Libro Rojo Auditoria Corregido 28032011
Transcript of Libro Rojo Auditoria Corregido 28032011
NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA
AUDITORÍA INTERNA (LAS NORMAS)
• DefinicióndeAuditoríaInterna• CódigodeÉtica• NormasInternacionales• ConsejosParalaPráctica
InstitutodeAuditorí[email protected]
Teléfonos.2517-9777ó2279-4977www.theiia.org
CapituloElSalvador
EstelibroesuncompendiodelosestándaresinternacionalesparalaprácticadelaAuditoríaInternaencualquierlugardelmundo,esunaguíaparaayudaralasorganizacionescomodebeentenderseyaplicarselasnormasyquenoseaunjuiciodiscrecional,sinounavisiónmundialdecómoejercerlaprofesión.
Imprime:InstitutodeAuditoresInternosdeElSalvador
EdiciónyReproducción:ImprentaRicaldone
©Copyright(2011)TheprofessionalpracticesframeworkbyTheInstituteofInternalAuditors,Inc247MaitlandAvenue,Alta-monteSprings,Florida32701-4201USAReprintedwithpermission.
Todoslosderechosreservados
INSTITUTODEAUDITORIAINTERNADEELSALVADOR
MIEMBROSDEJUNTADIRECTIVA2009-2011
MaríaMaritzaVillanuevadeIglesiasPRESIDENTE
MailiHanielMedranoLópezVICEPRESIDENTEDEADMINISTRACIONYNEGOCIOS
GermanMauricioChávezVICEPRESIDENTEDEFORMACIONYCERTIFICACIONES
FranciscoOrlandoHenríquezÁlvarezTESORERO
AnaMilitzaFloresSECRETARIA
5
INTRODUCCION
ElInstitutodeAuditoríaInternadeElSalvador,comopartedelagranfamiliadeAuditoresInternosInternacionales,autorizadoporTheInstituteofInternalAuditorsapartirdel13deJulio2008,conelfindeproporcio-nar unabaseque facilite la interpretación y aplicaciónde conceptos,metodologíaytécnicasfundamentalesparalaprofesión,sepublicaestelibroqueconsideraaspectosrelevantesparaelenfoqueenlaprácticaactualdelaAuditoríaInternayconsiderandounmundoglobalizadoyenconstantedesarrollo,sepretendeayudaralosprofesionalesasatisfacernecesidadesdeunmercadoquedemandaserviciosdeAuditoríaInternadealtacalidad.ElLibroRojoconstadetrespartesfundamentales:
√ CódigodeÉtica√ NormasdeAuditoríaInterna√ ConsejosparalaPráctica
CódigodeÉtica:SuobjetivoprincipalespromoverunaculturadeéticaenlaProfesióndeAuditoríaInterna,basándoseenlaconfianzayasegurandoelbuendesempeñodelagestiónderiesgos,controlygobiernodelasdiferentesentidadesdondesedestacanlosprofesionalesenAuditoríaInterna.LasNormasInternacionalesparaelEjercicioProfesionaldelaAuditoríaInternaseconstituyenprincipalmentesobre:Atributos,desempeñoeIm-plantación;conelpropósitodedefinirprincipiosbásicosquerepresentenelejerciciodelaauditoríainternatalcomodebeser,proporcionandounmarcoparaejercerypromoverunampliorangodeactividadesdeAudi-toríaInternaqueaportenvaloralasdiferentesentidadesdondeejercenestableciendoparámetrosparaevaluareldesempeñodelosauditoresinternos,fomentandolamejoraenlosdiferentesprocesosdeoperacióndentrodelascompañías.Consejospara lapráctica:Representan lineamientos respaldadosporel InstitutoGlobal para la implementación de las normas, asímismoayudanasuaplicaciónenentornosespecíficosdeAuditoríaInterna.LosconsejosestándiseñadosparalamayoríadeAuditoresInternosotrosestándesarrolladosparasatisfacernecesidadesdesectoresespecíficosydeterminadasespecialidadesdeAuditoríaInterna.
�
CONTENIDO
Definición, Objetivos y Código de ÉticaDefinicióndeAuditoríaInterna........................................................ 9CódigodeÉtica................................................................................ 13Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna Introducción...................................................................................... 21NormassobreAtributos.................................................................... 24Normassobredesempeño............................................................... 34Glosario............................................................................................ 48
Consejos para la Práctica
1000-1EstatutodeAuditoríaInterna.......................................................... 551110-1IndependenciadentrodelaOrganización........................................ 571111-1InteracciónconelConsejodeAdministración.................................. 591120-1ObjetividadIndividual....................................................................... 601130-1ImpedimentosalaIndependenciauObjetividad............................. 621200-1AptitudyCuidadoProfesional......................................................... 681210-1Aptitud.............................................................................................. 691220-1CuidadoProfesional........................................................................ 761230-1DesarrolloProfesionalContinuo....................................................... 77
7
1300-1ProgramadeAseguramientoyMejoradelaCalidad....................... 791310-1RequisitosdelProgramadeAseguramientoyMejoradelaCalidad..................................................................................... 811311-1EvaluacionesInternas...................................................................... 831312-1EvaluacionesExternas..................................................................... 861312-2EvaluacionesExternasAutoevaluaciónconvalidaciónIndependiente................................................................................... 921321-1Utilizaciónde“CumpleconlasNormasInternacionalesparaElEjercicioProfesionaldelaAuditoríaInterna................................. 962010-1Enlacedelplandeauditoríaconlosriesgosyexposiciones........... 982020-1ComunicaciónyAprobación.............................................................1002030-1AdministracióndeRecurso...............................................................1012040-1PolíticasyProcedimientos...............................................................1042050-1Coordinación....................................................................................1052060-1InformealaAltaDirecciónyalConsejo...........................................1082120-1EvaluarlaAdecuacióndelosProcesosdeGestióndeRiesgos......1102130-1EvaluarlaAdecuacióndelosProcesosdeGestióndeControl.......1142200-1PlanificacióndelTrabajo...................................................................122
8
2210-1ObjetivosdelTrabajodelTrabajo.....................................................1242230-1AsignacióndeRecursosparaElTrabajo.........................................1272240-1ProgramadeTrabajo........................................................................1282330-1DocumentacióndelaInformación....................................................1292340-1SupervisióndelTrabajo....................................................................1332410-1CriteriosparalaComunicación........................................................1362420-1CalidaddelasComunicaciones.......................................................1402440-1DifusióndeResultados....................................................................1422500-1SeguimientodelProceso..................................................................144
Definición de Auditoría Interna
11
LaAuditoría Interna es una actividad independientey objetiva de aseguramiento y consulta, concebidaparaagregarvalorymejorar lasoperacionesdeunaorganización.Ayuda a una organización a cumplirsus objetivos aportando un enfoque sistemático ydisciplinadoparaevaluarymejorar laeficaciade losprocesosdegestiónderiesgos,controlygobierno.
Código de ética
15CódigodeÉtica
CÓDIGO DE ÉTICA
INTRODUCCIÓN
ElpropósitodelCódigodeÉticadel Institutoespromoverunaculturaéticaenlaprofesióndeauditoríainterna.LaAuditoría interna es una actividad independiente y objetiva deaseguramientoyconsulta,concebidaparaagregarvalorymejorarlasoperacionesdeunaorganización.Ayudaaunaorganizaciónacumplirsusobjetivosaportandounenfoquesistemáticoydisciplinadoparaevaluarymejorar laeficaciade losprocesosdegestiónde riesgos,controlygobierno.Esnecesarioyapropiadocontarconuncódigodeéticaparalaprofesióndeauditoríainterna,yaqueéstasebasaenlaconfianzaqueseimparteasuaseguramientoobjetivosobrelagestiónderiesgos,controlydirección.ElCódigodeÉticadelInstitutoabarcamuchomásqueladefinicióndeauditoríainterna,llegandoaincluirdoscomponentesesenciales:
1.Principiosque son relevantespara la profesión yprácticade laauditoríainterna.
2.ReglasdeConductaquedescribenlasnormasdecomportamientoqueseesperaseanobservadasporlosauditoresinternos.Estas reglas son una ayuda para interpretar losPrincipiosenaplicacionesprácticas.Suintenciónesguiarlaconductaéticadelosauditoresinternos.ElCódigodeÉticajuntoalMarco internacional para la Práctica Profesional y otrospronunciamientosemitidosporelInstituto,proveenorientaciónalosauditoresinternosparaserviralosdemás.Lamenciónalos“auditoresinternos”serefierealossociosdelInstituto,aquieneshanrecibidoosoncandidatosarecibircertificacionesprofesionalesdelInstituto,yaaquellosqueproveenserviciosdeauditoríainterna.
APLICACIÓN Y CUMPLIMIENTO
EsteCódigodeÉticaseaplicatantoalosindividuoscomoalasentidadesqueproveenserviciosdeauditoríainterna.
16 CódigodeÉtica
EnelcasodelossociosdelInstitutoydeaquellosquehanrecibidoosoncandidatosarecibircertificacionesprofesionalesdelInstituto,elincumplimientodelCódigodeÉticaseráevaluadoyadministradodeconformidadconlosEstatutosyReglamentosAdministrativosdelInstituto.ElhechodequeunaconductaparticularnosehallecontenidaenlasReglasdeConductanoimpidequeéstaseaconsideradainaceptableocomoundescrédito,yenconsecuencia,puedehacerquesesometaaaccióndisciplinariaalsocio,poseedordeunacertificaciónocandidatoalamisma.
PRINCIPIOS Seesperaquelosauditoresinternosapliquenycumplanlossiguientesprincipios:
1. Integridad La integridad de los auditores internos establece confianza y,consiguientemente,proveelabaseparaconfiarensujuicio.
2. ObjetividadLosauditoresinternosexhibenelmásaltoniveldeobjetividadprofesionalalreunir,evaluarycomunicarinformaciónsobrelaactividadoprocesoaserexaminado.Losauditoresinternoshacenunaevaluación
3. ConfidencialidadLosauditoresinternosrespetanelvalorylapropiedaddelainformaciónquerecibenynodivulganinformaciónsinladebidaautorizaciónamenosqueexistaunaobligaciónlegaloprofesionalparahacerlo.
4. CompetenciaLosauditoresinternosaplicanelconocimiento,aptitudesyexperiencianecesariosaldesempeñarlosserviciosdeauditoríainterna.
REGLAS DE CONDUCTA
1. IntegridadLosauditoresinternos:1.1.Desempeñarán su trabajo con honestidad, diligencia y res-
ponsabilidad.
17CódigodeÉtica
1.2.Respetaránlasleyesydivulgaránloquecorrespondadeacuerdoconlaleyylaprofesión.
1.3.Noparticiparánasabiendasenunaactividadilegalodeactosquevayanendetrimentode la profesióndeauditoría internaode laorganización.
1.4.Respetaránycontribuirána losobjetivos legítimosyéticosde laorganización.
2. ObjetividadLosauditoresinternos:2.1.Noparticiparánenningunaactividadorelaciónquepuedaperjudicar
o aparenteperjudicar suevaluación imparcial.Esta participaciónincluye aquellas actividades o relaciones que puedan estar enconflictoconlosinteresesdelaorganización.
2.2.Noaceptaránnadaquepuedaperjudicaroaparenteperjudicarsujuicioprofesional.
2.3.Divulgarántodosloshechosmaterialesqueconozcanyque,denoserdivulgados,pudierandistorcionarelinformedelasactividadessometidasarevisión.
3. ConfidencialidadLosauditoresinternos:3.1.Seránprudentesenelusoyproteccióndelainformaciónadquirida
eneltranscursodesutrabajo.3.2.Noutilizaráninformaciónparalucropersonaloquedealgunamanera
fueracontrariaalaleyoendetrimentodelosobjetivoslegítimosyéticasdelaorganización.
4. CompetenciaLosauditoresinternos:4.1.Participaránsóloenaquellosserviciosparaloscualestenganlos
suficientesconocimientos,aptitudesyexperiencia.4.2.Desempeñarántodoslosserviciosdeauditoríainternadeacuerdo
conlasNormasparalaPrácticaprofesionaldeAuditoríaInterna.4.3.Mejoraráncontinuamentesushabilidadesylaefectividadycalidad
desusservicios.
Normas Internacionales para el Ejercicio Profesionalde la Auditoría Interna
21NormasInternacionales
Introducción
Los trabajos que lleva a cabo auditoría interna son realizados enambienteslegalesyculturalesdiversos,dentrodeorganizacionesquevaríansegúnsuspropósitos, tamañoyestructura,yporpersonasdedentroofueradelaorganización.Sibienestasdiferenciaspuedenafectarlaprácticadelaauditoríainternaencadaambiente,elcumplimientodelasNormas Internacionales para el Ejercicio Profesional de la Auditoría Interna es esencial para el ejercicio de las responsabilidades de losauditoresinternos.EnelcasodequelosauditoresinternosnopuedancumplirconciertaspartesdelasNormasporimpedimentoslegalesoderegulaciones,deberáncumplircontodaslasdemáspartesyefectuarlacorrespondientedeclaración.SilosauditoresinternosutilizanestasNormasjuntoconnormasemitidaspor otros organismosde regulación, podránmencionar el usode lasotrasnormasensuscomunicadosdeauditoría,cuandoseaapropiado.Si hubiera inconsistencia entre estasNormas y las normasemitidasporotrosorganismos,losauditoresinternosdeberáncumplirconestasNormasypodrántambiéncumplircon lasotrasencasodequeseanmásrestrictivas.Elpropósitodelas Normases:
1.Definir principios básicos que representen el ejercicio de laauditoríainternatalcomoestedeberíaser.
2. Proporcionarunmarcoparaejercerypromoverunampliorangodeactividadesdeauditoríainternadevalorañadido.
3.Establecerlasbasesparaevaluareldesempeñodelaauditoríainterna.
4. Fomentar la mejora de los procesos y operaciones de laorganización.
LasNormas son requisitos enfocados a principios, de cumplimientoobligatorio,queconsistenen:
• Declaraciones de requisitos básicos para el ejercicio de laauditoríainternayparaevaluarlaeficaciadesudesempeño,deaplicacióninternacionalaniveldelaspersonasyaniveldelasorganizaciones.
22 NormasInternacionales
• InterpretacionesqueaclarantérminosoconceptosdentrodelasDeclaraciones.
EnlasNormasseempleantérminosalosquesehandadodeterminadossignificados que están definidos en elGlosario.Por ejemplo, en lasNormasseutilizalapalabra“debe”paraindicarunrequisitoincondicional,ylapalabra“debería”enloscasosenqueseesperasucumplimientocuandoseaplicael juicioprofesional,amenosquelascircunstanciasjustifiquenundesvío.Es necesario tener en cuenta tanto las Declaraciones como susInterpretaciones,ylossignificadosespecíficosindicadosenelGlosario,paraentenderyaplicarcorrectamentelasNormas.LaestructuradelasNormasestáformadaporlasNormassobreAtributos,lasNormassobreDesempeñoylasNormasdeImplantación.LasNormassobreAtributos tratan las características de las organizaciones y laspersonasqueprestanserviciosdeauditoríainterna.LasNormassobreDesempeñodescribenlanaturalezadelosserviciosdeauditoría internayproporcionancriteriosdecalidadcon loscualespuedeevaluarseeldesempeñodeestosservicios.LasNormassobreAtributosysobreDesempeñoseaplicanatodoslosserviciosdeauditoríainterna.LasNormasdeImplantaciónamplíanlasNormassobreAtributosyDesempeño,proporcionandolosrequisitosaplicablesalasactividadesdeaseguramiento(A)yconsultoría(C).Los servicios de aseguramiento comprenden la tarea de evaluaciónobjetivade lasevidencias, efectuadapor los auditores internos, paraexpresar una opinión o conclusión independiente respecto de unaentidad,operación,función,proceso,sistemauotroasunto.Lanaturalezayel alcancedel trabajodeaseguramientoestándeterminadosporelauditor interno.Por lo general existen trespartesen los serviciosdeaseguramiento: (1) la personao grupo directamente implicado en laentidad,operación,función,proceso,sistemauotroasunto,esdecireldueñodelproceso,(2)lapersonaogrupoquerealizalaevaluación,esdecirelauditorinterno,y(3)lapersonaogrupoqueutilizalaevaluación,esdecirelusuario.Los servicios de consultoría son por naturaleza consejos, y sondesempeñados,porlogeneral,apedidodeuncliente.Lanaturalezayelalcancedeltrabajodeconsultoríaestánsujetosalacuerdoefectuadocon
23NormasInternacionales
elcliente.Porlogeneralexistendospartesenlosserviciosdeconsultoría:(1)lapersonaogrupoqueofreceelconsejo,esdecirelauditorinterno,y(2)lapersonaogrupoquebuscayrecibeelconsejo,esdecirelclientedel trabajo.Cuando desempeña servicios de consultoría, el auditorinternodebemantenerlaobjetividadynoasumirresponsabilidadesdegestión.La elaboración y revisión de lasNormas es un proceso continuo.ElConsejodeNormasdeAuditoríaInternarealizaunextensoprocesodeconsultaydebateantesdeemitirlasNormas.Estoincluyelasolicituddecomentariosentodoelmundomedianteelprocesodeborradordeexposición.TodoslosborradoresdeexposiciónsoncolocadosenlapáginawebdelInstitutodeAuditoresInternosademásdeserdistribuidosatodoslosInstitutoslocales.LassugerenciasycomentariossobrelasNormaspuedenenviarsea:
TheInstituteofInternalAuditorsStandardsandGuidance
247MaitlandAve.AltamonteSprings,Florida32701-USA
E-mail:[email protected]:http//www.theiia.org
24 NormasInternacionales
NORMAS SOBRE ATRIBUTOS
1000 – Propósito, Autoridad y responsabilidad Elpropósito,laautoridadylaresponsabilidaddelaactividaddeauditoríainternadebenestarformalmentedefinidosenunestatuto,deconformidadconladefinicióndeauditoríainterna,elCódigodeÉticaylasNormas.ElDirectorEjecutivodeauditoríadeberevisarperiódicamenteelestatutodeauditoríainternaypresentarloalaaltadirecciónyalConsejoparasuaprobación.
Interpretación:
El estatuto de auditoría interna es un documento formal que define el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de auditoría interna establece la posición de la actividad de auditoría interna dentro de la organización, incluyendo la naturaleza de la relación funcional del Director Ejecutivo de auditoría con el Consejo; autoriza su acceso a los registros, al personal y a los bienes relevantes para el desempeño de los trabajos; y define el alcance de las actividades de auditoría interna. La aprobación final del estatuto de auditoría interna corresponde al Consejo.
1000.A1 –Lanaturalezadelosserviciosdeaseguramientoproporcionadosalaorganizacióndebeestardefinidaenelestatutodeauditoríainterna.Silosserviciosdeaseguramientofueranproporcionadosatercerosajenosalaorganización,lanaturalezadeesosserviciostambiéndeberáestardefinidaenelestatutodeauditoríainterna.
1000.C1 –Lanaturalezadelosserviciosdeconsultoríadebeestardefinidaenelestatutodeauditoríainterna.
1010 Reconocimiento de la definición de auditoría interna, el Código de Ética y las Normas en el estatuto de auditoría interna
Lanaturalezaobligatoriadeladefinicióndeauditoríainterna,elCódigodeÉticaylasNormasdebeestarreconocidaenelestatutodeauditoríainterna.ElDirectorEjecutivodeauditoríadeberíatratarladefinicióndeauditoríainterna,elCódigodeÉticaylasNormas conlaaltadirecciónyelConsejo.
25NormasInternacionales
1100 Independencia y objetividad
Laactividaddeauditoríainternadebeserindependiente,ylosauditoresinternosdebenserobjetivosenelcumplimientodesutrabajo.
Interpretación:
La independencia es la libertad de condicionamientos que amenazan la capacidad de la actividad de auditoría interna de llevar a cabo las responsabilidades de la actividad de auditoría interna de forma neutral. Con el fin de lograr el grado de independencia necesario para cumplir eficazmente las responsabilidades de la actividad de auditoría interna, el Director Ejecutivo de auditoría debe tener acceso directo e irrestricto a la alta dirección y al Consejo. Esto puede lograrse mediante una relación de doble dependencia. Las amenazas a la independencia deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.
La objetividad es una actitud mental neutral que permite a los auditores internos desempeñar su trabajo con honesta confianza en el producto de su labor y sin comprometer su calidad. La objetividad requiere que los auditores internos no subordinen su juicio sobre asuntos de auditoría a otras personas. Las amenazas a la objetividad deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.
1110 Independencia dentro de la organización ElDirectorEjecutivodeauditoríadeberesponderanteunniveljerárquicotaldentrodelaorganizaciónquepermitaalaactividaddeauditoríainternacumplirconsusresponsabilidades.ElDirectorEjecutivodeauditoríadeberatificaranteelConsejo,almenosanualmente,laindependenciaquetienelaactividaddeauditoríainternadentrodelaorganización.
Interpretación: La Independencia dentro de la organización se alcanza de forma efectiva cuando el Director Ejecutivo de auditoría depende funcionalmente del Consejo. Algunos ejemplos de dependencia funcional del Consejo implican que este:
26 NormasInternacionales
• Apruebe el estatuto de auditoría interna; • Apruebe el plan de auditoría basado en riesgos; • Reciba comunicaciones periódicas del Director Ejecutivo de
auditoría sobre el desarrollo del plan de auditoría interna y otros asuntos;
• Apruebe las decisiones referentes al nombramiento y cese del Director Ejecutivo de auditoría; y
• Formule las preguntas adecuadas a la dirección y al Director Ejecutivo de auditoría para determinar si existen alcances inadecuados o limitaciones de recursos.
1110.A1Laactividaddeauditoríainternadebeestarlibredeinjerenciasaldeterminarelalcancedeauditoríainterna,aldesempeñarsutrabajoyalcomunicarsusresultados.
1111 Interacción directa con el Consejo El Director Ejecutivo de auditoría debe comunicarse e interactuardirectamenteconelConsejodeAdministración.
1120 Objetividad individual Losauditoresinternosdebentenerunaactitudimparcialyneutral,yevitarcualquierconflictodeintereses.
Interpretación: El conflicto de intereses es una situación en la cual un auditor interno, que ocupa un puesto de confianza, tiene un interés personal o profesional en competencia con otros intereses. Tales intereses en competencia pueden hacerle difícil el cumplimiento imparcial de sus tareas. Puede existir un conflicto de intereses aún cuando no se produzcan actos inadecuados o no éticos. Un conflicto de intereses puede crear una apariencia de deshonestidad que puede socavar la confianza en el auditor interno, la actividad de auditoría interna y la profesión. Un conflicto de intereses podría menoscabar la capacidad de un individuo de desempeñar sus tareas y responsabilidades con objetividad.
27NormasInternacionales
1130 Impedimentos a la independencia u objetividad Silaindependenciauobjetividadseviesecomprometidadehechooenapariencia, losdetallesdel impedimentodebendarseaconocera laspartescorrespondientes.Lanaturalezadeestacomunicacióndependerádelimpedimento.
Interpretación: El impedimento o menoscabo a la independencia de la organización y a la objetividad individual puede incluir, entre otros, a los conflictos de intereses, limitaciones al alcance, restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos tales como el financiero. La determinación de las partes apropiadas a quienes deben exponerse los detalles de un impedimento a la independencia u objetividad depende de la expectativas sobre las responsabilidades de la actividad de auditoría interna y del Director Ejecutivo de auditoría ante la alta dirección y el Consejo según se describe en el estatuto de auditoría interna, así como de la naturaleza del impedimento.
1130.A1 Los auditores internos deben abstenerse de evaluaroperacionesespecíficasde lascualeshayansidopreviamenteresponsables.Sepresumequehayimpedimentodeobjetividadsiunauditorinternoproporcionaserviciosdeaseguramientoparaunaactividaddelacualelmismohayatenidoresponsabilidadesenelañoinmediatoanterior.
1130.A2Lostrabajosdeaseguramientoparafuncionespor lascualeselDirectorEjecutivodeauditoríatieneresponsabilidadesdeben ser supervisadas por alguien fuera de la actividad deauditoríainterna.
1130.C1Losauditoresinternospuedenproporcionarserviciosdeconsultoríarelacionadosaoperacionesdelascualeshayansidopreviamenteresponsables.
1130.C2 Si los auditores internos tuvieran impedimentospotencialesalaindependenciauobjetividadrelacionadosconlaproposicióndeserviciosdeconsultoría,deberádeclararseestasituaciónalclienteantesdeaceptareltrabajo.
28 NormasInternacionales
1200 Aptitud y cuidado profesional Los trabajos deben cumplirse con aptitud y cuidado profesionaladecuados.
1210 Aptitud Losauditoresinternosdebenreunir losconocimientos, lasaptitudesyotrascompetenciasnecesariasparacumplirconsusresponsabilidadesindividuales. La actividad de auditoría interna, colectivamente, debereuniruobtenerlosconocimientos,lasaptitudesyotrascompetenciasnecesariasparacumplirconsusresponsabilidades.
Interpretación: Los conocimientos, las aptitudes y otras competencias es un término colectivo que se refiere a la aptitud profesional requerida al auditor interno para llevar a cabo eficazmente sus responsabilidades profesionales. Se alienta a los auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como la designación de auditor interno certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas.
1210.A1 - El Director Ejecutivo de auditoría debe obtenerasesoramiento y asistencia competentes en caso de que losauditoresinternoscarezcandelosconocimientos,lasaptitudesuotrascompetenciasnecesariasparallevaracabolatotalidadopartedeltrabajo.1210.A2 Los auditores internos deben tener conocimientossuficientesparaevaluarel riesgode fraudey la formaenquesegestionaporpartedelaorganización,peronoesdeesperarquetenganconocimientossimilaresalosdeaquellaspersonascuyaresponsabilidadprincipalesladeteccióneinvestigacióndelfraude.1210.A3 Los auditores internos deben tener conocimientossuficientesde losriesgosycontrolesclaveentecnologíade lainformaciónydelastécnicasdeauditoríadisponiblesbasadasentecnologíaquelepermitandesempeñareltrabajoasignado.Sinembargo,noseesperaquetodoslosauditoresinternostenganla experiencia de aquel auditor interno cuya responsabilidadfundamentaleslaauditoríadetecnologíadelainformación.
29NormasInternacionales
1210.C1ElDirectorEjecutivodeauditoríanodebeaceptarunservicio de consultoría, o bien debe obtener asesoramiento yasistenciacompetentes,encasodeque losauditores internoscarezcandelosconocimientos,lasaptitudesyotrascompetenciasnecesariasparadesempeñarlatotalidadopartedeltrabajo.
1220 Cuidado profesional Los auditores internos deben cumplir su trabajo con el cuidado y laaptitudqueseesperandeunauditorinternorazonablementeprudenteycompetente.Elcuidadoprofesionaladecuadonoimplicainfalibilidad.
