Presentacion Clases Unidad 1.pdf

Auditoría Interna Armando Villacorta Cavero - CIA, CFSA, CGAP, CCSA, CRMA, QAR Lima – PERU

Precisión innecesaria Como decía Ortega y Gasset: “Yo soy yo, y mis circunstancias”.

Los comentarios que puedan realizarse, en ningún caso significarán crítica o cuestionamiento a ningún modelo de gestión aplicado; solo pretendemos reflexionar sobre algunas “mejores prácticas”.

Ahora bien: Si no sabes hacia qué puerto quieres ir, ningún viento te será favorable.

2

El Instituto de Auditores Internos • Fundado en 1941 • Sede en Orlando, Florida • Capítulos e institutos • 153 capítulos • USA, Canada & El Caribe

• 96 Institutos • Rest of the world

• Más de 190,000 asociados • Auditores Internos Certificados - CIAs • Más de 100,000 CIAs

global.theiia.org

Buenas Noticias • Es un gran momento para ser un Auditor Interno • Reconocido como expertos en controles • Ser Facilitadores de la dirección para los temas de gobierno corporativo y ERM • Consejero de confianza de las juntas de supervisión

4

Buenas Noticias

THE WHISTLE-BLOWERS: Cynthia Cooper, WorldCom; (left to right), Coleen Rowley, the FBI; and Sherron Watkins, Enron

Personajes del Año 2002 en los Estados Unidos

Desarrollo de la Auditoría Interna Primera Generación (antes de 1980)

Segunda Generación (Década 80’s)

•Enfocada a Controles

Enfocada a la Estructura de Control

Enfasis en procesos,  Comienza la aplicación procedimientos y de estructuras de control (Sistemas actividades de control integrados de Control)  Se hace auditoría de  A I evalúa los cumplimiento controles que deben tener lugar  Auditoría con el propósito de medir eficiencia operativa 

4ta Generación (año 2000) Tercera Generación (Década 90’s) •Enfocada a Riesgos del Enfocada al Proceso del Negocio Manejo de Riesgo del Negocio - BRMP 







Se enfatiza en el cabal entendimiento del negocio y de sus riesgos asociados AI evalúa controles para optimizar los procesos e identificar riesgos







Auditoría con el propósito de medir eficiencia operacional Nueva definición de AI 

Conocimiento del negocio y de sus riesgos asociados Determina que el BRMP opere adecuadamente

Auditoría con el propósito de medir el cumplimiento y efectividad de cada uno de los componentes del BRMP Nuevas Normas AI

Como Auditores Internos, Prometemos: • Ayudar a la gerencia y a los consejos directivos a satisfacer sus objetivos • Ser independientes • Proporcionar certidumbre objetiva • Ser sistemático y disciplinado • Agregar valor a nuestras organizaciones • Mejorar la eficacia de: • Administración de riesgo • Controles internos • Gobierno corporativo

7

La Fundación de Nuestra Promesa • Marco para la Practica Profesional de la Auditoria Interna • Código de ética • Estándares • Guías practicas • Certificaciones • Investigación y educación • Globalización del servicio

8

La Auditoría Interna es función crítica del Buen Gobierno Corporativo (BGC) Te veel

Very high

Mate van beheersing

Internal audit

Risk Level

High

Te weinig Management action

Moderate

Low

Evaluate

Monitor

Very low

1 Could do much less

2

3 Effort is just right

Could do less

4 Should do more

Perceived Control

9

5 Should do much more

Cambiando Nuestra Imagen

Auditoría Interna

 Antes:

10

Definición: Auditoría Interna Declaración del propósito fundamental, la naturaleza y el alcance de la auditoría interna.

Qué somos?

Qué hacemos?

La Auditoria Interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para AGREGAR VALOR y MEJORAR las operaciones de una organización.

Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para EVALUAR y MEJORAR la eficacia de los PROCESOS de gobierno, gestión de riesgos y control. 11 11

El Nuevo rol de Auditoría Interna

Espectrum de las responsabilidades del auditor

Consultor permanente del Top Management Consejero de las mejores practicas

Consejero proactivo de Negocios Encargado de descubrir Clarificador Auditoria orientada al Pasado Verificador (investigador) 1980

1970 12

Hoy 

Rol de Auditoria Interna: Tipos de Servicios Volver a lo Básico Controles internos Evaluación del riesgo de fraude

Rol de Expansión Gobierno corporativo Manejo de riesgo Desarrollo sostenible

13

Tipos de Servicios Frecuentes de Auditoría Interna a)

b) c)

d) e) f) g)

Auditoria Financiera. "El análisis de la actividad económica de una entidad medida y reportada por métodos contables". Las auditorías financieras se relacionan principalmente con la Norma Confiabilidad e Integridad de la Información, y la Norma Salvaguarda de Activos. Auditoría de Cumplimiento. "La revisión de los controles y transacciones financieras y operativas para constatar si se ajustan a las leyes, normas, reglamentos y procedimientos establecidos". Auditoría Operativa. "La revisión amplia de las funciones variadas dentro de una empresa para evaluar la eficiencia y economía de las operaciones y la efectividad con la que esas funciones alcanzan sus objetivos.” (Ver Norma 2120.A3) Due Dilligence Auditoria Ambiental Auditoría de Sistemas Auditorías Tributarias

14

¿Qué más debemos realizar para ser auditores internos globalizados?

15

Lograr la certificación Certified Internal Auditor (CIA) Ganando una mejor credencial frente a nuestra Gerencia......Convirtiendonos en un CIA y asociandonos a los más de 65,000 profesionales en auditoría interna quienes están orgullosos de usar el liston rojo de éxito.

16

El CIA en el Mundo La designación de auditor interno certificado es una distinción de un experto en auditoría interna a nivel internacional. Al obtener el CIA, usted incrementa su valor para la dirección, demuestra su competencia profesional, mejora su imagen y obtiene la única designación internacional para auditores internos.

A la fecha existen más de 100,000 CIAS en el mundo. En Latinoamerica solo existe el 1% de los Certificados en el Mundo.

17

Vision General del CIA • El examen CIA comprueba los conocimientos de los temas especificados en tres niveles de competencia

– Conocimiento – Entendimiento – Habilidad • Las Partes I, II y III son consideradas ahora como el temario central global para el auditor interno profesional.

18

Certificaciones Especializadas • Certificación en Auto evaluación de Control • Profesional Certificado en Auditoría Gubernamental • Auditor de Servicios Financieros Certificado • Certification in Risk Management Assurance 19

CASO : VIDEO DE PRESIDENTE DE THE IIA GLOBAL

Discusión Grupal: • Basado en lo Desarrollado hasta el momento, las Preguntas Frecuentes sobre auditoría interna y el Video, responder lo siguiente:

1.¿Cuales es la percepción que se tiene del auditor interno hoy? 2.¿Que cambios significativos deben realizarse frente a las expectativas /percepciones de los stakeholders?

20

Cuáles son nuestras circunstancias

21

Auditoría Interna se debe alinear con los riesgos del negocio 1 Alto

Da Prioridad a los procesos con potencial significativo de impactar los objetivos de negocio para la evaluación posterior del riesgo.

PROCESOS 2 Alto

Da Prioridad a los riesgos con potencial de impactar los objetivos para la evaluación del control.

RIESGOS

Da prioridad adicional a los riesgos considerando la efectividad del control

3 Bajo

Alto

Riesgo Inherente Alto

Alto Medio

CONTROLES

Alto

Bajo

Probabilidad de Ocurrencia

Bajo Bajo

Efectividad del Control

Alto

¡Ahora es el Tiempo de Hacer más Visibles a la Auditoría interna!

23

Introducción Líneas de Defensa de las Empresas

Líneas de Defensa de las Empresas

global.theiia.org/Technical Papers

LINEAS DE DEFENSA DE LAS EMPRESAS COORDINACION DE LAS TRES LINEAS DE DEFENSA Debido a que cada organización es única y puede variar según situaciones específicas, no hay una forma "correcta" para coordinar las Tres Líneas de Defensa. Sin embargo, al asignar las responsabilidades específicas y de coordinación entre las funciones de gestión de riesgos, puede ser útil tener en cuenta el papel fundamental de cada grupo en el proceso de gestión de riesgos.

LINEAS DE DEFENSA DE LAS EMPRESAS La Auditoría Interna tiene la misión de mejorar y proteger el valor de la organización proporcionando aseguramiento, visión y asesoramiento objetivos basados en riesgos (IIA, 2015)

LINEAS DE DEFENSA DE LAS EMPRESAS

Fuente: Driving Success in a Changing World - 10 Imperatives for Internal Audit

LINEAS DE DEFENSA DE LAS EMPRESAS El enfoque de la 4TA línea

Etapas de la Auditoría Interna I. Análisis Estratégico Entendimiento del negocio Entendimiento de objetivos y estrategias del negocio Identificación de riesgos estratégicos Identificación de procesos a auditar Elaboración de plan de auditoría Entregables:  Matriz de riesgos Estratégicos  Plan de auditoría interna

II. Análisis de Procesos

Entendimiento de los procesos a auditar

Identificación de factores críticos de éxito e indicadores claves de desempeño

Identificación de los sistemas de información relacionados a los procesos

III. Evaluación de Riesgos

Identificación de riesgos de los procesos a auditar Evaluación de los riesgos identificados Calificación de los riesgos identificados Identificación de controles mitigantes

IV. Evaluación de Controles Elaboración del programa de auditoría Evaluación del diseño de los controles mitigantes Evaluación de la efectividad de los controles mitigantes Identificación de observaciones y/o hallazgos de auditoría Identificación de oportunidades de mejora en el proceso

Entregables:

Entregables:

Entregables:

 Documento de análisis de procesos

 Matriz de riesgos y controles (evaluación de riesgos)

 Matriz de riesgos y controles (evaluación de controles)

V. Reporte

Elaboración de informe de auditoría Revisión de las observaciones y/o hallazgos con el auditado

Elaboración de plan de acción del auditado Emisión de informe de auditoría revisado Elaboración de informes para el comité de auditoría Entregables:  Informes de auditoría  Informes al comité de auditoría

VI. Seguimiento Seguimiento al plan de acción del auditado Elaboración de informe de seguimiento Revisión del informe de seguimiento con el auditado Emisión del informe de seguimiento revisado Elaboración de informes para el comité de auditoría Entregables:

 Informes de seguimiento

Auditoría Interna se debe alinear con la gestión de riesgos del negocio y su plan de negocios

31

Marco Internacional para la Práctica Profesional de Auditoría Interna

32

Guías obligatorias: MIPPAI

33

01 Cumplimiento con las Normas del IIA Introducción I La profesión de auditor tiene un rico e histórico pasado, los primeros datos tienen su origen en la civilización Mesopotámica, donde se verificaban las transacciones financieras y las anotaciones de los cargamentos de los barcos. En la antigua Roma el termino “audit” del Latín “auditus” – oido, se refería a la escucha de la evidencia oral cuando los oficiales verificaban registros. La auditoría interna ha evolucionado a través de los años, ganando reconocimiento de los ejecutivos y de las organizaciones lideres, alterando su foco de acción en respuesta a los cambios de necesidades del entorno global. La profesión ha evolucionado desde focalizarse en la información financiera y revisiones de cumplimiento; a una auditoría integrada que añade a lo anterior la revisión de los procesos operacionales, tecnologías de la información, riesgos, gobierno y controles. A lo largo de cientos de años los auditores han continuado buscando la verdad, el control de las transacciones y la prevención y detección de actos fraudulentos. The IIA fue creado en 1941 en EEUU. (Definición Auditoría Interna 1958; 1978; 1999). Actualmente la auditoría interna revisa la eficacia y eficiencia de las operaciones; cumplimiento de leyes, regulaciones, políticas y procedimientos; el logro de los objetivos operacionales/ organizacionales; fiabilidad de la información; y la salvaguarda de activos.

34

01 Cumplimiento con las Normas del IIA Introducción II Distinción entre Auditoría Interna y otras funciones de revisión – Cumplimiento: - El trabajo se dirige estrictamente a verificar si una organización cumple con leyes, regulaciones, normas, políticas o procedimientos. Los resultados son reportados como tal, sin considerar la eficacia o eficiencia del proceso de negocio. Esta función dependiendo del tipo de organización, puede estar junta o separada de la unidad de auditoría interna. Ejemplos: unidad de calidad, Sarbanes – Oxley, etc. – Auditores externos/ auditores financieros: - La principal función es dar una opinión sobre la fiabilidad de la información financiera. Aunque el foco es la exactitud de la información reportada, también revisan los controles relacionados con la información financiera. –Reguladores: - Estos auditores trabajan para organismos reguladores, por ejemplo U.S. Securities and Exchange (SEC) y revisan el cumplimiento con especificas regulaciones. –Auditores gubernamentales: - Trabajan para ministerios, agencias o departamentos del gobierno y tienen su foco en la revisión de presupuestos, gestión de proyectos, cumplimiento de programas o requerimientos. 35

01 Cumplimiento con las Normas del IIA El objetivo del Marco Internacional para la Práctica Profesional de la Auditoría Interna –MIPPAI- es proporcionar una guía coherente que facilite la interpretación y aplicación de conceptos, metodologías y técnicas fundamentales para la profesión. Delimitando la práctica actual de la Auditoría Interna, así como considerando futuras expansiones, el Marco pretende ayudar a los profesionales a satisfacer las necesidades de un mercado que demanda, cada vez más, servicios de Auditoría Interna de alta calidad.

