Figura 1. La gestión de riesgos
Fuente: SPENCER PICKETT K. H. (2007), Manual básico de auditoría interna: de la teoría a la pràctica profesional. Barcelona: Gestión 2000, p. 133.
Capítulo I
En este capítulo se presentan los fundamentos de la auditoría. Se define, se sintetiza su origen y su filosofía, se presentan las tipologías de auditorías más generalizadas y se introducen diferentes modalidades de auditorías emergentes entre las que se encuentra la auditoría de la información. Se proporciona al lector sumariamente las bases, los métodos de trabajo y las técnicas que emplea la auditoría y que parcialmente también adopta la auditoría de la información y documental. Se destaca el contenido informacional y documental de toda auditoría independientemente del objeto auditado.
Auditoría externa, auditoría interna, auditoría contable, auditoría de sistemas de gestión, auditoría de cumplimiento, certificación, normas contables, normas de auditoría.
1. Entender en qué consiste la auditoría y su práctica profesional.
2. Comprender qué función social y organizativa realiza la auditoría.
3. Identificar las diferentes variantes de auditoría y localizar sus rasgos distintivos.
4. Conocer el marco regulatorio y normativo, así como los métodos y técni
cas de trabajo que emplea la auditoría.
La auditoría se ha desarrollado notablemente durante las últimas décadas y ha ampliado su ámbito de aplicación. Ha dejado de ser una función exclusiva de examen y verificación de los activos y recursos financieros y ha dejado de estar circunscrita a aquellas organizaciones, principalmente privadas, a las cuales, por razones de tamaño, de actividad, etc., la legislación vigente les exigía que un profesional especialista, externo e independiente validara sus cuentas anuales. La adopción de prácticas de gobierno corporativo1 y de control interno2 han contribuido a extender la función de auditoría interna y operativa en las que se apoya la dirección potenciando su carácter preventivo, anticipatorio y de detección de anomalías.
Paralelamente, han aparecido nuevos tipos de auditoría especializadas asociadas a funciones, procesos o recursos de las organizaciones que han logrado la madurez. Las auditorías en cuestión, auditorías de calidad, medioambientales, de protección de datos, etc. disponen de norma o requerimiento legal específico. Aparte de eso, se han desarrollado modalidades de auditorías voluntarias como las auditorías de formación, de comunicación, etc. o la propia auditoría de la información, tema central de esta monografía. Esta última, tal y como trataremos en este libro, no dispone todavía de estándar propio.
El término «auditoría» lo asociamos de forma genérica a diferentes expresiones o conceptos: proceso, misión, función, profesión, informe, balance, diagnóstico, evaluación, etc. Auditar es sinónimo de revisar, inspeccionar, controlar o verificar.
Podemos referirnos a tantas clases de auditorías como tipos diferentes de revisiones y objetivos asociados existen: de estados financieros históricos de una sociedad mercantil o administración pública, de una operativa, de una función, etc., si bien la auditoría más conocida y aplicada es la auditoría contable o financiera.
Una definición de auditoría que creemos que expresa este espíritu la aporta Jonquières (2010): «La Auditoría no es un examen para aprender a sortear trampas y preguntas molestas, es una herramienta para analizar en profundidad el funcionamiento de la empresa y orientar su actuación a la mejora del desempeño.»3
Para realizar una auditoría es necesario disponer de información verificable y de algunas normas o criterios sobre cuya base el auditor debe poder evaluarla.
Auditar es, en términos generales, examinar y verificar información, registros, procesos, circuitos, etc. con el objetivo de expresar una opinión sobre su bondad o fiabilidad.
La actividad auditora surge como una necesidad social capaz de aportar transparencia a la documentación contable presentada por los responsables de las compañías, constituyendo así un elemento de protección para los múltiples usuarios destinatarios de la información contable (accionistas, organismos reguladores y supervisores, entidades financieras, empleados, sindicatos y sociedad en general). Es consecuencia del proceso de separación entre los responsables de la gestión de las empresas, la dirección y los titulares del capital, los accionistas o propietarios, así como de la globalización y la internacionalización de la actividad empresarial. La auditoría pionera y más generalizada es la auditoría financiera, también llamada externa, que detallaremos más adelante.
