Hoy en día el proceso de auditoría se utiliza comúnmente para indicar un instrumento que permite comprender si las diversas esferas y actividades de un «sistema de empresas» cumplen los procedimientos establecidos, si hay funciones y deberes claros y si los objetivos y la política de la empresa se gestionan y aplican correctamente.

El objetivo es cumplir con las obligaciones reglamentarias u obtener/mantener la certificación de los sistemas de gestión si se han aplicado en la empresa. Pero, sobre todo, asignar una cobertura adecuada a las actividades de la empresa que presenten cierto grado de riesgo.

Si la empresa ya dispone de un sistema de gestión, en cumplimiento, por ejemplo, de las disposiciones de las normas de la ISO, es necesario realizar auditorías periódicas para investigar si los procedimientos establecidos son compatibles con la realidad de la empresa y si los mismos procedimientos se aplican y ponen en práctica correctamente.

Una auditoría efectiva debe ser realizada por un auditor profesional con experiencia comprobada. El trabajo del auditor debe realizarse con total coordinación entre todo el personal que forma la empresa. Esto tiene como objetivo obtener una recopilación de datos lo más completa posible que, al investigar las causas, permita poner de relieve los objetivos fallidos y las desviaciones del modelo adoptado. Sólo así el auditor, después de haber trazado las áreas de riesgo, podrá proponer soluciones adecuadas a la estructura y a las diferentes necesidades de la empresa.

Auditoría y gestión de riesgos

La necesidad de un modelo de gestión de riesgos, dentro de la empresa y en ciertas categorías profesionales, se ha notado particularmente en los últimos años. Mediante la gestión de riesgos, de hecho, es posible controlar no sólo la estructura de los procesos y organización de la entidad, sino también salvaguardar de los activos de la empresa, la estructura económica y financiera, así como la eficacia y la eficiencia de toda la gestión de la empresa.

Las diversas disposiciones reglamentarias muestran que se concede mayor importancia no sólo a los sistemas de control interno y gestión de riesgos, sino también a los sistemas de responsabilidad de las empresas, la administración y los órganos de control interno. 

¿Cómo conocer y verificar su estructura organizativa y el cumplimiento de las diferentes reglas y normas? Realizando una o más auditorías.

Cómo hacer el proceso de auditoría

La eficacia del proceso de auditoría depende del tipo de análisis realizado por el auditor, la revisión de los protocolos y la forma en que se adquiere la información y los datos obtenidos por el auditor. Por lo tanto, para tener un conocimiento completo de la organización de la empresa, el auditor debe preparar un procedimiento de análisis adecuado y específico.

Por lo tanto, la preparación de una lista de verificación es el primer paso para la recopilación de datos e información, teniendo bien presente la realidad de la empresa.

En la actividad de auditoría, se pueden identificar entonces tres categorías macro de entorno:

Para el cumplimiento de la normativa;

Para la optimización de procesos específicos;

Con preguntas suplementarias (extremadamente personalizadas según las necesidades).

Cada una de estas categorías debe incluir tres fases:

1. Diseño de la auditoría: identificación de las áreas a «auditar», definición de las herramientas a utilizar y planificación de las actividades de recolección de datos.
2. Análisis documental y verificación de la adecuación de los protocolos con respecto a la normativa correspondiente.
3. Evaluación con respecto a los parámetros de auditoría y los resultados obtenidos, procesamiento estadístico de los mismos y cualquier plan de mejora con las medidas a adoptar.

Es esencial, al menos en la fase 2, adquirir información mediante entrevistas con los empleados, los órganos de gestión y otras personas, inspecciones y encuestas, observaciones sobre las actividades y las condiciones de trabajo y el entorno laboral, solicitudes de confirmación, recálculo o reejecución, así como el examen de documentos, procedimientos y prácticas específicos que puedan haberse establecido, procedimientos de referencia.

Al completar estos pasos el auditor puede llegar a 2 resultados diferentes:

NO CONFORMIDAD

OBSERVACIONES

En el primer caso, el auditor podrá detallar las lagunas encontradas, es decir, los puntos de desacuerdo entre lo definido en los procedimientos, o el incumplimiento normativo; en el segundo caso, podrá ofrecer indicaciones para la aplicación de diferentes procesos dirigidos a obtener mejoras, cambios, a través de los cuales ofrecer objetivos que se pueden alcanzar mediante la adopción de medidas alternativas (procesos, funciones, etc.).

Al final del proceso de auditoría, el auditor debe proceder a preparar un informe escrito, del que surgirán ideas importantes para mejorar los procesos, la gestión o el estado de cumplimiento del área investigada.

Por ejemplo, al final de una auditoría realizada sobre un sistema de gestión de la calidad, se obtendrán resultados que servirán de punto de partida para identificar mejoras en el proceso con el fin de ofrecer al cliente un producto/servicio que se ajuste perfectamente a sus expectativas.

Conclusión

Toda empresa, al igual que toda firma profesional, debe comprender la importancia de contar con un sistema de gestión y control de riesgos. Este sistema consiste en procedimientos, protocolos, estructuras organizativas que garantizan el correcto funcionamiento de la organización. La auditoría, en este sistema, es el instrumento por excelencia para evaluar y supervisar la idoneidad de las medidas adoptadas. Sólo así, es decir, razonando en términos sistémicos y de procedimiento, es posible salvaguardar el patrimonio de la organización, ya sea una empresa o una firma profesional.