El auditor interno es, cada vez más, uno de los profesionales mejor cualificados dentro de la organización, y es dentro de este entorno, donde el Instituto de Auditores Internos busca homogeneizar la profesión a través del establecimiento del Marco y de la certificación de sus profesionales.

36

01 Cumplimiento con las Normas del IIA Resumen de novedades MIPPAI 2017  Nuevo Misión de Auditoría Interna  Nuevo Principios fundamentales de la Auditoría Interna  Cambio de Obligatorio a Guías Obligatorias

 Cambio de Muy Recomendable a Guías Recomendadas  Cambio de nombre de Consejos para la práctica a Guías de Implementación  Cambio de Guías Prácticas a Guías Complementarias  Eliminación del Marco De los Documentos de posicionamiento

37

01 Cumplimiento con las Normas del IIA

2013

2017

38

01 Cumplimiento con las Normas del IIA

Resumen de modificaciones MIPPAI 2017 •

Total de modificaciones a Normas

42

•

Introducción y Glosario

5

•

Normas

24

•

Interpretación de las Normas

13

•

Guías de implementación

50

39

1. Cumplimiento con las Normas del IIA Guías obligatorias La Misión de Auditoría Interna articula los objetivos que ésta aspira a alcanzar en la organización. Engloba todo el Marco, para demostrar cómo los profesionales de Auditoría Interna deberían apoyarse en su conjunto para tratar de cumplir con la misión.

La Definición de Auditoría Interna corresponde a la Declaración del propósito fundamental, la naturaleza y el alcance de la Auditoría Interna. El propósito del Código de Ética es promover una cultura ética en la profesión de Auditoría Interna. Un código de ética es necesario en nuestra profesión, cuyos pilares se asientan en la confianza en el aseguramiento objetivo de la gestión de riesgos, control y gobierno de las empresas. Los Principios Fundamentales describen la eficacia de Auditoría Interna. Para que ésta sea considerada eficaz, los principios deben estar presentes y funcionando de forma eficaz. La forma de cumplir con los Principios puede ser muy diferente de una organización a otra, pero no cumplir con alguno de ellos implica que una actividad de Auditoría Interna no es tan eficaz como debiera para cumplir la misión de Auditoría Interna. Las Normas constituyen los criterios mediante los cuales el desempeño de un departamento de Auditoría Interna es calificado. Representan cómo debe ser la práctica de la profesión. Están diseñadas para aplicarse en todo tipo de organizaciones donde se pueda encontrar un auditor interno.

40

1. Cumplimiento con las Normas del IIA Guías recomendadas Las Guías de Implementación, antes denominadas “Consejos para la Práctica”, ayudarán a los profesionales en el cumplimiento de las Normas Internacionales. Tratan de forma colectiva el enfoque de Auditoría Interna y la metodología, pero no detallan procesos o procedimientos. Incluyen consideraciones para la implementación de las Normas y demostrar su conformidad con ellas. Las Guías Complementarias no se vinculan directamente con el cumplimiento de las Normas. Complementan temas de actualidad, asuntos específicos y sectoriales, e incluyen procesos y procedimientos, herramientas y técnicas, programas, enfoques paso a paso y ejemplos de entregables. A partir del lanzamiento del nuevo Marco, todas las guías para la práctica, guías globales de auditoría de tecnología (GTAGs) y guías para la evaluación de riesgos de tecnologías de información (GAITs), automáticamente pasan a formar parte de las Guías Complementarias.

41

1. Cumplimiento con las Normas del IIA Marco Internacional para la Práctica Profesional – MIPP (International Professional Practices Framework – IPPF): OBLIGATORIO:

– Misión: 1-1-2016 – Definición de Auditoría Interna: junio 1999 – Principios Fundamentales: 1-1-2016

– Código de Ética del IAI: junio 2000 – Normas Internacionales para el ejercicio profesional de Auditoría Interna (Int. Standards for the Professional Practice of Internal Audit ). 1-1-2017

42

A – Misión / Definición de Auditoría Interna

A - Misión: Auditoría Interna tiene la misión de mejorar y proteger el valor de las organizaciones proporcionando aseguramiento objetivo, asesoría y conocimiento basado en riesgos.

A - Definición de Auditoría Interna: La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.

43

A – Principios Fundamentales Los Principios Fundamentales, tomados en su conjunto, articulan la efectividad de la Auditoría Interna. Para que ésta sea eficaz, todos los Principios deben estar presentes y operar de forma efectiva. La manera en la que un auditor interno o la actividad de Auditoría Interna demuestran la efectividad de los Principios Fundamentales puede ser muy diferente de una organización a otra, pero el fracaso en el logro de cualquiera de los Principios implicaría que una actividad de Auditoría Interna no es todo lo efectiva que podría ser para el logro de la Misión.

La Auditoría Interna: · Demuestra integridad · Demuestra competencia y diligencia profesional · Es objetiva y se encuentra libre de influencias (Independiente) · Se alinea con las estrategias, los objetivos y los riesgos de la organización · Está posicionada de forma apropiada y cuenta con los recursos adecuados · Demuestra compromiso con la calidad y la mejora continua de su trabajo · Se comunica de forma efectiva · Proporciona aseguramiento en base a riesgos · Hace análisis profundos, es proactiva y está orientada al futuro · Promueve la mejora de la organización

44

B- Código de Ética: Principios-IOCC 1- Cumpliendo con el Código de Ética del IAI El Código de Ética se aplica tanto a los individuos como a las entidades que realizan servicios de auditoría interna. El hecho que una conducta particular no se halle contenida en las Reglas de Conducta no impide que sea considerada inaceptable o como un descrédito. La profesión de auditoría Interna se basa en la confianza que se deposita en su trabajo, por lo que es importante contar con un Código de Ética. PRINCIPIOS: (relevantes para la profesión y práctica de la Auditoría Interna). Se espera que los auditores internos apliquen y cumplan los siguientes principios: Integridad: - La integridad de los auditores internos establece confianza y, consiguientemente, provee la base para confiar en su juicio. Objetividad:- Los auditores internos exhiben el más alto nivel de objetividad profesional al reunir, evaluar y comunicar información sobre la actividad o proceso a ser examinado. Los auditores internos hacen una evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios sin dejarse influir indebidamente por sus propios intereses o por otras personas. Confidencialidad: - Los auditores internos respetan el valor y la propiedad de la información que reciben y no divulgan información sin la debida autorización a menos que exista una obligación legal o profesional para hacerlo. Competencia: - Los auditores internos aplican el conocimiento, aptitudes y experiencia necesarios al desempeñar los servicios de Auditoría Interna.

45

B -Código de Ética: Reglas de Conducta Reglas de Conducta, que describen las normas de comportamiento que se espera que sean observadas por los auditores internos. Estas reglas son una ayuda para interpretar los Principios en aplicaciones prácticas. Su intención es guiar la conducta ética de los auditores internos. 1. Integridad Los auditores internos: 1.1 Desempeñarán su trabajo con honestidad, diligencia y responsabilidad. 1.2 Respetarán las leyes y divulgarán lo que corresponda de acuerdo con la ley y la profesión. 1.3 No participarán a sabiendas de una actividad ilegal o de actos que vayan en detrimento de la profesión de Auditoría Interna o de la organización. 1.4 Respetarán y contribuirán a los objetivos legítimos y éticos de la organización.

46

B -Código de Ética: Reglas de Conducta

2. Objetividad

Los auditores internos: 2.1 No participarán en actividades o relaciones que puedan perjudicar o que aparentemente puedan perjudicar su evaluación imparcial. Esta participación incluye aquellas actividades o relaciones que puedan estar en conflicto con los intereses de la organización. 2.2 No aceptarán nada que pueda perjudicar o que aparentemente pueda perjudicar su juicio profesional.

2.3 Divulgarán todos los hechos materiales que conozcan y que, de no ser divulgados, pudieran distorsionar el informe de las actividades sometidas a revisión.

47

B -Código de Ética: Reglas de Conducta 3. Confidencialidad Los auditores internos: 3.1 Serán prudentes en el uso y protección de la información adquirida en el transcurso de su trabajo. 3.2 No utilizarán información para lucro personal o de alguna manera que fuera contraria a la ley o en detrimento de los objetivos legítimos y éticos de la organización.

48

B -Código de Ética: Reglas de Conducta

4. Competencia Los auditores internos: 4.1. Participarán sólo en aquellos servicios para los cuales tengan los suficientes conocimientos, aptitudes y experiencia. 4.2 Desempeñarán todos los servicios de auditoría interna de acuerdo con las Normas para la Práctica Profesional de Auditoría Interna. 4.3 Mejorarán continuamente sus aptitudes y la efectividad y calidad de sus servicios.

49

C – Normas Internacionales 1- Cumpliendo con las Normas Internacionales Normas Internacionales para el ejercicio profesional de la AI. La intención de las NORMAS es: a)

Definir los principios básicos para la práctica de la AI, tal como debería ser.

b)

Proporcionen un marco de referencia para desarrollar y promover actividades de AI con valor añadido.

c)

Establecer las bases para evaluar el desempeño de AI.

d)

Fomentar la mejora de los procesos y operaciones de la organización.

Las NORMAS comprenden: 1. 2. 3.

Normas de Atributos (Serie 1000), características de las entidades e individuos que prestan servicios de AI. Normas de Desempeño (Serie 2000), actividades de AI y los criterios para medir su desempeño. Normas de Implantación (Serie 1000 o 2000. Xn) desarrollan las anteriores normas aplicándolas a las actividades de Aseguramiento (A) y Consultoría (C). Por ejemplo 1000.A1

El Glosario: Terminología utilizada en las Normas, se presenta como apéndice de las NORMAS. Necesario junto con las Interpretaciones para entender y aplicar correctamente las Normas.

50

Normas de Implantación.- (Serie nnnn.Xn) Actividades de Aseguramiento (A) y Consultoría (C) Actividades de Aseguramiento (A): Los servicios de aseguramiento comprenden la tarea de evaluación objetiva de las evidencias, efectuada por los auditores internos, para expresar una opinión o conclusión independiente respecto de una entidad, operación, función, proceso, sistema u otro asunto. La naturaleza y el alcance del trabajo de aseguramiento están determinados por el auditor interno. Por lo general existen tres partes en los servicios de aseguramiento: (1) la persona o grupo directamente implicado en la entidad, operación, función, proceso, sistema u otro asunto, es decir el dueño del proceso, (2) la persona o grupo que realiza la evaluación, es decir el auditor interno, y (3) la persona o grupo que utiliza la evaluación, es decir el usuario. Actividades de Consultoría (C): Los servicios de consultoría son por naturaleza consejos, y son desempeñados, por lo general, a pedido de un cliente. La naturaleza y el alcance del trabajo de consultoría están sujetos al acuerdo efectuado con el cliente. Por lo general existen dos partes en los servicios de consultoría: (1) la persona o grupo que ofrece el consejo, es decir el auditor interno, y (2) la persona o grupo que busca y recibe el consejo, es decir el cliente del trabajo. Cuando desempeña servicios de consultoría, el auditor interno debe mantener la objetividad y no asumir responsabilidades de gestión.

51

C – Normas Internacionales 1- Cumpliendo con las Normas Internacionales de “ATRIBUTOS”

Normas sobre ATRIBUTOS: Tratan las características de las organizaciones y las personas que prestan servicios de Auditoría Interna.

(las series 1000) 1000 – Propósito, Autoridad y Responsabilidad 1100 – Independencia y Objetividad 1200 – Aptitud y Cuidado Profesional 1300 – Programa de Aseguramiento y Mejora de la Calidad

52

Normas sobre Atributos (II)

1000 - Propósito, autoridad y responsabilidad El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben estar formalmente definidos en un estatuto, de conformidad con la definición de auditoría interna, el Código de Ética y las Normas. El director ejecutivo de auditoría debe revisar periódicamente el estatuto de auditoría interna y presentarlo a la alta dirección y al Consejo para su aprobación. Interpretación: El estatuto de auditoría interna es un documento formal que define el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de auditoría interna establece la posición de la actividad de auditoría interna dentro de la organización, incluyendo la naturaleza de la relación funcional del Director ejecutivo de auditoría con el Consejo; autoriza su acceso a los registros, al personal y a los bienes relevantes para el desempeño de los trabajos; y define el alcance de las actividades de auditoría interna. La aprobación final del estatuto de auditoría interna corresponde al Consejo.

53

Normas sobre Atributos (III)

1000.A1 – La naturaleza de los servicios de aseguramiento proporcionados a la organización debe estar definida en el estatuto de auditoría interna. Si los servicios de aseguramiento fueran proporcionados a terceros ajenos a la organización, la naturaleza de esos servicios también deberá estar definida en el estatuto de auditoría interna. 1000.C1 – La naturaleza de los servicios de consultoría debe estar definida en el estatuto de auditoría interna 1010 - Reconocimiento de los elementos obligatorios en el estatuto de auditoría interna La naturaleza obligatoria de los Principios Fundamentales para la Práctica Profesional de la Auditoría Interna, el Código de Ética, las Normas y la definición de Auditoría Interna, deben estar reconocidos en el estatuto de Auditoría Interna. El Director de Auditoría Interna debería tratar la Misión de Auditoría Interna y las Guías Obligatorias del Marco Internacional para la Práctica Profesional de la Auditoría Interna, con la alta dirección y el Consejo.

