
Entre otros principios, según IIA, la función de auditoría interna debe:
- Demostrar integridad.
- Ser objetiva y estar libre de influencias.
- Estar alineada con las estrategias, los objetivos y los riesgos de la organización.
- Demostrar calidad y mejora continua.
- Realizar análisis profundos, ser proactiva y estar orientada al futuro.
- Promover la mejora organizacional.
Además, quien se desempeñe como auditor debe ser una persona competente y con debido cuidado profesional, contar con los recursos adecuados y comunicarse de manera efectiva con las diferentes áreas de la organización.
A continuación podrás entender cuál es la función que cumple auditoría en las organizaciones, con base en el nuevo Modelo de las Tres Líneas del IIA; además, te contaremos sobre las etapas claves que debe tener una auditoría y cómo puedes llevarla a cabo de una manera mucho más simple y eficiente a través del sistema de gestión de Auditorías de Pirani.
Modelo de las Tres Líneas de la Auditoría Interna
Para comprender mejor la importancia que tiene el área de auditoría interna en una organización, es necesario conocer y entender en qué consiste el nuevo Modelo de las Tres Líneas de la Auditoría Interna, desarrollado por el Instituto de Auditores Internos y que sustituye o actualiza el tradicional Modelo de las Tres Líneas de Defensa.
Este nuevo Modelo, según lo planteado por el IIA, “ayuda a las organizaciones a identificar las estructuras y los procesos que mejor facilitan el logro de los objetivos y promuevan un gobierno sólido y de gestión de riesgo”.
Para Olga Torres García, directora de Operaciones en Pirani, lo que diferencia a este nuevo Modelo de Tres Líneas del Modelo de Tres Líneas de Defensa es la generación de valor en la organización gracias al trabajo coordinado de las tres líneas, las cuales son:
Primera línea
Los roles de esta línea están alineados con los procesos de producción y la prestación de servicios, incluyendo los roles de soporte. Como explica Olga Torres, son los encargados de implementar y ejecutar los procesos, las políticas, la gestión de riesgos; se trata de la operación.
Segunda línea
Los roles de esta línea asisten en la gestión de riesgos, están relacionados con el cumplimiento normativo, el control interno, la seguridad de la información, el aseguramiento de la calidad. Estos roles brindan acompañamiento a la primera línea con el fin de que ejecuten los procesos de manera correcta, es decir que sí respondan a la estrategia planteada. En síntesis, la segunda línea acompaña, asesora y apoya a la primera línea para que cumplan con los procesos establecidos.
Estas dos primeras líneas tienen una interrelación muy estrecha.
Tercera línea
Se trata de la auditoría interna, un área que debe ser independiente y proporcionar un aseguramiento objetivo. Auditoría interna se encarga de revisar y verificar que todos los procesos en la organización funcionan correctamente, para esto recogen y analizan información de lo que hacen la primera y segunda línea buscando identificar debilidades o fallas que se puedan presentar en la gestión de riesgos, el cumplimiento normativo, etc. y que no están alineadas con la estrategia organizacional.
La auditoría interna debe informar sobre sus hallazgos y observaciones a la dirección y al órgano de gobierno con el fin de promover la mejora continua.
El personal que hace parte de esta tercera línea debe caracterizarse por tener un conocimiento muy amplio del negocio, una visión estratégica, es decir, conocer muy bien todos los procesos de la organización, las políticas, los procedimientos, el contexto interno y externo, los productos y servicios que ofrece, el mercado en el que está, las normativas que le son aplicables, etc. porque todo esto les permite identificar de una mejor manera las fallas u oportunidades de mejora para el aseguramiento de la organización.
Adicionalmente, como asegura Olga Torres, la auditoría interna debe estar alineada a la estrategia organizacional, vincularse de forma diferente con todo el personal y brindar un verdadero acompañamiento a la primera y segunda línea para agregar, mantener y maximizar valor. Esta es una de las principales responsabilidades de la tercera línea.
En este Modelo de las Tres Líneas de la Auditoría Interna, también están incluidos los proveedores de aseguramiento externo, es decir los entes reguladores o entes certificadores que tienen un propósito diferente: verificar el cumplimiento de una normativa o certificar que la organización cumple con esta.