1220. A1 - El auditor interno debe ejercer el debido cuidadoprofesionalalconsiderar:Elalcancenecesarioparaalcanzarlosobjetivosdeltrabajo;• La relativa complejidad,materialidad o significatividad
de asuntos a los cuales se aplican procedimientos deaseguramiento;
• Laadecuaciónyeficaciadelosprocesosdegobierno,gestiónderiesgosycontrol;
• Laprobabilidaddeerroresmateriales,fraudeoincumplimientos;y
• El costo deaseguramiento en relación con los beneficiospotenciales.
1220.A2Alejercereldebidocuidadoprofesionalelauditorinternodebeconsiderarlautilizacióndeauditoríabasadaentecnologíayotrastécnicasdeanálisisdedatos.
1220.A3 - El auditor interno debe estar alerta a los riesgosmaterialesquepudieranafectarlosobjetivos,lasoperacionesolosrecursos.Sinembargo,losprocedimientosdeaseguramientoporsísolos,inclusocuandosellevanacaboconeldebidocuidadoprofesional,nogarantizanquetodoslosriesgosmaterialesseanidentificados.
1220.C1 El auditor interno debe ejercer el debido cuidadoprofesionalduranteuntrabajodeconsultoría,teniendoencuentalosiguiente:
30 NormasInternacionales
Las necesidades y expectativas de los clientes, incluyendo lanaturaleza, oportunidad y comunicación de los resultados deltrabajo;Lacomplejidadrelativaylaextensióndelatareanecesariaparacumplirlosobjetivosdeltrabajo;yElcostodeltrabajodeconsultoríaenrelaciónconlosbeneficiospotenciales.
1230 Desarrollo profesional continuo Losauditoresinternosdebenperfeccionarsusconocimientos,aptitudesyotrascompetenciasmediantelacapacitaciónprofesionalcontinua.
1300 Programa de aseguramiento y mejora de la calidad ElDirectorEjecutivodeauditoríadebedesarrollarymantenerunprogramadeaseguramientoymejoradelacalidadquecubratodoslosaspectosdelaactividaddeauditoríainterna.
Interpretación: Un programa de aseguramiento y mejora de la calidad está concebido para permitir una evaluación del cumplimiento de la definición de auditoría interna y lasNormaspor parte de la actividad de auditoría interna, y una evaluación de si los auditores internos aplican el Código de Ética. Este programa también evalúa la eficiencia y eficacia de la actividad de auditoría interna e identifica oportunidades de mejora.
1310 Requisitos del programa de aseguramiento y mejora de la calidadElprogramadeaseguramientoymejoradelacalidaddebeincluirtantoevaluacionesinternascomoexternas.
1311 Evaluaciones internas Lasevaluacionesinternasdebenincluir:
• Elseguimientocontinuodeldesempeñodelaactividaddeauditoríainterna,y
• Revisionesperiódicasmediante autoevaluaciónopor parte deotras personas dentro de la organización con conocimientos suficientesdelasprácticasdeauditoríainterna.
31NormasInternacionales
Interpretación: El seguimiento continuo forma parte integral de la supervisión, revisión y medición del día a día de la actividad de auditoría interna. Está incorporada en las prácticas y políticas de rutina usadas para administrar la actividad de auditoría interna, y utiliza procesos, herramientas e información considerados necesarios para evaluar el cumplimiento de la definición de auditoría interna y lasNormas, y la aplicación del Código de Ética. Las revisiones periódicas son evaluaciones de propósito especial para evaluar el cumplimiento de la definición de auditoría interna, el Código de Ética y las Normas.Los conocimientos suficientes de las prácticas de auditoría interna requieren un entendimiento de todos los elementos del Marco Internacional para la Práctica Profesional.
1312 Evaluaciones externas Debenrealizarseevaluacionesexternasalmenosunavezcadacincoañosporun revisoroequipode revisióncualificadoe independiente,provenientedefueradelaorganización.ElDirectorEjecutivodeauditoríadebetratarconelConsejo:
• Lanecesidaddeevaluacionesexternasmásfrecuentes,y• Lascualificacioneseindependenciadelrevisoroequipoderevisión
externo,incluyendocualquierconflictodeinteresespotencial.
Interpretación: Un revisor o equipo de revisión cualificado demuestra su competencia en dos áreas: la práctica profesional de la auditoría interna y el proceso de evaluación externa. La competencia puede demostrarse a través de un equilibrio de experiencia y conocimiento teórico. La experiencia obtenida en organizaciones de tamaño similar, complejidad, sector o industria y de similar contenido técnico es más valiosa que la experiencia en otras áreas menos relevantes. En el caso de un equipo de revisión, no es necesario que todos los miembros cuenten con todas las competencias; es el equipo en su conjunto el que está cualificado. El Director Ejecutivo de auditoría utilizará su juicio profesional para valorar si un revisor o equipo de revisión demuestra la competencia suficiente para considerarse cualificado.Un revisor o equipo de revisión independiente es aquél que no tiene conflictos de intereses reales o aparentes, y no forma parte ni está bajo el control de la organización a la cual pertenece la actividad de auditoría interna.
32 NormasInternacionales
1320 Reportar sobre el programa de aseguramiento y mejora de la calidad ElDirectorEjecutivo de auditoría debe comunicar los resultados delprogramadeaseguramientoymejoradelacalidadalaaltadirecciónyalConsejo.
Interpretación: La forma, el contenido y la frecuencia de la comunicación de resultados del programa de aseguramiento y mejora de la calidad se establecen mediante comentarios con la alta dirección y el Consejo, y tienen en cuenta las responsabilidades de la actividad de auditoría interna y del Director Ejecutivo de auditoría según lo indica el estatuto de auditoría interna. Para demostrar el cumplimiento de la definición de auditoría interna, el Código de Ética y lasNormas.Los resultados de las evaluaciones periódicas internas y externas se comunican al finalizar tales evaluaciones, y los resultados de la vigilancia continua se comunican al menos anualmente. Los resultados incluyen la evaluación del revisor o equipo de revisión con respecto al grado de cumplimiento.
1321–Utilización de “Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna”ElDirectorEjecutivodeauditoríapuedemanifestarquelaactividaddeauditoríainternacumpleconlasNormas Internacionales para el Ejercicio Profesional de la Auditoría Interna sólosilosresultadosdelprogramadeaseguramientoymejoradelacalidadapoyanesadeclaración.
InterpretaciónLa actividad de auditoría interna cumple con las Normas cuando alcanza los resultados descritos en la definición de auditoría interna, el código de ética y las Normas. Los resultados del programa de aseguramiento y mejora de la calidad incluyen los resultados tanto de las evaluaciones internas como de las externas.
Toda actividad de auditoría interna tendrá resultados de evaluaciones internas. Aquellas actividades cuya existencia exceda los cinco años tendrán también resultados de evaluaciones externas.
33NormasInternacionales
1322 Declaración de incumplimiento Cuandoelincumplimientodeladefinicióndeauditoríainterna,elCódigodeÉticaolasNormas afectaelalcanceuoperacióngeneraldelaactividaddeauditoríainterna,elDirectorEjecutivodeauditoríadebedeclararelincumplimientoysuimpactoantelaaltadirecciónyelConsejo.
34 NormasInternacionales
NORMAS SOBRE DESEMPEñO
2000 Administración de la actividad de auditoría interna ElDirectorEjecutivodeauditoríadebegestionareficazmentelaactividaddeauditoríainternaparaasegurarqueañadavaloralaorganización.
Interpretación:La actividad de auditoría interna está gestionada de forma eficaz cuando:
• Los resultados del trabajo de la actividad de auditoría interna cumplen con el propósito y la responsabilidad incluidos en el estatuto de auditoría interna,
• La actividad de auditoría interna cumple la definición de auditoría interna y las Normas, y
• Los individuos que forman parte de la actividad de auditoría interna demuestran cumplir con el Código de Ética y las Normas.
La actividad de auditoría interna añade valor a la organización (y a sus partes interesadas) cuando proporciona aseguramiento objetivo y relevante, y contribuye a la eficacia y eficiencia de los procesos de gobierno, gestión de riesgos y control.
2010 PlanificaciónElDirectorEjecutivodeauditoríadebeestablecerplanesbasadosenlosriesgos,afindedeterminarlasprioridadesdelaactividaddeauditoríainterna. Dichosplanesdeberánserconsistentescon lasmetasde laorganización.
Interpretación:El Director Ejecutivo de auditoría es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque, el Director Ejecutivo de auditoría utilizará su propio juicio sobre los riesgos después de consultar con la alta dirección y el Consejo.
35NormasInternacionales
2010.A1 - Elplandetrabajodelaactividaddeauditoríainternadebeestarbasadoenunaevaluaciónderiesgosdocumentada,realizadaalmenosanualmente.EnesteprocesodebentenerseencuentaloscomentariosdelaaltadirecciónydelConsejo.2010-A2 –ElDirectorEjecutivo deauditoría debe identificar yconsiderarlasexpectativasdelaaltadirección,elConsejoyotraspartesinteresadasdecaraaemitiropinionesdeauditoríainternayotrasconclusiones.2010.C1 - ElDirectorEjecutivodeauditoríadeberíaconsiderarlaaceptacióndetrabajosdeconsultoríaqueleseanpropuestos,basándoseenelpotencialdeltrabajoparamejorarlagestiónderiesgos,añadirvalorymejorarlasoperacionesdelaorganización.Lostrabajosaceptadosdebenserincluidosenelplan.
2020 Comunicación y aprobación El Director Ejecutivo de auditoría debe comunicar los planes yrequerimientos de recursos de la actividad de auditoría interna,incluyendoloscambiosprovisionalessignificativos,alaaltadirecciónyalConsejoparalaadecuadarevisiónyaprobación.ElDirectorEjecutivodeauditoríatambiéndebecomunicarelimpactodecualquierlimitaciónderecursos.
2030 Administración de recursos ElDirectorEjecutivo deauditoría debeasegurar que los recursosdeauditoríainternaseanapropiados,suficientesyeficazmenteasignadosparacumplirconelplanaprobado.
Interpretación: Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar a cabo el plan. Suficientes se refiere a la cantidad de recursos necesarios para cumplir con el plan. Los recursos están eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan aprobado.
2040 Políticas y procedimientos ElDirectorEjecutivodeauditoríadebeestablecerpolíticasyprocedimientosparaguiarlaactividaddeauditoríainterna
36 NormasInternacionales
Interpretación: La forma y el contenido de las políticas y procedimientos deben ser apropiados al tamaño y estructura de la actividad de auditoría interna y de la complejidad de su trabajo.
2050 Coordinación
ElDirectorEjecutivodeauditoríadeberíacompartirinformaciónycoordinaractividadesconotrosproveedoresinternosyexternosdeserviciosdeaseguramientoyconsultoríaparaasegurarunacoberturaadecuadayminimizarladuplicacióndeesfuerzos.
2060 Informe a la alta dirección y al Consejo
ElDirectorEjecutivo de auditoría debe informar periódicamente a laaltadirecciónyalConsejosobrelaactividaddeauditoríainternaenloreferidoalpropósito,autoridad,responsabilidadydesempeñodesuplan.Elinformetambiéndebeincluirexposicionesalriesgoycuestionesdecontrolsignificativas,cuestionesdegobiernoyotrosasuntosnecesariosorequeridosporlaaltadirecciónyelConsejo.
Interpretación: La frecuencia y el contenido del informe están determinados por comentarios con la alta dirección y el Consejo, y dependen de la importancia de la información a ser comunicada y la urgencia de las acciones a seguir por parte de la alta dirección y el Consejo.
2070 – Proveedor de servicios externos y responsabilidad de la organización sobre auditoría internaCuandounproveedordeserviciosexternosprestaserviciosdeauditoríainterna,dichoproveedordebeponerenconocimientodelaorganizaciónqueestaúltimaretienelaresponsabilidaddemantenerunafuncióndeauditoríainternaefectiva
InterpretaciónEsta responsabilidad se demuestra a través del programa de aseguramiento y mejora de lacalidad que evalúa el cumplimiento con la definición de auditoría interna, el código de ética y las Normas.
37NormasInternacionales
2100 Naturaleza del trabajo Laactividaddeauditoría internadebeevaluarycontribuira lamejoradelosprocesosdegobierno,gestiónderiesgosycontrol,utilizandounenfoquesistemáticoydisciplinado.
2110 Gobierno La actividad de auditoría interna debe evaluar y hacer lasrecomendacionesapropiadasparamejorarelprocesodegobiernoenelcumplimientodelossiguientesobjetivos:• Promover la ética y los valores apropiados dentro de la
organización,• Asegurarlagestiónyresponsabilidadeficaceseneldesempeño
delaorganización,• Comunicarlainformaciónderiesgoycontrolalasáreasadecuadas
delaorganización,y• Coordinarlasactividadesylainformacióndecomunicaciónentre
elConsejodeAdministración,losauditoresinternosyexternos,yladirección.
2110.A1 Laactividaddeauditoría internadebeevaluar el diseño,implantaciónyeficaciadelosobjetivos,programasyactividadesdelaorganizaciónrelacionadosconlaética.
2110-A2 – La actividad de auditoría interna debe evaluar si elgobiernodetecnologíadelainformacióndelaorganizaciónapoyalasestrategiasyobjetivosdelaorganización.
2120 – Gestión de riesgos Laactividaddeauditoríainternadebeevaluarlaeficaciaycontribuiralamejoradelosprocesosdegestiónderiesgos.
Interpretación: Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la evaluación que efectúa el auditor interno de que:
• Los objetivos de la organización apoyan a la misión de la organización y están alineados con la misma,
• Los riesgos significativos están identificados y evaluados, Se han seleccionado respuestas apropiadas al riesgo que
38 NormasInternacionales
alinean los riesgos con la aceptación de riesgos por parte de la organización, y
• Se capta información sobre riesgos relevantes, permitiendo al personal, la dirección y el Consejo cumplir con sus responsabilidades, y se comunica dicha información oportunamente a través de la organización.
La actividad de auditoría interna reúne la información necesaria para soportar esta evaluación mediante múltiples trabajos de auditoría. El resultado de estos trabajos, observado de forma conjunta, proporciona un entendimiento de los procesos de gestión de riesgos de la organización y su eficacia. Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas, evaluaciones por separado, o ambas.
2120-A1 – La actividad de auditoría interna debe evaluar lasexposicionesalriesgoreferidasagobierno,operacionesysistemasdeinformacióndelaorganización,conrelaciónalosiguiente:
• Fiabilidad de integridad de la información financiera yoperativa,
• Eficaciayeficienciadelasoperacionesyprogramas,• Proteccióndeactivos,y• Cumplimiento de leyes, regulaciones, polít icas,
procedimientosycontratos.
2120.A2 La actividad de auditoría interna debe evaluar laposibilidaddeocurrenciadefraudeycómolaorganizaciónmanejagestionaelriesgodefraude.
2120.C1Durantelostrabajosdeconsultoría,losauditoresinternosdebenconsiderarelriesgocompatibleconlosobjetivosdeltrabajoyestaralertasalaexistenciadeotrosriesgossignificativos.
2120.C2Losauditoresinternosdebenincorporarlosconocimientosdelriesgoobtenidosdelostrabajosdeconsultoríaensuevaluacióndelosprocesosdegestiónderiesgosdelaorganización.
2120.C3 Cuandoayudana ladirecciónaestableceromejorarlosprocesosdegestiónderiesgos,losauditoresinternosdebenabstenerse de asumir cualquier responsabilidad propia de ladirección,comoeslagestiónderiesgos.
39NormasInternacionales
2130 Control Laactividaddeauditoría interna debeasistir a la organización en elmantenimiento de controles efectivos,mediante la evaluación de laeficaciayeficienciadelosmismosypromoviendolamejoracontinua.
2130-A1 – La actividad de auditoría interna debe evaluar laadecuaciónyeficaciadeloscontrolesenrespuestaalosriesgosdel gobierno, operaciones y sistemas de información de laorganización,respectodelosiguiente:
• Fiabilidad e integridad de la información financiera yoperativa,
• Eficaciayeficienciadelasoperacionesyprogramas,• Proteccióndeactivos,y• Cumplimiento de leyes, regulaciones, polít icas,
procedimientosycontratos.
2130.C1 – Los auditores internos deben incorporar losconocimientosdeloscontrolesquehanobtenidodelostrabajosdeconsultoríaensuevaluacióndelosprocesosdecontroldelaorganización.
2200 Planificación del trabajoLos auditores internos deben elaborar y documentar un plan paracadatrabajo,queincluyasualcance,objetivos,tiempoyasignaciónderecursos.2201 Consideraciones sobre planificación Alplanificareltrabajo,losauditoresinternosdebenconsiderar:
• Los objetivos de la actividad que está siendo revisaday losmedios con los cuales la actividad controla sudesempeño;
• Los riesgos significativos de la actividad, sus objetivos,recursos y operaciones, y losmedios con los cualesel impacto potencial del riesgo semantiene a un nivelaceptable;
• Laadecuaciónyeficaciade losprocesosdegestiónderiesgosycontroldelaactividadcomparadosconunenfoqueomodelodecontrolrelevante.
• Lasoportunidadesdeintroducirmejorassignificativasenlosprocesosdegestiónderiesgosycontroldelaactividad.
40 NormasInternacionales
2201.A1 Cuando se planifica un trabajo para partes ajenasa la organización, los auditores internos deben establecer unacuerdoescritoconellasrespectode losobjetivos,elalcance,las responsabilidades correspondientes y otras expectativas,incluyendolasrestriccionesaladistribucióndelosresultadosdeltrabajoyelaccesoalosregistrosdelmismo.
2201.C1 Los auditores internos deben establecer un acuerdoconlosclientesdetrabajosdeconsultoría,referidoaobjetivos,alcance,responsabilidadesrespectivasydemásexpectativasdelosclientes.Enelcasode trabajossignificativos,esteacuerdodebeestardocumentado.
2210 Objetivos del trabajo Debenestablecerseobjetivosparacadatrabajo.
2210.A1 Losauditores internosdeben realizar unaevaluaciónpreliminardelosriesgosrelevantesparalaactividadbajorevisión.Los objetivos del trabajo deben reflejar los resultadosdeestaevaluación.
2210.A2 - Elauditor internodebeconsiderar laprobabilidaddeerrores,fraude,incumplimientosyotrasexposicionessignificativasalelaborarlosobjetivosdeltrabajo.
2210.A3Serequierencriteriosadecuadosparaevaluarcontroles.Losauditoresinternosdebencerciorarsedelalcancehastaelcualladirecciónhaestablecidocriteriosadecuadosparadeterminarsilosobjetivosymetashansidocumplidos.Sifueraapropiado,losauditoresinternosdebenutilizardichoscriteriosensuevaluación.Sinofueraapropiado,losauditoresinternosdebentrabajarconladirecciónparadesarrollarcriteriosdeevaluaciónadecuados.
2210.C1 Los objetivos de los trabajos de consultoría debenconsiderar losprocesosdegobierno, riesgoycontrol,hastaelgradodeextensiónacordadoconelcliente.
2210.C2 Losobjetivosdelostrabajosdeconsultoríadebenser compatibles con los valores, estrategias y objetivosde laorganización.
41NormasInternacionales
2220 Alcance del trabajo Elalcanceestablecidodebesersuficienteparasatisfacerlosobjetivosdeltrabajo.
2220.A1 - Elalcancedeltrabajodebetenerencuentalossistemas,registros,personalybienesrelevantes,inclusoaquelosbajoelcontroldeterceros.2220.A2Sidurantelarealizacióndeuntrabajodeaseguramientosurgen oportunidades de realizar trabajos de consultoríasignificativos,deberíalograrseunacuerdoescritoespecíficoencuantoalosobjetivos,alcance,responsabilidadesrespectivasyotrasexpectativas.Losresultadosdeltrabajodeconsultoríadebensercomunicadosdeacuerdoconlasnormasdeconsultoría.2220.C1Al desempeñar trabajos de consultoría, los auditoresinternosdebenasegurarqueelalcancedeltrabajoseasuficientepara cumplir los objetivosacordados.Si los auditores internosencontraran restricciones al alcance durante el trabajo, estasrestriccionesdeberántratarseconelclienteparadeterminarsisecontinúaconeltrabajo.2220.C2Durantelostrabajosdeconsultoría,losauditoresinternosdebenconsiderarloscontrolesconsistentesconlosobjetivosdeltrabajoyestaralertasalosasuntosdecontrolsignificativos.
2230 Asignación de recursos para el trabajo Los auditores internos deben determinar los recursos adecuados ysuficientes para lograr los objetivos del trabajo, basándose en unaevaluacióndelanaturalezaycomplejidaddecadatrabajo,lasrestriccionesdetiempoylosrecursosdisponibles.
2240 Programa de trabajo Losauditores internos debenpreparar y documentar programasquecumplanconlosobjetivosdeltrabajo.
2240.A1-Losprogramasdetrabajodebenincluirlosprocedimientospara identificar, analizar, evaluar y documentar informacióndurante la tarea. El programa de trabajo debe ser aprobadoconanterioridadasuimplantaciónycualquierajustehadeseraprobadooportunamente.
42 NormasInternacionales
2240.C1Losprogramasdetrabajodelosserviciosdeconsultoríapuedenvariarenformaycontenidodependiendodelanaturalezadeltrabajo.
2300 Desempeño del trabajo Losauditoresinternosdebenidentificar,analizar,evaluarydocumentarsuficiente informacióndemanera tal que les permita cumplir con losobjetivosdeltrabajo.
2310 Identificación de la información Losauditores internosdeben identificar información suficiente, fiable,relevanteyútildemaneratalquelespermitaalcanzarlosobjetivosdeltrabajo.
Interpretación: La información suficiente está basada en hechos, es adecuada y convincente, de modo que una persona prudente e informada sacaría las mismas conclusiones que el auditor. La información fiable es la mejor información que se puede obtener mediante el uso de técnicas de trabajo apropiadas. La información relevante apoya las observaciones y recomendaciones del trabajo y es compatible con sus objetivos. La información útil ayuda a la organización a cumplir con sus metas.
2320 Análisis y evaluación Losauditoresinternosdebenbasarsusconclusionesylosresultadosdeltrabajoenanálisisyevaluacionesadecuados.
2330 Documentación de la información Losauditoresinternosdebendocumentarinformaciónrelevantequelespermitasoportarlasconclusionesylosresultadosdeltrabajo.
2330.A1 - ElDirectorEjecutivo de auditoría debe controlar elaccesoalosregistrosdeltrabajo.ElDirectorEjecutivodeauditoríadebe obtener aprobación de la alta dirección o de asesoreslegalesantesdedaraconocertalesregistrosaterceros,segúncorresponda.
2330.A2 - ElDirector Ejecutivo de auditoría debe establecerrequisitosderetenciónparalosregistrosdeltrabajo,seacualfuereelmedioenelcualsealmacenacadaregistro.
43NormasInternacionales
Estos requisitos de retención deben ser consistentes con lasguíasdelaorganizaciónycualquierregulaciónuotrosrequisitospertinentes.
2330.C1ElDirectorEjecutivodeauditoríadebeestablecerpolíticassobre la custodia y retención de los registros de trabajos deconsultoría,ysobrelaposibilidaddedarlosaconoceraterceraspartes,internasoexternas.Estaspolíticasdebenserconsistentescon lasguíasde laorganizaciónycualquierregulaciónuotrosrequisitospertinentes.
2340 Supervisión del trabajo Los trabajos deben ser adecuadamente supervisados para asegurarel logro de sus objetivos, la calidad del trabajo y el desarrollo delpersonal.
Interpretación:El alcance de la supervisión requerida dependerá de la pericia y experiencia de los auditores internos y de la complejidad del trabajo. El Director Ejecutivo de auditoría tiene la responsabilidad general de la supervisión del trabajo, ya sea que haya sido desempeñado por la actividad de auditoría interna o para ella, pero puede designar a miembros adecuadamente experimentados de la actividad de auditoría interna para llevar a cabo esta tarea. Se debe documentar y conservar evidencia adecuada de la supervisión.
2400 – Comunicación de resultadosLosauditoresinternosdebencomunicarlosresultadosdelostrabajos.
2410 Criterios para la comunicación Lascomunicacionesdebenincluirlosobjetivosyalcancedeltrabajoasícomo las conclusiones correspondientes, las recomendaciones, y losplanesdeacción.
2410-A1 - La comunicación final de los resultados del trabajodebe incluir, si corresponde, la opinión y/o las conclusionesdelauditor interno.Cuandoseemiteunaopiniónoconclusión,debeconsiderarlasexpectativasdelConsejo,laaltadirecciónyotraspartesinteresadasydebeestarsoportadaporinformaciónsuficiente,fiable,relevanteyútil.
44 NormasInternacionales
Interpretación:Las opiniones en los trabajos de auditoría pueden ser clasificaciones (ratings), conclusiones u otras descripciones de los resultados. Un trabajo de auditoría puede estar relacionado con controles sobre un proceso específico, riego o unidad de negocio. La formulación de opiniones al respecto requiere de la consideración de los resultados del trabajo y su importancia.
2410.A2Sealientaa losauditores internosareconoceren lascomunicacionesdel trabajocuandoseobservaundesempeñosatisfactorio.
2410.A3Cuandoseenvíenresultadosdeuntrabajoapartesajenasalaorganización,lacomunicacióndebeincluirlaslimitacionesaladistribuciónyusodelosresultados.
2410.C1Lascomunicacionessobreelprogresoylosresultadosde los trabajos de consultoría variarán en forma y contenidodependiendodelanaturalezadeltrabajoylasnecesidadesdelcliente.
2420 Calidad de la comunicación Las comunicaciones deben ser precisas, objetivas, claras, concisas,constructivas,completasyoportunas.
Interpretación:Las comunicaciones precisas están libres de errores y distorsiones y son fieles a los hechos que describen. Las comunicaciones objetivas son justas, imparciales y sin desvíos y son el resultado de una evaluación justa y equilibrada de todos los hechos y circunstancias relevantes. Las comunicaciones claras son fácilmente comprensibles y lógicas, evitando el lenguaje técnico innecesario y proporcionando toda la información significativa y relevante. Las comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles superfluos, redundancia y uso excesivo de palabras. Las comunicaciones constructivas son útiles para el cliente del trabajo y la organización, y conducen a mejoras que son necesarias. A las comunicaciones completas no les falta nada que sea esencial para los receptores principales e incluyen toda la
45NormasInternacionales
información y observaciones significativas y relevantes para apoyar a las recomendaciones y conclusiones. Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes, dependiendo de la significatividad del tema, permitiendo a la dirección tomar la acción correctiva apropiada.
2421 - Errores y omisiones
Siunacomunicaciónfinalcontieneunerroruomisiónsignificativos,elDirectorEjecutivodeauditoríadebecomunicarlainformacióncorregidaatodaslaspartesquerecibieronlacomunicaciónoriginal.
2430 Uso de Realizado de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna
Losauditoresinternospuedeninformarquesustrabajosson“realizadosde conformidad con lasNormas Internacionales para el Ejercicio Profesional de la Auditoría Interna”sólosilosresultadosdelprogramadeaseguramientoymejoradelacalidadrespaldandichaafirmación.
