Tabla de Contenidos
En la era digital actual, las auditorías de cumplimiento externas y las certificaciones de terceros (por ejemplo, SOC 2) se han vuelto cada vez más cruciales en las decisiones de compra B2B. No solo proporcionan una verificación objetiva de terceros de la postura de seguridad / cumplimiento de un proveedor, sino que las auditorías también proporcionan información útil sobre los puntos débiles o debilidades en el entorno de control interno de una organización. En otras palabras, los resultados de una auditoría formal pueden servir como receta para reducir los riesgos.
Aunque las auditorías externas formales tienen su lugar, no se debe confiar en ellas como el único medio de aprender sobre las brechas de seguridad de su organización. En el entorno de riesgo en rápida evolución de hoy en día, las organizaciones necesitan una combinación de métodos para protegerse adecuadamente. Además de las auditorías formales programadas, las organizaciones deben realizar auditorías internas de forma continua para identificar vulnerabilidades y comprender su postura de cumplimiento y seguridad.
No abordar los riesgos de forma continua es una práctica peligrosa, porque las organizaciones están expuestas a riesgos y amenazas de forma continua.
Con entornos de riesgo en rápida evolución, las organizaciones necesitan una combinación de métodos para protegerse adecuadamente. Además de las auditorías formales programadas, las organizaciones deben realizar auditorías internas para poder identificar vulnerabilidades y comprender su postura de cumplimiento y seguridad de forma continua.
De hecho, una encuesta realizada por Globalscape y el Instituto Ponemon encontró que las empresas que participaban en auditorías de cumplimiento frecuentes redujeron sus costos de cumplimiento en un promedio de $2.86 millones. Por otro lado, la encuesta encontró que las empresas que no realizan auditorías de cumplimiento en absoluto experimentan los costos de cumplimiento más altos.
Realizar auditorías internas le permite a su empresa comprender las brechas/puntos débiles en su entorno de control interno, para que pueda cerrar esas brechas antes de que los auditores externos se presenten en su oficina y tener la certeza de que superará esa auditoría externa.
En este artículo, discutiremos las diferencias críticas entre auditorías internas y externas, lo que hacen los auditores internos, los diferentes tipos de auditorías internas que su organización puede realizar, así como los pasos clave para llevar a cabo una auditoría interna exitosa.
- Papel de la Auditoría Interna
- Auditorías internas vs. Externas
- Función de Auditor Interno & Responsabilidades
- Evaluación de controles
- Evaluación de riesgos
- Análisis de operaciones
- Trabajar con otros proveedores de aseguramiento
- 5 Tipos de Auditorías internas
- Auditoría de cumplimiento de TI
- Auditoría de TI
- Auditoría financiera
- Auditoría operativa
- Auditoría de investigación
- Cómo se realiza una Auditoría Interna
- Planificación
- Trabajo de campo (también conocido como «recolección y pruebas de evidencia»)
- Reporting
- Seguimiento
- Lo que la Auditoría Interna No debe Hacer
- Hyperproof Hace que las auditorías Internas & Externas sean más Eficientes
Papel de la Auditoría Interna
Los empleados de la empresa realizan auditorías internas para evaluar los riesgos generales para el cumplimiento y la seguridad y determinar si la empresa sigue las directrices internas. Las auditorías internas deben realizarse a lo largo del año. Los equipos de gestión pueden utilizar los informes generados a partir de auditorías internas para identificar las áreas que requieren mejoras. Las auditorías internas miden los objetivos de la empresa en función de los resultados y los riesgos estratégicos.
Auditorías internas vs. Externas
Las auditorías internas y externas tienen diferentes propósitos, pero en última instancia ambas sirven para el mismo fin: asegurarse de que su empresa cumpla con las regulaciones, así como con los estándares internos/externos, para que pueda evitar interrupciones comerciales y multas, sanciones o daños a la reputación que puedan ser el resultado de violaciones de cumplimiento.
Las auditorías externas son auditorías formales realizadas por un tercero independiente. Una auditoría externa mide los procesos y controles de la organización en un momento dado en comparación con algún tipo de norma externa, como ISO 27001 o NIST 800-53. Pero también pueden ser obligatorios si una empresa tiene una violación de datos u otro evento de seguridad que no cumpla con una norma legalmente requerida.