Progresivamente, y fruto del aumento de dimensión y de una mayor complejidad de las corporaciones, se ha desarrollado notablemente otro tipo de auditoría, la auditoría interna, que tiene en el control interno, la gestión de riesgos y el gobierno corporativo de las tres actividades nucleares.
La auditoría es la acumulación y evaluación de evidencias4 basadas en información para determinar e informar sobre el grado de correspondencia entre la información y los criterios establecidos. Una evidencia es cualquier tipo de dato que utiliza el auditor para establecer si la información que se está auditando ha sido declarada de acuerdo con el criterio establecido. La evidencia a obtener debe ser suficiente, confiable y pertinente para alcanzar los objetivos de auditoría. Esta puede presentarse en forma de testimonio oral del auditado (el cliente), de comunicación por escrito de las partes externas, de observaciones por parte del auditor o de datos electrónicos sobre las transacciones. Es necesario obtener calidad y volumen suficiente de evidencias. Los auditores deben determinar los tipos y la cantidad de la evidencia y evaluar si la información corresponde al criterio establecido. Esta es la parte crítica de toda auditoría.
Para realizar una auditoría es necesario disponer de información verificable y de algunas normas (criterios) sobre cuya base el auditor debe poder evaluarla.
El objetivo técnico de la auditoría consiste en recoger evidencias para poder emitir un juicio sobre la adecuación y el nivel de conformidad del ámbito auditado respecto a los procesos y controles definidos en las normas de referencia.
Podemos clasificar la auditoría en función de diferentes parámetros: la independencia de la persona que realiza la revisión (auditoría externa o interna), el tipo de trabajo que se realiza (auditoría de cuentas, auditoría operativa o de gestión), el alcance (parcial o completo) o el origen del encargo (auditoría obligatoria, legal, estatutaria o auditoría voluntaria).
Véase el cuadro resumen con los principales tipos de auditoría en el apartado 1.4.3 Otras modalidades de auditoría.
La auditoría contable, también conocida como de estados financieros o externa, es el tipo de auditoría más desarrollada y generalizada.
La auditoría de naturaleza externa constituye un sistema para dotar de la máxima transparencia la información económica y contable de la empresa o entes públicos sujetos a auditoría.
a) Regulación y normativa
La auditoría contable es una actividad regulada en España, así como en la mayoría de sociedades desarrolladas, y altamente normalizada y profesionalizada. Dispone de un amplio corpus normativo que emana de los organismos públicos competentes y de los propios estamentos de la profesión auditora.
En España el marco legal vigente de la auditoría lo establece el Real Decreto Legislativo 1/2011, de 1 de julio, por el que se aprueba el texto refundido de la Ley de Auditoría de Cuentas5 y el Real Decreto 1517/2011, de 31 de octubre, por el que se aprueba el Reglamento que desarrolla el texto refundido de la Ley de Auditoría de Cuentas, aprobado por el Real Decreto Legislativo 1/2011, de 1 de julio6.
Las normas técnicas contables y de auditoría son las herramientas básicas del trabajo del auditor. Las normas son resultado de la propia praxis profesional agrupada en asociaciones (por ejemplo los International Standards on Auditing7 (ISA) emitidos por la International Federation of Accountants (IFAC) o de la actividad reguladora de instancias públicas. En el ámbito español, esta función corresponde al Instituto de Contabilidad y Auditoría de Cuentas8 (ICAC). En el caso específico de las normas contables, la convergencia contable internacional iniciada en 2002 es significativa y en la actualidad son más de cien países los que aplican las normas internacionales de información financiera9 (NIIF o IFRS) emitidas por el International Accounting Standards Board (IASB). Para el año 2014 se prevé una norma global de contabilidad y auditoría.
En el caso de las entidades financieras españolas es el Banco de España10 el que está facultado para emitir normas contables.
En España se auditan las empresas que superan los 5,8 millones de euros de facturación, los 2,7 millones de activos o los 50 trabajadores. También las empresas que reciben subvenciones de los fondos europeos, si superan los 600.000 de euros, entre otros casos.
b) Ejercicio de la profesión auditora contable
En España, tienen reconocido el ejercicio de la auditoría tres corporaciones de derecho público: el Registro de Economistas Auditores (REA), el Instituto de Censores Jurados de Cuentas de España (ICJCE) y el Registro General de Auditores de los Titulados Mercantiles y Empresariales de España (REGA).