2431 Declaración de incumplimiento de las Normas
CuandoelincumplimientodelaDefinicióndeAuditoríaInterna,elCódigodeÉticaodelasNormas afectaauntrabajoespecífico,lacomunicacióndelosresultadosdeesetrabajodebeexponer:
• ElprincipiooregladeconductadelCódigodeÉtica,olasNormas conlascualesnosecumpliótotalmente,
• Lasrazonesdelincumplimiento,y• El impacto del incumplimiento sobre ese trabajo y los
resultadoscomunicadosdelmismo.
2440 Difusión de resultados ElDirectorEjecutivodeauditoríadebedifundirlosresultadosalaspartesapropiadas.
Interpretación: El Director Ejecutivo de auditoría o la persona por él designada debe revisar y aprobar la comunicación final del trabajo antes de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación.
46 NormasInternacionales
2440.A1 - ElDirectorEjecutivodeauditoríaesresponsabledecomunicarlosresultadosfinalesalaspartesquepuedanasegurarquesedéalosresultadosladebidaconsideración.
2440.A2Amenosdequeexistaobligaciónlegal,estatutariaoderegulacionesencontrario,antesdeenviarlosresultadosapartesajenasalaorganización,elDirectorEjecutivodeauditoríadebe:
• Evaluarelriesgopotencialparalaorganización.• Consultarconlaaltadireccióny/oelconsejerolegal,según
corresponda.• Controlar la difusión, restringiendo la utilización de los
resultados.
2440.C1 ElDirectorEjecutivo de auditoría es responsable decomunicarlosresultadosfinalesdelostrabajosdeconsultoríaalosclientes.
2440.C2Durantelostrabajosdeconsultoríapuedenidentificarsecuestiones referidas al gobierno, gestión de riesgos y control.Enelcasodequeestascuestionesseansignificativaspara laorganización, deben ser comunicadas a la alta dirección y alConsejo.
2450 – Opiniones globalesCuandoseemiteunaopiniónglobal,debeconsiderarlasexpectativasdelaaltadirección,elConsejo,yotraspartesinteresadasydebesersoportadaporinformaciónsuficiente,fiable,relevanteyútil.
Interpretación:La comunicación identificará:
• El alcance, incluyendo el periodo de tiempo al que se refiere la opinión;
• Las limitaciones al alcance;• La consideración de todos los proyectos relacionados
incluyendo cuando se confíe en otros proveedores de aseguramiento;
• El riesgo, marco de control u otros criterios utilizados como base para la opinión global; y
• La opinión global, juicio o conclusión alcanzada.
47NormasInternacionales
Cuando existe una opinión global que no es favorable, deben exponerse las causas de esta opinión.
2500 Seguimiento del progreso
ElDirectorEjecutivodeauditoríadebeestablecerymantenerunsistemaparavigilarladisposicióndelosresultadoscomunicadosaladirección.
2500.A1-ElDirectorEjecutivodeauditoríadebeestablecerunprocesodeseguimientoparavigilaryasegurarquelasaccionesdeladirecciónhayansidoimplantadaseficazmenteoquelaaltadirecciónhayaaceptadoelriesgodenotomarmedidas.
2500.C1Laactividaddeauditoríainternadebevigilarladisposicióndelosresultadosdelostrabajosdeconsultoría,hastaelgradodealcanceacordadoconelcliente.
2600 Decisión de aceptación de los riesgos por la dirección CuandoelDirectorEjecutivodeauditoríaconsiderequelaaltadirecciónhaaceptadounnivelderiesgoresidualquepuedaserinaceptableparalaorganización,debetrataresteasuntoconlaaltadirección.Siladecisiónreferidaalriesgoresidualnoseresuelve,elDirectorEjecutivodeauditoríadebeinformarestasituaciónalConsejoparasuresolución.
48 NormasInternacionales
GLOSARIO
Aceptación del riesgo - Elnivelderiesgoqueunaorganizaciónestádispuestaaaceptar.
Actividad de auditoría interna - Undepartamento, división, equipode consultores, u otro/s practicante/s que proporciona/n serviciosindependientesyobjetivosdeaseguramientoyconsulta,concebidosparaagregarvalorymejorarlasoperacionesdeunaorganización.Laactividaddeauditoría internaayudaaunaorganizaciónacumplirsusobjetivosaportandounenfoquesistemáticoydisciplinadoparaevaluarymejorarlaeficaciadelosprocesosdegestiónderiesgos,controlygobierno.
Añadir / Agregar valor- Laactividaddeauditoría internaañadevalora la organización (y sus partes interesadas) cuando proporcionaaseguramiento objetivo y relevante, y contribuye a la eficacia de losprocesosdegobierno,gestiónderiesgosycontrol.
Código de Ética - ElCódigo de ÉticadelInstitutodeAuditoresInternos(The Institute of InternalAuditors - IIA) es una serie de principiossignificativosparalaprofesiónyelejerciciodelaauditoríainterna,ydeReglasdeConductaquedescribenelcomportamientoqueseesperadelosauditoresinternos.ElCódigo de Éticaseaplicatantoalaspersonascomoalasentidadesquesuministranserviciosdeauditoríainterna.ElpropósitodelCódigo de Éticaespromoverunaculturaéticaenlaprofesiónglobaldeauditoríainterna.
Conflicto de intereses - Serefiereacualquierrelaciónquevayaoparezcairencontradelmejorinterésdelaorganización.Unconflictodeinteresespuedemenoscabarlacapacidaddeunapersonaparadesempeñarsusobligacionesyresponsabilidadesdemaneraobjetiva.
Consejo (Consejo de Administración) - El término Consejo serefierealcuerpodegobiernodeunaorganización,talcomoelconsejode administración, el consejo de supervisión, el responsable de unorganismoocuerpolegislativo,elcomitéomiembrosdeladireccióndeunaorganizaciónsinánimodelucro,ocualquierotroórganodegobiernodesignadoporlaorganización,aquienpuedareportarfuncionalmenteelDirectorEjecutivodeauditoría.
49NormasInternacionales
Control - Cualquiermedidaquetomeladirección,elConsejoyotraspartes,paragestionarlosriesgosyaumentarlaprobabilidaddealcanzarlosobjetivosymetasestablecidos.Ladirecciónplanifica,organizaydirigelarealizacióndelasaccionessuficientesparaproporcionarunaseguridadrazonabledequesealcanzaránlosobjetivosymetas.Control adecuado - Eselqueestápresentesiladirecciónhaplanificadoyorganizado(diseñado)lasoperacionesdemaneratalqueproporcionenunaseguramientorazonabledequelosobjetivosymetasdelaorganizaciónseránalcanzadosdeformaeficienteyeconómica.Controles de tecnología de la información - Controlesquesoportanlagestiónyelgobiernodelnegocio,yproporcionancontrolesgeneralesytécnicossobrelasinfraestructurasdetecnologíadelainformacióntalescomoaplicaciones,información,infraestructuraypersonas.Cumplimiento - Adhesiónalaspolíticas,planes,procedimientos,leyes,regulaciones,contratosyotrosrequerimientos.Debe - LasNormasempleanlapalabradebeparareferirseaunrequisitoincondicional.Debería - LasNormasemplean la palabra debería donde seesperacumplimiento amenos que las circunstancias, basadas en el juicioprofesional,justifiquenalgunadesviación.
Director Ejecutivo de auditoría - ElDirectorEjecutivo de auditoríadescribealapersonaenunpuestodealtodirectivo(senior)responsablede lagestiónefectivade laactividaddeauditoría internadeacuerdoconelestatutodeauditoríainternayladefinicióndeauditoríainterna,elcódigodeéticaylasNormas.ElDirectorEjecutivodeauditoríauotrosasucargotendránlascertificacionesycualificaciónapropiadas.ElnombredelpuestoespecíficodelDirectorEjecutivodeauditoríapuedevariarsegúnlaorganización.
Entorno / Ambiente de control - SerefierealaactitudyalasaccionesdelConsejoydeladirecciónrespectoalaimportanciadelcontroldentrodelaorganización.Elentornodecontrolproporcionadisciplinayestructuraparalaconsecucióndelosobjetivosprincipalesdelsistemadecontrolinterno.Elentornodecontrolconstadelossiguienteselementos:
• Integridadyvaloreséticos.• Filosofíadedirecciónyestilodegestión.
50 NormasInternacionales
• Estructuradelaorganización.• Asignacióndeautoridadyresponsabilidad.• Políticasyprácticasderecursoshumanos.• Compromisodecompetenciaprofesional.
Estatuto - ElEstatutodelaactividaddeauditoríainternaesundocumentoformalescritoquedefineelpropósito,autoridady responsabilidaddelaactividaddeauditoríainterna.ElEstatutoestablecelaposicióndelaactividaddeauditoríainternadentrodelaorganización,autorizaelaccesoalosregistros,alpersonalyalosbienespertinentesparalaejecuciónde los trabajos,ydefineelámbitodeactuaciónde lasactividadesdeauditoríainterna.
Fraude - Cualquieracto ilegalcaracterizadoporengaño,ocultaciónoviolacióndeconfianza.Estosactosnorequierenlaaplicacióndeamenazadeviolenciaodefuerzafísica.Losfraudessonperpetradosporindividuosypororganizacionesparaobtenerdinero,bienesoservicios,paraevitarpagosopérdidasdeservicios,oparaasegurarseventajaspersonalesodenegocio.
Gestión de riesgos - Unproceso para identificar, evaluar,manejary controlar acontecimientos o situaciones potenciales, con el fin deproporcionarunaseguramientorazonablerespectodelalcancedelosobjetivosdelaorganización.
Gobierno - LacombinacióndeprocesosyestructurasimplantadosporelConsejodeAdministraciónparainformar,dirigir,gestionaryvigilarlasactividadesdelaorganizaciónconelfindelograrsusobjetivos.
Gobierno de tecnología de la información - Consisteenelliderazgo,lasestructurasdelaorganizaciónylosprocesosqueaseguranquelatecnología de la informaciónde la empresa soporta las estrategias yobjetivosdelaorganización.
Independencia - Libertad de condicionamientos que amenazan lacapacidad de laactividaddeauditoría internapara llevaracabosusresponsabilidadesdeformaimparcial
Impedimentos o menoscabos - Losimpedimentosomenoscabosalaindependenciade laorganizaciónya laobjetividad individualpuedenincluirconflictodeinteresespersonales;
51NormasInternacionales
limitacionesalalcance;restriccionesalaccesoalosregistros,alpersonalyalosbienes;ylimitacionesderecursos(fondos).
Marco Internacional para la Práctica Profesional - Marcoconceptualqueorganizalaguíadeorientaciónautorizada,promulgadaporelIIA.LaGuíadeOrientaciónAutorizadaincluyedoscategorías(1)obligatoriay(2)aceptadayrecomendadaenérgicamente.
Norma - Unpronunciamiento profesional promulgadopor elConsejodeNormasdeAuditoría Internaquedescribe los requerimientosparadesempeñarunampliorangodeactividadesdeauditoríainternayparaevaluareldesempeñodelaauditoríainterna.
Objetividad-Esunaactitudmentalindependiente,quepermitequelosauditoresinternosllevenacabosustrabajosconconfianzaenelproductodesulaborysincomprometersucalidad.Laobjetividadrequierequelosauditoresinternosnosubordinensujuicioaldeotrossobretemasdeauditoría.
Objetivos del trabajo - Declaracionesgeneralesestablecidaspor losauditoresinternosquedefinenloslogrospretendidosdeltrabajo.
Procesos de control -Laspolíticas,procedimientosyactividades,loscualesformanpartedeunenfoquedecontrol,diseñadosparaasegurarquelosriesgosesténcontenidosdentrodelastoleranciasestablecidasporelprocesodeevaluaciónderiesgos.
Programa de trabajo-Undocumentoqueconsisteenunalistadelosprocedimientosaseguirduranteuntrabajo,diseñadoparacumplirconelplandeltrabajo.
Proveedor externo de servicios-Unapersonaoempresa,ajenaalaorganización,queposeeconocimientos,técnicasyexperienciaespecialesenunadisciplinaenparticular.
Riesgo -Laposibilidaddequeocurraunacontecimientoquetengaunimpactoenelalcancedelosobjetivos.Elriesgosemideentérminosdeimpactoyprobabilidad.
Riesgo residual - Elriesgoquepermanecedespuésdequeladirecciónhaya realizadosusaccionespara reducirel impactoy laprobabilidad
52 NormasInternacionales
deunacontecimientoadverso,incluyendolasactividadesdecontrolenrespuestaaunriesgo.
Servicios de aseguramiento - Unexamenobjetivodeevidenciasconelpropósitodeproveerunaevaluaciónindependientedelosprocesosdegestiónderiesgos,controlygobiernodeunaorganización.Porejemplo:trabajosfinancieros,dedesempeño,decumplimiento,deseguridaddesistemasydediligenciadebida(due diligence).
Servicios de consultoría - Actividadesdeasesoramientoyserviciosrelacionados,proporcionadasalosclientes,cuyanaturalezayalcanceestén acordados con losmismos y estén dirigidos a añadir valor yamejorar los procesos de gobierno, gestión de riesgos y control deunaorganización,sinqueelauditor internoasuma responsabilidadesdegestión.Algunosejemplosdeestasactividades sonel consejo, elasesoramiento,lafacilitaciónylaformación.
Significatividad o materialidad - Laimportanciarelativadeunasuntodentrodeuncontextoenelcualestásiendoconsiderado, incluyendofactores cuantitativos y cualitativos, tales comomagnitud, naturaleza,efecto,relevanciaeimpacto.Eljuicioprofesionalayudaalosauditoresinternos cuandoevalúan la significatividadde los asuntos dentro delcontextodelosobjetivosrelevantes.
Técnicas de auditoría basadas en tecnología - Cualquierherramientaautomatizada de auditoría, tal como el software generalizado deauditoría,losgeneradoresdedatosdeprueba,programasdeauditoríacomputarizados,yelementosdeauditoríadeespecialización.Tambiénse conocen como técnicas de auditoría asistidas por computadora(TAAC).
Trabajo - Unaespecíficaasignacióndeauditoríainterna,tareaoactividadde revisión, tal comoauditoría interna, revisióndeautoevaluacióndecontrol,examendefraude,oconsultoría.Untrabajopuedecomprendermúltiples tareas o actividades concebidas para alcanzar un grupoespecíficodeobjetivosrelacionados.
***
Consejos para la Práctica
55ConsejosparalaPráctica
Consejo para la Práctica 1000-1: Estatuto de Auditoría Interna
Norma principalmente relacionada:
1000 – Propósito, autoridad y responsabilidadElpropósito,laautoridadylaresponsabilidaddelaactividaddeauditoríainternadebenestarformalmentedefinidosenunestatuto,deconformidadconladefinicióndeauditoríainterna,elCódigodeÉticaylasNormas.ElDirectorEjecutivodeauditoríadeberevisarperiódicamenteelestatutodeauditoríainternaypresentarloalaaltadirecciónyalConsejoparasuaprobación. Interpretación:El estatuto de auditoría interna es un documento formal que define el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de auditoría interna establece la posición de la actividad de auditoría interna dentro de la organización; autoriza su acceso a los registros, al personal y a los bienes relevantes para el desempeño de los trabajos; y define el alcance de las actividades de auditoría interna. La aprobación final del estatuto de auditoría interna corresponde al Consejo.
1. Contarconunestatutodeauditoría interna formalyescritoesmuyimportanteparagestionarlaactividaddeauditoríainterna.Elestatutoconstituyeunadeclaraciónreconocidaparalarevisióny aceptación por parte de la dirección y para su aprobación,según está documentado en las actas, por parte del consejodeadministración.Además, facilita la evaluaciónperiódica delpropósito,autoridadyresponsabilidaddelaactividaddeauditoríainterna,locualestableceelroldelaactividaddeauditoríainterna.Encasodepresentarsealgunacuestión,elestatutoproporcionaunacuerdoformal,escrito,conladirecciónyconelconsejodeadministración respecto de la organización de la actividad deauditoríainterna.
2. ElDirectorEjecutivodeauditoría(DEA)eselresponsabledeevaluar
56 Consejosparalapráctica
periódicamentesielpropósito,laautoridadylaresponsabilidaddelaactividaddeauditoríainterna,segúnsedefinenenelestatuto,continúansiendoadecuadosparapermitirquelaactividadcumplasusobjetivos.ElDEAtambiéneselresponsabledecomunicarlosresultadosdeestaevaluaciónalaaltadirecciónyalconsejodeadministración.
57ConsejosparalaPráctica
Consejo para la Práctica 1110-1:Independencia dentro de la organización
Norma principalmente relacionada:
1110 – Independencia dentro de la organizaciónElDirectorEjecutivodeauditoríadeberesponderanteunniveljerárquicotaldentrodelaorganizaciónquepermitaalaactividaddeauditoríainternacumplirconsusresponsabilidades.ElDirectorEjecutivodeauditoríadeberatificaranteelConsejo,almenosanualmente,laindependenciaquetienelaactividaddeauditoríainternadentrodelaorganización.
1. Elapoyodelaaltadirecciónydelconsejodeadministraciónayudaalaactividaddeauditoríainternaaobtenerlacooperacióndelosclientesdeltrabajoyarealizarsutrabajolibredeinterferencias.
2. ElhechodequeelDirectorEjecutivodeauditoría(DEA)reportefuncionalmentealconsejodeadministraciónyadministrativamentealmáximoejecutivodelaorganización,facilitalaindependenciadentrodelaorganización.Comomínimo,elDEAdebedependerdeunapersonaenlaorganizaciónquetengasuficienteautoridadparapromoverlaindependencia,yparagarantizarunaampliacoberturadelaauditoría,laadecuadaconsideracióndelascomunicacionesdel trabajo y que se tomen las accionesapropiadas sobre lasrecomendacionesdeltrabajo.
3. El reporte funcional al consejo de administración típicamenteimplicaqueéste:
• Apruebaelestatutogeneralde laactividaddeauditoríainterna.
• Apruebalaevaluaciónderiesgosdeauditoríainternayelplandeauditoríarelacionado.
• RecibecomunicacionesdelDEArespectodelosresultadosdelastareasquerealizaauditoríainternauotrosasuntosque elDEA considere necesarios,mantiene reunionesen privado conelDEA sin estar presente la dirección,asícomounaconfirmaciónanualdequelaactividaddeauditoría interna goza de independencia dentro de laorganización.
58 Consejosparalapráctica
• Apruebatodaslasdecisionesreferidasalaevaluacióndedesempeño,nombramientoocesedelDEA.
• Aprueba la retribuciónanualy losajustessalarialesdelDEA.
• Realiza las averiguacionesnecesarias con la direccióny el DEA para determinar si existen limitaciones alalcanceodepresupuestoque impidan lacapacidaddela actividad de auditoría interna para cumplir con susresponsabilidades.
4. El reporte administrativo es la relación de reporte dentro dela estructura administrativa de la organización que facilita lasoperacionesdeldíaadíaquellevaacabolaactividaddeauditoríainterna.Elreporteadministrativotípicamenteincluye:
• Elpresupuestoylagestióncontable.• Laadministraciónde losrecursoshumanos, incluyendo
lasevaluacionesdelpersonalysusretribuciones.• Lascomunicacionesyflujosinternosdeinformación.• Laadministracióndelaspolíticasyprocedimientosdela
actividaddeauditoríainterna.
***
59ConsejosparalaPráctica
Consejo para la Práctica 1111-1:Interacción con el Consejo de Administración
Norma principalmente relacionada:
1111 – Interacción directa con el ConsejoEl Director Ejecutivo de auditoría debe comunicarse e interactuardirectamenteconelConsejodeAdministración.
1. LacomunicacióndirectatienelugarcuandoelDirectorEjecutivodeauditoría(DEA)asisteyparticiparegularmenteenlasreunionesdelconsejodeadministraciónquetratandelasresponsabilidadesde supervisión del consejo sobre la auditoría, la informaciónfinanciera,elgobiernodelaorganizaciónyelcontrol.Laasistenciay participación del Director Ejecutivo de auditoría a dichasreunionesproporcionaunaoportunidadparavalorarlosnegociosestratégicosydesarrollosoperativos,yparaplantearasuntosdealtonivelderiesgos,sistemas,procedimientosocontrolesenunaetapainicial.Laasistenciaaestasreunionestambiénproporcionaunaoportunidadparaintercambiarinformaciónconcernientealosplanesyactividadesdelaactividaddeauditoríainternayparaquelaspartessemantenganinformadassobrecualquierotroasuntodeinterésmutuo.
2. TalcomunicacióneinteraccióntambiénocurrecuandoelDEAsereúneenprivadoconelconsejodeadministración,almenosunavezalaño.
***
60 Consejosparalapráctica
Consejo para la Práctica 1120-1:Objetividad Individual
Norma principalmente relacionada:
1120 – Objetividad individual Losauditoresinternosdebentenerunaactitudimparcialyneutral,yevitarcualquierconflictodeintereses.
Interpretación:
El conflicto de intereses es una situación en la cual un auditor interno, que ocupa un puesto de confianza, tiene un interés personal o profesional en competencia con otros intereses. Tales intereses en competencia pueden hacerle difícil el cumplimiento imparcial de sus tareas. Puede existir un conflicto de intereses aún cuando no se produzcan actos inadecuados o no éticos. Un conflicto de intereses puede crear una apariencia de deshonestidad que puede socavar la confianza en el auditor interno, la actividad de auditoría interna y la profesión. Un conflicto de intereses podría menoscabar la capacidad de un individuo de desempeñar sus tareas y responsabilidades con objetividad.
1. La objetividad individual significa que los auditores internosllevanacabosustrabajosconhonestaconfianzaenelproductode su labor y sin comprometer significativamente su calidad.Losauditores internosnodeben colocarseen situacionesquepuedanmenoscabarsucapacidadparaemitirjuiciosprofesionalesobjetivos.
2. La objetividad individual implica que elDirector Ejecutivo deauditoría(DEA)organicelasasignacionesdepersonaldeformatalqueimpidanconflictosdeinteresesyprejuiciospotencialesyreales,obtengainformaciónperiódicadelpersonaldeauditoríainternarespectode losconflictosde interesesyprejuiciospotenciales,y,cuandoseafactible,rotarperiódicamentelasasignacionesdelpersonaldeauditoríainterna.
3. La revisión de los resultados del trabajo de auditoría internaantesdeemitirlascomunicacionesdeltrabajocorrespondientesayudaasegurarrazonablementequeeltrabajosehaefectuadodemaneraobjetiva.
61ConsejosparalaPráctica
4. La objetividad del auditor interno no se ve afectada cuandorecomiendanormasde control para sistemaso cuando revisaprocedimientos antes de que sean implantados.Se consideraque laobjetividaddelauditorsehamenoscabadosielauditordiseña,instala,haceproyectosdeprocedimientosuoperadichossistemas.
5. Eldesempeñoocasionaldetrabajosquenoseandeauditoríaporpartedelauditorinterno,comunicadosclaramenteenelprocesodel informe, no necesariamentemenoscabaría su objetividad.Sinembargo,enestoscasosserequeriráespecialcuidadoporpartedeladirecciónydelauditorinternoparaevitarafectarsuobjetividad.
***
62 Consejosparalapráctica
Consejo para la Práctica 1130-1:Impedimentos a la Independencia u Objetividad
Norma principalmente relacionada:
1130 – Impedimentos a la independencia u objetividadSilaindependenciauobjetividadseviesecomprometidadehechooenapariencia, losdetallesdel impedimentodebendarseaconocera laspartescorrespondientes.Lanaturalezadeestacomunicacióndependerádelimpedimento.
Interpretación:El impedimento o menoscabo a la independencia de la organización y a la objetividad individual puede incluir, entre otros, los conflictos de intereses, limitaciones al alcance, restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos tales como los financieros. La determinación de las partes apropiadas a quienes deben exponerse los detalles de un impedimento a la independencia u objetividad depende de la expectativas sobre las responsabilidades de la actividad de auditoría interna y del Director Ejecutivo de auditoría ante la alta dirección y el Consejo según se describe en el estatuto de auditoría interna, así como de la naturaleza del impedimento.
1. LosauditoresinternostienenqueinformaralDirectorEjecutivodeauditoría(DEA)sobrecualquiersituaciónenlaquesepuedainferir razonablemente un impedimento omenoscabo real opotencialalaindependenciauobjetividad,ositienenpreguntassobresiunasituaciónconstituyeunimpedimentoalaobjetividadoindependencia.SielDEAdeterminaqueelimpedimentoexisteosepuedeinferirqueexistetalimpedimento,deberáreasignaralauditoroalosauditoresquecorresponda.
2. Unalimitaciónenelámbitodeactuación(limitaciónalalcance)esunarestricciónpuestasobrelaactividaddeauditoríainternaqueleimpidecumplirsusobjetivosyplanes.Entreotrascosas,unalimitaciónalalcancepuederestringir:
• Elalcancedefinidoenelestatutodeauditoríainterna.• Elaccesodelaactividaddeauditoríainternaalosregistros,
63ConsejosparalaPráctica
alpersonalyalosbienesrelevantesparalarealizacióndelostrabajos.
• Laprogramaciónaprobadadelostrabajos.• La ejecución de los procedimientos necesarios para el
trabajo.• El plan de personal y el presupuesto financiero
aprobados.
3. Cualquier limitación al alcance y sus efectos potenciales tienenque ser comunicados, preferentementepor escrito, al consejo deadministración.ElDEAdebeevaluarsiesapropiadovolverainformaralconsejosobreaquellaslimitacionesalalcancequeselehubierancomunicadoanteriormenteyquefueronaceptadasporelmismo.Estopuedesernecesario,especialmente,cuandohahabidocambiosenlaorganización,consejodeadministración,altadirecciónuotros.
4. Losauditoresinternosnodebenaceptardinero,regalooagasajosdepartedeunempleado,cliente,proveedoropersonarelacionadaconelnegocioquepuedacrearlaaparienciadequelaobjetividaddelauditorinternohasidoafectada.Laaparienciadequelaobjetividadhasidoafectadapuedeaplicarseatrabajosactualesofuturosrealizadosporelauditor.Elestadodelostrabajosnodebeserconsideradocomojustificaciónpararecibirdinero,regalosoagasajos.Recibirelementosdepromoción(talescomolápices,calendariosomuestras)queesténadisposicióndelosempleadosydelpúblicoengeneralytenganunmínimovalornoobstruyenlosjuiciosprofesionalesdelauditorinterno.Losauditoresinternosdebeninformartodoofrecimientodedinerooregalosmaterialesdeinmediatoasussupervisores.
***
64 Consejosparalapráctica
Consejo para la Práctica 1130.A1-1:Evaluación de Operaciones en las cuales el Auditor Interno Tuvo
Responsabilidades Previas
Norma principalmente relacionada:
1130.A1–Losauditoresinternosdebenabstenersedeevaluaroperacionesespecíficasde las cuales hayan sidopreviamente responsables. Sepresume que hay impedimento de objetividad si un auditor internoproporcionaserviciosdeaseguramientoparaunaactividaddelacualelmismohayatenidoresponsabilidadesenelañoinmediatoanterior.