Por otro lado, las auditorías internas son realizadas por empleados capacitados dentro de su organización. El alcance de una auditoría interna puede ser bastante limitado o relativamente amplio.
Función de Auditor Interno & Responsabilidades
Los auditores internos tienen una función única: deben ser completamente objetivos con respecto a los procesos y equipos que están evaluando, y no pueden conectarse directamente con los departamentos que están auditando. Los auditores internos suelen informar directamente a la alta dirección o a los miembros de la junta. Su trabajo consiste en evaluar objetivamente los departamentos o las funciones empresariales y cómo cumplen con los estándares establecidos. Es importante recordar que el trabajo de un auditor es, en última instancia, ayudar al negocio, y sus comentarios informan sobre cómo construir un negocio más fuerte.
El Instituto de Auditores Internos (IIA) es la asociación más grande y reconocida que sirve y establece normas para los auditores internos. Proporcionan certificaciones en diferentes áreas de auditoría interna, y desarrollaron la Guía de Normas & – Marco Internacional de Prácticas Profesionales, que proporciona a los auditores internos orientación obligatoria y recomendada sobre su función y la misión de los auditores internos.
El tipo de actividades que realiza un auditor variará un poco dependiendo del tipo de auditoría que esté realizando. Sin embargo, hay algunas actividades cruciales para cualquier tipo de auditoría interna.
Evaluación de controles
Ya sea que un auditor esté evaluando el proceso del departamento de contabilidad para las finanzas de fin de año o el cumplimiento de CCPA por parte del departamento de marketing, revisará y evaluará los controles establecidos con el fin de mitigar los riesgos y prevenir incidentes indeseables. Casi cualquier proceso de negocio necesita tener algún tipo de control y rendición de cuentas para garantizar que no haya oportunidades de recortar gastos o crear problemas. Los auditores examinan tanto los controles documentados como los controles que se están implementando para asegurarse de que se ejecutan y funcionan según lo previsto.
Evaluación de riesgos
Si bien la administración en todos los niveles necesita usar su conocimiento único para identificar los riesgos para su equipo y la organización en general, el trabajo de un auditor es evaluar esos riesgos, anticipar problemas futuros con esos riesgos y encontrar formas de controlar o eliminar esos riesgos para la organización.
Análisis de operaciones
Los auditores internos necesitan comprender los objetivos estratégicos de una organización y cómo funcionan las cosas a nivel táctico. Trabajan con gerentes de niveles inferiores, analizan las operaciones y determinan si esas operaciones se ajustan a los objetivos estratégicos de la empresa.
Trabajar con otros proveedores de aseguramiento
Los auditores internos trabajan junto con profesionales de gestión de riesgos, oficiales de cumplimiento y otros para asegurar a los ejecutivos de su empresa que los riesgos se gestionan de manera efectiva y eficiente. Mientras que muchos otros roles de proveedores de garantía implementan procesos y desarrollan controles para mitigar el riesgo, los auditores internos evalúan esos controles y procesos para asegurarse de que funcionan y cumplen con los estándares que necesitan, ya sea que se establezcan interna o externamente.
5 Tipos de Auditorías internas
Hay algunos tipos diferentes de auditorías internas, y cada uno proporciona valor. Si recién está comenzando a desarrollar su función de auditoría interna, no necesita saltar a ejecutar todas estas a la vez. Sin embargo, es una buena idea fijarse en la realización de este tipo de auditorías internas, ya que cada una de ellas le permite optimizar una parte diferente de las operaciones de su negocio.
Auditoría de cumplimiento de TI
Una auditoría interna de cumplimiento de TI revisa las prácticas de seguridad de datos de una empresa para determinar si cumplen con los marcos y estándares de seguridad de datos requeridos o elegidos y los requisitos legales que una empresa podría enfrentar con respecto a la seguridad y la privacidad de los datos. Una auditoría interna se puede utilizar como prueba para ver cómo le iría a esa empresa en una auditoría externa formal. Debido a que las consecuencias de incumplir el cumplimiento pueden ser costosas para una empresa, las auditorías de cumplimiento deben realizarse con frecuencia. Los procesos de menor riesgo y menos complejos pueden auditarse una o dos veces al año, mientras que los procesos más complicados y de mayor riesgo deben auditarse con más frecuencia (por ejemplo, semanalmente).
