Auditoría de cumplimiento
Una auditoría de cumplimiento es una revisión exhaustiva de la adhesión de una organización a las pautas regulatorias. Los informes de auditoría evalúan la solidez y la exhaustividad de los preparativos de cumplimiento, las políticas de seguridad, los controles de acceso de los usuarios y los procedimientos de gestión de riesgos en el transcurso de una auditoría de cumplimiento.
Lo que se examina con precisión en una auditoría de cumplimiento varía según si una organización es una empresa pública o privada, qué tipos de datos maneja y si transmite o almacena datos financieros confidenciales.
Por ejemplo, una auditoría de cumplimiento de la Ley Sarbanes-Oxley tendría que demostrar que cualquier comunicación electrónica está respaldada y asegurada con una infraestructura razonable de recuperación ante desastres. Los proveedores de atención médica que almacenan o transmiten registros de salud electrónica, incluida información personal de salud, están sujetos a las leyes y regulaciones de la Ley de Responsabilidad y Portabilidad del Seguro Médico (en Estados Unidos). Y las compañías de servicios financieros que transmiten datos de tarjetas de crédito están sujetas a los requisitos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
En cada caso, las organizaciones deben poder demostrar el cumplimiento mediante la producción de una pista de auditoría, a menudo generada con datos del software de gestión de registro de eventos, así como auditorías internas y externas.
Auditoría interna versus auditoría de cumplimiento
Los empleados de una empresa llevan a cabo auditorías internas para evaluar los riesgos generales de cumplimiento y seguridad y para determinar si la empresa sigue las pautas internas. Las auditorías internas ocurren durante todo el año fiscal y los equipos de administración pueden usar los informes para identificar las áreas que requieren mejoras. Las auditorías internas miden los objetivos de la empresa frente a la producción y los riesgos estratégicos.
Las auditorías externas son auditorías formales de cumplimiento que son realizadas por terceros independientes y siguen un formato específico que se determina en función de la normativa de cumplimiento que se evalúa. Los informes de auditoría externa miden si una organización cumple con los reglamentos, normas y estándares estatales, federales o corporativos.
Los reguladores utilizan el informe de un auditor para evaluar posibles multas por incumplimiento, o los ejecutivos de nivel directivo lo usan para probar el cumplimiento normativo. Un auditor externo de cumplimiento puede usar auditorías internas para evaluar aún más los esfuerzos de cumplimiento y gestión de riesgos regulatorios.
Procedimientos de auditoria de cumplimiento
Las auditorías externas comienzan con una reunión entre los representantes de la compañía y los auditores de cumplimiento para delinear las listas de verificación de cumplimiento, las pautas y el alcance de la auditoría. El auditor realiza revisiones del desempeño de los empleados, estudia los controles internos, evalúa los documentos y verifica el cumplimiento en los departamentos individuales.
Los auditores de cumplimiento generalmente les harán a los miembros de nivel directivo y a los administradores de TI una serie de preguntas puntuales que pueden incluir qué usuarios se agregaron y cuándo, quién dejó la compañía, si se revocaron las ID de usuario y qué administradores de TI tienen acceso a sistemas.
Los administradores de TI pueden prepararse para auditorías de cumplimiento utilizando administradores de registro de eventos y un sólido software de gestión de cambios para rastrear y documentar la autenticación y los controles en sus sistemas de TI. La creciente categoría de software de gobernanza, riesgo y cumplimiento (GRC) puede permitir que los CIOs muestren rápidamente a los auditores que una organización cumple, ayudándola a evitar multas o sanciones costosas.
Luego, los auditores revisan los procesos de cumplimiento comercial en su conjunto y crean un informe final de auditoría. Los auditores de cumplimiento brindan detalles a los líderes de la compañía sobre el nivel de cumplimiento de cumplimiento de la organización, cualquier violación y sugerencia de mejora. El informe de auditoría finalmente se publica.
Importancia de la auditoría de cumplimiento
La auditoría de cumplimiento, ya sea interna o externa, puede ayudar a una empresa a identificar las debilidades en los procesos de cumplimiento normativo y crear caminos para mejorar. En algunos casos, la orientación proporcionada por una auditoría de cumplimiento puede ayudar a reducir el riesgo, al tiempo que evita posibles problemas legales o multas federales por incumplimiento.
Al igual que las leyes que los impulsan, los programas de cumplimiento están en constante cambio a medida que las regulaciones existentes evolucionan y se implementan otras nuevas. La auditoría de cumplimiento proporciona un resumen de los procesos comerciales internos que se pueden cambiar o mejorar a medida que cambian las regulaciones y los requisitos.