INDICE

INTRODUCCIÓN____________________________________________________________i

CONSEJOS PARA LA PRÁCTICA DE AUDITORIA INTERNA____________________________1

Consejo para la Práctica 1000-1: Estatuto de Auditoría Interna___________________________1Interpretación:_______________________________________________________________________1Consejo para la práctica:_______________________________________________________________1

Consejo para la Práctica 1210.A1-1: Obtención de Proveedores Externos de Servicios para Apoyar o Complementar la Actividad de Auditoría Interna______________________________2

Consejo para la Práctica 1310-1: Requisitos del Programa de Aseguramiento y Mejora de la Calidad________________________________________________________________________4

Consejos para la Práctica relacionados con las Normas sobre atributos____________________6

Consejos para la práctica relacionados con las Normas sobre desempeño__________________6

Consejos para la práctica relacionados con las Normas sobre desempeño__________________7

Declaración de Posición (Position Papers)____________________________________________7

GTAG:________________________________________________________________________7

Guía para la Evaluación de Riesgos de TI (GAIT)_______________________________________8Consejos:____________________________________________________________________________8

CONCLUSIÓN______________________________________________________________9

RECOMENDACIÓN_________________________________________________________10

BIBLIOGRAFIA____________________________________________________________11

INTRODUCCIÓN

A continuación se presente el trabajo de investigación, que trata acerca de los Consejos para la Práctica de la Auditoría Interna, de los cuales se hablan con mucho detalle, especificando el alcance de cada consejo y una ejemplificación en su caso de cómo se aplica.

Tratan sobre temas de enfoque, metodología y consideraciones, pero NO sobre procesos y procedimientos de manera minuciosa. Es una guía concisa y puntual para asistir a los auditores internos en la aplicación del Código de Ética y las Normas, además de promover las buenas prácticas.

Los trabajos que lleva a cabo auditoría interna son realizados en ambientes legales y culturales diversos, dentro de organizaciones que varían según sus propósitos, tamaño y estructura, y por personas de dentro o fuera de la organización. Si bien estas diferencias pueden afectar la práctica de la auditoría interna en cada ambiente, el cumplimiento de aplicación del Código de Ética y las Normas Internacionales para el Ejercicio de la Auditoría Interna – NIEPAI -.

Incluye prácticas relacionadas con problemas del ámbito internacional, del país o específicos del sector, además de tipos específicos de trabajos, problemas legales y reglamentarios.

i

CONSEJOS PARA LA PRÁCTICA DE AUDITORIA INTERNA

Tratan sobre temas de enfoque, metodología y consideraciones, pero NO sobre procesos y procedimientos de manera minuciosa. Es una guía concisa y puntual para asistir a los auditores internos en la aplicación del Código de Ética y las Normas, además de promover las buenas prácticas. Incluye prácticas relacionadas con problemas del ámbito internacional, del país o específicos del sector, además de tipos específicos de trabajos, problemas legales y reglamentarios.

Se ha realizado una limpieza significativa tendiente a reducir la cantidad de consejos para la práctica, de 83 a 42.Se han reescrito los consejos para la práctica remodelados para lograr:– Que sean concisos– Que describan el método, el enfoque o las consideraciones necesarias para ayudar a los auditores internos en la aplicación de Normas específicas o de los requerimientos del Código de Ética.

Consejo para la Práctica 1000-1: Estatuto de Auditoría InternaNorma principalmente relacionada:1000 – Propósito, autoridad y responsabilidad:El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben estar formalmente definidos en un estatuto, de conformidad con la definición de auditoría interna, el Código de Ética y las Normas. El director ejecutivo de auditoría debe revisar periódicamente el estatuto de auditoría interna y presentarlo a la alta dirección y al Consejo para su aprobación.

Interpretación:El estatuto de auditoría interna es un documento formal que define el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de auditoría interna establece la posición de la actividad de auditoría interna dentro de la organización; autoriza su acceso a los registros, al personal y a los bienes relevantes para el desempeño de los trabajos; y define el alcance de las actividades de auditoría interna. La aprobación final del estatuto de auditoría interna corresponde al Consejo.

Consejo para la práctica:1. Contar con un estatuto de auditoría interna formal y escrito es muy importante para gestionar la actividad de auditoría interna. El estatuto constituye una declaración reconocida para la revisión y aceptación por parte de la dirección y para su aprobación, según está documentado en las actas, por parte del consejo de administración.Además, facilita la evaluación periódica del propósito, autoridad y responsabilidad de la actividad de auditoría interna, lo cual establece el rol de la actividad de

Pág. 1

auditoría interna. En caso de presentarse alguna cuestión, el estatuto proporciona un acuerdo formal, escrito, con la dirección y con el consejo de administración respecto de la organización de la actividad de auditoría interna.2. El director ejecutivo de auditoría (DEA) es el responsable de evaluar periódicamente si el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna, según se definen en el estatuto, continúan siendo adecuados para permitir que la actividad cumpla sus objetivos.El DEA también es el responsable de comunicar los resultados de esta evaluación a la alta dirección y al consejo de administración.

Consejo para la Práctica 1210.A1-1: Obtención de Proveedores Externos de Servicios para Apoyar o Complementar la Actividad de Auditoría InternaNorma principalmente relacionada 1210.A1El director ejecutivo de auditoría debe obtener asesoramiento y asistencia competentes en caso de que los auditores internos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la totalidad o parte del trabajo:1. Cada miembro de la actividad de auditoría interna no necesita estar cualificado en todas las disciplinas. La actividad de auditoría interna puede utilizar proveedores externos de servicios o recursos internos que estén cualificados en disciplinas tales como contabilidad, auditoría, economía, finanzas, estadística, tecnología de la información, ingeniería, tributación, derecho, medio ambiente y otras áreas según sea necesario para cumplir sus responsabilidades.2. Un proveedor externo de servicios es una persona o empresa, independiente de la organización, que tiene conocimientos, técnica y experiencia especiales en una disciplina en particular. Entre los proveedores externos de servicios se incluyen a los actuarios, contables, tasadores, expertos en idiomas o culturas, expertos en medio ambiente, investigadores de fraudes, abogados, ingenieros, geólogos, expertos en seguridad, estadísticos, expertos en tecnología informática, los auditores externos de la organización, y otras organizaciones de auditoría. Un proveedor externo de servicios puede ser contratado por el consejo de administración, la alta dirección o el director ejecutivo de auditoría (DEA).3. Los proveedores externos de servicios pueden ser utilizados por la actividad de auditoría interna para asuntos relacionados con los siguientes, entre otros:- El logro de los objetivos del programa de trabajo.- Tareas de auditoría para las que se necesiten conocimientos y técnica especializados tales como tecnología de la información, estadística, tributación o traducción de idiomas.- Transacción de activos tales como tierras y edificios, obras de arte, piedras preciosas, inversiones y complejos instrumentos financieros. Determinación de cantidades o condiciones físicas de ciertos bienes tales como minerales o reservas petroleras.- Medición de la obra terminada y pendiente de ejecutar para contratos en curso.- Investigaciones de fraude y seguridad.- Cálculo de cantidades utilizando métodos especializados tales como el cálculo actuarial de las obligaciones referidas a las prestaciones de los empleados.

