Durante la fase de planificación, se inicia el contacto con los clientes de la auditoría y se recopila la información de fondo pertinente para conocer el tamaño, las responsabilidades y los procedimientos vigentes del área auditada. También en esta fase se definen los objetivos de la auditoría y se determina la metodología de la misma a través de la creación de un programa de auditoría, que es el plan para llevar a cabo la auditoría y cumplir los objetivos de la misma. En la mayoría de los casos, se llevará a cabo una evaluación de riesgos del departamento y/o función para ayudar a garantizar que se incluyan las áreas adecuadas.
Carta de notificación – Con pocas excepciones, los clientes de la auditoría son notificados por escrito cuando su área es seleccionada para una auditoría; sin embargo, debido a la naturaleza de algunos trabajos de auditoría, puede darse poco o ningún aviso previo. Esta carta se envía al responsable del área que se va a auditar, así como a las personas adecuadas, como el decano, el presidente o el director. En ocasiones, se facilitará en este momento un cuestionario preliminar y/o una lista de documentos que ayudarán al equipo de auditoría a conocer la unidad o la función.
Si es la primera vez que su organización se somete a una auditoría, le recomendamos encarecidamente que comience con un análisis de carencias para que nuestros especialistas en seguridad de la información puedan identificar cualquier carencia operativa, de información y de cumplimiento de la normativa en su organización y le asesoren sobre las estrategias para remediarla. Los análisis de brechas preguntan y responden: “¿Cómo lo estamos haciendo en comparación con lo que exige la normativa?” Dependiendo de la auditoría que elija, puede someterse a un análisis de carencias a distancia o in situ. Una vez que su organización haya subsanado las deficiencias identificadas, puede comenzar la auditoría.
Para comenzar el proceso de auditoría, trabajaremos juntos para realizar ejercicios de alcance para determinar el alcance exacto del compromiso. Estos ejercicios de alcance incluirán el análisis de factores organizativos, geográficos y de sistemas. Un alcance demasiado amplio puede dar lugar a una auditoría abrumadora o demasiado exigente, mientras que un alcance más reducido dará lugar a un mayor rendimiento de la inversión y a una auditoría más precisa. Una vez que hayamos trabajado juntos para definir el alcance del compromiso, definiremos un calendario preciso e identificaremos el equipo del compromiso.
Antes de iniciar el proceso, se realiza un análisis general de la organización a auditar. De este modo, el equipo auditor puede conocer mejor cómo funcionan los procesos y cuáles son los objetivos de la entidad.
Estructura organizativa: cada uno de los elementos que ayudan a alinear todos los niveles de la organización, como las ideas rectoras, la misión, los principios, los valores, los objetivos, las metas, los procesos, los métodos, la tecnología, las finanzas, etc.
En esta fase de la auditoría interna, los datos recogidos en la etapa anterior se utilizan para crear un plan de auditoría, que debe acordarse con el cliente. El plan de auditoría debe contener la siguiente información:
El auditor principal debe definir los miembros del personal que serán responsables de realizar cada una de las actividades de la auditoría. Para que el proceso sea lo más objetivo posible, los miembros del equipo deben estar libres de conflictos de intereses y no deben estar involucrados en las actividades que están auditando.
Esta fase de la auditoría interna comienza con una reunión de apertura, en la que los miembros del equipo se presentan y se revisa el plan. También se proponen las metodologías y procedimientos que se utilizarán, se definen los recursos necesarios y se revisan los procedimientos de seguridad y emergencia.
Los procedimientos de auditoría son un área importante del programa de estudios, aunque los candidatos suelen utilizar procedimientos de auditoría inadecuados para responder a las preguntas. Los siguientes consejos le ayudarán a comprender los conceptos y a redactar procedimientos de auditoría adecuados.
Esto significa que todas las transacciones se han registrado en los estados financieros, es decir, que todos los activos, pasivos, participaciones en el capital (capital y reservas) y otros datos se han incluido en los estados financieros.
Esto significa que todas las partidas se han incluido en los estados financieros con los importes adecuados según la política de la empresa y el marco de información financiera pertinente. Además, se han realizado todas las asignaciones o ajustes de valoración necesarios (como el deterioro del valor) y la información financiera y de otro tipo se presenta de manera justa y con los importes adecuados.
La información financiera se presenta y divulga de forma adecuada, y las divulgaciones se expresan claramente para que sean comprensibles para los usuarios. Para ello, las revelaciones deben utilizar un lenguaje sencillo y exponer los asuntos de forma clara y concisa.