Para ejercer la actividad auditora, las personas físicas o jurídicas deben estar inscritas en el Registro Oficial de Auditores de Cuentas del Instituto de Contabilidad y Auditoría de Cuentas, haber cursado un plan de formación teórica y tener tres años de prácticas en trabajos del ámbito financiero y contable, así como haber superado las pruebas de aptitud del ICAC.
El mercado de la auditoría nacional e internacional está dominado por cuatro grandes multinacionales, Deloitte, PriceWaterhouseCoopers (PWC), KPMG y Ernst & Young. Estas empresas revisan las cuentas anuales del 95% de las empresas cotizadas y copan el 70% del negocio de la auditoría y la consultoría11. Además de estas, en España hay pequeñas y medianas empresas agrupadas bajo la Asociación Grupo 20.
En el caso de las administraciones públicas corresponde a los organismos de control externo (el Tribunal de Cuentas y los órganos de control externo de las comunidades autónomas12) la fiscalización o cumplimiento del ordenamiento jurídico, de la gestión económica –control de la eficiencia y eficacia de las operaciones realizadas y recursos utilizados–, financiera y contable –verificación de la fiabilidad de la información de los registros– del sector público (organismos autonómicos, ayuntamientos, universidades, etc.). El control interno en los organismos públicos lo ejercen los interventores. Los organismos externos de fiscalización están agrupados en el ámbito internacional en INTOSAI13 (International Organization of Supreme Audit Institutions). Este organismo es emisorde normas profesionales específicas de auditoría financiera, del desempeño y de conformidad o cumplimiento recogidas en las International Standards of Supreme Audit Institutions14 que aplican a los exámenes de las entidades públicas fiscalizadas.
c) Objetivos de la auditoría contable
A continuación, sintetizamos los objetivos de la auditoría contable:
1. Prevenir y mitigar el fraude o las irregularidades, comprobando la existencia o no de diferencias en las anotaciones contables realizadas y los comprobantes originales.
2. Comprobar que la empresa cumple con las disposiciones vigentes, especialmente las contables, mercantiles y fiscales.
3. Comprobar si existen sistemas adecuados de control y dirección de negocio y determinar las mejoras que pueden introducirse.
4. Asegurar la razonabilidad de los estados contables a través del cumplimiento del Plan General Contable15 (PGCA) y de su aplicación uniforme.
5. Principalmente, garantizar la transparencia de los estados contables respecto a terceros. Con la verificación independiente, los estados contables ganan en fiabilidad para los distintos grupos de interés (inversores, accionistas, acreedores, administraciones públicas, empleados, etc.).
d) Informe de auditoría de cuentas
El informe de auditoría de cuentas constituye una opinión técnica e independiente sobre la contabilidad de una empresa privada o una institución o empresa pública y, por extensión, sobre la fiabilidad de su información económico-financiera.
Se trata de un documento mercantil público que las empresas depositan en el Registro Mercantil de la provincia dónde tienen su sede social junto con las cuentas anuales y los diferentes estados financieros. En el caso de las empresas emisoras o cotizadas, este documento también está accesible en la Comisión Nacional del Mercado de Valores (CNMV), organismo público que realiza funciones de supervisión, inspección y regulación de las sociedades emisoras y cotizadas españolas.
El contenido y alcance del informe está regulado en artículo 5 del Real Decreto 1517/2011:
Artículo 5. El informe de auditoría de cuentas anuales.
1. El informe de auditoría de cuentas anuales deberá ser emitido por los auditores de cuentas con sujeción al contenido, requisitos y formalidades establecidos en la normativa reguladora de la actividad de auditoría de cuentas.
2. De acuerdo con lo establecido en el artículo 3.1 del texto refundido de la Ley de Auditoría de Cuentas, el informe de auditoría de las cuentas anuales es un documento mercantil que contendrá, al menos, los siguientes datos, además de los exigidos por la normativa reguladora referida en el apartado precedente:
a) Identificación de la entidad auditada, de las cuentas anuales que son objeto de la auditoría, del marco normativo de información financiera que se aplicó en su elaboración, de las personas físicas o jurídicas que encargaron el trabajo y, en su caso, de las personas a quienes vaya destinado; así como la referencia a que las cuentas anuales han sido formuladas por el órgano de administración de la entidad auditada.