Pág. 2

- Interpretación de requerimientos legales, técnicos y regulatorios.- Evaluación del programa de aseguramiento y mejora de la calidad de la actividad de auditoría interna, en cumplimiento de las Normas Internacionales para el Ejercicio- Profesional de la Auditoría Interna (las Normas).- Fusiones y adquisiciones.- Consultoría sobre gestión de riesgos y otros asuntos.4. Cuando el DEA Pretenda utilizar y confiar en el trabajo de un proveedor externo de servicios, debe tener en cuenta la competencia, independencia y objetividad de dicho proveedor con respecto al trabajo en particular a realizar. La evaluación de la competencia, independencia y objetividad también debe realizarse cuando el proveedor externo de servicios es seleccionado por la alta dirección o el consejo de administración y el DEA pretende utilizar y confiar en el trabajo de aquél. Cuando la selección la efectúan otras personas y la evaluación realizada por el DEA llega a la conclusión de que no se debería utilizar ni confiar en el trabajo del proveedor externo de servicios, deben comunicarse estos resultados a la alta dirección o al consejo de administración, según proceda.5. El DEA determina que el proveedor externo de servicios posee los necesarios conocimientos, técnicas y demás competencias para realizar el trabajo, teniendo en cuenta lo siguiente:- La certificación profesional, licencia u otro reconocimiento de la competencia del proveedor externo de servicios en la disciplina relevante.- La calidad de asociado a una organización profesional adecuada y la adhesión a su código de ética, por parte del proveedor externo de servicios.- La reputación del proveedor externo de servicios. Esto puede requerir ponerse en contacto con terceros que estén familiarizados con el trabajo de aquél.- La experiencia del proveedor externo de servicios en el tipo de trabajo que se esté considerando.- El grado de estudios y la formación recibida por el proveedor externo de servicios en aquellas disciplinas relacionadas con el trabajo en particular.- El conocimiento y la experiencia del proveedor externo de servicios dentro del sector en el que opera la organización.6. El director ejecutivo de auditoría necesita evaluar la relación del proveedor externo de servicios con la organización y con la actividad de auditoría interna para asegurar que la independencia y objetividad se mantengan durante todo el trabajo. Al realizar la evaluación, el DEA verifica que no exista ninguna relación financiera, de organización o personal que impida al proveedor externo de servicios emitir juicios y opiniones imparciales y sin desvíos cuando realiza el trabajo o informa sobre el mismo.7. El DEA evalúa la independencia y objetividad del proveedor externo de servicios considerando lo siguiente:- Los intereses financieros que el proveedor externo de servicios pueda tener en la organización.- La asociación personal o profesional que el proveedor externo de servicios pueda tener con el consejo de administración, la alta dirección u otros dentro de la organización.

Pág. 3

- La relación que el proveedor externo de servicios pueda haber tenido con la organización o con las actividades objeto de revisión.- La medida de otros servicios continuos que el proveedor externo de servicios pueda estar prestando para la organización.- Los honorarios u otros incentivos que pueda tener el proveedor externo de servicios.8. Si el proveedor externo de servicios externos es también el auditor externo de la organización y la naturaleza del trabajo asignado consista en ampliar los servicios de auditoría, el DEA tiene que garantizar que el trabajo realizado no menoscabe la independencia del auditor externo. La ampliación de los servicios de auditoría se refiere a aquellos servicios más allá de los requisitos de las normas de auditoría generalmente aceptadas por los auditores externos. Si los auditores externos de la organización actúan o parece que actúan como miembros de la alta dirección o de la administración, o como empleados de la organización, entonces su independencia está afectada. Además, los auditores externos pueden proporcionar a la organización otros servicios tales como tributación y consultoría. La independencia debe evaluarse con respecto a la gama completa de servicios prestados a la organización.9. Para garantizar que el alcance del trabajo sea adecuado para los propósitos de la actividad de auditoría interna, el DEA obtiene información suficiente respecto al alcance del trabajo del proveedor externo de servicios. Puede ser prudente documentar esta y otras cuestiones en una carta o contrato. Para lograr esto, el DEA revisa con el proveedor externo de servicios lo siguiente:- Objetivos y alcance del trabajo, incluyendo los resultados a entregar y los tiempos.- Temas específicos que esperan cubrirse en las comunicaciones del trabajo.- Acceso a los registros, a las personas y a las propiedades físicas relevantes.- Información sobre los supuestos y procedimientos a emplear.- Propiedad y custodia de los papeles de trabajo, si corresponde.- Confidencialidad y restricciones sobre la información obtenida durante el trabajo.- Si es aplicable, el cumplimiento de las Normas y de las normas de la actividad de auditoría interna referidas a las prácticas del trabajo.10. Al revisar el trabajo de un proveedor externo de servicios, el DEA evalúa la adecuación del trabajo realizado, lo que incluye conocer si la información obtenida es suficiente para proporcionar una base razonable tanto a las conclusiones alcanzadas como a la resolución de excepciones u otras cuestiones inusuales.11. Cuando el DEA emite comunicaciones del trabajo, y se hayan utilizado los servicios de un proveedor externo de servicios, el DEA puede mencionar dichos servicios prestados, si lo considera apropiado. El proveedor externo de servicios debe estar informado y, si corresponde, llegar a un acuerdo con el mismo antes de incluir dicha referencia en las comunicaciones del trabajo.

