Sie sind auf Seite 1von 198

El Instituto de Auditores Internos de Espaa agradece a Iberdrola su apoyo y compromiso continuado con la profesin y nuestra Institucin

Prlogo

El Marco actualizado ha entrado en vigor en enero de 2013, los cambios introducidos reflejan las aportaciones que el Consejo de Normas de Auditora Interna (IASB), cuya misin es el desarrollo, publicacin y promocin de las Normas, ha recibido de los auditores internos, de los stakeholders, as como de encuestas globales y otras investigaciones relacionadas con las Normas. El Marco Internacional para la Prctica Profesional de la Auditora Interna es la referencia de la profesin de auditora interna en todo el mundo. Se trata de la gua que marca y orienta el camino correcto que deben seguir los auditores internos en su desempeo profesional y ofrece respuestas y soluciones a su trabajo diario. El Marco actualizado recoge la evolucin de la profesin de la auditora interna y responde a la adaptacin a los nuevos escenarios en los que las organizaciones tienen que operar. En esta nueva edicin, los cambios producidos en el Marco tienen como principal objetivo mejorar la comprensin del mismo. Entre las principales novedades destacan: Una aclaracin sobre las distintas responsabilidades de los auditores internos, del Director de Auditora Interna y de la funcin de auditora interna recogida en la introduccin a las Normas. Modificacin de la redaccin de algunas Normas, principalmente aquellas relacionadas con los requerimientos del programa de aseguramiento y mejora de la calidad (Normas 1311 y 1312), con el plan de auditora (Norma 2010) y con la comunicacin de la aceptacin de los riesgos (Norma 2600). Nuevos trminos en el glosario con las definiciones de opinin general y opiniones de los trabajos. Tres nuevos Consejos para la Prctica relacionados con el desempeo del trabajo de los auditores internos y con las evaluaciones externas.

Prlogo

En nombre del Instituto de Auditores Internos de Espaa quiero agradecer a IBERDROLA y a su Director de Auditora Interna, Luis Aranaz, el patrocinio de esta edicin del Marco Internacional para la Prctica Profesional de la Auditora Interna. IBERDROLA demuestra, de nuevo, su compromiso con el Instituto de Auditores Internos de Espaa para ayudarnos a cumplir con nuestra misin de defender y desarrollar la auditora interna como funcin de gobierno.

Jos Manuel Muries


Presidente del Instituto de Auditores Internos de Espaa

ndice

Introduccin CAPTULO I

............................................................................................................................................

11

Definicin de Auditora Interna CAPTULO II Cdigo de tica

................................................................................................ 15

.................................................................................................................................. 19

Introduccin .................................................................................................................................................. 21 Aplicacin y cumplimiento ......................................................................................................................... 22 Principios ....................................................................................................................................................... 22 Reglas de conducta ..................................................................................................................................... 23

CAPTULO III Normas Internacionales para el Ejercicio Profesional de la Auditora Interna .................................................................................................................. 25
Introduccin .................................................................................................................................................. 27 Normas sobre atributos .............................................................................................................................. 31 Normas sobre desempeo ......................................................................................................................... 40 Glosario .......................................................................................................................................................... 55

CAPTULO IV Consejos para la Prctica


1000-1: 1110-1: 1111-1: 1120-1: 1130-1:
..........................................................................................................

61

Estatuto de Auditora ......................................................................................................... 63 Independencia dentro de la organizacin .................................................................... 64 Interaccin con el consejo de administracin .............................................................. 66 Objetividad individual ........................................................................................................ 67 Impedimentos a la independencia u objetividad ........................................................ 69

1130.A1-1: Evaluacin de operaciones en las cuales el auditor interno tuvo responsabilidades previas ......................................................................... 71 1130.A2-1: Responsabilidad del auditor interno en funciones distintas de Auditora ........................................................................................................ 72

Marco Internacional para la Prctica Profesional de la Auditora Interna

ndice

1200-1: 1210-1:

Aptitud y cuidado profesional ......................................................................................... 74 Aptitud .................................................................................................................................. 75

1210.A1-1: Obtencin de proveedores externos de servicios para apoyar o complementar la actividad de Auditora Interna .............................. 77 1220-1: 1230-1: 1300-1: 1310-1: 1311-1: 1312-1: 1312-2: 1312-3: 1312-4: 1321-1: 2010-1: 2010-2: 2020-1: 2030-1: 2040-1: 2050-1: 2050-2: 2050-3: 2060-1: 2110-1: 2110-2: 2110-3: 2120-1: 2120-2: Cuidado profesional ........................................................................................................... 81 Desarrollo profesional continuo ...................................................................................... 82 Programa de aseguramiento y mejora de la calidad .................................................. 83 Requisitos del programa de aseguramiento y mejora de la calidad ........................................................................................................................ 85 Evaluaciones internas ........................................................................................................ 87 Evaluaciones externas ....................................................................................................... 89 Evaluaciones externas: autoevaluacin con validacin independiente ...................................................................................................................... 94 Evaluaciones Externas: Independencia del equipo de evaluacin externa en el sector privado ........................................................................................................... 97 Evaluaciones Externas: Independencia del equipo de evaluacin externa en el sector pblico ............................................................................................................ 99 Utilizacin de Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna .............................................. 101 Enlace del Plan de Auditora con los riesgos y exposiciones ................................. 103 Uso del proceso de gestin de riesgos en el Plan de Auditora Interna ............. 105 Comunicacin y aprobacin .......................................................................................... 110 Administracin de recursos ............................................................................................ 111 Polticas y procedimientos .............................................................................................. 113 Coordinacin ..................................................................................................................... 114 Mapas de aseguramiento ............................................................................................... 116 Confiar en el trabajo de otros proveedores de servicios de aseguramiento ...... 120 Informe a la alta direccin y al Consejo ..................................................................... 123 Gobierno: definicin ........................................................................................................ 125 Gobierno: relacin con riesgo y control ...................................................................... 127 Gobierno: evaluaciones ................................................................................................... 129 Evaluar la adecuacin de los procesos de gestin de riesgos ............................... 131 Gestin de riesgos de la actividad de Auditora Interna ......................................... 135

Marco Internacional para la Prctica Profesional de la Auditora Interna

ndice

2130-1:

Evaluar la adecuacin de los procesos de control .................................................... 141

2130-A1-1: Fiabilidad e integridad de la informacin ................................................................... 144 2130-A1-2: Evaluacin del enfoque de privacidad de una organizacin .................................. 146 2200-1: 2200-2: Planificacin del trabajo ................................................................................................. 148 Uso de un enfoque basado en riesgos, partiendo de los ms significativos (Top-down, Risk-based Approach) para identificar los controles que van a ser evaluados en el trabajo de auditora interna ........ 150 Objetivos del trabajo ....................................................................................................... 153 Asignacin de recursos para el trabajo ....................................................................... 155 Programa de trabajo ........................................................................................................ 156 Uso de la Informacin de carcter personal durante el trabajo de auditora interna ......................................................................................................... 157 Procedimientos analticos ............................................................................................... 159 Anlisis del origen (Root Cause Analysis) .................................................................. 162 Documentacin de la informacin ............................................................................... 168

2210-1: 2230-1: 2240-1: 2300-1: 2320-1: 2320-2: 2330-1:

2210.A1-1: Evaluacin de riesgos en la planificacin del trabajo .............................................. 154

2330.A1-1: Control de los registros del trabajo ............................................................................. 169 2330.A1-2: Garantizar el acceso a los registros de auditora ..................................................... 171 2330.A2-1: Retencin de los registros .............................................................................................. 173 2340-1: 2400-1: 2410-1: 2420-1: 2440-1: 2440-2: Supervisin del trabajo ................................................................................................... 174 Consideraciones legales en la comunicacin de los resultados ............................ 176 Criterios para la comunicacin ...................................................................................... 178 Calidad de las comunicaciones ..................................................................................... 181 Difusin de resultados .................................................................................................... 182 Comunicacin de informacin sensible dentro y fuera de la cadena de mando .................................................................................................. 183 Seguimiento del progreso .............................................................................................. 189

2440.A2-1: Comunicaciones fuera de la organizacin ................................................................. 187 2500-1: 2500.A1-1: Proceso de seguimiento .................................................................................................. 191

CAPTULO V Documentos de posicionamiento y Guas


.....................................................................

193

Marco Internacional para la Prctica Profesional de la Auditora Interna

Introduccin

11

El objetivo del Marco Internacional para la Prctica Profesional de la Auditora Interna es proporcionar una gua coherente que facilite la interpretacin y aplicacin de conceptos, metodologas y tcnicas fundamentales para la profesin. Delimitando la prctica actual de la auditora interna, as como considerando futuras expansiones, el Marco pretende ayudar a los profesionales a satisfacer las necesidades de un mercado que demanda, cada vez ms, servicios de auditora interna de alta calidad. El auditor interno es, cada vez ms, uno de los profesionales mejor cualificados dentro de la organizacin, y es dentro de este entorno, donde el Instituto de Auditores Internos busca homogeneizar la profesin a travs del establecimiento del Marco y de la certificacin de sus profesionales. La auditora interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organizacin. Ayuda a una organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar los procesos de gestin de riesgos, control y gobierno. En todo el mundo, la auditora interna se ejerce en entornos diversos y en empresas de distintos tamaos, objetivos y estructuras. Adems, las leyes y costumbres son diferentes en cada pas. Estas diferencias pueden afectar a la prctica de la auditora interna. La implementacin del Marco, depender del entorno en el que la actividad de la auditora interna desempee sus responsabilidades. En ningn caso, la informacin contenida en el Marco, debe ser aplicada de forma que entre en conflicto con la legislacin vigente. Este libro se divide fundamentalmente en tres partes: Definicin de Auditora Interna y Cdigo de tica. Normas Internacionales para la Prctica Profesional de la Auditora Interna. Consejos para la Prctica.

Marco Internacional para la Prctica Profesional de la Auditora Interna

12

Introduccin

Marco Internacional para la Prctica Profesional de la Auditora Interna

Introduccin

13

El propsito del Cdigo de tica es promover una cultura tica en la profesin de auditora interna. Un cdigo de tica es necesario en nuestra profesin, cuyos pilares se asientan en la confianza en el aseguramiento objetivo de la gestin de riesgos, control y gobierno de las empresas. Las Normas constituyen los criterios mediante los cuales el desempeo de un departamento de auditora interna es calificado. Representan cmo debe ser la prctica de la profesin. Estn diseadas para aplicarse en todo tipo de organizaciones donde se pueda encontrar un auditor interno. El cumplimiento de los conceptos expuestos en esta gua es esencial para que el auditor interno desarrolle sus responsabilidades. Tal y como se expone en el Cdigo de tica, el auditor interno debe desempear los servicios de auditora interna de acuerdo con las Normas. Todos los miembros del Instituto de Auditores Internos y todos los CIAs aceptan cumplir con las Normas y el Cdigo de tica. Estas pautas son aplicables a todos los miembros de la profesin de la auditora interna, sean o no miembros del Instituto. Los Consejos, aunque no son de obligado cumplimiento, representan las mejores prcticas, respaldadas por el Instituto, para la implementacin de las Normas. En parte, los Consejos para la Prctica pueden ayudar a interpretar las Normas, o a aplicarlas en entornos especficos de auditora interna. Muchos Consejos son aplicables a todos los auditores internos, mientras que otros estn desarrollados para satisfacer las necesidades de los auditores internos de sectores especficos, determinadas especialidades de auditora interna o distintas reas geogrficas. La importancia de este compendio para la profesin, exige una continua revisin y actualizacin del mismo. El Instituto de Auditores Internos promueve este proceso, a travs de la continua creacin de comisiones de investigacin. En todo momento, el Instituto mantendr informados a sus asociados, a travs de su pgina web y otras vas de comunicacin, de todos los cambios realizados en este Marco

Internacional para la Prctica Profesional de la Auditora Interna.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Definicin de Auditora Interna

17

La Auditora interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organizacin. Ayuda a una organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Cdigo de tica

21

Introduccin
El propsito del Cdigo de tica del Instituto es promover una cultura tica en la profesin de auditora interna. La auditora interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organizacin. Ayuda a una organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno. Es necesario y apropiado contar con un cdigo de tica para la profesin de auditora interna, ya que sta se basa en la confianza que se imparte a su aseguramiento objetivo sobre la gestin de riesgos, control y direccin. El Cdigo de tica del Instituto abarca mucho ms que la definicin de auditora interna, llegando a incluir dos componentes esenciales: 1. Principios que son relevantes para la profesin y prctica de la auditora interna. 2. Reglas de Conducta que describen las normas de comportamiento que se espera sean observadas por los auditores internos. Estas reglas son una ayuda para interpretar los Principios en aplicaciones prcticas. Su intencin es guiar la conducta tica de los auditores internos. El Cdigo de tica junto al Marco Internacional para la Prctica Profesional y otros pronunciamientos emitidos por el Instituto, proporcionan orientacin a los auditores internos para servir a los dems. La mencin a los auditores internos se refiere a los socios del Instituto, a quienes han recibido o son candidatos a recibir certificaciones profesionales del Instituto, y a aqullos que proveen servicios de auditora interna.

Marco Internacional para la Prctica Profesional de la Auditora Interna

22

Cdigo de tica

Aplicacin y cumplimiento
Este Cdigo de tica se aplica tanto a los individuos como a las entidades que proveen servicios de auditora interna. En el caso de los socios del Instituto y de aqullos que han recibido o son candidatos a recibir certificaciones profesionales del Instituto, el incumplimiento del Cdigo de tica ser evaluado y administrado de conformidad con los Estatutos y Reglamentos Administrativos del Instituto. El hecho de que una conducta particular no se halle contenida en las Reglas de Conducta no impide que sta sea considerada inaceptable o como un descrdito, y en consecuencia, puede hacer que se someta a accin disciplinaria al socio, poseedor de una certificacin o candidato a la misma.

Principios
Se espera que los auditores internos apliquen y cumplan los siguientes principios:

Integridad
La integridad de los auditores internos establece confianza y, consiguientemente, provee la base para confiar en su juicio.

Objetividad
Los auditores internos exhiben el ms alto nivel de objetividad profesional al reunir, evaluar y comunicar informacin sobre la actividad o proceso a ser examinado. Los auditores internos hacen una evaluacin equilibrada de todas las circunstancias relevantes y forman sus juicios sin dejarse influir indebidamente por sus propios intereses o por otras personas.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Cdigo de tica

23

Confidencialidad
Los auditores internos respetan el valor y la propiedad de la informacin que reciben y no divulgan informacin sin la debida autorizacin a menos que exista una obligacin legal o profesional para hacerlo.

Competencia
Los auditores internos aplican el conocimiento, aptitudes y experiencia necesarios al desempear los servicios de auditora interna.

Reglas de conducta
1. Integridad
Los auditores internos: 1.1 Desempearn su trabajo con honestidad, diligencia y responsabilidad. 1.2 Respetarn las leyes y divulgarn lo que corresponda de acuerdo con la ley y la profesin. 1.3 No participarn a sabiendas en una actividad ilegal o de actos que vayan en detrimento de la profesin de auditora interna o de la organizacin. 1.4 Respetarn y contribuirn a los objetivos legtimos y ticos de la organizacin.

2. Objetividad
Los auditores internos: 2.1 No participarn en ninguna actividad o relacin que pueda perjudicar o aparente perjudicar su evaluacin imparcial. Esta participacin incluye aquellas actividades o relaciones que puedan estar en conflicto con los intereses de la organizacin.

Marco Internacional para la Prctica Profesional de la Auditora Interna

24

Cdigo de tica

2.2 No aceptarn nada que pueda perjudicar o aparente perjudicar su juicio profesional. 2.3 Divulgarn todos los hechos materiales que conozcan y que, de no ser divulgados, pudieran distorsionar el informe de las actividades sometidas a revisin.

3. Confidencialidad
Los auditores internos: 3.1 Sern prudentes en el uso y proteccin de la informacin adquirida en el transcurso de su trabajo. 3.2 No utilizarn informacin para lucro personal o que de alguna manera fuera contraria a la ley o en detrimento de los objetivos legtimos y ticos de la organizacin.

4. Competencia
Los auditores internos: 4.1 Participarn slo en aquellos servicios para los cuales tengan los suficientes conocimientos, aptitudes y experiencia. 4.2 Desempearn todos los servicios de auditora interna de acuerdo con las Normas para la Prctica Profesional de Auditora Interna. 4.3 Mejorarn continuamente sus habilidades y la efectividad y calidad de sus servicios.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

27

Introduccin
Los trabajos que lleva a cabo auditora interna son realizados en ambientes legales y culturales diversos, dentro de organizaciones que varan segn sus propsitos, tamao y estructura, y por personas de dentro o fuera de la organizacin. Si bien estas diferencias pueden afectar la prctica de la auditora interna en cada ambiente, el cumplimiento de las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna es esencial para el ejercicio de las responsabilidades de los auditores internos. En el caso de que los auditores internos no puedan cumplir con ciertas partes de las Normas por impedimentos legales o de regulaciones, debern cumplir con todas las dems partes y efectuar la correspondiente declaracin. Si los auditores internos utilizan estas Normas junto con normas emitidas por otros organismos de regulacin, podrn mencionar el uso de las otras normas en sus comunicados de auditora, cuando sea apropiado. Si hubiera inconsistencia entre estas Normas y las normas emitidas por otros organismos, los auditores internos debern cumplir con estas Normas y podrn tambin cumplir con las otras en caso de que sean ms restrictivas. El propsito de las Normas es: 1. Definir principios bsicos que representen el ejercicio de la auditora interna tal como este debera ser. 2. Proporcionar un marco para ejercer y promover un amplio rango de actividades de auditora interna de valor aadido. 3. Establecer las bases para evaluar el desempeo de la auditora interna. 4. Fomentar la mejora de los procesos y operaciones de la organizacin. Las Normas son requisitos enfocados a principios, de cumplimiento obligatorio, que consisten en: Declaraciones de requisitos bsicos para el ejercicio de la auditora interna y para evaluar la eficacia de su desempeo, de aplicacin internacional a nivel de las personas y a nivel de las organizaciones. Interpretaciones que aclaran trminos o conceptos dentro de las Declaraciones.

Marco Internacional para la Prctica Profesional de la Auditora Interna

28

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

En las Normas se emplean trminos a los que se han dado determinados significados que estn definidos en el Glosario. Por ejemplo, en las Normas se utiliza la palabra debe para indicar un requisito incondicional, y la palabra debera en los casos en que se espera su cumplimiento cuando se aplica el juicio profesional, a menos que las circunstancias justifiquen un desvo. Es necesario tener en cuenta tanto las Declaraciones como sus Interpretaciones y los significados especficos indicados en el Glosario, para entender y aplicar correctamente las Normas. La estructura de las Normas est formada por las Normas sobre Atributos, Normas sobre Desempeo y Normas de Implantacin. Las Normas sobre Atributos tratan las caractersticas de las organizaciones y las personas que prestan servicios de auditora interna. Las Normas sobre Desempeo describen la naturaleza de los servicios de auditora interna y proporcionan criterios de calidad con los cuales puede evaluarse el desempeo de estos servicios. Las Normas sobre Atributos y sobre Desempeo se aplican a todos los servicios de auditora interna. Las Normas de Implantacin amplan las Normas sobre Atributos y Desempeo, proporcionando los requisitos aplicables a las actividades de aseguramiento (A) y consultora (C). Los servicios de aseguramiento comprenden la tarea de evaluacin objetiva de las evidencias, efectuada por los auditores internos, para expresar una opinin o conclusin independiente respecto de una entidad, operacin, funcin, proceso, sistema u otro asunto. La naturaleza y el alcance del trabajo de aseguramiento estn determinados por el auditor interno. Por lo general existen tres partes en los servicios de aseguramiento: (1) la persona o grupo directamente implicado en la entidad, operacin, funcin, proceso, sistema u otro asunto, es decir el dueo del proceso, (2) la persona o grupo que realiza la evaluacin, es decir el auditor interno, y (3) la persona o grupo que utiliza la evaluacin, es decir el usuario. Los servicios de consultora son por naturaleza consejos, y son desempeados, por lo general, a pedido de un cliente. La naturaleza y el alcance del trabajo de consultora estn sujetos al acuerdo efectuado con el cliente. Por lo general existen dos partes en los

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

29

servicios de consultora: (1) la persona o grupo que ofrece el consejo, es decir el auditor interno, y (2) la persona o grupo que busca y recibe el consejo, es decir el cliente del trabajo. Cuando desempea servicios de consultora, el auditor interno debe mantener la objetividad y no asumir responsabilidades de gestin. Las Normas se aplican a los auditores internos individualmente y a las actividades de auditoria interna. Todos los auditores internos son responsables de cumplir con las Normas relacionadas con la objetividad, aptitud y cuidado profesional. Adems, los auditores internos son responsables de cumplir con las Normas que son relevantes para el desempeo de su trabajo. Los Directores de Auditoria Interna son responsables del cumplimiento general de las Normas. La elaboracin y revisin de las Normas es un proceso continuo. El Comit Internacional de Normas de Auditora Interna realiza un extenso proceso de consulta y debate antes de emitir las Normas. Esto incluye la solicitud de comentarios en todo el mundo mediante el proceso de borrador de exposicin. Todos los borradores de exposicin son colocados en la pgina web del Instituto de Auditores Internos adems de ser distribuidos a todos losInstitutos locales.