b) Una descripción general del alcance de la auditoría realizada, con referencia a las normas de auditoría conforme a las cuales ésta se ha llevado a cabo y, en su caso, de los procedimientos previstos en ellas que no haya sido posible aplicar como consecuencia de cualquier limitación puesta de manifiesto en el desarrollo de la auditoría. Asimismo, se informará sobre la responsabilidad del auditor de cuentas o sociedad de auditoría de expresar una opinión sobre las citadas cuentas en su conjunto.
c) Una opinión técnica con el contenido y alcance que se establece en el artículo siguiente.
d) Una opinión sobre la concordancia o no del informe de gestión con las cuentas correspondientes al mismo ejercicio, en el caso de que el citado informe de gestión acompañe a las cuentas anuales.
e) Fecha y firma del auditor o auditores de cuentas que lo hubieran realizado. La fecha del informe de auditoría es aquella en que el auditor de cuentas ha completado los procedimientos de auditoría necesarios para formarse una opinión sobre las cuentas anuales.
3. La fecha del informe de auditoría no podrá ser anterior a la de formulación de las cuentas anuales por el órgano de administración.
En los casos en que la fecha del informe de auditoría no coincida con la fecha de su entrega a la entidad auditada, deberá dejarse constancia documental de tal entrega y de su fecha en los papeles de trabajo del auditor de cuentas.
4. Asimismo, el informe de auditoría contendrá, en su caso, manifestación explícita de las reservas o salvedades detectadas en el desarrollo del trabajo de auditoría, así como de cualquier aspecto que, no constituyendo una reserva o salvedad, el auditor deba o considere necesario destacar en el informe conforme a lo previsto en la normativa reguladora de la actividad de auditoría de cuentas.
5. En el informe de auditoría de cuentas anuales no podrán establecerse limitaciones de su uso.
6. El informe de auditoría de cuentas anuales deberá ir acompañado de la totalidad de documentos que componen las cuentas objeto de auditoría y, en su caso, del informe de gestión. En ningún caso el informe de auditoría podrá publicarse parcialmente o en extracto, ni de forma separada a las cuentas anuales objeto de auditoría. Tampoco podrá ir acompañado el informe de auditoría de cuentas anuales de otra información no auditada que no se encuentre claramente diferenciada de las cuentas anuales auditadas, salvo que dicha información se identifique como no auditada.
Véase a modo de ejemplo el Informe de auditoría ejercicio 201116 de Promotora de Informaciones, SA (PRISA), cuyo párrafo más relevante citamos a continuación:
En nuestra opinión, las cuentas anuales del ejercicio 2011 expresan en todos los aspectos significativos la imagen fiel del patrimonio y de la situación financiera de Promotora de Informaciones, SA, a 31 de diciembre de 2011, así como de los resultados de sus operaciones y de sus flujos de efectivo correspondientes al ejercicio anual terminado en dicha fecha, de conformidad con el marco normativo de información financiera que resulta de aplicación, y en particular, con los principios y criterios contables que resultan de aplicación contenidos en el mismo.
La auditoría, conocida como revisión o verificación es el último estadio del proceso contable y su finalidad es la supervisión y garantía de la transparencia del mismo.
Según The Statement of Responsabilities of Internal Auditing (1998) del Institute of Internal Auditors17, la auditoría interna es una función independiente de evaluación, establecida dentro la organización para examinar y evaluar sus actividades como un servicio a la misma organización. Es un control que tiene entre sus funciones examinar y evaluar la adecuación y eficiencia de otros controles habitualmente establecidos en organizaciones de cierto tamaño por la función de control interno y de control de riesgos.
La actividad de auditoría interna se enmarca en la mejora del control interno, la gestión de riesgos y de los procesos de gobierno corporativo de las grandes y medianas empresas y en menor medida también de las administraciones públicas.
La auditoría interna es también denominada auditoría de gestión, operativa, administrativa o del rendimiento. Evalúa la eficiencia y la eficacia de cualquier componente de los procedimientos y los métodos de operación de una organización. Examina y mide la adecuación y la eficiencia del sistema de control interno de la organización en relación con la calidad de la ejecución en el desarrollo de las responsabilidades asignadas.