Consejo para la Práctica 1310-1: Requisitos del Programa de Aseguramiento y Mejora de la CalidadNorma principalmente relacionadaEl programa de aseguramiento y mejora de la calidad debe incluir tanto evaluaciones internas como externas.

Pág. 4

1. Un programa de aseguramiento y mejora de la calidad (PAMC) es una evaluación continua y periódica del espectro completo del trabajo de auditoría y consultoría llevado a cabo por la actividad de auditoría interna. Estas evaluaciones continuas y periódicas están compuestas por procesos rigurosos e integrales; supervisión y pruebas continuas del trabajo de auditoría interna y consultoría; y validaciones periódicas del cumplimiento de la Definición de Auditoría Interna, el Código de Ética y las Normas. Esto también incluye las mediciones y análisis continuos de indicadores de desempeño (por ejemplo, cumplimiento del plan de auditoría interna, ciclos de tiempos, recomendaciones aceptadas y satisfacción del cliente). Si los resultados de estas evaluaciones indican áreas de mejora para la actividad de auditoría interna, el director ejecutivo de auditoría (DEA) implementará las mismas mediante el PAMC.2. Los aseguramientos evalúan y dan una conclusión sobre la calidad de la actividad de auditoría interna y aportan recomendaciones para las mejoras apropiadas. Los PAMC comprenden una evaluación de lo siguiente:- Cumplimiento de la Definición de Auditoría Interna, el Código de Ética y las Normas, incluyendo las acciones correctivas oportunas para solucionar cualquier caso significativo de incumplimiento.- Adecuación del estatuto, las metas, los objetivos, las políticas y los procedimientos de la actividad de auditoría interna.- Contribución a los procesos de gobierno, gestión de riesgos y control de la organización,- Cumplimiento de las leyes, reglamentaciones y normas gubernamentales o del sector económico aplicables.- Eficacia de las tareas de mejora continua y adopción de mejores prácticas.- Si la actividad de auditoría interna agrega valor y mejora las operaciones de la organización.3. Los PAMC también incluyen el seguimiento de las recomendaciones que implican la modificación apropiada y oportuna de recursos, tecnología, procesos y procedimientos.4. A fin de proporcionar responsabilidad y transparencia, el DEA comunica los resultados de las evaluaciones externas de programas de calidad y, si corresponde, de las evaluaciones internas de programas de calidad, a las diversas partes interesadas en la actividad (tales como la alta dirección, el consejo de administración y los auditores externos). Al menos una vez al año, el DEA informa a la alta dirección y al consejo de administración respecto de las tareas y resultados del programa de calidad.

Pág. 5

Consejos para la Práctica relacionados con las Normas sobre atributos

1000-1: Estatuto de Auditoría Interna1110-1: Independencia de la organización1111-1: Interacción del Consejo1120-1: Objetividad individual1130-1: Impedimentos a la independencia u objetividad1130.A1-1: Evaluación de las operaciones sobre las que los auditores internos hayan sido previamente responsables1130.A2-1: Responsabilidades de auditoría interna respecto de otras funciones (que no sean de auditoría)1200-1: Pericia y cuidado profesional1210-1: Pericia1210.A1-1: Obtención de servicios para respaldar o complementar la actividad de auditoría interna1220-1: Cuidado profesional1230-1: Desarrollo profesional continuo1300-1: Programa de aseguramiento y mejora de la calidad1310-1: Requisitos del programa de aseguramiento y mejora de la calidad1311-1: Evaluaciones internas1312-1: Evaluaciones externas1312-2: Evaluación externa: autoevaluación con validación independiente1312-3: Evaluación del equipo de evaluación externa en el sector privado1312-4: Evaluación del equipo de evaluación externa en el sector público1321-1: Utilización de “Cumple con las Normas Internacionales para el Ejercicio