Etapas de una auditoría
Una auditoría, de acuerdo con la norma ISO 19011:2018, se trata del “proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría”.
Para realizar una auditoría en la organización, es importante conocer y tener en cuenta cinco etapas básicas:
1. Planeación o preparación de la auditoría
Para que una auditoría sea efectiva, lo primero que se debe hacer es entender el contexto de la organización, tener claro qué es lo que va a ser auditado.
Esta preparación o planeación, también conocida como contexto de la auditoría, se realiza a través de la construcción de un programa de auditoría, que según la norma ISO 19011:2018 consiste en los “acuerdos para un conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico”.
Con el sistema de gestión de Auditorías de Pirani es muy fácil crear el programa de auditorías y establecer el contexto de estas. Para hacerlo, se debe proporcionar la siguiente información:
- Nombre: que describa de manera general la auditoría a realizar. Puede estar relacionado con la normativa que va a ser auditada (ISO 9001, ISO 27001, ISO 45001, etc.) o el periodo en el que se va a realizar (primer o segundo semestre del año).
- Objetivo: se trata de establecer qué se quiere lograr con la auditoría, cuál es el propósito de realizarla. El objetivo permite orientar la auditoría, se puede tener un objetivo general y objetivos específicos.
- Alcance: una vez definido el objetivo, lo siguiente es establecer el alcance de la auditoría, es decir, la extensión y los límites que va a tener. Por ejemplo, cuáles son los procesos que van a ser auditados y con base a cuál normativa, esto acota el alcance.
- Fecha de inicio y fecha final de la auditoría: aquí se define el inicio y fin que va a tener, esto es, cuánto tiempo va a tomar realizar la auditoría según el alcance establecido. Esta fecha de inicio y de final debe contemplar todas las etapas: planeación, ejecución, remediación y cierre.
- Tipo de auditoría: se puede establecer si la auditoría a realizar es de primera parte, segunda parte o tercera parte.
- Auditor líder: la auditoría debe tener un líder principal. Generalmente, el auditor líder es la persona que tiene mayor experiencia en auditoría, es el responsable de hacer la programación inicial y a su cargo tiene al resto de auditores. Aquí hay que especificar quién es esa persona.
- Especificaciones del programa de auditoría: especificar cuál es la estrategia del programa de auditoría, cómo se va a hacer. Algunos datos que se pueden incluir son la frecuencia que va a tener, el perfil del equipo auditor, los recursos requeridos, el cronograma a seguir.
Adicionalmente, el sistema de gestión de Auditorías de Pirani permite adjuntar archivos que sean de valor para la auditoría. Un ejemplo de esto son las normas o regulaciones sobre la que se va a realizar la auditoría o las hojas de vida de los auditores.
Sumado a todo lo anterior, en esta primera etapa del contexto de la auditoría, Pirani permite especificar cuáles son los procesos que van a ser auditados, es decir, seleccionar solo aquellos que serán revisados por parte del auditor líder y su equipo de trabajo.
2. Planeación específica de la auditoría
Esta segunda etapa consiste en planear cada detalle de la auditoría a realizar, es decir, especificar los planes y las tareas que se van a ejecutar. Una buena práctica es hacer una segregación de la auditoría y esto se logra a través de planes individuales, que pueden ser para cada uno de los procesos a auditar.
Los planes de auditoría pueden ser:
- Un plan para cada proceso.
- Un plan para varios procesos.
- Varios planes para un mismo proceso.
El auditor líder, según su criterio, es quien define cómo enfrentar la auditoría de los procesos, buscando siempre que los planes a implementar den resultados y generen realmente valor para la organización.
Crear planes de auditoría en Pirani
En el sistema de gestión de Auditorías de Pirani crear estos planes es muy fácil. Lo primero es seleccionar la opción de “Agregar plan” y con esto:
- Definir el o los procesos para cada plan de auditoría. Aquí solo se toman en cuenta los procesos que fueron incluidos en el alcance de la auditoría.
- Definir el auditor responsable del plan, que debe estar en el grupo de auditores definido en la etapa de contexto.
- Fecha de inicio y finalización del plan de auditoría. Estas fechas deben estar contenidas en el programa macro de auditoría y contemplar la preparación, la ejecución, el reporte de hallazgos, la comunicación al auditado y la remediación.