1. Laspersonas transferidasa la actividaddeauditoría internaoutilizadas temporalmente por ésta no deben ser asignadas aauditar aquellas actividadesque realizaronanteriormente oenlas cuales tuvieron responsabilidades gerenciales, hasta quehaya transcurrido almenos un año. Se presume que dichasasignacionesmenoscabanlaobjetividadydebetenerseencuentaestehechoalsupervisareltrabajoyalcomunicarlosresultadosdelmismo.
***
65ConsejosparalaPráctica
Consejo para la Práctica 1130.A2-1:Responsabilidad del Auditor Interno en Funciones Distintas de
Auditoría
Norma principalmente relacionada:
1130.A2–LostrabajosdeaseguramientoparafuncionesporlascualeselDirectorEjecutivo de auditoría tiene responsabilidades deben sersupervisadosporalguienfueradelaactividaddeauditoríainterna.
1. Los auditores internos no deben aceptar responsabilidadespor funcioneso tareasdistintasdeauditoríaqueesténsujetasa evaluaciones periódicas de auditoría interna. Si asumeneste tipode responsabilidades, seentenderáqueno seestándesempeñandocomoauditoresinternos.
2. Cuandolaactividaddeauditoríainterna,elDirectorEjecutivodeauditoría(DEA)oelauditorinternoindividualesresponsabledeunaoperaciónquelaactividaddeauditoríainternapodríaauditar,o bien cuando la dirección está considerando asignarle unaresponsabilidaddeesanaturaleza,laindependenciayobjetividaddelauditorinternopuedeverseafectada.Comomínimo,elDEAdebetenerencuentalossiguientesfactoresalevaluarelimpactosobrelaindependenciayobjetividad.
• LosrequisitosestablecidosporelCódigodeÉticay lasNormas Internacionales para el ejercicio Profesional de la Auditoría Interna(lasNormas).
• Lasexpectativasdelaspartesinteresadas,quepodríanser los accionistas, consejo de administración, comitéde auditoría, dirección, cuerpos legislativos, entidadespúblicas,organismosde regulaciónygruposde interéspúblico.
• Lasautorizacionesyrestriccionescontenidasenelestatutodelaactividaddeauditoríainterna.
• LasdeclaracionesrequeridasporlasNormas.• La cobertura de auditoría sobre las actividades o
responsabilidadesllevadasacaboporelauditorinterno.
�� Consejosparalapráctica
• Lasignificatividadquelafunciónoperativatieneparalaorganización(entérminosdeingresos,gastos,reputacióneinfluencia).
• Laextensiónoduracióndelaasignaciónyelalcancedelaresponsabilidad.
• Laadecuadaseparacióndefunciones.• Si existealgúnantecedenteuotraevidencia deque la
objetividaddelauditorinternopuedeestarenriesgo.
3. Sielestatutodelaactividaddeauditoríainternacontienerestriccioneso limitacionesespecíficas respecto de la asignaciónde funcionesdistintasdeauditoríaalauditorinterno,dichasrestriccionesdebenserdeclaradasydiscutidasconladirección.Siladireccióninsisteenllevaracabotalasignación,elauditordeberádeclararydiscutiresteasuntoconelconsejodeadministración.Sielestatutonadadicealrespecto,deberátenerseencuentalaguíaindicadaenlospuntossiguientes.Todoslospuntosindicadosacontinuaciónestánsubordinadosalaletradelestatuto.
4. Cuando laactividaddeauditoría internaacepta responsabilidadesoperativasyesaoperaciónformapartedelplandeauditoría,elDEAtieneque:
• Minimizarelmenoscaboa laobjetividadutilizandounaentidadcontratada(un tercero),oauditoresexternoscontratados,pararealizarlasauditoríasdeaquellasáreasquereportanalDEA.
• ConfirmarquelaspersonasconresponsabilidadoperativasobreaquellasáreasquereportanalDEAnoparticipenenauditoríasdeesaoperación.
• AsegurarquelosauditoresquerealizaneltrabajodeaseguramientodeaquellasáreasquereportanalDEAesténsupervisadosporla alta dirección yel consejodeadministración, y reporten losresultadosdeltrabajoaéstos.
• Declararlaresponsabilidadoperativadelauditorparaesafunción,lasignificatividaddelaoperaciónparalaorganización(entérminosdeingresos,gastosuotrainformaciónpertinente),ylarelacióndeaquellosqueauditaronlafunción.
67ConsejosparalaPráctica
5. La responsabilidadoperativadelauditordebeserdeclaradaenelinformedeauditoríacorrespondientealasáreasquereportanalDEAyenlacomunicaciónestándardelauditoralconsejodeadministración.Losresultadosdelaauditoríatambiénpuedenserdiscutidosconladirecciónyotraspartesinteresadasapropiadas.LadeclaracióndelmenoscabonoanulaelrequisitodequelostrabajosdeaseguramientoparafuncionesporlascualeselDEAtieneresponsabilidadesdebenser supervisadosporun tercero fuerade laactividaddeauditoríainterna.
***
68 Consejosparalapráctica
Consejo para la Práctica 1200-1Aptitud y Cuidado Profesional
Norma principalmente relacionada
1200 – Aptitud y cuidado profesionalLos trabajos deben cumplirse con aptitud y cuidado profesionaladecuados.
1. La aptitud y el cuidado profesional son responsabilidades delDirectorEjecutivodeauditoría(DEA)ydecadaauditorinterno.El DEA, en su calidad de director, debe asegurar que laspersonas asignadas a cada trabajo posean, en conjunto, losconocimientos, técnicas y otras competencias para realizar eltrabajoadecuadamente.
2. Elcuidadoprofesionalsignificacumplir conelCódigodeÉticay,sicorresponde,conelcódigodeconductadelaorganización,asícomodeloscódigosdeconductadelasotrasdesignacionesprofesionalesquepueda tenerelauditor interno.ElCódigodeÉticaabarcamuchomásque ladefinicióndeauditoría interna,llegandoaincluirdoscomponentesesenciales.
• Principiosquesonrelevantesparalaprofesiónyelejerciciodela auditoría interna: integridad, objetividad, confidencialidad ycompetencia.
• Reglasdeconductaquedescribenlasnormasdecomportamientoqueseesperaqueseanobservadasporlosauditoresinternos.Estasreglassonunaayudaparainterpretarlaaplicaciónprácticadelosprincipios.Suintenciónesregularlaconductaéticadelosauditoresinternos.
***
69ConsejosparalaPráctica
Consejo para la Práctica 1210-1:Aptitud
Norma principalmente relacionada
1210 – AptitudLosauditoresinternosdebenreunir losconocimientos, lasaptitudesyotrascompetenciasnecesariasparacumplirconsusresponsabilidadesindividuales. La actividaddeauditoría interna, colectivamente, debereuniruobtenerlosconocimientos,lasaptitudesyotrascompetenciasnecesariasparacumplirconsusresponsabilidades.
Interpretación:Los conocimientos, las aptitudes y otras competencias es un término colectivo que se refiere a la aptitud profesional requerida al auditor interno para llevar a cabo eficazmente sus responsabilidades profesionales. Se alienta a los auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como la designación de auditor interno certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas. 1. Losconocimientos,técnicasyotrascompetenciasalasqueserefieren
lasnormas,comprendenlosiguiente:• Aptitudparalaaplicacióndelasnormas,procedimientosytécnicas
deauditoríainternaaldesempeñarlostrabajos.Seentiendeporaptitud,lahabilidadparaaplicarelconocimientoalassituacionesque se puedan producir y a gestionarlas adecuadamente sinrecurriraextensasinvestigacionestécnicasyasistencia.
• Aptitudenlosprincipiosytécnicascontablessilosauditoresinternostrabajanregularmenteconregistroseinformesfinancieros.
• Conocimientosparaidentificarlosindicadoresdefraude.• Conocimientosdelosriesgosclavedetecnologíainformáticay
suscontroles,ydelastécnicasdisponiblesdeauditoríabasadasentecnología.
• Comprensión de los principios de dirección, para reconocer yevaluarlamaterialidadysignificatividaddelasdesviacionesdelasprácticasempresarialescorrectas.Estacomprensiónsignifica
70 Consejosparalapráctica
lahabilidadparaaplicarampliosconocimientosalassituacionesque puedan presentarse, para reconocer las desviacionessignificativas,ypoderllevaracabolasinvestigacionesnecesariasconelfindeproponersolucionesrazonables.
• Unaapreciacióndelosfundamentosdetemasdenegociostalescomo contabilidad, economía, derechomercantil, tributación,finanzas,métodos cuantitativos, tecnología de la información,gestiónderiesgosyfraude.Estaapreciaciónsignificalahabilidadparareconocerlaexistenciadeproblemasrealesopotencialesypara identificar las investigacionesadicionalesa realizaro laayudaaobtener.
• Cualidadesparatratarconlaspersonas,comprenderlasrelacioneshumanasymantenerrelacionessatisfactoriasconlosclientesdelostrabajos.
• Capacidadesparacomunicarsedeformaoralyporescrito,conelfindetransmitirdeformaclarayeficazasuntostalescomolosobjetivos,evaluaciones,conclusionesyrecomendacionesdelostrabajos.
2. ElDirectorEjecutivodeauditoría(DEA)debeestablecerloscriteriosapropiadosdeeducaciónyexperienciaparacubrir lospuestosdeauditoríainterna,teniendoencuentaelalcancedeltrabajoyelnivelderesponsabilidad.ElDEAdebeobtenerunaseguridadrazonabledelascualidadesyaptitudesdecadacandidato.
3. La actividad de auditoría interna, en conjunto, debe poseer losconocimientos, técnicas y demás competencias imprescindiblesparalaprácticadelaprofesióndentrodelaorganización.Llevaracabounanálisisanualde losconocimientos,habilidadesydemáscompetencias que posee la actividad de auditoría interna ayudaa identificar las áreas de oportunidadquepueden ser afrontadasmedianteeducaciónprofesionalcontinua,contratacióndepersonal,oexternalizaciónconjunta(co-sourcing).
4. La educación profesional continua es esencial para ayudar aasegurarqueelpersonaldeauditoríainternamantengalasaptitudesdebidas.
5. ElDEApuedeobtenerlaayudadeexpertosajenosalaactividaddeauditoría internaparaapoyarocomplementar lasáreasenque laactividadnoposealassuficientesaptitudes.
71ConsejosparalaPráctica
Consejo para la Práctica 1210.A1-1:Obtención de Proveedores Externos de Servicios para Apoyar o
Complementar la Actividad de Auditoría Interna
Norma principalmente relacionada1210.A1-ElDirectorEjecutivodeauditoríadebeobtenerasesoramientoyasistenciacompetentesencasodequelosauditoresinternoscarezcandelosconocimientos,lasaptitudesuotrascompetenciasnecesariasparallevaracabolatotalidadopartedeltrabajo
1. Cadamiembrode laactividaddeauditoría internanonecesitaestarcualificadoentodaslasdisciplinas.Laactividaddeauditoríainterna puede utilizar proveedores externos de servicios orecursos internos que estén cualificados en disciplinas talescomo contabilidad, auditoría, economía, finanzas, estadística,tecnología de la información, ingeniería, tributación, derecho,medioambienteyotrasáreassegúnseanecesarioparacumplirsusresponsabilidades.
2. Unproveedorexternodeserviciosesunapersonaoempresa,independientedelaorganización,quetieneconocimientos,técnicayexperienciaespecialesenunadisciplinaenparticular.Entrelosproveedoresexternosde servicios se incluyena losactuarios,contables,tasadores,expertosenidiomasoculturas,expertosenmedioambiente,investigadoresdefraudes,abogados,ingenieros,geólogos, expertos en seguridad, estadísticos, expertos entecnologíainformática,losauditoresexternosdelaorganización,y otras organizaciones de auditoría.Unproveedor externo deserviciospuedesercontratadoporelconsejodeadministración,laaltadirecciónoelDirectorEjecutivodeauditoría(DEA).
3. Losproveedoresexternosdeserviciospuedenserutilizadosporlaactividaddeauditoríainternaparaasuntosrelacionadosconlossiguientes,entreotros:
• Ellogrodelosobjetivosdelprogramadetrabajo.• Tareasdeauditoríaparalasquesenecesitenconocimientos
y técnica especializados tales como tecnología de lainformación, estadística, tributación o traducción deidiomas.
72 Consejosparalapráctica
• Tasacióndeactivostalescomotierrasyedificios,obrasde arte, piedras preciosas, inversiones y complejosinstrumentosfinancieros.
• Determinación de cantidades o condiciones físicasde ciertos bienes tales comominerales o reservaspetroleras.
• Medición de la obra terminada y pendiente deejecutarparacontratosencurso.
• Investigacionesdefraudeyseguridad.• Cálculodecantidadesutilizandométodosespecializados
talescomoelcálculoactuarialdelasobligacionesreferidasalasprestacionesdelosempleados.
• Interpretación de requerimientos legales, técnicos yregulatorios.
• Evaluacióndelprogramadeaseguramientoymejoradelacalidaddelaactividaddeauditoríainterna,encumplimientodelasNormas Internacionales para el Ejercicio Profesional de la Auditoría Interna(lasNormas).
• Fusionesyadquisiciones.• Consultoríasobregestiónderiesgosyotrosasuntos.
4. Cuando el DEAPretenda utilizar y confiar en el trabajo de unproveedorexternodeservicios,debetenerencuentalacompetencia,independencia y objetividad de dicho proveedor con respecto altrabajo enparticular a realizar. La evaluaciónde la competencia,independencia y objetividad también debe realizarse cuando elproveedorexternodeserviciosesseleccionadoporlaaltadirecciónoelconsejodeadministraciónyelDEApretendeutilizaryconfiareneltrabajodeaquél.CuandolaselecciónlaefectúanotraspersonasylaevaluaciónrealizadaporelDEAllegaalaconclusióndequenosedeberíautilizarniconfiareneltrabajodelproveedorexternodeservicios,debencomunicarseestosresultadosalaaltadirecciónoalconsejodeadministración,segúnproceda.
5. ElDEAdeterminaqueelproveedorexternodeserviciosposeelosnecesarios conocimientos, técnicas y demás competencias pararealizareltrabajo,teniendoencuentalosiguiente:
73ConsejosparalaPráctica
• Lacertificaciónprofesional,licenciauotroreconocimientodelacompetenciadelproveedorexternodeserviciosenladisciplinarelevante.
• Lacalidaddeasociadoaunaorganizaciónprofesionaladecuadaylaadhesiónasucódigodeética,porpartedelproveedorexternodeservicios.
• La reputación del proveedor externode servicios.Esto puederequerirponerseencontactocontercerosqueesténfamiliarizadosconeltrabajodeaquél.
• Laexperienciadelproveedorexternodeservicioseneltipodetrabajoqueseestéconsiderando.
• El gradodeestudios y la formación recibida por el proveedorexternodeserviciosenaquellasdisciplinasrelacionadasconeltrabajoenparticular.
• Elconocimientoylaexperienciadelproveedorexternodeserviciosdentrodelsectorenelqueoperalaorganización.
6. ElDirectorEjecutivo de auditoría necesita evaluar la relación delproveedorexternodeserviciosconlaorganizaciónyconlaactividaddeauditoríainternaparaasegurarquelaindependenciayobjetividadsemantengandurantetodoeltrabajo.Alrealizarlaevaluación,elDEAverificaquenoexistaningunarelaciónfinanciera,deorganizaciónopersonalqueimpidaalproveedorexternodeserviciosemitirjuiciosyopinionesimparcialesysindesvíoscuandorealizaeltrabajooinformasobreelmismo.
7. ElDEAevalúalaindependenciayobjetividaddelproveedorexternodeserviciosconsiderandolosiguiente:• Losinteresesfinancierosqueelproveedorexternodeservicios
puedatenerenlaorganización.• Laasociaciónpersonaloprofesionalqueelproveedorexterno
deserviciospuedatenerconelconsejodeadministración,laaltadirecciónuotrosdentrodelaorganización.
• Larelaciónqueelproveedorexternodeserviciospuedahabertenido con la organización o con las actividades objeto derevisión.
74 Consejosparalapráctica
• Lamedidadeotrosservicioscontinuosqueelproveedorexternodeserviciospuedaestarprestandoparalaorganización.
• Loshonorariosuotrosincentivosquepuedatenerelproveedorexternodeservicios.
8. Sielproveedorexternodeserviciosexternosestambiénelauditorexterno de la organización y la naturaleza del trabajo asignadoconsista en ampliar los servicios de auditoría, elDEA tiene quegarantizarqueeltrabajorealizadonomenoscabelaindependenciadelauditorexterno.Laampliacióndelosserviciosdeauditoríaserefiereaaquellosserviciosmásalládelosrequisitosdelasnormasdeauditoríageneralmenteaceptadasporlosauditoresexternos.Silosauditoresexternosdelaorganizaciónactúanoparecequeactúancomomiembrosdelaaltadirecciónodelaadministración,ocomoempleados de la organización, entonces su independencia estáafectada.Además,losauditoresexternospuedenproporcionaralaorganizaciónotrosserviciostalescomotributaciónyconsultoría.Laindependenciadebeevaluarseconrespectoalagamacompletadeserviciosprestadosalaorganización.
9. Para garantizar que el alcance del trabajo sea adecuado paralospropósitosde laactividaddeauditoría interna,elDEAobtieneinformaciónsuficienterespectoalalcancedeltrabajodelproveedorexternodeservicios.Puedeserprudentedocumentarestayotrascuestionesenunacartaocontrato.Paralograresto,elDEArevisaconelproveedorexternodeservicioslosiguiente:
• Objetivos y alcance del trabajo, incluyendo los resultados aentregarylostiempos.
• Temasespecíficosqueesperancubrirseenlascomunicacionesdeltrabajo.
• Accesoalosregistros,alaspersonasyalaspropiedadesfísicasrelevantes.
• Informaciónsobrelossupuestosyprocedimientosaemplear.
• Propiedadycustodiadelospapelesdetrabajo,sicorresponde.
• Confidencialidad y restricciones sobre la información obtenidaduranteeltrabajo.
75ConsejosparalaPráctica
• Siesaplicable,elcumplimientodelasNormasydelasnormasdelaactividaddeauditoríainternareferidasalasprácticasdeltrabajo.
10.Al revisarel trabajodeunproveedorexternodeservicios,elDEAevalúa laadecuacióndel trabajo realizado, loque incluyeconocersilainformaciónobtenidaessuficienteparaproporcionarunabaserazonabletantoalasconclusionesalcanzadascomoalaresolucióndeexcepcionesuotrascuestionesinusuales.
11.CuandoelDEAemitecomunicacionesdeltrabajo,ysehayanutilizadolosserviciosdeunproveedorexternodeservicios,elDEApuedemencionardichosserviciosprestados,siloconsideraapropiado.Elproveedorexternodeserviciosdebeestarinformadoy,sicorresponde,llegaraunacuerdoconelmismoantesdeincluirdichareferenciaenlascomunicacionesdeltrabajo.
***
76 Consejosparalapráctica
Consejo para la Práctica 1220-1:Cuidado Profesional
Norma principalmente relacionada
1220 – Cuidado profesional Los auditores internos deben cumplir su trabajo con el cuidado y laaptitudqueseesperandeunauditorinternorazonablementeprudenteycompetente.Elcuidadoprofesionaladecuadonoimplicainfalibilidad.1. Elcuidadoprofesionalexigelaaplicacióndelcuidadoyconocimientos
que se esperan de un auditor interno razonablemente prudentey competente en iguales o similares circunstancias. El cuidadoprofesionales,portanto,elapropiadoparalascomplejidadesdeltrabajoenejecución.Ejercerelcuidadoprofesionalimplicaquelosauditoresinternosesténalertasalaposibiliuniversitariosydeautoestudio;ymediantelaparticipaciónenproyectosdeinvestigación.
2. Sealientaalosauditoresinternosademostrarsuaptitudmediantelaobtencióndeunacertificaciónprofesionalapropiada,talcomoladesignaciónCIA(Certified Internal Auditor–AuditorInternoCertificado),otrasdesignacionesofrecidasporelInstitutodeAuditoresInternosyotrasdesignacionesrelacionadasconauditoríainterna.
3. SealientaalosauditoresinternosaobtenerEPC(relacionadaconlasactividadesyelsectoreconómicodesuorganización)conelfindemantenersuaptitudrespectoalosprocesosdegobierno,riesgosycontroldesuorganizaciónenparticular.
4. Los auditores internos que desempeñan trabajos de auditoría yconsultoríadeespecialización,talescomotecnologíadelainformación,tributación,asuntosactuarialesodiseñodesistemas,puedenllevaracaboEPCespecializadaparapermitirlesdesempeñarsutrabajodeauditoríainternaconlasaptitudesadecuadas.
5. Los auditores internos con certificaciones profesionales sonresponsables de obtener la suficiente EPC para satisfacer losrequisitosdelacertificaciónprofesionalqueposeen.
6. Se alienta a los auditores internos que actualmente no poseancertificacionesprofesionales apropiadasa seguir un programadeformaciónoestudiosindividualesquelesayudenaobtenerlas.
77ConsejosparalaPráctica
Consejo para la Práctica 1230-1:Desarrollo Profesional Continuo
Norma principalmente relacionada
1230 – Desarrollo profesional continuoLosauditoresinternosdebenperfeccionarsusconocimientos,aptitudesyotrascompetenciasmediantelacapacitaciónprofesionalcontinua.1. Losauditoresinternossonresponsablesdecontinuarsuformación
a fin demejorar ymantener su competencia profesional. Losauditores internos debenmantenerse informados de lasmejorasy de la evolución de las normas, procedimientos y técnicas deauditoríainterna,incluyendolaguíaprofesionaldenominadaMarcoInternacionalparalaPrácticaProfesional(MIPP)queemiteelInstitutodeAuditoresInternos.Laeducaciónprofesionalcontinua(EPC)sepuedeobtener haciéndose socio, participando y trabajando comovoluntarioenorganizacionesprofesionalestalescomoelInstitutodeAuditoresInternos;mediantelaasistenciaaconferencias,seminariosyprogramasinternosdeformación;mediantelaasistenciaygraduaciónencursosuniversitariosydeautoestudio;ymediantelaparticipaciónenproyectosdeinvestigación.
2. Sealientaalosauditoresinternosademostrarsuaptitudmediantelaobtencióndeunacertificaciónprofesionalapropiada,talcomoladesignaciónCIA(Certified Internal Auditor–AuditorInternoCertificado),otrasdesignacionesofrecidasporelInstitutodeAuditoresInternosyotrasdesignacionesrelacionadasconauditoríainterna.
3. SealientaalosauditoresinternosaobtenerEPC(relacionadaconlasactividadesyelsectoreconómicodesuorganización)conelfindemantenersuaptitudrespectoalosprocesosdegobierno,riesgosycontroldesuorganizaciónenparticular.
4. Los auditores internos que desempeñan trabajos de auditoría yconsultoríadeespecialización,talescomotecnologíadelainformación,tributación,asuntosactuarialesodiseñodesistemas,puedenllevaracaboEPCespecializadaparapermitirlesdesempeñarsutrabajodeauditoríainternaconlasaptitudesadecuadas.
5. Los auditores internos con certificaciones profesionales son
78 Consejosparalapráctica
responsables de obtener la suficiente EPC para satisfacer losrequisitosdelacertificaciónprofesionalqueposeen.
6. Se alienta a los auditores internos que actualmente no poseancertificacionesprofesionales apropiadasa seguir un programadeformaciónoestudiosindividualesquelesayudenaobtenerlas.
***
79ConsejosparalaPráctica
Consejo para la Práctica 1300-1:Programa de Aseguramiento y Mejora de la Calidad
Norma principalmente relacionada
1300 – Programa de aseguramiento y mejora de la calidadElDirectorEjecutivodeauditoríadebedesarrollarymantenerunprogramadeaseguramientoymejoradelacalidadquecubratodoslosaspectosdelaactividaddeauditoríainterna.
Interpretación:Un programa de aseguramiento y mejora de la calidad está concebi-do para permitir una evaluación del cumplimiento de la definición de auditoría interna y las Normas por parte de la actividad de auditoría interna, y una evaluación de si los auditores internos aplican el Código de Ética. Este programa también evalúa la eficiencia y eficacia de la actividad de auditoría interna e identifica oportunidades de mejora.
1. ElDirectorEjecutivodeauditoría(DEA)eselresponsabledeestable-cerunaactividaddeauditoríainternacuyoalcancedetrabajoincluyatodaslasactividadesestablecidasenlasNormasyenladefinicióndeauditoríainterna.Paraasegurarqueestoocurra,laNorma 1300 exigequeelDEAelaboreymantengaunprogramadeaseguramientoymejoradelacalidad(PAMC).
2. ElDEAeselresponsabledeimplantarprocesosqueproporcionenunaseguramientorazonablealasdiversaspartesinteresadasenlaactividaddeauditoríainterna,dequelamisma:• Sedesempeñadeacuerdoconelestatutodeauditoríainterna,el
cualdebeserconsistenteconlaDefinicióndeAuditoríaInterna,elCódigodeÉticaylasNormas.
• Operadeformaeficazyeficiente.• Espercibidaporaquellaspartesinteresadascomounelemento
queagregavalorymejoralasoperacionesdelaorganización.Estos procesos incluyen la supervisión adecuada, evaluacionesinternas periódicas y vigilancia continua del aseguramiento decalidad,yevaluacionesexternasperiódicas.
80 Consejosparalapráctica
3. El PAMCdebe ser suficientemente integral demodo de abarcartodos losaspectosde la operación y gestióndeunaactividaddeauditoría interna,segúnseestableceen laDefinicióndeAuditoríaInterna,elCódigodeÉticaylasNormas,yenlasmejoresprácticasde la profesión. El PAMC es realizado por el DEA o bajo susupervisióndirecta.Exceptoenlasactividadesdeauditoríainternadepequeñotamaño,elDEAgeneralmentedelegarálamayoríadelasresponsabilidadesdelPAMCasussubordinados.Enambientesdegrantamañoocomplejos(porejemplo,variasunidadesdenegocioolocalizaciones),elDEAestableceunafuncióndelPAMC,encabezadaporunejecutivodeauditoríainterna,independientedelossegmentosdeauditoríayconsultoríadelaactividaddeauditoríainterna.Estepersonal ejecutivo (y limitado) administra y vigila las actividadesnecesariasparaunPAMCexitoso.