Auditoría de TI
Una auditoría de TI se centra en los controles y procesos de tecnología de la información. Si bien esto se superpone con una auditoría de cumplimiento, hay algunas funciones de TI que no se incluyen en las auditorías de cumplimiento que aún deben evaluarse. Además de garantizar que los controles de TI existentes salvaguardan la información, una auditoría interna de TI también examina si los procesos y activos de TI (hardware y software) funcionan de manera eficiente. A diferencia de una auditoría de cumplimiento, los procesos de TI no se comparan con un estándar externo en una auditoría de TI. En su lugar, la auditoría analiza si están sirviendo a su propósito y ayudando a la empresa a cumplir sus objetivos.
Auditoría financiera
Una auditoría financiera examina las finanzas de una empresa para garantizar que las actividades financieras se registran correctamente y que se utilizan las prácticas contables correctas. Es imperativo que este tipo de auditorías sean realizadas por alguien imparcial y desconectado de las funciones de contabilidad y finanzas de la empresa; si encuentran algo ilegal o fraudulento, deben poder ir a la administración con sus preocupaciones de inmediato.
Auditoría operativa
Una auditoría operativa se centra en el desempeño de una función de departamento o negocio. El auditor examinará los procesos y resultados del departamento y evaluará cómo contribuyen a los objetivos clave de la empresa. El auditor considerará el personal, la gestión de los activos en el departamento, los productos, la productividad y la estructura organizativa.
Auditoría de investigación
Una auditoría de investigación se realiza en respuesta a un informe o queja sobre un comportamiento sospechoso de un empleado o equipo dentro de la empresa. En este caso, la auditoría incluiría la producción de un empleado o departamento. Luego, si el informe es creíble, evaluarían el alcance de las pérdidas, determinarían qué debilidades permitieron que ocurriera y crearían recomendaciones sobre lo que se debe hacer para evitar que vuelva a ocurrir en el futuro.
Cómo se realiza una Auditoría Interna
Debido a que cada negocio es diferente y los diferentes tipos de auditorías requieren varios pasos y consideraciones, no hay un solo proceso de auditoría que funcione para cada auditoría en cada empresa. Sin embargo, puede seguir una fórmula básica para sus auditorías para asegurarse de recopilar toda la información necesaria y utilizar lo que aprende de manera efectiva. Estas son las cuatro fases de cada auditoría interna exitosa:
Planificación
Antes de iniciar una auditoría, el equipo de auditoría interna debe definir el alcance y el objetivo de la auditoría. Abordar una auditoría sin un objetivo claramente definido conduce a la pérdida de alcance, que es cuando el alcance del proyecto sigue creciendo para incluir problemas o procesos adicionales que el equipo encuentra. Decidir qué está y qué no dentro del alcance de su auditoría antes de comenzar permitirá a su equipo trabajar de manera eficiente y tomar decisiones sobre qué incluir fácilmente.
Durante esta fase, también determinará quiénes son las partes interesadas, qué propietarios de procesos participarán en la auditoría, establecerá un cronograma y revisará las auditorías anteriores (si existen) para ver si hay algún problema que deba estar preparado para enfrentar. Debe salir de esta fase de planificación con un plan de auditoría documentado que lo guiará en la ejecución de la auditoría.
En términos generales, para crear un plan de auditoría sólido, debe considerar algunos elementos:
- Normativa vigente: Comprender los requisitos reglamentarios de las áreas que auditará es fundamental para llevar a cabo una auditoría efectiva.
- Preocupaciones de los empleados: Si los empleados han expresado anteriormente preocupaciones sobre procesos específicos, debe incorporar preguntas en su plan de auditoría para profundizar en los problemas.
- Evidencia necesaria para probar controles: Debe pensar en qué tipos de evidencia necesitará recopilar para probar los controles dentro del alcance de la auditoría.
Trabajo de campo (también conocido como «recolección y pruebas de evidencia»)
El trabajo de campo generalmente implica entrevistas con los propietarios del proceso para que pueda comprender el proceso y los controles, revisar la documentación del proceso, probar los controles que se implementan actualmente para el proceso y documentar sus hallazgos y recomendaciones.