54

Normas sobre Atributos (IV)

1100 - Independencia y objetividad La actividad de auditoría interna debe ser independiente, y los auditores internos deben ser objetivos en el cumplimiento de su trabajo. Interpretación: La independencia es la libertad de condicionamientos que amenazan la capacidad de la actividad de auditoría interna de llevar a cabo las responsabilidades de la actividad de auditoría interna de forma neutral. Con el fin de lograr el grado de independencia necesario para cumplir eficazmente las responsabilidades de la actividad de auditoría interna, el Director ejecutivo de auditoría debe tener acceso directo e irrestricto a la alta dirección y al Consejo. Esto puede lograrse mediante una relación de doble dependencia. Las amenazas a la independencia deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional. La objetividad es una actitud mental neutral que permite a los auditores internos desempeñar su trabajo con honesta confianza en el producto de su labor y sin comprometer su calidad. La objetividad requiere que los auditores internos no subordinen su juicio sobre asuntos de auditoría a otras personas. Las amenazas a la objetividad deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.

55

Normas sobre Atributos (V) 1110 Independencia dentro de la organización El director de auditoría interna debe responder ante un nivel jerárquico tal dentro de la organización que permita a la actividad de auditoría interna cumplir con sus responsabilidades. El director de auditoría interna debe ratificar ante el Consejo, al menos anualmente, la independencia que tiene la actividad de auditoría interna dentro de la organización. Interpretación: La Independencia dentro de la organización se alcanza de forma efectiva cuando el Director de Auditoría Interna depende funcionalmente del Consejo. Algunos ejemplos de dependencia funcional del Consejo implican que este:

    

Apruebe el estatuto de auditoría interna; Apruebe el plan de auditoría basado en riesgos; Reciba comunicaciones periódicas del Director ejecutivo de auditoría sobre el desarrollo del plan de auditoría interna y otros asuntos; Apruebe las decisiones referentes al nombramiento y cese del Director ejecutivo de auditoría; y Formule las preguntas adecuadas a la dirección y al Director ejecutivo de auditoría para determinar si existen alcances inadecuados o limitaciones de recursos.

1110.A1 La actividad de auditoría interna debe estar libre de injerencias al determinar el alcance de auditoría interna, al desempeñar su trabajo y al comunicar sus resultados. El Director de Auditoría Interna debe declarar esas injerencias al Consejo, si las hubiese, y tratar sus implicaciones. 56

Normas sobre Atributos (VI) 1111 Interacción directa con el Consejo El director de auditoría interna debe comunicarse e interactuar directamente con el Consejo de Administración. 1112 - El papel del Director de Auditoría Interna además de Auditoría Interna Cuando el Director de Auditoría Interna asuma o se espera que asuma un papel y/o responsabilidades aparte de Auditoría Interna, debe aplicar salvaguardas para limitar impedimentos a la independencia y objetividad. Interpretación: Puede darse la situación en que se solicite al Director de Auditoría Interna que asuma un papel y responsabilidades aparte de Auditoría Interna, tales como responsabilidades sobre actividades de cumplimiento o gestión de riesgos. Este papel y responsabiidad puede causar impedimentos, o parecer que los causa, a la independencia organizacional de la actividad de Auditoría Interna o a la objetividad individual del auditor interno. Las salvaguardas a tomar son actividades de supervisión, a menudo asumidas por el Consejo, destinadas a afrontar esos impedimentos potenciales, que pueden incluir actividades tales como evaluar periódicamente las líneas de dependencia y responsabilidades, y desarrollar procesos alternativos para obtener aseguramiento sobre las áreas de responsabilidad adicional a Auditoría Interna. 57

Normas sobre Atributos (VII)

1120 Objetividad individual Los auditores internos deben tener una actitud imparcial y neutral, y evitar cualquier conflicto de intereses. Interpretación: El conflicto de intereses es una situación en la cual un auditor interno, que ocupa un puesto de confianza, tiene un interés personal o profesional en competencia con otros intereses. Tales intereses en competencia pueden hacerle difícil el cumplimiento imparcial de sus tareas. Puede existir un conflicto de intereses aún cuando no se produzcan actos inadecuados o no éticos. Un conflicto de intereses puede crear una apariencia de deshonestidad que puede socavar la confianza en el auditor interno, la actividad de auditoría interna y la profesión. Un conflicto de intereses podría menoscabar la capacidad de un individuo de desempeñar sus tareas y responsabilidades con objetividad. 1130 Impedimentos a la independencia u objetividad Si la independencia u objetividad se viese comprometida de hecho o en apariencia, los detalles del impedimento deben darse a conocer a las partes correspondientes. La naturaleza de esta comunicación dependerá del impedimento.

58

Normas sobre Atributos (VIII) Interpretación: El impedimento o menoscabo a la independencia de la organización y a la objetividad individual puede incluir, entre otros, a los conflictos de intereses, limitaciones al alcance, restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos tales como el financiero. La determinación de las partes apropiadas a quienes deben exponerse los detalles de un impedimento a la independencia u objetividad depende de la expectativas sobre las responsabilidades de la actividad de auditoría interna y del director ejecutivo de auditoría ante la alta dirección y el Consejo según se describe en el estatuto de auditoría interna, así como de la naturaleza del impedimento. 1130.A1 Los auditores internos deben abstenerse de evaluar operaciones específicas de las cuales hayan sido previamente responsables. Se presume que hay impedimento de objetividad si un auditor interno proporciona servicios de aseguramiento para una actividad de la cual el mismo haya tenido responsabilidades en el año inmediato anterior. 1130.A2 Los trabajos de aseguramiento para funciones por las cuales el director ejecutivo de auditoría tiene responsabilidades deben ser supervisadas por alguien fuera de la actividad de auditoría interna. 1130.C1 Los auditores internos pueden proporcionar servicios de consultoría relacionados a operaciones de las cuales hayan sido previamente responsables. 1130.C2 Si los auditores internos tuvieran impedimentos potenciales a la independencia u objetividad relacionados con la proposición de servicios de consultoría, deberá declararse esta situación al cliente antes de aceptar el trabajo.

59

Normas sobre Atributos (IX) 1200 - Aptitud y cuidado profesional Los trabajos deben cumplirse con aptitud y cuidado profesional adecuados. 1210 – Aptitud Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades individuales. La actividad de auditoría interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades. Interpretación: La aptitud es un término general que se refiere a los conocimientos, habilidades y otras competencias requeridas a los auditores internos para llevar a cabo eficazmente sus responsabilidades profesionales. Incluye tendencias, temas emergentes y la consideración de las actividades actuales para posibilitar asesoramiento relevante y formulación de recomendaciones. Se alienta a los auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como auditor interno certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas. 1210.A1 - El director de Auditoría Interna debe obtener asesoramiento y asistencia competentes en caso de que los auditores internos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la totalidad o parte del trabajo. 1210.A2 Los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude. 60

Normas sobre Atributos (X) 1210.A3 Los auditores internos deben tener conocimientos suficientes de los riesgos y controles clave en tecnología de la información y de las técnicas de auditoría disponibles basadas en tecnología que le permitan desempeñar el trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la información. 1210.C1 El director de Auditoría Interna no debe aceptar un servicio de consultoría, o bien debe obtener asesoramiento y asistencia competentes, en caso de que los auditores internos carezcan de los conocimientos, las aptitudes y otras competencias necesarias para desempeñar la totalidad o parte del trabajo. 1220 Cuidado profesional Los auditores internos deben cumplir su trabajo con el cuidado y la aptitud que se esperan de un auditor interno razonablemente prudente y competente. El cuidado profesional adecuado no implica infalibilidad. 1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar: • •

• • •

El alcance necesario para alcanzar los objetivos del trabajo; La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento; La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control; La probabilidad de errores materiales, fraude o incumplimientos; y El costo de aseguramiento en relación con los beneficios potenciales.

61

Normas sobre Atributos (XI) 1220.A2 Al ejercer el debido cuidado profesional el auditor interno debe considerar la utilización de auditoría basada en tecnología y otras técnicas de análisis de datos. 1220.A3 - El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos, las operaciones o los recursos. Sin embargo, los procedimientos de aseguramiento por sí solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no garantizan que todos los riesgos materiales sean identificados. 1220.C1 El auditor interno debe ejercer el debido cuidado profesional durante un trabajo de consultoría, teniendo en cuenta lo siguiente:  



Las necesidades y expectativas de los clientes, incluyendo la naturaleza, oportunidad y comunicación de los resultados del trabajo; La complejidad relativa y la extensión de la tarea necesaria para cumplir los objetivos del trabajo; y El costo del trabajo de consultoría en relación con los beneficios potenciales.

1230 Desarrollo profesional continuo Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras competencias mediante la capacitación profesional continua.

62

Normas sobre Atributos (XII) 1300 Programa de aseguramiento y mejora de la calidad El director de auditoría interna debe desarrollar y mantener un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad de auditoría interna. Interpretación: Un programa de aseguramiento y mejora de la calidad está concebido para permitir una evaluación del cumplimiento de la definición de auditoría interna y las Normas por parte de la actividad de auditoría interna, y una evaluación de si los auditores internos aplican el Código de Ética. Este programa también evalúa la eficiencia y eficacia de la actividad de auditoría interna e identifica oportunidades de mejora. El Director de Auditoría Interna debería alentar la supervisión del Consejo en el programa de aseguramiento y mejora de la calidad.

1310 Requisitos del programa de aseguramiento y mejora de la calidad El programa de aseguramiento y mejora de la calidad debe incluir tanto evaluaciones internas como externas. 1311 Evaluaciones internas Las evaluaciones internas deben incluir: • El seguimiento continuo del desempeño de la actividad de auditoría interna, y • Revisiones periódicas mediante autoevaluación o por parte de otras personas dentro de la organización con conocimientos suficientes de las prácticas de auditoría interna.

63

Normas sobre Atributos (XIII)

Interpretación: El seguimiento continuo forma parte integral de la supervisión, revisión y medición del día a día de la actividad de auditoría interna. Está incorporado en las prácticas y políticas rutinarias usadas para administrar la actividad de Auditoría Interna, y utiliza procesos, herramientas e información considerados necesarios para evaluar el cumplimiento del Código de Ética y las Normas. Las evaluaciones periódicas se realizan para evaluar el cumplimiento del Código de Ética y las Normas. Los conocimientos suficientes de las prácticas de auditoría interna requieren un entendimiento de todos los elementos del Marco Internacional para la Práctica Profesional. 1312 Evaluaciones externas Deben realizarse evaluaciones externas al menos una vez cada cinco años por un revisor o equipo de revisión cualificado e independiente, proveniente de fuera de la organización. El director de auditoría interna debe tratar con el Consejo: • •

La forma y frecuencia de las evaluaciones externas, y Las cualificaciones e independencia del revisor o equipo de revisión externo, incluyendo cualquier conflicto de intereses potencial.

64

Normas sobre Atributos (XIV) Interpretación: Las evaluaciones externas pueden realizarse como una evaluación externa completa o una autoevaluación con validación externa independiente. El evaluador externo debe pronunciarse sobre el cumplimiento con el Código de Ética y las Normas; la evaluación externa puede incluir también comentarios operativos o estratégicos. Un evaluador o equipo de evaluación cualificado demuestra su competencia en dos áreas: la práctica profesional de la Auditoría Interna y el proceso de evaluación externa. La competencia puede demostrarse a través de un equilibrio de experiencia y conocimiento teórico. La experiencia obtenida en organizaciones de tamaño similar, complejidad, sector o industria y de similar contenido técnico es más valiosa que la experiencia en otras áreas menos relevantes. En el caso de un equipo de evaluación, no es necesario que todos los miembros cuenten con todas las competencias; es el equipo en su conjunto el que está cualificado. El Director de Auditoría Interna utilizará su juicio profesional para valorar si un evaluador o equipo de demuestra la competencia suficiente para considerarse cualificado. Un evaluador independiente o equipo de evaluación independiente es aquél que no tiene conflictos de intereses reales o percibidos, y no forma parte ni está bajo el control de la organización a la cual pertenece la actividad de Auditoría Interna. El Director de Auditoría Interna debe incentivar la participación del Consejo en el programa de aseguramiento y mejora de la calidad para reducir los conflictos de interés potenciales o percibidos.

65

Normas sobre Atributos (XV) 1320 Informe sobre el programa de aseguramiento y mejora de la calidad El director de auditoría interna debe comunicar los resultados del programa de aseguramiento y mejora de la calidad a la alta dirección y al Consejo. La comunicación debería incluir:  El alcance y frecuencia de las evaluaciones internas y externas.  La cualificación e independencia del evaluador(es) o equipo de evaluación, incluyendo potenciales conflictos de interés.  Las conclusiones de los evaluadores.  Planes de acciones correctivas. Interpretación: La forma, el contenido y la frecuencia de la comunicación de resultados del programa de aseguramiento y mejora de la calidad se establecen mediante comentarios con la alta dirección y el Consejo, y tienen en cuenta las responsabilidades de la actividad de auditoría interna y del director ejecutivo de auditoría según lo indica el estatuto de auditoría interna. Para demostrar el cumplimiento de la definición de auditoría interna, el Código de Ética y las Normas. Los resultados de las evaluaciones periódicas internas y externas se comunican al finalizar tales evaluaciones, y los resultados de la vigilancia continua se comunican al menos anualmente. Los resultados incluyen la evaluación del revisor o equipo de revisión con respecto al grado de cumplimiento.

