Auditoría, Blanqueo de capitales, Blog, Compliance

10 Claves para realizar una auditoría interna conforme a la norma UNE 19601

10 Claves para realizar una auditoría interna conforme a la norma UNE 19601

La norma UNE 19601 establece los requisitos para implantar un sistema de gestión de compliance penal en organizaciones españolas. Su objetivo es prevenir delitos, reducir riesgos legales y fortalecer la cultura ética corporativa. Una de las herramientas clave para garantizar la eficacia del sistema es la auditoría interna, regulada específicamente en el apartado 9.2 de la norma. Este artículo ofrece una guía detallada para realizar una auditoría interna conforme a UNE 19601, basada en experiencias reales de implantación y certificación.

  1. Fundamentos de la auditoría interna en UNE 19601

La auditoría interna es una actividad independiente y objetiva que permite evaluar si el sistema de compliance penal está funcionando de forma eficaz. Según la norma, debe realizarse de forma periódica, documentada y con criterios definidos. Su finalidad es:

  • Verificar el cumplimiento de los requisitos de la norma UNE 19601.
  • Evaluar la eficacia de los controles implementados.
  • Detectar no conformidades, oportunidades de mejora y riesgos emergentes.
  • Aportar evidencia para la revisión por la dirección y el órgano de compliance.
  1. Planificación de la auditoría

La planificación debe incluir:

  • Objetivos y alcance: Determinar qué procesos, áreas y requisitos serán auditados. Por ejemplo, la evaluación de riesgos penales, la diligencia debida, el canal ético, la formación y la comunicación.
  • Equipo auditor: Seleccionar auditores competentes, internos o externos, que no tengan conflicto de interés. La norma exige acreditar su formación y experiencia en compliance penal.
  • Calendario: Establecer fechas de ejecución, reuniones iniciales y finales, y plazos para la emisión del informe.
  1. Preparación documental

Antes de la auditoría, se debe recopilar y revisar:

  • El contexto de la organización y las partes interesadas (apartado 4.1 y 4.2).
  • La política de compliance penal (apartado 5.2).
  • La evaluación de riesgos penales y los controles asociados (apartado 6.2).
  • Los procedimientos de diligencia debida, formación, comunicación y canal ético.
  • Evidencias de implementación: registros, informes, actas, comunicaciones, etc.
  1. Ejecución de la auditoría

Durante la auditoría, el equipo auditor debe:

  • Realizar entrevistas con responsables de procesos clave.
  • Revisar documentos y registros.
  • Observar prácticas operativas.
  • Verificar la trazabilidad de los controles.
  • Identificar no conformidades, observaciones y oportunidades de mejora.

Es recomendable utilizar técnicas mixtas: presencial, remota (videollamadas, revisión documental online) y análisis de evidencias en sistemas como plataformas de ticketing.

  1. Criterios de auditoría

Los criterios deben incluir:

  • Requisitos de la norma UNE 19601.
  • Requisitos legales y reglamentarios aplicables.
  • Procedimientos internos definidos por la organización.
  • Buenas prácticas reconocidas (por ejemplo, modelo de las tres líneas de defensa).
  1. Informe de auditoría

El informe debe contener:

  • Descripción del alcance, metodología y equipo auditor.
  • Análisis del cumplimiento de cada requisito de la norma.
  • Identificación de no conformidades (NC), observaciones y mejoras.
  • Recomendaciones específicas y plan de acciones correctivas.
  • Evaluación global del sistema y conclusiones.

Es fundamental que el informe sea riguroso, ético y basado en evidencias. Debe referenciar informes previos (como informes de entidades de certificacion) y asegurar que las NC detectadas han sido subsanadas.

  1. Seguimiento de acciones correctivas

Tras la auditoría, la organización debe:

  • Registrar las NC en el sistema de gestión (por ejemplo, ticketing).
  • Analizar las causas raíz.
  • Definir acciones correctivas, responsables y plazos.
  • Verificar la eficacia de las acciones.
  • Documentar el cierre de cada NC.

Este proceso debe estar alineado con el ciclo de mejora continua (Plan-Do-Check-Act).

  1. Revisión por la dirección

La auditoría interna alimenta la revisión por la dirección, que debe evaluar:

  • El grado de cumplimiento del sistema.
  • La eficacia de las acciones correctivas.
  • La adecuación de los objetivos e indicadores.
  • La necesidad de cambios en el sistema.

Esta revisión debe quedar documentada y formar parte del expediente de certificación, si la organización desea acceder a la evaluación de conformidad.

  1. Integración con el proceso de certificación

La auditoría interna es un requisito previo para la auditoría externa de certificación. Debe estar finalizada y documentada antes de la visita del organismo certificador. Su calidad y profundidad pueden determinar el éxito del proceso de certificación.

  1. Errores comunes

Errores comunes a evitar:

  • No acreditar la competencia del auditor.
  • No referenciar auditorías previas.
  • No planificar adecuadamente el proceso de auditoría.
  • No documentar correctamente los hallazgos.
  • No  fundamentar las No Conformidades.

Deja una respuesta