Las sugerencias y comentarios sobre las Normas pueden enviarse a: The Institute of Internal Auditors Standards and Guidance 247 Maitland Ave. Altamonte Springs, Florida 32701 - USA E-mail: guidance@theiia.org Web: http://www.globaliia.org

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

31

Normas sobre atributos


1000 - Propsito, autoridad y responsabilidad
El propsito, la autoridad y la responsabilidad de la actividad de auditora interna deben estar formalmente definidos en un estatuto, de conformidad con la definicin de auditora interna, el Cdigo de tica y las Normas. El director de auditora interna debe revisar peridicamente el estatuto de auditora interna y presentarlo a la alta direccin y al Consejo para su aprobacin. Interpretacin:

El estatuto de auditora interna es un documento formal que define el propsito, la autoridad y la responsabilidad de la actividad de auditora interna. El estatuto de auditora interna establece la posicin de la actividad de auditora interna dentro de la organizacin, incluyendo la naturaleza de la relacin funcional del director de auditora interna con el Consejo; autoriza su acceso a los registros, al personal y a los bienes relevantes para el desempeo de los trabajos; y define el alcance de las actividades de auditora interna. La aprobacin final del estatuto de auditora interna corresponde al Consejo.
1000.A1 - La naturaleza de los servicios de aseguramiento proporcionados a la organizacin debe estar definida en el estatuto de auditora interna. Si los servicios de aseguramiento fueran proporcionados a terceros ajenos a la organizacin, la naturaleza de esos servicios tambin deber estar definida en el estatuto de auditora interna. 1000.C1 - La naturaleza de los servicios de consultora debe estar definida en el estatuto de auditora interna. 1010 - Reconocimiento de la definicin de auditora interna, el Cdigo de tica y las Normas en el estatuto de auditora interna La naturaleza obligatoria de la definicin de auditora interna, el Cdigo de tica y las Normas debe estar reconocida en el estatuto de auditora interna. El director de auditora interna debera tratar la definicin de auditora interna, el Cdigo de tica y las Normas con la alta direccin y el Consejo.

Marco Internacional para la Prctica Profesional de la Auditora Interna

32

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

1100 - Independencia y objetividad


La actividad de auditora interna debe ser independiente, y los auditores internos deben ser objetivos en el cumplimiento de su trabajo. Interpretacin:

La independencia es la libertad de condicionamientos que amenazan la capacidad de la actividad de auditora interna de llevar a cabo las responsabilidades de la actividad de auditora interna de forma neutral. Con el fin de lograr el grado de independencia necesario para cumplir eficazmente las responsabilidades de la actividad de auditora interna, el director de auditora interna debe tener acceso directo e irrestricto a la alta direccin y al Consejo. Esto puede lograrse mediante una relacin de doble dependencia. Las amenazas a la independencia deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional. La objetividad es una actitud mental neutral que permite a los auditores internos desempear su trabajo con honesta confianza en el producto de su labor y sin comprometer su calidad. La objetividad requiere que los auditores internos no subordinen su juicio sobre asuntos de auditora a otras personas. Las amenazas a la objetividad deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.
1110 - Independencia dentro de la organizacin El director de auditora interna debe responder ante un nivel jerrquico tal dentro de la organizacin que permita a la actividad de auditora interna cumplir con sus responsabilidades. El director de auditora interna debe ratificar ante el Consejo, al menos anualmente, la independencia que tiene la actividad de auditora interna dentro de la organizacin. Interpretacin:

La Independencia dentro de la organizacin se alcanza de forma efectiva cuando el Director de auditora interna depende funcionalmente del Consejo. Algunos ejemplos de dependencia funcional del Consejo implican que este: Apruebe el estatuto de auditora interna;

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

33

Apruebe el plan de auditora interna basado en riesgos; Apruebe el presupuesto de auditoria interna y el plan de recursos; Reciba comunicaciones peridicas del director de auditora interna sobre el desarrollo del plan de auditora interna y otros asuntos; Apruebe las decisiones referentes al nombramiento y cese del director de auditora interna; Apruebe la remuneracin del director de auditoria interna y; Formule las preguntas adecuadas a la direccin y al director de auditora interna para determinar si existen alcances inadecuados o limitaciones de recursos.
1110.A1 - La actividad de auditora interna debe estar libre de injerencias al determinar el alcance de auditora interna, al desempear su trabajo y al comunicar sus resultados. 1111 - Interaccin directa con el Consejo El director de auditora interna debe comunicarse e interactuar directamente con el Consejo de Administracin. 1120 - Objetividad individual Los auditores internos deben tener una actitud imparcial y neutral, y evitar cualquier conflicto de intereses. Interpretacin:

El conflicto de intereses es una situacin en la cual un auditor interno, que ocupa un puesto de confianza, tiene un inters personal o profesional en competencia con otros intereses. Tales intereses en competencia pueden hacerle difcil el cumplimiento imparcial de sus tareas. Puede existir un conflicto de intereses an cuando no se produzcan actos inadecuados o no ticos. Un conflicto de intereses puede crear una apariencia de deshonestidad que puede socavar la confianza en el auditor interno, la actividad de auditora interna y la profesin. Un conflicto de intereses podra menoscabar la capacidad de un individuo de desempear sus tareas y responsabilidades con objetividad.

Marco Internacional para la Prctica Profesional de la Auditora Interna

34

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

1130 - Impedimentos a la independencia u objetividad Si la independencia u objetividad se viese comprometida de hecho o en apariencia, los detalles del impedimento deben darse a conocer a las partes correspondientes. La naturaleza de esta comunicacin depender del impedimento. Interpretacin:

El impedimento o menoscabo a la independencia de la organizacin y a la objetividad individual puede incluir, entre otros, a los conflictos de intereses, limitaciones al alcance, restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos tales como el financiero. La determinacin de las partes apropiadas a quienes deben exponerse los detalles de un impedimento a la independencia u objetividad depende de la expectativas sobre las responsabilidades de la actividad de auditora interna y del director de auditora interna ante la alta direccin y el Consejo segn se describe en el estatuto de auditora interna, as como de la naturaleza del impedimento.
1130.A1 - Los auditores internos deben abstenerse de evaluar operaciones especficas de las cuales hayan sido previamente responsables. Se presume que hay impedimento de objetividad si un auditor interno proporciona servicios de aseguramiento para una actividad de la cual l mismo haya tenido responsabilidades en el ao inmediato anterior. 1130.A2 - Los trabajos de aseguramiento para funciones por las cuales el director de auditora interna tiene responsabilidades deben ser supervisadas por alguien fuera de la actividad de auditora interna. 1130.C1 - Los auditores internos pueden proporcionar servicios de consultora relacionados con operaciones de las cuales hayan sido previamente responsables. 1130.C2 - Si los auditores internos tuvieran impedimentos potenciales a la independencia u objetividad relacionados con la proposicin de servicios de consultora, deber declararse esta situacin al cliente antes de aceptar el trabajo.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

35

1200 - Aptitud y cuidado profesional


Los trabajos deben cumplirse con aptitud y cuidado profesional adecuados. 1210 - Aptitud Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades individuales. La actividad de auditora interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades. Interpretacin:

Los conocimientos, las aptitudes y otras competencias es un trmino colectivo que se refiere a la aptitud profesional requerida al auditor interno para llevar a cabo eficazmente sus responsabilidades profesionales. Se alienta a los auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como la designacin de auditor interno certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas.
1210.A1 - El director de auditora interna debe obtener asesoramiento y asistencia competentes en caso de que los auditores internos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la totalidad o parte del trabajo. 1210.A2 - Los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organizacin, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la deteccin e investigacin del fraude. 1210.A3 - Los auditores internos deben tener conocimientos suficientes de los riesgos y controles clave en tecnologa de la informacin y de las tcnicas de auditora interna disponibles basadas en tecnologa que le permitan desempear el trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditora de tecnologa de la informacin. 1210.C1 - El director de auditora interna no debe aceptar un servicio de consultora, o bien debe obtener asesoramiento y asistencia competentes, en caso de que los audi-

Marco Internacional para la Prctica Profesional de la Auditora Interna

36

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

tores internos carezcan de los conocimientos, las aptitudes y otras competencias necesarias para desempear la totalidad o parte del trabajo. 1220 - Cuidado profesional Los auditores internos deben cumplir su trabajo con el cuidado y la aptitud que se esperan de un auditor interno razonablemente prudente y competente. El cuidado profesional adecuado no implica infalibilidad. 1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar: El alcance necesario para alcanzar los objetivos del trabajo; La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento; La adecuacin y eficacia de los procesos de gobierno, gestin de riesgos y control; La probabilidad de errores materiales, fraude o incumplimientos; y El coste de aseguramiento en relacin con los beneficios potenciales. 1220.A2 - Al ejercer el debido cuidado profesional el auditor interno debe considerar la utilizacin de auditora basada en tecnologa y otras tcnicas de anlisis de datos. 1220.A3 - El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos, las operaciones o los recursos. Sin embargo, los procedimientos de aseguramiento por s solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no garantizan que todos los riesgos materiales sean identificados. 1220.C1 - El auditor interno debe ejercer el debido cuidado profesional durante un trabajo de consultora, teniendo en cuenta lo siguiente: Las necesidades y expectativas de los clientes, incluyendo la naturaleza, oportunidad y comunicacin de los resultados del trabajo; La complejidad relativa y la extensin de la tarea necesaria para cumplir los objetivos del trabajo; y El coste del trabajo de consultora en relacin con los beneficios potenciales. 1230 - Desarrollo profesional continuo Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras competencias mediante la formacin profesional continua.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

37

1300 - Programa de aseguramiento y mejora de la calidad


El director de auditora interna debe desarrollar y mantener un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad de auditora interna. Interpretacin:

Un programa de aseguramiento y mejora de la calidad est concebido para permitir una evaluacin del cumplimiento de la definicin de auditora interna y las Normas por parte de la actividad de auditora interna, y una evaluacin de si los auditores internos aplican el Cdigo de tica. Este programa tambin evala la eficiencia y eficacia de la actividad de auditora interna e identifica oportunidades de mejora.
1310 - Requisitos del programa de aseguramiento y mejora de la calidad El programa de aseguramiento y mejora de la calidad debe incluir tanto evaluaciones internas como externas. 1311 - Evaluaciones internas Las evaluaciones internas deben incluir: El seguimiento continuo del desempeo de la actividad de auditora interna, y Autoevaluaciones peridicas o evaluaciones por parte de otras personas dentro de la organizacin con conocimientos suficientes de las prcticas de auditora interna. Interpretacin:

El seguimiento continuo forma parte integral de la supervisin, revisin y medicin del da a da de la actividad de auditora interna. Est incorporada en las prcticas y polticas de rutina usadas para administrar la actividad de auditora interna, y utiliza procesos, herramientas e informacin considerados necesarios para evaluar el cumplimiento de la definicin de auditora interna y las Normas, y la aplicacin del Cdigo de tica. Las evaluaciones peridicas se realizan para evaluar el cumplimiento de la definicin de auditora interna, el Cdigo de tica y las Normas.

Marco Internacional para la Prctica Profesional de la Auditora Interna

38

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

Los conocimientos suficientes de las prcticas de auditora interna requieren un entendimiento de todos los elementos del Marco Internacional para la Prctica Profesional.
1312 - Evaluaciones externas Deben realizarse evaluaciones externas al menos una vez cada cinco aos por un evaluador o equipo de evaluacin cualificado e independiente, proveniente de fuera de la organizacin. El director de auditora interna debe tratar con el Consejo: La forma y frecuencia de las evaluaciones externas; y Las cualificaciones e independencia del evaluador o equipo de evaluacin externo, incluyendo cualquier conflicto de intereses potencial. Interpretacin:

Las evaluaciones externas pueden realizarse como una evaluacin externa completa o una autoevaluacin con validacin externa independiente. Un evaluador o equipo de evaluacin cualificado demuestra su competencia en dos reas: la prctica profesional de la auditora interna y el proceso de evaluacin externa. La competencia puede demostrarse a travs de un equilibrio de experiencia y conocimiento terico. La experiencia obtenida en organizaciones de tamao similar, complejidad, sector o industria y de similar contenido tcnico es ms valiosa que la experiencia en otras reas menos relevantes. En el caso de un equipo de evaluacin, no es necesario que todos los miembros cuenten con todas las competencias; es el equipo en su conjunto el que est cualificado. El director de auditora interna utilizar su juicio profesional para valorar si un evaluador o equipo de evaluacin demuestra la competencia suficiente para considerarse cualificado. Un evaluador o equipo de evaluacin independiente es aqul que no tiene conflictos de intereses reales o aparentes, y no forma parte ni est bajo el control de la organizacin a la cual pertenece la actividad de auditora interna.
1320 - Informe sobre el programa de aseguramiento y mejora de la calidad El director de auditora interna debe comunicar los resultados del programa de aseguramiento y mejora de la calidad a la alta direccin y al Consejo. Interpretacin:

La forma, el contenido y la frecuencia de la comunicacin de resultados del programa de aseguramiento y mejora de la calidad se establecen mediante comentarios con la

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

39

alta direccin y el Consejo, y tienen en cuenta las responsabilidades de la actividad de auditora interna y del director de auditora interna segn lo indica el estatuto de auditora interna. Para demostrar el cumplimiento de la definicin de auditora interna, el Cdigo de tica y las Normas. Los resultados de las evaluaciones peridicas internas y externas se comunican al finalizar tales evaluaciones, y los resultados de la vigilancia continua se comunican al menos anualmente. Los resultados incluyen la evaluacin del evaluador o equipo de evaluacin con respecto al grado de cumplimiento.
1321 - Utilizacin de Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna" El director de auditora interna puede manifestar que la actividad de auditora interna cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna slo si los resultados del programa de aseguramiento y mejora de la calidad apoyan esa declaracin. Interpretacin:

La actividad de auditora interna cumple con las Normas cuando alcanza los resultados descritos en la definicin de auditora interna, el cdigo de tica y las Normas. Los resultados del programa de aseguramiento y mejora de la calidad incluyen los resultados tanto de las evaluaciones internas como de las externas. Toda actividad de auditora interna tendr resultados de evaluaciones internas. Aquellas actividades cuya existencia exceda los cinco aos tendrn tambin resultados de evaluaciones externas.
1322 - Declaracin de incumplimiento Cuando el incumplimiento de la definicin de auditora interna, el Cdigo de tica o las Normas afecta el alcance u operacin general de la actividad de auditora interna, el director de auditora interna debe declarar el incumplimiento y su impacto ante la alta direccin y el Consejo.

Marco Internacional para la Prctica Profesional de la Auditora Interna

40

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

Normas sobre desempeo


2000 - Administracin de la actividad de auditora interna
El director de auditora interna debe gestionar eficazmente la actividad de auditora interna para asegurar que aada valor a la organizacin. Interpretacin:

La actividad de auditora interna est gestionada de forma eficaz cuando: Los resultados del trabajo de la actividad de auditora interna cumplen con el propsito y la responsabilidad incluidos en el estatuto de auditora interna, La actividad de auditora interna cumple la definicin de auditora interna y las Normas, y Los individuos que forman parte de la actividad de auditora interna demuestran cumplir con el Cdigo de tica y las Normas. La actividad de auditora interna aade valor a la organizacin (y a sus partes interesadas) cuando proporciona aseguramiento objetivo y relevante, y contribuye a la eficacia y eficiencia de los procesos de gobierno, gestin de riesgos y control.
2010 - Planificacin El director de auditora interna debe establecer un plan basado en los riesgos, a fin de determinar las prioridades de la actividad de auditora interna. Dichos planes debern ser consistentes con las metas de la organizacin. Interpretacin:

El director de auditora interna es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestin de riesgos de la organizacin, incluyendo los niveles de aceptacin de riesgos establecidos por la direccin para las diferentes actividades o partes de la organizacin. Si no existe tal enfoque, el director de auditora interna utilizar su propio juicio sobre los riesgos despus de considerar las aportaciones de la alta direccin y el Consejo. El director de auditoria interna debe revisar y ajustar el plan, cuando sea necesario, como respuesta a los cambios en el negocio de, los riesgos, las operaciones, los programas, los sistemas y los controles.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

41

2010.A1 - El plan de trabajo de la actividad de auditora interna debe estar basado en una evaluacin de riesgos documentada, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta direccin y del Consejo. 2010.A2 - El director de auditora interna debe identificar y considerar las expectativas de la alta direccin, el Consejo y otras partes interesadas de cara a emitir opiniones de auditora interna y otras conclusiones. 2010.C1 - El director de auditora interna debera considerar la aceptacin de trabajos de consultora que le sean propuestos, basndose en el potencial del trabajo para mejorar la gestin de riesgos, aadir valor y mejorar las operaciones de la organizacin. Los trabajos aceptados deben ser incluidos en el plan. 2020 - Comunicacin y aprobacin El director de auditora interna debe comunicar los planes y requerimientos de recursos de la actividad de auditora interna, incluyendo los cambios provisionales significativos, a la alta direccin y al Consejo para la adecuada revisin y aprobacin. El director de auditora interna tambin debe comunicar el impacto de cualquier limitacin de recursos. 2030 - Administracin de recursos El director de auditora interna debe asegurar que los recursos de auditora interna sean apropiados, suficientes y eficazmente asignados para cumplir con el plan aprobado. Interpretacin:

Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar a cabo el plan. Suficientes se refiere a la cantidad de recursos necesarios para cumplir con el plan. Los recursos estn eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan aprobado.
2040 - Polticas y procedimientos El director de auditora interna debe establecer polticas y procedimientos para guiar la actividad de auditora interna. Interpretacin:

La forma y el contenido de las polticas y procedimientos deben ser apropiados al tamao y estructura de la actividad de auditora interna y de la complejidad de su trabajo.

Marco Internacional para la Prctica Profesional de la Auditora Interna

42

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

2050 - Coordinacin El director de auditora interna debera compartir informacin y coordinar actividades con otros proveedores internos y externos de servicios de aseguramiento y consultora para asegurar una cobertura adecuada y minimizar la duplicacin de esfuerzos. 2060 - Informe a la alta direccin y al Consejo El director de auditora interna debe informar peridicamente a la alta direccin y al Consejo sobre la actividad de auditora interna en lo referido al propsito, autoridad, responsabilidad y desempeo de su plan. El informe tambin debe incluir exposiciones al riesgo y cuestiones de control significativas, cuestiones de gobierno y otros asuntos necesarios o requeridos por la alta direccin y el Consejo. Interpretacin:

La frecuencia y el contenido del informe estn determinados por comentarios con la alta direccin y el Consejo, y dependen de la importancia de la informacin a ser comunicada y la urgencia de las acciones a seguir por parte de la alta direccin y el Consejo.
2070 - Proveedor de servicios externos y responsabilidad de la organizacin sobre auditora interna Cuando un proveedor de servicios externos presta servicios de auditora interna, dicho proveedor debe poner en conocimiento de la organizacin que esta ltima retiene la responsabilidad de mantener una funcin de auditora interna efectiva. Interpretacin:

Esta responsabilidad se demuestra a travs del programa de aseguramiento y mejora de la calidad que evala el cumplimiento con la definicin de auditora interna, el cdigo de tica y las Normas.

2100 - Naturaleza del trabajo


La actividad de auditora interna debe evaluar y contribuir a la mejora de los procesos de gobierno, gestin de riesgos y control, utilizando un enfoque sistemtico y disciplinado.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

43

2110 - Gobierno La actividad de auditora interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos: Promover la tica y los valores apropiados dentro de la organizacin; Asegurar la gestin y responsabilidad eficaces en el desempeo de la organizacin; Comunicar la informacin de riesgo y control a las reas adecuadas de la organizacin; y Coordinar las actividades y la informacin de comunicacin entre el Consejo de Administracin, los auditores internos y externos, y la direccin. 2110.A1 - La actividad de auditora interna debe evaluar el diseo, implantacin y eficacia de los objetivos, programas y actividades de la organizacin relacionados con la tica. 2110.A2 - La actividad de auditora interna debe evaluar si el gobierno de tecnologa de la informacin de la organizacin apoya las estrategias y objetivos de la organizacin. 2120 - Gestin de riesgos La actividad de auditora interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestin de riesgos. Interpretacin:

Determinar si los procesos de gestin de riesgos son eficaces es un juicio que resulta de la evaluacin que efecta el auditor interno de que: Los objetivos de la organizacin apoyan a la misin de la organizacin y estn alineados con la misma, Los riesgos significativos estn identificados y evaluados, Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con la aceptacin de riesgos por parte de la organizacin, y

Marco Internacional para la Prctica Profesional de la Auditora Interna

44

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

Se capta informacin sobre riesgos relevantes, permitiendo al personal, la direccin y el Consejo cumplir con sus responsabilidades, y se comunica dicha informacin oportunamente a travs de la organizacin. La actividad de auditora interna rene la informacin necesaria para soportar esta evaluacin mediante mltiples trabajos de auditora. El resultado de estos trabajos, observado de forma conjunta, proporciona un entendimiento de los procesos de gestin de riesgos de la organizacin y su eficacia. Los procesos de gestin de riesgos son vigilados mediante actividades de administracin continuas, evaluaciones por separado, o ambas.
2120.A1 - La actividad de auditora interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de informacin de la organizacin, con relacin a lo siguiente: Logro de los objetivos estratgicos de la organizacin, Fiabilidad de integridad de la informacin financiera y operativa, Eficacia y eficiencia de las operaciones y programas, Proteccin de activos, y Cumplimiento de leyes, regulaciones, polticas, procedimientos y contratos. 2120.A2 - La actividad de auditora interna debe evaluar la posibilidad de ocurrencia de fraude y cmo la organizacin gestiona el riesgo de fraude. 2120.C1 - Durante los trabajos de consultora, los auditores internos deben considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos. 2120.C2 - Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultora en su evaluacin de los procesos de gestin de riesgos de la organizacin.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

45

2120.C3 - Cuando ayudan a la direccin a establecer o mejorar los procesos de gestin de riesgos, los auditores internos deben abstenerse de asumir cualquier responsabilidad propia de la direccin, como es la gestin de riesgos. 2130 - Control La actividad de auditora interna debe asistir a la organizacin en el mantenimiento de controles efectivos, mediante la evaluacin de la eficacia y eficiencia de los mismos y promoviendo la mejora continua. 2130.A1 - La actividad de auditora interna debe evaluar la adecuacin y eficacia de los controles en respuesta a los riesgos del gobierno, operaciones y sistemas de informacin de la organizacin, respecto de lo siguiente: Logro de los objetivos estratgicos de la organizacin, Fiabilidad de integridad de la informacin financiera y operativa, Eficacia y eficiencia de las operaciones y programas, Proteccin de activos, y Cumplimiento de leyes, regulaciones, polticas, procedimientos y contratos. 2130.C1 - Los auditores internos deben incorporar los conocimientos de los controles que han obtenido de los trabajos de consultora en su evaluacin de los procesos de control de la organizacin.