66

Normas sobre Atributos (XVI) 1321 Utilización de “Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna” Manifestar que la actividad de auditoría interna cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna es apropiado sólo si los resultados del programa de aseguramiento y mejora de la calidad apoyan esa declaración. Interpretación La actividad de auditoría interna cumple con el Código de Ética y las Normas cuando alcanza los resultados descritos en ellos. Los resultados del programa de aseguramiento y mejora de la calidad incluyen los resultados tanto de las evaluaciones internas como de las externas. Toda actividad de auditoría interna tendrá resultados de evaluaciones internas. Aquellas actividades cuya existencia exceda los cinco años tendrán también resultados de evaluaciones externas. 1322 Declaración de incumplimiento

Cuando el incumplimiento de la definición de auditoría interna, el Código de Ética o las Normas afecta el alcance u operación general de la actividad de auditoría interna, el director de auditoría interna debe declarar el incumplimiento y su impacto ante la alta dirección y el Consejo.

67

Puesta en común de los temas tratados – ANEXO 2

68

C – Normas Internacionales 1- Cumpliendo con las Normas Internacionales de “DESEMPEÑO” Normas sobre DESEMPEÑO: Describen la naturaleza de los servicios de Auditoría Interna y proporcionan criterios de calidad con los cuales puede evaluarse el desempeño de estos servicios. (las series 2000) 2000 – Administración de la Actividad de Auditoría Interna 2100 – Naturaleza del Trabajo 2200 – Planificación del Trabajo 2300 – Desempeño del Trabajo 2400 – Comunicación de Resultados 2500 – Seguimiento del Progreso 2600 – Decisión de aceptación de los Riesgos por la Dirección

69

Normas sobre Desempeño (II) 2000 Administración de la actividad de auditoría interna El director de auditoría interna debe gestionar eficazmente la actividad de auditoría interna para asegurar que añada valor a la organización. Interpretación: La actividad de Auditoría Interna está gestionada de forma eficaz cuando:  Cumple con el propósito y las responsabilidades incluidos en el estatuto de Auditoría Interna. Cumple con las Normas.  Cada uno de sus miembros cumplen con el Código de Ética y las Normas.  Tiene en cuenta las tendencias y temas emergentes que podrían tener impacto en la organización. La actividad de Auditoría Interna añade valor a la organización y a sus partes interesadas cuando tiene en cuenta estrategias, objetivos y riesgos; se esfuerza para ofrecer mejoras en procesos de gobierno, gestión de riesgos y control de procesos; y proporciona aseguramiento relevante de forma objetiva. 2010 Planificación El director de auditoría interna debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. Interpretación: Para desarrollar un plan basado en riesgos, el Director de Auditoría Interna primero consulta con la alta dirección y el Consejo y para entender las estrategias de la organización, los objetivos clave del negocio, los riesgos asociados y los procesos de gestión de riesgos. El Director de Auditoría Interna debe revisar y ajustar el plan, cuando sea necesario, como respuesta a los cambios en la organización, los riesgos, las operaciones, los programas, los sistemas y los controles.

70

Normas sobre el Desempeño (III) 2010.A1 - El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos documentada, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo. 2010-A2 – El Director de auditoría interna debe identificar y considerar las expectativas de la alta dirección, el Consejo y otras partes interesadas de cara a emitir opiniones de auditoría interna y otras conclusiones. 2010.C1 El director de auditoría interna debería considerar la aceptación de trabajos de consultoría que le sean propuestos, basándose en el potencial del trabajo para mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la organización. Los trabajos aceptados deben ser incluidos en el plan.

2020 Comunicación y aprobación El director de auditoría interna debe comunicar los planes y requerimientos de recursos de la actividad de auditoría interna, incluyendo los cambios provisionales significativos, a la alta dirección y al Consejo para la adecuada revisión y aprobación. El director de auditoría interna también debe comunicar el impacto de cualquier limitación de recursos. 2030 Administración de recursos El director de auditoría interna debe asegurar que los recursos de auditoría interna sean apropiados, suficientes y eficazmente asignados para cumplir con el plan aprobado.

71

Normas sobre Desempeño (IV) Interpretación: “Apropiados”, se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar a cabo el plan. “Suficientes”, se refiere a la cantidad de recursos necesarios para cumplir con el plan. Los recursos están eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan aprobado. 2040 Políticas y procedimientos El director de auditoría interna debe establecer políticas y procedimientos para guiar la actividad de auditoría interna Interpretación: La forma y el contenido de las políticas y procedimientos deben ser apropiados al tamaño y estructura de la actividad de auditoría interna y de la complejidad de su trabajo. 2050 Coordinación y confianza El director de auditoría interna debería compartir información, coordinar actividades y considerar la posibilidad de confiar en el trabajo de otros proveedores internos y externos de aseguramiento y consultoría para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos. Interpretación: En la coordinación de actividades, el Director de Auditoría Interna puede confiar en el trabajo de otros proveedores de servicios de aseguramiento y consultoría. Se debe establecer un proceso consistente para esta confianza y el Director de Auditoría Interna debería considerar las competencias, objetividad y cuidado profesional de los proveedores de servicios de aseguramiento y consultoría. El Director de Auditoría Interna debería entender también el alcance, objetivos y resultados del trabajo realizado por otros proveedores de aseguramiento y consultoría. Cuando se deposita la confianza en el trabajo de otros, el Director de Auditoría Interna es responsable de asegurarse de que existe un soporte adecuado para las conclusiones y opiniones expresadas por la actividad de Auditoría Interna.

72

Normas sobre el Desempeño (V) 2060 - Informe a la alta dirección y al Consejo El Director de Auditoría Interna debe informar periódicamente a la alta dirección y al Consejo sobre la actividad de Auditoría Interna en lo referido al propósito, autoridad, responsabilidad y desempeño de su plan, y sobre el cumplimiento del Código de Ética y las Normas. El informe también debe incluir cuestiones de control y riesgos significativos, incluyendo riesgos de fraude, cuestiones de gobierno y otros asuntos que requieren la atención de la alta dirección y/o el Consejo. Interpretación: La frecuencia y el contenido del informe están determinados por el Director de Auditoría Interna en colaboración con la alta dirección y el Consejo. La frecuencia y el contenido del informe dependen de la importancia de la información a ser comunicada y la urgencia de las acciones a seguir por parte de la alta dirección y/o el Consejo. Los informes del Director de Auditoría Interna dirigidos a la alta dirección y el Consejo deben incluir información sobre:       

El estatuto de Auditoría Interna. La independencia de la actividad de Auditoría Interna. El plan de auditoría y su progreso. Necesidad de recursos. Resultados de las actividades de auditoría. Nivel de cumplimiento con el Código de Ética y las Normas y planes de acción para afrontar incumplimientos significativos. La respuesta de la dirección que, a juicio del Director de Auditoría Interna, podría resultar inaceptable para la organización.

Estos y otros requerimientos de comunicación para el Director de Auditoría Interna están referenciados en las Normas.

73

Normas sobre Desempeño (VI) 2070 – Proveedor de servicios externos y responsabilidad de la organización sobre auditoría interna. Cuando un proveedor de servicios externos presta servicios de auditoría interna, dicho proveedor debe poner en conocimiento de la organización que esta última retiene la responsabilidad de mantener una función de auditoría interna efectiva Interpretación Esta responsabilidad se demuestra a través del programa de aseguramiento y mejora de la calidad que evalúa el cumplimiento con el Código de Ética y las Normas.

74

Normas de Desempeño (VII) 2100 Naturaleza del trabajo La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gobierno, gestión de riesgos y control, utilizando un enfoque sistemático, disciplinado y basado en riesgos. La credibilidad y el valor añadido de Auditoría Interna mejoran cuando los auditores internos son proactivos y sus evaluaciones ofrecen nuevas perspectivas y consideran impactos futuros. 2110 Gobierno La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno de la organización para:

     

Tomar decisiones estratégicas y operativas; Supervisar el control y la gestión de riesgos; Promover la ética y los valores apropiados dentro de la organización; Asegurar la gestión y responsabilidad eficaces en el desempeño de la organización; Comunicar la información de riesgo y control a las áreas adecuadas de la organización; Coordinar las actividades y la información de comunicación entre el Consejo de Administración, los auditores internos y externos, otros proveedores de aseguramiento y la dirección.

75

Normas de Desempeño (VIII) 2110.A1 La actividad de auditoría interna debe evaluar el diseño, implantación y eficacia de los objetivos, programas y actividades de la organización relacionados con la ética. 2110-A2 – La actividad de auditoría interna debe. evaluar si el gobierno de tecnología de la información de la organización, sostiene y apoya las estrategias y objetivos de la organización. 2120 – Gestión de riesgos La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos. Interpretación: Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la evaluación que efectúa el auditor interno de que:  Los objetivos de la organización apoyan a la misión de la organización y están alineados con la misma,  Los riesgos significativos están identificados y evaluados,  Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con la aceptación de riesgos por parte de la organización, y  Se capta información sobre riesgos relevantes, permitiendo al personal, la dirección y el Consejo cumplir con sus responsabilidades, y se comunica dicha información oportunamente a través de la organización.

76

Normas de Desempeño (IX) La actividad de auditoría interna reúne la información necesaria para soportar esta evaluación mediante múltiples trabajos de auditoría. El resultado de estos trabajos, observado de forma conjunta, proporciona un entendimiento de los procesos de gestión de riesgos de la organización y su eficacia. Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas, evaluaciones por separado, o ambas. 2120-A1 – La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente

    

Logro de los objetivos estratégicos de la organización. Fiabilidad de integridad de la información financiera y operativa, Eficacia y eficiencia de las operaciones y programas, Protección de activos, y Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.

2120.A2 La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y cómo la organización gestiona el riesgo de fraude. 2120.C1 Durante los trabajos de consultoría, los auditores internos deben considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos. 2120.C2 Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultoría en su evaluación de los procesos de gestión de riesgos de la organizacion. 2120.C3 - Cuando ayudan a la dirección a establecer o mejorar los procesos de gestión de riesgos, los auditores internos deben abstenerse de asumir cualquier responsabilidad propia de la dirección, como es la gestión de riesgos.

77

Normas de Desempeño (X) 2130 Control La actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora continua. 2130-A1 – La actividad de auditoría interna debe evaluar la adecuación y eficacia de los controles en respuesta a los riesgos del gobierno, operaciones y sistemas de información de la organización, respecto de lo siguiente:

    

Logro de los objetivos estratégicos de la organización. Fiabilidad e integridad de la información financiera y operativa, Eficacia y eficiencia de las operaciones y programas, Protección de activos, y Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.

2130.C1 – Los auditores internos deben incorporar los conocimientos de los controles que han obtenido de los trabajos de consultoría en su evaluación de los procesos de control de la organización.

78

Normas de Desempeño (XI) 2200 Planificación del trabajo

Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance objetivos, tiempo y asignación de recursos. El Plan debe considerar las estrategias, los objetivos y riesgos relevantes para el trabajo. 2201 Consideraciones sobre planificación Al planificar el trabajo, los auditores internos deben considerar:

   

Las estrategias y objetivos de la actividad que está siendo revisada y los medios con los cuales la actividad controla su desempeño; Los riesgos significativos de la actividad, sus objetivos, recursos y operaciones, y los medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable; La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control de la actividad comparados con un enfoque o modelo relevante. Las oportunidades de introducir mejoras significativas en los procesos de gobierno, gestión de riesgos y control de la actividad.

2201.A1 Cuando se planifica un trabajo para partes ajenas a la organización, los auditores internos deben establecer un acuerdo escrito con ellas respecto de los objetivos, el alcance, las responsabilidades correspondientes y otras expectativas, incluyendo las restricciones a la distribución de los resultados del trabajo y el acceso a los registros del mismo. 2201.C1 Los auditores internos deben establecer un acuerdo con los clientes de trabajos de consultoría, referido a objetivos, alcance, responsabilidades respectivas y demás expectativas de los clientes. En el caso de trabajos significativos, este acuerdo debe estar documentado.

79

Normas de Desempeño (XII) 2210 Objetivos del trabajo: Deben establecerse objetivos para cada trabajo 2210.A1 Los auditores internos deben realizar una evaluación preliminar de los riesgos relevantes para la actividad bajo revisión. Los objetivos del trabajo deben reflejar los resultados de esta evaluación. 2210.A2 - El auditor interno debe considerar la probabilidad de errores, fraude, incumplimientos y otras exposiciones significativas al elaborar los objetivos del trabajo. 2210.A3 Se requieren criterios adecuados para evaluar el gobierno, la gestión riesgos y controles. Los auditores internos deben cerciorarse de que la dirección y/o el Consejo

han establecido criterios adecuados para

determinar si los objetivos y metas han sido cumplidos. Si fuera apropiado, los auditores internos deben utilizar dichos criterios en su evaluación. Si no fuera apropiado, los auditores internos deben identificar criterios de evaluación adecuados junto con la dirección y/o Consejo. Interpretación Los tipos de criterios pueden incluir:  Internos (Por ejemplo, políticas y procedimientos de la organización).  Externos (Por ejemplo, leyes y regulaciones impuestas por los órganos estatutarios).

Prácticas líderes (Por ejemplo, guía profesional o sectorial). 2210.C1 Los objetivos de los trabajos de consultoría deben considerar los procesos de gobierno, riesgo y control, hasta el grado de extensión acordado con el cliente. 2210.C2 Los objetivos de los trabajos de consultoría deben ser compatibles con los valores, estrategias y objetivos de la organización.

80

Normas de Desempeño (XIII) 2220 Alcance del trabajo El alcance establecido debe ser suficiente para satisfacer los objetivos del trabajo. 2220.A1 - El alcance del trabajo debe tener en cuenta los sistemas, registros, personal y bienes relevantes, incluso aquellos bajo el control de terceros. 2220.A2 Si durante la realización de un trabajo de aseguramiento surgen oportunidades de realizar trabajos de consultoría significativos, debería lograrse un acuerdo escrito específico en cuanto a los objetivos, alcance, responsabilidades respectivas y otras expectativas. Los resultados del trabajo de consultoría deben ser comunicados de acuerdo con las normas de consultoría. 2220.C1 Al desempeñar trabajos de consultoría, los auditores internos deben asegurar que el alcance del trabajo sea suficiente para cumplir los objetivos acordados. Si los auditores internos encontraran restricciones al alcance durante el trabajo, estas restricciones deberán tratarse con el cliente para determinar si se continúa con el trabajo. 2220.C2 – Durante los trabajos de consultoría, los auditores internos deben considerar los controles consistentes con los objetivos del trabajo y estar alertas a los asuntos de control significativos.

81

Normas de Desempeño (XIV) 2230 Asignación de recursos para el trabajo Los auditores internos deben determinar los recursos adecuados y suficientes para lograr los objetivos del trabajo, basándose en una evaluación de la naturaleza y complejidad de cada trabajo, las restricciones de tiempo y los recursos disponibles. Interpretación:

“Adecuados” se refiere al equilibrio entre conocimiento, aptitud y otras competencias necesarias para realizar el trabajo. “Suficientes” se refiere a la cantidad de recursos que se necesitan para realizar el trabajo con el cuidado profesional adecuado. 2240 Programa de trabajo Los auditores internos deben preparar y documentar programas que cumplan con los objetivos del trabajo. 2240.A1 - Los programas de trabajo deben incluir los procedimientos para identificar, analizar, evaluar y documentar información durante la tarea. El programa de trabajo debe ser aprobado con anterioridad a su implantación y cualquier ajuste ha de ser aprobado oportunamente. 2240.C1 Los programas de trabajo de los servicios de consultoría pueden variar en forma y contenido dependiendo de la naturaleza del trabajo.

82

Normas de Desempeño (XV) 2300 Desempeño del trabajo Los auditores internos deben identificar, analizar, evaluar y documentar suficiente información de manera tal que les permita cumplir con los objetivos del trabajo. 2310 Identificación de la información Los auditores internos deben identificar información suficiente, fiable, relevante y útil de manera tal que les permita alcanzar los objetivos del trabajo. Interpretación: La información suficiente está basada en hechos, es adecuada y convincente, de modo que una persona prudente e informada sacaría las mismas conclusiones que el auditor. La información fiable es la mejor información que se puede obtener mediante el uso de técnicas de trabajo apropiadas. La información relevante apoya las observaciones y recomendaciones del trabajo y es compatible con sus objetivos. La información útil ayuda a la organización a cumplir con sus metas. 2320 Análisis y evaluación Los auditores internos deben basar sus conclusiones y los resultados del trabajo en análisis y evaluaciones adecuados.

83

Normas de Desempeño (XVI)

2330 Documentación de la información Los auditores internos deben documentar información suficiente, fiable, relevante y útil que les permita respaldar los resultados del trabajo y las conclusiones. 2330.A1 - El director de auditoría interna debe controlar el acceso a los registros del trabajo. El director de auditoría interna debe obtener aprobación de la alta dirección o de asesores legales antes de dar a conocer tales registros a terceros, según corresponda. 2330.A2 - El director de auditoría interna debe establecer requisitos de retención para los registros del trabajo, sea cual fuere el medio en el cual se almacena cada registro. Estos requisitos de retención deben ser consistentes con las guías de la organización y cualquier regulación u otros requisitos pertinentes. 2330.C1 El director de auditoría interna debe establecer políticas sobre la custodia y retención de los registros de trabajos de consultoría, y sobre la posibilidad de darlos a conocer a terceras partes, internas o externas. Estas políticas deben ser consistentes con las guías de la organización y cualquier regulación u otros requisitos pertinentes.

84

Normas de Desempeño (XVII) 2340 Supervisión del trabajo Los trabajos deben ser adecuadamente supervisados para asegurar el logro de sus objetivos, la calidad del trabajo y el desarrollo del personal. Interpretación: El alcance de la supervisión requerida dependerá de la pericia y experiencia de los auditores internos y de la complejidad del trabajo. El director ejecutivo de auditoría tiene la responsabilidad general de la supervisión del trabajo, ya sea que haya sido desempeñado por la actividad de auditoría interna o para ella, pero puede designar a miembros adecuadamente experimentados de la actividad de auditoría interna para llevar a cabo esta tarea. Se debe documentar y conservar evidencia adecuada de la supervisión.

85

Normas de Desempeño (XVIII) 2400 – Comunicación de resultados Los auditores internos deben comunicar los resultados de los trabajos. 2410 Criterios para la comunicación Las comunicaciones deben incluir los objetivos, alcance y resultados del trabajo. 2410-A1 - La comunicación final de los resultados del trabajo debe incluir las conclusiones aplicables así́ como también las recomendaciones aplicables y/o los planes de acción. Se debe proporcionar la opinión del auditor interno cuando resulte apropiado. Una opinión, debe considerar las expectativas del Consejo, la alta dirección y otras partes interesadas y debe estar soportada por información suficiente, fiable, relevante y útil. Interpretación: Las opiniones en los trabajos de auditoría pueden ser clasificaciones (ratings), conclusiones u otras descripciones de los resultados. Un trabajo de auditoría puede estar relacionado con controles sobre un proceso específico, riesgo o unidad de negocio. La formulación de opiniones al respecto requiere de la consideración de los resultados del trabajo y su importancia.

86

Normas de Desempeño (XIX) 2410.A2 Se alienta a los auditores internos a reconocer en las comunicaciones del trabajo cuando se observa un desempeño satisfactorio. 2410.A3 Cuando se envíen resultados de un trabajo a partes ajenas a la organización, comunicación debe incluir las limitaciones a la distribución y uso de los resultados.

la

2410.C1 Las comunicaciones sobre el progreso y los resultados de los trabajos de consultoría variarán en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del cliente. 2420 Calidad de la comunicación Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas. Interpretación: Las comunicaciones precisas están libres de errores y distorsiones y son fieles a los hechos que describen. Las comunicaciones objetivas son justas, imparciales y sin desvíos y son el resultado de una evaluación justa y equilibrada de todos los hechos y circunstancias relevantes. Las comunicaciones claras son fácilmente comprensibles y lógicas, evitando el lenguaje técnico innecesario y proporcionando toda la información significativa y relevante.

87

Normas de Desempeño (XX)   



Las comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles superfluos, redundancia y uso excesivo de palabras. Las comunicaciones constructivas son útiles para el cliente del trabajo y la organización, y conducen a mejoras que son necesarias. A las comunicaciones completas no les falta nada que sea esencial para los receptores principales e incluyen toda la información y observaciones significativas y relevantes para apoyar a las recomendaciones y conclusiones. Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes, dependiendo de la significatividad del tema, permitiendo a la dirección tomar la acción correctiva apropiada.

2421 - Errores y omisiones Si una comunicación final contiene un error u omisión significativos, el director ejecutivo de auditoría debe comunicar la información corregida a todas las partes que recibieron la comunicación original. 2430 - Uso de “Realizado de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna” Manifestar que los trabajos son "realizados de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna" es apropiado solo si los resultados del programa de aseguramiento y mejora de la calidad respaldan dicha afirmación.

88

Normas de Desempeño (XXI) 2431 Declaración de incumplimiento de las Normas Cuando el incumplimiento con el Código de Ética o las Normas afecta a un trabajo específico, la comunicación de los resultados de ese trabajo debe exponer:



 

El principio o regla de conducta del Código de Ética, o las Normas con las cuales no se cumplió totalmente Las razones del incumplimiento, y El impacto del incumplimiento sobre ese trabajo y los resultados comunicados del mismo.

2440 Difusión de resultados El director de auditoría interna debe difundir los resultados a las partes apropiadas. Interpretación: El director de auditoría interna debe revisar y aprobar la comunicación final del trabajo antes de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación. El Director de Auditoría Interna retiene la responsabilidad última, aunque delegue estas tareas.

89

Normas de Desempeño (XXII) 2440.A1 - El director ejecutivo de auditoría es responsable de comunicar los resultados finales a las partes que puedan asegurar que se dé a los resultados la debida consideración. 2440.A2 A menos de que exista obligación legal, estatutaria o de regulaciones en contrario, antes de enviar los resultados a partes ajenas a la organización, el director ejecutivo de auditoría debe: • Evaluar el riesgo potencial para la organización • Consultar con la alta dirección y/o el consejero legal, según corresponda • Controlar la difusión, restringiendo la utilización de los resultados 2440.C1 El director de auditoría interna es responsable de comunicar los resultados finales de los trabajos de consultoría a los clientes. 2440.C2 Durante los trabajos de consultoría pueden identificarse cuestiones referidas a gobierno, gestión de riesgos y control. En el caso de que estas cuestiones sean significativas para la organización, deben ser comunicadas a la alta dirección y al Consejo.

90

Normas de Desempeño (XXIII) 2450 – Opiniones globales Cuando se emite una opinión global, debe considerar las expectativas de la alta dirección, el Consejo, y otras partes interesadas y debe ser soportada por información suficiente, fiable, relevante y útil. Interpretación: La comunicación incluirá: — El alcance, incluyendo el periodo de tiempo al que se refiere la opinión; — Las limitaciones al alcance; — La consideración de todos los proyectos relacionados incluyendo cuando se confíe en otros proveedores de aseguramiento; — Un resumen de la información que respalda la opinión — El riesgo, marco de control u otros criterios utilizados como base para la opinión global; y — La opinión global, juicio o conclusión alcanzada Cuando existe una opinión global que no es favorable, deben exponerse las causas de esta opinión.

91

Normas de Desempeño (XXIV) 2500 Seguimiento del progreso El director de auditoría interna debe establecer y mantener un sistema para vigilar la disposición de los resultados comunicados a la dirección. 2500.A1 - El director de auditoría interna debe establecer un proceso de seguimiento para vigilar y asegurar que las acciones de la dirección hayan sido implantadas eficazmente o que la alta dirección haya aceptado el riesgo de no tomar medidas. 2500.C1 La actividad de auditoría interna debe vigilar la disposición de los resultados de los trabajos de consultoría, hasta el grado de alcance acordado con el cliente. 2600 Comunicación de la aceptación de los riesgos Cuando el director de auditoría interna concluya que la alta dirección ha aceptado un nivel de riesgo que pueda ser inaceptable para la organización, debe tratar este asunto con la alta dirección. Si el director de auditoría interna determina que el asunto no ha sido resuelto debe comunicar esta situación al Consejo. Interpretación: La identificación del riesgo aceptado por la dirección puede observarse a través de un trabajo de aseguramiento o consultoría, a través del seguimiento del progreso sobre las acciones tomadas por la dirección como resultado de anteriores trabajos, o a través de otros medios. El Director de Auditoría Interna no tiene la responsabilidad de resolver el riesgo.

92

Normas Internacionales: Glosario (Su definición incluida en el MIPP se estudiará en cada apartado específico del curso)

                  

Aceptación del riesgo Actividad de auditoría interna Añadir / Agregar valor Código de Ética Conflicto de intereses Consejo (Consejo de Administración) Control Control adecuado Controles de tecnología de la información Cumplimiento Debe Debería Director de auditoría interna Entorno / Ambiente de control Estatuto Fraude Gestión de riesgos Gobierno Gobierno de tecnología de la información

                 

Independencia Impedimentos o menoscabos Marco Internacional para la Práctica Profesional Norma Objetividad Objetivos del trabajo Opiniones de los trabajos Opinión General Principios Fundamentales para la Práctica Profesional de la Auditoría Interna Procesos de control Programa de trabajo Proveedor externo de servicios Riesgo Servicios de aseguramiento Servicios de consultoría Significatividad o materialidad Técnicas de auditoría basadas en tecnología. Trabajo

93

Glosario: Definición de algunos términos

Añadir / Agregar valor – La actividad de auditoría interna añade valor a la organización (y sus partes interesadas) cuando proporciona aseguramiento objetivo y relevante, y contribuye a la eficacia de los procesos de gobierno, gestión de riesgos y control. Director ejecutivo de auditoría – El director de auditoría interna describe a la persona en un puesto de alto directivo (senior) responsable de la gestión efectiva de la actividad de auditoría interna de acuerdo con el estatuto de auditoría interna y la definición de auditoría interna, el código de ética y las Normas. El Director ejecutivo de auditoría u otros a su cargo tendrán las certificaciones y cualificación apropiadas. El nombre del puesto específico del Director ejecutivo de auditoría puede variar según la organización.

