Aspectos profesionales: Protección de Datos, Cloud Computing y Sistemas de Gestión.

Blog dedicado a compatibilizar INNOVACIÓN con GRC (Gobierno, Riesgo y Cumplimiento normativo) en las organizaciones. Trata COMPLIANCE penal de la PJ y PBC/FT para Sujetos Obligados. Se alinea con Derecho Digital (TIC) focalizando en Privacidad con visión jurídica y organizativa. Incluye Sistemas de Gestión de la Seguridad de la Información (SGSI) bajo ISO27001 y ENS. Analiza tendencias tecnológicas innovadoras junto a sus cláusulas contractuales.

viernes, 31 de agosto de 2012

AUDITORIAS INTERNAS DE LOS SISTEMAS DE GESTIÓN

Resumen: Para realizar una auditoría con éxito y alcanzar un resultado favorable, deben conocerse las mejores prácticas de auditoría y los requerimientos relacionados con la misión y actividad del auditor.

Autor del artículo		Colaboración
JOSÉ LUIS COLOM PLANAS		MARGARITA PARDO DE SANTAYANA C.
Actualizado	19 de septiembre de 2013

ÍNDICE.

1. INTRODUCCIÓN

2. FORMALIZACIÓN

3. CÓMO GESTIONAR LA AUDITORÍA

3.1. ¿En qué basarse?

3.2. Preparación de la auditoría

3.3. Realización de la auditoría

3.4. El informe de auditoría

3.5. La reunión de cierre

4. PROFUNDIZANDO UN POCO MÁS

4.1. La función de auditoría y su estatuto

4.2. Planificación de la auditoría

4.3. Efecto de las leyes y la regulación en la planificación

4.4. Procedimientos generales de auditoría

5. GLOSARIO

6. BIBLIOGRAFIA CONSULTADA

7. DERECHOS DE AUTOR

1. INTRODUCCIÓN.

Muchos piensan que las auditorías internas, realizadas por personal de la propia empresa, son únicamente un paso previo para preparar las auditorías de certificación o recertificación que marca el cumplimiento de una norma. No es así.

En noviembre de 2011 se publicó la última versión del estándar relativo a Auditorías, norma ISO 19011:2011 “DIRECTRICES PARA LA AUDITORIA DE LOS SISTEMAS DE GESTIÓN” que sustituye a la del año 2002. Ya en el título del estándar se reconoce el primer cambio: No es aplicable sólo a Sistemas de Gestión de Calidad o Medio Ambiental. Sino en general a cualquier Sistema de Gestión.

De hecho cada uno de estos estándares de sistemas de gestión orientados a procesos y basados en el “Ciclo de Deming” de Mejora continua, recogen un apartado específico dedicado a la realización de Auditorías internas del propio SG que se tenga implantado: ISO9001:2008, ISO20000:2011, ISO27001:2013, ISO22301:2012, …

Las auditorías internas son esenciales en los Sistemas de Gestión (certificados o no) y están íntimamente ligadas con las revisiones necesarias por parte de la Dirección. Proporcionan la base para el establecimiento de acciones correctivas y preventivas.

No olvidemos LO QUE NO SE AUDITA, mide o comprueba, no se conoce y por tanto NO SE PUEDE MEJORAR.

De la experiencia se deduce que si la auditoría interna está bien llevada, permite además vislumbrar opciones de mejora adicionales en los procesos y procedimientos de la empresa, que en una “auditoría de certificación” podrían pasar inadvertidos.

Cuántas veces la empresa prepara las reuniones que han de tener con el auditor externo que debe certificarles, mediante directrices a los empleados como la siguiente: “vosotros limitaros a contestar las preguntas del auditor y no comentéis nada mas”.

En la auditoría interna sin embargo los empleados pueden sincerarse, dado que no peligra la certificación.