2200 - Planificacin del trabajo


Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance, objetivos, tiempo y asignacin de recursos. 2201 - Consideraciones sobre planificacin Al planificar el trabajo, los auditores internos deben considerarr: Los objetivos de la actividad que est siendo revisada y los medios con los cuales la actividad controla su desempeo;

Marco Internacional para la Prctica Profesional de la Auditora Interna

46

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

Los riesgos significativos de la actividad, sus objetivos, recursos y operaciones, y los medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable; La adecuacin y eficacia de los procesos de gobierno, gestin de riesgos y control de la actividad comparados con un enfoque o modelo relevante; y Las oportunidades de introducir mejoras significativas en los procesos de gobierno, gestin de riesgos y control de la actividad. 2201.A1 - Cuando se planifica un trabajo para partes ajenas a la organizacin, los auditores internos deben establecer un acuerdo escrito con ellas respecto de los objetivos, el alcance, las responsabilidades correspondientes y otras expectativas, incluyendo las restricciones a la distribucin de los resultados del trabajo y el acceso a los registros del mismo. 2201.C1 - Los auditores internos deben establecer un acuerdo con los clientes de trabajos de consultora, referido a objetivos, alcance, responsabilidades respectivas y dems expectativas de los clientes. En el caso de trabajos significativos, este acuerdo debe estar documentado. 2210 - Objetivos del trabajo Deben establecerse objetivos para cada trabajo. 2210.A1 - Los auditores internos deben realizar una evaluacin preliminar de los riesgos relevantes para la actividad bajo revisin. Los objetivos del trabajo deben reflejar los resultados de esta evaluacin. 2210.A2 - El auditor interno debe considerar la probabilidad de errores, fraude, incumplimientos y otras exposiciones significativas al elaborar los objetivos del trabajo. 2210.A3 - Se requieren criterios adecuados para evaluar el gobierno, la gestin de riesgos y los controles. Los auditores internos deben cerciorarse del alcance hasta el cual la direccin y/o el Consejo han establecido criterios adecuados para determinar si los objetivos y metas han sido cumplidos. Si fuera apropiado, los auditores internos

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

47

deben utilizar dichos criterios en su evaluacin. Si no fuera apropiado, los auditores internos deben trabajar con la direccin y/o el Consejo para desarrollar criterios de evaluacin adecuados. 2210.C1 - Los objetivos de los trabajos de consultora deben considerar los procesos de gobierno, riesgo y control, hasta el grado de extensin acordado con el cliente. 2210.C2 - Los objetivos de los trabajos de consultora deben ser compatibles con los valores, estrategias y objetivos de la organizacin. 2220 - Alcance del trabajo El alcance establecido debe ser suficiente para alcanzar los objetivos del trabajo. 2220.A1 - El alcance del trabajo debe tener en cuenta los sistemas, registros, personal y bienes relevantes, incluso aquellos bajo el control de terceros. 2220.A2 - Si durante la realizacin de un trabajo de aseguramiento surgen oportunidades de realizar trabajos de consultora significativos, debera lograrse un acuerdo escrito especfico en cuanto a los objetivos, alcance, responsabilidades respectivas y otras expectativas. Los resultados del trabajo de consultora deben ser comunicados de acuerdo con las normas de consultora. 2220.C1 - Al desempear trabajos de consultora, los auditores internos deben asegurar que el alcance del trabajo sea suficiente para cumplir los objetivos acordados. Si los auditores internos encontraran restricciones al alcance durante el trabajo, estas restricciones debern tratarse con el cliente para determinar si se contina con el trabajo. 2220.C2 - Durante los trabajos de consultora, los auditores internos deben considerar los controles consistentes con los objetivos del trabajo y estar alertas a los asuntos de control significativos. 2230 - Asignacin de recursos para el trabajo Los auditores internos deben determinar los recursos adecuados y suficientes para lograr los objetivos del trabajo, basndose en una evaluacin de la naturaleza y complejidad de cada trabajo, las restricciones de tiempo y los recursos disponibles.

Marco Internacional para la Prctica Profesional de la Auditora Interna

48

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

2240 - Programa de trabajo Los auditores internos deben preparar y documentar programas que cumplan con los objetivos del trabajo. 2240.A1 - Los programas de trabajo deben incluir los procedimientos para identificar, analizar, evaluar y documentar informacin durante la tarea. El programa de trabajo debe ser aprobado con anterioridad a su implantacin y cualquier ajuste ha de ser aprobado oportunamente. 2240.C1 - Los programas de trabajo de los servicios de consultora pueden variar en forma y contenido dependiendo de la naturaleza del trabajo.

2300 - Desempeo del trabajo


Los auditores internos deben identificar, analizar, evaluar y documentar suficiente informacin de manera tal que les permita cumplir con los objetivos del trabajo. 2310 - Identificacin de la informacin Los auditores internos deben identificar informacin suficiente, fiable, relevante y til de manera tal que les permita alcanzar los objetivos del trabajo. Interpretacin:

La informacin suficiente est basada en hechos, es adecuada y convincente, de modo que una persona prudente e informada sacara las mismas conclusiones que el auditor interno. La informacin fiable es la mejor informacin que se puede obtener mediante el uso de tcnicas de trabajo apropiadas. La informacin relevante apoya las observaciones y recomendaciones del trabajo y es compatible con sus objetivos. La informacin til ayuda a la organizacin a cumplir con sus metas.
2320 - Anlisis y evaluacin Los auditores internos deben basar sus conclusiones y los resultados del trabajo en anlisis y evaluaciones adecuados.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

49

2330 - Documentacin de la informacin Los auditores internos deben documentar informacin relevante que les permita soportar las conclusiones y los resultados del trabajo. 2330.A1 - El director de auditora interna debe controlar el acceso a los registros del trabajo. El director de auditora interna debe obtener la aprobacin de la alta direccin o de asesores legales antes de dar a conocer tales registros a terceros, segn corresponda. 2330.A2 - El director de auditora interna debe establecer requisitos de retencin para los registros del trabajo, sea cual fuere el medio en el cual se almacena cada registro. Estos requisitos de retencin deben ser consistentes con las guas de la organizacin y cualquier regulacin u otros requisitos pertinentes. 2330.C1 - El director de auditora interna debe establecer polticas sobre la custodia y retencin de los registros de trabajos de consultora, y sobre la posibilidad de darlos a conocer a terceras partes, internas o externas. Estas polticas deben ser consistentes con las guas de la organizacin y cualquier regulacin u otros requisitos pertinentes. 2340 - Supervisin del trabajo Los trabajos deben ser adecuadamente supervisados para asegurar el logro de sus objetivos, la calidad del trabajo y el desarrollo del personal. Interpretacin:

El alcance de la supervisin requerida depender de la pericia y experiencia de los auditores internos y de la complejidad del trabajo. El director de auditora interna tiene la responsabilidad general de la supervisin del trabajo, ya sea que haya sido desempeado por la actividad de auditora interna o para ella, pero puede designar a miembros adecuadamente experimentados de la actividad de auditora interna para llevar a cabo esta tarea. Se debe documentar y conservar evidencia adecuada de la supervisin.

Marco Internacional para la Prctica Profesional de la Auditora Interna

50

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

2400 - Comunicacin de resultados


Los auditores internos deben comunicar los resultados de los trabajos. 2410 - Criterios para la comunicacin Las comunicaciones deben incluir los objetivos y alcance del trabajo as como las conclusiones correspondientes, las recomendaciones, y los planes de accin. 2410.A1 - La comunicacin final de los resultados del trabajo debe incluir, si corresponde, la opinin y/o las conclusiones del auditor interno. Cuando se emite una opinin o conclusin, debe considerar las expectativas del Consejo, la alta direccin y otras partes interesadas y debe estar soportada por informacin suficiente, fiable, relevante y til. Interpretacin:

Las opiniones en los trabajos de auditora interna pueden ser clasificaciones (ratings), conclusiones u otras descripciones de los resultados. Un trabajo de auditora interna puede estar relacionado con controles sobre un proceso especfico, riego o unidad de negocio. La formulacin de opiniones al respecto requiere de la consideracin de los resultados del trabajo y su importancia.
2410.A2 - Se alienta a los auditores internos a reconocer en las comunicaciones del trabajo cuando se observa un desempeo satisfactorio. 2410.A3 - Cuando se enven resultados de un trabajo a partes ajenas a la organizacin, la comunicacin debe incluir las limitaciones a la distribucin y uso de los resultados. 2410.C1 - Las comunicaciones sobre el progreso y los resultados de los trabajos de consultora variarn en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del cliente.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

51

2420 - Calidad de la comunicacin Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas. Interpretacin:

Las comunicaciones precisas estn libres de errores y distorsiones y son fieles a los hechos que describen. Las comunicaciones objetivas son justas, imparciales y sin desvos y son el resultado de una evaluacin justa y equilibrada de todos los hechos y circunstancias relevantes. Las comunicaciones claras son fcilmente comprensibles y lgicas, evitando el lenguaje tcnico innecesario y proporcionando toda la informacin significativa y relevante. Las comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles superfluos, redundancia y uso excesivo de palabras. Las comunicaciones constructivas son tiles para el cliente del trabajo y la organizacin, y conducen a mejoras que son necesarias. A las comunicaciones completas no les falta nada que sea esencial para los receptores principales e incluyen toda la informacin y observaciones significativas y relevantes para apoyar a las recomendaciones y conclusiones. Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes, dependiendo de la significatividad del tema, permitiendo a la direccin tomar la accin correctiva apropiada.
2421 - Errores y omisiones Si una comunicacin final contiene un error u omisin significativos, el director de auditora interna debe comunicar la informacin corregida a todas las partes que recibieron la comunicacin original. 2430 - Uso de Realizado de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna Los auditores internos pueden informar que sus trabajos son realizados de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna slo si los resultados del programa de aseguramiento y mejora de la calidad respaldan dicha afirmacin.

Marco Internacional para la Prctica Profesional de la Auditora Interna

52

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

2431 - Declaracin de incumplimiento de las Normas Cuando el incumplimiento de la Definicin de Auditora Interna, el Cdigo de tica o de las Normas afecta a un trabajo especfico, la comunicacin de los resultados de ese trabajo debe exponer: El principio o regla de conducta del Cdigo de tica, o las Normas con las cuales no se cumpli totalmente, Las razones del incumplimiento, y El impacto del incumplimiento sobre ese trabajo y los resultados comunicados del mismo. 2440 - Difusin de resultados El director de auditora interna debe difundir los resultados a las partes apropiadas. Interpretacin:

El director de auditora interna debe revisar y aprobar la comunicacin final del trabajo antes de su emisin y decidir a quines y cmo ser distribuida dicha comunicacin. El director de auditoria interna retiene la responsabilidad ltima, aunque delegue estas tareas.
2440.A1 - El director de auditora interna es responsable de comunicar los resultados finales a las partes que puedan asegurar que se d a los resultados la debida consideracin. 2440.A2 - A menos de que exista obligacin legal, estatutaria o de regulaciones en contrario, antes de enviar los resultados a partes ajenas a la organizacin, el director de auditora interna debe: Evaluar el riesgo potencial para la organizacin. Consultar con la alta direccin y/o el asesor legal, segn corresponda; y Controlar la difusin, restringiendo la utilizacin de los resultados. 2440.C1 - El director de auditora interna es responsable de comunicar los resultados finales de los trabajos de consultora a los clientes.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

53

2440.C2 - Durante los trabajos de consultora pueden identificarse cuestiones referidas a gobierno, gestin de riesgos y control. En el caso de que estas cuestiones sean significativas para la organizacin, deben ser comunicadas a la alta direccin y al Consejo. 2450 - Opiniones globales Cuando se emite una opinin global, debe considerar las expectativas de la alta direccin, el Consejo, y otras partes interesadas y debe ser soportada por informacin suficiente, fiable, relevante y til. Interpretacin:

La comunicacin identificar: El alcance, incluyendo el periodo de tiempo al que se refiere la opinin; Las limitaciones al alcance; La consideracin de todos los proyectos relacionados incluyendo cuando se confe en otros proveedores de aseguramiento; El riesgo, marco de control u otros criterios utilizados como base para la opinin global; y La opinin global, juicio o conclusin alcanzada. Cuando existe una opinin global que no es favorable, deben exponerse las causas de esta opinin.

2500 - Seguimiento del progreso


El director de auditora interna debe establecer y mantener un sistema para vigilar la disposicin de los resultados comunicados a la direccin. 2500.A1 - El director de auditora interna debe establecer un proceso de seguimiento para vigilar y asegurar que las acciones de la direccin hayan sido implantadas eficazmente o que la alta direccin haya aceptado el riesgo de no tomar medidas.

Marco Internacional para la Prctica Profesional de la Auditora Interna

54

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna

2500.C1 - La actividad de auditora interna debe vigilar la disposicin de los resultados de los trabajos de consultora, hasta el grado de alcance acordado con el cliente.

2600 - Comunicacin de la aceptacin de los riesgos


Cuando el director de auditora interna concluya que la direccin ha aceptado un nivel de riesgo que pueda ser inaceptable para la organizacin, debe tratar este asunto con la alta direccin. Si el director de auditora interna determina que el asunto no ha sido resuelto, el director de auditora interna debe comunicar esta situacin al Consejo. Interpretacin:

La identificacin del riesgo aceptado por la direccin puede observarse a travs de un trabajo de aseguramiento o consultora, a travs del seguimiento del progreso sobre las acciones tomadas por la direccin como resultado de anteriores trabajos, o a travs de otros medios. El director de auditora interna no tiene la responsabilidad de resolver el riesgo.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Glosario

55

Glosario
Aceptacin del riesgo El nivel de riesgo que una organizacin est dispuesta a aceptar. Actividad de auditora interna Un departamento, divisin, equipo de consultores, u otro/s practicante/s que proporciona/n servicios independientes y objetivos de aseguramiento y consulta, concebidos para agregar valor y mejorar las operaciones de una organizacin. La actividad de auditora interna ayuda a una organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno. Aadir / Agregar valor La actividad de auditora interna aade valor a la organizacin (y sus partes interesadas) cuando proporciona aseguramiento objetivo y relevante, y contribuye a la eficacia de los procesos de gobierno, gestin de riesgos y control. Cdigo de tica El Cdigo de tica del Instituto de Auditores Internos (The Institute of Internal Auditors - IIA) es una serie de principios significativos para la profesin y el ejercicio de la auditora interna, y de Reglas de Conducta que describen el comportamiento que se espera de los auditores internos. El Cdigo de tica se aplica tanto a las personas como a las entidades que suministran servicios de auditora interna. El propsito del Cdigo de tica es promover una cultura tica en la profesin global de auditora interna. Conflicto de intereses Se refiere a cualquier relacin que vaya o parezca ir en contra del mejor inters de la organizacin. Un conflicto de intereses puede menoscabar la capacidad de una persona para desempear sus obligaciones y responsabilidades de manera objetiva. Consejo El trmino Consejo se refiere al cuerpo de gobierno de alto nivel de una organizacin, que tiene la responsabilidad de dirigir y/o supervisar las actividades y la gestin de la organizacin. Normalmente, se compone de un grupo independiente de consejeros/directores (por ejemplo, el consejo de administracin, un consejo supervisor, directorio o un consejo de gobernadores). Si no existe este grupo, el consejo se referir a la parte superior de la organizacin. El Consejo puede referirse a un comit de auditora en el cual el cuerpo de gobierno a delegado ciertas funciones.

Marco Internacional para la Prctica Profesional de la Auditora Interna

56

Glosario

Control Cualquier medida que tome la direccin, el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La direccin planifica, organiza y dirige la realizacin de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarn los objetivos y metas. Control adecuado Es el que est presente si la direccin ha planificado y organizado (diseado) las operaciones de manera tal que proporcionen un aseguramiento razonable de que los objetivos y metas de la organizacin sern alcanzados de forma eficiente y econmica. Controles de tecnologa de la informacin Controles que soportan la gestin y el gobierno del negocio, y proporcionan controles generales y tcnicos sobre las infraestructuras de tecnologa de la informacin tales como aplicaciones, informacin, infraestructura y personas. Cumplimiento Adhesin a las polticas, planes, procedimientos, leyes, regulaciones, contratos y otros requerimientos. Debe Las Normas emplean la palabra debe para referirse a un requisito incondicional. Debera Las Normas emplean la palabra debera donde se espera cumplimiento a menos que las circunstancias, basadas en el juicio profesional, justifiquen alguna desviacin. Director de Auditora Interna (Director Ejecutivo de Auditora) El director de auditora interna describe a la persona en un puesto de alto directivo (senior) responsable de la gestin efectiva de la actividad de auditora interna de acuerdo con el estatuto de auditora interna y la definicin de auditora interna, el cdigo de tica y las Normas. El director de auditora interna u otros a su cargo tendrn las certificaciones y cualificacin apropiadas. El nombre del puesto especfico del director de auditora interna puede variar segn la organizacin. Entorno / Ambiente de control Se refiere a la actitud y a las acciones del Consejo y de la direccin respecto a la importancia del control dentro de la organizacin. El entorno de control proporciona disciplina y estructu-

Marco Internacional para la Prctica Profesional de la Auditora Interna

Glosario

57

ra para la consecucin de los objetivos principales del sistema de control interno. El entorno de control consta de los siguientes elementos: Integridad y valores ticos. Filosofa de direccin y estilo de gestin. Estructura de la organizacin. Asignacin de autoridad y responsabilidad. Polticas y prcticas de recursos humanos. Compromiso de competencia profesional. Estatuto El Estatuto de la actividad de auditora interna es un documento formal escrito que define el propsito, autoridad y responsabilidad de la actividad de auditora interna. El Estatuto establece la posicin de la actividad de auditora interna dentro de la organizacin, autoriza el acceso a los registros, al personal y a los bienes pertinentes para la ejecucin de los trabajos, y define el mbito de actuacin de las actividades de auditora interna. Fraude Cualquier acto ilegal caracterizado por engao, ocultacin o violacin de confianza. Estos actos no requieren la aplicacin de amenaza de violencia o de fuerza fsica. Los fraudes son perpetrados por individuos y por organizaciones para obtener dinero, bienes o servicios, para evitar pagos o prdidas de servicios, o para asegurarse ventajas personales o de negocio. Gestin de riesgos Un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organizacin. Gobierno La combinacin de procesos y estructuras implantados por el Consejo de Administracin para informar, dirigir, gestionar y vigilar las actividades de la organizacin con el fin de lograr sus objetivos. Gobierno de tecnologa de la informacin Consiste en el liderazgo, las estructuras de la organizacin y los procesos que aseguran que la tecnologa de la informacin de la empresa soporta las estrategias y objetivos de la organizacin. Independencia Libertad de condicionamientos que amenazan la capacidad de la actividad de auditora interna para llevar a cabo sus responsabilidades de forma imparcial.

