Los profesionales dedicados a la Gestión de Riesgos cuentan con ISO 19011 como norma de referencia para la realización de auditorías. Los auditores han de dominar los términos y definiciones fundamentales en este ámbito del Risk Management.

Términos fundamentales para la realización de auditorías

Los conceptos básicos para la realización de auditorías son los siguientes:

• Auditoría: proceso sistemático, independiente y documentado, para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría.
• Criterios de auditoría: conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia de la auditoría.
• Evidencia de la auditoría: registros, declaraciones de los hechos o cualquier otra información que es pertinente para los criterios de auditoría. Puede ser cualitativa o cuantitativa.
• Hallazgos: resultados de la evaluación de la evidencia de la auditoría recopilada frente a sus criterios. Pueden indicar conformidad o no conformidad, observación/oportunidades de mejora y buenas prácticas.
• Conclusiones de la auditoría: resultado tras considerar los objetivos y todos los hallazgos.
• Cliente: organización o persona que la solicita.
• Auditado: organización que es auditada.
• Auditor: persona que lleva a cabo la auditoría.
• Equipo auditor: uno o más auditores que realizan con el apoyo, si es necesario, de expertos técnicos. Uno de ellos es el líder. También se pueden incluir auditores en formación.
• Experto técnico: persona que aporta conocimientos o experiencia al equipo auditor. No actúa como auditor.
• Observador: persona que acompaña al equipo auditor, pero que no audita. No es parte del equipo auditor, ni influye e interfiere en la realización. Puede ser designado por el auditado, autoridad reglamentaria o cualquier otra parte interesada.
• Guía: persona designada por el auditado para asistir al equipo auditor.
• Competencia: capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos.
• Programa: detalles acordados para un conjuntos de una o más auditorías planificadas para un período de tiempo determinado y dirigidas a un propósito específicos.
• Alcance: extensión y límites. Pueden ser ubicaciones, unidades de la organización, actividades, procesos, períodos de tiempo, etc.
• Plan de auditoría: descripción de las actividades y de los detalles acordados.
• Riesgo: efecto de la incertidumbre sobre los objetivos.

Además, es recomendable que los profesionales especializados en Gestión de Riesgos conozcan otros conceptos como los siguientes:

• Requisito.
• No conformidad.
• Tratamiento de la no conformidad.
• Corrección o acción inmediata.
• Acción correctiva.
• Acción preventiva (riesgo).
• Checklist o lista de comprobación.

Objetivos de las auditorías en Gestión de Riesgos

Toda auditoría debe servir para garantizar que se cumplen los siguientes niveles:

• El sistema de gestión existe verdaderamente.
• El sistema de gestión satisface los requisitos de sistema de referencia de la auditoría.
• El sistema de gestión es eficiente.

Una organización, en función de los requisitos a contemplar por su sistema de gestión (normas de sistemas, producto, legislación, criterios internos de funcionamiento, etc.) deberá definir una documentación que incluya qué, cómo, cuándo, quién y las evidencias que van a demostrar que las cuestiones anteriores se lleven a cabo.

El auditor, interno o externo, puede comprobar que esas cuestiones se hacen según los requisitos de una norma y de la documentación establecida por la organización. Las diferencias encontradas implicarán el grado de cumplimiento. La auditoría busca no conformidades y oportunidades de mejora.

Información extraída del webinar impartido por Yago Blázquez para EALDE Business School.