***
81ConsejosparalaPráctica
Consejo para la Práctica 1310-1:Requisitos del Programa de Aseguramiento y Mejora de la Calidad
Norma principalmente relacionada
1310 – Requisitos del programa de aseguramiento y mejora de la calidad Elprogramadeaseguramientoymejoradelacalidaddebeincluirtantoevaluacionesinternascomoexternas.1. Unprogramadeaseguramientoymejorade lacalidad(PAMC)es
unaevaluacióncontinuayperiódicadelespectrocompletodeltrabajodeauditoríayconsultoríallevadoacaboporlaactividaddeauditoríainterna.Estasevaluacionescontinuasyperiódicasestáncompuestasporprocesosrigurososeintegrales;supervisiónypruebascontinuasdeltrabajodeauditoríainternayconsultoría;yvalidacionesperiódicasdelcumplimientodelaDefinicióndeAuditoríaInterna,elCódigodeÉticaylasNormas.Estotambiénincluyelasmedicionesyanálisiscontinuosdeindicadoresdedesempeño(porejemplo,cumplimientodel plandeauditoría interna, ciclosde tiempos, recomendacionesaceptadas y satisfacción del cliente). Si los resultados de estasevaluacionesindicanáreasdemejoraparalaactividaddeauditoríainterna, elDirectorEjecutivodeauditoría (DEA) implementará lasmismasmedianteelPAMC.
2. Losaseguramientosevalúanydanunaconclusiónsobrelacalidaddelaactividaddeauditoríainternayaportanrecomendacionesparalasmejorasapropiadas.LosPAMCcomprendenunaevaluacióndelosiguiente:• CumplimientodelaDefinicióndeAuditoríaInterna,elCódigode
ÉticaylasNormas,incluyendolasaccionescorrectivasoportunasparasolucionarcualquiercasosignificativodeincumplimiento.
• Adecuacióndelestatuto,lasmetas,losobjetivos,laspolíticasylosprocedimientosdelaactividaddeauditoríainterna.
• Contribucióna losprocesosdegobierno, gestiónde riesgos ycontroldelaorganización,
• Cumplimiento de las leyes, reglamentaciones y normasgubernamentalesodelsectoreconómicoaplicables.
82 Consejosparalapráctica
• Eficaciadelastareasdemejoracontinuayadopcióndemejoresprácticas.
• Si la actividad de auditoría interna agrega valor ymejora lasoperacionesdelaorganización.
3. LosPAMCtambiénincluyenelseguimientodelasrecomendacionesque implican lamodificación apropiada y oportuna de recursos,tecnología,procesosyprocedimientos.
4. Afindeproporcionarresponsabilidadytransparencia,elDEAcomunicalosresultadosdelasevaluacionesexternasdeprogramasdecalidady,sicorresponde,delasevaluacionesinternasdeprogramasdecalidad,alasdiversaspartesinteresadasenlaactividad(talescomolaaltadirección,elconsejodeadministraciónylosauditoresexternos).Almenosunavezalaño,elDEAinformaalaaltadirecciónyalconsejodeadministraciónrespectodelastareasyresultadosdelprogramadecalidad.
***
83ConsejosparalaPráctica
Consejo para la Práctica 1311-1Evaluaciones Internas
Norma principalmente relacionada
1311 – Evaluaciones internasLasevaluacionesinternasdebenincluir:
• Elseguimientocontinuodeldesempeñodelaactividaddeauditoríainterna,y
• Revisionesperiódicasmediante autoevaluaciónopor parte deotras personas dentro de la organización con conocimientossuficientesdelasprácticasdeauditoríainterna.
Interpretación:El seguimiento continuo forma parte integral de la supervisión, revisión y medición del día a día de la actividad de auditoría interna. Está incorporada en las prácticas y políticas de rutina usadas para administrar la actividad de auditoría interna, y utiliza procesos, herramientas e información considerados necesarios para evaluar el cumplimiento de la definición de auditoría interna y las Normas, y la aplicación del Código de Ética. Las revisiones periódicas son evaluaciones de propósito especial para evaluar el cumplimiento de la definición de auditoría interna, el Código de Ética y las Normas.. Los conocimientos suficientes de las prácticas de auditoría interna requieren un entendimiento de todos los elementos del Marco Internacional para la Práctica Profesional.
1. Los procesos y herramientas utilizados en las evaluacionesinternascontinuasincluyen:• Supervisióndeltrabajo;• Usodelistasdeverificación(checklists)yprocedimientos(por
ejemplo,enunmanualdeauditoríayprocedimientos);• Retroalimentacióndelosclientesdeauditoríayotraspartes
interesadas;• Revisiónentrepares,deunaseleccióndepapelesdetrabajo,
84 Consejosparalapráctica
llevadaacaboporpersonalnoimplicadoenlasrespectivasauditorías;
• Presupuestos de los proyectos, sistemas de control detiempos,concrecióndelplandeauditoríayrecuperacióndecostos;y
• Análisisdeotrasmedicionesdedesempeño(talescomociclodetiemposyrecomendacionesaceptadas).
2. Se sacan conclusiones respecto de la calidad del desempeñocontinuoysetomanaccionesdeseguimientoafindeasegurarqueseimplementenlasmejorasapropiadas.
3. ElManual de Evaluación de Calidad publicadopor el Instituto deAuditoresInternos,oalgúnconjuntosimilardeguíasprofesionalesyherramientas,debeservirdebaseparalasevaluacionesinternasperiódicas.
4. Lasevaluacionesinternasperiódicaspueden:• Incluirentrevistasyencuestasmásprofundasalosgrupos
departesinteresadas.• Ser realizadas pormiembros de la actividad de auditoría
interna(autoevaluación).• SerrealizadasporAuditoresInternosCertificados(Certified
Internal Auditors-CIAs),uotrosprofesionalescompetentesdeauditoríaqueesténasignadosacualquierotrosectordelaorganización.
• Abarcarunacombinacióndeautoevaluaciónypreparacióndemateriales posteriormente revisados porCIAs u otrosprofesionalescompetentesdeauditoría.
• Incluir una comparación (benchmarking) de las prácticasymediciones de desempeño de la actividad de auditoríainterna,conrespectoalasmejoresprácticasdelaprofesióndeauditoríainterna.
5. Unaevaluación internaperiódica, realizadaenun tiempocercanoanterioraunaevaluaciónexterna,puedefacilitaryreducirelcostodelaevaluaciónexterna.Silaevaluacióninternaperiódicalarealizaunrevisoroequipoderevisiónexterno,calificadoeindependiente,los
85ConsejosparalaPráctica
resultadosdelamismanodeberíantransmitirningúnaseguramientosobrelosresultadosquetendrálasiguienteevaluaciónexternadecalidad.El informepuedeofrecersugerenciasy recomendacionesparamejorar las prácticas de la actividaddeauditoría interna.Sila evaluación externa toma la forma de una autoevaluación convalidaciónindependiente,laevaluacióninternaperiódicapuedeservircomolaporcióndeautoevaluacióndeesteproceso.
6. SesacanconclusionesrespectodelacalidaddeldesempeñoyseinicianaccionesapropiadasparalograrlasmejorasyelcumplimientodelasNormas,segúnseanecesario.
7. ElDEAestableceunaestructuraparainformarlosresultadosdelasevaluaciones internas quemantenga la credibilidad y objetividadapropiadas. En general, aquellos a los que se les asignó laresponsabilidadderealizarrevisionescontinuasyperiódicasreportanalDEAcuandodesempeñanlasrevisionesycomunicansusresultadosdirectamentealDEA.
8. Almenosunavezalaño,elDEAinformaalaaltadirecciónyalconsejodeadministraciónsobrelosresultadosdelasevaluacionesinternas,losplanesdeacciónnecesariosysuimplantaciónadecuada.
***
86 Consejosparalapráctica
Consejo para la Práctica 1312-1:
Evaluaciones ExternasNorma principalmente relacionada
1312 – Evaluaciones externasDebenrealizarseevaluacionesexternasalmenosunavezcadacincoañosporun revisoroequipode revisióncualificadoe independiente,provenientedefueradelaorganización.ElDirectorEjecutivodeauditoríadebetratarconelConsejo:
• Lanecesidaddeevaluacionesexternasmásfrecuentes,y• Lascualificacioneseindependenciadelrevisoroequipoderevisión
externo,incluyendocualquierconflictodeinteresespotencial.
Interpretación:Un revisor o equipo de revisión cualificado consiste en individuos competentes en la práctica profesional de la auditoría interna y del proceso de evaluación externa. La evaluación de la competencia del revisor o equipo de revisión es un juicio que considera la experiencia profesional en auditoría interna y las credenciales profesionales de los individuos seleccionados para realizar la revisión. La evaluación de las cualificaciones también tiene en cuenta el tamaño y complejidad de las organizaciones con las que los revisores hayan estado asociados en relación con la organización para la cual se está evaluando su actividad de auditoría interna, así como la necesidad de conocimientos técnicos, sobre un sector económico o área e particular. Un revisor o equipo de revisión independiente es aquél que no tiene conflictos de intereses reales o aparentes, y no forma parte ni está bajo el control de la organización a la cual pertenece la actividad de auditoría interna. 1. Lasevaluacionesexternascubrenelespectrocompletodeltrabajo
deauditoríayconsultoríallevadoacaboporlaactividaddeauditoríainternaynodebenestarlimitadasalaevaluacióndesuprogramadeaseguramientoymejorade lacalidad(PAMC).Paraobtenerelmayorbeneficiodeunaevaluaciónexterna,elalcancedel trabajotambién debería incluir una comparación con lamejor referencia
87ConsejosparalaPráctica
(benchmarking),identificacióneinformacióndelasprácticaslíderesquepuedanayudar a la actividad de auditoría interna a sermáseficiente y eficaz. Esto puede lograrsemediante una evaluaciónexternacompletarealizadaporunrevisoroequipoderevisiónexternocualificado e independiente, o bienmediante una autoevaluacióninternaintegralconvalidaciónindependienterealizadaporunrevisoroequipoderevisiónexternocualificadoeindependiente.Noobstante,elDEAdebeasegurarsedequeelalcanceestablezcaclaramentelosresultadosesperadosdelaevaluaciónexternaencadacaso.
2. Las evaluaciones externas de una actividad de auditoría internacontienenunaopiniónexpresarespectodelespectrocompletodeltrabajodeaseguramientoyconsultoríaquerealiza(oquedeberíahaberrealizadosegúnelestatutodeauditoría interna) laactividadde auditoría interna, incluyendo su cumplimiento de laDefinicióndeAuditoríaInterna,elCódigodeÉticay lasNormas,y,siresultaapropiado, incluye recomendaciones de mejora.Además delcumplimientode laDefinición,elCódigodeÉticay lasNormas,elalcancedelaevaluaciónseajustasegúnlocreaconvenienteelDEA,laaltadirecciónoelconsejodeadministración.EstasevaluacionespuedentenerunvalorconsiderableparaelDEAyotrosmiembrosde la actividad de auditoría interna, especialmente cuando secompartenmejoresprácticasycomparaciónconlamejorreferencia(benchmarking).
3. Al terminar la revisiónseenvíaunacomunicación formala laaltadirecciónyalconsejodeadministración.
4. Haydosenfoquesparalasevaluacionesexternas.Elprimerenfoqueesunaevaluaciónexternacompletarealizadaporunrevisoroequipoderevisióncualificadoeindependiente.Esteenfoqueimplicaunequipoexternodeprofesionalescompetentesbajoelliderazgodeungerentedeproyectoprofesionalyexperimentado.Elsegundoenfoqueimplicaelusodeunrevisoroequipoderevisióncualificadoeindependientequerealiceunavalidaciónindependientedelaautoevaluacióninternaydeuninformeelaboradoporlaactividaddeauditoríainterna.Losrevisores externos independientes deben sermuy versadosen laconduccióndeprácticasdeauditoríainterna.
5. Laspersonasquerealizanlaevaluaciónexternaseencontraránlibresdeobligacionesointeresesrespectodelaorganizacióncuyaactividad
88 Consejosparalapráctica
deauditoríainternaestásiendosujetaaunaevaluaciónexterna,odesupersonal.ElDEA,enconsultaconelconsejodeadministración,tendráencuentalossiguientesaspectosreferidosalaindependenciacuandoseleccionealrevisoroequipoderevisiónexternocualificadoeindependiente:• Cualquierconflictodeinteresesrealoaparentedelasfirmasque
proporcionan:- Laauditoríaexternadelosestadoscontables.- Servicios de consultoría significativos en las áreas de
gobierno, gestión de riesgos, información financiera,controlinternoyotrasáreasrelacionadas.
- Asistencia a la actividad de auditoría interna. Lasignificatividad y cantidadde trabajo desempeñadoporelproveedordeserviciosprofesionalesdebetenerseencuentaenladeliberación.
• Cualquier conflicto de intereses real o aparente de anterioresempleados de la organización que pudieran desempeñar laevaluación.Se tendráen cuenta la cantidadde tiempoque lapersonahasidoindependientedelaorganización.
• Laspersonasque realizan laevaluaciónserán independientesdelaorganizacióncuyaactividaddeauditoríainternaestásujetaa evaluación y no tendránningún conflicto de intereses real oaparente. “Independiente de la organización” significa que noformaparteniestábajoelcontrolde laorganizacióna lacualpertenecelaactividaddeauditoríainterna.Enlaseleccióndeunrevisoroequipoderevisiónexterno,cualificadoeindependiente,setendráencuentatodoconflictodeinteresesrealoaparentequeelrevisorpuedatenerdebidoasurelaciónpresenteopasadaconlaorganizaciónosuactividaddeauditoríainterna,incluyendolaparticipacióndelrevisorenevaluacionesinternasdecalidad.
• Laspersonasqueestánenotrodepartamentodelaorganizaciónoenunaorganizaciónrelacionada,aunqueesténenunaorganizaciónseparadadelaactividaddeauditoríainterna,nosonconsideradasindependientesalosfinesderealizarunaevaluaciónexterna.Una“organizaciónrelacionada”puedeserlacasamatriz,unaafiliadadelmismogrupodeentidadesounaentidadconresponsabilidades
89ConsejosparalaPráctica
habitualesdevigilancia,supervisiónoaseguramientodecalidadrespectodelaorganizaciónsujetaalaevaluaciónexterna.
• Conflictosrealesoaparentesenlosacuerdosderevisiónentreiguales.Puedeestablecerseunacuerdoderevisiónentreigualesportresomásorganizaciones(porejemplo,dentrodeunsectoreconómicouotrogrupodeafinidad,asociaciónregional,uotrogrupodeorganizaciones,exceptoenelcasode“organizacionesrelacionadas”definidasenelpuntoanterior),estructuradosdetalformadepaliareltemadelaindependencia,perodeberátenersecuidadodeasegurarquenosurjaunproblemadeindependencia.Lasrevisionesentreparesrealizadasporsólodosorganizacionesnosuperaríanlapruebadelaindependencia.
• Parasuperarlacuestióndeunmenoscaborealoaparentealaindependenciaeninstanciastalescomolasmencionadasenestasección,unaomáspersonasindependientespodríanformarpartedelequipodeevaluaciónexternaconelfindevalidardeformaindependienteeltrabajodelequipodeevaluaciónexterna.
6. La integridadrequiere que los revisores seanhonestos y francosdentrodeloslímitesdelaconfidencialidad.Elservicioylaconfianzapúblicanodebenestarsubordinadosalagananciayventajapersonal.Laobjetividadesunestadomentalyunacualidadquedavaloralosservicios de los revisores.El principio de la objetividad impone laobligacióndeserimparcial,intelectualmentehonestoyestarlibredeconflictodeintereses.
7. Eldesempeñoylacomunicacióndelosresultadosdeunaevaluaciónexternarequierenelejerciciodeljuicioprofesional.Porconsiguiente,unapersonaquesedesempeñacomorevisorexternodebería:• Serauditorinternoprofesionalcertificadoycompetente,queposea
conocimientosactualizadosyprofundosdelasNormas.• Encontrarsebien familiarizado con lasmejoresprácticasde la
profesión.• Teneralmenostresañosdeexperienciarecienteenelejercicio
deauditoríainternaoconsultoríarelacionada,anivelgerencial.Los líderes de equipos de revisión independiente y los revisoresexternos que realizan validación independiente de los resultados delaautoevaluacióndeberían tenerunniveladicionaldecompetenciay
90 Consejosparalapráctica
experienciaquehayanobtenidotrabajandoanteriormentecomomiembrosdeequipoenunaevaluaciónexternadecalidad,deberíanhaberrealizadoun curso de capacitación en evaluación de calidad del Instituto deAuditoresInternosouncursosimilar,ydeberíantenerexperienciadenivelsuperiorenlagestióndeauditoría interna,comoDEAounnivelcomparable.8. Losrevisoresdeberíanteneraptitudestécnicasrelevantesyposeer
experienciarelevanteenelsectoreconómicopertinente.Laspersonasconexperienciaenotrasáreasdeespecializaciónpuedenayudaralequipo.Porejemplo,losespecialistasengestiónderiesgoempresarial,auditoría de tecnología de la información,muestreo estadístico,sistemasdevigilanciadelasoperacionesoautoevaluacióndecontrol,puedenparticiparenciertossegmentosdelaevaluación.
9. ElDEAhará que la alta dirección y el consejo de administraciónparticipenenelprocesodeseleccióndelenfoqueydelproveedordelaevaluaciónexternadecalidad.
10.La evaluaciónexternadebe consistir en una cobertura deamplioalcance que incluya los siguientes elementos de la actividad deauditoríainterna:• ElcumplimientodelaDefinicióndeAuditoríaInterna,elCódigo
de Ética y lasNormas; y el estatuto, los planes, políticas,procedimientos, prácticas, requisitos legales y regulacionesaplicablesalaactividaddeauditoríainterna,
• Lasexpectativasdelaactividaddeauditoríainternaexpresadasporelconsejodeadministración,laaltadirecciónylosgerentesoperativos,
• Laintegracióndelaactividaddeauditoríainternaenelprocesodegobiernodelaorganización,incluyendolasrelacionesentrelosgruposclavequeparticipaneneseproceso,
• Las herramientas y técnicas empleadas por la actividad deauditoríainterna,
• Lamezcladeconocimientos,experienciaydisciplinasdentrodelpersonal,incluyendoelenfoquedelpersonalenlamejoradelosprocesos,y
• Determinarsilaactividaddeauditoríainternaagregavalorymejoralasoperacionesdelaorganización.
91ConsejosparalaPráctica
11.LosresultadospreliminaresdelarevisiónsecomentaránconelDEAduranteelprocesodeevaluaciónyalconcluirelmismo.LosresultadosfinalessecomunicaránalDEAuotraautoridadquehayaautorizadolarevisión,preferentementeenviandocopiadirectamentealosmiembrosapropiadosdelaaltadirecciónydelconsejodeadministración.
12.Lacomunicaciónincluyelosiguiente:• UnaopiniónrespectodelcumplimientodelaDefinición,elCódigo
deÉtica y lasNormas por parte de la actividad de auditoríainterna, basadaenunprocesoestructuradode calificación.Eltérmino“cumplimiento”significaquelasprácticasdelaactividadde auditoría interna, tomadas como un todo, satisfacen losrequisitosdelaDefinición,elCódigodeÉticaylasNormas.Deformasimilar,la“faltadecumplimiento”significaqueelimpactoylagravedaddelasdeficienciasenlasprácticasdelaactividadde auditoría interna son tan significativas quemenoscaban lacapacidaddelaactividaddeauditoría internaparacumplirconsusresponsabilidades.Elgradode“cumplimientoparcial”conlaDefinición,elCódigodeÉticayciertasNormas,siesrelevanteparalaopinióngeneral,tambiéndeberíaexpresarseenelinformesobrelaevaluaciónindependiente.Laexpresióndeunaopiniónacerca de los resultados de la evaluación externa requiere laaplicacióndebuenjuicioparalosnegocios,integridadyaptitudprofesional.
• Unaevaluaciónydeterminacióndelusodelasmejoresprácticas,tanto las observadas durante la evaluación como aquellasaplicablespotencialmentealaactividad.
• Recomendacionesdemejora,cuandoresultenapropiadas.• Las respuestasdelDEAque incluyanunplandeacciónysus
fechasdeimplementación.
13.Paraproporcionarresponsabilidadytransparencia,elDEAcomunicalosresultadosdelasevaluacionesexternasdecalidad,asícomolosdetallesdelplandeacciónparasolucionarlosproblemassignificativosylainformaciónposteriorrespectodelcumplimientodeaquellosplanesdeacción, a los diversos interesadosen la actividaddeauditoríainterna,talescomolaaltadirección,elconsejodeadministraciónylosauditoresexternos.
92 Consejosparalapráctica
Consejo para la Práctica 1312-2: Evaluaciones Externas:
Autoevaluación con Validación Independiente
Norma principalmente relacionada:
1312 – Evaluaciones externasDebenrealizarseevaluacionesexternasalmenosunavezcadacincoañosporun revisoroequipode revisióncualificadoe independiente,provenientedefueradelaorganización.ElDirectorEjecutivodeauditoríadebetratarconelConsejo:
• Lanecesidaddeevaluacionesexternasmásfrecuentes,y• Lascualificacioneseindependenciadelrevisoroequipode
revisiónexterno,incluyendocualquierconflictodeinteresespotencial.
Interpretación:Un revisor o equipo de revisión cualificado consiste en individuos competentes en la práctica profesional de la auditoría interna y del proceso de evaluación externa. La evaluación de la competencia del revisor o equipo de revisión es un juicio que considera la experiencia profesional en auditoría interna y las credenciales profesionales de los individuos seleccionados para realizar la revisión. La evaluación de las cualificaciones también tiene en cuenta el tamaño y complejidad de las organizaciones con las que los revisores hayan estado asociados en relación con la organización para la cual se está evaluando su actividad de auditoría interna, así como la necesidad de conocimientos técnicos, sobre un sector económico o área e particular. Un revisor o equipo de revisión independiente es aquél que no tiene conflictos de intereses reales o aparentes, y no forma parte ni está bajo el control de la organización a la cual pertenece la actividad de auditoría interna. 1. Unaevaluaciónexternaporunrevisoroequipoderevisióncualificado
e independiente puede ser difícil de llevar a caboen actividadesdeauditoría internapequeñas,opuedehabercircunstanciaspara
93ConsejosparalaPráctica
ciertasorganizacionesenqueunaevaluaciónexternacompletaporun equipo independiente no se considere apropiadao necesaria.Porejemplo,laactividaddeauditoríainternapuede(a)estarenunsectoreconómicosujetoaextensasregulacionesosupervisión,(b)estarsujetaaexhaustivavigilanciaydirecciónexternarespectodelgobiernoyloscontrolesinternos,(c)habersidosujeto,recientemente,derevisionesexternasoserviciosdeconsultoríaenloscualeshuboextensacomparaciónconmejoresprácticas,o(d)ajuiciodelDEA,losbeneficiosdelaautoevaluaciónparaeldesempeñodelpersonalylafortalezadelPAMCinternosuperanalosbeneficiosquepuedeaportarunaevaluacióndecalidadrealizadaporunequipoexterno.
2. Unaautoevaluaciónconvalidación(externa)independienteincluye:
• Un proceso de autoevaluación amplio y totalmentedocumentado,emulandoelprocesodeevaluaciónexterna,almenosconrespectoalaevaluacióndelcumplimientodelaDefinicióndeAuditoría Interna,elCódigodeÉticay lasNormas.
• Unavalidaciónindependienterealizadaenlalocalizaciónporunrevisorcualificadoeindependiente.
• Usoeconómicodetiempoyrecursos(porejemplo,elfocoprincipalestaríaenelcumplimientodelasNormas).
• Atenciónreducidaenotrasáreas;porejemplo,elbenchmarking,larevisiónyconsultarespectodelautilizacióndemejoresprácticas,ylasentrevistasconlaaltadirecciónylagerenciaoperativa,podríanserreducidas.Sinembargo,lainformaciónproducidaporestaspartesde laevaluaciónesunode losbeneficiosdeunaevaluaciónexterna.
3. SeaplicaríanlasmismasguíasycriteriosestablecidosenelConsejoparalaPráctica1312-1paralosiguiente::
• Consideracionesgenerales.
• Calificacionesdelrevisoroequipoderevisiónexterno.
• Independencia, integridad y objetividad, competencia,aprobación por parte de la dirección y el consejo deadministración,alcance(exceptoparaáreas talescomoel
94 Consejosparalapráctica
empleodeherramientas,técnicas,otrasmejoresprácticas,desarrollodecarrerayactividadesdevaloragregado).
• Comunicación de resultados (incluyendo las accionescorrectivasysucumplimiento).
4. UnequipobajoladireccióndelDEAseráelencargadodedesempeñarydocumentartotalmenteelproceso.Debepreparaseunborradordeinforme,similaraldeunaevaluaciónexterna,queincluyaeljuiciodelDEArespectodelcumplimientodelasNormas.
5. Unrevisoroequipoderevisióncualificadoeindependientellevaacabopruebassuficientesdelaautoevaluaciónconelfindevalidarlos resultados y expresar una opinión sobre el nivel indicado decumplimientodelaDefinicióndeAuditoríaInterna,elCódigodeÉticaylasNormasquetengalaactividad.EstavalidaciónindependientesigueelprocesoindicadoenelManualdeEvaluacióndeCalidaddelIIAounprocesointegralsimilar.
6. Como parte de la validación independiente, el revisor externoindependiente,alcompletarlavalidaciónindependiente,queincluyeuna revisión rigurosade la evaluación realizadapor el equipodeautoevaluaciónrespectodelcumplimientodelaDefinición,elCódigodeÉticaylasNormas:• Revisaelborradordeinformeytratadereconciliarlostemasno
resueltos,sihubieraalguno.• SiestádeacuerdoconlaopinióndecumplimientodelaDefinición
deAuditoríaInterna,elCódigodeÉticaylasNorma,agregaenelinformeloqueconsiderenecesario,expresandosuacuerdoconelprocesoylaopinióndelaautoevaluacióny,enlamedidaquelo considereapropiado, con lasobservaciones, conclusionesyrecomendacionesdelinforme.
• Sinoestádeacuerdocon laevaluación,agregaenel informesudesacuerdo,especificandocuálessonlospuntosdelinformeconlosquenoestádeacuerdoy,enlamedidaqueloconsidereapropiado,conlasobservaciones,conclusiones,recomendacionesyopinionessignificativasdelinforme.
• Otra alternativa es que prepare un informe de validaciónindependienteporseparado,expresandosuacuerdoodesacuerdo
95ConsejosparalaPráctica
segúnlomencionadoanteriormente,paraacompañaralinformedeautoevaluación.
• Elinformeoinformesfinalesdelaautoevaluaciónconvalidaciónindependiente deberán luego ser firmados por el equipo deautoevaluaciónyporelrevisorexternocualificadoeindependiente,yemitidosporelDEAparalaaltadirecciónyelConsejo.
7. El informeo informes finales de la autoevaluación con validaciónindependientesonfirmadosporelequipodeautoevaluaciónyporlosrevisoresexternoseindependientes,yemitidosporelDEAparalaaltadirecciónyelconsejodeadministración.
8. Paraproporcionarresponsabilidadytransparencia,elDEAcomunicalosresultadosdelasevaluacionesexternasdecalidad,incluyendolosdetallesdelplandeacciónparasolucionarlosproblemassignificativosylainformaciónposteriorrespectodelcumplimientodeaquellosplanesdeacción, a los diversos interesadosen la actividaddeauditoríainterna,talescomolaaltadirección,elconsejodeadministraciónylosauditoresexternos.