Marco Internacional para la Prctica Profesional de la Auditora Interna

58

Glosario

Impedimentos o menoscabos Los impedimentos o menoscabos a la independencia de la organizacin y a la objetividad individual pueden incluir conflicto de intereses personales; limitaciones al alcance; restricciones al acceso a los registros, al personal y a los bienes; y limitaciones de recursos (fondos). Marco Internacional para la Prctica Profesional Marco conceptual que organiza la gua de orientacin autorizada, promulgada por el IIA. La Gua de Orientacin Autorizada incluye dos categoras (1) obligatoria y (2) aceptada y recomendada enrgicamente. Norma Un pronunciamiento profesional promulgado por el Consejo de Normas de Auditora Interna que describe los requerimientos para desempear un amplio rango de actividades de auditora interna y para evaluar el desempeo de la auditora interna. Objetividad Es una actitud mental independiente, que permite que los auditores internos lleven a cabo sus trabajos con confianza en el producto de su labor y sin comprometer su calidad. La objetividad requiere que los auditores internos no subordinen su juicio al de otros sobre temas de auditora. Objetivos del trabajo Declaraciones generales establecidas por los auditores internos que definen los logros pretendidos del trabajo. Opiniones de los trabajos La valoracin, conclusin, y/u otra descripcin de los resultados de un trabajo de auditoria interna individual, relacionado con aquellos aspectos dentro de los objetivos y el alcance del trabajo. Opinin General La valoracin, conclusin, y/u otra descripcin de los resultados proporcionados por el director de auditoria interna que aborda, a un amplio nivel, el gobierno, la gestin de riesgos, y/o los procesos de control de la organizacin. Una opinin general es el juicio profesional del director de auditoria interna basado en los resultados de un nmero de trabajos individuales y otras actividades para un intervalo especfico de tiempo. Procesos de control Las polticas, procedimientos (manuales y automticas) y actividades, los cuales forman parte de un enfoque de control, diseados y operados para asegurar que los riesgos estn contenidos dentro del nivel que una organizacin est dispuesta a aceptar.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Glosario

59

Programa de trabajo Un documento que consiste en una lista de los procedimientos a seguir durante un trabajo, diseado para cumplir con el plan del trabajo. Proveedor externo de servicios Una persona o empresa, ajena a la organizacin, que posee conocimientos, tcnicas y experiencia especiales en una disciplina en particular. Riesgo La posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en trminos de impacto y probabilidad. Servicios de aseguramiento Un examen objetivo de evidencias con el propsito de proveer una evaluacin independiente de los procesos de gestin de riesgos, control y gobierno de una organizacin. Por ejemplo: trabajos financieros, de desempeo, de cumplimiento, de seguridad de sistemas y de diligencia debida (due diligence). Servicios de consultora Actividades de asesoramiento y servicios relacionados, proporcionadas a los clientes, cuya naturaleza y alcance estn acordados con los mismos y estn dirigidos a aadir valor y a mejorar los procesos de gobierno, gestin de riesgos y control de una organizacin, sin que el auditor interno asuma responsabilidades de gestin. Algunos ejemplos de estas actividades son el consejo, el asesoramiento, la facilitacin y la formacin. Significatividad o materialidad La importancia relativa de un asunto dentro de un contexto en el cual est siendo considerado, incluyendo factores cuantitativos y cualitativos, tales como magnitud, naturaleza, efecto, relevancia e impacto. El juicio profesional ayuda a los auditores internos cuando evalan la significatividad de los asuntos dentro del contexto de los objetivos relevantes. Tcnicas de auditora basadas en tecnologa Cualquier herramienta automatizada de auditora, tal como el software generalizado de auditora, los generadores de datos de prueba, programas de auditora computarizados, y elementos de auditora de especializacin. Tambin se conocen como tcnicas de auditora asistidas por computadora (TAAC). Trabajo Una especfica asignacin de auditora interna, tarea o actividad de revisin, tal como auditora interna, revisin de autoevaluacin de control, examen de fraude, o consultora. Un trabajo puede comprender mltiples tareas o actividades concebidas para alcanzar un grupo especfico de objetivos relacionados.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1000-1

63

Estatuto de Auditora Interna


Norma principalmente relacionada 1000 Propsito, autoridad y responsabilidad El propsito, la autoridad y la responsabilidad de la actividad de auditora interna deben estar formalmente definidos en un estatuto, de conformidad con la definicin de auditora interna, el Cdigo de tica y las Normas. El director de auditora interna debe revisar peridicamente el estatuto de auditora interna y presentarlo a la alta direccin y al Consejo para su aprobacin. Interpretacin: El estatuto de auditora interna es un documento formal que define el propsito, la autoridad y la responsabilidad de la actividad de auditora interna. El estatuto de auditora interna establece la posicin de la actividad de auditora interna dentro de la organizacin, incluyendo la naturaleza de la relacin funcional del Director de auditora interna con el Consejo; autoriza su acceso a los registros, al personal y a los bienes relevantes para el desempeo de los trabajos; y define el alcance de las actividades de auditora interna. La aprobacin final del estatuto de auditora interna corresponde al Consejo.

Consejo para la Prctica 1000-1


1. Contar con un estatuto de auditora interna formal y escrito es muy importante para gestionar la actividad de auditora interna. El estatuto constituye una declaracin reconocida para la revisin y aceptacin por parte de la direccin y para su aprobacin, segn est documentado en las actas, por parte del consejo de administracin. Adems, facilita la evaluacin peridica del propsito, autoridad y responsabilidad de la actividad de auditora interna, lo cual establece el rol de la actividad de auditora interna. En caso de presentarse alguna cuestin, el estatuto proporciona un acuerdo formal, escrito, con la direccin y con el consejo de administracin respecto de la organizacin de la actividad de auditora interna. El director de auditora interna (DAI) es el responsable de evaluar peridicamente si el propsito, la autoridad y la responsabilidad de la actividad de auditora interna, segn se definen en el estatuto, continan siendo adecuados para permitir que la actividad cumpla sus objetivos. El DAI tambin es el responsable de comunicar los resultados de esta evaluacin a la alta direccin y al consejo de administracin.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

64

Consejo para la Prctica 1110-1

Independencia dentro de la organizacin


Norma principalmente relacionada 1110 - Independencia dentro de la organizacin El director de auditora interna debe responder ante un nivel jerrquico tal dentro de la organizacin que permita a la actividad de auditora interna cumplir con sus responsabilidades. El director de auditora interna debe ratificar ante el Consejo, al menos anualmente, la independencia que tiene la actividad de auditora interna dentro de la organizacin. Interpretacin: La Independencia dentro de la organizacin se alcanza de forma efectiva cuando el Director de auditora interna depende funcionalmente del Consejo. Algunos ejemplos de dependencia funcional del Consejo implican que ste: Apruebe el estatuto de auditora interna; Apruebe el plan de auditora interna basado en riesgos; Apruebe el presupuesto de auditora interna y el plan de recursos; Reciba comunicaciones peridicas del Director de auditora interna sobre el desarrollo del plan de auditora interna y otros asuntos; Apruebe las decisiones referentes al nombramiento y cese del Director de auditora interna; Apruebe la remuneracin del Director de auditora interna; y Formule las preguntas adecuadas a la direccin y al Director de auditora interna para determinar si existen alcances inadecuados o limitaciones de recursos.

Consejo para la Prctica 1110-1


1. El apoyo de la alta direccin y del consejo de administracin ayuda a la actividad de auditora interna a obtener la cooperacin de los clientes del trabajo y a realizar su trabajo libre de interferencias. El hecho de que el director de auditora interna (DAI) reporte funcionalmente al consejo de administracin y administrativamente al mximo ejecutivo de la organizacin, facilita la independencia dentro de la organizacin. Como mnimo, el DAI debe depender de una persona en la organizacin que tenga suficiente autoridad para promover

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1110-1

65

la independencia, y para garantizar una amplia cobertura de la auditora interna, la adecuada consideracin de las comunicaciones del trabajo y que se tomen las acciones apropiadas sobre las recomendaciones del trabajo. 3. El reporte funcional al consejo de administracin normalmente implica que ste: Aprueba el estatuto general de la actividad de auditora interna. Aprueba la evaluacin de riesgos de auditora interna y el plan de auditora relacionado. Recibe comunicaciones del DAI respecto de los resultados de las tareas que realiza auditora interna u otros asuntos que el DAI considere necesarios, mantiene reuniones en privado con el DAI sin estar presente la direccin, as como una confirmacin anual de que la actividad de auditora interna goza de independencia dentro de la organizacin. Aprueba todas las decisiones referidas a la evaluacin de desempeo, nombramiento o cese del DAI. Aprueba la retribucin anual y los ajustes salariales del DAI. Realiza las averiguaciones necesarias con la direccin y el DAI para determinar si existen limitaciones al alcance o de presupuesto que impidan la capacidad de la actividad de auditora interna para cumplir con sus responsabilidades. 4. El reporte administrativo es la relacin de reporte dentro de la estructura administrativa de la organizacin que facilita las operaciones del da a da que lleva a cabo la actividad de auditora interna. El reporte administrativo normalmente incluye: El presupuesto y la gestin contable. La administracin de los recursos humanos, incluyendo las evaluaciones del personal y sus retribuciones. Las comunicaciones y flujos internos de informacin. La administracin de las polticas y procedimientos de la actividad de auditora interna.

Marco Internacional para la Prctica Profesional de la Auditora Interna

66

Consejo para la Prctica 1111-1

Interaccin con el Consejo de Administracin


Norma principalmente relacionada 1111 Interaccin directa con el Consejo El director de auditora interna debe comunicarse e interactuar directamente con el Consejo de Administracin.

Consejo para la Prctica 1111-1


1. La comunicacin directa tiene lugar cuando el director de auditora interna (DAI) asiste y participa regularmente en las reuniones del consejo de administracin que tratan de las responsabilidades de supervisin del consejo sobre la auditora interna, la informacin financiera, el gobierno de la organizacin y el control. La asistencia y participacin del director de auditora interna a dichas reuniones proporciona una oportunidad para valorar los negocios estratgicos y desarrollos operativos, y para plantear asuntos de alto nivel de riesgos, sistemas, procedimientos o controles en una etapa inicial. La asistencia a estas reuniones tambin proporciona una oportunidad para intercambiar informacin concerniente a los planes y actividades de la actividad de auditora interna y para que las partes se mantengan informadas sobre cualquier otro asunto de inters mutuo. Tal comunicacin e interaccin tambin ocurre cuando el DAI se rene en privado con el consejo de administracin, al menos una vez al ao.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1120-1

67

Objetividad Individual
Norma principalmente relacionada 1120 Objetividad individual Los auditores internos deben tener una actitud imparcial y neutral, y evitar cualquier conflicto de intereses. Interpretacin:

El conflicto de intereses es una situacin en la cual un auditor interno, que ocupa un puesto de confianza, tiene un inters personal o profesional en competencia con otros intereses. Tales intereses en competencia pueden hacerle difcil el cumplimiento imparcial de sus tareas. Puede existir un conflicto de intereses an cuando no se produzcan actos inadecuados o no ticos. Un conflicto de intereses puede crear una apariencia de deshonestidad que puede socavar la confianza en el auditor interno, la actividad de auditora interna y la profesin. Un conflicto de intereses podra menoscabar la capacidad de un individuo de desempear sus tareas y responsabilidades con objetividad.

Consejo para la Prctica 1120-1


1. La objetividad individual significa que los auditores internos llevan a cabo sus trabajos con honesta confianza en el producto de su labor y sin comprometer significativamente su calidad. Los auditores internos no deben colocarse en situaciones que puedan menoscabar su capacidad para emitir juicios profesionales objetivos. La objetividad individual implica que el director de auditora interna (DAI) organice las asignaciones de personal de forma tal que impidan conflictos de intereses y prejuicios potenciales y reales, obtenga informacin peridica del personal de auditora interna respecto de los conflictos de intereses y prejuicios potenciales, y, cuando sea factible, rotar peridicamente las asignaciones del personal de auditora interna. La revisin de los resultados del trabajo de auditora interna antes de emitir las comunicaciones del trabajo correspondientes ayuda asegurar razonablemente que el trabajo se ha efectuado de manera objetiva.

2.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

68

Consejo para la Prctica 1120-1

4.

La objetividad del auditor interno no se ve afectada cuando recomienda normas de control para sistemas o cuando revisa procedimientos antes de que sean implantados. Se considera que la objetividad del auditor interno se ha menoscabado si el auditor interno disea, instala, hace proyectos de procedimientos u opera dichos sistemas. El desempeo ocasional de trabajos que no sean de auditora interna por parte del auditor interno, comunicados claramente en el proceso del informe, no necesariamente menoscabara su objetividad. Sin embargo, en estos casos se requerir especial cuidado por parte de la direccin y del auditor interno para evitar afectar su objetividad.

5.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1130-1

69

Impedimentos a la Independencia u Objetividad


Norma principalmente relacionada 1130 Impedimentos a la independencia u objetividad Si la independencia u objetividad se viese comprometida de hecho o en apariencia, los detalles del impedimento deben darse a conocer a las partes correspondientes. La naturaleza de esta comunicacin depender del impedimento. Interpretacin:

El impedimento o menoscabo a la independencia de la organizacin y a la objetividad individual puede incluir, entre otros, los conflictos de intereses, limitaciones al alcance, restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos tales como los financieros. La determinacin de las partes apropiadas a quienes deben exponerse los detalles de un impedimento a la independencia u objetividad depende de las expectativas sobre las responsabilidades de la actividad de auditora interna y del director de auditora interna ante la alta direccin y el Consejo segn se describe en el estatuto de auditora interna, as como de la naturaleza del impedimento.

Consejo para la Prctica 1130-1


1. Los auditores internos tienen que informar al director de auditora interna (DAI) sobre cualquier situacin en la que se pueda inferir razonablemente un impedimento o menoscabo real o potencial a la independencia u objetividad, o si tienen preguntas sobre si una situacin constituye un impedimento a la objetividad o independencia. Si el DAI determina que el impedimento existe o se puede inferir que existe tal impedimento, deber reasignar al auditor interno o a los auditores internos que correspondan. Una limitacin en el mbito de actuacin (limitacin al alcance) es una restriccin puesta sobre la actividad de auditora interna que le impide cumplir sus objetivos y planes. Entre otras cosas, una limitacin al alcance puede restringir: El alcance definido en el estatuto de auditora interna. El acceso de la actividad de auditora interna a los registros, al personal y a los bienes relevantes para la realizacin de los trabajos.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

70

Consejo para la Prctica 1130-1

La programacin aprobada de los trabajos. La ejecucin de los procedimientos necesarios para el trabajo. El plan de personal y el presupuesto financiero aprobados 3. Cualquier limitacin al alcance y sus efectos potenciales tienen que ser comunicados, preferentemente por escrito, al consejo de administracin. El DAI debe evaluar si es apropiado volver a informar al consejo sobre aquellas limitaciones al alcance que se le hubieran comunicado anteriormente y que fueron aceptadas por el mismo. Esto puede ser necesario, especialmente, cuando ha habido cambios en la organizacin, consejo de administracin, alta direccin u otros. Los auditores internos no deben aceptar dinero, regalo o agasajos de parte de un empleado, cliente, proveedor o persona relacionada con el negocio que pueda crear la apariencia de que la objetividad del auditor interno ha sido afectada. La apariencia de que la objetividad ha sido afectada puede aplicarse a trabajos actuales o futuros realizados por el auditor interno. El estado de los trabajos no debe ser considerado como justificacin para recibir dinero, regalos o agasajos. Recibir elementos de promocin (tales como lpices, calendarios o muestras) que estn a disposicin de los empleados y del pblico en general y tengan un mnimo valor no obstruyen los juicios profesionales del auditor interno. Los auditores internos deben informar todo ofrecimiento de dinero o regalos materiales de inmediato a sus supervisores.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1130.A1-1

71

Evaluacin de Operaciones en las cuales el Auditor Interno tuvo Responsabilidades Previas


Norma principalmente relacionada 1130.A1 Impedimentos a la independencia u objetividad Los auditores internos deben abstenerse de evaluar operaciones especficas de las cuales hayan sido previamente responsables. Se presume que hay impedimento de objetividad si un auditor interno proporciona servicios de aseguramiento para una actividad de la cual el mismo haya tenido responsabilidades en el ao inmediato anterior.

Consejo para la Prctica 1130.A1-1


1. Las personas transferidas a la actividad de auditora interna o utilizadas temporalmente por sta no deben ser asignadas a auditar aquellas actividades que realizaron anteriormente o en las cuales tuvieron responsabilidades gerenciales, hasta que haya transcurrido al menos un ao. Se presume que dichas asignaciones menoscaban la objetividad y debe tenerse en cuenta este hecho al supervisar el trabajo y al comunicar los resultados del mismo.

Marco Internacional para la Prctica Profesional de la Auditora Interna

72

Consejo para la Prctica 1130.A2-1

Responsabilidad del Auditor Interno en Funciones distintas de Auditora Interna


Norma principalmente relacionada 1130.A2 Impedimentos a la independencia u objetividad Los trabajos de aseguramiento para funciones por las cuales el director de auditora interna tiene responsabilidades deben ser supervisados por alguien fuera de la actividad de auditora interna.

Consejo para la Prctica 1130.A2-1


1. Los auditores internos no deben aceptar responsabilidades por funciones o tareas distintas de auditora interna que estn sujetas a evaluaciones peridicas de auditora interna. Si asumen este tipo de responsabilidades, se entender que no se estn desempeando como auditores internos. Cuando la actividad de auditora interna, el director de auditora interna (DAI) o el auditor interno individual es responsable de una operacin que la actividad de auditora interna podra auditar, o bien cuando la direccin est considerando asignarle una responsabilidad de esa naturaleza, la independencia y objetividad del auditor interno puede verse afectada. Como mnimo, el DAI debe tener en cuenta los siguientes factores al evaluar el impacto sobre la independencia y objetividad. Los requisitos establecidos por el Cdigo de tica y las Normas Internacionales para el ejercicio Profesional de la Auditora Interna (las Normas). Las expectativas de las partes interesadas, que podran ser los accionistas, consejo de administracin, comit de auditora, direccin, cuerpos legislativos, entidades pblicas, organismos de regulacin y grupos de inters pblico. Las autorizaciones y restricciones contenidas en el estatuto de la actividad de auditora interna. Las declaraciones requeridas por las Normas. La cobertura de auditora interna sobre las actividades o responsabilidades llevadas a cabo por el auditor interno. La significatividad que la funcin operativa tiene para la organizacin (en trminos de ingresos, gastos, reputacin e influencia). La extensin o duracin de la asignacin y el alcance de la responsabilidad.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1130.A2-1

73

La adecuada separacin de funciones. Si existe algn antecedente u otra evidencia de que la objetividad del auditor interno puede estar en riesgo. 3. Si el estatuto de la actividad de auditora interna contiene restricciones o limitaciones especficas respecto de la asignacin de funciones distintas de auditora al auditor interno, dichas restricciones deben ser declaradas y discutidas con la direccin. Si la direccin insiste en llevar a cabo tal asignacin, el auditor interno deber declarar y discutir este asunto con el consejo de administracin. Si el estatuto nada dice al respecto, deber tenerse en cuenta la gua indicada en los puntos siguientes. Todos los puntos indicados a continuacin estn subordinados a lo que establezca el estatuto. Cuando la actividad de auditora interna acepta responsabilidades operativas y esa operacin forma parte del plan de auditora interna, el DAI tiene que: Minimizar el menoscabo a la objetividad utilizando una entidad contratada (un tercero), o auditores externos contratados, para realizar las auditoras de aquellas reas que reportan al DAI. Confirmar que las personas con responsabilidad operativa sobre aquellas reas que reportan al DAI no participen en auditoras internas de esa operacin. Asegurar que los auditores internos que realizan el trabajo de aseguramiento de aquellas reas que reportan al DAI estn supervisados por la alta direccin y el consejo de administracin, y reporten los resultados del trabajo a stos. Declarar la responsabilidad operativa del auditor interno para esa funcin, la significatividad de la operacin para la organizacin (en trminos de ingresos, gastos u otra informacin pertinente), y la relacin de aquellos que auditaron la funcin. 5. La responsabilidad operativa del auditor interno debe ser declarada en el informe de auditora interna correspondiente a las reas que reportan al DAI y en la comunicacin estndar del auditor al consejo de administracin. Los resultados de la auditora interna tambin pueden ser discutidos con la direccin y otras partes interesadas apropiadas. La declaracin del menoscabo no anula el requisito de que los trabajos de aseguramiento para funciones por las cuales el DAI tiene responsabilidades deben ser supervisados por un tercero fuera de la actividad de auditora interna.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

74

Consejo para la Prctica 1200-1

Aptitud y Cuidado Profesional


Norma principalmente relacionada 1200 Aptitud y cuidado profesional Los trabajos deben cumplirse con aptitud y cuidado profesional adecuados.

Consejo para la Prctica 1200-1


1. La aptitud y el cuidado profesional son responsabilidades del director de auditora interna (DAI) y de cada auditor interno. El DAI, en su calidad de director, debe asegurar que las personas asignadas a cada trabajo posean, en conjunto, los conocimientos, tcnicas y otras competencias para realizar el trabajo adecuadamente. El cuidado profesional significa cumplir con el Cdigo de tica y, si corresponde, con el cdigo de conducta de la organizacin, as como de los cdigos de conducta de las otras designaciones profesionales que pueda tener el auditor interno. El Cdigo de tica abarca mucho ms que la definicin de auditora interna, llegando a incluir dos componentes esenciales. Principios que son relevantes para la profesin y el ejercicio de la auditora interna: integridad, objetividad, confidencialidad y competencia. Reglas de conducta que describen las normas de comportamiento que se espera que sean observadas por los auditores internos. Estas reglas son una ayuda para interpretar la aplicacin prctica de los principios. Su intencin es regular la conducta tica de los auditores internos.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1210-1

75

Aptitud
Norma principalmente relacionada 1210 Aptitud Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades individuales. La actividad de auditora interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades. Interpretacin:

Los conocimientos, las aptitudes y otras competencias es un trmino colectivo que se refiere a la aptitud profesional requerida al auditor interno para llevar a cabo eficazmente sus responsabilidades profesionales. Se alienta a los auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como la designacin de auditor interno certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas.