- Fecha específica de la actividad. Cuándo se va a ejecutar la actividad con la persona a auditar.
Luego de haber creado y guardado estos datos del plan de auditoría, es posible agregar un mayor detalle del plan, es decir, el checklist, que le permite al auditor preparar mejor cada uno de los planes en función de lo que va a auditar y de la persona que será auditada.
Checklist en Pirani
Para detallar cada uno de los planes de auditoría creados en Pirani, hay que agregar la siguiente información:
- Ítem a evaluar. Especificar cuál ítem o numeral de la norma o regulación a auditar va a ser evaluado en ese plan de auditoría. Esto ayuda a tener una idea concreta de lo que se busca con cada plan en específico.
- Pregunta. Especificar la o las preguntas que se le van a hacer al auditado. Por buena práctica, las preguntas a realizar no deben ser muy cerradas (respuesta de Sí o No) sino preguntas abiertas que den lugar a conocer más información sobre el proceso que se está evaluando. Es muy importante tener claridad de las preguntas que se van a realizar.
- Auditados. Indicar la persona específica que va a ser auditada, en otras palabras, quién va a responder a las preguntas definidas anteriormente.
- Normas relacionadas. Seleccionar las normas que se consideraron en el contexto de la auditoría.
- Ayuda adicional. El auditor líder puede, por ejemplo, especificar qué tipo de evidencia está buscando y dejar recomendaciones para el auditor que ejecutará el plan de auditoría.
En Pirani se pueden crear cuantos ítems se necesiten, todos van a tener la misma estructura. Generalmente estos ítems están relacionados con los numerales de la norma a auditar (ISO 9001, ISO 27001, ISO 45001, etc.), pero también pueden ser según los procesos, es decir, el auditor va a verificar que los procesos se ejecutan de acuerdo a lo establecido por la organización.
Una vez se haya completado el checklist, el sistema de gestión de Auditorías de Pirani presenta un resumen del plan de auditoría que ha sido creado, con información como:
- Ítems a evaluar
- Fecha de inicio y fecha de finalización
- Proceso a auditar
- Auditor responsable
- Persona a auditar
- Normas relacionadas
3. Ejecución de la auditoría
Esta etapa consiste en llevar a cabo la auditoría que ha sido previamente planeada. En Pirani, luego de tener el plan de auditoría el responsable de esta puede dar clic en “Enviar a pendiente de ejecución”, esto quiere decir que el plan que se construyó ya no puede ser editado, ni modificado: ya se puede iniciar como tal la ejecución de la auditoría.
¿Qué información se tiene en esta etapa?
En la ejecución de la auditoría el auditor responsable podrá tener la siguiente información:
- Pregunta formulada en el plan. Esta pregunta ya no se puede editar, además, se incluyen las opciones de respuesta: Conformidad (cuando cumple con lo que se pregunta), No (cuando no cumple) y NA (no aplica, entonces no se tiene en cuenta dentro de la evaluación y calificación).
- Comentario del auditado. No es una información obligatoria, sin embargo, sí es importante porque va a ayudar al auditor a realizar un cierre adecuado de la auditoría y a identificar más fácilmente los hallazgos. Este comentario tiene que ver con lo que responde o justifica el auditado sobre lo que le están preguntando.
- Comentario del auditor. Esta información consiste en un análisis inicial del auditor sobre lo expuesto por el auditado. Aquí, por ejemplo, puede especificar qué encontró, el hallazgo: cuál fue el hecho, cuál es el requisito o elemento que evaluó y dar la información necesaria para sustentarlo. Además, aquí puede proponer o recomendar acciones a seguir durante el proceso de remediación.
- Oportunidad de mejora. Consiste en una sugerencia por parte del auditor, no es obligatorio llevarla a cabo ni cumplirla, pues podría pasar que el auditado considere que esa sugerencia no aplica para el proceso, por ende, no la realizará.
- Observaciones. Sirven para indicar que algo puede empezar a fallar o estar mal si no se hacen algunos ajustes, es decir, puede presentarse una no conformidad. Las observaciones sí deben ser remediadas por parte del auditado y pueden ser catalogadas como hallazgos primarios (de un nivel bajo).
