Programa de auditoría o plan de auditoría
Un programa de auditoría, también llamado plan de auditoría, es un plan de acción que documenta qué procedimientos seguirá un auditor para validar que una organización cumple con las regulaciones de cumplimiento.
El objetivo de un programa de auditoría es crear un marco que sea lo suficientemente detallado como para que cualquier auditor externo entienda qué exámenes oficiales se han completado, a qué conclusiones se ha llegado y cuál es el razonamiento detrás de cada conclusión. El marco debe explicar los objetivos de la auditoría, su alcance y su línea de tiempo. El programa de auditoría también debe describir cómo los documentos de trabajo –la evidencia documentada de la auditoría– serán recopilados, revisados e informados.
Objetivos de los programas de auditoría
Al desarrollar un programa de auditoría, el auditor interno y su equipo de auditoría asociado deben comenzar por delinear los objetivos, las metas y las obligaciones de la auditoría.
Los objetivos del programa de auditoría ayudan a la planificación directa del informe de auditoría y se basan en las políticas, procedimientos y directrices exclusivos de la empresa. Estos objetivos pueden relacionarse con y describir cómo los auditores mantendrán la eficiencia, el profesionalismo y un código de conducta específico durante el procedimiento de auditoría.
Además de los mandatos de cumplimiento normativo pertinentes, los objetivos de los programas de auditoría deben considerar aspectos tales como prioridades de gestión, intenciones de negocios, requisitos del sistema, estructura empresarial, mandatos legales y contractuales, las expectativas de los clientes y otras partes interesadas, posibles vulnerabilidades de gestión de riesgos y cualquier acción correctiva tomada con base en auditorías previas.
Preparación de un programa de auditoría
Los detalles del programa de auditoría son específicos para las organizaciones individuales en función de sus necesidades únicas, pero la preparación del plan de auditoría considerará los plazos reglamentarios relevantes de la auditoría, los requisitos del personal y la estructura de informes, y los objetivos generales. En particular, estos objetivos considerarán cómo la empresa mantendrá el cumplimiento normativo a través de la evaluación de riesgos y los procedimientos de gestión. El programa de auditoría también debe incluir un cronograma que detalle cuándo deben tener lugar los aspectos específicos del programa de auditoría y cómo deben priorizarse.
La planificación del programa de auditoría suele ser un proceso continuo e iterativo. Durante la planificación y el desarrollo de la auditoría, las empresas pueden aprovechar las lecciones aprendidas de las auditorías anteriores mediante la implementación de las mejores prácticas recientemente aprendidas que alivian el riesgo y mantienen el cumplimiento. Las pautas de desarrollo de auditoría y las mejores prácticas varían según la industria, pero las certificaciones de auditoría locales y regionales están disponibles, al igual que las certificaciones de auditoría reconocidas internacionalmente. Estas certificaciones incluyen Auditor Interno Certificado y Auditor de Sistemas de Información Certificado, y membresía en el Registro Internacional de Auditores Certificados.
Tipos de programas de auditoría
Los diferentes tipos de programas de auditoría incluyen programas de auditoría estandarizados, programas de auditoría personalizados y programas de auditoría de cumplimiento. Los programas de auditoría estandarizados, que están disponibles para muchas industrias diferentes, se pueden usar proactivamente para ayudar a una organización a crear su propio marco interno de cumplimiento y un programa de auditoría interna. Por ejemplo, la Federación Internacional de Contadores publica normas de auditoría financiera denominadas Normas Internacionales de Auditoría. Un programa de auditoría estandarizado es diferente a un programa de auditoría fijo, que se define como un programa de auditoría que no puede modificarse durante el curso de una auditoría.
Los programas de auditoría personalizados difieren de los programas de auditoría estandarizados en que atienden los procedimientos de auditoría para que coincidan con las necesidades específicas de la entidad de auditoría. Estos programas de auditoría se "personalizan" para hacer referencia a áreas específicas, como procedimientos de negocios, documentos y activos legales. Al enfocarse en estos requisitos específicos a través de programas de auditoría personalizados, la compañía puede identificar más rápidamente posibles fallas de cumplimiento y desarrollar controles internos para compensar estas vulnerabilidades.
Un programa de auditoría de cumplimiento describe cómo una organización se apegará a las pautas regulatorias. Los detalles del programa de auditoría de cumplimiento variarán dependiendo de factores tales como si una organización es una empresa pública o privada, qué tipo de datos maneja y si transmite o almacena datos financieros confidenciales. Por ejemplo, los requisitos de la Ley Sarbanes-Oxley establecen que las comunicaciones electrónicas deben respaldarse y protegerse con infraestructura de recuperación ante desastres, mientras que las compañías de servicios financieros que transmiten datos de tarjetas de crédito están sujetas a los requisitos del Estándar de seguridad de datos de la industria (PCI DSS). En los Estados Unidos, las empresas que cotizan en bolsa deben informar los resultados de las auditorías de control interno a la Comisión de Bolsa y Valores (SEC). En cada caso, el programa de auditoría de una organización describe cómo la empresa mantendrá el cumplimiento de las normas de cumplimiento regulatorio.