94

Glosario: Definición de algunos términos

Gobierno de tecnología de la información – Consiste en el liderazgo, las estructuras de la organización y los procesos que aseguran que la tecnología de la información de la empresa y soporta las estrategias y objetivos de la organización. Independencia – Libertad de condicionamientos que amenazan la capacidad de la actividad de auditoría interna para llevar a cabo sus responsabilidades de forma imparcial. Objetividad –

Es una actitud mental independiente, que permite que los auditores internos lleven a cabo sus trabajos con confianza en el producto de su labor y sin comprometer su calidad. La objetividad requiere que los auditores internos no subordinen su juicio al de otros sobre temas de auditoría.

95

Glosario: Definición de algunos términos Opiniones de los trabajos

La valoración (rating), conclusión, y/u otra descripción de los resultados de un trabajo de auditoría interna individual, relacionados con los objetivos y el alcance del trabajo. Opinión General La valoración (rating), conclusión, y/u otra descripción de los resultados proporcionados por el Director de Auditoría Interna que aborda, en términos generales el gobierno, la gestión de riesgos, y/o los procesos de control de la organización. Una opinión general es el juicio profesional del Director de Auditoría Interna basado en los resultados de un número de trabajos individuales y otras actividades para un intervalo especifico de tiempo. Principios Fundamentales para la Práctica Profesional de la Auditoría Interna Los Principios Fundamentales para la Práctica Profesional de la Auditoría Interna son el fundamento del Marco Internacional de la Práctica Profesional y respaldan la eficacia de Auditoría Interna.

96

C – Normas Internacionales/ Estatuto y Mejores Prácticas Guía de implementación 1000- El Estatuto de Auditoría, apartados: · Introducción: explica el papel general y el profesionalismo de la actividad de Auditoría Interna, citando los elementos relevantes del MIPP. · Autoridad: especifica el acceso total de la actividad de Auditoría Interna a registros, propiedad física y personal necesario para la ejecución de sus tareas y declara su responsabilidad con respecto a la protección de los activos y la confidencialidad. · Organización y estructura de comunicación: documenta la estructura de comunicación del DAI. El DAI responde funcionalmente ante el Consejo y administrativamente ante un nivel jerárquico tal dentro de la organización que permita a la actividad de Auditoría Interna cumplir con sus responsabilidades. Este apartado puede profundizar en las responsabilidades funcionales específicas, tales como la aprobación del estatuto y el plan de auditoría, y la contratación, remuneración y cese del DAI; así como en las responsabilidades administrativas, tales como el apoyo al flujo de información dentro de la organización o la aprobación de la administración y los presupuestos de recursos humanos. · Independencia y objetividad: describe la importancia de la independencia y la objetividad de la Auditoría Interna y la forma en la que se garantiza su mantenimiento (por ejemplo: prohibir que el auditor interno haya tenido responsabilidad operacional o autoridad sobre las áreas auditadas). · Responsabilidades: establece las principales áreas de responsabilidad continua, como la definición del alcance de las evaluaciones, la redacción del plan de auditoría y su presentación ante el Consejo para su aprobación, la realización de las evaluaciones, la comunicación de los resultados, la entrega de un informe de auditoría por escrito y la supervisión de las medidas correctivas tomadas por la dirección. · Aseguramiento y mejora de la calidad: describe las expectativas sobre el mantenimiento, la evaluación y la comunicación de los resultados de un programa de calidad que cubra todos los aspectos de la actividad de Auditoría Interna. · Firmas: documenta el acuerdo entre el DAI, el representante designado del Consejo y la persona ante la que responde el DAI, con la fecha, el nombre y el cargo de los signatarios.

97

Procesos Empresariales de Gobierno Corporativo, Riesgos y Control

98

Foco de la función de Auditoría Interna

Tres procesos básicos:

1º) Gobierno Corporativo 2º) Gestión de riesgos 3º) Controles

Pero, ¿a qué nos estamos refiriendo? 99

1er proceso: Gobierno Corporativo Definición La Organización para la Cooperación y el Desarrollo Económico (OCDE) emite las siguientes definiciones en el documento de “Principles of Corporate Governance”:

•

• •

El Gobierno Corporativo es un elemento clave en la mejora del crecimiento y la eficiencia de la economía, así como en el incremento de la confianza de los inversores.

El Gobierno Corporativo implica un sistema de relaciones entre la Dirección, el Consejo, los Accionistas y demás personas con intereses en la sociedad. El Gobierno Corporativo también proporciona la estructura a través de la cual se fijan los objetivos, y los medios para lograr que estos objetivos se cumplan y de supervisar su funcionamiento” (OCDE).

100

¿Qué regulan estos protocolos?  Derechos de los accionistas: suprimiendo blindajes estatutarios  Competencias indelegables del Directorio, entre ellas: - Fijación de la Política de control y gestión de riesgos - Seguimiento de los sistemas de información y control  Tamaño del Consejo: mínimo de 5 y máximo de 15  Estructura funcional: mayoría de consejeros externos, 1/3 del total independientes  Definición de Consejeros independientes: (< 12 años), dominicales y ejecutivos  Comisiones delegadas del Directorio: Comité de Auditoría, Nombramientos y Retribuciones  Funciones del Comité de Auditoría y de Auditoría Interna

101

1er proceso: Gobierno Corporativo Participantes Cuatro son los grupos principales que participan en él:



El grupo de Vigilancia que lo conforma el Consejo y sus Comités.



El grupo de Dirección (Gerencia o Dirección Ejecutiva).



El grupo de Desempeño (personal operativo y de apoyo).



El grupo de Aseguramiento, en el que están las Auditorías.

Auditoría Interna contribuye al buen Gobierno Corporativo a través de la evaluación y mejora de los procesos de: Establecimiento de valores y metas, y la vigilancia del cumplimiento de los objetivos.

102

1er proceso: Junta Directiva/Directorio/Consejo    

Participar en la planeación estratégica de la entidad, aprobarla y efectuar su seguimiento, para determinar las necesidades de redireccionamiento. Definir y aprobar las estrategias y políticas generales relacionadas con el SCI, con fundamento en las recomendaciones del Comité de Auditoría. Definir claras líneas de responsabilidad y rendición de cuentas a través de la organización. Analizar el proceso de gestión de riesgo existente y adoptar las medidas necesarias para fortalecerlo en aquellos aspectos que así lo requieran. Aprobar sus recursos.

En resumen: Definir los procesos de Control Interno y Administración de Riesgos y propiciar un ambiente interno adecuado aprobando los recursos necesarios para ello.

103

1er proceso: Comité de Auditoría



 

  

Proponer para su aprobación la estructura, procedimientos y metodología necesarias del Sistema de Control Interno (SCI).

Proponer las responsabilidades, atribuciones y límites de los distintos cargos y áreas respecto del SCI, incluyendo la gestión de riesgos. Vigilar el adecuado funcionamiento del sistema de control interno.

Informar al Directorio sobre la existencia de limitaciones en la fiabilidad de la información. Supervisar las funciones y actividades de la auditoría interna y externa, valorando su independencia. Efectuar seguimiento sobre los niveles de gestión de riesgos

.

104

1er proceso: Alta Dirección Responsable de: (i) dirigir la implementación de los procedimientos de control y revelación, (ii) verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento. Le corresponde:



 



Implementar las estrategias y políticas aprobadas por la Junta en relación con el Control Interno.

Comunicar las políticas y decisiones adoptadas por la Junta Directiva a todos y cada uno de los funcionarios dentro de la organización, Poner en funcionamiento la estructura, procedimientos y metodologías inherentes al Sistema de Control Interno, en desarrollo de las directrices impartidas por la Junta directiva, garantizando una adecuada segregación de funciones y asignación de responsabilidades. Implementar los diferentes informes, protocolos de comunicación, sistemas de información y demás determinaciones de la junta relacionados con Sistema de Control Interno.

105

1er proceso: Auditoría Interna  Establecer

planes basados en los riesgos que afecten a los objetivos de la

organización.

 Realizar una evaluación detallada de la efectividad y adecuación del SCI, en las áreas y procesos de la organización que resulten relevantes,

 Evaluar los procedimientos de control

involucrados en los procesos o actividades de la entidad que se consideren relevantes.

 Revisar

los procedimientos adoptados para garantizar el cumplimiento con los requerimientos legales y regulatorios, códigos internos y la implementación de políticas y procedimientos.

 Verificar la eficacia de los procedimientos adoptados para asegurar la confiabilidad y oportunidad de los reportes a la Superintendencia y otros entes de control.

 Aportar

seguridad razonable respecto de la eficacia y eficiencia del Sistema de Control Interno

106

1er proceso: Organigrama básico Ejemplo

107

1er proceso: Buenas prácticas recomendables ¿Escribir 5 prácticas recomendable de Gobierno Corporativo?

108

2º y 3er Proceso: Control Interno y Riesgos “La administración de riesgos es uno de los elementos fundamentales del Sistema de Control Interno para lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los reportes financieros y el cumplimiento de leyes, normas y reglamentos”.

“Es importante reiterar que los sistemas de gestión de riesgos no son independientes del Sistema de Control Interno, sino que forman parte integral del mismo.”

109

Protocolos existentes sobre gestión de riesgos Varios: Basilea, Solvencia, SOX,….; destacando, fundamentalmente:

• • •

ASNZ (Australian and New Zealand Standard on Risk Management) COSO-ERM (Committee of Sponsoring Organizations), 2017 ISO 31000-2018. Gestión de Riesgos

Básicamente todos ellos obedecen a dos hitos fundamentales: (i) Establecimiento de una base sólida sobre la cual se sustente el proceso de gestión de riesgos, y (ii) contar con un modelo operacional basado en una

metodología robusta y adecuadamente implementada.

110

Resumamos el proceso ASNZ

ASNZ (Australian and New Zealand Standard on Risk Management) 111

Resumamos el proceso ISO 31.000

112

2º y 3er Proceso: Control Interno y Riesgos

113

Definición de Control Interno Según COSO I, el Control Interno es un proceso que involucra a todos los integrantes de la organización sin excepción, diseñado para dar un grado razonable de apoyo en cuanto a la obtención de los objetivos en las siguientes categorías:

  

Eficacia y eficiencia de las operaciones. Fiabilidad de la información financiera. Cumplimiento de las leyes y normas que son aplicables

Estas tres objetivos están interrelacionados entre sí.

114

Componentes de Control Interno S/COSO I Sus objetivos se desarrollan en base a 5 componentes:



Entorno de control



Evaluación de riesgos



Actividades de control



Información y comunicación



Supervisión

IIA

Aunque en los cinco componentes está presente la función auditora , es en la de SUPERVISIÓN donde ésta se manifiesta de forma más evidente 115

Interrelación de las actividades También las cinco actividades de control están relacionadas entre sí, involucran personas, procesos, tecnología y objetivos, son las siguientes:

CONTROL INTERNO: ACTIVIDADES

CREACION DEL ENTORNO GENERAL DE CONTROL

INFORMACION Y COMUNICACION

SUPERVISION

EVALUACION DE RIESGOS

DEFINICION Y APLICACIÓN DE CONTROLES

PERSONAS

PROCESOS

TECNOLOGIA

OBJETIVOS 116

Liderazgo en la implantación. Tone at the top El Directorio debe liderar el proceso de implantación del modelo de control y gestión de riesgos. Como elemento fundamental de dicho liderazgo está la preparación y comunicación a toda la organización de un Código de Ética que defina las líneas generales de actuación.

• Objetivos • Obligatoriedad

Políticas y Procedimientos

• Actuación en conflictos de intereses

de Control de Riesgos

• Utilización de información confidencial

Código de Ética

Aspectos mínimos a incluir

• Integridad de los registros • Relaciones con organismos públicos • Cumplimiento de leyes y regulaciones • Responsables de su seguimiento • Consecuencias de los incumplimientos del Código

117

¿Y el Enterprise Risk Management? “La administración de riesgos corporativos es un proceso efectuado por el directorio, la administración y las personas de la organización, es aplicado desde la definición estratégica hasta las actividades del día a día, diseñado para identificar eventos potenciales que pueden afectar a la organización y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organización".

Enterprise risk management – Integrated Framework (COSO ERM). 29 de Septiembre de 2004

118

COSO ERM, algo más que gestionar en riesgos Objetivo Nuevo

E.R.M = COSO CI + SGIR

Nuevo Componente Componente Ampliado

Nuevo Componente Nuevo Componente

119

COSO ERM. Conceptos adicionales Se incluyeron: Objetivos estratégicos, los que fijan la estrategia de la compañía De los Objetivos Estratégicos Estrategia objetivos (operativos + informativos + cumplimiento).

los otros

Identificación de eventos. Fenómenos que afectan a la empresa, bien favorable o desfavorablemente.

Respuesta a los riesgos. Previo análisis del coste-beneficio, buscar como responder a ellos:(i) evitándolos,(ii) reduciéndolos, (iii) compartiéndolos o (iv)aceptándolos.

