Auditoría Interna Anual de Cumplimiento
Procedimiento de gobernanza corporativa. La auditoría interna anual garantiza que Lawra cumple con todas sus obligaciones legales, fiscales, laborales, de privacidad y de seguridad. Aprobado por la Asamblea General de Socios en fecha [__]. Versión: 1.0.
1. Propósito y Alcance
1.1. La auditoría interna anual de cumplimiento es una revisión sistemática y documentada del estado de cumplimiento de Lawra en todas las áreas reguladas. No es una auditoría financiera externa (esa es separada y tiene sus propios requisitos); es una revisión interna de gobernanza y riesgo legal.
1.2. El resultado de la auditoría es un Informe de Cumplimiento Anual que se presenta a la Asamblea de Socios. Las brechas identificadas generan un plan de acción con fechas y responsables.
1.3. Timing: ejecutar en el cuarto trimestre (octubre–noviembre) de cada año, para que las correcciones necesarias puedan implementarse antes del cierre del ejercicio fiscal.
2. Áreas de Auditoría y Checklist
2.1. Área Corporativa / Legal
| # | Ítem a verificar | Responsable | Estado |
|---|---|---|---|
| 1 | Registro Mercantil vigente y sin observaciones | Gerente | [ ] |
| 2 | Tarjeta RNC activa y actualizada | Contador | [ ] |
| 3 | Acta de Asamblea del ejercicio corriente firmada y en libro de actas | Gerente | [ ] |
| 4 | Libro de Actas y Libro de Socios actualizados | Gerente | [ ] |
| 5 | Contratos con clientes vigentes y firmados (sin expirados sin renovar) | CCO | [ ] |
| 6 | NDAs vigentes con todos los empleados, contratistas y proveedores clave | SVP Law | [ ] |
| 7 | Cesiones de IP firmadas por todos los miembros del equipo | SVP Law | [ ] |
| 8 | Acuerdo de Socios vigente y actualizado | SVP Law | [ ] |
| 9 | Seguros contratados y vigentes (D&O, E&O, Cyber, Multi-Riesgo, Equipos) | Gerente | [ ] |
| 10 | Beneficial Owner Declaration actualizada | Gerente | [ ] |
2.2. Área Fiscal / Contable
| # | Ítem a verificar | Responsable | Estado |
|---|---|---|---|
| 1 | Declaraciones mensuales ITBIS (IT-1) al día | Contador | [ ] |
| 2 | Retenciones ISR a empleados declaradas (IT-3/IT-17) | Contador | [ ] |
| 3 | Retenciones a proveedores declaradas y pagadas | Contador | [ ] |
| 4 | Reportes 606, 607, 623 presentados mensualmente | Contador | [ ] |
| 5 | IR-2 del año anterior presentado dentro del plazo | Contador | [ ] |
| 6 | Impuesto sobre los Activos (ISA) pagado si aplica | Contador | [ ] |
| 7 | Contribuciones SFS, AFP, INFOTEP al día | Contador | [ ] |
| 8 | Sin requerimientos pendientes de DGII | Contador | [ ] |
| 9 | Libros contables actualizados al mes | Contador | [ ] |
| 10 | Conciliaciones bancarias realizadas y archivadas | Contador | [ ] |
2.3. Área Laboral
| # | Ítem a verificar | Responsable | Estado |
|---|---|---|---|
| 1 | Contratos de trabajo vigentes con todos los empleados | Gerente | [ ] |
| 2 | Registro de empleados ante el Ministerio de Trabajo y DGSS | Contador | [ ] |
| 3 | Regalía Pascual calculada y provisionada | Contador | [ ] |
| 4 | Beneficios laborales completos (SFS, AFP, vacaciones, licencias) | Gerente | [ ] |
| 5 | No hay empleados clasificados como contratistas que deberían ser empleados | SVP Law | [ ] |
| 6 | Código de conducta / reglamento interno comunicado a todos | Gerente | [ ] |
| 7 | Política anti-acoso comunicada y firmada | Gerente | [ ] |
2.4. Área de Privacidad y Protección de Datos
| # | Ítem a verificar | Responsable | Estado |
|---|---|---|---|
| 1 | Política de Privacidad pública vigente y actualizada | SVP Law | [ ] |
| 2 | Términos de Servicio actualizados con disclaimers de IA | SVP Law | [ ] |
| 3 | DPA firmado con clientes que lo requieran | SVP Law | [ ] |
| 4 | Registro de actividades de tratamiento de datos actualizado | Oficial de Cumplimiento | [ ] |
| 5 | Acuerdos de procesamiento de datos con sub-procesadores (Google, Firebase, etc.) | CTO | [ ] |
| 6 | Mecanismo de consentimiento de cookies implementado y funcionando | CTO | [ ] |
