¿Qué es una auditoría de cumplimiento?

Una auditoría de cumplimiento de normas es una revisión imparcial de las actividades y registros de una organización para verificar el cumplimiento de políticas, estándares y regulaciones internas y externas. Puede cubrir áreas como ciberseguridad, privacidad de datos, informes financieros y estado y seguridad.

Las auditorías de cumplimiento a menudo se llevan a cabo como parte del sistema de gestión de cumplimiento de una organización . Un sistema de gestión de cumplimiento, o CMS, es un sistema integrado que se utiliza para cumplir con los requisitos normativos, las políticas internas y los estándares de la industria.

Además de las auditorías periódicas de cumplimiento, un CMS eficaz también puede incluir una junta directiva centrada en crear una cultura de cumplimiento en la empresa; un director o gerente de cumplimiento para establecer o implementar políticas y procedimientos de cumplimiento; y monitoreo del cumplimiento, que implica supervisar las operaciones para identificar áreas de incumplimiento.

La práctica de la auditoría se afianzó de forma destacada en la sociedad durante la primera Revolución Industrial, a medida que las empresas se desarrollaban y los inversores buscaban garantías de su salud fiscal mediante auditorías de los registros financieros. A mediados del siglo XIX, el Reino Unido estableció una ley que exigía auditorías corporativas, lo que ayudó a iniciar el desarrollo de regulaciones de cumplimiento que continúan hasta el día de hoy.¹

Los requisitos de cumplimiento actuales van más allá del examen de los estados financieros para incluir una variedad de áreas, como la protección de la información confidencial o la adhesión de una organización a las regulaciones ambientales.

Para comprender la importancia de las auditorías de cumplimiento, resulta útil considerar primero el panorama actual del cumplimiento.

En todo el mundo, los gobiernos y las organizaciones de industrias aplican una amplia y diversa gama de requisitos de cumplimiento para el beneficio de los consumidores, trabajadores, inversores y otros stakeholders. Infringir estos requisitos puede dar lugar a penalizaciones masivas, sanciones y daños a la reputación.

Por ejemplo, las compañías que violen gravemente el Reglamento General de Protección de Datos de la Unión Europea pueden enfrentar a multas de hasta 20 millones de euros o el 4% de sus ingresos anuales mundiales, lo que sea mayor.

Las auditorías de cumplimiento pueden ayudar a las organizaciones a alcanzar sus objetivos empresariales evitando al mismo tiempo consecuencias tan costosas. Pueden capacitar a las organizaciones para determinar si están siguiendo sus propias mejores prácticas de gestión de riesgos, identificando si están en peligro de incumplimiento y revelando cuándo es necesaria una acción correctiva. Las auditorías también proporcionan garantías a los stakeholders con respecto a los esfuerzos de cumplimiento normativo por parte de la organización.

El término auditoría de cumplimiento se utiliza a menudo para referirse específicamente a una auditoría externa, realizada por auditores externos independientes. Sin embargo, las auditorías internas, ejecutadas por un auditor interno o un equipo de auditoría dentro de la empresa, también pueden caer bajo el paraguas de las auditorías de cumplimiento.

Las auditorías internas de cumplimiento a menudo se centran en el cumplimiento de una empresa con sus propias políticas y procedimientos, así como en la mejora de la eficiencia de los procesos empresariales y las actividades de gestión de riesgos. Sin embargo, las auditorías externas suelen realizarse con el fin de garantizar a los stakeholders externos que una empresa se adhiere a estándares externos, como las regulaciones del gobierno.

En ambos casos, el proceso de auditoría debe llevarse a cabo de manera imparcial para que sus resultados (hallazgos y recomendaciones recopilados en un informe de auditoría) puedan utilizarse para ayudar a las organizaciones y a los responsables de cumplimiento a mantener el cumplimiento continuo e identificar posibles riesgos de cumplimiento.

Los procedimientos de auditoría pueden evaluar la alineación de las compañías con los estándares de cumplimiento para diferentes áreas y disciplinas. Estas incluyen:

• Ciberseguridad
• Privacidad y protección de datos
• Informes financieros y seguridad
• Ambiental, social y gobernanza (ESG)
• Salud y seguridad

Las auditorías de las prácticas de ciberseguridad de las organizaciones pueden ayudar a garantizar que cuenten con las medidas adecuadas para gestionar y responder a las amenazas cibernéticas que van desde el phishing hasta el malware.

Un estándar comúnmente utilizado para las auditorías de ciberseguridad es el Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. marco de ciberseguridad (NIST CSF). Este estándar proporciona orientación y mejores prácticas que las organizaciones del sector privado pueden seguir para mejorar la seguridad de la información y la gestión de riesgos de ciberseguridad. El marco cubre una serie de medidas de ciberseguridad que incluyen evaluación, administración de identidad, control de acceso, planificación de respuestas y actividades de recuperación.

Otro estándar importante que sustenta las auditorías de ciberseguridad es ISO/IEC 27001, también conocido como ISO 27001. El estándar global de seguridad de la información, desarrollado conjuntamente por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional, es un conjunto de requisitos para los sistemas de gestión de seguridad de la información dentro de una organización. En efecto, proporciona una infraestructura para que las organizaciones administren y protejan sus datos confidenciales y otra información, reduciendo el riesgo de filtraciones de datos, ciberataques y otros incidentes de seguridad.

