La auditoría como proceso sistemático, independiente y documentado para obtener evidencias de auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría la encontramos incluida dentro de la evaluación del desempeño en las normas “UNE-ISO 19600:2015 Sistemas de gestión de compliance. Directrices”, “UNE 19601:2017 Sistemas de gestión de compliance penal. Requisitos con orientación para su uso” y la “UNE-ISO 37001:2017 Sistemas de gestión antisoborno. Requisitos con orientación para su uso”. Cada una de estas normas le añaden unas notas a la anterior definición que la denominan “auditoría interna”.
De forma análoga, también encontramos a la auditoría en la próxima “UNE 19602 Sistemas de gestión de compliance tributario. Requisitos con orientación para su uso”.
Recordemos que la estructura de alto nivel de ISO (HLS) describe al desempeño como un resultado medible, al igual que las normas de compliance.
Igualmente, que de las diversas acepciones que la RAE ofrece al término la más adecuada es «sacar a alguien airoso del empeño o lance en que se encontraba» con el bien entendido que empeño o lance es sinónimo de compromiso. De modo que podemos definir el desempeño como el resultado medible del nivel en que hemos alcanzado nuestros compromisos (en este caso de compliance) pudiendo relacionarse con hallazgos cuantitativos o cualitativos y con la gestión de actividades, procesos, productos, sistemas u organizaciones.
Para la evaluación del desempeño se precisará el seguimiento de los sistemas de gestión de compliance a fin de asegurar que se alcanzan sus objetivos mediante un plan de seguimiento continuo estableciendo unas fuentes de opinión sobre dicho desempeño con unos métodos de recogida de información para su posterior análisis.
Auditorias y Revisiones
Dentro de los métodos de recogida de información se encuentran las auditorías y revisiones.
Por tanto, las organizaciones deberán llevar a cabo auditorías a intervalos planificados para proporcionar información acerca de si su respectivo sistema de gestión de compliance es conforme con los requisitos de su política, el propio sistema de gestión y su correspondiente norma UNE o UNE-ISO junto a si se ha implementado y se mantiene eficazmente.
La norma UNE-ISO 19600 señala que las auditorías pueden ser internas (de primera parte), o externas (de segunda o tercera parte), y combinadas (combinando dos o más disciplinas) considerando que los términos “evidencia de auditoría“ y “criterios de auditoría” se definen en la norma ISO 19011. Igualmente, que la independencia se podrá demostrar por la ausencia de dependencia de las actividades de objeto de la auditoría o por la ausencia de parcialidad y de conflicto de intereses.
Por su parte, la norma UNE-ISO 37001 añade que una auditoría interna es aquella realizada por la propia organización o por una parte externa que actúe en su nombre. Un ejemplo de este tipo de auditoría podría ser el informe de experto externo previsto en la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo.
Finalmente, la norma UNE 19601 indica que la “evidencia de auditoría” consiste en registros, declaraciones de hechos, y demás información pertinente a los “criterios de auditoría”, que son verificables; siendo los “criterios de auditoría” el conjunto de políticas, procedimientos o requisitos usados como referencia, frente a los cuales se compara la evidencia de auditoría.
Centrándonos en las auditorías de los sistemas de gestión de compliance penal, estas deben ser razonables, proporcionadas y realizadas con un enfoque basado en el riesgo y deben seguir procesos de procesos de auditoría interna u otros procesos de revisión de procedimientos, controles y sistemas destinados a detectar indicios de:
- a) Materialización de riesgos penales o no conformidades.
- b) Fallos en el cumplimiento de los requisitos que puedan conllevar riesgo penal derivado de conductas desarrolladas por los miembros de la organización o los socios de negocio
- c) Debilidades o posibilidades de mejora en el sistema de gestión de compliance penal.
Además, la objetividad e imparcialidad de las auditorías debe asegurarse evitando que nadie esté auditando su propia actividad, y encomendándolas a:
- a) Una función independiente o una persona en la organización específicamente designada para realizar este proceso (departamentos de auditoría interna).
- b) El órgano de compliance penal, salvo que la auditoría alcance a dicho órgano.
- c) Una persona apropiada de un departamento o función distinta del que está siendo auditado.
- d) Una tercera parte apropiada, externalizando, en cuyo caso no debería auditarse por personas físicas que hayan intervenido en su diseño, implementación o mantenimiento.
- e) Conjuntamente varios de los anteriores.
Conclusiones sobre las auditorías en los sistemas de gestión de Compliance
En definitiva, el proceso debe asegurar que ningún auditor está auditando su propia área de trabajo o el trabajo desarrollado por él previamente.
Por otra parte, las auditorías a realizar por las entidades de certificación para la obtención de una certificación de un sistema de gestión de compliance, como en las certificables “UNE 19601:2017 Sistemas de gestión de compliance penal. Requisitos con orientación para su uso” y “UNE-ISO 37001:2017 Sistemas de gestión antisoborno. Requisitos con orientación para su uso”, deberán de realizarse según la norma “UNE-EN ISO/IEC 17021-1:2015 Evaluación de la conformidad. Condiciones para los organismos que realizan la auditoría y la certificación de sistemas de gestión” con sus respectivas especificidades.
Contacta con Bonatti Compliance para más información.