El concepto de control interno18 (Coopers & Lybrand, 1997) fue introducido inicialmente por el Informe COSO (Internal Control Integrated Framework, Treadway Commission, 1992) y posteriormente por el Informe COSO II, titulado Enterprise Risk Management – An Integrated Framework19 (COSO, 2005). Las bases conceptuales de ambos informes se fundamentan en que la dirección de una empresa debe mostrar a sus propietarios y accionistas que gestiona de forma eficaz y eficiente los recursos y las operaciones, que la información financiera que elabora es fiable y que ha tenido en cuenta las normativas y leyes que le son aplicables. Para lograr estos compromisos establece y mantiene una estructura adecuada de control interno que le proporcione una seguridad razonable a través de procesos y procedimientos documentados y auditables.
Debemos entender la gestión de riesgos, muy presente en la auditoría interna, como un proceso dinámico que incorpora una serie de acciones razonables destinadas a identificar y abordar los riesgos que repercuten en los objetivos de una organización. Se trata de definir, identificar y analizar los riesgos respecto a sus repercusiones y a su materialización, para establecer a continuación las vías adecuadas para gestionar los riesgos más importantes. Véase el gráfico siguiente, que muestra el ciclo de gestión de riesgos:
Figura 1. La gestión de riesgos
Fuente: SPENCER PICKETT K. H. (2007), Manual básico de auditoría interna: de la teoría a la pràctica profesional. Barcelona: Gestión 2000, p. 133.
a) Cobertura / Alcance
La auditoría interna incluye:
1. La revisión de la veracidad e integridad de la información financiera y operativa y los medios utilizados para identificar, medir, clasificar y comunicar esta información
2. La revisión de los sistemas establecidos para asegurar el cumplimiento de políticas, planes, procedimientos, ordenamientos legales y contratos que pueden tener un impacto significativo en las operaciones y los informes, y la comprobación de si la organización cumple con los sistemas
3. La revisión de las medidas para salvaguardar activos y, si son adecuadas, la verificación de la existencia de los activos.
4. La evaluación de la economía y de la eficiencia con la que se utilizan los recursos.
5. La revisión de las operaciones o programas para asegurarse de que los resultados son coherentes con los objetivos establecidos y de si estas operaciones se están desarrollando de acuerdo con lo planificado.
Los servicios de auditoría interna pueden adoptar fórmulas y propuestas de valor muy heterogéneas en función de la organización de la que dependen. A continuación se enumeran algunos ejemplos para ilustrar las diferentes orientaciones y contextos de la auditoría interna:
Proyectos destinados a mejorar la calidad de la información o su contexto
para la toma de decisiones.b) Corpus normativo
La auditoría interna dispone de normas específicas producidas por las propias asociaciones profesionales de auditores internos; es el caso de los International Standards for the Professional Practice of Internal Auditing21 del Institute of Internal Auditors (IIA), que se dividen en: 1) normas de atributos del auditor interno y 2) normas para el departamento de auditoría interna y para la realización y presentación de dictámenes de las actividades de auditoría interna.
Figura 2. Diagrama de flujo del proceso para la gestión de un programa de auditoría
Fuente: JONQUIÈRES M. (2010), Manual de auditoría de los sistemas de gestión, 2ª ed., Madrid: AENOR, p. 30
El despliegue de una auditoría interna implica la evaluación de la estructura organizativa, la evaluación de puestos de trabajos y actividades principales, el análisis de procedimientos de las operaciones y de los sistemas de información, así como del estudio y de la evaluación del sistema de control interno.
c) Informe de auditoría interna
El objetivo del documento de auditoría interna es informar y comunicar los resultados del proceso auditor. Incluye el propósito, el alcance, los resultados que pueden comprender –observaciones, conclusiones/opiniones– y las recomendaciones, los antecedentes, las conclusiones u opiniones del auditor sobre los efectos de las observaciones de las actividades revisadas y el seguimiento.
Con respecto a las observaciones planteadas, deben considerarse los siguientes atributos: criterios (normas, medidas o expectativas empleadas al realizar la verificación o evaluación), condiciones (evidencias reales detectadas por el auditor), causa (la razón de la diferencia entre lo que se esperaba y las condiciones reales –¿por qué existen diferencias?–), efecto (riesgo o peligro al que se expone la organización dependiendo de las condiciones que difieren de los criterios establecidos). Pueden incluir también recomendaciones y correcciones.
