Gestión de activos Operaciones de negocio Sostenibilidad

¿Qué es una auditoría de cumplimiento?

Una mujer con una tablet se encuentra en un balcón con vistas a la planta de una fábrica.

Autores

Alice Gomstyn

Staff Writer

IBM Think

Alexandra Jonker

Staff Editor

IBM Think

¿Qué es una auditoría de cumplimiento?

Una auditoría de cumplimiento es una revisión imparcial de las actividades y registros de una organización para verificar el cumplimiento de las políticas, normas y reglamentos internos y externos. Puede cubrir áreas como la ciberseguridad, la protección de datos, la información financiera, la salud y la seguridad.

 

Las auditorías de cumplimiento suelen realizarse como parte del sistema de gestión del cumplimiento de una organización. Un sistema de gestión de cumplimiento, o CMS, es un sistema integrado que se utiliza para cumplir los requisitos normativos, las políticas internas y las normas del sector.

Además de las auditorías periódicas de cumplimiento, un CMS eficaz también puede incluir una junta directiva centrada en crear una cultura de cumplimiento en la empresa; un director o gestor de cumplimiento para establecer o implementar políticas y procedimientos de cumplimiento; y la monitorización del cumplimiento, que implica la vigilancia de las operaciones para identificar áreas de incumplimiento.

La práctica de la auditoría se afianzó de forma destacada en la sociedad durante la primera Revolución Industrial, a medida que las empresas se desarrollaban y los inversores buscaban garantías de su salud fiscal mediante auditorías de los registros financieros. A mediados del siglo XIX, el Reino Unido estableció una ley que exigía auditorías corporativas, lo que ayudó a iniciar el desarrollo de regulaciones de cumplimiento que continúan hasta el día de hoy1.

Los requisitos de cumplimiento actuales van más allá del examen de los estados financieros para incluir una variedad de áreas, como la protección de la información confidencial o la adhesión de una organización a las regulaciones ambientales.

¿Por qué son importantes las auditorías de cumplimiento?

Para comprender la importancia de las auditorías de cumplimiento, resulta útil considerar primero el panorama actual del cumplimiento.

En todo el mundo, los gobiernos y las organizaciones de sectores aplican una amplia y diversa gama de requisitos de cumplimiento para el beneficio de los consumidores, trabajadores, inversores y otras partes interesadas. Infringir estos requisitos puede dar lugar a penalizaciones masivas, sanciones y daños a la reputación.

Por ejemplo, las empresas que infrinjan gravemente el Reglamento General de Protección de Datos de la Unión Europea pueden enfrentarse a multas de hasta 20 millones de euros o el 4 % de sus ingresos anuales en todo el mundo, lo que sea mayor.

Las auditorías de cumplimiento pueden ayudar a las organizaciones a alcanzar sus objetivos empresariales evitando al mismo tiempo consecuencias tan costosas. Pueden capacitar a las organizaciones para determinar si están siguiendo sus propias buenas prácticas de gestión de riesgos, identificando si están en peligro de incumplimiento y revelando cuándo es necesaria una acción correctiva. Las auditorías también proporcionan garantías a las partes interesadas con respecto a los esfuerzos de cumplimiento normativo por parte de la organización.

Auditorías internas y auditorías externas: ¿cuál es la diferencia?

El término auditoría de cumplimiento se utiliza a menudo para referirse específicamente a una auditoría externa, realizada por auditores externos independientes. Sin embargo, las auditorías internas, ejecutadas por un auditor interno o un equipo de auditoría dentro de la empresa, también pueden caer bajo el paraguas de las auditorías de cumplimiento.

Las auditorías internas de cumplimiento a menudo se centran en el cumplimiento de una empresa con sus propias políticas y procedimientos, así como en la mejora de la eficiencia de los procesos empresariales y las actividades de gestión de riesgos. Sin embargo, las auditorías externas suelen realizarse con el fin de garantizar a los stakeholders externos que una empresa se adhiere a estándares externos, como las regulaciones del gobierno.

En ambos casos, el proceso de auditoría debe llevarse a cabo de manera imparcial para que sus resultados (hallazgos y recomendaciones recopilados en un informe de auditoría) puedan utilizarse para ayudar a las organizaciones y a los responsables de cumplimiento a mantener el cumplimiento continuo e identificar posibles riesgos de cumplimiento.

¿Cuáles son los diferentes tipos de auditorías de cumplimiento?

Los procedimientos de auditoría pueden evaluar la alineación de las empresas con las normas de cumplimiento en diferentes áreas y disciplinas. Entre ellos figuran:

  • Ciberseguridad
  • Privacidad y protección de datos
  • Informes financieros y seguridad
  • Criterios medioambientales, sociales y de gobernanza (ASG)
  • Salud y seguridad

Ciberseguridad

Las auditorías de las prácticas de ciberseguridad de las organizaciones pueden ayudar a garantizar que cuentan con las medidas adecuadas para gestionar y responder a las ciberamenazas, desde el phishing hasta el malware.