El objetivo que se persigue con la auditoría interna es doble:

Por un lado, efectivamente preparar la consecución y/o renovación de la certificación ISO de la empresa en caso de que éste sea un interés del negocio.
Por otro, lograr lo que realmente interesa: optimizar para mejorar la eficacia y la eficiencia en la gestión, y en consecuencia los resultados de la empresa, asegurando que el sistema de gestión continúa siendo adecuado a la realidad de la empresa.

2. FORMALIZACIÓN.

Cada norma ISO incorpora un capítulo sobre las auditorías internas. No solo eso, sino que si consultamos que dice la norma ISO 19011:2011 “DIRECTRICES PARA LA AUDITORIA DE LOS SISTEMAS DE GESTIÓN”, en el capítulo 3.1 “Definiciones de auditoría”, dice textualmente:

- Las auditorías internas, denominadas en algunos casos como auditorías de primera parte, se realizan por, o en nombre de, la propia organización, para la revisión por la dirección y con otros fines internos (por ejemplo para confirmar el funcionamiento previsto del sistema de gestión o para obtener información para la mejora del sistema de gestión), y pueden constituir la base para una autodeclaración de conformidad de una organización.

- Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes y externas, tales como aquellas que proporcionan el registro o la certificación de conformidad de acuerdo con los requisitos de las Normas ISO.

Se ve claramente la desvinculación de objetivos entre una y otra. Además, con independencia de la periodicidad de auditorías internas definida en el propio SG, éstas deberían hacerse cuando:

La amplitud o profundidad de las posibles modificaciones efectuadas al Sistema de Gestión así lo aconsejen.
Parcialmente, cuando se implanten procedimientos nuevos o se detecten no conformidades en las áreas afectadas.
Cuando el nivel de los servicios de la empresa está comprometido sin causa aparente.

3. COMO GESTIONAR LA AUDITORÍA.

3.1. ¿En que basarse?

El programa de auditorías internas debe basarse en:

El estado y la importancia de los procesos
Las áreas a auditar
Los resultados de las auditorías previas

3.2. Preparación de la auditoría.

Podemos considerar la fase de preparación como la más crítica del proceso de auditoría. Todo proceso de preparación eficaz, incluye 7 pasos:

Definir y comprender el alcance de la auditoría
Revisar las normas aplicable
Preparar un modelo de proceso
Revisar la documentación aplicable
Revisar los resultados de las auditorías anteriores
Crear una lista de comprobación eficaz
Realizar una reunión previa a la auditoría

3.3. Realización de la auditoría.

Una posible técnica de las muchas posibles es la llamada “de desglose”. Consiste en pedirle al auditado que describa el proceso que se está auditando.

Se prestará especial atención a los siguientes puntos, corroborándolo todo con evidencias documentales:

Reclamaciones de los clientes de los servicios
Auditorías internas anteriores
Auditorías externas
Informe de no conformidad de servicios (si procede)
Registro de acción correctiva (si procede)
Análisis de la causa inicial (si procede)
Plan de acción
Verificación
Cierre

3.4. El informe de auditoría.

El informe de auditoría debe incluir una hoja resumen que describa la información clave relacionada con la auditoría. Debería incluir:

Los nombres de los auditores
Las fechas de la auditoría
El alcance de la auditoria, incluyendo el proceso o procesos auditados con la referencia a la norma aplicable (si procede) y las áreas o departamentos visitados durante la auditoría
Un resumen de no conformidades, si se encuentran
Las observaciones anotadas
Las oportunidades de mejora detectadas
Las evidencias de mejora desde la última auditoría
Las expectativas de las respuestas a la acción correctiva

3.5. La reunión de cierre.

En ella deberían participar los directivos de las áreas auditadas y los propietarios de los procesos.

Debe hacerse si es posible en un plazo no superior a las 24 horas a partir de la auditoría. Su propósito es garantizar que los responsables comprendan cuales son las conclusiones, por qué son ésas y si procede, que tipo de acción correctiva se necesita.

Debe darse a los asistentes la posibilidad de preguntar y comprender cada conclusión del informe.