* * *
96 Consejosparalapráctica
Consejo para la Práctica 1321-1:Utilización de “Cumple con las Normas Internacionales para el
Ejercicio Profesional de la Auditoría Interna”
Norma principalmente relacionada:
1321 – Utilización de “Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna”ElDirectorEjecutivodeauditoríapuedemanifestarquelaactividaddeauditoríainternacumpleconlasNormas Internacionales para el Ejercicio Profesional de la Auditoría Internasólosilosresultadosdelprogramadeaseguramientoymejoradelacalidadapoyanesadeclaración.
1. LavigilanciacontinuaylasevaluacionesexternaseinternasdeunaactividaddeauditoríainternasellevanacaboparaevaluaryexpresarunaopiniónencuantoalcumplimientodelaDefinicióndeAuditoríaInterna,elCódigodeÉticaylasNormas porpartedelaactividaddeauditoríainternay,siresultaapropiado,deberíanincluirrecomendacionesdemejora.
2. Seexigequelasevaluacionesexternasserealicencadacincoaños.
3. La frase a utilizar puede ser “cumple con lasNormas” o “deconformidadconlasNormas”.Parautilizarunadeestasfrasesserequierequeselleveacabounaevaluaciónexternaalmenosunavezcadacincoaños,juntoconvigilanciacontinuayevaluacionesinternasperiódicas,yqueenestastareassehayallegadoalaconclusióndequelaactividaddeauditoríainternacumpleconlaDefinición,elCódigodeÉticaylasNormas.Elusoinicialdelafrasedecumplimientonoseráapropiadohastaqueunarevisiónexternahayademostradoque la actividaddeauditoría internacumpleconlaDefinición,elCódigodeÉticaylas Normas.
4. ElDirectorEjecutivodeauditoría(DEA)declaraalaaltadirecciónyalconsejodeadministraciónloscasosdeincumplimientoqueafectan el alcance u operación en general de la actividad deauditoríainterna,incluyendolanoobtencióndeunaevaluaciónexterna cada cinco años, a la alta dirección y al consejo deadministración.
97ConsejosparalaPráctica
5. Antesdeutilizarlafrasedecumplimientoporpartedelaactividaddeauditoríainterna,cualquierfaltadecumplimientoquehayasidodeclaradaporunaevaluacióndecalidad(internaoexterna),quemenoscabelahabilidaddeauditoríainternaparacumplirconsusresponsabilidades:• Debeseradecuadamentesolucionada,• Las acciones l levadas a cabo para solucionar el
incumplimiento deben ser documentadas e informadas alevaluadoroevaluadoresrelevantesconelfindeobtenersuacuerdo respectodeque la faltadecumplimientohasidoadecuadamentesolucionada,y
• Lasaccionesllevadasacaboparasolucionarelincumplimientoyelacuerdodelevaluadoroevaluadoresrelevantesrespectodelasmismasseinformanalaaltadirecciónyalconsejodeadministración.
* * *
98 Consejosparalapráctica
Consejo para la Práctica 2010-1:Enlace del Plan de Auditoría con los Riesgos y Exposiciones
Norma principalmente relacionada
2010 – PlanificaciónElDirectorEjecutivodeauditoríadebeestablecerplanesbasadosenlosriesgos,afindedeterminarlasprioridadesdelaactividaddeauditoríainterna. Dichosplanesdeberánserconsistentescon lasmetasde laorganización.
Interpretación:El Director Ejecutivo de auditoría es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque, el Director Ejecutivo de auditoría utilizará su propio juicio sobre los riesgos después de consultar con la alta dirección y el Consejo. 1. Alelaborarelplandeauditoríadelaactividaddeauditoríainterna,
muchosDirectoresEjecutivosdeauditoría (DEAs) consideranútil,enprimertérmino,elaboraroactualizareluniversodeauditoría.Eluniversodeauditoríaesuna listade todas lasauditoríasposiblesquepudieran realizarse.ElDEApuedeobtener informaciónsobreeluniversodeauditoríadepartedelaaltadirecciónyelconsejodeadministración.
2. Eluniversodeauditoríapuedeincluircomponentesdelplanestratégicodelaorganización.Alincorporaresoscomponentes,eluniversodeauditoría considerará y reflejará los objetivos del plan general denegocios.Losplanesestratégicosprobablementetambiénreflejaránlaactituddelaorganizaciónhaciaelriesgoyelgradodedificultadparacumplirconlosobjetivosplanificados.Eluniversodeauditoríaestaránormalmenteinfluenciadoporlosresultadosdelprocesodegestiónderiesgos.Elplanestratégicode laorganización tieneencuentaelambienteenelcualoperalaorganización.Estosmismosfactoresambientalesprobablemente impactaráneneluniversodeauditoríaylaevaluacióndelriesgorelativo.
99ConsejosparalaPráctica
3. ElDEApreparaelplandeauditoríadelaactividaddeauditoríainternabasándoseeneluniversodeauditoría, informacionesrecibidasdelaaltadirecciónyelconsejodeadministración,yunaevaluaciónderiesgosyexposicionesqueafectanalaorganización.Losobjetivosclave de auditoría son usualmente los de proporcionar a la altadirecciónyalconsejodeadministraciónaseguramientoeinformaciónquelespermitacumplirconlosobjetivosdelaorganización,incluyendounaevaluacióndelaeficaciadelastareasdeevaluaciónderiesgosquerealizaladirección.
4. Eluniversodeauditoríayelplandeauditoríarelacionadosemantienenactualizadosdemododereflejar loscambiosenladireccióndelagestión, objetivos, énfasis y enfoques.Es aconsejable evaluar eluniversodeauditoríaalmenosunavezalañoconelfindequereflejelasestrategiasy ladirecciónmásactualizadasde laorganización.Enalgunassituaciones, losplanesdeauditoríapueden tenerqueactualizarsemásfrecuentemente(porejemplo,trimestralmente),enrespuestaaloscambiosenlosnegocios,operaciones,programas,sistemasycontrolesdelaorganización.
5. Elcalendariodetrabajodeauditoríaestábasado,entreotrosfactores,enunaevaluaciónderiesgosyexposiciones.Establecerprioridadesesnecesarioparatomardecisionesalasignarlosrecursosrelativos.ExisteunavariedaddemodelosderiesgoparaayudaralDEA.Lamayoríadelosmodelosderiesgoutilizanfactoresderiesgotalescomo:impacto,probabilidad,materialidad,liquidezdeactivos,competenciade la gerencia, calidadde los controles internos y adhesióna losmismos,gradodecambiooestabilidad,tiempotranscurridodesdelaúltimaauditoríaysusresultados,complejidad,yrelacionesconelpersonalyelgobierno.
* * *
100 Consejosparalapráctica
Consejo para la Práctica 2020-1:Comunicación y Aprobación
Norma principalmente relacionada
2020 – Comunicación y aprobaciónElDirector Ejecutivo de auditoría debe comunicar los planes yrequerimientos de recursos de la actividad de auditoría interna,incluyendoloscambiosprovisionalessignificativos,alaaltadirecciónyalConsejopara laadecuada revisiónyaprobación. ElDirectorEjecutivodeauditoríatambiéndebecomunicarelimpactodecualquierlimitaciónderecursos.
1. ElDirectorEjecutivodeauditoría(DEA)enviaráanualmentealaaltadirecciónyalconsejodeadministración,parasurevisiónyaprobación,unresumendelplananualdeauditoría,delcalendariodetrabajos,delplandepersonalydelpresupuestofinancierocorrespondientesalaactividaddeauditoríainterna.Esteresumenmantendráinformadosalaaltadirecciónyalconsejodeadministraciónsobreelalcancedeltrabajodeauditoríainternaysobrecualquierlimitaciónpuestasobredichoalcance.ElDEAtambiénenviarátodosloscambiossignificativosqueseproduzcanparalaaprobacióneinformación.
2. El calendariode trabajos,elplandepersonal yelpresupuestofi-nancieroaprobados,juntocontodosloscambiossignificativosqueeventualmenteseproduzcan,debencontenerinformaciónsuficienteparapermitirquelaaltadirecciónyelconsejodeadministraciónde-terminensilosobjetivosyplanesdelaactividaddeauditoríainternaapoyanalosdelaorganizaciónyelconsejo,ysonconsistentesconelestatutodeauditoríainterna.
***
101ConsejosparalaPráctica
Consejo para la Práctica 2030-1:Administración de Recursos
Norma principalmente relacionada
2030 – Administración de recursosElDirectorEjecutivo deauditoría debeasegurar que los recursosdeauditoríainternaseanapropiados,suficientesyeficazmenteasignadosparacumplirconelplanaprobado.
Interpretación:Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar a cabo el plan. Suficientes se refiere a la cantidad de recursos necesarios para cumplir con el plan. Los recursos están eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan aprobado.
1. El Director Ejecutivo de auditoría (DEA) es el responsableprincipal de la suficiencia y administración de los recursos deauditoría interna,de formadeasegurarelcumplimientode lasresponsabilidades de auditoría interna según se describe enel estatuto de auditoría interna. Esto incluye comunicacioneseficacesde lasnecesidadesde recursos, e informarel estadodelosrecursosalaaltadirecciónyalconsejodeadministración.Los recursosdeauditoría internapueden incluir a empleados,proveedores externos de servicios, apoyo contable y técnicasde auditoría basadas en tecnología.Asegurar la adecuaciónde los recursosdeauditoría internaesenúltima instanciaunaresponsabilidaddelaaltadirecciónyelconsejodeadministracióndelaorganización,yelDEAdebeayudarlesenelcumplimientodeestaresponsabilidad.
2. Las habilidades, capacidades y conocimientos técnicos de losrecursos de auditoría interna tienen que ser apropiados paralasactividadesplanificadas.ElDEArealizaráunaevaluaciónoinventarioperiódicodehabilidadesparadeterminarlashabilidadesespecíficasrequeridasparadesempeñarlastareasdeauditoríainterna.Laevaluacióndehabilidadesestarábasadaytendráencuenta lasdiversasnecesidades identificadasen laevaluación
102 Consejosparalapráctica
deriesgosyelplandeauditoría.Esto incluyeevaluacionesdeconocimientos técnicos, idiomas, sagacidadpara losnegocios,competenciaenladetecciónyprevencióndefraudes,yauditoríay contabilidad. El DEA debe asegurar que la evaluación dehabilidadesestáenfuncióndelasnecesidadesdelacoberturade auditoría, y de que esta cobertura no está determinadafundamentalmentepor las capacidadespresentesdentrode laorganizacióndeauditoríainterna.
3. Los recursos de auditoría interna deber ser suficientes parallevaracabolastareasdeauditoríaconlaamplitud,profundidady oportunidadesperadas por la alta dirección y el consejo deadministración, según seestableceenel estatutodeauditoríainterna.Laplanificaciónderecursostendráencuentaeluniversodeauditoría,losnivelesderiesgosrelevantes,elplananualdeauditoría,lasexpectativasdecoberturayunaestimacióndetareasnoanticipadas.
4. ElDEA también asegura que los recursos estén distribuidoseficazmente.Estoincluyelaasignacióndeauditorescompetentesycualificadosparacadatrabajoenparticular.Tambiénincluyeeldesarrollodeunenfoquederecursosyestructuraorganizacionalque sean apropiados para la estructura, perfil de riesgos ydispersióngeográficadelosnegociosdelaorganización.
5. Desdeelpuntodevistadeadministraciónderecursosengeneral,elDEA tieneencuenta losplanesdesucesión,programasdeevaluaciónydesarrollodepersonal,yotrasdisciplinasderecursoshumanos.ElDEAtambiéncontemplalasnecesidadesdelaactividaddeauditoríainterna,yaseaquelashabilidadesesténpresentesonodentrodelaactividaddeauditoríainterna.Otrosenfoquesparacontemplarlasnecesidadesderecursossonlosproveedoresexternosdeservicios,empleadosdeotrosdepartamentosdentrodelaorganizaciónoconsultoresespecializados.
6. Dada la naturaleza crítica de los recursos, el DEAmantienecomunicaciónydiálogopermanentescon laaltadirecciónyelconsejo de administración respecto de la adecuación de losrecursosparalaactividaddeauditoríainterna.Periódicamente,elDEApresentaalaaltadirecciónyalconsejodeadministraciónunresumendetalladodelestadoyadecuacióndelosrecursos.Atal
103ConsejosparalaPráctica
fin,elDEAelaboramediciones,metasyobjetivosapropiadosparavigilarlaadecuacióngeneraldelosrecursos.Estopuedeincluircomparacionesdelosrecursosconelplananualdeauditoría,elimpactodefaltadepersonalovacantestemporarias,actividadeseducativas y de formación, y cambios en las necesidades dehabilidades específicas debidos a cambios producidos en losnegocios, operaciones, programas, sistemaso controles de laorganización.
* * *
104 Consejosparalapráctica
Consejo para la Práctica 2040-1:Políticas y Procedimientos
Norma principalmente relacionada
2040 – Políticas y procedimientosElDirectorEjecutivodeauditoríadebeestablecerpolíticasyprocedimientosparaguiarlaactividaddeauditoríainterna.
Interpretación:La forma y el contenido de las políticas y procedimientos deben ser apropiados al tamaño y estructura de la actividad de auditoría interna y de la complejidad de su trabajo. 1. ElDirectorEjecutivodeauditoríaelaborapolíticasyprocedimientos.
Notodaslasactividadesdeauditoríainternanecesitandemanualesformales administrativos y técnicos de auditoría. Una actividadde auditoría interna de pequeño tamaño puede ser administradainformalmente. Su personal de auditoría puede ser dirigido ycontroladomedianteunaestrechasupervisióndiariaymediantenotasqueestablezcanpolíticasyprocedimientosacumplir.Enunaactividaddeauditoría internadegran tamañosonesenciales laspolíticasylosprocedimientosmásformalesparaguiaralpersonaldeauditoríainternaenlaejecucióndelplananualdeauditoría.
* * *
105ConsejosparalaPráctica
Consejo para la Práctica 2050-1:Coordinación
Norma principalmente relacionada
2050 – CoordinaciónElDirectorEjecutivodeauditoríadeberíacompartirinformaciónycoordinaractividadesconotrosproveedoresinternosyexternosdeserviciosdeaseguramientoyconsultoríaparaasegurarunacoberturaadecuadayminimizarladuplicacióndeesfuerzos.1. La supervisión del trabajo de los auditores externos, incluida la
coordinaciónconlaactividaddeauditoríainterna,esresponsabilidaddel consejo de administración. La coordinación del trabajo entrelos auditores internos y externos es responsabilidad delDirectorEjecutivodeauditoría(DEA).ElDEAobtieneelapoyodelconsejodeadministraciónparacoordinareficazmenteeltrabajodeauditoría.
2. Lasorganizacionespuedenutilizareltrabajodelosauditoresexternosparaproporcionaraseguramientoreferidoalasactividadesqueesténdentro del alcance de auditoría interna. En estos casos, elDEAsiguelospasosnecesariosparaentendereltrabajorealizadoporlosauditoresexternos,comoser:
• Lanaturaleza,alcanceyoportunidaddeltrabajoplanificadoporlosauditoresexternos,paraasegurarsedequedichotrabajo,juntoconeltrabajoplanificadoporlosauditoresinternos,cumplelosrequisitosdelaNorma 2100.
• La evaluación de riesgos ymaterialidad hecha por los auditoresexternos.
• Lastécnicas,métodosyterminologíade losauditoresexternos, locuallepermitealDEA:(1)coordinareltrabajodeauditoresinternosyexternos;(2)evaluar,parapoderconfiarenello,eltrabajodelosauditoresexternos;y(3)comunicarseconlosauditoresexternosdeformaeficaz.
• El accesoa los programas y papeles de trabajo de los auditoresexternos,paraasegurarsedequepuedaconfiarenlospapelesdelauditorexternoalosfinesdeauditoríainterna.Losauditoresinternossonresponsablesderespetarlaconfidencialidaddedichosprogramasypapelesdetrabajo.
106 Consejosparalapráctica
3. El auditor externo puede confiar en el trabajo de la actividad deauditoríainternapararealizarsutrabajo.Enestecaso,elDEAtienequeproporcionarinformaciónsuficientequepermitaalosauditoresexternosentenderlastécnicas,métodosyterminologíaquefacilitenla confianza de aquellos en el trabajo realizado.El acceso a losprogramasypapelesdetrabajodelosauditoresinternosseotorgaalosauditoresexternosconelfindequeseasegurendelaaceptabilidaddeltrabajodeaquellos.
4. Puedesereficazparalosauditoresinternosyexternosutilizartécnicas,métodosyterminologíasimilares,conelfindecoordinareficazmentesutrabajoydeconfiarcadaunoeneltrabajodelotro.
5. Lasactividadesdeauditoríaplanificadasporlosauditoresinternosy externos tienen que ser comentadas con el fin de asegurarque la cobertura deauditoría esté coordinada y seminimicen lasduplicacionesdeesfuerzosdondeseaposible.Seorganizarán lasreunionesquehaganfaltaduranteelprocesodeauditoríaconelfindeasegurarlacoordinacióndeltrabajodeauditoríaylafinalizacióneficienteyoportunadelastareasdeauditoría,yparadeterminarsilasobservacionesyrecomendacionesquevayansurgiendodeltrabajorealizadorequierenunajusteeneltrabajoplanificado.
6. Lascomunicacionesfinalesdelaactividaddeauditoríainterna,lasrespuestasdeladirecciónaesascomunicacionesylasposterioresrevisiones de seguimiento estarán disponibles para los auditoresexternos.Estascomunicacionesayudanalosauditoresexternosadeterminaryajustarelalcanceyoportunidaddesutrabajo.Además,losauditoresinternosdebenaccederalosmaterialesdepresentaciónycartasdedireccióndelosauditoresexternos.LosasuntostratadosenlosmaterialesdepresentacióneincluidosenlascartasdedireccióntienenqueserentendidosporelDEAyutilizadosporlosauditoresinternoscomo informaciónparaplanificar lasáreasaenfatizarenfuturostrabajosdeauditoríainterna.Despuésderevisarlascartasdedirecciónyeliniciodecualquieraccióncorrectivanecesariaporpartedelosmiembrosapropiadosdelaaltadirecciónyelconsejodeadministración,elDEAseasegurarádequesehayantomadolasaccionescorrectivasyelseguimientoadecuados.
7. ElDEAesresponsabledelasevaluacioneshabitualesdelacoordinaciónentrelosauditoresinternosyexternos.Estasevaluacionespueden
107ConsejosparalaPráctica
también incluir evaluacionesde la eficiencia y eficacia general delas tareasdeauditores internos y externos, incluyendo los costosdeauditoríaagregados.ElDEAcomunica los resultadosdeestasevaluaciones a la alta dirección y al consejo de administración,incluyendo loscomentarios relevantessobreeldesempeñode losauditoresexternos.
** *
108 Consejosparalapráctica
Consejo para la Práctica 2060-1:Informe a la Alta Dirección y al Consejo
Norma principalmente relacionada
2060 – Informe a la alta dirección y al Consejo ElDirectorEjecutivo de auditoría debe informar periódicamente a laaltadirecciónyalConsejosobrelaactividaddeauditoríainternaenloreferidoalpropósito,autoridad,responsabilidadydesempeñodesuplan.Elinformetambiéndebeincluirexposicionesalriesgoycuestionesdecontrolsignificativas,cuestionesdegobiernoyotrosasuntosnecesariosorequeridosporlaaltadirecciónyelConsejo.
Interpretación:La frecuencia y el contenido del informe están determinados por comentarios con la alta dirección y el Consejo, y dependen de la importancia de la información a ser comunicada y la urgencia de las acciones a seguir por parte de la alta dirección y el Consejo. 1. ElDirectorEjecutivo de auditoría (DEA) debepresentar informes
desusactividadesalaaltadirecciónyalconsejodeadministraciónperiódicamente. Estos informes destacan las observaciones yrecomendaciones significativas del trabajo e informan a la altadirecciónyalconsejodeadministraciónsobrecualquierdesviaciónsignificativaquehayasurgidoenlosprogramasdetrabajo,enelplandepersonal,yenlospresupuestosfinancieros,asícomolasrazonesdelasmismasylasaccionestomadasonecesarias.
2. Lasobservaciones significativas surgidasdel trabajo sonaquellassituacionesque,ajuiciodelDEA,puedenafectaradversamentealaorganización.Puedenestarreferidasafraude,irregularidades,actosilegales,errores,ineficiencias,desperdicios,ineficacias,conflictosdeinteresesydebilidadesdecontrol.
3. Laaltadirecciónyelconsejodeadministracióntomandecisionessobrelasmedidasapropiadasaadoptarenrelaciónconlasobservacionesy recomendaciones significativas surgidas del trabajo. La altadirección y el consejo deadministraciónpuedendecidir asumir elriesgodenocorregirlasituacióninformadadebidoasucostouotras
109ConsejosparalaPráctica
consideraciones.Elconsejodebeestarinformadodelasdecisionestomadas por la alta dirección sobre todas las observaciones yrecomendacionessignificativasdeltrabajo.
4. ElDEAdebeevaluarsiesadecuadovolverainformaralconsejosobreaquellasobservacionesyrecomendacionessignificativasdeltrabajoqueyasecomunicaronanteriormenteyenlasquelaaltadirecciónyelconsejoasumieronelriesgodenocorregirlasituacióninformada.Estopuedesernecesariocuandohahabidocambiossignificativosqueafectanelperfilderiesgos.
* * *
110 Consejosparalapráctica
Consejo para la Práctica 2120-1Evaluar la Adecuación de los Procesos de Gestión de Riesgos
Norma principalmente relacionada
2120 – Gestión de riesgosLaactividaddeauditoríainternadebeevaluarlaeficaciaycontribuiralamejoradelosprocesosdegestiónderiesgos.
Interpretación:Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la evaluación que efectúa el auditor interno de que:
• Los objetivos de la organización apoyan a la misión de la organización y están alineados con la misma,
• Los riesgos significativos están identificados y evaluados,• Se han seleccionado respuestas apropiadas al riesgo que
alinean los riesgos con la aceptación de riesgos por parte de la organización, y
• Se capta información sobre riesgos relevantes, permitiendo al personal, la dirección y el Consejo cumplir con sus responsabilidades, y se comunica dicha información oportunamente a través de la organización.
Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas, evaluaciones por separado, o ambas.1. Lagestiónderiesgosesunaresponsabilidadclavedelaaltadirección
yelconsejodeadministración.Paracumplirsusobjetivosdenegocio,ladirecciónaseguraqueexistenyfuncionansólidosprocesosdeges-tiónderiesgos.Losconsejosdeadministracióncumplenunafuncióndesupervisiónparadeterminarqueexistanapropiadosprocesosdegestiónderiesgosyqueestosprocesosseanadecuadosyeficaces.Enesterol,puedendirigiralosauditoresinternosaquelosayudenmedianteelexamen,evaluación,informeyrecomendacióndemejorassobrelaadecuaciónyeficaciadelosprocesosdegestiónderiesgosdeladirección.
2. Ladirecciónyelconsejodeadministraciónsonlosresponsablesde
111ConsejosparalaPráctica
losprocesosdegestiónderiesgosycontroldesuorganización.Sinembargo,losauditoresinternosqueactúanenunroldeconsultorespuedenasistiralaorganizaciónenlaidentificación,evaluación,eim-plantacióndemetodologíasdegestiónderiesgosycontrolesdirigidosaaquellosriesgos.
3. Enlassituacionesenquelaorganizaciónnoposeeunprocesoformaldegestiónderiesgos,elDirectorEjecutivodeauditoría(DEA)comentaformalmenteconladirecciónyelcomitédeauditoríasusobligacionesparaentender,gestionaryvigilarlosriesgosdentrodelaorganizaciónylanecesidaddequelosmismosseasegurendequehayaprocesosoperandodentrodelnegocio,aunqueseainformalmente,quebrindenelnivelapropiadodevisibilidadalosriesgosprincipalesycómoestánsiendogestionadosyvigilados.
4. ElDEAhadeobtenerunentendimientodelasexpectativasquetengalaaltadirecciónyelconsejodeadministraciónrespectodelaactividaddeauditoríainternaenelprocesodegestiónderiesgosdelaorga-nización.Esteentendimientoseráluegocodificadoenlosestatutosdelaactividaddeauditoríainternaydelconsejodeadministración.Elrolquecumplelaactividaddeauditoríainternaenelprocesodegestiónderiesgosdeunaorganizaciónpudecambiarconeltiempoypuedecomprenderlosiguiente.
• Ningúnrol.• Auditarelprocesodegestiónderiesgoscomopartedelplan
deauditoría.• Apoyareimplicarsedeformaactivaycontinuaenelproceso
degestiónderiesgos,talcomolaparticipaciónencomitésdesupervisión,actividadesdevigilanciaeinformesdesitua-ción.
• Administrarycoordinarelprocesodegestiónderiesgos.5. Enúltimainstancia,determinarelroldeauditoríainternaenelproceso
degestiónderiesgosesunaresponsabilidaddelaaltadirecciónyelconsejodeadministración.Suvisióndel roldeauditoría internaestaráprobablementedeterminadaporfactorestalescomolaculturadelaorganización,laaptituddelpersonaldeauditoríainterna,ylascondicioneslocalesycostumbresdelpaís.Sinembargo,abordarlaresponsabilidaddeladirecciónrespectodelprocesodegestiónde
112 Consejosparalapráctica
riesgosylaamenazapotencialalaindependenciadelaactividaddeauditoríainternarequiereunampliodebateylaaprobacióndelconsejodeadministración.
6. Las técnicas utilizadas por las diversas organizaciones para susprácticas de gestión de riesgos pueden varias significativamente.Dependiendodeltamañoycomplejidaddelasactividadesdenegociosdelaorganización,losprocesosdegestiónderiesgospuedenser:
• Formalesoinformales,• Cuantitativososubjetivos,• Insertadosenlasunidadesdenegociosocentralizadosanivel
corporativo.
7. Laorganizacióndiseñaprocesosbasadosensucultura,estilodedirecciónyobjetivosdenegocio.Porejemplo,elusodederivadosu otros sofisticados productos delmercado de capitales por unaorganizaciónpodríarequerirelusodeherramientascuantitativasdegestiónderiesgos.Organizacionesmáspequeñas,menoscomplejas,podríanutilizaruncomitéinformalderiesgosparadebatirelperfilderiesgosde laorganizaciónypara realizaraccionesperiódicas. Elauditorinternodeterminasilametodologíaelegidaessuficientementeintegral y apropiada para la naturaleza de las actividades de laorganización.