Consejo para la Prctica 1210-1


1. Los conocimientos, tcnicas y otras competencias a las que se refieren las normas, comprenden lo siguiente: Aptitud para la aplicacin de las normas, procedimientos y tcnicas de auditora interna al desempear los trabajos. Se entiende por aptitud, la habilidad para aplicar el conocimiento a las situaciones que se puedan producir y a gestionarlas adecuadamente sin recurrir a extensas investigaciones tcnicas y asistencia. Aptitud en los principios y tcnicas contables si los auditores internos trabajan regularmente con registros e informes financieros. Conocimientos para identificar los indicadores de fraude. Conocimientos de los riesgos clave de tecnologa informtica y sus controles, y de las tcnicas disponibles de auditora basadas en tecnologa. Comprensin de los principios de direccin, para reconocer y evaluar la materialidad y significatividad de las desviaciones de las prcticas empresariales correctas.

Marco Internacional para la Prctica Profesional de la Auditora Interna

76

Consejo para la Prctica 1210-1

Esta comprensin significa la habilidad para aplicar amplios conocimientos a las situaciones que puedan presentarse, para reconocer las desviaciones significativas, y poder llevar a cabo las investigaciones necesarias con el fin de proponer soluciones razonables. Una apreciacin de los fundamentos de temas de negocios tales como contabilidad, economa, derecho mercantil, tributacin, finanzas, mtodos cuantitativos, tecnologa de la informacin, gestin de riesgos y fraude. Esta apreciacin significa la habilidad para reconocer la existencia de problemas reales o potenciales y para identificar las investigaciones adicionales a realizar o la ayuda a obtener. Cualidades para tratar con las personas, comprender las relaciones humanas y mantener relaciones satisfactorias con los clientes de los trabajos. Capacidades para comunicarse de forma oral y por escrito, con el fin de transmitir de forma clara y eficaz asuntos tales como los objetivos, evaluaciones, conclusiones y recomendaciones de los trabajos. 2. El director de auditora interna (DAI) debe establecer los criterios apropiados de educacin y experiencia para cubrir los puestos de auditora interna, teniendo en cuenta el alcance del trabajo y el nivel de responsabilidad. El DAI debe obtener una seguridad razonable de las cualidades y aptitudes de cada candidato. La actividad de auditora interna, en conjunto, debe poseer los conocimientos, tcnicas y dems competencias imprescindibles para la prctica de la profesin dentro de la organizacin. Llevar a cabo un anlisis anual de los conocimientos, habilidades y dems competencias que posee la actividad de auditora interna ayuda a identificar las reas de oportunidad que pueden ser afrontadas mediante educacin profesional continua, contratacin de personal, o externalizacin conjunta (co-sourcing). La educacin profesional continua es esencial para ayudar a asegurar que el personal de auditora interna mantenga las aptitudes debidas. El DAI puede obtener la ayuda de expertos ajenos a la actividad de auditora interna para apoyar o complementar las reas en que la actividad no posea las suficientes aptitudes.

3.

4. 5.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1210.A1-1

77

Obtencin de Proveedores Externos de Servicios para Apoyar o Complementar la Actividad de Auditora Interna
Norma principalmente relacionada 1210.A1 Aptitud El director de auditora interna debe obtener asesoramiento y asistencia competentes en caso de que los auditores internos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la totalidad o parte del trabajo.

Consejo para la Prctica 1210.A1-1


1. Cada miembro de la actividad de auditora interna no necesita estar cualificado en todas las disciplinas. La actividad de auditora interna puede utilizar proveedores externos de servicios o recursos internos que estn cualificados en disciplinas tales como contabilidad, auditora, economa, finanzas, estadstica, tecnologa de la informacin, ingeniera, tributacin, derecho, medio ambiente y otras reas segn sea necesario para cumplir sus responsabilidades. Un proveedor externo de servicios es una persona o empresa, independiente de la organizacin, que tiene conocimientos, tcnica y experiencia especiales en una disciplina en particular. Entre los proveedores externos de servicios se incluyen a los actuarios, contables, tasadores, expertos en idiomas o culturas, expertos en medio ambiente, investigadores de fraudes, abogados, ingenieros, gelogos, expertos en seguridad, estadsticos, expertos en tecnologa informtica, los auditores externos de la organizacin, y otras organizaciones de auditora. Un proveedor externo de servicios puede ser contratado por el consejo de administracin, la alta direccin o el director de auditora interna (DAI). Los proveedores externos de servicios pueden ser utilizados por la actividad de auditora interna para asuntos relacionados con los siguientes, entre otros: El logro de los objetivos del programa de trabajo. Tareas de auditora para las que se necesiten conocimientos y tcnica especializados tales como tecnologa de la informacin, estadstica, tributacin o traduccin de idiomas.

2.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

78

Consejo para la Prctica 1210.A1-1

Tasacin de activos tales como tierras y edificios, obras de arte, piedras preciosas, inversiones y complejos instrumentos financieros. Determinacin de cantidades o condiciones fsicas de ciertos bienes tales como minerales o reservas petroleras. Medicin de la obra terminada y pendiente de ejecutar para contratos en curso. Investigaciones de fraude y seguridad. Clculo de cantidades utilizando mtodos especializados tales como el clculo actuarial de las obligaciones referidas a las prestaciones de los empleados. Interpretacin de requerimientos legales, tcnicos y regulatorios. Evaluacin del programa de aseguramiento y mejora de la calidad de la actividad de auditora interna, en cumplimiento de las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna (las Normas). Fusiones y adquisiciones. Consultora sobre gestin de riesgos y otros asuntos. 4. Cuando el DAI pretenda utilizar y confiar en el trabajo de un proveedor externo de servicios, debe tener en cuenta la competencia, independencia y objetividad de dicho proveedor con respecto al trabajo en particular a realizar. La evaluacin de la competencia, independencia y objetividad tambin debe realizarse cuando el proveedor externo de servicios es seleccionado por la alta direccin o el consejo de administracin y el DAI pretende utilizar y confiar en el trabajo de aqul. Cuando la seleccin la efectan otras personas y la evaluacin realizada por el DAI llega a la conclusin de que no se debera utilizar ni confiar en el trabajo del proveedor externo de servicios, deben comunicarse estos resultados a la alta direccin o al consejo de administracin, segn proceda. El DAI determina que el proveedor externo de servicios posee los necesarios conocimientos, tcnicas y dems competencias para realizar el trabajo, teniendo en cuenta lo siguiente: La certificacin profesional, licencia u otro reconocimiento de la competencia del proveedor externo de servicios en la disciplina relevante. La calidad de asociado a una organizacin profesional adecuada y la adhesin a su cdigo de tica, por parte del proveedor externo de servicios.

5.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1210.A1-1

79

La reputacin del proveedor externo de servicios. Esto puede requerir ponerse en contacto con terceros que estn familiarizados con el trabajo de aqul. La experiencia del proveedor externo de servicios en el tipo de trabajo que se est considerando. El grado de estudios y la formacin recibida por el proveedor externo de servicios en aquellas disciplinas relacionadas con el trabajo en particular. El conocimiento y la experiencia del proveedor externo de servicios dentro del sector en el que opera la organizacin. 6. El director de auditora interna necesita evaluar la relacin del proveedor externo de servicios con la organizacin y con la actividad de auditora interna para asegurar que la independencia y objetividad se mantengan durante todo el trabajo. Al realizar la evaluacin, el DAI verifica que no exista ninguna relacin financiera, de organizacin o personal que impida al proveedor externo de servicios emitir juicios y opiniones imparciales y sin desvos cuando realiza el trabajo o informa sobre el mismo. El DAI evala la independencia y objetividad del proveedor externo de servicios considerando lo siguiente: Los intereses financieros que el proveedor externo de servicios pueda tener en la organizacin. La asociacin personal o profesional que el proveedor externo de servicios pueda tener con el consejo de administracin, la alta direccin u otros dentro de la organizacin. La relacin que el proveedor externo de servicios pueda haber tenido con la organizacin o con las actividades objeto de revisin. La medida de otros servicios continuos que el proveedor externo de servicios pueda estar prestando para la organizacin. Los honorarios u otros incentivos que pueda tener el proveedor externo de servicios. 8. Si el proveedor externo de servicios es tambin el auditor externo de la organizacin y la naturaleza del trabajo asignado consista en ampliar los servicios de auditora interna, el DAI tiene que garantizar que el trabajo realizado no menoscabe la independencia del auditor externo. La ampliacin de los servicios de auditora interna se refiere a aquellos servicios ms all de los requisitos de las normas de auditora generalmente aceptadas por los auditores externos. Si los auditores externos de la organiza-

7.

Marco Internacional para la Prctica Profesional de la Auditora Interna

80

Consejo para la Prctica 1210.A1-1

cin actan o parece que actan como miembros de la alta direccin o de la administracin, o como empleados de la organizacin, entonces su independencia est afectada. Adems, los auditores externos pueden proporcionar a la organizacin otros servicios tales como tributacin y consultora. La independencia debe evaluarse con respecto a la gama completa de servicios prestados a la organizacin. 9. Para garantizar que el alcance del trabajo sea adecuado para los propsitos de la actividad de auditora interna, el DAI obtiene informacin suficiente respecto al alcance del trabajo del proveedor externo de servicios. Puede ser prudente documentar esta y otras cuestiones en una carta o contrato. Para lograr esto, el DAI revisa con el proveedor externo de servicios lo siguiente: Objetivos y alcance del trabajo, incluyendo los resultados a entregar y los tiempos. Temas especficos que esperan cubrirse en las comunicaciones del trabajo. Acceso a los registros, a las personas y a las propiedades fsicas relevantes. Informacin sobre los supuestos y procedimientos a emplear. Propiedad y custodia de los papeles de trabajo, si corresponde. Confidencialidad y restricciones sobre la informacin obtenida durante el trabajo. Si es aplicable, el cumplimiento de las Normas y de las normas de la actividad de auditora interna referidas a las prcticas del trabajo. 10. Al revisar el trabajo de un proveedor externo de servicios, el DAI evala la adecuacin del trabajo realizado, lo que incluye conocer si la informacin obtenida es suficiente para proporcionar una base razonable tanto a las conclusiones alcanzadas como a la resolucin de excepciones u otras cuestiones inusuales. 11. Cuando el DAI emite comunicaciones del trabajo, y se hayan utilizado los servicios de un proveedor externo de servicios, el DAI puede mencionar dichos servicios prestados, si lo considera apropiado. El proveedor externo de servicios debe estar informado y, si corresponde, llegar a un acuerdo con el mismo antes de incluir dicha referencia en las comunicaciones del trabajo.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1220-1

81

Cuidado Profesional
Norma principalmente relacionada 1220 Cuidado profesional Los auditores internos deben cumplir su trabajo con el cuidado y la aptitud que se esperan de un auditor interno razonablemente prudente y competente. El cuidado profesional adecuado no implica infalibilidad.

Consejo para la Prctica 1220-1


1. El cuidado profesional exige la aplicacin del cuidado y conocimientos que se esperan de un auditor interno razonablemente prudente y competente en iguales o similares circunstancias. El cuidado profesional es, por tanto, el apropiado para las complejidades del trabajo en ejecucin. Ejercer el cuidado profesional implica que los auditores internos permanezcan en alerta ante la posibilidad de fraude, de hechos intencionadamente incorrectos, errores y omisiones, ineficiencias, despilfarros, ineficacias y conflictos de intereses. Tambin implica permanecer en alerta ante aquellas condiciones y actividades en las que es ms probable que se produzcan irregularidades. Esto tambin implica que los auditores internos identifiquen los controles inadecuados y recomendar mejoras para promover el cumplimiento de procedimientos y prcticas aceptables. El cuidado profesional implica prudencia y competencia razonables, no la infalibilidad ni una actuacin extraordinaria. El cuidado profesional exige que el auditor interno lleve a cabo exmenes y verificaciones hasta un grado razonable. Por ello, el auditor interno no puede ofrecer la seguridad absoluta de que no existan irregularidades e incumplimientos. Sin embargo, al emprender un trabajo de auditora interna, el auditor interno siempre debe considerar la posible existencia de incumplimientos e irregularidades significativas.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

82

Consejo para la Prctica 1230-1

Desarrollo Profesional Continuo


Norma principalmente relacionada 1230 Desarrollo profesional continuo Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras competencias mediante la formacin profesional continua.

Consejo para la Prctica 1230-1


1. Los auditores internos son responsables de continuar su formacin a fin de mejorar y mantener su competencia profesional. Los auditores internos deben mantenerse informados de las mejoras y de la evolucin de las normas, procedimientos y tcnicas de auditora interna, incluyendo la gua profesional denominada Marco Internacional para la Prctica Profesional (MIPP) que emite el Instituto de Auditores Internos. La educacin profesional continua (EPC) se puede obtener hacindose socio, participando y trabajando como voluntario en organizaciones profesionales tales como el Instituto de Auditores Internos; mediante la asistencia a conferencias, seminarios y programas internos de formacin; mediante la asistencia y graduacin en cursos universitarios y de autoestudio; y mediante la participacin en proyectos de investigacin. Se alienta a los auditores internos a demostrar su aptitud mediante la obtencin de una certificacin profesional apropiada, tal como la designacin CIA (Certified Internal Auditor - Auditor Interno Certificado), otras designaciones ofrecidas por el Instituto de Auditores Internos y otras designaciones relacionadas con auditora interna. Se alienta a los auditores internos a obtener EPC (relacionada con las actividades y el sector econmico de su organizacin) con el fin de mantener su aptitud respecto a los procesos de gobierno, riesgos y control de su organizacin en particular. Los auditores internos que desempean trabajos de auditora y consultora de especializacin, tales como tecnologa de la informacin, tributacin, asuntos actuariales o diseo de sistemas, pueden llevar a cabo EPC especializada para permitirles desempear su trabajo de auditora interna con las aptitudes adecuadas. Los auditores internos con certificaciones profesionales son responsables de obtener la suficiente EPC para satisfacer los requisitos de la certificacin profesional que poseen. Se alienta a los auditores internos que actualmente no posean certificaciones profesionales apropiadas a seguir un programa de formacin o estudios individuales que les ayuden a obtenerlas.

2.

3.

4.

5.

6.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1300-1

83

Programa de Aseguramiento y Mejora de la Calidad


Norma principalmente relacionada 1300 Programa de aseguramiento y mejora de la calidad El director de auditora interna debe desarrollar y mantener un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad de auditora interna. Interpretacin:

Un programa de aseguramiento y mejora de la calidad est concebido para permitir una evaluacin del cumplimiento de la definicin de auditora interna y las Normas por parte de la actividad de auditora interna, y una evaluacin de si los auditores internos aplican el Cdigo de tica. Este programa tambin evala la eficiencia y eficacia de la actividad de auditora interna e identifica oportunidades de mejora.

Consejo para la Prctica 1300-1


1. El director de auditora interna (DAI) es el responsable de establecer una actividad de auditora interna cuyo alcance de trabajo incluya todas las actividades establecidas en las Normas y en la definicin de auditora interna. Para asegurar que esto ocurra, la Norma 1300 exige que el DAI elabore y mantenga un programa de aseguramiento y mejora de la calidad (PAMC). El DAI es el responsable de implantar procesos que proporcionen un aseguramiento razonable a las diversas partes interesadas en la actividad de auditora interna, de que la misma: Se desempea de acuerdo con el estatuto de auditora interna, el cual debe ser consistente con la Definicin de Auditora Interna, el Cdigo de tica y las Normas. Opera de forma eficaz y eficiente. Es percibida por aquellas partes interesadas como un elemento que agrega valor y mejora las operaciones de la organizacin. Estos procesos incluyen la supervisin adecuada, evaluaciones internas peridicas y vigilancia continua del aseguramiento de calidad, y evaluaciones externas peridicas.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

84

Consejo para la Prctica 1300-1

3.

El PAMC debe ser suficientemente integral de modo que abarque todos los aspectos de la operacin y gestin de una actividad de auditora interna, segn se establece en la Definicin de Auditora Interna, el Cdigo de tica y las Normas, y en las mejores prcticas de la profesin. El PAMC es realizado por el DAI o bajo su supervisin directa. Excepto en las actividades de auditora interna de pequeo tamao, el DAI generalmente delegar la mayora de las responsabilidades del PAMC a sus subordinados. En entornos de gran tamao o complejos (por ejemplo, varias unidades de negocio o localizaciones), el DAI establece una funcin del PAMC, encabezada por un director de auditora interna, independiente de los segmentos de auditora y consultora de la actividad de auditora interna. Este personal ejecutivo (y limitado) administra y vigila las actividades necesarias para un PAMC exitoso.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1310-1

85

Requisitos del Programa de Aseguramiento y Mejora de la Calidad


Norma principalmente relacionada 1310 Requisitos del programa de aseguramiento y mejora de la calidad El programa de aseguramiento y mejora de la calidad debe incluir tanto evaluaciones internas como externas.

Consejo para la Prctica 1310-1


1. Un programa de aseguramiento y mejora de la calidad (PAMC) es una evaluacin continua y peridica del espectro completo del trabajo de auditora y consultora llevado a cabo por la actividad de auditora interna. Estas evaluaciones continuas y peridicas estn compuestas por procesos rigurosos e integrales; supervisin y pruebas continuas del trabajo de auditora interna y consultora; y validaciones peridicas del cumplimiento de la Definicin de Auditora Interna, el Cdigo de tica y las Normas. Esto tambin incluye las mediciones y anlisis continuos de indicadores de desempeo (por ejemplo, cumplimiento del plan de auditora interna, ciclos de tiempos, recomendaciones aceptadas y satisfaccin del cliente). Si los resultados de estas evaluaciones indican reas de mejora para la actividad de auditora interna, el director de auditora interna (DAI) implementar las mismas mediante el PAMC. Los aseguramientos evalan y dan una conclusin sobre la calidad de la actividad de auditora interna y aportan recomendaciones para las mejoras apropiadas. Los PAMC comprenden una evaluacin de lo siguiente: Cumplimiento de la Definicin de Auditora Interna, el Cdigo de tica y las Normas, incluyendo las acciones correctivas oportunas para solucionar cualquier caso significativo de incumplimiento. Adecuacin del estatuto, las metas, los objetivos, las polticas y los procedimientos de la actividad de auditora interna. Contribucin a los procesos de gobierno, gestin de riesgos y control de la organizacin. Cumplimiento de las leyes, reglamentaciones y normas gubernamentales o del sector econmico aplicables.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

86

Consejo para la Prctica 1310-1

Eficacia de las tareas de mejora continua y adopcin de mejores prcticas. Si la actividad de auditora interna aporta valor y mejora las operaciones de la organizacin. 3. Los PAMC tambin incluyen el seguimiento de las recomendaciones que implican la modificacin apropiada y oportuna de recursos, tecnologa, procesos y procedimientos. A fin de proporcionar responsabilidad y transparencia, el DAI comunica los resultados de las evaluaciones externas de programas de calidad y, si corresponde, de las evaluaciones internas de programas de calidad, a las diversas partes interesadas en la actividad (tales como la alta direccin, el consejo de administracin y los auditores externos). Al menos una vez al ao, el DAI informa a la alta direccin y al consejo de administracin respecto de las tareas y resultados del programa de calidad.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1311-1

87

Evaluaciones Internas
Norma principalmente relacionada 1311 Evaluaciones internas Las evaluaciones internas deben incluir: El seguimiento continuo del desempeo de la actividad de auditora interna, y Autoevaluaciones peridicas o evaluaciones por parte de otras personas dentro de la organizacin con conocimientos suficientes de las prcticas de auditora interna. Interpretacin: El seguimiento continuo forma parte integral de la supervisin, revisin y medicin del da a da de la actividad de auditora interna. Est incorporada en las prcticas y polticas de rutina usadas para administrar la actividad de auditora interna, y utiliza procesos, herramientas e informacin considerados necesarios para evaluar el cumplimiento de la definicin de auditora interna y las Normas, y la aplicacin del Cdigo de tica. Las evaluaciones peridicas se realizan para evaluar el cumplimiento de la definicin de auditora interna, el Cdigo de tica y las Normas.

Los conocimientos suficientes de las prcticas de auditora interna requieren un entendimiento de todos los elementos del Marco Internacional para la Prctica Profesional.

Consejo para la Prctica 1311-1


1. Los procesos y herramientas utilizados en las evaluaciones internas continuas incluyen: Supervisin del trabajo; Uso de listas de verificacin (checklists) y procedimientos (por ejemplo, en un manual de auditora y procedimientos); Retroalimentacin de los clientes de auditora interna y otras partes interesadas; Revisin entre iguales, de una seleccin de papeles de trabajo, llevada a cabo por personal no implicado en las respectivas auditoras internas; Presupuestos de los proyectos, sistemas de control de tiempos, concrecin del plan de auditora interna y recuperacin de costes; y Anlisis de otras mediciones de desempeo (tales como ciclo de tiempos y recomendaciones aceptadas).

Marco Internacional para la Prctica Profesional de la Auditora Interna

88

Consejo para la Prctica 1311-1

2. 3.