Por tanto, es importante que si hay PACs (Planes de acción correctiva), éstos contengan la referencia de la conclusión y la evidencia objetiva específica.

4. PROFUNDIZANDO UN POCO MÁS

4.1. La función de auditoría y su estatuto

El rol de la “función interna de auditoría” debería establecerse en un “estatuto de auditoría” aprobado por los órganos de gobierno corporativo y el “comité de auditoría” (caso de existir).

Para la función de auditoría, dicho estatuto debería establecer claramente las responsabilidades y los objetivos de la Dirección de cada área a auditar y describir detalladamente:

La autoridad
El alcance
Las responsabilidades generales

Pueden contemplarse auditorías verticales, por ejemplo del departamento de SI (Sistemas de Información); o auditorías transversales, por ejemplo de cumplimiento de la regulación vigente en materia de protección de datos.

NOTA DEL EDITOR: Debe distinguirse entre el estatuto de auditoría, que es un documento de alcance general que cubre todas las posibles actividades de auditoría en una organización y una carta de compromiso que se centra en un ejercicio particular de auditoría que se pretende iniciar con un objetivo específico.

Caso de externalizar determinados servicios de auditoría, el alcance y los objetivos de estos servicios deben documentarse en un contrato suscrito entre ambas partes, la organización que contrata y la empresa de servicios de auditoría.

Siempre la función de auditoría interna debe ser independiente del área auditada. Tiene que reportar al comité de auditoría (de existir) o en su defecto al CD (Comité de Dirección) corporativa.

4.2. Planificación de la auditoría

El auditor debe desarrollar un plan de auditoría que tome en consideración los objetivos relevantes del auditado con respecto al área auditada.

La planificación debe lograr correspondencia entre los recursos disponibles de auditoría y las tareas definidas en el plan.

Es importante considerar el área bajo revisión y conocer su relación con la organización desde los puntos de vista:

Estratégico
Financiero
Operativo

El plan estratégico de la compañía, y quizá del área auditada, nos aportará mucha información.

Los pasos para realizar una planificación de auditoría, según ISACA (Information Systems Audit and Control Association), son:

Lograr una comprensión de la misión, los objetivos, el propósito y los procesos del negocio, incluyendo los requerimientos de información y su tratamiento, tales como seguridad (disponibilidad, integridad, confidencialidad) y tecnología empleada por la organización.
Identificar los contenidos específicos tales como políticas, estándares y políticas requeridas, procedimientos y estructura de la organización.
Realizar un análisis de riesgos para ayudar a realizar un plan de auditoría.
Establecer el alcance y los objetivos de la auditoría.
Desarrollar el enfoque de la auditoría (estrategia).
Asignar recursos humanos a la auditoría.
Dirigir la logística del trabajo de auditoría.

Para lograr la comprensión del negocio, el auditor podría apoyarse en:

Lectura de informes generales del sector (publicaciones, informes anuales, benchmarks, análisis financieros independientes…).
Consulta de anteriores informes de auditoría o revisiones regulatorias.
Revisión del negocio y sus planes estratégicos a largo plazo.
Entrevistas a los directivos clave para entender pormenores del negocio.
Identificar las regulaciones específicas aplicables a la empresa y su sector de actividad.
Identificar las funciones que intervienen en el área auditada, con independencia de que sean internas o externalizadas.
Recorrido físico por las instalaciones clave de la organización.

4.3. Efecto de las leyes y la regulación en la planificación

Todas las organizaciones, con independencia de su tamaño, deben cumplir con la legislación vigente.