- No conformidad. Se presenta cuando el auditado no cumple con lo que está siendo evaluado. Si el auditor selecciona la opción de respuesta “No”, el software indica que hay una no conformidad.
- Evidencias. Sin estas se puede considerar que la auditoría es fallida porque no hay manera de justificar o respaldar los hallazgos. Fotos, documentos, correos electrónicos, etc. pueden ser evidencia de la auditoría realizada y esto no solo sirve para justificar los hallazgos (lo que no está bien), también las conformidades (lo que está bien). Siempre debe haber evidencia objetiva de todo lo que se cuestiona y evalúa en la auditoría, así lo describe la norma.
Después de completar toda esta información, el auditor podrá tener una de estas dos opciones:
- Enviar a remediación. Esta opción se activa cuando se tienen hallazgos. La remediación es la cuarta etapa de una auditoría y consiste en los planes de remediación.
- Finalizar la auditoría. En caso de no haber ningún hallazgo, el auditor puede finalizar la auditoría porque no es necesaria la etapa de remediación.
4. Remediación
La etapa de remediación consiste en corregir o ajustar los hallazgos del auditor, esto lo debe hacer la persona auditada.
Luego de que el auditor termina de hacer la auditoría, a través de Pirani el auditado recibe un correo electrónico con la información de los hallazgos, un resumen de lo que encontró el auditor. Con esta información, el auditado debe crear sus planes de remediación.
La remediación consta de varias acciones:
- El auditor establece la fecha en la que el auditado debe llevar a cabo la remediación, es decir, cuánto tiempo tiene para corregir los hallazgos.
- El auditado debe crear sus planes de remediación. En el sistema de gestión de Auditorías de Pirani estos planes se pueden crear con los siguientes datos:
- Nombre
- Descripción
- Fecha de inicio y fecha de finalización (hay que tener en cuenta la fecha final de remediación establecida por el auditor)
- Responsable (quién es la persona encargada)
- Plan de actividades. Aquí se detalla cada actividad con información como: nombre, responsable específico, fecha final de la actividad y se puede agregar comentarios y adjuntar archivos.
El auditado es responsable de gestionar cada uno de los planes de remediación que cree, de hecho, un solo hallazgo puede tener varios planes de acción / remediación. - En la fecha establecida de finalización del plan de remediación, el auditor debe revisar lo que hizo el auditado. Hace una pequeña auditoría pero únicamente en función de lo que se remedió: audita lo que se hizo en los planes de remediación.
En el detalle de cada uno de los hallazgos debe especificar:
- Fue remediado: Sí o No
- Fecha de la remediación
- Evidencias: puede adjuntar nuevas evidencias (fotos, documentos u otros) para justificar si el hallazgo fue remediado o no.
Esto lo debe hacer con cada uno de los hallazgos identificados durante la etapa de ejecución. Cuando finalice esto, podrá ver el detalle o resumen del plan de auditoría realizado:
- Número de ítems evaluados
- Número de hallazgos
- Número de hallazgos remediados
- Número de hallazgos pendientes por remediar (en caso de que uno o más no hayan sido remediados)
- Fecha final de remediación.
Y cuando todos los planes de auditoría estén finalizados, el programa de auditoría queda automáticamente finalizado.
5. Cierre de la auditoría
Esta es la última etapa. Aquí el auditor líder puede generar en Pirani un informe del programa de auditoría ejecutado, es un reporte consolidado que muestra un resumen de todo lo que se auditó: procesos auditados, hallazgos encontrados, hallazgos remediados, hallazgos sin remediar, comentarios y recomendaciones de los auditores, etc.
Este informe, que el auditor líder puede descargar fácilmente en formato PDF, sirve para presentarlo a la alta gerencia o junta directiva para que conozca el detalle del proceso de auditoría que se llevó a cabo en la organización y con base en esto pueda tomar decisiones.
De esta manera, siguiendo estas 5 etapas y llevándolas a cabo con Pirani, en tu organización podrán realizar auditorías mucho más simples, eficientes y efectivas.
Referencia bibliográfica
- The Institute of Internal Auditors: Principios fundamentales de la Auditoría Interna
- The Institute of Internal Auditors: El Modelo de las Tres Líneas del IIA 2020
- Norma ISO 19011:2018: Directrices para la auditoría de los sistemas de gestión