INTERVINIENTES EN UNA AUDITORÍA, EJECUCIÓN

A la hora de abordar una Auditoría, podremos encontrarnos con diversas figuras intervinientes en función del tamaño y organigrama de la organización:

• Dirección la Organización, los órganos de dirección competentes para la toma de las decisiones referidas a la política de tratamiento de tratamiento de datos.
• El Delegado de Protección de Datos -DPO / DPD- en aquellos casos cuya designación sea obligatoria para el responsable del Tratamiento.
• El director de seguridad de la información -CISO-, rol ejecutivo cuya función principal es la de alinear la seguridad de la información con los objetivos de negocio.
• El responsable de la seguridad de la organización -CSO- también denominado como responsable de seguridad corporativa.
• El director ejecutivo -CEO-, el gerente, el cargo más alto dentro del organigrama de la organización, responsable final de las acciones que se lleven a cabo dentro de la empresa, de su desempeño y su eficiencia.
• El gerente de sistemas o director de tecnologías de la información -CIO-, se encarga de que las estrategias de la organización estén alineadas con la tecnología de la información para lograr los objetivos planificados.
• El director técnico -CTO- el cual tiene como responsabilidad la gestión del día a día de las tecnologías de la información.

Obviamente hay que tener en cuenta las diferencias organizativas de una micro pyme, pequeña, mediana y gran empresa, así como las composiciones de los órganos de administración y su forma jurídica, Sociedad Anónima, Limitada, etc.

Dentro del proceso de la ejecución de toda auditoría, y de modo general, los responsables de la misma deberán:

• Establecer los objetivos y la extensión del programa de auditoría.
• Establecer las responsabilidades, los recursos y los procedimientos.
• Asegurarse de la implementación del programa de auditoría.
• Controlar, revisar y mejorar el programa de auditoría.

Para ello seguiremos el modelo PDCA: Plan, Do, Check, Act, (Planificación, Realización, Control y Actuación).

• Planificar: Elaborar el programa de la auditoría, Definir los objetivos, el alcance y los criterios. Definir los recursos. Revisar los procedimientos. Designación del auditor. Determinar la viabilidad. Conformar el equipo auditor. Revisión de la documentación. Preparación de la auditoría de campo. Preparación de los documentos de trabajo: plan de auditoría, lista de verificación y solicitud de acciones correctivas. Asignar las diversas tareas al equipo auditor.
• Realización: Realizar la auditoría de campo. Efectuar la reunión de apertura. Definir los canales de comunicación. Recolectar y verificar la información. Generar los hallazgos de la auditoría. Preparar las conclusiones de la auditoría. Realizar la reunión de cierre.
• Control: Preparar, aprobar y distribuir el informe de auditoría. Finalización de la auditoría. Seguimiento y revisión. Identificar la necesidad de acciones correctivas, preventivas y/o planes de mejora. Búsqueda e identificación las oportunidades de mejora.
• Actuación: Realizar mejoras al programa de auditoría