Durante este paso, debe revisar todos los datos disponibles sobre el proceso bajo auditoría. Los datos generados antes de su auditoría deben darle una visión sin filtrar de cómo funciona el proceso y si hay discrepancias entre lo que el entrevistado le está diciendo y la realidad. También potencialmente le proporcionará una copia de seguridad de sus recomendaciones cuando presente cambios que considere que deben hacerse a la administración superior.
Reporting
Una vez que haya completado su trabajo de campo, recopilará sus hallazgos y recomendaciones en un informe de auditoría. Un informe de auditoría resumirá el plan de auditoría, describirá sus resultados, específicamente, lo que encontró que no se ajustaba a las normas internas o los requisitos externos, y discutirá sus recomendaciones.
Recuerde que el objetivo de una auditoría interna es identificar problemas y elaborar un plan para mejorar los procesos o funciones. El informe de auditoría no se trata de asignar culpas o señalar con el dedo; se trata de identificar dónde no funcionan los procesos, cuáles son las consecuencias y cómo se pueden rectificar esos problemas. Los problemas identificados deben tomarse en serio y no minimizarse ni explicarse. En última instancia, el informe de auditoría debe mostrar las fortalezas de la empresa y cómo pueden resolver los problemas identificados en la auditoría.
Seguimiento
La etapa final de una auditoría es el seguimiento de las recomendaciones para garantizar la aplicación y la forma en que se han resuelto los problemas. Este seguimiento debe registrarse junto con el resto de la información de auditoría que se tendrá en cuenta en futuras auditorías.
Lo que la Auditoría Interna No debe Hacer
Los auditores internos no deben diseñar ni implementar los controles: las políticas, procedimientos, procesos y componentes técnicos establecidos dentro de su organización. Su trabajo es evaluar objetivamente los controles de los equipos de operaciones (por ejemplo, ingeniería, ventas, recursos humanos, finanzas, etc.).) se han establecido para determinar si los diseños de control son adecuados para el objetivo previsto de los controles, si los controles se aplicaron eficazmente y si los controles funcionaron de manera coherente.
Hyperproof Hace que las auditorías Internas & Externas sean más Eficientes
Hyperproof reduce la cantidad de gastos administrativos en los procesos de auditoría típicos. De hecho, la aplicación está diseñada específicamente para ayudar a los auditores internos y a los profesionales de cumplimiento a recopilar y administrar la evidencia de cumplimiento que necesitan revisar para comprender y verificar qué tan bien funcionan los procesos actuales y qué no funciona.
Hyperproof puede servir como un repositorio central para todos los requisitos de cumplimiento, evaluaciones de riesgos, controles (junto con su descripción, propietario) y evidencia de una organización. En Hyperproof, es fácil para un auditor interno hacer solicitudes para controlar a los operadores y propietarios de procesos de negocio en toda una organización para enviar pruebas que necesitan probar. Los propietarios de controles pueden venir directamente a Hyperproof para proporcionar pruebas de los controles de los que son responsables, y esa información está vinculada a una solicitud específica en su plan de auditoría.
En lugar de enviar correos electrónicos e invitaciones de calendario manuales a los colegas para recordarles que revisen las pruebas o envíen nuevas pruebas, los auditores internos pueden usar Hyperproof para emitir tareas con fechas de vencimiento y recordatorios. A continuación, se notifica automáticamente a los operadores de control cuando es el momento de revisar y presentar nuevas pruebas.
Además, los auditores internos pueden configurar Hyperproof para extraer automáticamente pruebas de la efectividad de controles específicos de muchas aplicaciones empresariales y herramientas de desarrollo (por ejemplo, solicitudes de extracción y aprobaciones de GitHub). De esta manera, los auditores internos pueden centrarse en probar la evidencia en lugar de pasar mucho tiempo tratando de recopilar los datos.
Los colegas de las unidades de negocio también se alegrarán de no tener que responder a las solicitudes de auditoría con tanta frecuencia. Una vez que un equipo de auditoría interna o de cumplimiento se siente preparado para una auditoría externa, puede «compartir su trabajo» con el auditor externo directamente en Hyperproof y exponer solo la información que desea compartir. Para obtener más información sobre Hyperproof o ver una demostración de todas sus capacidades, visite Hyperproof.io hoy.