Se sacan conclusiones respecto de la calidad del desempeo continuo y se toman acciones de seguimiento a fin de asegurar que se implementen las mejoras apropiadas. El Manual de Evaluacin de Calidad publicado por el Instituto de Auditores Internos, o algn conjunto similar de guas profesionales y herramientas, debe servir de base para las evaluaciones internas peridicas. Las evaluaciones internas peridicas pueden: Incluir entrevistas y encuestas ms profundas a los grupos de partes interesadas. Ser realizadas por miembros de la actividad de auditora interna (autoevaluacin). Ser realizadas por Auditores Internos Certificados (Certified Internal Auditors CIAs), u otros profesionales competentes de auditora que estn asignados a cualquier otro sector de la organizacin. Abarcar una combinacin de autoevaluacin y preparacin de materiales posteriormente revisados por CIAs u otros profesionales competentes de auditora. Incluir una comparacin (benchmarking) de las prcticas y mediciones de desempeo de la actividad de auditora interna, con respecto a las mejores prcticas de la profesin de auditora interna. Una evaluacin interna peridica, realizada en un tiempo cercano anterior a una evaluacin externa, puede facilitar y reducir el coste de la evaluacin externa. Si la evaluacin interna peridica la realiza un revisor o equipo de revisin externo, cualificado e independiente, los resultados de la misma no deberan transmitir ningn aseguramiento sobre los resultados que tendr la siguiente evaluacin externa de calidad. El informe puede ofrecer sugerencias y recomendaciones para mejorar las prcticas de la actividad de auditora interna. Si la evaluacin externa toma la forma de una autoevaluacin con validacin independiente, la evaluacin interna peridica puede servir como la parte de autoevaluacin de este proceso. Se sacan conclusiones respecto de la calidad del desempeo y se inician acciones apropiadas para lograr las mejoras y el cumplimiento de las Normas, segn sea necesario. El DAI establece una estructura para informar los resultados de las evaluaciones internas que mantenga la credibilidad y objetividad apropiadas. En general, aquellos a los que se les asign la responsabilidad de realizar revisiones continuas y peridicas reportan al DAI cuando desempean las revisiones y comunican sus resultados directamente al DAI. Al menos una vez al ao, el DAI informa a la alta direccin y al consejo de administracin sobre los resultados de las evaluaciones internas, los planes de accin necesarios y su implantacin adecuada.

4.

5.

6. 7.

8.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1312-1

89

Evaluaciones Externas
Norma principalmente relacionada 1312 Evaluaciones externas Deben realizarse evaluaciones externas al menos una vez cada cinco aos por un evaluador o equipo de evaluacin cualificado e independiente, proveniente de fuera de la organizacin. El director de auditora interna debe tratar con el Consejo: La forma y frecuencia de las evaluaciones externas; y Las cualificaciones e independencia del evaluador o equipo de evaluacin externo, incluyendo cualquier conflicto de intereses potencial. Interpretacin:

Las evaluaciones externas pueden realizarse como una evaluacin externa completa o una autoevaluacin con validacin externa independiente. Un evaluador o equipo de evaluacin cualificado demuestra su competencia en dos reas: la prctica profesional de la auditora interna y el proceso de evaluacin externa. La competencia puede demostrarse a travs de un equilibrio de experiencia y conocimiento terico. La experiencia obtenida en organizaciones de tamao similar, complejidad, sector o industria y de similar contenido tcnico es ms valiosa que la experiencia en otras reas menos relevantes. En el caso de un equipo de evaluacin, no es necesario que todos los miembros cuenten con todas las competencias; es el equipo en su conjunto el que est cualificado. El director de auditora interna utilizar su juicio profesional para valorar si un evaluador o equipo de evaluacin demuestra la competencia suficiente para considerarse cualificado. Un evaluador o equipo de evaluacin independiente es aqul que no tiene conflictos de intereses reales o aparentes, y no forma parte ni est bajo el control de la organizacin a la cual pertenece la actividad de auditora interna.

Consejo para la Prctica 1312-1


1. Las evaluaciones externas cubren el espectro completo del trabajo de auditora y consultora llevado a cabo por la actividad de auditora interna y no deben estar limitadas a la evaluacin de su programa de aseguramiento y mejora de la calidad (PAMC). Para obtener el mayor beneficio de una evaluacin externa, el alcance del trabajo tambin debera incluir una comparacin con la mejor referencia (benchmarking), identificacin e informacin de las prcticas lderes que puedan ayudar a la actividad de auditora interna a ser ms eficiente y eficaz. Esto puede lograrse mediante una eva-

Marco Internacional para la Prctica Profesional de la Auditora Interna

90

Consejo para la Prctica 1312-1

2.

3. 4.

5.

luacin externa completa realizada por un revisor o equipo de revisin externo cualificado e independiente, o bien mediante una autoevaluacin interna integral con validacin independiente realizada por un evaluador o equipo de evaluacin externo cualificado e independiente. No obstante, el DAI debe asegurarse de que el alcance establezca claramente los resultados esperados de la evaluacin externa en cada caso. Las evaluaciones externas de una actividad de auditora interna contienen una opinin expresa respecto del espectro completo del trabajo de aseguramiento y consultora que realiza (o que debera haber realizado segn el estatuto de auditora interna) la actividad de auditora interna, incluyendo su cumplimiento de la Definicin de Auditora Interna, el Cdigo de tica y las Normas, y, si resulta apropiado, incluye recomendaciones de mejora. Adems del cumplimiento de la Definicin, el Cdigo de tica y las Normas, el alcance de la evaluacin se ajusta segn lo crea conveniente el DAI, la alta direccin o el consejo de administracin. Estas evaluaciones pueden tener un valor considerable para el DAI y otros miembros de la actividad de auditora interna, especialmente cuando se comparten mejores prcticas y comparacin con la mejor referencia (benchmarking). Al terminar la revisin se enva una comunicacin formal a la alta direccin y al consejo de administracin. Hay dos enfoques para las evaluaciones externas. El primer enfoque es una evaluacin externa completa realizada por un evaluador o equipo de evaluacin cualificado e independiente. Este enfoque implica un equipo externo de profesionales competentes bajo el liderazgo de un gerente de proyecto profesional y experimentado. El segundo enfoque implica el uso de un evaluador o equipo de evaluacin cualificado e independiente que realice una validacin independiente de la autoevaluacin interna y de un informe elaborado por la actividad de auditora interna. Los evaluadores externos independientes deben ser muy versados en la conduccin de prcticas de auditora interna. Las personas que realizan la evaluacin externa se encontrarn libres de obligaciones o intereses respecto de la organizacin cuya actividad de auditora interna est siendo sujeta a una evaluacin externa, o de su personal. El DAI, en consulta con el consejo de administracin, tendr en cuenta los siguientes aspectos referidos a la independencia cuando seleccione al evaluador o equipo de evaluacin externo cualificado e independiente: Cualquier conflicto de intereses real o aparente de las firmas que proporcionan: - La auditora externa de los estados contables. - Servicios de consultora significativos en las reas de gobierno, gestin de riesgos, informacin financiera, control interno y otras reas relacionadas.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1312-1

91

- Asistencia a la actividad de auditora interna. La significatividad y cantidad de trabajo desempeado por el proveedor de servicios profesionales debe tenerse en cuenta en la deliberacin. Cualquier conflicto de intereses real o aparente de anteriores empleados de la organizacin que pudieran desempear la evaluacin. Se tendr en cuenta la cantidad de tiempo que la persona ha sido independiente de la organizacin. Las personas que realizan la evaluacin sern independientes de la organizacin cuya actividad de auditora interna est sujeta a evaluacin y no tendrn ningn conflicto de intereses real o aparente. "Independiente de la organizacin" significa que no forma parte ni est bajo el control de la organizacin a la cual pertenece la actividad de auditora interna. En la seleccin de un evaluador o equipo de evaluacin externo, cualificado e independiente, se tendr en cuenta todo conflicto de intereses real o aparente que el evaluador pueda tener debido a su relacin presente o pasada con la organizacin o su actividad de auditora interna, incluyendo la participacin del evaluador en evaluaciones internas de calidad. Las personas que estn en otro departamento de la organizacin o en una organizacin relacionada, aunque estn en una organizacin separada de la actividad de auditora interna, no son consideradas independientes a los fines de realizar una evaluacin externa. Una "organizacin relacionada" puede ser la casa matriz, una afiliada del mismo grupo de entidades o una entidad con responsabilidades habituales de vigilancia, supervisin o aseguramiento de calidad respecto de la organizacin sujeta a la evaluacin externa. Conflictos reales o aparentes en los acuerdos de revisin entre iguales. Puede establecerse un acuerdo de revisin entre iguales por tres o ms organizaciones (por ejemplo, dentro de un sector econmico u otro grupo de afinidad, asociacin regional, u otro grupo de organizaciones, excepto en el caso de "organizaciones relacionadas" definidas en el punto anterior), estructurados de tal forma de paliar el tema de la independencia, pero deber tenerse cuidado de asegurar que no surja un problema de independencia. Las revisiones entre pares realizadas por slo dos organizaciones no superaran la prueba de la independencia. Para superar la cuestin de un menoscabo real o aparente a la independencia en instancias tales como las mencionadas en esta seccin, una o ms personas independientes podran formar parte del equipo de evaluacin externa con el fin de validar de forma independiente el trabajo del equipo de evaluacin externa.

6.

La integridad requiere que los evaluadores sean honestos y francos dentro de los lmites de la confidencialidad. El servicio y la confianza pblica no deben estar subordinados a la ganancia y ventaja personal. La objetividad es un estado mental y una cualidad que da valor a los servicios de los revisores. El principio de la objetividad impone

Marco Internacional para la Prctica Profesional de la Auditora Interna

92

Consejo para la Prctica 1312-1

la obligacin de ser imparcial, intelectualmente honesto y estar libre de conflicto de intereses. 7. El desempeo y la comunicacin de los resultados de una evaluacin externa requieren el ejercicio del juicio profesional. Por consiguiente, una persona que se desempea como evaluador externo debera: Ser auditor interno profesional certificado y competente, que posea conocimientos actualizados y profundos de las Normas. Encontrarse bien familiarizado con las mejores prcticas de la profesin. Tener al menos tres aos de experiencia reciente en el ejercicio de auditora interna o consultora relacionada, a nivel gerencial. Los lderes de equipos de evaluacin independiente y los evaluadores externos que realizan validacin independiente de los resultados de la autoevaluacin deberan tener un nivel adicional de competencia y experiencia que hayan obtenido trabajando anteriormente como miembros de equipo en una evaluacin externa de calidad, deberan haber realizado un curso de formacin en evaluacin de calidad del Instituto de Auditores Internos o un curso similar, y deberan tener experiencia de nivel superior en la gestin de auditora interna, como DAI o un nivel comparable. 8. Los revisores deberan tener aptitudes tcnicas relevantes y poseer experiencia relevante en el sector econmico pertinente. Las personas con experiencia en otras reas de especializacin pueden ayudar al equipo. Por ejemplo, los especialistas en gestin de riesgo empresarial, auditora de tecnologa de la informacin, muestreo estadstico, sistemas de vigilancia de las operaciones o autoevaluacin de control, pueden participar en ciertos segmentos de la evaluacin. El DAI har que la alta direccin y el consejo de administracin participen en el proceso de seleccin del enfoque y del proveedor de la evaluacin externa de calidad.

9.

10. La evaluacin externa debe consistir en una cobertura de amplio alcance que incluya los siguientes elementos de la actividad de auditora interna: El cumplimiento de la Definicin de Auditora Interna, el Cdigo de tica y las Normas; y el estatuto, los planes, polticas, procedimientos, prcticas, requisitos legales y regulaciones aplicables a la actividad de auditora interna, Las expectativas de la actividad de auditora interna expresadas por el consejo de administracin, la alta direccin y los gerentes operativos, La integracin de la actividad de auditora interna en el proceso de gobierno de la organizacin, incluyendo las relaciones entre los grupos clave que participan en ese proceso,

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1312-1

93

Las herramientas y tcnicas empleadas por la actividad de auditora interna, La mezcla de conocimientos, experiencia y disciplinas dentro del personal, incluyendo el enfoque del personal en la mejora de los procesos, y Determinar si la actividad de auditora interna agrega valor y mejora las operaciones de la organizacin. 11. Los resultados preliminares de la evaluacin se comentarn con el DAI durante el proceso de evaluacin y al concluir el mismo. Los resultados finales se comunicarn al DAI u otra autoridad que haya autorizado la evaluacin, preferentemente enviando copia directamente a los miembros apropiados de la alta direccin y del consejo de administracin. 12. La comunicacin incluye lo siguiente: Una opinin respecto del cumplimiento de la Definicin, el Cdigo de tica y las Normas por parte de la actividad de auditora interna, basada en un proceso estructurado de calificacin. El trmino "cumplimiento" significa que las prcticas de la actividad de auditora interna, tomadas como un todo, satisfacen los requisitos de la Definicin, el Cdigo de tica y las Normas. De forma similar, la "falta de cumplimiento" significa que el impacto y la gravedad de las deficiencias en las prcticas de la actividad de auditora interna son tan significativas que menoscaban la capacidad de la actividad de auditora interna para cumplir con sus responsabilidades. El grado de "cumplimiento parcial" con la Definicin, el Cdigo de tica y ciertas Normas, si es relevante para la opinin general, tambin debera expresarse en el informe sobre la evaluacin independiente. La expresin de una opinin acerca de los resultados de la evaluacin externa requiere la aplicacin de buen juicio para los negocios, integridad y aptitud profesional. Una evaluacin y determinacin del uso de las mejores prcticas, tanto las observadas durante la evaluacin como aquellas aplicables potencialmente a la actividad. Recomendaciones de mejora, cuando resulten apropiadas. Las respuestas del DAI que incluyan un plan de accin y sus fechas de implementacin. 13. Para proporcionar responsabilidad y transparencia, el DAI comunica los resultados de las evaluaciones externas de calidad, as como los detalles del plan de accin para solucionar los problemas significativos y la informacin posterior respecto del cumplimiento de aquellos planes de accin, a los diversos interesados en la actividad de auditora interna, tales como la alta direccin, el consejo de administracin y los auditores externos.

Marco Internacional para la Prctica Profesional de la Auditora Interna

94

Consejo para la Prctica 1312-2

Evaluaciones Externas: Autoevaluacin con Validacin Independiente


Norma principalmente relacionada 1312 Evaluaciones externas Deben realizarse evaluaciones externas al menos una vez cada cinco aos por un evaluador o equipo de evaluacin cualificado e independiente, proveniente de fuera de la organizacin. El director de auditora interna debe tratar con el Consejo: La forma y frecuencia de las evaluaciones externas; y Las cualificaciones e independencia del evaluador o equipo de evaluacin externo, incluyendo cualquier conflicto de intereses potencial. Interpretacin:

Las evaluaciones externas pueden realizarse como una evaluacin externa completa o una autoevaluacin con validacin externa independiente. Un evaluador o equipo de evaluacin cualificado demuestra su competencia en dos reas: la prctica profesional de la auditora interna y el proceso de evaluacin externa. La competencia puede demostrarse a travs de un equilibrio de experiencia y conocimiento terico. La experiencia obtenida en organizaciones de tamao similar, complejidad, sector o industria y de similar contenido tcnico es ms valiosa que la experiencia en otras reas menos relevantes. En el caso de un equipo de evaluacin, no es necesario que todos los miembros cuenten con todas las competencias; es el equipo en su conjunto el que est cualificado. El director de auditora interna utilizar su juicio profesional para valorar si un evaluador o equipo de evaluacin demuestra la competencia suficiente para considerarse cualificado. Un evaluador o equipo de evaluacin independiente es aqul que no tiene conflictos de intereses reales o aparentes, y no forma parte ni est bajo el control de la organizacin a la cual pertenece la actividad de auditora interna.

Consejo para la Prctica 1312-2


1. Una evaluacin externa por un evaluador o equipo de evaluacin cualificado e independiente puede ser difcil de llevar a cabo en actividades de auditora interna pequeas, o puede haber circunstancias para ciertas organizaciones en que una evaluacin externa completa por un equipo independiente no se considere apropiada o necesaria. Por ejemplo, la actividad de auditora interna puede (a) estar en un sector econ-

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1312-2

95

mico sujeto a extensas regulaciones o supervisin, (b) estar sujeta a exhaustiva vigilancia y direccin externa respecto del gobierno y los controles internos, (c) haber sido sujeto, recientemente, de evaluaciones externas o servicios de consultora en los cuales hubo extensa comparacin con mejores prcticas, o (d) a juicio del DAI, los beneficios de la autoevaluacin para el desempeo del personal y la fortaleza del PAMC interno superan a los beneficios que puede aportar una evaluacin de calidad realizada por un equipo externo. 2. Una autoevaluacin con validacin (externa) independiente incluye: Un proceso de autoevaluacin amplio y totalmente documentado, emulando el proceso de evaluacin externa, al menos con respecto a la evaluacin del cumplimiento de la Definicin de Auditora Interna, el Cdigo de tica y las Normas. Una validacin independiente realizada en la localizacin por un revisor cualificado e independiente. Uso econmico de tiempo y recursos (por ejemplo, el foco principal estara en el cumplimiento de las Normas). Atencin reducida en otras reas; por ejemplo, el benchmarking, la revisin y consulta respecto de la utilizacin de mejores prcticas, y las entrevistas con la alta direccin y la gerencia operativa, podran ser reducidas. Sin embargo, la informacin producida por estas partes de la evaluacin es uno de los beneficios de una evaluacin externa. Se aplicaran las mismas guas y criterios establecidos en el Consejo para la Prctica 1312-1 para una autoevaluacin con validacin independiente. Un equipo bajo la direccin del DAI ser el encargado de desempear y documentar totalmente el proceso. Debe preparase un borrador de informe, similar al de una evaluacin externa, que incluya el juicio del DAI respecto del cumplimiento de las Normas. Un evaluador o equipo de evaluacin cualificado e independiente lleva a cabo pruebas suficientes de la autoevaluacin con el fin de validar los resultados y expresar una opinin sobre el nivel indicado de cumplimiento de la Definicin de Auditora Interna, el Cdigo de tica y las Normas que tenga la actividad. Esta validacin independiente sigue el proceso indicado en el Manual de Evaluacin de Calidad del IIA o un proceso integral similar. Como parte de la validacin independiente, el evaluador externo independiente, al completar la validacin independiente, que incluye una revisin rigurosa de la evalua-

3. 4.

5.

6.

Marco Internacional para la Prctica Profesional de la Auditora Interna

96

Consejo para la Prctica 1312-2

cin realizada por el equipo de autoevaluacin respecto del cumplimiento de la Definicin, el Cdigo de tica y las Normas: Revisa el borrador de informe y trata de reconciliar los temas no resueltos, si hubiera alguno. Si est de acuerdo con la opinin de cumplimiento de la Definicin de Auditora Interna, el Cdigo de tica y las Normas, agrega en el informe lo que considere necesario, expresando su acuerdo con el proceso y la opinin de la autoevaluacin y, en la medida que lo considere apropiado, con las observaciones, conclusiones y recomendaciones del informe. Si no est de acuerdo con la evaluacin, incluye en el informe su desacuerdo, especificando cules son los puntos del informe con los que no est de acuerdo y, en la medida que lo considere apropiado, con las observaciones, conclusiones, recomendaciones y opiniones significativas del informe. Otra alternativa es que prepare un informe de validacin independiente por separado, expresando su acuerdo o desacuerdo segn lo mencionado anteriormente, para acompaar al informe de autoevaluacin. 7. El informe o informes finales de la autoevaluacin con validacin independiente son firmados por el equipo de autoevaluacin y por los evaluadores externos e independientes, y emitidos por el DAI para la alta direccin y el consejo de administracin. Para proporcionar responsabilidad y transparencia, el DAI comunica los resultados de las evaluaciones externas de calidad, incluyendo los detalles del plan de accin para solucionar los problemas significativos y la informacin posterior respecto del cumplimiento de aquellos planes de accin, a los diversos interesados en la actividad de auditora interna, tales como la alta direccin, el consejo de administracin y los auditores externos.

8.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1312-3

97

Evaluaciones Externas: Independencia del equipo de evaluacin externa en el sector privado


Norma principalmente relacionada 1312 Evaluaciones externas Deben realizarse evaluaciones externas al menos una vez cada cinco aos por un evaluador o equipo de evaluacin cualificado e independiente, proveniente de fuera de la organizacin. El director de auditora interna debe tratar con el Consejo: La forma y frecuencia de las evaluaciones externas; y Las cualificaciones e independencia del evaluador o equipo de evaluacin externo, incluyendo cualquier conflicto de intereses potencial. Interpretacin:

Las evaluaciones externas pueden realizarse como una evaluacin externa completa o una autoevaluacin con validacin externa independiente. Un evaluador o equipo de evaluacin cualificado demuestra su competencia en dos reas: la prctica profesional de la auditora interna y el proceso de evaluacin externa. La competencia puede demostrarse a travs de un equilibrio de experiencia y conocimiento terico. La experiencia obtenida en organizaciones de tamao similar, complejidad, sector o industria y de similar contenido tcnico es ms valiosa que la experiencia en otras reas menos relevantes. En el caso de un equipo de evaluacin, no es necesario que todos los miembros cuenten con todas las competencias; es el equipo en su conjunto el que est cualificado. El director de auditora interna utilizar su juicio profesional para valorar si un evaluador o equipo de evaluacin demuestra la competencia suficiente para considerarse cualificado. Un evaluador o equipo de evaluacin independiente es aqul que no tiene conflictos de intereses reales o aparentes, y no forma parte ni est bajo el control de la organizacin a la cual pertenece la actividad de auditora interna.