| 7 | Proceso de atención a solicitudes ARCO documentado y probado | SVP Law | [ ] |
| 8 | Sin brechas de datos no reportadas en el período | CTO | [ ] |
| 9 | Retención de datos: ¿se eliminan datos vencidos según política? | CTO | [ ] |
| 10 | Cumplimiento adaptaciones jurisdiccionales (GDPR UE, CCPA CA, LGPD BR) | SVP Law | [ ] |
2.5. Área de Seguridad de la Información
| # | Ítem a verificar | Responsable | Estado |
|---|---|---|---|
| 1 | MFA activo en todas las cuentas de empleados (Google, GitHub, Firebase) | CTO | [ ] |
| 2 | Inventario de activos actualizado | CTO | [ ] |
| 3 | Política de acceso basado en roles (RBAC) vigente y aplicada | CTO | [ ] |
| 4 | Respaldos probados en el último trimestre | CTO | [ ] |
| 5 | Parches de seguridad aplicados en el último mes | CTO | [ ] |
| 6 | Penetration test o vulnerability scan realizado en el año | CTO | [ ] |
| 7 | Capacitación de seguridad completada por todo el equipo | Gerente | [ ] |
| 8 | Plan de respuesta a incidentes revisado y actualizado | CTO | [ ] |
| 9 | Revisión de accesos (offboarding completo de ex-empleados) | CTO | [ ] |
| 10 | Firestore rules y permisos de API revisados | CTO | [ ] |
2.6. Área Anti-Lavado / Cumplimiento Financiero (Ley 155-17)
| # | Ítem a verificar | Responsable | Estado |
|---|---|---|---|
| 1 | Formulario UAF actualizado | Gerente | [ ] |
| 2 | Declaración de Beneficiario Final actualizada | Gerente | [ ] |
| 3 | Política Anti-Lavado comunicada a todo el equipo | Oficial de Cumplimiento | [ ] |
| 4 | No se aceptaron pagos en efectivo durante el período | Contador | [ ] |
| 5 | No hay transacciones sospechosas no reportadas | Oficial de Cumplimiento | [ ] |
| 6 | Revisión de clientes de alto riesgo (PEP, jurisdicciones de alto riesgo) | Oficial de Cumplimiento | [ ] |
2.7. Área de Propiedad Intelectual
| # | Ítem a verificar | Responsable | Estado |
|---|---|---|---|
| 1 | Registro marca “Lawra” en ONAPI vigente | VP IP | [ ] |
| 2 | Solicitudes internacionales en trámite o concedidas (USPTO, EUIPO) | VP IP | [ ] |
| 3 | Renovaciones de dominio al día | CTO + VP IP | [ ] |
| 4 | Trademark watch activo (servicio o revisión manual) | VP IP | [ ] |
| 5 | No hay usos no autorizados de la marca identificados sin respuesta | VP IP | [ ] |
| 6 | Código fuente: copyright notices y licencias en orden | CTO | [ ] |
2.8. Línea Ética y Whistleblower
| # | Ítem a verificar | Responsable | Estado |
|---|---|---|---|
| 1 | Canal de denuncia (ethica@lawra.io) funcional | Oficial de Cumplimiento | [ ] |
| 2 | Política de Whistleblower comunicada a todo el equipo | Oficial de Cumplimiento | [ ] |
| 3 | Registro de denuncias revisado (si las hay, procesadas adecuadamente) | Oficial de Cumplimiento | [ ] |
3. Formato del Informe de Cumplimiento Anual
El informe se presenta a la Asamblea de Socios en [noviembre/diciembre]:
Estructura del informe:
- Resumen ejecutivo: porcentaje de ítems completos por área; áreas de mayor riesgo
- Estado por área: tabla con ítems completados, en proceso, y pendientes
- Brechas identificadas: listado de ítems no completos con análisis de riesgo
- Plan de acción: para cada brecha, la acción correctiva, responsable y fecha límite
- Incidentes del período: lista de incidentes (seguridad, datos, legales) y su resolución
- Recomendaciones: cambios de política, nuevas obligaciones regulatorias identificadas
4. Acción ante Brechas Críticas
Si durante la auditoría se identifica una brecha que representa riesgo legal o regulatorio inmediato (ej.: declaración fiscal vencida sin presentar, violación de datos no reportada, empleado sin contrato):
- Escalar al Gerente General inmediatamente
- No esperar al informe final de auditoría
- Implementar corrección de emergencia dentro de 5 días hábiles
Versión 1.0 — Aprobado por la Asamblea en [__]. Responsable: Oficial de Cumplimiento (con apoyo de cada área). Periodicidad: anual (Q4). Informe final a la Asamblea: noviembre/diciembre de cada año.
Comments
Loading comments...