Listo para auditoría: cerrar tu archivo antes del cierre del ejercicio
Cada año llega el momento en que el auditor llama a la puerta. Armario abierto, armario cerrado, ¿dónde está el libro de compras del ejercicio anterior y por qué hay todavía una caja de 2014 detrás de la estantería? Un archivo bien organizado hace que el cierre del ejercicio sea más rápido, más barato y menos estresante. Un archivo mal organizado te cuesta horas de búsqueda y te carga con trabajo de aclaración con el auditor que podrías haber dedicado a otra cosa. Este artículo ofrece un ritmo y una checklist para cerrar tu archivo a prueba de auditoría cada año.
Público objetivo: administrativos, jefes de oficina, pymes, controllers.
¿Por qué un ritual anual?
Sin un momento fijo, tu archivo crece sin límite. Las cajas de papel se acumulan, los HDD se quedan en armarios, las memorias USB desaparecen bajo los escritorios. El RGPD (art. 5) exige la limitación de la conservación. La ley fiscal (AWR art. 52) exige que los documentos relevantes sigan disponibles. Un ritmo anual reconcilia ambas cosas. Siempre sabes qué material sigue siendo legalmente necesario y qué material puede irse.
Un archivo sin un momento anual de destrucción se convierte en un sistema sin control. Conservas demasiado tiempo, no sabes qué hay y corres un riesgo de RGPD.
El ciclo anual en cinco fases
Fase 1: inventario (enero)
Tras el fin de año recorres el archivo. ¿Qué hay? Por cada etiqueta de caja anotas el ejercicio, el tipo de contenido y el plazo de conservación. ¿No tienes etiquetas? Empieza ahora. Una caja sin etiqueta es una caja que no puedes ordenar.
Categorías útiles para el inventario:
- Fiscal (7 años, AWR art. 52)
- Administración salarial (5 años tras el fin de la relación laboral)
- Contratos (7 años tras la finalización, a veces más)
- Correspondencia con clientes (2 a 3 años)
- Expedientes de RRHH (consulta la guía rápida de plazos de conservación)
- Documentos Wwft (5 años, consulta Wwft 5 años)
- Documentación técnica (según política propia)
Fase 2: comprobación de plazos (enero/febrero)
Por cada caja determinas si ha vencido el plazo de conservación. Dos columnas en una lista. «puede irse» y «se queda». Deja que un segundo par de ojos firme la lista, preferiblemente alguien con capacidad de decisión (responsable financiero, DPO).
Fase 3: cierre contable del ejercicio (febrero/marzo)
Tu auditor cierra el ejercicio anterior. El año más reciente entra ahora en el archivo. Solo cuando las cuentas anuales son definitivas puedes asumir que nadie necesitará volver a un documento de ese año. Después puedes destruir definitivamente el conjunto más antiguo (ejercicio X-8, ahora X-1 + 7).
Fase 4: momento de destrucción (marzo/abril)
Programa un servicio de destrucción móvil. Reúne las cajas de la lista «puede irse», el operario lo muestra, la trituradora funciona, sale el certificado. Consulta destrucción móvil vs fuera de sitio.
Fase 5: administración y etiquetas (abril)
Guarda el certificado en el expediente de RGPD. Actualiza el registro de conservación. Reserva los espacios de archivo liberados para el ejercicio siguiente.
Checklist para el control del auditor
El auditor no solo mira las cifras, también tu proceso administrativo. Asegúrate de tener listo:
- Mayor, balance, cuenta de resultados del año pasado
- Fichas de deudores y acreedores
- Extractos bancarios y justificantes de caja
- Declaraciones salariales y nóminas
- Contratos de nuevas relaciones
- Justificantes de recuentos de inventario
- Certificados de destrucción (prueba de que los ejercicios antiguos se han ido)
- Registro de actividades de tratamiento actualizado
- Posibles notificaciones de brecha de datos del año pasado
Una carpeta completa ahorra horas de aclaraciones en la auditoría.
¿Cierre del ejercicio terminado, hora de ordenar?
Vamos hasta ti, trituramos tu ejercicio más antiguo in situ y entregamos el certificado para tu expediente de RGPD. Sin recargo por desplazamiento por encima de cierto volumen.
Solicite un presupuestoAuditoría ISO y NEN 7510
Si tu organización mantiene ISO 27001 o NEN 7510 (sanidad), la gestión del archivo forma parte de la auditoría anual. El auditor mira:
- ¿Están los plazos de conservación fijados en procedimientos?
- ¿Se cumplen?
- ¿Está documentada la destrucción?
- ¿Hay un contrato de encargado del tratamiento con la empresa de destrucción?
- ¿Se eliminan los soportes de datos de forma controlada?
En una auditoría NEN 7510 para instituciones sanitarias, la destrucción de datos médicos es un punto explícito. Consulta WGBO 20 años.
El fin de semana previo a la auditoría
En la semana anterior a la auditoría, muchas organizaciones hacen una limpieza. Lo que ocurre a menudo: se vacía el armario, las cajas encontradas se rompen directamente en una trituradora de oficina. Error. Motivo: sin certificado, sin documentación, sin rastro de auditoría.
Mejor: planifica la destrucción de forma profesional con certificado, preferiblemente al menos un mes antes de la auditoría. Así puedes demostrar en la auditoría. «El 15 de febrero destruimos el ejercicio 2018, certificado X, según DIN 66399 P-5.»
El lado digital
La auditoría comprueba a menudo también la práctica de archivo digital:
- Cintas de backup más antiguas que el plazo de conservación: fuera. Consulta eliminar cintas LTO.
- Portátiles retirados en el armario: destruir. Consulta borrar vs destruir HDD.
- Memorias USB antiguas: destruir. Consulta eliminar USB y SD.
Cada una de estas acciones de limpieza puede hacerse en el mismo servicio móvil de trituración que el papel, siempre que elijas un servicio que haga ambas cosas.
¿Qué hacer si vas atrasado?
¿Te has saltado años y tienes un atraso enorme? Sin pánico. Procedimiento:
- Inventaría de forma global lo que hay. No por documento, por caja es suficiente.
- Marca todas las cajas de más de 8 años como «por revisar».
- Planifica una gran limpieza puntual con una trituradora móvil.
- Tras la limpieza: introduce el ritmo anual.
Sin vergüenza por una gran acción puntual. Mejor ahora que seguir aplazándolo.
Colaboración con el auditor y el DPO
Programa una reunión anual: auditor, DPO, administrativo. Comenta:
- ¿Qué plazos cambiaron en la legislación?
- ¿Qué nuevos tratamientos hay?
- ¿Cómo va el registro de actividades de tratamiento?
- ¿Qué expedientes van a vencer en los próximos 12 meses?
- ¿Cuándo programamos el siguiente servicio de destrucción?
Una hora de reunión anual ahorra decenas de horas de seguimiento.
¿Quieres establecer un ritmo anual? Llámanos o solicita un presupuesto en desnipperaar.nl. Programamos momentos fijos de destrucción, incluido un sistema de recordatorios.