La confidencialidad en el encargo es representada a través de una carta de confidencialidad que actúa como un acuerdo de no divulgación, en donde se deja constancia de que ningún individuo de la firma y/o encargo debe o puede compartir información sensible o importante y deberá proteger y mantener la confidencialidad de la información del cliente y de terceros según normatividad en vigor y lo dispuesto por autoridades reguladoras.
La confidencialidad en la firma de auditoría debe cumplir con el conjunto de normas de privacidad, a través de los siguientes aspectos:
- Elegir al personal idóneo como principal responsable de la implementación y el cumplimiento de las disposiciones de protección de la información personal.
- Dar a conocer las políticas y procedimientos para el acceso de información a través de un manual de control de calidad donde se detallen los requerimientos y tópicos de privacidad y confidencialidad del cliente.
- Utilizar tecnología según el sector de la entidad como firewalls, hardware y software que propendan por el buen uso, protección y recuperación de información electrónica.
- Mantener instalaciones internas y externas, y procedimientos para el tratamiento, protección, conservación, recuperación y almacenamiento de archivos, contra el acceso no autorizado o uso inadecuado.
- Requerir al personal que firme una declaración de confidencialidad al ser contratado en la firma de auditoría y esta elegirá si guardar las declaraciones en los archivos del personal.
¿Qué debe contener una carta de confidencialidad?
- Definición de lo que se considera información confidencial
- Para qué se puede utilizar la información confidencial y sus restricciones
- Quién puede recibir, copiar o consultar información confidencial
- Divulgaciones requeridas por ley
- Cuánto tiempo la información debe permanecer confidencial
La firma o el socio encargado impone restricciones en cuanto a la información confidencial a la parte que la recibe, limitando su distribución, consulta, copia, almacenamiento, y su principal uso o revelación es meramente con la finalidad para la que se obtuvo y deberá ser archivado por un período suficiente para cumplir con los requerimientos legales, reglamentarios o profesionales.
La información que se considera confidencial puede variar de un encargo a otro, sin embargo, casi cualquier tipo de dato puede ser información confidencial, como es el caso de la información comercial y personal del profesional, del cliente y de terceros. Los ejemplos de información confidencial incluyen secretos comerciales, patentes, diseños de productos, bases de datos, información o listas de clientes, etc.
Se declarará que la información o datos del cliente no serán comunicados a terceros, salvo obligación legal y este tendrá derecho a obtener una confirmación sobre si se están tratando aspectos contractuales que le conciernen, o no, al igual que podrá solicitar la rectificación de datos inexactos, o solicitar que se eliminen datos que no son necesarios para el fin por el que fueron recogidos.
De acuerdo con la NICC1, los datos personales, o información relevante de la firma, cliente y terceros será conservada en un plazo determinado según el criterio de la firma de auditoría a través de políticas y procedimientos para la conservación de la documentación que busquen su almacenamiento hasta satisfacer las necesidades de la firma de auditoría o según lo requerido por la normativa legal o regulatoria.
¿Por qué es importante hacer firmar la carta de confidencialidad a los integrantes de una firma o encargo de auditoría?
Tener una carta de confidencialidad firmada por la parte de quien recibe la información confidencial garantiza que la información que comparte estará protegida y no se divulgará, dejando una constancia donde se especifique que en ninguna circunstancia puede ser quebrantado dicho acuerdo. Este acuerdo se sugiere sea firmado una vez al año, especialmente al inicio de un encargo de auditoría.
Ver. Modelo de Declaración de Confidencialidad
Equipo Auditool