El equipo de auditoría prepara los puntos de control de la auditoría a realizar obtenidos de los puntos de revisión de la materia. Con esto obtienen un listado de puntos a comprobar o checklist. Este checklist servirá como línea base de los mínimos / máximos de revisión y permitirá que el equipo de auditoría marque por cada punto al menos los siguientes estados:
- Cumple. La organización tiene cubierto el control indicado sin problemas.
- No Cumple. La organización no tiene cubierto el control indicado.
- No aplica. Este control no es aplicable a la organización
- No cumple plenamente. Aunque en un principio tiene controles establecidos para garantizar que se cumple este punto se encuentran evidencias que indican que no siempre es así.
Sobre los resultados obtenidos, al menos sobre el estado de No Cumple y No Cumple Plenamente, se deben indicar consecuencias o conclusiones del incumplimiento, es decir, que podría suceder si se sigue sin tener un control establecido que garantice el cumplimiento de ese control. Por supuesto, no es necesario en un principio indicar para los controles legales indicar que podría ser sancionado ya que se sobre entiende para todos ellos. Pero si otras consecuencias, por ejemplo supongamos el caso siguiente:
"Por normativa interna, se exige la revisión semanal de los registros de acceso a las instalaciones, donde se creara un informe, que se reportará a la gerencia, indicando las personas externas a la organizacion que entran, durante cuanto tiempo estan en la organzizacion, con que finalizad y de que empresa provienen".
Revisando los informes generados y enviados a la gerencia, se observa que si incluye la información indicada pero se detecta que el 15% de los informes analizados no fue enviado a la gerencia. Por lo que se indica en este caso que no cumple plenamente.
Junto a las consecuencias, se debe indicar, para cada grupo de evidencias detectadas sobre uno de los controles establecidos, la recomendación a seguir, que básicamente es el establecimiento del control definido.
Estas recomendaciones suelen poder agruparse en proyectos que sobre un área determinada permiten implantar diferentes controles y por tanto mejorar con un único esfuerzo la situación existente. Cada grupo o proyecto, podría contener una estimación de tiempos para completarse, coste asociado para llevarlo a cabo y un índice que muestre como mejoraría el nivel existente, debido a cuantos controles mejora y en qué nivel, ya sea total o parcial. Además en este caso, también podría unirse la indicación para las revisiones legales del importe de la sanción por no tener cada uno de los controles indicados en este punto.
Con estas recomendaciones finales agrupadas por proyecto y con los tres indicadores anteriores indicados, tiempo, importe (implantar / sanción) y mejora prevista, se permite a la organización priorizar de forma eficiente los proyectos a realizar a corto, medio y largo plazo.
De esta forma sobre esa tabla de recomendaciones final, la organización podrá indicar, para cada uno de los proyectos:
- Si lo va a realizar
- Corto plazo
- Medio plazo
- Largo plazo
- No lo va a realizar y la razón por la que no lo realiza:
- Coste
- Complejidad
- Otros
Si a todo esto unimos la frecuencia con que una organización se enfrenta a revisiones de cumplimiento o certificación, es recomendable que el equipo de auditoría se prepare los checklist permitiendo realizar la revisión sobre el máximo número de leyes o normas, para fácilmente seleccionar cuales son los que se desean revisar. Así, además de reducir el tiempo en la revisión de los puntos de control, las recomendaciones para la organización tendrán mucho más valor al incorporar todas o casi todas las normas que les aplican, pudiendo priorizar con mejor visión los proyectos y riesgos asociados a las materias en cuestión.
No hay comentarios:
Publicar un comentario