120

Componentes de COSO ERM Ambiente Interno Filosofía de la gestión de riesgos – Cultura de riesgos – Consejo de Administración / Dirección - Integridad y valores éticos – Compromiso de competencia – Estructura organizativa – Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos humanos

Establecimiento de objetivos Objetivos estratégicos – Objetivos relacionados – Objetivos seleccionados Riesgo aceptado – Tolerancia al riesgo

Identificación de acontecimientos Acontecimientos – Factores de influencia estratégica y de objetivos Metodologías y técnicas – Acontecimientos independientes – Categorías de Acontecimientos – Riesgos y oportunidades

Evaluación de riesgos Riesgo inherente y residual – Probabilidad e impacto Técnicas de evaluación – Correlación entre acontecimientos

121

Componentes de COSO ERM (2) Respuesta a los riesgos Evaluación de posibles respuestas – Selección de respuestas Perspectiva de cartera

Actividades de control Integración de la respuesta al riesgo– Tipos de actividades de control – Políticas y procedimientos – Controles de los sistemas de información – Controles Específicos de la entidad

Información y comunicación Información - Comunicación

Supervisión Actividades permanentes de supervisión – Evaluaciones independientes – Comunicación de deficiencias

122

Observaciones sobre ERM tradicional

Fuente: Deloitte 123

Cambios en COSO ERM - 2017 • En primera instancia, puede resaltarse la introducción de • El quinto cambio pone énfasis en la cultura. El objetivo es una nueva estructura basada en cinco componentes y identificar cómo las prácticas de administración de riesgos 20 principios alineados al ciclo del negocio. El primer empresariales pueden inculcar mayor transparencia y componente se enfoca en la gobernanza y la cultura, e atención al riesgo dentro de la cultura de la organización, incluye cinco de los 20 principios. El segundo se refiere a ayudando a la gente a tomar decisiones. la definición de la estrategia y considera cuatro principios. El tercer componente va alineado al • La sexta reforma radica en la presentación de ejemplos específicos de una adecuada administración de riesgos. desempeño y engloba cinco principios más. El cuarto se Esto significa que el documento busca rebasar el plano orienta al análisis y revisión y considera tres principios. teórico, ofreciendo casos prácticos que ayudan a convertir Finalmente, el quinto y último componente se relaciona a este marco en un asesor estratégico para el negocio. con la información, la comunicación y el reporte, e incluye los últimos tres principios. • La séptima modificación se enfoca en la integración de temas más gráficos y alineados a colores. Cada uno de • El segundo cambio consiste en la atención en la los componentes, así como de los principios, tiene integración de la gestión de riesgos. Es en este punto asignado un color distinto dentro del mismo documento, lo donde se vincula el riesgo con el establecimiento de las cual facilita la identificación visual de los aspectos que lo estrategias, los objetivos y las actividades de la operación forman. del negocio para la creación de valor. • La tercera reforma atiende al lenguaje del marco, el cual • El octavo cambio busca introducir a las empresas en temas desafiantes como el apetito al riesgo y la visión ahora se escribe desde la perspectiva del negocio. ¿De del portafolio de riesgo. El objetivo de esta reforma es qué manera impacta esta reforma? Hace que la ayudar a las organizaciones a entender los conceptos conversación acerca del riesgo sea relevante y universal, anteriormente mencionados. estableciendo las definiciones básicas, los componentes y los principios para todos los niveles de gestión • El noveno y último cambio radica en dividir la involucrados en el diseño, implementación y administración del riesgo en los distintos niveles de la conducción de prácticas de administración de riesgos compañía. Desde los niveles de entidad hasta los niveles empresariales. de procesos de riesgos, el marco explora cómo identificarlos, clasificarlos y propone un cambio en el • En la cuarta modificación se considera la inclusión de manejo de los riesgos desde la estrategia hasta la temas de tecnologías de la información. En este caso, ejecución. el marco arroja luz sobre cómo las tendencias del negocio, tales como la proliferación de datos, la inteligencia artificial y la automatización, influyen en la estrategia de la organización, en el contexto del negocio y el manejo de riesgos.

124

Cambios clave El Documento actualizado incorpora cambios significativos para reflejar la evolución del pensamiento y las prácticas de gestión del riesgo empresarial, y para proporcionar claridad adicional sobre los conceptos introducidos en 2004. Algunos de los cambios más importantes se detallan a continuación: • Adopta una estructura de componentes y principios • Simplifica la definición de gestión de riesgos empresariales • Enfatiza la relación entre riesgo y valor • Renueva el enfoque en la integración de la gestión de riesgos empresariales • Examina el papel de la cultura • Eleva la discusión de la estrategia • Mejora la alineación entre el rendimiento y la gestión del riesgo empresarial • Vinculación de la gestión del riesgo empresarial en la toma de decisiones • Delinea entre la gestión de riesgos de la empresa y el control interno • Refina el apetito de riesgo y la tolerancia

125

Definición de ERM ERM-La gestión del riesgo empresarial se define como: La cultura, las capacidades y las prácticas, integradas con el establecimiento de estrategias y el rendimiento, en las que las organizaciones confían para gestionar los riesgos al crear, preservar y realizar el valor. Una mirada más profunda a la definición de ERM enfatiza su enfoque en la gestión del riesgo a través de: • Reconociendo la cultura • Desarrollo de capacidades • Aplicación de prácticas • Integración con el establecimiento de estrategias y el rendimiento • Gestionar el riesgo para la estrategia y los objetivos comerciales • Vinculación con el valor

126

Reconocimiento de la Cultura La cultura es desarrollada y moldeada por las personas en todos los niveles de una entidad por lo que dicen y hacen. Son las personas las que establecen la misión, la estrategia y los objetivos comerciales de la entidad, y ponen en práctica las prácticas de gestión del riesgo de la empresa. Del mismo modo, la gestión del riesgo empresarial afecta las decisiones y acciones de las personas. Cada persona tiene un punto de referencia único, que influye en cómo él o ella identifica, evalúa y responde al riesgo. ERML ayuda a las personas a tomar decisiones, al tiempo que comprende que la cultura desempeña un papel importante en la configuración de esas decisiones.

127

Desarrollo de las capacidades Las organizaciones persiguen diversas ventajas competitivas para crear valor para la entidad. La gestión de riesgos empresariales se suma a las habilidades necesarias para llevar a cabo la misión y visión de la entidad y para anticipar los desafíos que pueden impedir el éxito de la organización. Una organización que tiene la capacidad de adaptarse al cambio es más resistente y está en mejores condiciones de evolucionar frente a las limitaciones y oportunidades del mercado y de los recursos.

128

Aplicación práctica La gestión de riesgos empresariales no es estática, ni es un complemento de una empresa. Por el contrario, se aplica continuamente a todo el ámbito de actividades, así como a proyectos especiales y nuevas iniciativas. Es parte de las decisiones de gestión en todos los niveles de la entidad.

Las prácticas utilizadas en la gestión de riesgos empresariales se aplican desde los niveles más altos de una entidad y fluyen hacia abajo a través de divisiones, unidades de negocio y funciones. Las prácticas pretenden ayudar a las personas dentro de la entidad a comprender mejor su estrategia, qué objetivos empresariales se han establecido, qué riesgos existen, cuál es la cantidad aceptable de riesgo, cómo el riesgo impacta en el rendimiento y cómo se espera que administren el riesgo. A su vez, este entendimiento apoya la toma de decisiones en todos los niveles y ayuda a reducir el sesgo organizacional.

129

Integración con estrategia y rendimiento Una organización establece una estrategia que se alinea y respalda su misión y visión. También establece objetivos comerciales que fluyen de la estrategia, en cascada a las unidades de negocios, divisiones y funciones de la entidad. Al más alto nivel, la gestión del riesgo empresarial se integra con el establecimiento de la estrategia, y la gerencia comprende el perfil de riesgo general de la entidad y las implicaciones de las estrategias alternativas para ese perfil de riesgo. La administración considera específicamente cualquier nueva oportunidad que surja a través de la innovación y las actividades emergentes. Pero la gestión del riesgo empresarial no se detiene ahí; continúa en las tareas cotidianas de la entidad y, al hacerlo, puede obtener importantes beneficios. Es más probable que una organización que integra la gestión de riesgos empresariales en tareas diarias tenga costos más bajos en comparación con una que "pone capas" en los procedimientos de gestión de riesgos de la empresa. En un mercado altamente competitivo, estos ahorros de costos pueden ser cruciales para el éxito de una empresa. Además, al construir la gestión del riesgo empresarial en las operaciones centrales de la entidad, es probable que la administración identifique nuevas oportunidades para hacer crecer el negocio. La gestión de riesgos empresariales se integra también con otros procesos de gestión.

130

Gestionar el riesgo La gestión del riesgo empresarial es esencial para alcanzar la estrategia y los objetivos comerciales. Las prácticas de gestión del riesgo empresarial bien diseñadas proporcionan a la administración y al consejo de administración una expectativa razonable de que pueden lograr la estrategia general y los objetivos comerciales de la entidad. Tener una expectativa razonable significa que la cantidad de riesgo para lograr la estrategia y los objetivos comerciales es apropiada para esa entidad, reconociendo que nadie puede predecir el riesgo con absoluta precisión. Pero incluso con expectativas razonables establecidas, las entidades pueden experimentar desafíos imprevistos, por lo que es importante revisar periódicamente las prácticas de gestión de riesgos empresariales. La revisión cuando sea necesaria, ayuda a mantener prácticas sólidas que aumentan la confianza de la administración en la capacidad de la entidad para responder con éxito a lo inesperado y lograr su estrategia y objetivos comerciales.

131

Vinculará al valor Una organización debe gestionar el riesgo para la estrategia y los objetivos comerciales en relación con su apetito por el riesgo, es decir, los tipos y la cantidad de riesgo, en un nivel amplio, que está dispuesto a aceptar en su búsqueda de valor. La primera expresión del apetito de riesgo es la misión y visión de una entidad.

Diferentes estrategias expondrán a una entidad a diferentes riesgos o diferentes cantidades de riesgos. El apetito por el riesgo proporciona una guía sobre las prácticas que una organización debe seguir o no. Establece el rango de prácticas apropiadas y guía las decisiones basadas en el riesgo en lugar de especificar un límite. El apetito de riesgo no es estático; puede cambiar entre productos o unidades de negocio y, a lo largo del tiempo, de acuerdo con las capacidades cambiantes para gestionar el riesgo. Los tipos y la cantidad de riesgo que una organización podría considerar aceptable pueden cambiar. El apetito por el riesgo debe ser lo suficientemente flexible como para adaptarse a las cambiantes condiciones comerciales según sea necesario sin esperar revisiones y aprobaciones periódicas de la administración .

132

Resumen COSO ERM 2017

133

Flujo Proceso COSO ERM 2017

134

Componentes

135

5 Componentes y 20 Principios Fundamentales COSO ERM 2017

136

Apetito y tolerancia al riesgo

El apetito por el riesgo continúa siendo definido como la cantidad de riesgo que una entidad está dispuesta a aceptar en la búsqueda de su estrategia y objetivos comerciales. Sin embargo, la tolerancia se articula utilizando el lenguaje del rendimiento y no representa una versión más granular o detallada del apetito por el riesgo. En los perfiles de riesgo, esta relación está representada por la intersección perpendicular del apetito de riesgo y las líneas de rendimiento. Al refinar la definición de tolerancia, la atención se centra en determinar la cantidad de riesgo que es aceptable para un determinado nivel de rendimiento. Las organizaciones pueden articular los límites del riesgo aceptable en el contexto del rendimiento. La determinación de esos límites permite a la organización evaluar mejor si los niveles cambiantes de desempeño se mantienen dentro de los límites de la variación aceptable. Ya no se considera que el riesgo o el rendimiento sean estáticos y separados, sino que cambian constantemente y se influyen mutuamente.

137

Apetito al riesgo Si bien el apetito por el riesgo se presenta aquí, el Marco establece numerosas instancias en las que se aplica como parte de la gestión del riesgo empresarial. Algunas de las aplicaciones del apetito al riesgo: • Utilizado por la organización para tomar decisiones que mejoran el valor. • Ayuda en la alineación de la cantidad aceptable de riesgo con la capacidad de la organización para gestionar riesgos y oportunidades. • Relevancia al establecer la estrategia y los objetivos comerciales, ayudando a la gerencia a considerar si los objetivos de desempeño están alineados con una cantidad aceptable de riesgo. • Asistencia para comunicar los perfiles de riesgo que desea la junta. • Relevancia y alineación con la capacidad de riesgo. • Uso en la evaluación del riesgo agregado en una vista de cartera. La gestión de riesgos empresariales ayuda a la gerencia a seleccionar una estrategia que alinee la creación de valor anticipada con el apetito por el riesgo de la entidad y sus capacidades para gestionar el riesgo con más frecuencia y de forma más consistente a lo largo del tiempo. Administrar el riesgo dentro del apetito de riesgo mejora la capacidad de una organización para crear, preservar y realizar valor.

138

Riesgo para un nivel de desempeño

En la Figura 3.2, cada barra representa la cantidad agregada de riesgo para un nivel específico de desempeño para un objetivo comercial. La línea objetivo representa el nivel de rendimiento elegido por la organización como parte del establecimiento de la estrategia, que se comunica a través de un objetivo de negocio.