Consejos para la práctica relacionados con las Normas sobre desempeño

2010-1: Vínculo del plan de auditoría con el riesgo y las exposiciones2010-2: Usando el proceso de gestión de riesgos en el planeamiento de auditoría interna (julio 2009)2020-1: Comunicación y aprobación2030-1: Administración de recursos2040-1: Políticas y procedimientos2050-1: Coordinación2050-2: Mapas de aseguramiento2050-3: Confiar en el trabajo de otros proveedores de servicios de aseguramiento2060-1: Preparación de informes para el Consejo de Administración y la Alta Direcciónón2110-1: Gobierno Definición2110-2: Gobierno, relación con riesgos y control2110-3: Gobierno – evaluaciones2120-1: Evaluación de la idoneidad de los procesos de gestión de riesgos2120-2: Gerencia do los riesgos de la actividad de auditoría interna (Marzo 2009)2130-1: Evaluación de la idoneidad de los procesos de control2130.A1-1: Integridad y fiabilidad de la información2130.A1-2: Evaluación del enfoque de privacidad de una organización

Pág. 6

Consejos para la práctica relacionados con las Normas sobre desempeño

2200-1: Planificación del trabajo2200-2: Uso de un enfoque basado en riesgos2210-1: Objetivos del trabajo2210.A1-1: Evaluación de riesgos en la planificaciónón del trabajo2230-1: Asignación de recursos de trabajo2240-1: Programa de trabajo2300-1: Uso de la información de carácter personal durante el trabajo de auditoría2320-1: Procedimientos analíticos2330-1: Documentar la informaciónón2330.A1-1: Control de registros del trabajo2330-A1-2: Garantizar el acceso a los registros de auditoría2330.A2-1: Conservación de los registros2340-1: Supervisaón del trabajo2400-1: Consideraciones legales en la comunicación de los resultados2410-1: Criterios para la comunicaciónón2420-1: Calidad de la comunicación2440-1: Difusaón de resultados2440-2: Comunicación de información sensible dentro y fuera de la cadena de mando2440.A2-1: Comunicaciones fuera de la organización2500-1: Seguimiento del progreso2500.A1-1: Proceso de seguimiento

Declaración de Posición (Position Papers)• Declaración del IIA para ayudar a una amplia gama de partes interesadas, incluso aquéllos que no pertenecen a nuestra profesión, a comprender los problemas significativos relacionados con el gobierno corporativo, el riesgo o el control, y a establecer los roles y las responsabilidades de la A.I.• Se agregaron al MIPP 2 declaraciones de posición:– El rol de la auditoría interna en relación con la Gestión de Riesgos para toda la empresa.– El rol de la auditoría interna en la obtención de recursos para la función de auditoría interna.Guías para la PrácticaGuía detallada para realizar las actividades de auditoría interna. Incluye procesos y procedimientos detallados. Por ejemplo, herramientas y Técnicas, programas y enfoques paso a paso, incluidos ejemplos de informes.

GTAG:¿Qué es el GTAG?GTAG - Global Technology Audit Guide• Proporcionar una guía fácil de entendimiento de la auditoría de TI para el CAE, Comité de Auditoría y Gerencia Ejecutiva.

Pág. 7

• Proporcionar un mecanismo para manejar rápidamente nuevos asuntos de TI.• Producir guías de auditoría técnicas a una escala global.

Guía para la Evaluación de Riesgos de TI (GAIT)• Metodología de la GAIT: metodología de determinación del alcance basado en un enfoque de riesgos de arriba hacia abajo•GAIT para evaluación de deficiencias de controles generales de TI: ayuda a evaluar las deficiencias de los controles generales de TI identificadas•GAIT para riesgos de negocio y de TI: ayuda a identificar los aspectos críticos de los procesos de TI