Tabla 1. Resumen de las diferencias entre la auditoría externa y la interna
| AUDITORÍA EXTERNA | AUDITORIA INTERNA | |
| SUJETO | Profesional independiente | Empleado |
| OBJETIVO | Examen de los estados financieros | Control de operaciones y gestión |
| ORÍGEN DEL ENCARGO | Obligatoria, legal o estatutaria | Voluntaria |
| ALCANCE | Estados financieros en su conjunto (total) | Restringida a áreas o procesos concretos (parcial) |
| USO DEL INFORME | Empresa y público en general | Restringida a la empresa / institución pública |
| GRADO DE INDEPENDENCIA | Total | Limitada |
| RESPONSABILIDAD | Profesional, civil y penal | Profesional |
| CONTINUIDAD DEL TRABAJO | Periódico (habitualmente anual) | Continuo |
| INTENSIDAD DEL TRABAJO | Menor | Mayor |
Fuente: elaboración propia.
La auditoría interna constituye un servicio de evaluación independiente y objetivo dentro de una organización.
Ya sea desde una perspectiva interna o externa, las modalidades de auditoría aplicadas a diferentes funciones, procesos, activos, etc. son varias. Algunas de estas tipologías de auditoría están vinculadas a un requerimiento legal o al cumplimiento de una norma (auditorías obligatorias). Otras modalidades de auditorías están asociadas a la obtención de una certificación, a la adopción de un sistema certificado o de un sello acreditativo con el fin de desarrollar de forma más óptima su actividad o bien mejorar la eficacia de los procesos, reducir costes o actuar como una herramienta de marketing. Es el caso de la auditoría de la información (auditorías voluntarias).
En cualquier caso, al margen de la conformidad legal su adopción debería implicar siempre una actitud de mejora continua en la gestión del recurso, proceso o función objeto de auditoría. Un exponente de este tipo de auditoría obligatoria que tiene una regulación vinculada es la auditoría de protección de datos o las auditorías asociadas a la obtención de una certificación o a un registro de conformidad. Estas disponen de regulaciones y normas propias y tienen como requisito vinculado la superación de auditorías externas periódicas y la realización de auditorías internas. Es el caso de las auditorías de sistemas de gestión: auditorías de calidad, auditorías medioambientales y auditorías de seguridad y salud en el trabajo. Las tres disponen de sus correspondientes normas: calidad (UNE– ISO 9001:2008), medio ambiente (UNE– ISO 14001:2001) y seguridad y salud en el trabajo (OHSAS 18001:2007). En este caso, las auditorías que se aplican son auditorías de tercera parte o auditorías de cumplimiento. Se realizan para determinar si la entidad auditada aplica correctamente los procedimientos, reglas o reglamentos específicos que una autoridad superior ha establecido.
Las auditorías de certificación constituyen una variante de las auditorías de cumplimiento y verifican que una organización que tenga implantado un sistema de gestión de calidad, por ejemplo cumpla los requisitos establecidos por la norma, en este caso la ISO 2001:2008. Los auditores comparan minuciosamente documentación, registros y actividades con los requisitos de la norma en cuestión y verifican su conformidad con esta.
Un avance importante en el aspecto normativo de los sistemas de gestión se ha producido con la publicación de las normas ISO 30300, Management Systems for Records: ISO 30300 Management systems for records – Fundamentals and vocabulary22, y la ISO 30301, Management systems for records – Requirements23. La primera establece los fundamentos y la terminología y la segunda los requisitos generales del sistema de gestión de documentos. Se hallan en fase de propuesta la ISO 3030224 (guía para la implementación), la ISO 3030325 (requisitos para los organismos que proporcionan la auditoría y la certificación) y la ISO 3030426 (guía de evaluación).
La UNE-ISO 30301 incorpora tres posibles vías para demostrar la conformidad con la norma: la auditoría interna o de autodeclaración, la auditoría de confirmación o de tercera parte y la auditoría de certificación, que solo puede realizar una entidad de certificación.
Auditorías obligatorias son aquellas vinculadas a un requerimiento legal o al cumplimiento de una norma.
Auditorias voluntarias son aquellas relacionadas con la obtención de una certificación, con la adopción de un sistema certificado o de un sello acreditativo o con la finalidad de desarrollar de forma más óptima una actividad. Ejemplo de ello son las auditorías de sistemas de gestión: auditorías de calidad, auditorías medioambientales, de seguridad y salud en el trabajo o de gestión de documentos.