Consejo para la Prctica 1312-3


1. Todos los miembros del equipo de evaluacin que realicen la evaluacin externa debern ser independientes de la organizacin y de su personal dedicado a la actividad de auditora interna. Concretamente, los miembros del equipo de evaluacin no debern tener ningn conflicto de intereses real o aparente con la organizacin y/o con su per-

Marco Internacional para la Prctica Profesional de la Auditora Interna

98

Consejo para la Prctica 1312-3

sonal. Las reas que debern ser consideradas en la evaluacin de la independencia del equipo de evaluacin son las siguientes: Independiente de la organizacin significa no estar bajo la influencia de la organizacin cuya actividad de auditora interna se est evaluando. El proceso de seleccin de un asesor externo deber considerar sus conflictos de intereses reales, potenciales, y observados. Los conflictos de intereses pueden surgir de relaciones pasadas, presentes, futuras o potenciales con la organizacin, con los miembros de su personal o con los empleados dedicados a las actividades de auditora interna. Las relaciones que deben considerarse incluyen aquellas de carcter personal o de carcter comercial, o ambas. Dentro del sector privado (es decir, no relacionado con el gobierno), las personas pertenecientes a la misma organizacin, pero de otro departamento o de una organizacin relacionada con la primera, aunque est funcionalmente separada de la actividad de auditora interna no sern consideradas independientes a efectos de realizar una evaluacin externa. Una organizacin relacionada puede ser una sociedad u rgano matriz, una filial en el mismo grupo de empresas, o una entidad con responsabilidades regulares de supervisin o control de calidad sobre la organizacin cuya actividad de auditora interna ser objeto de la evaluacin externa. Podrn estructurarse acuerdos recprocos de equipos de evaluacin externa entre tres o ms organizaciones (por ejemplo, dentro de un sector u otro grupo afn, de asociaciones regionales, o de cualquier otro conjunto de organizaciones), de forma que se consiga el objetivo de independencia. Se deber tener el mximo cuidado para verificar que no se planteen problemas de independencia y que todos los miembros del equipo puedan ejercer plenamente sus responsabilidades, sin limitaciones por cuestiones de confidencialidad, etc. Para los fines de una evaluacin externa, no sern aceptables las prestaciones recprocas de evaluacin externa entre dos organizaciones. 2. La independencia del equipo de evaluacin, incluyendo los posibles conflictos de inters, ser tratada con el Consejo.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1312-4

99

Evaluaciones Externas: Independencia del equipo de evaluacin externa en el sector pblico


Norma principalmente relacionada 1312 Evaluaciones externas Deben realizarse evaluaciones externas al menos una vez cada cinco aos por un evaluador o equipo de evaluacin cualificado e independiente, proveniente de fuera de la organizacin. El director de auditora interna debe tratar con el Consejo: La forma y frecuencia de las evaluaciones externas; y Las cualificaciones e independencia del evaluador o equipo de evaluacin externo, incluyendo cualquier conflicto de intereses potencial. Interpretacin:

Las evaluaciones externas pueden realizarse como una evaluacin externa completa o una autoevaluacin con validacin externa independiente. Un evaluador o equipo de evaluacin cualificado demuestra su competencia en dos reas: la prctica profesional de la auditora interna y el proceso de evaluacin externa. La competencia puede demostrarse a travs de un equilibrio de experiencia y conocimiento terico. La experiencia obtenida en organizaciones de tamao similar, complejidad, sector o industria y de similar contenido tcnico es ms valiosa que la experiencia en otras reas menos relevantes. En el caso de un equipo de evaluacin, no es necesario que todos los miembros cuenten con todas las competencias; es el equipo en su conjunto el que est cualificado. El director de auditora interna utilizar su juicio profesional para valorar si un evaluador o equipo de evaluacin demuestra la competencia suficiente para considerarse cualificado. Un evaluador o equipo de evaluacin independiente es aqul que no tiene conflictos de intereses reales o aparentes, y no forma parte ni est bajo el control de la organizacin a la cual pertenece la actividad de auditora interna.

Consejo para la Prctica 1312-4


1. El trmino "sector pblico" incluye todos los niveles de gobierno e incluye autoridades o empresas bajo propiedad o control gubernamental (la entidad). En el sector pblico, las actividades de auditora interna en los diferentes niveles de gobierno pueden ser independientes a efectos de las evaluaciones externas.

Marco Internacional para la Prctica Profesional de la Auditora Interna

100

Consejo para la Prctica 1312-4

2.

3.

4. 5.

Los organismos semipblicos, por ejemplo las Naciones Unidas o la Comisin Europea, incluyen organizaciones, organismos o empresas que son propiedad o estn controladas por mltiples gobiernos. Estas organizaciones internacionales, debido a su carcter multilateral, deben seguir las directrices aplicables al sector privado. Todos los miembros del equipo de evaluacin que realicen la evaluacin externa debern ser independientes de la organizacin y de su personal dedicado a la actividad de auditora interna. Concretamente, los miembros del equipo de evaluacin no debern tener ningn conflicto de intereses real o aparente con la organizacin y/o con su personal. Las reas que debern ser consideradas en la evaluacin de la independencia del equipo de evaluacin son las siguientes: Independiente de la organizacin significa no estar bajo la influencia de la organizacin cuya actividad de auditora interna se est evaluando. El proceso de seleccin de un asesor externo deber considerar sus conflictos de intereses reales, potenciales u observados. Los conflictos de intereses pueden surgir de relaciones pasadas, presentes, futuras o potenciales con la organizacin o con los empleados dedicados a las actividades de auditora interna. Las relaciones que deben considerarse incluyen aquellas de carcter personal o de carcter comercial, o ambas. Dentro del sector pblico, las personas que trabajan en distintas actividades de auditora interna en una entidad diferente dentro del mismo nivel de gobierno (nacional, estatal o provincial, de condado o municipal) pueden ser consideradas como independientes a efectos de la realizacin de evaluaciones externas. Cuando una o ms actividades de auditora interna dentro del mismo nivel de gobierno reporten al mismo Director de Auditora Interna, las personas no sern consideradas independientes a efectos de la realizacin de evaluaciones externas, incluso aunque trabajen en entidades separadas. nicamente los evaluadores independientes de cada una de estas entidades podrn llevar a cabo evaluaciones externas. Podrn estructurarse acuerdos recprocos de equipo de evaluacin externa entre tres o ms organizaciones, de forma que se consiga el objetivo de independencia. Se deber tener el mximo cuidado para verificar que no se planteen problemas de independencia y que todos los miembros del equipo puedan ejercer plenamente sus responsabilidades, sin limitaciones por cuestiones de confidencialidad, etc. Para los fines de una evaluacin externa, no sern aceptables las prestaciones recprocas de evaluacin externa entre dos organizaciones. La independencia del equipo de evaluacin, incluyendo los posibles conflictos de inters, ser tratada con el Consejo. A la hora de seleccionar el equipo para realizar la evaluacin, el Director de Auditora Interna debera considerar el alcance de su experiencia en el sector pblico.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 1321-1

101

Utilizacin de Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna
Norma principalmente relacionada 1321 Utilizacin de Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna El director de auditora interna puede manifestar que la actividad de auditora interna cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna slo si los resultados del programa de aseguramiento y mejora de la calidad apoyan esa declaracin. Interpretacin:

La actividad de auditora interna cumple con las Normas cuando alcanza los resultados descritos en la definicin de auditora interna, el cdigo de tica y las Normas. Los resultados del programa de aseguramiento y mejora de la calidad incluyen los resultados tanto de las evaluaciones internas como de las externas. Toda actividad de auditora interna tendr resultados de evaluaciones internas. Aquellas actividades cuya existencia exceda los cinco aos tendrn tambin resultados de evaluaciones externas.

Consejo para la Prctica 1321-1


1. La vigilancia continua y las evaluaciones externas e internas de una actividad de auditora interna se llevan a cabo para evaluar y expresar una opinin en cuanto al cumplimiento de la Definicin de Auditora Interna, el Cdigo de tica y las Normas por parte de la actividad de auditora interna y, si resulta apropiado, deberan incluir recomendaciones de mejora. La frase a utilizar puede ser cumple con las Normas o de conformidad con las Normas. Para utilizar una de estas frases se requiere que se lleve a cabo una evaluacin externa al menos una vez cada cinco aos, junto con vigilancia continua y evaluaciones internas peridicas, y que en estas tareas se haya llegado a la conclusin de que la actividad de auditora interna cumple con la Definicin, el Cdigo de tica y las Normas. El uso inicial de la frase de cumplimiento no ser apropiado hasta que una

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

102

Consejo para la Prctica 1321-1

revisin externa haya demostrado que la actividad de auditora interna cumple con la Definicin, el Cdigo de tica y las Normas. 3. El director de auditora interna (DAI) declara a la alta direccin y al consejo de administracin los casos de incumplimiento que afectan el alcance u operacin en general de la actividad de auditora interna, incluyendo la no obtencin de una evaluacin externa cada cinco aos, a la alta direccin y al consejo de administracin. Antes de utilizar la frase de cumplimiento por parte de la actividad de auditora interna, cualquier falta de cumplimiento que haya sido declarada por una evaluacin de calidad (interna o externa), que menoscabe la habilidad de auditora interna para cumplir con sus responsabilidades: Las acciones llevadas a cabo para solucionar el incumplimiento deben ser documentadas e informadas al evaluador o evaluadores relevantes con el fin de obtener su acuerdo respecto de que la falta de cumplimiento ha sido adecuadamente solucionada, y Las acciones llevadas a cabo para solucionar el incumplimiento y el acuerdo del evaluador o evaluadores relevantes respecto de las mismas se informan a la alta direccin y al consejo de administracin.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2010-1

103

Enlace del Plan de Auditora con los Riesgos y Exposiciones


Norma principalmente relacionada 2010 Planificacin El director de auditora interna debe establecer un plan basado en los riesgos, a fin de determinar las prioridades de la actividad de auditora interna. Dicho plan deber ser consistente con las metas de la organizacin. Interpretacin: El director de auditora interna es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestin de riesgos de la organizacin, incluyendo los niveles de aceptacin de riesgos establecidos por la direccin para las diferentes actividades o partes de la organizacin. Si no existe tal enfoque, el director de auditora interna utilizar su propio juicio sobre los riesgos despus de considerar las aportaciones de la alta direccin y el Consejo. El director de auditora interna debe revisar y ajustar el plan, cuando sea necesario, como respuesta a los cambios en el negocio de los riesgos, las operaciones, los programas, los sistemas y los controles.

Consejo para la Prctica 2010-1


1. Al elaborar el plan de auditora de la actividad de auditora interna, muchos directores de auditora interna (DAIs) consideran til, en primer trmino, elaborar o actualizar el universo de auditora. El universo de auditora es una lista de todas las auditoras posibles que pudieran realizarse. El DAI puede obtener informacin sobre el universo de auditora de parte de la alta direccin y el consejo de administracin. El universo de auditora puede incluir componentes del plan estratgico de la organizacin. Al incorporar esos componentes, el universo de auditora considerar y reflejar los objetivos del plan general de negocios. Los planes estratgicos probablemente tambin reflejarn la actitud de la organizacin hacia el riesgo y el grado de dificultad para cumplir con los objetivos planificados. El universo de auditora estar normalmente influenciado por los resultados del proceso de gestin de riesgos. El plan estratgico de la organizacin tiene en cuenta el ambiente en el cual opera la organizacin. Estos mismos factores ambientales probablemente impactarn en el universo de auditora y la evaluacin del riesgo relativo.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

104

Consejo para la Prctica 2010-1

3.

El DAI prepara el plan de auditora de la actividad de auditora interna basndose en el universo de auditora, informaciones recibidas de la alta direccin y el consejo de administracin, y una evaluacin de riesgos y exposiciones que afectan a la organizacin. Los objetivos clave de auditora interna normalmente son proporcionar a la alta direccin y al consejo de administracin aseguramiento e informacin que les permita cumplir con los objetivos de la organizacin, incluyendo una evaluacin de la eficacia de las tareas de evaluacin de riesgos que realiza la direccin. El universo de auditora y el plan de auditora relacionado se mantienen actualizados de modo de reflejar los cambios en la direccin de la gestin, objetivos, nfasis y enfoques. Es aconsejable evaluar el universo de auditora al menos una vez al ao con el fin de que refleje las estrategias y la direccin ms actualizadas de la organizacin. En algunas situaciones, los planes de auditora pueden tener que actualizarse ms frecuentemente (por ejemplo, trimestralmente), en respuesta a los cambios en los negocios, operaciones, programas, sistemas y controles de la organizacin. El calendario de trabajo de auditora interna est basado, entre otros factores, en una evaluacin de riesgos y exposiciones. Establecer prioridades es necesario para tomar decisiones al asignar los recursos relativos. Existe una variedad de modelos de riesgo para ayudar al DAI. La mayora de los modelos de riesgo utilizan factores de riesgo tales como: impacto, probabilidad, materialidad, liquidez de activos, competencia de la gerencia, calidad de los controles internos y adhesin a los mismos, grado de cambio o estabilidad, tiempo transcurrido desde la ltima auditora y sus resultados, complejidad, y relaciones con el personal y el gobierno.

4.

5.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2010-2

105

Uso del Proceso de Gestin de Riesgos en el Plan de Auditora Interna


Norma Principalmente Relacionada 2010 Planificacin El director de auditora interna debe establecer un plan basado en los riesgos, a fin de determinar las prioridades de la actividad de auditora interna. Dicho plan deber ser consistente con las metas de la organizacin. Interpretacin: El director de auditora interna es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestin de riesgos de la organizacin, incluyendo los niveles de aceptacin de riesgos establecidos por la direccin para las diferentes actividades o partes de la organizacin. Si no existe tal enfoque, el director de auditora interna utilizar su propio juicio sobre los riesgos despus de considerar las aportaciones de la alta direccin y el Consejo. El director de auditora interna debe revisar y ajustar el plan, cuando sea necesario, como respuesta a los cambios en el negocio de los riesgos, las operaciones, los programas, los sistemas y los controles.

Consejo para la Prctica 2010-2


1. La gestin de riesgos es una parte fundamental para la existencia de un gobierno slido que trate todas las actividades de la organizacin. Muchas organizaciones comienzan a adoptar un enfoque holstico y coherente para la gestin de riesgos que, idealmente, debe encontrarse plenamente integrado en la gestin de la organizacin. Este enfoque se aplica a todos los niveles de la organizacin: unidades empresariales, unidades funcionales y unidades comerciales. La alta direccin utiliza habitualmente un marco de gestin de riesgos para dirigir las evaluaciones y documentar los resultados obtenidos. Disponer de un proceso de gestin de riesgos efectivo facilita la identificacin de controles clave relacionados con los riesgos inherentes importantes. Gestin de Riesgos Empresariales (ERM, por sus siglas en ingls) es un trmino de uso comn. El Committee of Sponsoring Organizations (COSO) of the Treadway Commission define el ERM como: un proceso efectuado por el Consejo, la alta direccin y restante personal de una entidad, aplicable a la definicin de estrategias en toda la empresa y

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

106

Consejo para la Prctica 2010-2

diseado para identificar acontecimientos potenciales que puedan afectar a la entidad, gestionar sus riesgos dentro de su apetito de riesgo y proporcionar una seguridad razonable sobre el logro de los objetivos de la entidad. La implantacin de controles es un mtodo comn que utiliza la direccin para la gestin del riesgo dentro de su apetito de riesgo. Los auditores internos auditan los controles clave y ofrecen aseguramiento en la gestin de riesgos significativos. 3. Las Normas Internacionales para la Prctica Profesional de la Auditora Interna (Las Normas) definen control como: cualquier medida que tome la direccin, el Consejo y otras partes para gestionar los riesgos y aumentar las probabilidades de alcanzar los objetivos y metas establecidos. La direccin planifica, organiza y dirige la realizacin de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarn los objetivos y metas. Existen dos conceptos de riesgos fundamentales: el riesgo inherente y el riesgo residual (tambin conocido como riesgo existente). Durante mucho tiempo, los auditores internos y externos han definido el concepto de riesgo inherente como la susceptibilidad de la informacin o datos frente a omisiones materiales, asumiendo que no existen controles de mitigacin. Las Normas definen el riesgo residual como: el riesgo que permanece despus de que se hayan realizado las acciones para reducir el impacto y la probabilidad de un acontecimiento adverso, incluyendo las actividades de control en respuesta a un riesgo. Por su lado, el riesgo existente se define como el riesgo gestionado con los controles o sistemas de control existentes. Los controles clave pueden definirse como los controles o grupos de controles que ayudan a reducir un riesgo inaceptable a un nivel tolerable. Los controles pueden ser principalmente concebidos como procesos organizacionales elaborados para abordar los riesgos. En un proceso de gestin de riesgos efectivo (con la documentacin adecuada), los controles clave pueden identificarse fcilmente tomando la diferencia entre el riesgo inherente y el riesgo residual de los sistemas afectados diseados para reducir la calificacin de los riesgos significativos. Si el riesgo inherente no recibe una calificacin, el auditor interno la estimar. Para identificar los controles clave (y suponiendo que el auditor interno ha dictaminado que el proceso de gestin de riesgos es maduro y fiable), el auditor interno buscar: Factores de riesgo individuales en los que se experimente una reduccin significativa de riesgo inherente a riesgo residual (particularmente si el riesgo inherente era

4.

5.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2010-2

107

muy alto). De esta forma se destacan los controles que son importantes para la organizacin. Controles que sirven para mitigar un gran nmero de riesgos. 6. La planificacin de auditora interna necesita hacer uso del proceso de gestin de riesgos corporativo, si ste ha sido desarrollado. Al planificar un trabajo, el auditor interno tiene en consideracin los riesgos significativos de la actividad y los medios mediante los cuales la direccin puede paliar el riesgo hasta un nivel aceptable. El auditor interno utiliza tcnicas de evaluacin de riesgos en el desarrollo del plan de la actividad de auditora interna, as como para determinar prioridades a la hora de asignar recursos de auditora interna. La evaluacin de riesgos se utiliza para examinar las unidades auditables y selecciona las reas sujetas a anlisis que deben incluirse en el plan de la actividad de auditora interna y que tienen mayor exposicin al riesgo. Los auditores internos podran no estar cualificados para analizar cada categora de riesgos y el proceso ERM dentro de la organizacin (por ejemplo, auditoras internas de seguridad e higiene en el lugar de trabajo, auditoras medioambientales o instrumentos financieros complejos). El director de auditora interna se asegurar de que se utilicen los auditores internos o proveedores de servicios externos adecuados. Los procesos y sistemas de gestin de riesgos no se estructuran de la misma manera en todo el mundo. El nivel de madurez de una organizacin en relacin con la gestin de riesgos es diferente en cada organizacin. En las organizaciones con una actividad de gestin de riesgos centralizada, el papel que esta actividad desempea va desde la coordinacin con la direccin de la revisin peridica de la estructura de control interno a la actualizacin de la estructura segn la evolucin del apetito de riesgo. Los procesos de gestin de riesgos que se utilizan en diferentes partes del mundo pueden tener lgicas, estructuras y terminologas distintas. Por lo tanto, los auditores internos evalan el proceso de gestin de riesgos de la organizacin y determinan qu partes pueden utilizarse en el desarrollo del plan de la actividad de auditora interna y cuales pueden utilizarse para la planificacin de trabajo individuales de auditora interna. Entre los factores que el auditor interno tiene en consideracin a la hora de desarrollar el plan de auditora interna, se incluyen: Riesgos inherentes - Se han identificado y evaluado? Riesgos residuales - Se han identificado y evaluado? Controles de mitigacin, planes de contingencia y actividades de supervisin Estn vinculados a los acontecimientos o riesgos individuales?

7.

8.

9.