Consejos:1.- Mantenerse en contacto con el personal de su departamento: De vez en cuando haga reuniones informales con su personal al menos una vez al mes y pregunte sobre sus preocupaciones, como se les puede ayudar y asuntos relacionados con la Compañía y también de aspectos de la vida de cada uno que se quieran compartir.2.-En su planeación anual del departamento incluya las expectativas del personal del departamento: Es importante preguntar y considerar al personal que áreas quiere desarrollar y/o mejorar, es importante considerar metas, estándares y cuáles son los objetivos del equipo (certificaciones, uso de tecnología, desarrollo, etc.). Esto permite construir un espíritu de equipo y de entusiasmo, debido a que el personal establece metas concretas contra las cuales medir su progreso real.3.-Siempre establezca a su personal altas expectativas de desempeño: El célebre escritor alemán Wolfang Goethe dijo: "Trate a las personas como son, y ellas permanecerán así. Trátelas como si fuesen lo que pueden ser y las ayudara a transformarse en lo que son capaces de ser". La expectativa es una manera indirecta de lograr en el personal del departamento esquemas de conducta deseados, que funciona mediante la creación de creencias de auto-realización.4.-Implemente un programa de aseguramiento de Calidad: Debemos de tener un programa que asegure que los principios de calidad de la actividad de la auditoría interna se esté cumpliendo y revisa periódicamente que sea eficaz. Este sistema debe ayudar a mejorar y asegurar que se tenga que cumplir con los marcos adecuados.5.-Realice evaluaciones periódicas de desempeño: A los empleados de alto rendimiento les gusta saber lo que se espera de ellos y que se mida su desempeño, porque saben que es la única manera de mostrar que son buenos, debemos considerar evaluaciones con asignaciones con un tiempo mayor a 40 horas.

Pág. 8

CONCLUSIÓN

Los consejos para la Práctica de la Auditoría Interna su intención principal es una guía puntual para asistir a los auditores de manera minuciosa en la Aplicación del Código de Ética y las Normas además de promover las buenas prácticas.

Dichos consejos se han reescrito para lograr que sean concisos y que describan el método o las consideraciones necesarias para ayudar a los auditores internos en la aplicación de Normas Específicas o de los requerimientos del Código de Ética.

La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización que ayuda a cumplir los objetivos aportado un enfoque sistemático y disciplinado para devaluar y mejorar la eficiencia de los procesos de gestión de riesgos, control y gobierno.

Los Consejos para la Práctica de la Auditoria Interna, son una guía concisa y puntual para asistir a los auditores internos en la aplicación del Código de Ética y las Normas, además de promover las buenas prácticas.

Estos consejos incluyen prácticas relacionadas con problemas del ámbito internacional, como propios del país.

Pág. 9

RECOMENDACIÓN

La nueva versión del Marco para el Ejercicio Profesional, que engloba las Normas, el Código de Ética y los Consejos para la práctica y que ya ha entrado en vigor, es una ocasión única para volver a profundizar en esta guía.

La supervisión del modelo de gestión de riesgos de la organización, ha demostrado como crítica para la consecución de los objetivos de nuestras compañías.

Recomendamos su análisis exhaustivo, difusión y puesta en práctica por los miembros de nuestros equipos.

Debemos tener bien presentes las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna y el código de ética, han sido y son nuestra guía y norte en la práctica de la profesión.

La coyuntura actual ha provocado la aparición de nuevos riesgos. Debemos asegurarnos de que estos son adecuadamente gestionados por nuestras organizaciones, adoptando un papel proactivo en esta área.

Los diagnósticos del control interno, siguiendo el método COSO son absolutamente necesarios como aportación diferencial de la auditoría interna.

La relación con el Comité de auditoría debe ser una prioridad en nuestro trabajo, proporcionando análisis permanentes que le ayuden a cumplir con sus responsabilidades y constituirnos así como apoyo fundamental del Comité. La auditoría interna de los informes de gobierno corporativo debe ser uno de nuestros compromisos dada su proyección externa.

Pág. 10

BIBLIOGRAFIA

The Institute of Internal Auditors Federación Latinoamericana de Auditoría Interna Comité Directivo del Instituto de Auditores Internos de España.

https//www.csv.go.cr/assets/pdf/consejos%20para%20la%20practica%20de%20AI.pdf

https/www.grupos.emagister.com/ficheros/vcruzada?fdw=1&dGrupo=1020&dfichero=851580

https://na.theiia.org/standardsguidance/PublicDocuments/PP_Outsourcing_ES_.doc

Pág. 11