Un estándar comúnmente utilizado para las auditorías de ciberseguridad es el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF). Esta norma proporciona orientación y buenas prácticas que las organizaciones del sector privado pueden seguir para mejorar la seguridad de la información y la gestión de riesgos de ciberseguridad. El marco abarca una serie de medidas de ciberseguridad, como la evaluación de riesgos, la gestión de identidades, el control de acceso, la planificación de la respuesta y las actividades de recuperación.

Otra norma importante que sustenta las auditorías de ciberseguridad es la ISO/IEC 27001, también conocida como ISO 27001. El estándar global de seguridad de la información, desarrollado conjuntamente por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional, es un conjunto de requisitos para los sistemas de gestión de la seguridad de la información dentro de una organización. De hecho, proporciona un marco para que las organizaciones gestionen y protejan sus datos confidenciales y otra información, reduciendo el riesgo de vulneraciones de datos, ciberataques y otros incidentes de seguridad.

Además, hay una auditoría de ciberseguridad diseñada específicamente para los proveedores de servicios. Los informes de Control de Organización de Servicios (SOC) son informes independientes de terceros emitidos por evaluadores certificados por el Instituto Americano de Contadores Públicos Certificados (AICPA) para abordar el riesgo asociado a un servicio subcontratado. Un informe SOC 2 evalúa los controles internos que una organización ha implementado para proteger los datos propiedad del cliente y proporciona detalles sobre la naturaleza de esos controles internos.

Privacidad y protección de datos

Aunque las auditorías de ciberseguridad suelen incluir un examen de las medidas de protección de datos de una organización, las auditorías basadas en determinadas leyes y normativas se centran específicamente en este ámbito. Entre ellas se incluyen auditorías alineadas con las leyes que protegen la información del consumidor y la privacidad de los datos sanitarios.

Las leyes que se aplican ampliamente a los consumidores incluyen el Reglamento General de Protección de Datos (RGPD) de la UE y la California Consumer Privacy Act (CCPA). Para cumplir con el RGPD, las empresas deben utilizar formas legalmente aprobadas para transferir y procesar datos personales; proteger los datos personales en reposo y en tránsito; y respetar los derechos de los residentes de la UE, tal como establece la ley, sobre la recopilación, el uso y la posesión de datos personales.

Para cumplir con la CCPA, las empresas deben cumplir con las pautas que cubren múltiples tipos de datos personales para los residentes de California, incluida la fecha de nacimiento, el número de licencia del controlador, el número de pasaporte, la información de la cuenta bancaria y los números de tarjeta de crédito o débito.

Un tipo clave de auditoría de cumplimiento en la privacidad de la salud es la auditoría de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Las entidades cubiertas por esta ley de EE. UU., incluidos los proveedores sanitarios, como médicos y hospitales, así como las compañías de seguros de salud, y sus socios comerciales afiliados deben implementar y mantener un conjunto de controles técnicos, administrativos y físicos diseñados para salvaguardar la información médica protegida (PHI).

Informes financieros y seguridad

Las auditorías de los estados financieros y los controles de seguridad de las organizaciones pueden evaluar su cumplimiento de leyes como la Ley Sarbanes-Oxley (SOX) y normas del sector como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

La Ley SOX es una ley estadounidense destinada a prevenir el fraude corporativo. Requiere que las empresas públicas implementen controles internos para proteger los datos financieros de la manipulación; presentar informes periódicos ante la Comisión de Bolsa y Valores (SEC) que acrediten la eficacia de los controles de seguridad y la exactitud de las divulgaciones financieras; y aprobar una auditoría anual independiente de sus estados financieros y controles.

El PCI DSS es un conjunto de requisitos de seguridad para proteger los datos del titular de la tarjeta, como los números de cuenta principales (PAN), los nombres, las fechas de caducidad y los códigos de servicio, y otra información confidencial a lo largo de su ciclo de vida.

El cumplimiento de PCI DSS exige informes anuales por parte de los comerciantes y proveedores de servicios, e informes adicionales tras los cambios importantes en el entorno de datos de los titulares de tarjetas. La validación del cumplimiento también implica una evaluación continua de la posición de seguridad de una organización y una corrección continua para abordar cualquier brecha en la política, la tecnología o los procedimientos de seguridad.