Pasos según ISACA que debe seguir un auditor para determinar el nivel de cumplimiento de una organización con los requerimientos externos:

Determinar los requerimientos legales u otros externos relevantes (Datos personales, comercio electrónico, telecomunicaciones, IP (propiedad industrial), derechos de autor, firmas digitales…).
Documentar las leyes y regulaciones aplicables.
Determinar si los órganos de gobierno corporativo han tomado en consideración los requerimientos externos relevantes al realizar planes y establecer políticas, estándares y procedimientos.
Revisar los documentos internos del departamento / función / actividad que se ocupan del cumplimiento de las leyes aplicables a la industria o sector de actividad.
Determinar el cumplimiento con los procedimientos establecidos que se ocupan de éstos requerimientos.
Determinar si hay definidos procedimientos para asegurar que los contratos o acuerdos con prestadores de servicios externalizados, reflejen cualquier requerimiento legal relacionado con las responsabilidades.

4.4. Procedimientos generales de auditoría

Los pasos básicos para la realización de una auditoría, normalmente incluyen:

Obtención del conocimiento sobre el área / objeto de la auditoría y su documentación.
Evaluación de riesgos, planificación general de la auditoría y cronograma.
Planificación detallada de la auditoría, que incluirá los pasos de la auditoría necesarios y un desglose, mediante un cronograma, del trabajo planificado.
Revisión preliminar del área / objeto de la auditoría.
Evaluación del área / objeto de la auditoría.
Verificación y evaluación de la pertinencia de los controles diseñados para cumplir los objetivos de control.
Pruebas de cumplimiento, es decir, pruebas de la implementación de controles y su aplicación consistente.
Pruebas sustantivas, es decir, que confirmen la exactitud de la información tratada.
Reporte (informe de los resultados y conclusiones obtenidas en base a evidencias).
Seguimiento en los casos que haya una función de auditoría interna o así se contrate.

5. GLOSARIO.

Definiciones admitidas en general por las normas ISO, relativas a sistemas de gestión:

Auditoría Interna: Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría. Las auditorías internas se realizan por, o en nombre de, la propia organización para la revisión por la dirección y otros fines internos, su propósito es evaluar el Sistema de Gestión para mejorarlo y puede también constituir la base para la declaración de conformidad.

Criterios de auditoría: Conjunto de políticas, procedimientos o requisitos.

Evidencia de la auditoría: Registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables.

Hallazgos de la auditoría: Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría. Los hallazgos de la auditoría pueden indicar conformidad o no conformidad con los criterios de auditoría, u oportunidades de mejora.

Conclusiones de la auditoría: Resultado de una auditoría que proporciona el equipo auditor tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría.

Programa de la auditoría: Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico

Plan de auditoría: Descripción de las actividades y de los detalles acordados de una auditoría.

Alcance de la auditoría: Extensión y límites de una auditoría. Incluye generalmente una descripción de las ubicaciones, las unidades de la organización, las actividades y los procesos, así como el período de tiempo cubierto.

Auditor: Persona con la competencia para llevar a cabo una auditoría.

Equipo auditor: Uno o más auditores que llevan a cabo una auditoría, con el apoyo, si es necesario, de expertos técnicos.

Auditado: Responsable de un área o persona delegada por él, que va a ser sometido a control por parte del auditor para comprobar el cumplimiento del área a su cargo respecto del marco normativo de referencia.

No conformidad mayor: incumplimiento total de una parte de la norma o un procedimiento, o no aplicación de objetivos de control y/o controles que sean de aplicación y no estén debidamente justificados.

No conformidad menor: incumplimiento parcial de una parte de la norma o de lo dictado en alguno de los procedimientos.

Observaciones: recomendaciones de mejora por parte del auditor que podrían derivar en no conformidades en años sucesivos. No sería un incumplimiento.

6. BIBLIOGRAFIA CONSULTADA.

- BS EN ISO 19011:2011. Guidelines for auditing management systems. (Incorporating corrigendum December 2011).

- AENOR ediciones. Cómo gestionar con éxito una auditoría interna conforme a ISO 9001:2008. Ann W. Philips. 2010.

- ISACA. “Marco general de estándares de aseguramiento y auditoría de TI”. www.isaca.org/standards .

7. DERECHOS DE AUTOR

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Sobre el autor:

José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.