Además, existe una auditoría de ciberseguridad diseñada específicamente para proveedores de servicios. Los informes de control de organización de servicios (SOC) son informes independientes de terceros emitidos por asesores certificados por el American Institute of Certified Public Accountants (AICPA) para abordar los riesgos asociados con un servicio subcontratado. Un informe SOC 2 evalúa los controles internos que una organización ha implementado para proteger los datos propiedad del cliente y proporciona detalles sobre la naturaleza de esos controles internos.

Aunque las auditorías de ciberseguridad suelen incluir un examen de las medidas de protección de datos de una organización, las auditorías basadas en determinadas leyes y normativas se centran específicamente en este ámbito. Entre ellas se incluyen auditorías alineadas con las leyes que protegen la información del consumidor y la privacidad de los datos sanitarios.

Las leyes que se aplican ampliamente a los consumidores incluyen el Reglamento General de Protección de Datos de la UE (GDPR) y la California Consumer Privacy Act (CCPA). Para el cumplimiento del RGPD, las empresas deben utilizar formas legalmente aprobadas para transferir y procesar datos personales; proteger los datos personales en reposo y en tránsito; y respetar los derechos de los residentes de la UE, según lo establecido por la ley, sobre la recopilación, el uso y la posesión de datos personales.

Para cumplir con la CCPA, las empresas deben cumplir con las pautas que cubren múltiples tipos de datos personales para los residentes de California, incluida la fecha de nacimiento, el número de licencia del controlador, el número de pasaporte, la información de la cuenta bancaria y los números de tarjeta de crédito o débito.

Un tipo clave de auditoría de cumplimiento en la privacidad de la salud es la auditoría de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Las entidades cubiertas por esta ley de EE. UU., incluidos los proveedores de atención médica como médicos y hospitales, así como las compañías de seguros de salud, y sus asociados comerciales afiliados deben implementar y mantener un conjunto de controles técnicos, administrativos y físicos diseñados para salvaguardar la información de salud protegida.

Las auditorías de los estados financieros y los controles de seguridad de las organizaciones pueden evaluar su cumplimiento de leyes, como la Ley Sarbanes-Oxley (SOX) y las normas de las industrias, como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

La Ley SOX es una ley estadounidense destinada a prevenir el fraude corporativo. Requiere que las empresas públicas implementen controles internos para proteger los datos financieros de la manipulación; presentar informes periódicos ante la Comisión de Bolsa y Valores (SEC) que acrediten la eficacia de los controles de seguridad y la exactitud de las divulgaciones financieras; y aprobar una auditoría anual independiente de sus estados financieros y controles.

El PCI DSS es un conjunto de requisitos de seguridad para proteger los datos del titular de la tarjeta, como los números de cuenta principales (PAN), los nombres, las fechas de caducidad y los códigos de servicio, y otra información confidencial a lo largo de su ciclo de vida.

El cumplimiento de PCI DSS exige informes anuales por parte de los comerciantes y proveedores de servicios, e informes adicionales tras los cambios importantes en el entorno de datos de los titulares de tarjetas. La validación del cumplimiento también implica una evaluación continua de la posición de seguridad de una organización y una corrección continua para abordar cualquier brecha en la política, la tecnología o los procedimientos de seguridad.

Las auditorías ambientales, sociales y de gobernanza (ESG) pueden determinar si las empresas cumplen con las leyes y las infraestructuras/marcos relacionados con el impacto ambiental y social. Estos incluyen la Directiva de Informes de Sustentabilidad Corporativa (CSRD) de la UE, las regulaciones de la Agencia de Protección Ambiental de EE. UU., la Iniciativa de Informes Globales (GRI) y los Estándares de la Junta de Normas de Contabilidad de Sustentabilidad (SASB).

Las auditorías de seguridad evalúan si las organizaciones cumplen con las normas y reglamentos diseñados para proteger el estado y la seguridad de los trabajadores. Las principales normas incluyen ISO 45001, una norma global de salud y seguridad desarrollada por la Organización Internacional de Normalización y, en Estados Unidos, las reglas de seguridad en el lugar de trabajo establecidas y aplicadas por la Administración de Seguridad y Salud Ocupacional (OSHA). 

La naturaleza de una auditoría de cumplimiento puede variar según el tipo de auditoría, el programa de cumplimiento, la organización y el sector. Sin embargo, hay pasos que los auditores de cumplimiento suelen seguir durante el proceso de auditoría de cumplimiento. Entre ellos figuran:

Paso 1: Planificación de la auditoría

Determine el alcance de la auditoría, sus objetivos y los recursos que requerirá. Una lista de verificación de auditoría de cumplimiento que mapee el proceso puede resultar útil.

Paso 2: Revisión de documentos

Revise las políticas y procedimientos de la empresa, así como cualquier otro documento relevante, como diversos registros y contratos.

Paso 3: Realizar investigaciones adicionales

Entreviste a los empleados y/o gerentes. Si corresponde, observe las operaciones y los procesos internos.

Paso 4: compilar un informe de auditoría de cumplimiento

Documentar resultados, hallazgos y recomendaciones para la mejora continua o acciones correctivas.

Paso 5: Participar en el seguimiento

Vigilar los avances en la implementación de las medidas o acciones recomendadas.

Las soluciones de software pueden ayudar a las organizaciones a realizar un seguimiento de su cumplimiento de los requisitos de cumplimiento y prepararse para las auditorías de cumplimiento. Las soluciones líderes ofrecen capacidades como: