qConocimiento

Conocimiento de gestión aplicado

Evidencia en auditoría de Sistema de Gestión

Por Ángel Minondo Urzainqui Edición: 1

¿Qué es?

“Información obtenida por el auditor/a para llegar a las conclusiones en las que basa su opinión”. (Ref. NIA 500).

Debe ser objetiva y, para ello, “su veracidad puede demostrarse, basada en hechos y obtenida por observación, medición, ensayo u otro medio” (Ref. ISO 8402)

La naturaleza de la evidencia está constituida por la información recogida por el auditor/a, que es susceptible de ser verificada, y que tiene relación con los criterios requeridos para dar conformidad al Sistema de Gestión auditado.

¿Para qué sirve?

Las evidencias constituyen la prueba de realidad de una auditoría y sirven principalmente para:

- Construir una convicción razonable del auditor/a respecto a la realidad del Sistema de Gestión auditado

- Permitir la descripción de hallazgos objetivos relacionados con conformidades o no conformidades

- Aportar pruebas objetivas a las opiniones emitidas por el auditor/a

- Facilitar la redacción argumentada de puntos fuertes, no conformidades y áreas de mejora

- Sustentar las conclusiones y el informe de auditoría

- Facilitar la trazabilidad de las revisiones de los Comités de Certificación o de otras entidades externas autorizadas (ej. entidades de acreditación)

- Demostrar la profesionalidad del auditor/a

- Servir de referencia para verificaciones en auditorías posteriores

“Las evidencias de auditoría deben ser evaluadas frente a los criterios de auditoría, esto es, frente al conjunto de requisitos que sirven de referencia. El resultado de esta evaluación constituye el hallazgo de auditoría, que puede ser positivo o negativo.

Positivo: Se demuestra cumplimiento con respecto al criterio de auditoría (conformidad) Negativo: Se demuestra incumplimiento respecto al criterio de auditoría (no conformidad)” Ref. ISO

Explicación

La norma de vocabulario ISO 9000, define la auditoría de la calidad como un "proceso sistemático, independiente y documentado para obtener evidencias de la auditoría (registros, declaraciones de hechos o cualquier otra información) y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría (conjunto de políticas, procedimientos o requisitos utilizados como referencia)"

A continuación podemos reflexionar sobre cinco aspectos relacionados con las evidencias de auditoría: La necesidad de operar con ellas, las características o atributos que deben tener, los diferentes tipos de evidencias, su calidad en relación a las fuentes de origen y los métodos para obtenerlas.

NECESIDAD DE EVIDENCIAS

Las evidencias objetivas son imprescindibles para aportar una base de juicio bien fundamentada, para su análisis e interpretación, con el fin de poder emitir conclusiones razonables en la auditoría, dado que se opera sobre muestras limitadas de información que tienen un nivel determinado de certeza.

Veamos estas ideas que hacen necesaria operar con evidencias:

a.- Muestra informativa: Para formar la opinión de auditoría habitualmente no se comprueba toda la información disponible, ya que se dispone de un tiempo limitado y se puede llegar a conclusiones sobre una muestra suficiente y adecuada.

b.- Certeza informativa: No siempre se podrá tener certeza absoluta sobre la validez de la información recogida. Por consiguiente, se determinarán los métodos necesarios para la obtención de evidencias confiables y eficaces en relación al objetivo de auditoría.

c.- Respaldo de conclusiones: Cuando se emite un informe de auditoría, se reseñan los aspectos positivos y negativos identificados en la auditoría y los hechos planteados en el informe siempre deben estar correctamente soportados.

“Las evidencias cobran mayor y especial importancia, cuando lo reportado en el informe de auditoría trata sobre hechos irregulares encontrados en el proceso de auditoría por lo que, con mayor razón, deben estar suficientemente respaldados por evidencias, documentos y pruebas que garanticen la veracidad de lo informado”. (Ref. Gerencie)

La existencia de documentación interna, no puede considerarse por sí misma, evidencia suficiente, confiable, adecuada y eficaz. El auditor debe llegar a la convicción de la razonabilidad de los mismos mediante la aplicación de las pruebas necesarias como, por ejemplo, las propias de una auditoría funcional.

Recordemos que se audita la eficacia del Sistema de Gestión en relación a los criterios de una Norma o Modelo de referencia, por lo que las evidencias no son un fin en sí mismo, sino el medio (pruebas) a través del cual justificamos las conclusiones de auditoría.

CARACTERÍSTICAS DE UNA EVIDENCIA:

Los auditores deben obtener evidencias suficientes y adecuadas, que deben mostrarse también como confiables y eficaces, con el fin de poder emitir conclusiones razonables en el informe de auditoría.

Todas las evidencias deben ser objetivas, no dependiendo exclusivamente de la opinión subjetiva del auditor. No obstante, en la comprensión de sus características influye la cualificación y experiencia del auditor.

Veamos las principales características de las evidencias recogidas en auditoría:

-Adecuación: Grado de pertinencia de la evidencia para emitir un juicio profesional. Es una medida cualitativa. La adecuación o validez de la evidencia para respaldar las conclusiones en las que se basa la opinión del auditor puede depender de:

- Idoneidad: Representatividad respecto al elemento auditado

- Vigencia: Aplicabilidad de la información en el momento analizado por la auditoría

- Relevancia: Peso para facilitar una conclusión respecto a los objetivos específicos de auditoría.

- Precisión: Exactitud, integridad y detalle de la información

-Confiabilidad: Grado en que la evidencia que se obtiene es lo que deber ser y que, si un tercero sigue el mismo proceso de auditoría, deberá obtener resultados similares verificables y comprobables. Es una media cualitativa. La fiabilidad de la evidencia puede depender de:

- Repetibilidad: Posibilidad de volver a auditar el proceso en similares condiciones

- Competencia de la fuente: Garantía de conocimiento en el origen de la información

- Control: Existencia de mecanismos de internos o externos de comprobación

- Coherencia: Ausencia de contradicciones con otras evidencias

-Suficiencia: Cantidad de evidencias que el auditor considera que debe disponer para llegar a conclusiones razonables. Es una medida cuantitativa. La suficiencia en la recopilación de evidencias puede depender de:

- Importancia relativa del elemento auditado

- Riesgo probable de error en la información (a mayor riesgo se necesita más evidencia)

- Calidad de la información recabada (a mayor calidad se necesita menos evidencia)

- Presentación verbal o escrita (la escrita necesita menos evidencia)

-Eficacia: Grado de relación causa – efecto entre acciones y resultados asociados a la evidencia. Es una medida cuantitativa. La consideración de eficacia de una evidencia puede depender de:

- Causalidad: Incidencia en la obtención de algún resultado previsible

- Continuidad: Necesidad de mantener el elemento auditado en periodos de tiempo específicos

- Obligatoriedad: Capacidad de cumplimiento normativo, cuando proceda

- Cambio: Evolución relacionada con el desarrollo del Sistema de Gestión auditado

Normalmente no se verifica toda la información disponible sino que se lleva a cabo un muestreo representativo que minimice el riesgo de que la conclusión del auditor sea diferente a la revisión de la totalidad de la información disponible. La ausencia de información también se puede considerar como una evidencia.

TIPOS DE EVIDENCIAS

Las evidencias son un elemento clave en una auditoría y el auditor debe prestar especial atención a sus diferentes formas de expresión. Las evidencias pueden ser:

1.-Documentales: Se muestran en documentos físicos o electrónicos. Pueden ser internas o externas a la Organización.

2.-Físicas: Se recogen mediante la observación directa de bienes, actividades o sucesos

3.-Declarativas: Se basan en las declaraciones de las personas en el transcurso de entrevistas de auditoría

4.-Analíticas: Se fundamentan en el análisis y verificación de los datos recogidos en la auditoría

5.-Informáticas: Se observan en las aplicaciones y soportes informáticos accesibles durante la auditoría

CALIDAD, SEGURIDAD Y FUENTES DE EVIDENCIAS

Como señalan AT Consultores & Auditores, se puede distinguir entre:

1) Evidencia obtenida directamente por el auditor, independientemente de los soportes presentados por la Organización.

2) Evidencia externa visible en fuentes ajenas a la Organización.

3) Evidencia interna presentada por la Organización. Es más fiable si se aprecia control interno.

4) Solapamiento de la evidencia. Si coinciden varias fuentes se puede constatar su coherencia.

El orden anterior suele estar relacionado con la calidad de la evidencia.

La seguridad razonable se alcanza cuando el auditor ha obtenido evidencia de auditoría suficiente, confiable, adecuada y eficaz, para reducir el riesgo de emitir una opinión imprecisa a un nivel aceptablemente bajo.

Como se señala en NIA 500, “normalmente se obtiene más seguridad a partir de evidencia de auditoría congruente, obtenida de fuentes diferentes o de naturaleza diferente, que a partir de elementos de evidencia de auditoría considerados de forma individual”.

MÉTODOS PARA OBTENER EVIDENCIAS

Un objetivo fundamental del auditor es diseñar y aplicar los procedimientos de auditoría de forma que le permita obtener evidencias de auditoría suficientes, adecuadas, confiables y eficaces.

Los procedimientos de auditoría deben contemplar diversos métodos para la recopilación de evidencias, como la inspección física, revisión documental, comparación interdocumental, indagación complementaria, preguntas de contraste al personal, comunicaciones de confirmación, verificación y conciliación de resultados, observación de aplicación de procedimientos y revisión analítica.

El auditor debe seleccionar el método más apropiado en cada momento de la auditoría.

“Cuando una evidencia es detectada a través de diversos métodos, la fortaleza de las conclusiones es superior “ (Ref. AT Consultores & Auditores)

El auditor recoge las evidencias obtenidas en su registro de auditoría como justificación del trabajo efectuado, como soporte para el análisis de los hallazgos y como apoyo para la redacción del informe de auditoría.

Las evidencias, independientemente del método de detección, se tratan como información confidencial sujeta al rango de confidencialidad determinado en el procedimiento de auditoría.

Deben conservarse y estar disponible por el tiempo que cumpla con en procedimiento de la entidad auditora y protegidas de modificaciones no acordadas. Se podrán eliminar al final del periodo establecido.

Si quiere conocer otros conceptos de gestión, puede acceder a la plataforma abierta y gratuita http://sugestion.quned.es/ que es un proyecto de Responsabilidad Social Intelectual de la Cátedra de Calidad de la Universidad Nacional de Educación a Distancia (UNED).

Ejemplos prácticos

Se pueden ver algunos ejemplos disponibles en internet en el momento de redacción de esta ficha. Las fuentes de origen pueden restringir su acceso o modificar los contenidos originales

-Ej. Evidencia en auditoría interna (ref. Blog de ISO Calidad 2000) España.

-Estudio de la evidencia en auditoria interna (ref. mfsserra)

-Ejemplo de técnicas de auditoría ISO 9001 para obtener evidencias (ref. Escuela Europea de Excelencia, 2019)

https://www.escuelaeuropeaexcelencia.com/2019/10/tecnicas-de-auditoria-iso-9001-como-obtener-evidencias/

-Ejemplo de norma NIA ES 500 de evidencia en auditoría económica (ref. Instituto de Contabilidad y Auditoría de Cuentas, España, 2013)

https://www.icjce.es/adjuntos/niaes-500.pdf

Aplicaciones y soportes frecuentes

REDERAlgunas AplicacionesAlgunos Soportes Observables
RDisponer de criterios de comprobación de la norma o directriz de referenciaRequisitos de evidencias de certificación
EPreparar la ruta de actividades de la auditoríaPlan de auditoría
DRecoger la información con adecuada y suficiente constatación realRegistro de auditoría documental. Registro de auditoría funcional
Justificar las conclusiones en base a información verificada y constatadaInforme de auditoría documental. Informe de auditoría funcional. Informe de certificación
EValidar conjuntamente la adecuación y suficiencia de las evidencias recogidas y su relación con las conclusionesRegistro de consenso del equipo auditor
RDeterminar y corregir, si procede las no conformidadesRegistro de acciones correctoras

Cuestiones clave para autoevaluar Puede realizar un chequeo detallado sobre una evidencia identificada para ver si es adecuada, confiable, suficiente y eficaz. Máximo 100 puntos

¿Se puede considerar idónea (representativa respecto al elemento auditado) y vigente en el momento analizado en la auditoría?
¿Se puede considerar relevante para facilitar una conclusión respecto a los objetivos específicos de auditoría?
¿Su información se puede considerar precisa en cuanto a la exactitud, integridad y detalle aportados?
Si se volviera a auditar el proceso en similares condiciones, ¿se podría volver a identificar la evidencia?
La fuente que aporta la evidencia ¿conoce y controla la información aportada?
¿Existe ausencia de contradicciones con otras evidencias?
¿Existe escaso o nulo riesgo probable de error en la información?
¿Es suficiente la evidencia encontrada para concluir la conformidad o no del elemento auditado con el requisito requerido por la norma o directriz de referencia?
¿Tiene incidencia en la obtención de algún resultado previsible?
¿Ha evolucionado en función del desarrollo del Sistema de Gestión auditado, cuando proceda?

Información adicional del autor

Autor: Ángel Minondo UrzainquiCargo: Subdirector técnico Cátedra de Calidad de la UNED "Ciudad de Tudela"
Empresa/organización: UNED Tudela
Actividad: Formación UniversitariaContacto: www.unedtudela.es