Si bien es cierto que muchas de los estándares internacionales que existen hoy en día proporcionan los conocimientos, buenas prácticas y las herramientas necesarias para implantar un eficaz sistema de gestión de riesgos empresariales, es necesario realizarle una radiografía para determinar que estén funcionando de la manera adecuada. Para lograrlo, ha marcado tendencia en los ultimos años la usabilidad de los criterios expuestos en la normativa ISO 19011.
Como referencia mundial en cuanto a los procesos de auditoría externa e interna para los sistemas de gestión, esta normativa se ha convertido en el referente por excelencia, ya que es aplicable a todo tipo de industrias y organizaciones empresariales sin distingo de rubros, tamaño o tipo (público o privado).
Su aplicación se orienta a las organizaciones (consultoras en compliance) que requieren planear y realizar laauditoría del sistema de gestión, administrar el programa de auditoría y el talento humano que realiza la revisión y a su vez elaborar la certificación de conformidad de los programas.
En el año 2018 se hizo la última actualización con la finalidad de renovar los estándares y asegurar su oportuna orientación en forma y concepto. Cada cierto tiempo, resulta oportuno hacer un análisis del mercado, cómo ha evolucionado la tecnología y procurar que el enfoque objeto de la ISO 19011 se mantenga coherente para los sistemas de gestión de procesos.
Cuando se optimizan y se integran los sistemas de gestión, se abre un campo de posibilidades donde se reducen los costos, se aminoran los esfuerzos y se minimizan los impactos de la concresión de los riesgos operacionales, reputacionales, de cumplimiento y financieros de las actividades propias del modelo de negocio.
En la organización cuando se aplica un proceso de auditoría de forma periódica se procura la identificación de las necesidades, brechas y no conformidades de cumplimiento en las políticas, procesos y procedimientos dispuestos en los sistemas de gestión y a su vez llevar a cabo todas las mejoras necesarias.
Algunos datos importantes para entender esta normativa son:
- Se gestiona a través del principio de auditoría enfocado en el riesgo (EBR) y en las evidencias (EBE). Por lo tanto, dispone de aportes sobre los riesgos de la auditoría y sus respectivas oportunidades
- Coadyuva en los procesos de implementación de otras normativas tales como la ISO 14001 (gestión de riesgos ambientales) y la ISO 45001 (gestión de de la seguridad y salud en el trabajo), por ejemplo
- Determina las cualidades, aptitudes y conocimientos que debe poseer el auditor líder de la consultora encargada del proceso y su equipo, así como la serie de directrices que deben seguir para adelantar el proceso
- Orienta sobre el establecimiento de los programas de gestión en los distintos tipos de auditoría tales como: la de procesos, la de sistemas o la propia de una auditoría.
Una imagen positiva de la organización se traduce en mayor credibilidad para los terceros interesados y por tanto, al tener mejor reputación existen más probabilidades de captar más y mejores clientes.
En la firma hemos detectado con mucho asombro, las deficientes prácticas en la elaboración de auditorías simuladas de cumplimiento (fake auditoría) que están muy alejadas de las directrices contenidas en el estándar señalado (ISO 19011).
Por ejemplo, auditorías realizadas en tiempo record, ausencia de recolección de evidencias objetivas, ausencia del procedimiento de análisis, verificación y contraste del muestreo y evidencias, procesos y políticas; ausencia de metodología para determinar la idoneidad y eficacia del sistema o programa bajo análisis, entre otros aspectos.
Ya para concluir, podemos afirmar que la participación de los auditores es muy relevante en el proceso del ciclo de deming (para garantizar la mejora contínua de los esquemas de compliance), en la certificación de los programas, y en el caso de los sujetos obligados marca una referencia importante que es usada por los órganos de control para determinar la conformidad con las obligaciones de compliance dictadas en las normativas (hard law) de cada sector. Esto sin aplicar las responsabilidades administrativas, civiles e inclusive penales que la función de auditoría de cumplimiento tiene.
