Cómo reflejar las salvedades en el informe de auditoría

El informe de auditoría es quizás uno de los documentos más analizados dentro de una entidad que, tras un período más o menos largo de trabajo en un sistema de gestión, ve evaluado su esfuerzo por un tercero externo (o interno, si la auditoría tiene este carácter), en un documento que querrá que refleje su buen hacer.

Por eso las salvedades son un apartado tan importante dentro del informe de auditoría.

Siendo constructivos, las salvedades establecen el inicio del necesario margen de mejora en las compañías, con mayor o menor vinculación normativa.

Ahora bien, cómo se deben reflejar las salvedades en el informe de auditoría, no es un asunto baladí porque la salvedad debe ser el reflejo fiel de un incumplimiento objetivo.

La salvedad no debe ser una opinión del auditor, sino la redacción por su parte de la desviación del cumplimiento por parte de la empresa de un precepto ya sea legal (por ejemplo, si hablamos de una normativa como pueda ser el RGPD – Reglamento General de Protección de Datos, ya sea normativo (por ejemplo, si hablamos de un estándar internacional como puede ser una norma ISO).

Es decir, si el precepto que se está auditando se aleja de la realidad aplicada en la empresa, así debe quedar reflejado en el informe escrito por parte del auditor. Debe existir una correspondencia directa entre el requisito legal o normativo y la forma de “no hacer” las cosas en la entidad.

Si el procedimiento implantado cumple con lo que exige la normativa que se trate, se estará cumpliendo con la misma. Si no lo hace, existirá un incumplimiento y por tanto una salvedad será redactada en el informe.

EMPRESA AUDITADA adecuó hace dos años todos sus procedimientos en materia de protección de datos al cumplimiento del RGPD, estableciendo que tendría que hacer auditoría bienal como medida de seguridad para todos sus tratamientos, ya contuvieran datos sensibles o no.

Llegado el día de la auditoría, el equipo auditor llega a EMPRESA AUDITADA y se registra como visita en el mostrador de acceso a las instalaciones, tomándoles todos sus datos y haciendo una copia digital del DNI de cada persona del equipo para darles sus pases de acceso a las oficinas. Observan que nadie les informa de la captación de esos datos y lo apuntan para no dejar de preguntarlo durante la auditoría.

Llegado el momento de las entrevistas, el equipo auditor pregunta por el cumplimiento del deber de información a los titulares de los datos, que exige la normativa vigente en materia de protección de datos, en relación con el registro de las visitas, y piden evidencias de esa información, pero EMPRESA AUDITADA confirma que no informa de ninguna manera a los visitantes de la captación y tratamiento de sus datos personales.

En el informe de auditoría, el equipo auditor reflejará esta desviación del cumplimiento de la normativa como una salvedad objetiva, sin opinión, simplemente con la mención expresa de la inexistencia de la información que debe dar un responsable del tratamiento a los titulares de los datos cuando maneja información personal en sus procesos de empresa.

La salvedad debe estar completamente detallada, no debe dar lugar a equívocos o malentendidos, e incluso es recomendable que haga mención expresa al artículo de la ley, reglamento o norma contra la que se esté haciendo dicha auditoría, y para el cual se produce el incumplimiento por parte del auditado.

De esta manera se reducirá el debate entre las partes (equipo auditor y entidad auditada) que podría dar lugar a una mala comprensión del incumplimiento acaecido por parte de la entidad auditada si la salvedad no aportara información completa o si fuese subjetiva.

Puede ocurrir que, durante la revisión del informe provisional, el auditado pueda alegar que el auditor no comprendió correctamente la información aportada, o no tuvo en cuenta una evidencia que sí se aportó. Si finalmente se demuestra que el auditor no estaba en lo cierto en sus notas, por ejemplo, y sí se puede evidenciar el cumplimiento del precepto auditado y, por tanto, la inexistencia de desviación, efectivamente la salvedad debería ser corregida o eliminada.

Otra situación puntual que puede llegar a ocurrir es que una salvedad sea replicada por la entidad auditada porque entre la entrevista de auditoría y la entrega del informe provisional, se haya corregido la desviación y se quiera eliminar esa salvedad de cara a la entrega del informe definitivo.

En estos casos, sería posible mantener la salvedad como figuraba desde un principio, si bien queda a juicio del equipo auditor matizar en el informe de algún modo la corrección inmediata de la salvedad por parte de la entidad auditada.

Por tanto, se ha de poner en valor la necesidad de una correcta redacción de las salvedades en el informe de auditoría de forma que el auditado no tenga posibilidad de incurrir en malentendidos o debates abiertos sobre las evidencias encontradas.

En GlobalSuite Solutions disponemos del software GlobalSuite® que garantiza el ahorro de tiempo y costes en la realización del trabajo de auditoría en un entorno colaborativo con seguimiento completo.  Asimismo, contamos con más de 15 años de experiencia en materia de Protección de Datos Personales y Seguridad de la Información. Nuestros equipos de consultoría especializada ofrecen el asesoramiento y el soporte necesarios para ayudar a las empresas a efectuar sus auditorías periódicas con la fiabilidad y seguridad de un equipo externo plenamente solvente en cualquiera de las normas que requieren la realización de una auditoría, desde RGPD a UNE 19601, ISO 27001, ISO 22301, etc.