Nos indican las buenas prácticas de auditoría que la forma de alcanzar conclusiones de auditoría fiables y reproducibles es que el proceso sea sistemático.
Uno de sus principios básicos de dicho proceso es el enfoque basado en la evidencia. ¿Qué quiere decir esto? Que el auditor establece las conclusiones de la auditoría a partir de la evaluación que haga de las evidencias que recoja.
Para que las conclusiones sean razonables es fundamental que las evidencias sean suficientes y adecuadas. Así, hasta poder establecer las conclusiones de la auditoría, la mayor parte del trabajo del auditor es la obtención y evaluación de evidencias de auditoría.
Evidencia de auditoría: registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría y que es verificable (ISO 9000, apartado 3.13.8)
¿Cuándo estamos ante una evidencia de auditoría adecuada? La adecuación es una medida cualitativa de la evidencia. Una evidencia es adecuada cuando su relevancia y fiabilidad son tales que pueden respaldar las conclusiones de la auditoría.
La adecuación de la evidencia depende de la naturaleza y procedencia de la evidencia así como de las circunstancias concretas en las que es obtenida.
Uno de los criterios imprescindibles es que sea verificable. Sólo la información que es verificable puede ser una evidencia de auditoría.
¿Cuándo estamos ante una evidencia de auditoría suficiente? La suficiencia es una medida cuantitativa de la evidencia de auditoría; esto es, la cantidad necesaria de evidencia que requiere el auditor para poder fundamentar una conclusión.
La suficiencia depende, fundamentalmente, de dos factores: por una parte de la adecuación de la evidencia y por otra valoración que haga el auditor sobre la confianza de sus conclusiones.
Y es el criterio profesional del auditor el que determina si la evidencia de auditoría obtenida es suficiente y adecuada, a partir de su experiencia y saber hacer.
¿Cómo se obtienen las evidencias de auditoría?
La propia definición de evidencia de auditoría nos orienta sobre cómo obtenerla y así, todo aquello que nos proporcione registros, declaraciones de hechos e información es una forma de obtener evidencias.
Las entrevistas, el examen de información documentada (incluyendo informes de auditoría previos, de inspecciones llevadas a cabo por clientes, Administración, etc.) y la observación de los procesos e instalaciones son fuentes de información con diferente grado de fiabilidad, según la naturaleza y fuente de la información.
Cuando la relevancia, suficiencia o fiabilidad de la evidencia de auditoría es baja podemos estar ante un indicio. Me gusta recurrir al término indicio, aunque no se incluya dentro de los términos que define ISO 9000, en tanto que permite conocer o inferir la existencia de otro y es el que encuentro más ajustado para toda aquella información que orienta la investigación.
Indicio: Fenómeno que permite conocer o inferir la existencia de otro no conocido (Real Academia Española)
Por ejemplo, la observación proporciona evidencia de auditoría sobre la realización de un proceso o procedimiento, pero está limitada al momento en el que tiene lugar la observación; además, el modo en que se ejecuta y el desempeño del proceso puede verse afectado por el hecho de ser observado.
Puede no ser por lo tanto, una evidencia adecuada ni suficiente aunque nos aporta información que debemos considerar, para investigar, indagar y confirmar mediante otras fuentes o evidencias de distinta naturaleza que nos permitirán obtener información hasta verificar la conformidad (o no) del requisito que estamos comprobando. Eso sí, teniendo en cuenta que el tiempo y los recursos son finitos y limitados.
Una vez obtenida, la evidencia de auditoría se evalúa con respecto a los criterios de auditoría. El resultado de dicha evaluación es el hallazgo de auditoría y puede indicar conformidad o no conformidad con dichos criterios.
Hallazgo de auditoría: resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría (ISO 9000, apartado 3.13.9)
Y con el conjunto de los hallazgos y considerando el objetivo de la auditoría, el auditor puede ya emitir sus conclusiones de auditoría.
Conclusiones de auditoría: resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría (ISO 9000, apartado 3.13.10)
En este vídeo encontrarás un resumen de los conceptos básicos en el enlace y en esta infografía el resumen del artículo, con los enlaces al material audiovisual.