139

ERM ayuda ERM- La gestión del riesgo empresarial ayuda a una organización a comprender mejor: • Cómo la misión, la visión y los valores centrales, forman la expresión inicial de qué tipos y cantidad de riesgo son aceptables, para establecer la estrategia. • La posibilidad de que la estrategia y los objetivos comerciales no se alineen con la misión, la visión y los valores centrales. • Los tipos y la cantidad de riesgo a los que la organización se expone potencialmente al elegir una estrategia en particular. • Los tipos y la cantidad de riesgo inherente a la ejecución de su estrategia y al logro de los objetivos comerciales, y la aceptabilidad de este nivel de riesgo y, en última instancia, de valor.

140

Tolerancia al riesgo Tener una comprensión de la tolerancia a la variación en el rendimiento permite que la administración mejore el valor para la entidad. Por ejemplo, el límite correcto de variación aceptable generalmente no debe exceder el punto donde el perfil de riesgo se cruza con el apetito de riesgo. Pero cuando el límite correcto está por debajo del apetito de riesgo, la gerencia puede cambiar sus objetivos y aún estar dentro de su apetito de riesgo general. El punto máximo donde se puede establecer el objetivo de rendimiento es donde el límite correcto de tolerancia se cruza con el apetito por el riesgo ("A" en la Figura 7.5).

141

Actualización COSO año 2013

142

Las modificaciones más significativas  Aplica un enfoque basado en principios 

Aclara la necesidad de establecer objetivos del negocio como condición previa a los objetivos de Control Interno



Refleja la relevancia incrementada de la Tecnología



Fortalece el concepto de Gobierno Corporativo



Amplía el objetivo de reporting financiero



Fortalece la consideración de las expectativas contra el fraude

Se incluyen los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos.

143

¿Por qué cambiar lo que funciona?

Para mejorarlo y actualizarlo

VHG. Consulting 144

Pero también para complementarlo

145

Principios (1/2) La versión de 1992 de manera implícita reflejó los principios centrales del control interno, la versión del 2013 de manera explícita señala 17 principios, los cuales representan los conceptos fundamentales asociados con los 5 componentes del control interno.

1. Entorno de Control • La Organización debe demostrar compromiso con la integridad y los valores éticos. • El Consejo de Administración debe demostrar independencia en la gestión y ejercerá la supervisión en el desarrollo y ejecución del control interno. • La Alta Dirección establece, con la supervisión del Consejo de Administración, la estructura, las líneas de reporting, autoridad y responsabilidad en la consecución de los objetivos. • En alineación con los objetivos, la Organización debe demostrar compromiso para atraer, desarrollar, y retener personas competentes. • En la consecución de objetivos, la Organización debe tener personas responsables para atender sus responsabilidades de control interno.

2. Evaluación de Riesgos • La Organización debe especificar los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados. • La Organización identifica y evalúa riesgos. • La Organización gestiona el riesgo de fraude. • La Organización identifica y evalúa los cambios importantes que podrían impactar al sistema de control interno. 146

Principios (2/2) 3. Actividades de Control • La Organización seleccionará y desarrollará actividades de control que contribuyan a la mitigación de los riesgos en el logro de sus objetivos. • La Organización seleccionará desarrollará Controles Generales sobre Tecnología. • La Organización implementa sus las actividades de control a través de políticas y procedimientos.

4. Información y Comunicación • La Organización genera información relevante, para respaldar el funcionamiento de los otros componentes de Control Interno. • La Organización comunica internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesaria para respaldar el funcionamiento de los otros componentes de Control Interno. • La Organización se comunica externamente en relación con las materias que afectan al funcionamiento de los otros componentes de Control Interno.

5. Actividades de Monitorización • La Organización lleva a cabo evaluaciones continuas e individuales, con el fin de comprobar si los componentes del control interno están presentes y están funcionando. • La Organización evalúa y comunica las deficiencias de control interno. 147

Enfatiza la eficacia de control interno

VHG. Consulting 148

No es una enmienda a la totalidad

149

Pero sí un cambio de enfoque

150

Transición e impacto para los Auditores Internos

151

Aspectos básicos

VHG. Consulting 152

Aspectos básicos

VHG. Consulting

153

Aspectos básicos

VHG. Consulting

154

Puesta en común de los temas tratados – ANEXO 2

155

Plan de Auditoría Interna

Objetivo

Servicio al cliente, eficiencia, eficacia 156

Un planteamiento

157

¿Lo compartimos?

19

100%

19

32

80%

26

60

50%

30

25

33%

8

En tres años TODO el Universo de Auditoría revisado Los planes no deberían ser tan rígidos. Las circunstancias cambian, adaptémonos a ellas. 158

El IIA y el Plan de Auditoría (I de III) La N. 2010 señala que:

 El DAI debe establecer planes basados en los riesgos a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes han de ser consistentes con la metas de la organización.

Mientras que el G.I. 2010-2: La planificación necesita usar el proceso de gestión de riesgos, si este ha sido desarrollado. Al planificar un trabajo, el auditor interno ha de tener en consideración los riesgos significativos de la actividad y los medios mediante los cuales la dirección puede paliar el riesgo hasta un nivel aceptable. El auditor interno utilizará técnicas de evaluación de riesgos en el desarrollo del plan de la actividad de auditoría interna, así como para determinar prioridades a la hora de asignar recursos. La evaluación de riesgos se utiliza para examinar las unidades auditables y seleccionar las áreas sujetas a análisis que deben incluirse en el plan de auditoría interna y que son las que tienen mayor exposición al riesgo.

159

El IIA y el Plan de Auditoría (II de III) OBJETIVO: Seleccionar oportunamente los diferentes tipos de actividades que serán incluidas en el plan de auditoría interna. Entre otras:

 Actividades

de análisis/aseguramiento de control: analizando la adecuación y eficacia de los sistemas de control y ofrecer la seguridad de que los controles funcionan y los riesgos son gestionados de manera efectiva.

 Actividades de investigación: para determinar si la gestión organizacional tiene un nivel inaceptable de eficiencia.

 Actividades de consulta: aconsejar a los gestores de la Organización en el desarrollo de sistemas de control para mitigar riesgos inaceptables.

 Actividades de cumplimiento normativo: según las normas y leyes aplicables. También deben identificarse controles innecesarios, redundantes, excesivos o complejos que reduzcan el riesgo de manera ineficiente.

160

Cadena de Valor PROCESOS ESTRATÉGICOS Planeamiento Estratégico Gestión del Cambio y Mejora Continua

Gestión Integral de Riesgos

Control Interno

PROCESOS OPERATIVOS

Gestión Comercial

Gestión de Compras

Control de Calidad Producción

Despacho Investigación y Desarrollo

Desarrollo y Gestión de Recursos Humanos Gestión de la Información Gestión Financiera y de Recursos Físicos Gestión Logística

PROCESOS DE SOPORTE

Distribución

Matriz de Riesgos 5

Disponibilidad

Reporte Regulatorio 4

Probabilidad

Salud y Seguridad

Eficiencia Capacidad Regulatorio Fraude de Empleados Integridad Interrupción /Terceros Acceso Precios Actos Ilegales

3

Cumplimiento

Evaluación de Inversión

Comunicación

2

Concentración Infraestructura Pérdida Catastrófica

Monitoreo del Entorno

1

0 0

1

2

Impacto

3

4

PROBABILIDAD

5

Matriz de Riesgo-Macro Procesos

Planeamiento Estratégico Gestión del Cambio y mejora continua Gestión integral de riesgos Control Interno

Gestión de Compras Gestión comercial Producción Control de Calidad Despacho Distribución

Desarrollo y gestión de recursos Humanos Gestión de la Información Gestión financiera y de recursos físicos Gestión Logística

Cronograma de Auditoria

Gestión Comercial Gestión de Compras Producción Control de Calidad

Investigación y Desarrollo Despacho Distribución Control Interno Gestión del Cambio Gestión de Riesgos

Gestión de RRHH Gestión de TI Gestión de Finanzas

Gestión Logística

El IIA y el Plan de Auditoría (III de III) G.I. 2050-3. “El auditor interno puede hacer uso del trabajo de otros proveedores internos o externos de servicios de aseguramiento sobre el gobierno, gestión de riesgos y control”.

Sumemos y aprovechemos esfuerzos 165

Apoyarnos sí, pero solo si son fiables

166

Antecedentes (I de II) Rod Winters, exPresidente del IIA Global, llegó a la conclusión de que “Auditoría Interna debe hacer menos, lo más importante, con menos recursos. Centrarnos en lo que sea significativo y apoyándonos en la tecnología como herramienta de trabajo, pues si bien ésta comporta riesgos, es incuestionable que también es una oportunidad con la que mejorar la eficiencia, la eficacia y la calidad de nuestros trabajos”.

Hacer más cosas, no es sinónimo de hacerlo mejor 167

Antecedentes (II de II) La volatilidad y el dinamismo de los entornos profesionales requieren que las organizaciones avancen en sus prácticas de evaluación y gestión de riesgos, pero teniendo en consideración algunos aspectos importantes:

 Reforzar

el plan de auditoría interna poniendo también el foco en los riesgos emergentes (Seguridad laboral, medioambiente, Ciberdelicuencia)

 Flexibilizar nuestra actividad, reevaluando los riesgos y el plan de auditoría con la mayor frecuencia posible.

 Proporcionar aseguramiento sobre la función del ERM de la Compañía.

168

Determinación del Plan Auditor A B SOLICITUDES ALTA DIRECCIÓN Y GERENCIAS

ANÁLISIS DE AUDITORÍA INTERNA: SELECCIÓN PROCESOS PRIORITARIOS EVALUACIONES DE RIESGOS IDENTIFICACIÓN CONTROLES RESULTADOS AUDITORÍAS PREVIAS DATOS DE LOS INDICADORES

B Requerimientos Comisión de Auditoría

B MAPAS DE RIESGOS GLOBAL REQUISITOS REGULADOR OTROS STAKEHOLDERS

B MAPA DE RIESGOS DE AUDITORÍA

Coordinación con Auditores Externos y otros Proveedores de aseguramiento

PLAN DE TRABAJO ANUAL DE AUDITORÍA INTERNA

PRESENCIAL / DISTANCIA 169

Ni son todos los que están, ni están todos los que son

170

En este contexto Auditoría Interna Debe planificar su actividad en base a:

 Los objetivos estratégicos y los riesgos del negocio  Los requerimientos y exigencias de los reguladores o supervisores  Las exigencias normativas aplicables  Procurando obtener la máxima eficiencia a su función

Sin olvidar dos ideas básicas:  Incidir en lo importante  Hacerlo con el mínimo coste 171

Pero tampoco su dinamismo y actualización Para conseguir su necesaria eficacia: c)

Actualizar los inputs con la máxima frecuencia posible.

b) Si un ente auditable no comporta riesgos significativos o apreciables, no debería incluirse en el Plan.

c) Olvidémonos de Planes plurianuales. d) Partir del mapa de riesgos existente en cada momento.

Pero sobre todo: ¡Que no debemos jugar a acertar, sino a no equivocarnos! 172

Roles de Auditoría Interna en ERM (I de III)

173

Roles de Auditoría Interna en ERM (II de III)

174

Roles de Auditoría Interna en ERM (III de III)

Según los datos del IIA recogidos en el documento Internal Auditing´s Role in Risk Management.

175

Pero dependiendo del desarrollo del ERM

176

Modelo de las tres líneas de defensa internas Los roles y las dependencias han de estar perfectamente definidas

177

Dos conceptos diferentes Diseñar un Plan de Auditoría en base a riesgos (IIA), no es lo mismo que auditar en base a riesgos .

 En el primer caso el objetivo es determinar que es lo que debemos hacer. 

En el segundo lo que se nos pide es que desarrollemos la actividad auditora supervisando el control interno de la Organización a través de la eficacia del Sistema de Gestión de Riesgos existente.

¿Qué hacer y cómo hacerlo?

178

Auditoría Interna con base a riesgos (I de III)

Es “La metodología que une las auditorías internas con el marco general de la gestión de riesgo de una organización, permitiendo a la auditoría interna ofrecer garantías al Directorio de que los procesos de gestión de riesgos son efectivamente aplicados en relación con el apetito al riesgo”.



Centrándonos en lo importante.



Ofrecer opinión independiente sobre la bondad del Sistema Gestión de Riesgos.

179

Auditoría Interna con base a riesgos (II de III) Consiste en evaluar la adecuación de los procesos de Gestión de Riesgos, verificando:

 

 

Que los objetivos de la organización están alineados con la estrategia de la empresa Que los riesgos significativos están identificados y bien evaluados Que se han seleccionando respuestas apropiadas a los riesgos de forma que estén en un entorno de aceptación Obtener oportuna información significativa sobre los riesgos críticos

180

Auditoría Interna con base a riesgos (III de III)

EN RESUMEN: Conjunto de procesos mediante los cuales las auditorías proveen aseguramiento independiente al Directorio acerca de: 1º) Si los procesos y medidas de gestión del riesgo que se encuentran implementadas están funcionando de acuerdo a lo esperado;

2º) Si los procesos de gestión de riesgos son apropiados y están bien diseñados, y 3º) Si las medidas de control de riesgos que la Gerencia ha implementado son adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el Directorio. Esta forma de auditar dependerá del nivel de desarrollo que la propia empresa ha alcanzado en la gestión de riesgos en el área objeto de examen, y el grado en que han sido definidos objetivos apropiados por la Gerencia contra los cuales pueden medirse los riesgos asociados.

181

¿Alguna duda?

182