Tabla 2. Cuadro resumen de los principales tipos de auditoría
| Tipo de auditoría | Objeto de estudio | Acción | Auditor | Ámbito |
| Financiera o de cuentas anuales | Cuentas anuales (CC. AA.). | Emitir una opinión sobre si las CC. AA. expresan en todos sus aspectos significativos la imagen fiel de la empresa conforme a los PCGA. |
Profesional independiente externo. | Privado |
| Operativa o de gestión | Gestión de la empresa (eficacia con la que se alcanzan los resultados, y medios, procedimientos, organización y otros factores relacionados con la gestión). | Comprobar el grado de cumplimiento de los objetivos e identificar condiciones de mejora. Diagnosticar los problemas que dificultan la consecución de los objetivos propuestos. |
Profesionales cualificados y expertos, externos o internos de la empresa. | Privado público |
| Comunicación | Imagen proyectada e imagen percibida por una organización. | Realizar un estudio de la diferencia entre la imagen proyectada y la imagen percibida. | Auditor externo | Privado público |
| Fiscal | Información jurídica y tributaria. | Examinar el cumplimiento de las obligaciones fiscales de la empresa: la veracidad y la fiabilidad de la información preparada por la empresa. | Personal especializado de la propia empresa, profesional externo. | Privado Público |
| Calidad | Sistema de calidad | Determinar el grado en el que se han alcanzado los requisitos del sistema de calidad UNE-EN ISO 9001:2008 o bien proceso sistemático, independiente y documentado orientado a la obtención de evidencias del funcionamiento del sistema. | Profesionales certificados | Privado público |
| Legal o due dilligence | Revisión de la documentación legal (societaria, contractual, financiera y de seguros, de bienes muebles, propiedad industrial, fiscal, laboral, de protección de datos, etc.) |
Elaborar un cuadro de contingencias (contingencias detectadas en la revisión, descripción del riesgo, posibilidad de materialización y cuantificación si es posible su cálculo). | Abogados-asesores legales en operaciones corporativas y/o compraventa de empresas | Privado |
| Medioambiental | Políticas medioambientales de la empresa. | Verificar el cumplimiento de las normativas medioambientales de cuidado y protección del entorno UNE-EN ISO 14001:2001. | Equipos multidisciplinares | Privado público |
| Sistemas de información | Sistemas de gestión de información, organización y procedimientos. | Determinar si los sistemas y recursos relacionados con los sistemas de información protegen adecuadamente los activos, mantienen la integridad, fiabilidad y disponibilidad de los datos y procesos, alcanzan los objetivos de la organización y consumen los recursos de manera eficiente. |
Profesionales certificados con el CISA (Certified Information Systems Auditor) de la ISACA (Information Systems Audit and Control Association) | Privado público |
| Protección de datos | Datos personales (ficheros automatizados y no automatizados). | Verificar el cumplimiento efectivo de la normativa sobre protección de datos y garantizar la privacidad ante posibles injerencias de las tecnologías de la información. |
Profesionales con certificado CISA | Privado público |
| Pública | Información de entidades públicas o gubernamentales. |
Función fiscalizadora, económica y de auditoría financiera. |
Organismos de la Administración (tribunal de cuentas, sindicatura de cuentas) |
Público |
| Seguridad de la información |
Riesgos de la seguridad de la información. |
Verificar el estado de la información en cuanto a confidencialidad, integridad y disponibilidad, el cumplimiento de los procesos operativos de seguridad y la adecuación de la organización a la aplicación de las políticas de seguridad, UNE71502:2004 ISO27001 UNE-ISO/IEC 17799:2002 |
Profesionales certificados |
Privado público |
| Conocimiento | Activos de conocimiento de la organización. | Examen y evaluación sistemática de los recursos explícitos y tácitos de una organización. |
Privado público |
Fuente: elaboración propia.
Toda modalidad de auditoría tiene un componente importante de auditoría documental y de la información. Por ejemplo, en una auditoría de protección de datos27, además de la rendición de cuentas sobre la protección de datos y la seguridad de los datos personales, tiene un papel muy destacado la gestión documental, es decir, los procesos para gestionar los documentos electrónicos y manuales que contienen datos personales. Se tienen en cuenta los controles para crear, mantener, almacenar, mover, guardar y destruir los documentos y registros de datos personales.