Criterios medioambientales, sociales y de gobierno (ESG)

Las auditorías ambientales, sociales y de gobierno (ESG) pueden determinar si las empresas cumplen con las leyes y los marcos voluntarios relacionados con el impacto ambiental y social. Estos incluyen la Directiva de Informes de Sostenibilidad Corporativa (CSRD) de la UE, los reglamentos de la Agencia de Protección Ambiental de los Estados Unidos, la Iniciativa Global de Presentación de Informes (GRI) y los estándares del Consejo de Normas de Contabilidad de Sostenibilidad (SASB).

Salud y seguridad

Las auditorías de seguridad evalúan si las organizaciones cumplen con las normas y reglamentos diseñados para proteger la salud y la seguridad de los trabajadores. Las principales normas incluyen la ISO 45001, una norma mundial de salud y seguridad desarrollada por la Organización Internacional de Normalización y, en EE. UU., las normas de seguridad en el lugar de trabajo establecidas y aplicadas por la Administración de Seguridad y Salud Ocupacional (OSHA). 

¿Cuáles son los pasos de una auditoría de cumplimiento?

La naturaleza de una auditoría de cumplimiento puede variar según el tipo de auditoría, el programa de cumplimiento, la organización y el sector. Sin embargo, hay pasos que los auditores de cumplimiento suelen seguir durante el proceso de auditoría de cumplimiento. Entre ellos figuran:

Paso 1: Planificar la auditoría

Determine el alcance de la auditoría, sus objetivos y los recursos que necesitará. Puede resultar útil contar con una lista de verificación de auditoría de cumplimiento que detalle el proceso.

Paso 2: Revisar documentos

Revise las políticas y procedimientos de la empresa, así como cualquier otro documento relevante, como varios registros y contratos.

Paso 3: Realizar investigaciones adicionales

Entreviste a empleados y/o gestores. Si procede, observe las operaciones y los procesos internos.

Paso 4: Elaborar un informe de auditoría de cumplimiento

Documente los resultados, los hallazgos y las recomendaciones para la mejora continua o las acciones correctivas.

Paso 5: Realizar un seguimiento

Monitorice el progreso en la implementación de las medidas o acciones recomendadas.

¿Qué es el software de cumplimiento?

Las soluciones de software pueden ayudar a las organizaciones a realizar un seguimiento de su cumplimiento de los requisitos de cumplimiento y prepararse para las auditorías de cumplimiento. Las soluciones líderes ofrecen capacidades como:

Supervisión

Monitorización en tiempo real para la seguridad de datos y la posición normativa.
Cuadros de mandos

Los paneles de control proporcionan una vista unificada de las actividades de cumplimiento.
Automatización

La captura y los informes automatizados de datos ayudan a agilizar las auditorías de cumplimiento.
Plantillas

Las plantillas listas para usar y actualizadas periódicamente simplifican la configuración de las políticas de cumplimiento.

Recursos

Descubra por qué KuppingerCole clasifica a IBM como líder

El informe de KuppingerCole sobre plataformas de seguridad de datos ofrece orientación y recomendaciones para encontrar los productos de protección y gobierno de datos sensibles que mejor se adapten a las necesidades de los clientes.
IBM® X-Force Threat Intelligence Index 2025

Obtenga información para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
El impacto económico total (TEI) de la protección de datos Guardium

Descubra los beneficios y el ROI de IBM Security Guardium Data Protection en este estudio TEI de Forrester.
Gartner Market Guide for AI TRiSM

Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con barreras de seguridad, reducir el riesgo y gestionar el proceso de gobierno para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Amplíe sus conocimientos con tutoriales gratuitos sobre seguridad

Siga unos pasos bien definidos para completar las tareas y aprenda a utilizar las tecnologías en sus proyectos de manera eficaz.
¿Qué es la gestión de identidades y accesos (IAM)?

La gestión de identidades y accesos (IAM) es una disciplina de ciberseguridad que se ocupa del acceso de los usuarios y los permisos de recursos.
Soluciones relacionadas
Soluciones de seguridad y protección de datos

Proteja los datos en varios entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.

         Explore las soluciones de seguridad de datos
    IBM Guardium

    Descubra IBM Guardium, una familia de software de seguridad de datos que protege los datos confidenciales en el entorno local y en la nube.

     

             Explore IBM Guardium
      Servicios de seguridad de datos

      IBM proporciona servicios integrales de seguridad de datos para proteger los datos empresariales, las aplicaciones y la IA.

             Explore los servicios de seguridad de datos
      Dé el siguiente paso

      Proteja los datos de su organización en nubes híbridas y simplifique los requisitos de conformidad con soluciones de seguridad de datos.

             Explore las soluciones de seguridad de datos Solicite una demostración en directo
      Notas a pie de página

      1 Why change over time the fundamental purpose of auditing?”. International Journal of Business and Management Invention. Septiembre de 2023.