8. Los auditores internos tienen que obtener evidencia suficiente yapropiadaparadeterminarquelosobjetivosclavedelosprocesosdegestiónderiesgossehayancumplido,conelfindeformarseunaopiniónsobre laadecuacióndedichosprocesos. Alobtenerestaevidencia, el auditor internopodría tener en cuenta los siguientesprocedimientosdeauditoría:
• Investigaryrevisardesarrollos,tendenciaseinformaciónactuali-zadadelsectoreconómicocorrespondientealosnegociosdelaorganización,yotrasfuentesapropiadasdeinformación,conelfindedeterminarlosriesgosyexposicionesquepuedanafectaralaorganizaciónylosprocedimientosdecontrolrelacionadosqueseutilizanparaafrontar,vigilaryreevaluaraquellosriesgos.
• Revisar las políticas corporativas, lasminutas del consejo deadministraciónydelcomitédeauditoría,conelfindedeterminarlas estrategias de negocio de la organización, su filosofía y
113ConsejosparalaPráctica
metodologíadegestiónderiesgos,suinclinaciónalriesgo,ysuaceptaciónderiesgos.
• Revisarinformespreviosdeevaluaciónderiesgosemitidosporla dirección, los auditores internos, auditores externos y otrasfuentes.
• Entrevistaralagerenciadelíneayejecutivaconelfindedeterminarlosobjetivosdelasunidadesdenegocio,losriesgosrelacionados,ylasactividadesdemitigaciónderiesgosyvigilanciadecontrolesdepartedeladirección.
• Asimilarinformaciónconelfindeevaluarindependientementelaeficaciadelamitigaciónderiesgos,vigilancia,ycomunicaciónderiesgosyactividadesdecontrolasociadas.
• Evaluarlaadecuacióndelaslíneasdereporteparalasactividadesdevigilanciadelriesgo.
• Revisarlaadecuaciónyoportunidaddelainformaciónsobrelosresultadosdelagestiónderiesgos.
• Revisar la integridad del análisis de gestión de riesgos y lasacciones tomadaspor parte de la dirección para remediar losproblemasidentificadosenlosprocesosdegestiónderiesgos,ysugerirmejoras.
• Determinar laeficaciadelosprocesosdeautoevaluacióndeladirecciónmedianteobservaciones,pruebasdirectasdelcontrolylosprocedimientosdevigilancia,pruebasdelainformaciónutilizadaenactividadesdevigilanciayotrastécnicasapropiadas.
• Revisar los problemas relacionados conel riesgoquepuedanindicardebilidadenlasprácticasdegestiónderiesgosy,sicorres-ponde,comentarlosconlaaltadirecciónyelconsejodeadminis-tración.Sielauditorconsideraqueladirecciónhaaceptadounnivelderiesgosqueesinconsistenteconlaestrategiaypolíticadegestiónderiesgosdelaorganización,oqueesinaceptableparalaorganización,debeconsultarlaNorma 2600:Aceptación de los Riesgos por la Dirección,ydemásguíasrelacionadas.
114 Consejosparalapráctica
Consejo para la Práctica 2130-1:Evaluar la Adecuación de los Procesos de Control
Norma principalmente relacionada
2130 – Control Laactividaddeauditoría internadebeasistira laorganizaciónenelmantenimiento de controles efectivos,mediante la evaluaciónde laeficaciayeficienciade losmismosypromoviendo lamejoracontinua.
1. Laorganizaciónestableceymantieneprocesoseficacesdegestiónderiesgosycontrol.Elpropósitodelosprocesosdecontrolesapoyaralaorganizaciónenlagestiónderiesgosyellogrodesusobjetivosestablecidosycomunicados.Seesperaquelosprocesosdecontrolaseguren,entreotrascosas,que:• La información financiera y operativa es confiable y posee
integridad,• Las operaciones son realizadas eficientemente y alcanzan
objetivosestablecidos,• Losactivosestánprotegidos,y• Lasaccionesydecisionesdelaorganizacióncumplenlasleyes,
regulacionesycontratos.2. La función de la alta dirección es supervisar el establecimiento,
administraciónyevaluacióndelsistemareferidosalosprocesosdegestiónderiegoycontrol.Entrelasresponsabilidadesdelosgerentesde líneade laorganizaciónestá laevaluaciónde losprocesosdecontrolensusrespectivasáreas.Losauditoresinternosproporcionandistintosgradosdeaseguramientosobrelaeficaciadelosprocesosdegestiónderiesgosycontrolenactividadesyfuncionesseleccionadasdelaorganización.
3. ElDirectorEjecutivodeauditoría(DEA)seformaunaopiniónsobrelaadecuaciónyeficaciadelosprocesosdegestiónderiesgosycontrol.Laexpresióndedichaopiniónestarábasadaenevidenciadeauditoríasuficiente,obtenidamedianteauditoríasy,cuandoseaapropiado,eltrabajodeotrosproveedoresdeaseguramiento.ElDEAcomunicasuopiniónalaaltadirecciónyalconsejodeadministración.
115ConsejosparalaPráctica
4. ElDEAelaboraunplandeauditoríapropuestoconelfindeobtenersuficienteevidenciaparaevaluarlaeficaciadelosprocesosdecontrol.Elplancomprendetrabajosdeauditoríayotrosprocedimientosparaobtenerevidenciadeauditoríasuficienteyapropiadasobretodaslasprincipalesunidadesoperativasyfuncionesdenegociosaevaluar,asícomounarevisióndelosprincipalesprocesosdecontrolqueoperanatravésdelaorganización.Elplandebeserflexibledemaneraquepuedanefectuarseajustes durante el año comoconsecuencia decambios en las estrategias de la dirección, condiciones externas,áreasdemayorriesgo,omodificacióndelasexpectativassobreellogrodelosobjetivosdelaorganización.
5. Elplandeauditoríaotorgaespecialatenciónaaquellasoperacionesmásafectadasporcambios recienteso inesperados.Loscambiosen las circunstancias pueden originarse, por ejemplo, por lascondicionesdemercadoolasinversiones,poradquisicionesyventas,reestructuracionesdelaorganizaciónynuevosproyectos.
6. Al determinar la cobertura de auditoría esperadapara el plan deauditoríapropuesto,elDEAtieneencuentalostrabajosrelevantesrealizados por otros, que proporcionan aseguramiento a la altadirección(porejemplo,lautilizacióndeltrabajodelosdirectoresdecumplimientoporpartedelDEA).ElplandeauditoríadelDEAtambiéntieneencuentaeltrabajodeauditoríarealizadoporelauditorexternoy lasevaluaciones realizadas por la propiadirección, tales comolasevaluacionesdesusprocesosdegestiónderiesgos,controlesymejoradelacalidad.
7. ElDEAdeberíaevaluarlaamplitudquetienelacoberturadelplandeauditoríapropuestoconelfindedeterminarsielalcanceessuficienteparapermitirexpresarunaopiniónsobrelosprocesosdegestiónderiesgosycontroldelaorganización.ElDEAdeberíainformaralaaltadirecciónyalconsejodeadministraciónsobrecualquierproblemaenlacoberturadeauditoríaqueimpidieraexpresarunaopiniónsobretodoslosaspectosdeaquellosprocesos.
8. Undesafíoimportanteparalaactividaddeauditoríainternaesevaluarlaeficaciadelosprocesosdecontroldelaorganizaciónbasándoseenlasumadeevaluacionesrealizadaspormuchaspersonas.Esasevaluacionesestánmayormenteoriginadasentrabajosdeauditoríainterna,revisionesdeautoevaluacionesdeladirecciónyeltrabajo
116 Consejosparalapráctica
deotrosproveedoresdeaseguramiento.Amedidaquelostrabajosavanzan, los auditores internos comunican las observaciones, enformaoportuna,alosnivelesapropiadosdeladireccióndemaneraque se pueda tomar acción inmediata para corregir omitigar lasconsecuencias de las discrepancias o debilidades de controlobservadas.
9. Al evaluar la eficacia general de los procesos de control de laorganización,elDEAtieneencuentasi:• Sedescubrierondiscrepanciasodebilidadessignificativas,• Se hicieron correcciones o mejoras después de esos
descubrimientos,y• Losdescubrimientosysusconsecuenciaspotencialespermiten
sacarlaconclusióndequeexisteunasituaciónimportantequegeneraunnivelinaceptablederiesgo.
10.La existencia de una discrepancia o debilidad significativa nonecesariamentellevaalaconclusióndequeesimportanteycreaunriesgoinaceptable.Elauditorinternotieneencuentalanaturalezayalcancedelaexposiciónalriesgo,asícomoelniveldeconsecuenciaspotenciales,aldeterminarsilaeficaciadelosprocesosdecontrolestácomprometidayexistenriesgosinaceptables.
11.ElinformedelDEAsobrelosprocesosdecontroldelaorganizaciónsepresentanormalmenteunavezalañoalaaltadirecciónyalconsejodeadministración.El informeestablece la importante funciónquecumplen losprocesosdecontrolenel logrode losobjetivosde laorganización.Esteinformetambiéndescribelanaturalezayalcancedeltrabajorealizadoporlaactividaddeauditoríainterna,asícomola naturaleza y alcancede la utilización de otros proveedores deaseguramientoparaformularlaopinión.
* * *
117ConsejosparalaPráctica
Consejo para la Práctica 2130-A1-1:Fiabilidad e Integridad de la Información
Norma principalmente relacionada2130.A1 - Laactividaddeauditoríainternadebeevaluarlaadecuaciónyeficaciadeloscontrolesenrespuestaalosriesgosdelgobierno,ope-racionesysistemasdeinformacióndelaorganización,respectodelosiguiente:
• Fiabilidadeintegridaddelainformaciónfinancierayoperati-va,
• Eficaciayeficienciadelasoperaciones,• Proteccióndeactivos,y• Cumplimientodeleyes,regulacionesycontratos.
1. Losauditoresinternosdeterminansilaaltadirecciónyelconsejodeadministraciónentiendenclaramentequelafiabilidadeintegridaddela informaciónesunaresponsabilidaddeladirección.Estaresponsabilidadincluyetodalainformacióncríticadelaorganiza-ción,sinimportarcómosealmacenalainformación.Lafiabilidade integridadde la información incluye laprecisión, integridadyseguridad.
2. ElDirectorEjecutivodeauditoría(DEA)determinasilaactividaddeauditoríainternaposeeotieneaccesoarecursosdeaudito-ríacompetentesparaevaluarlaconfiabilidadeintegridaddelainformaciónylasexposicionesalosriesgosrelacionados.Estoincluyetantolasexposicionesariesgosinternoscomoexternosylasexposicionesoriginadasenlarelacióndelaorganizaciónconentidadesexternas.
3. ElDEAdeterminasi las violacionesa la fiabilidade integridaddelainformaciónylascondicionesquepodríanrepresentarunaamenazaparalaorganizaciónserándadasaconocerdeinmediatoalaaltadirección,alconsejodeadministraciónyalaactividaddeauditoríainterna.
4. Losauditores internosevalúan laeficaciade lasmedidasparaprevenir,detectarymitigarataquesocurridosenelpasado,se-gúnseaapropiado,eintentosfuturosoincidentesprobables.Losauditoresinternosdeterminansielconsejodeadministraciónha
118 Consejosparalapráctica
sidoadecuadamente informadode lasamenazas, incidentesyvulneracionesocurridas,ydelasmedidascorrectivas.
5. Losauditoresinternosevalúanperiódicamentelafiabilidadeinte-gridaddelainformacióndelaorganizaciónyrecomiendan,segúnseaapropiado,mejorasoimplantacionesdenuevoscontrolesyprotecciones.Tales evaluaciones pueden ser realizadas comotrabajosporseparadooestarintegradasenotrostrabajosoaudi-toríasqueformenpartedelplananualdeauditoría.Lanaturalezadeltrabajodeterminaráelprocesodeinformemásapropiadoparalaaltadirecciónyelconsejodeadministración.
* * *
119ConsejosparalaPráctica
Consejo para la Práctica 2130-A1-2:Evaluación del Enfoque de Privacidad de una Organización
Norma principalmente relacionada
2130.A1 - Laactividaddeauditoríainternadebeevaluarlaadecuaciónyeficaciadeloscontrolesenrespuestaalosriesgosdelgobierno,operacionesysistemasdeinformacióndelaorganización,respectodelosiguiente:
• Fiabilidadeintegridaddelainformaciónfinancierayopera-tiva,
• Eficaciayeficienciadelasoperaciones,• Proteccióndeactivos,y• Cumplimientodeleyes,regulacionesycontratos.
1. Lafaltadeproteccióndelainformaciónpersonalpormediodecon-trolesadecuadospuedetenerconsecuenciassignificativasparaunaorganización.Estafaltapuededañarlareputacióndelaspersonasydelaorganización,exponeralaorganizaciónariesgosquetenganconsecuenciaslegales,ydisminuirlaconfianzadeconsumidoresyempleados.
2. Lasdefinicionesdeprivacidadvaríanampliamentedependiendodelacultura,ambientepolíticoymarcolegaldelospaísesdondeactúelaorganización.Losriesgosasociadosconlaprivacidaddelainfor-macióncomprendenalaprivacidadpersonal(físicaypsicológica);laprivacidaddelespacio(libertaddevigilancia);laprivacidaddelascomunicaciones(libertaddevigilancia);ylaprivacidaddelainforma-ción(obtención,usoyrevelacióndeinformaciónpersonalporpartedeterceros).Lainformaciónpersonalserefieregeneralmenteain-formaciónquepuedeestarasociadaconunindividuodeterminado,oquetienecaracterísticasdeidentificaciónquecuandosecombinaconotrainformaciónpuedeasociarseaunindividuoenparticular.Puedeincluircualquierinformaciónfácticaosubjetiva,registradaono,encualquierformatoomedio.Lainformaciónpersonalpodríaincluir:
• Nombre, dirección, números de identificación, relacionesfamiliares;
• Documentación, evaluaciones, comentarios, estado civil oaccionesdisciplinariasdelpersonal;
120 Consejosparalapráctica
• Registroscrediticios,ingresos,situaciónfinanciero;o• Situaciónmédica.
3. Elcontroleficazsobrelaproteccióndelainformaciónpersonalesuncomponenteesencialdelosprocesosdegobierno,gestiónderiesgosycontroldeunaorganización.Elconsejodeadministraciónesenúltimainstanciaelresponsabledeidentificarlosriesgosprin-cipalesparalaorganizaciónydeimplementarprocesosdecontrolapropiadosquereduzcanesosriesgos.Estoincluyeestablecerelenfoquedeprivacidadnecesarioparalaorganizaciónyvigilarsuimplementación.
4. Laactividaddeauditoríainternapuedecontribuiralbuengobiernoyalagestiónderiesgosevaluandolaadecuacióndelaidentificaciónderiesgosefectuadaporladirecciónconrespectoasusobjeti-vosdeprivacidad,ylaadecuacióndeloscontrolesestablecidosparareduciresosriesgosaunnivelaceptable.Elauditorinternoestábienposicionadoparaevaluarelenfoquedeprivacidadensuorganizacióne identificar los riesgossignificativosasícomoefectuarrecomendacionesapropiadasparareducirlos.
5. Laactividaddeauditoríainternaidentificalostiposdeinformaciónobtenidaporlaorganizaciónqueseconsiderenpersonalopriva-da, loapropiadode lasmismas, lametodologíaderecolecciónutilizada,ysielusoquehacelaorganizacióndeesainformacióneselquecorrespondealoquesepretendeyalalegislaciónapli-cable.
6. Dada lanaturalezaaltamente técnicay legalde losproblemasdeprivacidad, laactividaddeauditoría internahade tener losconocimientos y competencias apropiadas para realizar unaevaluacióndelosriesgosycontrolesdelenfoquedecontroldelaorganización.
7. Alrealizardichaevaluacióndelagestióndelenfoquedeprivacidaddelaorganización,elauditorinterno:
• Tieneencuentalasleyes,regulacionesypolíticasreferidasalaprivacidadenlajurisdiccióndondeoperalaorganiza-ción;
• Establececontactosconunasesorlegaldellugarparadeter-minarlanaturalezaexactadelasleyes,regulacionesyotras
121ConsejosparalaPráctica
normasyprácticasaplicablesalaorganizaciónyalospaísesdondeopera;
• Establece contactos conespecialistas en tecnologíade lainformaciónparadeterminarqueloscontrolessobrelase-guridadinformáticaylaproteccióndedatosexistanyseanrevisadosyevaluadosregularmenterespectodesuadecua-ción;
• Tieneencuentaelniveldemadurezdelasprácticasdepriva-cidaddelaorganización.Dependiendodeesenivel,elauditorinternopuedeasumirrolesdiferentes.Elauditorpuedefacilitarlaelaboracióneimplementacióndelprogramadeprivacidad,evaluar la gestiónde riesgosdeprivacidadque realiza ladirecciónparadeterminarlasnecesidadesyexposicionesalriesgodelaorganización,oproporcionaraseguramientosobrelaeficaciadelaspolíticas,prácticasycontrolesdeprivacidadentodalaorganización.Sielauditorinternoasumealgunaresponsabilidaddeelaborareimplementarunprogramadeprivacidad,suindependenciaseverámenoscabada.
* * *
122 Consejosparalapráctica
Consejo para la Práctica 2200-1:Planificación del Trabajo
Norma principalmente relacionada
2200 – Planificación del trabajoLos auditores internos deben elaborar y documentar un plan paracadatrabajo,queincluyasualcance,objetivos,tiempoyasignaciónderecursos.
1. Elauditorinternoplanificayllevaacaboeltrabajo,conlarevisiónyaprobacióndeunsupervisor.Antesdecomenzareltrabajo,elauditorinternopreparaunprogramadetrabajoque:• Establecelosobjetivosdeltrabajo.• Identifica los requisitos técnicos, objetivo, riesgos, procesos y
transaccionesquedebenexaminarse.• Establecerlanaturalezayextensióndelaspruebasrequeridas.• Documentalosprocedimientosdelauditorinternoparaobtener,
analizar, interpretar y documentar la información durante eltrabajo.
• Semodifica,cuandoseapreciso,duranteeltranscursodeltrabajo,conlaaprobacióndelDirectorEjecutivodeauditoría(DEA)oquienéstedesigne.
2. El DEA debería exigir un nivel de formalidad y documentación(por ejemplo, de los resultados de la planificación de reuniones,procedimientos de evaluación de riesgos, nivel de detalle en elprogramadetrabajo,etc.)queseaapropiadoalaorganización.Losfactoresatenerencuentaserían:
• Si el trabajo desempeñado y los resultados del trabajoseránutilizadosporotros(porejemplo,auditoresexternos,organismosreguladoresoladirección).
• Sieltrabajoserefiereaasuntosquepuedanestarimplicadosenjuiciosposiblesoreales.
• Elniveldeexperienciadelpersonaldeauditoríainternayelniveldesupervisióndirectarequerida.
• Sielproyectosellevaráacaboconpersonalinternacional,
123ConsejosparalaPráctica
conauditores invitadosoconproveedoresexternosdedeservicios.
• Lacomplejidadyalcancedelproyecto.• Eltamañodelaactividaddeauditoríainterna.• Elvalordeladocumentación(porejemplo,siseráutilizada
enañosposteriores).3. Elauditor internodetermina losdemásrequisitosdel trabajo, tales
comoelperíodoquecubriráylasfechasestimadasderealización.Elauditorinternotambiéntieneencuentaelformatodelacomunicaciónfinaldeltrabajo.Laplanificaciónenestaetapafacilitaelprocesodecomunicaciónquetienelugaralfinalizareltrabajo.
4. Elauditorinternoinformaaaquellosmiembrosdeladirecciónquetienenqueconocerlarealizacióndeltrabajo,realizareunionesconlagerenciaresponsabledelaactividadarevisar,resumeydistribuyelosdebatesycualquierconclusiónalcanzadaenlasreuniones,yretienela documentacióndentro de suspapelesde trabajo. Los temasadebatirpuedenser:
• Losobjetivosyalcancedeltrabajoplanificados.• Losrecursosytiemposderealizacióndeltrabajo.• Losfactoresclavequeafectanalascondicionesdelnegocio
ylasoperacionesdelasáreasbajorevisión,incluyendoloscambiosrecientesenlosambientesinternosyexternos.
• Laspreocupacionesosolicitudesdeladirección.5. El DEA determina cómo, cuándo y a quién se comunicarán los
resultadosdeltrabajo.Elauditorinternodocumentaycomunicaestadecisiónaladirección,enlamedidaqueconsidereapropiada,durantelaetapadeplanificacióndel trabajo.Elauditor internocomunicaaladirecciónloscambiosposterioresqueafectanalasfechasoalainformacióndelosresultadosdeltrabajo.
* * *
124 Consejosparalapráctica
Consejo para la Práctica 2210-1:Objetivos del Trabajo
Norma principalmente relacionada
2210 – Objetivos del trabajoDebenestablecerseobjetivosparacadatrabajo.1. Losauditoresinternosestablecenlosobjetivosdeltrabajoconelfin
derevisarlosriesgosasociadosconlaactividadbajorevisión.Paralostrabajosplanificados,losobjetivosprovienenyestánalineadosconaquellosinicialmenteidentificadosduranteelprocesodeevaluaciónderiesgosdelcualsederivaelplananualdeauditoría.Paralostrabajosnoplanificados,losobjetivosseestablecenantesdelcomienzodecadatrabajoyestándiseñadospararevisarelproblemaespecíficoquemotivólarealizacióndecadatrabajo.
2. Laevaluaciónderiesgosqueserealizadurantelafasedeplanificacióndeltrabajoseutilizaparadefinirmásadelantelosobjetivosinicialeseidentificarotrasáreassignificativasdeproblemas.
3. Una vez identificados los riesgos, el auditor determina losprocedimientosarealizaryelalcance(naturaleza,tiempoyextensión)deaquellosprocedimientos.Losprocedimientosdeltrabajollevadosacaboconelalcanceapropiadosonelmedioquepermitirásacarconclusionesreferidasalosobjetivosdeltrabajo.
* * *
125ConsejosparalaPráctica
Consejo para la Práctica 2210.A1-1: Evaluación de Riesgos
en la Planificación del Trabajo
Norma principalmente relacionada2210.A1 – Losauditoresinternosdebenrealizarunaevaluaciónpreliminardelosriesgosrelevantesparalaactividadbajorevisión.Losobjetivosdeltrabajodebenreflejarlosresultadosdeestaevaluación.
1. Los auditores internos tienen en cuenta la evaluación de riesgosrealizadapor ladirecciónquesearelevantepara laactividadbajorevisión.Elauditorinternotambiéncontemplalosiguiente:
• Lafiabilidadde laevaluaciónderiesgosrealizadapor ladirec-ción.
• Elprocesoquesigueladirecciónparavigilar,informaryresolverasuntosderiesgosycontrol.
• Losinformesdeladirecciónsobreeventosquehayanexcedidoloslímitesdelaorganizaciónrespectodelaaceptaciónderiesgosylarespuestadeladirecciónaaquellosinformes.
• Losriesgosenactividadesrelacionadasqueseanrelevantesparalaactividadbajorevisión.
2. Losauditoresinternosobtienenoactualizanlainformacióndeante-cedentessobrelasactividadesarevisar,conelfindedeterminarsuimpactosobrelosobjetivosyalcancedeltrabajo.
3. Cuandocorresponda,losauditoresinternosrealizanunestudioparafamiliarizarseconlasactividades,riesgosycontroles,conelfindeidentificar lasáreasenlasquesedeberáponermásénfasiseneltrabajoylograrcomentariosysugerenciasdepartedelosclientesdeltrabajo.
4. Losauditoresinternosresumenlosresultadosapartirdelasrevisionesdelaevaluaciónderiesgosrealizadaporladirección,lainformacióndeantecedentes,ycualquierestudiollevadoacabo.Esteresumenincluye:
• Temassignificativosdeltrabajoylasrazonesparaseguirlosconmayorprofundidad.
126 Consejosparalapráctica
• Objetivosyprocedimientosdeltrabajo.• Metodologíasautilizar,talescomoauditoríabasadaentecnología
ytécnicasdemuestreo.• Posiblespuntosdecontrolcríticos,deficienciasdecontroloexceso
decontroles.• Cuandocorresponda,lasrazonesparanoproseguireltrabajoo
paramodificarsignificativamentelosobjetivosdeltrabajo.
* * *
127ConsejosparalaPráctica
Consejo para la Práctica 2230-1:Asignación de Recursos para el Trabajo
Norma principalmente relacionada2230 – Asignación de recursos para el trabajoLos auditores internos deben determinar los recursos adecuados ysuficientes para lograr los objetivos del trabajo, basándose en unaevaluacióndelanaturalezaycomplejidaddecadatrabajo,lasrestriccionesdetiempoylosrecursosdisponibles.1. Paradeterminarquelosrecursosseanapropiadosysuficientes,los
auditoresinternostienenencuentalosiguiente: • Lacantidaddepersonalconquecuentaauditoríainternaysunivel
deexperiencia.• Losconocimientos,técnicasydemáscompetenciasdelpersonal
deauditoríainternaalseleccionaralosauditoresinternosparaeltrabajoarealizar.
• Ladisponibilidadderecursosexternosenaquelloscasosenquesenecesitenconocimientosycompetenciasadicionales.
• Lasnecesidadesdecapacitacióndelosauditoresinternos,dadoquecadaasignacióndetrabajosirvedebaseparacumplirconlasnecesidadesdedesarrollodelaactividaddeauditoríainterna.
* * *
128 Consejosparalapráctica
Consejo para la Práctica 2240-1:Programa de Trabajo
Norma principalmente relacionada
2240 –Programa de trabajo Losauditores internos debenpreparar y documentar programasquecumplanconlosobjetivosdeltrabajo.1. Losauditoresinternosdesarrollanyobtienenaprobacióndocumentada
de los programasde trabajo antes de comenzar cada trabajo deauditoría interna.Elprogramade trabajo incluye lasmetodologíasautilizar, talescomoauditoríabasadaentecnologíay técnicasdemuestreo.
2. Elprocesodeobtención,análisis,interpretaciónydocumentacióndelainformacióndebersersupervisadoparaproporcionarunaseguridadrazonabledequesealcancenlosobjetivosdeltrabajoysemantenganlaobjetividaddelauditorinterno.
* * *
129ConsejosparalaPráctica
Consejo para la Práctica 2330-1:Documentación de la Información
Norma principalmente relacionada:2330 – Documentación de la informaciónLosauditoresinternosdebendocumentarinformaciónrelevantequelespermitasoportarlasconclusionesylosresultadosdeltrabajo.1. Losauditoresinternospreparanpapelesdetrabajo.Lospapelesde
trabajodocumentanlainformaciónobtenida,losanálisisefectuadosyelsoportepara lasconclusionesy los resultadosdel trabajo.Lagerenciadeauditoríainternarevisalospapelesdetrabajoquesehanpreparado.
2. Generalmente,lospapelesdetrabajo:• Ayudan en la planificación, ejecución y revisión de los
trabajos.• Proporcionan el soporte principal a los resultados del
trabajo.• Documentansilosobjetivosdeltrabajosehanalcanzado.• Soportanlaprecisióneintegridaddeltrabajorealizado.• Suministranunabaseparaelprogramadeaseguramientoy
mejoradecalidaddelaactividaddeauditoríainterna.• Facilitanlasrevisionesdeterceraspartes.
3. Laorganización,diseñoycontenidodelospapelesdetrabajodependedelanaturalezayobjetivosdeltrabajo,asícomodelasnecesidadesdelaorganización.Lospapelesdetrabajodocumentatodoslosaspectosdelprocesodetrabajo,desdelaplanificaciónhastalacomunicacióndelosresultados.Laactividaddeauditoríainternadeterminalosmediosutilizadosparadocumentaryalmacenarlospapelesdetrabajo.
4. ElDirectorEjecutivodeauditoríaestablece laspolíticas sobre lospapeles de trabajo para los diversos tipos de trabajo realizados.Los papeles de trabajo normalizados, tales como cuestionarios yprogramasdeauditoría,puedenmejorar laeficienciadel trabajoyfacilitar ladelegacióndel trabajo. Lospapelesde trabajopuedenser clasificados comoarchivospermanenteso para ser utilizadosen el futuro, en cuyo caso contienen información de importanciapermanente.
130 Consejosparalapráctica
Consejo para la Práctica 2330.A1-1: Control de los Registros del Trabajo
Norma principalmente relacionada
2330.A1 - ElDirectorEjecutivodeauditoríadebecontrolarelaccesoalosregistrosdeltrabajo.ElDirectorEjecutivodeauditoríadebeobteneraprobaciónde laaltadirecciónodeasesores legalesantesdedaraconocertalesregistrosaterceros,segúncorresponda.
1. Losregistrosdeltrabajodeauditoríainternaincluyeninformes,docu-mentacióndesoporte,notasderevisiónycorrespondencia,seacualfuereelmedioutilizadoparasualmacenamiento.Losregistrosdeltrabajoopapelesdetrabajosonpropiedaddelaorganización.Laactividaddeauditoríainternacontrolalospapelesdetrabajoypermiteelaccesosóloalaspersonasautorizadas.
2. Losauditoresinternospuedeneducaraladirecciónyalconsejodeadministraciónrespectodelaccesoalosregistrosdeltrabajoporpartedeterceraspartes.Laspolíticasreferidasalaccesoalosregistrosdeltrabajo,elmanejodelassolicitudesdeaccesoylosprocedimientosaseguircuandountrabajogarantizaunainvestigaciónnecesitanserrevisadasporelconsejodeadministración.
3. Laspolíticasdeauditoría internaexplicanquiénesel responsabledentrodelaorganizacióndeasegurarelcontrolyseguridaddelosregistrosdelaactividad,aquépartesinternasoexternasselespuedeotorgaraccesoalosregistrosdeltrabajoycómodebenmanejarselassolicitudesparaaccederadichosregistros.Estaspolíticasvariaránsegúnlanaturalezadelaorganización,lasprácticasseguidasenelsectoreconómicoylosprivilegiosdeaccesoestablecidosporlaley.
4. Ladirecciónyotrosmiembrosdelaorganizaciónpuedensolicitarelaccesoatodosoaunapartedelospapelesdetrabajo.Dichoacce-sopuedesernecesarioparajustificaroexplicarlasobservacionesyrecomendacionesdeltrabajooparaotrospropósitosdenegocios.ElDirectorEjecutivodeauditoría(DEA)apruebaestaspeticiones.
5. ElDEAapruebaelaccesoalospapelesdetrabajoporpartedelosauditoresexternos.
6. Haycircunstanciasenque lapeticióndeaccesoa lospapelesdetrabajoyalosinformeslarealizantercerosajenosalaorganización,
131ConsejosparalaPráctica
distintosdelosauditoresexternos.Antesdedaraconocerladocu-mentación,elDEAobtienelaaprobacióndelaaltadirecciónodelaasesoríajurídica,segúnproceda.
7. En procesos legales, se puede permitir el acceso a los registrosdeauditoría internaquenoesténespecíficamenteprotegidos.Lasexigenciaslegalesvaríansignificativamenteenlasdistintasjurisdic-ciones.Cuandohayunasolicitudespecíficarespectodelosregistrosdeltrabajoenrelaciónconunproceso legal, el DEA trabaja muy de cerca con la asesoría legal para decidir qué se proporcionará.
* * *
132 Consejosparalapráctica
Consejo par la Práctica 2330.A2-1:Retención de los Registros
Norma principalmente relacionada
2330.A2 - ElDirectorEjecutivodeauditoríadebeestablecerrequisitosderetenciónparalosregistrosdeltrabajo,seacualfuereelmedioenelcualsealmacenacadaregistro.Estosrequisitosderetencióndebenserconsistentesconlasguíasdelaorganizaciónycualquierregulaciónuotrosrequisitospertinentes.
1. Losrequisitosderetenciónderegistrosdeltrabajovaríanenlasdis-tintasjurisdiccionesyentornoslegales.
2. ElDirectorEjecutivodeauditoría(DEA)elaboraunapolíticaescritaderetenciónquecumplaconlasnecesidadesdelaorganizaciónylosrequisitoslegalesdelasjurisdiccionesenqueoperalaorganiza-ción.
3. Lapolíticaderetenciónderegistros tieneque incluir losacuerdosapropiadosreferidosalaretenciónderegistrosdelostrabajosreali-zadosporproveedoresexternosdeservicios.
* * *
133ConsejosparalaPráctica
Consejo para la Práctica 2340-1:Supervisión del Trabajo
Norma principalmente relacionada
2340 – Supervisión del trabajoLos trabajos deben ser adecuadamente supervisados para asegurarel logro de sus objetivos, la calidad del trabajo y el desarrollo delpersonal.
Interpretación:El alcance de la supervisión requerida dependerá de la pericia y experiencia de los auditores internos y de la complejidad del trabajo. El Director Ejecutivo de auditoría tiene la responsabilidad general de la supervisión del trabajo, ya sea que haya sido desempeñado por la actividad de auditoría interna o para ella, pero puede designar a miembros adecuadamente experimentados de la actividad de auditoría interna para llevar a cabo esta tarea. Se debe documentar y conservar evidencia adecuada de la supervisión.1. El Director Ejecutivo de auditoría (DEA) o quien este designe,
proporcionalaadecuadasupervisióndeltrabajo.Lasupervisiónesunprocesoquecomienzaconlaplanificaciónycontinúaalolargodeltrabajo.Esteprocesoincluye:• Asegurarquelosauditoresdesignadosposeanenconjuntolos
conocimientos, técnicas y otras competencias requeridasparadesempeñareltrabajo.
• Proporcionarinstruccionesadecuadasdurantelaplanificaciónyaprobarelprogramadetrabajo.
• Asegurarquesecompleteelprogramade trabajoaprobado,amenosquesejustifiquenyautoricenmodificaciones.
• Determinarquelospapelesdetrabajosoportenadecuadamentelasobservaciones,conclusionesyrecomendacionesdeltrabajo.
• Asegurar que las comunicaciones del trabajo sean precisas,objetivas,claras,concisas,constructivasyoportunas.
• Asegurarquesecumplanlosobjetivosdeltrabajo.
134 Consejosparalapráctica
• Proporcionar oportunidades para que se desarrollen losconocimientos, técnicasyotras competenciasde losauditoresinternos.
2. ElDEAes responsablede todos los trabajosdeauditoría interna,yaseanlosrealizadosporlaactividaddeauditoríainternaoparalamisma, yde todos los juiciosprofesionalessignificativosemitidosduranteel trabajo. ElDEAes tambiénquienadopta lasmedidasnecesariasparaasegurarquesecumplaestaresponsabilidad.Dichasmedidasincluyenpolíticasyprocedimientosdiseñadospara: • Minimizarelriesgodequelosauditoresinternosuotraspersonas
querealicentareasparalaactividaddeauditoríainternaemitanjuiciosprofesionalesosiganotrasaccionesqueseaninconsistentesconeljuicioprofesionaldelDEAdemodotalqueproduzcanunimpactoadversoeneltrabajo.
• ResolverdiferenciasenelcriterioprofesionalentreelDEAylosmiembros de auditoría interna sobre cuestiones importantesrelacionadas con el trabajo. Estasmedidas pueden incluir ladiscusión de los hechos pertinentes, nuevas investigacioneso revisiones, y documentación y disposición de los diferentespuntos de vista en los papeles de trabajo. En los casos queexistan diferencias de criterio profesional sobre una cuestiónética, lasmedidas adecuadas pueden incluir la consulta deltema conaquellas personasde la organizaciónque tengan laresponsabilidadsobrelascuestioneséticas.
3. Todoslospapelesdetrabajodebenserrevisadosparaasegurarquesoportanlascomunicacionesdeltrabajoyquesehanaplicadolosprocedimientosdeauditoríanecesarios.Laevidenciadelarevisióndelsupervisorconsisteenqueelsupervisorcoloquesusinicialesylafechaencadapapeldetrabajounavezrevisado.Otrastécnicasqueproporcionanevidenciadelarevisióndelsupervisorincluyenelcompletarunalistadepuntosderevisióndelospapelesdetrabajo;lapreparacióndeunmemorándumespecificandolanaturaleza,alcanceyresultadosdelarevisión;olaevaluaciónyaceptacióndentrodeunsoftwaredepapelesdetrabajo.
4. Losrevisorespuedendejarporescrito(porejemplo,mediantenotasderevisión)laspreguntassurgidasenelprocesoderevisión.Cuando
135ConsejosparalaPráctica
estasnotasseclarifiquendebenasegurarsedequelospapelesdetrabajo proporcionen la evidencia adecuadadeque las preguntassurgidas durante la revisión han sido resueltas. Las alternativascon respecto a la disposición de las notas de revisión son lassiguientes:• Conservarlasnotasderevisióncomounregistrodelaspreguntas
realizadasporelrevisor,lospasosdadospararesolverlasylosresultadosdedichospasos.
• Destruir las notas de revisiónuna vezque los temas tratadoshan sido resueltos y se han corregido los papeles de trabajocorrespondientes demodo que proporcionen la informaciónsolicitada.
5. Lasupervisióndeltrabajotambiénpermitelacapacitaciónydesarrollodelpersonal,ylaevaluacióndesudesempeño.
* * *
136 Consejosparalapráctica
Consejo para la Práctica 2410-1:Criterios para la Comunicación
Norma principalmente relacionada
2410 – Criterios para la comunicación Lascomunicacionesdebenincluirlosobjetivosyalcancedeltrabajoasícomo las conclusiones correspondientes, las recomendaciones, y losplanesdeacción.1. Sibienelformatoycontenidodelascomunicacionesfinalesdeltrabajo
varíansegún laorganizaciónoel tipode trabajo,debencontener,comomínimo,elpropósito,alcanceyresultadosdeltrabajo.
2. Lascomunicacionesfinalesdeltrabajopuedenincluirantecedentesy resúmenes. Losantecedentes pueden identificar las unidades yactividadesrevisadasdelaorganizaciónyproporcionarinformaciónaclaratoria.Tambiénpuedenincluirlasituacióndelasobservaciones,conclusionesyrecomendacionesdeinformesanteriores.Asimismo,pueden indicar si el informe se refiere a un trabajo planificado osi responde a una petición. Los resúmenes son una expresiónequilibradadelcontenidodelacomunicacióndeltrabajo.
3. Laexplicacióndelpropósitodescribelosobjetivosdeltrabajoypuedeinformarallectorsobrelasrazonesquemotivaronlarealizacióndeltrabajoyloqueseesperabaconseguir.
4. Laexplicacióndelalcanceidentificalasactividadesauditadasypuedeincluirinformacióndesoporte,comoporejemploelperíodorevisadoylasactividadesrelacionadasquenofueronrevisadas,conelfindedefinirloslímitesdeltrabajo.Tambiénpuededescribirlanaturalezayextensióndeltrabajorealizado.
5. Los resultados incluyen observaciones, conclusiones, opiniones,recomendacionesyplanesdeacción.
6. Lasobservacionessonexposicionespertinentesdeloshechos.Elauditorinternocomunicaaquellasobservacionesqueseannecesariaspara apoyar sus conclusiones y recomendaciones, o para evitarequívocosderivadosdeéstas.Elauditorinternopudecomunicarlasobservacionesorecomendacionesqueseanmenossignificativasdemanerainformal.
137ConsejosparalaPráctica
7. Las observaciones y recomendaciones del trabajo surgen de unprocesode comparaciónentre el criterio (el estado correcto) y lacondición(elestadoactual).Sielauditorinternoencuentradiferenciasentreambos,estaserálabaseparaelaborarsuinforme.Cuandolacondicióncumpleconelcriterioestablecido,puedeserconvenientecomunicar ese desempeño satisfactorio. Las observaciones yrecomendacionessebasanenlossiguientesatributos:• Criterio:Losestándares,medidas,osupuestosutilizadosalhacer
unaevaluaciónyverificación(elestadocorrecto).• Condición: La evidencia, los hechos que el auditor interno
encuentradurantelarealizacióndesutrabajo(elestadoactual).• Causa:Larazóndeladiferenciaentrelassituacionesesperadas
ylasreales.• Efecto:Elriesgooexposiciónenqueseencuentralaorganización
uotros terceros, debidoaque la condiciónnocoincide conelcriterio(elimpactodeladiferencia).Paradeterminarelgradoderiesgooexposición,elauditor internotieneencuentaelefectoque lasobservacionesy recomendacionespuedan tenersobrelasoperacionesylosestadosfinancierosdelaorganización.
• Las observaciones y recomendaciones pueden incluir logrosobtenidos por el cliente del trabajo, problemas relacionadoseinformacióndesoporte.
8. Lasconclusionesyopinionessonlasevaluacionesquehaceelauditorinternosobrelosefectosdelasobservacionesyrecomendacionesenlaactividadrevisada.Generalmente,lasconclusionesyopinionessitúanalasobservacionesyrecomendacionesenunaperspectivabasadaentodassusimplicaciones.Identificanclaramentelasconclusionesdeltrabajoenelinformedeltrabajo.Lasconclusionespuedenreferirseatodoelámbitodeltrabajoosóloaaspectosdeterminados.Aunquenoestánlimitadasaellos,puedenabarcaraspectostalescomoladeterminacióndesilosobjetivosymetasdeprogramasyoperacionesestánenconsonanciaconlosdelaorganización,siestosúltimosseestáncumpliendoysilaactividadrevisadafuncionacomosepretende.Unaopiniónpuedeincluirunaevaluacióngeneraldecontrolesopuedeestarlimitadaadeterminadoscontrolesoaspectosdeltrabajo.
9. Elauditorinternopuedecomunicarrecomendacionesparamejoras,
138 Consejosparalapráctica
reconocimientosdedesempeñosatisfactorioyaccionescorrectivas.Lasrecomendacionessebasanenlasobservacionesyconclusionesobtenidasporelauditorinterno.Demandanaccionesquecorrijanlasituaciónactualomejorenlasoperacionesypuedensugerirenfoquesparacorregiromejorarlagestiónquesirvandeguíaaladirecciónenlaobtencióndelosresultadosdeseados.Lasrecomendacionespuedensergeneralesoespecíficas.Porejemplo,enciertascircunstancias,el auditor internopuede recomendar una líneageneral de accióny sugerencias específicas para su puesta enmarcha. En otroscasos,elauditor internopuedesugerirunainvestigaciónoestudioadicionales.
10.El auditor interno puede comunicar los logros obtenidos por elcliente,entérminosdemejorasrealizadasdesdeelúltimotrabajoodel establecimientodeunaoperaciónadecuadamente controlada.Estainformaciónpuederesultarnecesariaparareflejarfielmentelascondicionesactualesyproporcionaralascomunicacionesfinalesdeltrabajolaperspectivayelequilibrioadecuados.
11.Elauditor internopuedecomunicar lospuntosdevistadel clientesobrelasconclusiones,opinionesorecomendacionesquerealizóelauditorinterno.
12.Comopartedelasconversacionesdelauditorinternoconelclientedeltrabajo,elauditorinternoobtienesuacuerdosobrelosresultadosdeltrabajoysobrecualquierplandeacciónnecesarioparamejorarlasoperaciones.Siambosdiscrepansobrelosresultadosdeltrabajo,lascomunicacionespuedenexponerambasposicionesylasrazonesdeldesacuerdo.Loscomentariosescritosdelclientesepuedenincluircomoapéndicealinformedeltrabajo,dentrodelmismoinformeoenunacartadepresentación.
13.Ciertainformaciónpuedenoserapropiadaparasercomunicadaatodoslosreceptoresdelinforme,debidoasucondicióndeconfidencialoprivada,oporreferirseaactosimpropiosoilegales.Estainformaciónsepresentaenuninformeseparado.Elinformeseentregaalconsejodeadministracióncuandoloshechosdelosqueseinformaimplicanalaaltadirección.
14.Los informes intermedios son escritos o verbales y pueden sertransmitidosformaloinformalmente.Seutilizaninformesintermediospara transmitir informaciónque requiere atención inmediata, para
139ConsejosparalaPráctica
comunicaruncambioenelalcancedeltrabajoqueseestárealizando,o paramantener informadaa la dirección del avance del trabajocuandoésteseprolongaduranteundilatadoperíododetiempo.Elusodeinformesintermediosnoreducenieliminalanecesidaddeuninformefinal.
15.Seemite un informe firmadoal finalizar el trabajo. Los informesresumidos,quedestaquenlosresultadosdelaauditoría,sonadecuadosparaaquellosnivelesdedirecciónsuperioresjerárquicamentealclientedeltrabajoypuedenemitirseseparadaoconjuntamenteconelinformefinal.Eltérmino“firmado”significaqueelnombredelauditorinternoautorizadoestámanual o electrónicamente firmadoenel informeoenunacartadepresentación.ElDirectorEjecutivodeauditoríadeterminaquéauditorinternoestáautorizadoparafirmarelinforme.Silosinformesdeltrabajosedistribuyenpormedioselectrónicos,sedebemantenerunaversiónfirmadaenarchivosdelaactividaddeauditoríainterna.
* * *
140 Consejosparalapráctica
Consejo para la Práctica 2420-1:Calidad de las Comunicaciones
2420 – Calidad de la comunicaciónLas comunicaciones deben ser precisas, objetivas, claras, concisas,constructivas,completasyoportunas.
Interpretación:Las comunicaciones precisas están libres de errores y distorsiones y son fieles a los hechos que describen. Las comunicaciones objetivas son justas, imparciales y sin desvíos y son el resultado de una evaluación justa y equilibrada de todos los hechos y circunstancias relevantes. Las comunicaciones claras son fácilmente comprensibles y lógicas, evitando el lenguaje técnico innecesario y proporcionando toda la información significativa y relevante. Las comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles superfluos, redundancia y uso excesivo de palabras. Las comunicaciones constructivas son útiles para el cliente del trabajo y la organización, y conducen a mejoras que son necesarias. A las comunicaciones completas no les falta nada que sea esencial para los receptores principales e incluyen toda la información y observaciones significativas y relevantes para apoyar a las recomendaciones y conclusiones. Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes, dependiendo de la significatividad del tema, permitiendo a la dirección tomar la acción correctiva apropiada. 1. Obtener,evaluaryresumirdatosyevidenciasdemaneracuidadosa
yconprecisión.2. Derivaryexpresarobservaciones,conclusionesyrecomendaciones
sinprejuicios,parcialidades,interesespersonaleseindebidainfluenciadeterceros.
3. Mejorar la claridad evitando el lenguaje técnico innecesario yproporcionando toda la información significativa y relevante encontexto.
4. Elaborarcomunicacionesconelobjetivodequecadaelementoseaexpresivoperosucinto.
141ConsejosparalaPráctica
5. Adoptaruncontenidoytonoútiles,positivosybienintencionados,quesecentrenenlosobjetivosdelaorganización.
6. Asegurarquelacomunicaciónseaconsistenteconelestiloyculturadelaorganización.
7. Planearlaoportunidaddelapresentacióndelosresultadosdeltrabajoparaevitardemorasindebidas.
* * *
142 Consejosparalapráctica
Consejo para la Práctica 2440-1:Difusión de Resultados
Norma principalmente relacionada:
2440 – Difusión de resultadosElDirectorEjecutivodeauditoríadebedifundirlosresultadosalaspartesapropiadas.
Interpretación:El Director Ejecutivo de auditoría o la persona por él designada debe revisar y aprobar la comunicación final del trabajo antes de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación. 1. Losauditoresinternoscomentanlasconclusionesyrecomendaciones
conlosnivelesdirectivosapropiadosantesdequeelDirectorEjecu-tivodeauditoría(DEA)emitalascomunicacionesfinalesdeltrabajo.Estoserealizausualmenteduranteeltranscursodeltrabajoyenlasreunionesfinalesdeltrabajo.
2. Otra técnica consiste enque la gerencia de la actividadauditadareviseelborradordelostemas,observacionesyrecomendacionesdeltrabajo.Estasdiscusionesyrevisionesayudanaevitarequívocosomalas interpretacionesde los hechos, al proporcionar al clientedel trabajo la oportunidad de clarificar detalles específicos y deexpresarsupuntodevistasobrelasobservaciones,conclusionesyrecomendaciones.
3. El nivel de los participantes en las discusiones y revisiones varíadependiendodelasorganizacionesydelanaturalezadel informe.Generalmenteseincluyenaaquellaspersonasconocedorasdelasoperacionesendetalleyaaquellasquepuedanautorizarlapuestaenmarchadelaaccióncorrectiva.
4. ElDEAdistribuyelascomunicacionesfinalesdeltrabajoalagerenciadelaactividadauditadayaaquellosmiembrosdelaorganizaciónquepuedanasegurarqueseprestarádebidaatenciónalosresultadosdel trabajo y seguirán las acciones correctivas o asegurarán quesesiganlasmismas.Cuandoseaapropiado,elDEApuedeenviaruna comunicación resumida amiembros demás alto nivel en la
143ConsejosparalaPráctica
organización.Cuando loexigeelestatutodeauditoría internao lapolíticadelaorganización,elDEAtambiénenvíalascomunicacionesa otros interesados o partes afectadas, tales como los auditoresexternosyelconsejodeadministración.
* * *
144 Consejosparalapráctica
Consejo para la Práctica 2500-1:Seguimiento del Progreso
Norma principalmente relacionada
2500 – Seguimiento del progresoElDirectorEjecutivodeauditoríadebeestablecerymantenerunsistemaparavigilarladisposicióndelosresultadoscomunicadosaladirección.1. Paravigilareficazmenteladisposicióndelosresultados,elDirector
Ejecutivodeauditoría(DEA)estableceprocedimientosqueincluyenlosiguiente:• Elmarcodetiempodentrodelcualserequieralarespuestadela
direcciónalasobservacionesyrecomendacionesdeltrabajo.• Laevaluacióndelarespuestadeladirección.• Laverificacióndelarespuesta(sicorresponde).• Larealizacióndeuntrabajodeseguimiento(sicorresponde).• Unprocesodecomunicaciónalosnivelesadecuadosdelaalta
direcciónodelconsejodeadministración,quehagahincapiéenlasrespuestasoaccionesinsatisfactorias,incluyendolaasuncióndelriesgo.
2. Si ciertas observaciones y recomendaciones resultan ser tansignificativasquerequieranaccióninmediataporpartedeladirecciónodelconsejodeadministración,laactividaddeauditoríainternavigilalasaccionestomadashastaquelaobservaciónsehayacorregidoolarecomendaciónsehayaimplementado.
3. Laactividaddeauditoríainternapuedehacerunseguimientoeficazdelprogresomediantelosiguiente:• Dirigir las observaciones y recomendaciones del trabajo a los
nivelesadecuadosde la dirección que sean responsablesdellevaracabolaaccióncorrectiva.
• Recibiryevaluarlasrespuestasdeladirecciónyelplandeacciónpropuesto a las observaciones y recomendacionesdel trabajodurantelarealizacióndelmismoodentrodeunperíodorazonabledespuésdecomunicarlosresultadosdeltrabajo.Lasrespuestassonmásútilessiincluyenlainformaciónsuficientequepermita
145ConsejosparalaPráctica
al DEA evaluar la adecuación y oportunidad de las accionespropuestas.
• Recibiractualizacionesperiódicasdepartede ladirecciónconelfindeevaluarsusesfuerzosparacorregirlasobservacioneseimplementarlasrecomendaciones.
• Recibiryevaluarinformacióndeotrasunidadesdelaorganizaciónque tenganasignada responsabilidad en el seguimiento o lasaccionescorrectivas.
• Informaralaaltadirecciónoalconsejodeadministraciónsobrelasituacióndelasrespuestasalasobservacionesyrecomendacionesdeltrabajo.
* * *
146 Consejosparalapráctica
Consejo para la Práctica 2500.A1-1:Proceso de Seguimiento
Norma principalmente relacionada2500.A1 - ElDirectorEjecutivodeauditoríadebeestablecerunprocesodeseguimientoparavigilaryasegurarquelasaccionesdeladirecciónhayansidoimplantadaseficazmenteoquelaaltadirecciónhayaaceptadoelriesgodenotomarmedidas.
1. Losauditoresinternosdeterminansiladirecciónhaseguidolasmedi-dasoimplementadolarecomendación.Elauditorinternodeterminasisealcanzaronlosresultadosdeseados,osiladirecciónoelconsejodeadministraciónhanasumidoelriesgodenoadoptarlasmedidasoimplementarlarecomendación.
2. Elseguimientoesunprocesoporelcuallosauditoresinternoseva-lúanlaadecuación,eficaciayoportunidaddelasmedidastomadasporladirecciónconrelaciónalasobservacionesyrecomendacionesdeltrabajo,inclusoaquellasefectuadasporlosauditoresexternosyotros.Esteprocesotambiénincluyedeterminarsilaaltadirecciónoelconsejodeadministraciónhanasumidoelriesgodenotomarmedidascorrectivassobrelasobservacionesinformadas.
3. El estatuto de la actividad de auditoría interna debería definir la responsabilidad del seguimiento. El Director Ejecutivo de auditoría (DEA) determina la naturaleza, oportunidad y alcance del seguimiento, teniendo en cuenta los siguientes factores: • La relevancia de las observaciones y recomendaciones informa-
das.• El grado de esfuerzo y costo necesarios para corregir la situación
informada.• El impacto que puede derivarse si no se lleva a cabo la acción
correctiva.• La complejidad de la acción correctiva.• El período involucrado.
4. El DEA es el responsable de programar las actividades de seguimiento,
como parte de la programación de trabajos a realizar. La programa-ción del seguimiento se basa en el riesgo y la exposición al mismo,
147ConsejosparalaPráctica
así como en el grado de dificultad y la cantidad de tiempo necesaria para implantar la acción correctiva.
5. Cuando el DEA juzgue que la respuesta oral o escrita de la dirección indique que la medida tomada es suficiente con relación a la importan-cia relativa de la observación o recomendación, los auditores internos pueden hacer el seguimiento como parte del siguiente trabajo.
6. Los auditores internos determinan si las medidas tomadas sobre las observaciones y recomendaciones solucionan los problemas de fon-do. Las actividades de seguimiento deberían estar apropiadamente documentadas.
* * *