Marco Internacional para la Prctica Profesional de la Auditora Interna

108

Consejo para la Prctica 2010-2

Registros de riesgos - Son sistemticos, completos y precisos? Documentacin - Estn documentados los riesgos y las actividades? Adems, el auditor interno se coordinar con otros proveedores de aseguramiento, en cuyo trabajo deber confiar. Remitirse al Consejo para la Prctica 2050-2: Mapas de Aseguramiento. 10. El estatuto de auditora interna requiere normalmente que la actividad de auditora interna se centre en reas de alto riesgo, incluyendo los riesgos residuales e inherentes. La actividad de auditora interna necesita identificar reas de alto riesgo inherente, alto riesgo residual y los sistemas de control claves en los que se sustenta la organizacin. Si la actividad de auditora interna identifica reas de riesgo residual inaceptable, la direccin debe notificarlo para que este pueda abordarse. Como consecuencia de llevar a cabo un proceso de planificacin estratgica de auditora, el auditor interno ser capaz de identificar diferentes tipos de actividades que sern incluidas en el plan de la actividad de auditora interna. Entre otras: Actividades de anlisis/aseguramiento de control: el auditor interno analiza la adecuacin y eficacia de los sistemas de control y ofrece la seguridad de que los controles funcionan y los riesgos son gestionados de manera efectiva. Actividades de investigacin: la gestin organizacional tiene un nivel inaceptable de incertidumbre sobre los controles relacionados con la actividad del negocio o rea de riesgo identificada, y el auditor interno lleva a cabo procedimientos para obtener un mejor entendimiento de los riesgos residuales. Actividades de consulta: el auditor interno aconseja la gestin organizacional en el desarrollo de sistemas de control para mitigar riesgos actuales inaceptables. Los auditores internos tambin tratan de identificar controles innecesarios, redundantes, excesivos o complejos que reducen el riesgo de manera ineficiente. En estos casos, el coste del control puede llegar a ser mayor que el beneficio obtenido y, por lo tanto, hay una oportunidad para que el diseo del control gane eficiencia. 11. Para asegurar que los riesgos relevantes son identificados, el enfoque para la identificacin de riesgos es sistemtico y est documentado con claridad. La documentacin abarcar desde el uso de una hoja de clculo en una organizacin pequea hasta el software para suministros de un proveedor en una organizacin ms sofisticada. Lo esencial es que el marco de la gestin de riesgos est ntegramente documentado.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2010-2

109

12. La documentacin de la gestin de riesgos en una organizacin puede estar a varios niveles por debajo del proceso de gestin de riesgos. Muchas organizaciones han desarrollado registros de riesgos para documentar los riesgos inferiores al nivel estratgico, proporcionando documentacin sobre riesgos significativos en un rea y calificaciones de riesgos inherentes y residuales relacionados, controles clave y factores de mitigacin. Entonces, puede emprenderse un ejercicio de alineamiento para identificar los vnculos ms directos entre las categoras de riesgos y aspectos descritos en el registro de riesgos y, cuando corresponda, los elementos incluidos en el universo de la auditora documentados por la actividad de auditora interna. 13. Algunas organizaciones pueden identificar varias reas de alto (o ms alto) riesgo inherente. Aunque estos riesgos pueden garantizar la atencin de la actividad de auditora interna, no siempre es posible analizarlos todos. Cuando el registro de riesgos presente una calificacin alta, o superior, de riesgo inherente en un rea particular, el riesgo residual permanezca intacto durante un largo tiempo y la direccin no tome medidas ni se planifique una actividad de auditora interna, el director de auditora interna informar al Consejo independientemente sobre dichas reas, aportando informacin sobre el anlisis de riesgos y las razones para la carencia de controles internos o la inefectividad de stos. 14. En el plan de actividad de auditora interna debe incluirse peridicamente una seleccin auditoras de sucursales o unidades de negocio con bajo nivel de riesgo para ofrecerles cobertura y confirmar que sus riesgos no han cambiado. Adems, la actividad de auditoria interna establece un mtodo para priorizar los riesgos que estn por resolver y que an no estn sujetos a una auditora interna. 15. Un plan de actividad de auditora interna, se centra en: Riesgos existentes inaceptables para los que se requiere intervencin de la direccin. Se tratara de reas con controles clave o factores de mitigacin mnimos que la alta direccin desea auditar de inmediato. Sistemas de control de los que depende la organizacin. reas con una gran diferencia entre riesgo inherente y riesgo residual. reas con un riesgo inherente muy alto. 16. A la hora de planificar auditoras internas individuales, el auditor interno identifica y evala los riesgos relevantes en el rea objeto de anlisis.

Marco Internacional para la Prctica Profesional de la Auditora Interna

110

Consejo para la Prctica 2020-1

Comunicacin y Aprobacin
Norma principalmente relacionada 2020 Comunicacin y aprobacin El director de auditora interna debe comunicar los planes y requerimientos de recursos de la actividad de auditora interna, incluyendo los cambios provisionales significativos, a la alta direccin y al Consejo para la adecuada revisin y aprobacin. El director de auditora interna tambin debe comunicar el impacto de cualquier limitacin de recursos.

Consejo para la Prctica 2020-1


1. El director de auditora interna (DAI) enviar anualmente a la alta direccin y al consejo de administracin, para su revisin y aprobacin, un resumen del plan anual de auditora interna, del calendario de trabajos, del plan de personal y del presupuesto financiero correspondientes a la actividad de auditora interna. Este resumen mantendr informados a la alta direccin y al consejo de administracin sobre el alcance del trabajo de auditora interna y sobre cualquier limitacin puesta sobre dicho alcance. El DAI tambin enviar todos los cambios significativos que se produzcan para la aprobacin e informacin. El calendario de trabajos, el plan de personal y el presupuesto financiero aprobados, junto con todos los cambios significativos que eventualmente se produzcan, deben contener informacin suficiente para permitir que la alta direccin y el consejo de administracin determinen si los objetivos y planes de la actividad de auditora interna apoyan a los de la organizacin y el consejo, y son consistentes con el estatuto de auditora interna.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2030-1

111

Administracin de Recursos
Norma principalmente relacionada 2030 Administracin de recursos El director de auditora interna debe asegurar que los recursos de auditora interna sean apropiados, suficientes y eficazmente asignados para cumplir con el plan aprobado. Interpretacin:

Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar a cabo el plan. Suficientes se refiere a la cantidad de recursos necesarios para cumplir con el plan. Los recursos estn eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan aprobado.

Consejo para la Prctica 2030-1


1. El director de auditora interna (DAI) es el responsable principal de la suficiencia y administracin de los recursos de auditora interna, de forma de asegurar el cumplimiento de las responsabilidades de auditora interna segn se describe en el estatuto de auditora interna. Esto incluye comunicaciones eficaces de las necesidades de recursos, e informar el estado de los recursos a la alta direccin y al consejo de administracin. Los recursos de auditora interna pueden incluir a empleados, proveedores externos de servicios, apoyo contable y tcnicas de auditora basadas en tecnologa. Asegurar la adecuacin de los recursos de auditora interna es en ltima instancia una responsabilidad de la alta direccin y el consejo de administracin de la organizacin, y el DAI debe ayudarles en el cumplimiento de esta responsabilidad. Las habilidades, capacidades y conocimientos tcnicos de los recursos de auditora interna tienen que ser apropiados para las actividades planificadas. El DAI realizar una evaluacin o inventario peridico de habilidades para determinar las habilidades especficas requeridas para desempear las tareas de auditora interna. La evaluacin de habilidades estar basada y tendr en cuenta las diversas necesidades identificadas en la evaluacin de riesgos y el plan de auditora. Esto incluye evaluaciones de conocimientos tcnicos, idiomas, sagacidad para los negocios, competencia en la deteccin y prevencin de fraudes, y auditora y contabilidad. El DAI debe asegurar que la evaluacin de habilidades est en funcin de las necesidades de la cobertura

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

112

Consejo para la Prctica 2030-1

de auditora, y de que esta cobertura no est determinada fundamentalmente por las capacidades presentes dentro de la organizacin de auditora interna. 3. Los recursos de auditora interna deber ser suficientes para llevar a cabo las tareas de auditora con la amplitud, profundidad y oportunidad esperadas por la alta direccin y el consejo de administracin, segn se establece en el estatuto de auditora interna. La planificacin de recursos tendr en cuenta el universo de auditora, los niveles de riesgos relevantes, el plan anual de auditora interna, las expectativas de cobertura y una estimacin de tareas no anticipadas. El DAI tambin asegura que los recursos estn distribuidos eficazmente. Esto incluye la asignacin de auditores competentes y cualificados para cada trabajo en particular. Tambin incluye el desarrollo de un enfoque de recursos y estructura organizacional que sean apropiados para la estructura, perfil de riesgos y dispersin geogrfica de los negocios de la organizacin. Desde el punto de vista de administracin de recursos en general, el DAI tiene en cuenta los planes de sucesin, programas de evaluacin y desarrollo de personal, y otras disciplinas de recursos humanos. El DAI tambin contempla las necesidades de la actividad de auditora interna, ya sea que las habilidades estn presentes o no dentro de la actividad de auditora interna. Otros enfoques para contemplar las necesidades de recursos son los proveedores externos de servicios, empleados de otros departamentos dentro de la organizacin o consultores especializados. Dada la naturaleza crtica de los recursos, el DAI mantiene comunicacin y dilogo permanentes con la alta direccin y el consejo de administracin respecto de la adecuacin de los recursos para la actividad de auditora interna. Peridicamente, el DAI presenta a la alta direccin y al consejo de administracin un resumen detallado del estado y adecuacin de los recursos. A tal fin, el DAI elabora mediciones, metas y objetivos apropiados para vigilar la adecuacin general de los recursos. Esto puede incluir comparaciones de los recursos con el plan anual de auditora, el impacto de falta de personal o vacantes temporarias, actividades educativas y de formacin, y cambios en las necesidades de habilidades especficas debidos a cambios producidos en los negocios, operaciones, programas, sistemas o controles de la organizacin.

4.

5.

6.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2040-1

113

Polticas y Procedimientos
Norma principalmente relacionada 2040 Polticas y procedimientos El director de auditora interna debe establecer polticas y procedimientos para guiar la actividad de auditora interna. Interpretacin:

La forma y el contenido de las polticas y procedimientos deben ser apropiados al tamao y estructura de la actividad de auditora interna y de la complejidad de su trabajo.

Consejo para la Prctica 2040-1


1. El director de auditora interna elabora polticas y procedimientos. No todas las actividades de auditora interna necesitan de manuales formales administrativos y tcnicos de auditora. Una actividad de auditora interna de pequeo tamao puede ser administrada informalmente. Su personal de auditora interna puede ser dirigido y controlado mediante una estrecha supervisin diaria y mediante notas que establezcan polticas y procedimientos a cumplir. En una actividad de auditora interna de gran tamao son esenciales las polticas y los procedimientos ms formales para guiar al personal de auditora interna en la ejecucin del plan anual de auditora.

Marco Internacional para la Prctica Profesional de la Auditora Interna

114

Consejo para la Prctica 2050-1

Coordinacin
Norma principalmente relacionada 2050 Coordinacin El director de auditora interna debera compartir informacin y coordinar actividades con otros proveedores internos y externos de servicios de aseguramiento y consultora para asegurar una cobertura adecuada y minimizar la duplicacin de esfuerzos.

Consejo para la Prctica 2050-1


1. La supervisin del trabajo de los auditores externos, incluida la coordinacin con la actividad de auditora interna, es responsabilidad del consejo de administracin. La coordinacin del trabajo entre los auditores internos y externos es responsabilidad del director de auditora interna (DAI). El DAI obtiene el apoyo del consejo de administracin para coordinar eficazmente el trabajo de auditora. Las organizaciones pueden utilizar el trabajo de los auditores externos para proporcionar aseguramiento referido a las actividades que estn dentro del alcance de auditora interna. En estos casos, el DAI sigue los pasos necesarios para entender el trabajo realizado por los auditores externos, como ser: La naturaleza, alcance y oportunidad del trabajo planificado por los auditores externos, para asegurarse de que dicho trabajo, junto con el trabajo planificado por los auditores internos, cumple los requisitos de la Norma 2100. La evaluacin de riesgos y materialidad hecha por los auditores externos. Las tcnicas, mtodos y terminologa de los auditores externos, lo cual le permite al DAI: (1) coordinar el trabajo de auditores internos y externos; (2) evaluar, para poder confiar en ello, el trabajo de los auditores externos; y (3) comunicarse con los auditores externos de forma eficaz. El acceso a los programas y papeles de trabajo de los auditores externos, para asegurarse de que pueda confiar en los papeles del auditor externo a los fines de auditora interna. Los auditores internos son responsables de respetar la confidencialidad de dichos programas y papeles de trabajo. El auditor externo puede confiar en el trabajo de la actividad de auditora interna para realizar su trabajo. En este caso, el DAI tiene que proporcionar informacin suficiente

2.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2050-1

115

que permita a los auditores externos entender las tcnicas, mtodos y terminologa que faciliten la confianza de aquellos en el trabajo realizado. El acceso a los programas y papeles de trabajo de los auditores internos se otorga a los auditores externos con el fin de que se aseguren de la aceptabilidad del trabajo de aquellos. 4. Puede ser eficaz para los auditores internos y externos utilizar tcnicas, mtodos y terminologa similares, con el fin de coordinar eficazmente su trabajo y de confiar cada uno en el trabajo del otro. Las actividades de auditora planificadas por los auditores internos y externos tienen que ser comentadas con el fin de asegurar que la cobertura de auditora est coordinada y se minimicen las duplicaciones de esfuerzos donde sea posible. Se organizarn las reuniones que hagan falta durante el proceso de auditora con el fin de asegurar la coordinacin del trabajo de auditora y la finalizacin eficiente y oportuna de las tareas de auditora, y para determinar si las observaciones y recomendaciones que vayan surgiendo del trabajo realizado requieren un ajuste en el trabajo planificado. Las comunicaciones finales de la actividad de auditora interna, las respuestas de la direccin a esas comunicaciones y las posteriores revisiones de seguimiento estarn disponibles para los auditores externos. Estas comunicaciones ayudan a los auditores externos a determinar y ajustar el alcance y oportunidad de su trabajo. Adems, los auditores internos deben acceder a los materiales de presentacin y cartas de direccin de los auditores externos. Los asuntos tratados en los materiales de presentacin e incluidos en las cartas de direccin tienen que ser entendidos por el DAI y utilizados por los auditores internos como informacin para planificar las reas a enfatizar en futuros trabajos de auditora interna. Despus de revisar las cartas de direccin y el inicio de cualquier accin correctiva necesaria por parte de los miembros apropiados de la alta direccin y el consejo de administracin, el DAI se asegurar de que se hayan tomado las acciones correctivas y el seguimiento adecuados. El DAI es responsable de las evaluaciones habituales de la coordinacin entre los auditores internos y externos. Estas evaluaciones pueden tambin incluir evaluaciones de la eficiencia y eficacia general de las tareas de auditores internos y externos, incluyendo los costes de auditora agregados. El DAI comunica los resultados de estas evaluaciones a la alta direccin y al consejo de administracin, incluyendo los comentarios relevantes sobre el desempeo de los auditores externos.

5.

6.

7.

Marco Internacional para la Prctica Profesional de la Auditora Interna

116

Consejo para la Prctica 2050-2

Mapas de Aseguramiento
Norma principalmente relacionada 2050 Coordinacin El director de auditora interna debera compartir informacin y coordinar las actividades con otros proveedores internos y externos de servicios de aseguramiento y consultora para asegurar una cobertura adecuada y minimizar la duplicacin de esfuerzos.

Consejo para la Prctica 2050-2


1. Una de las responsabilidades ms importantes del Consejo es obtener aseguramiento de que los procesos se llevan a cabo dentro de los parmetros que ha establecido para alcanzar los objetivos definidos. Es necesario determinar si los procesos de gestin de riesgo estn funcionando de manera efectiva y si los riesgos clave o crticos para el negocio se gestionan de forma aceptable. El aumento del inters acerca de los roles y responsabilidades de la alta direccin y el Consejo ha motivado a muchas organizaciones a aumentar el nfasis en las actividades de aseguramiento. El Glosario de las Normas define servicios de aseguramiento como un examen objetivo de evidencias con el propsito de proporcionar una evaluacin independiente de los procesos de gestin de riesgos, control y gobierno de una organizacin. El Consejo utilizar mltiples recursos para obtener aseguramiento fiable. El aseguramiento de la alta direccin es fundamental y debe estar complementado por el aseguramiento ofrecido por la auditora interna y otras terceras partes. Los gestores de riesgos, los auditores internos y los profesionales del cumplimiento se preguntan: Quin hace qu y por qu?. Especialmente los Consejos comienzan a preguntarse quin les ofrece el servicio de aseguramiento, dnde est la lnea divisoria entre las funciones y si existe superposicin entre ellas. Existen tres clases principales de proveedores de servicios de aseguramiento, diferenciados por las partes interesadas a las que sirven, por su nivel de independencia de las actividades sobre las que ofrecen aseguramiento y por la solidez del aseguramiento. Los que informan a la alta direccin y/o son parte de la direccin (aseguramiento de la direccin), en los que se incluyen quienes realizan autoevaluaciones de control, auditores de calidad, auditores medioambientales y otro personal de aseguramiento designado por la direccin.

2.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2050-2

117

Los que informan al Consejo, incluyendo auditora interna. Los que informan a las personas interesadas externas (aseguramiento de auditora externa), papel tradicionalmente realizado por el auditor independiente/ sndico. El nivel de aseguramiento deseado, y quin debe proporcionarlo, variar en funcin del riesgo. 4. Existen diversos proveedores de servicios de aseguramiento para una organizacin. Cargos directivos y empleados (la direccin ofrece aseguramiento en primera lnea de defensa sobre los riesgos de los que es responsable) Alta direccin Auditores externos e internos Cumplimiento Aseguramiento de la calidad Gestin de riesgos Auditores medioambientales Auditores de seguridad e higiene en el lugar de trabajo Auditores del desempeo del gobierno Equipos de anlisis de informes financieros Subcomits del Consejo (por ejemplo, de auditora, actuarial, de crdito o de gobierno) Proveedores externos de servicios de aseguramiento, incluyendo estudios, anlisis especializados, (seguridad e higiene), etc. Por lo general, la actividad de auditora interna proporcionar aseguramiento para toda la organizacin, incluyendo los procesos de gestin de riesgos (tanto en sus diseos como en su efectividad operacional), la gestin de aquellos riesgos clasificados como clave (incluyendo la efectividad de los controles y otras respuestas), la verificacin de la fiabilidad e idoneidad de la evaluacin de riesgos e informes sobre el estado de riesgos y control. Como la alta direccin, la auditora interna, la gestin de riesgos y el aseguramiento comparten la responsabilidad de las actividades de aseguramiento, es importante que stas estn coordinadas para garantizar que los recursos son utilizados de la manera ms eficiente y efectiva. Muchas organizaciones operan con actividades de auditora interna, riesgo y cumplimiento tradicionales (y propias). Resulta comn que las organizaciones tengan un nmero de grupos propios que lleven a cabo funciones de gestin de riesgos, cumplimiento y aseguramiento independientes el uno del otro. Sin una

5.

6.

Marco Internacional para la Prctica Profesional de la Auditora Interna

118

Consejo para la Prctica 2050-2

coordinacin e informes efectivos, el trabajo puede verse duplicado, y los riesgos claves pueden obviarse o malinterpretarse. 7. Aunque muchas organizaciones vigilan las actividades de auditora interna, riesgos y cumplimiento, no todas tienen una visin holstica de sus actividades. La realizacin del mapa de aseguramiento, implica contrastar la cobertura del mismo frente a los riesgos clave de la organizacin. Este proceso permite a una organizacin identificar y abarcar las lagunas que hubiera en el proceso de gestin de riesgos y ofrece a las partes interesadas tranquilidad de que los riesgos estn siendo gestionados y comunicados, y de que se cumplen las obligaciones legales/reglamentarias. Las organizaciones se beneficiarn de un enfoque optimizado, que asegura que la informacin sobre los riesgos a los que se enfrentan, y cmo estn siendo tratados estos riesgos, est disponible para la alta direccin. La realizacin del mapa se lleva a cabo en toda la organizacin para poder comprender en dnde residen los roles y responsabilidades de riesgos y aseguramiento. El objetivo es asegurar que existe un proceso integral de riesgos y aseguramiento carente de posibles lagunas y sin duplicidad de esfuerzos. A menudo, una organizacin definir las categoras de riesgo significativo que componen su marco de gestin de riesgo. En estos casos, el mapa de aseguramiento se elaborara a partir de la estructura de este marco. Por ejemplo, un mapa de aseguramiento podra contener las siguientes columnas: Categora de riesgo significativo Cargo directivo responsable del riesgo (Responsable del riesgo) Calificacin de riesgo inherente Calificacin de riesgo residual Cobertura de auditora externa Cobertura de auditora interna Cobertura de otros proveedores de servicios de aseguramiento En este ejemplo, el director de auditora interna (DAI) rellenara la columna de cobertura de auditora interna con la cobertura ms reciente. En ocasiones, el riesgo significativo tiene un responsable del riesgo o una persona responsable de coordinar actividades de aseguramiento para ese riesgo que, en este caso, rellenara la columna de cobertura de otros proveedores de servicios de aseguramiento. Cada unidad dentro del seno de una organizacin podra tener su propio mapa de aseguramiento. Alternativamente, la actividad de auditora interna puede desempear un rol de coordinacin para desarrollar y ultimar el mapa de aseguramiento de la organizacin.

8.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2050-2

119

9.

Una vez se ha completado el mapa de aseguramiento de la organizacin, se identificarn los riesgos significativos con cobertura de aseguramiento inadecuada o reas con cobertura duplicada de aseguramiento. La alta direccin y el Consejo necesitan considerar cambios en la cobertura de aseguramiento para estos riesgos. La actividad de auditora interna necesita considerar las reas con cobertura inadecuada a la hora de desarrollar el plan de auditora interna.

10. Es responsabilidad del DAI entender los requisitos independientes de los servicios de aseguramiento del Consejo y la organizacin, definir el papel que desempea la actividad de auditora interna y el nivel de aseguramiento que ofrece. El Consejo debe confiar en que el proceso de aseguramiento, en su totalidad, es adecuado y suficientemente slido como para refrendar que los riesgos de la organizacin estn siendo gestionados y comunicados de manera efectiva. 11. El Consejo necesita recibir informacin acerca de las actividades de aseguramiento, las implementadas y las planificadas, relativa a cada categora de riesgo. La actividad de auditora interna y otros proveedores de servicios de aseguramiento ofrecen al Consejo el nivel adecuado de aseguramiento para la naturaleza y los niveles de riesgo que hay en la organizacin para cada categora. 12. En organizaciones que requieren de una opinin general del director de auditora interna, este necesita entender la naturaleza, mbito y extensin del mapa de aseguramiento, para poder considerar el trabajo por parte de otros proveedores de servicios de aseguramiento (y confiar en este) antes de presentar una opinin general sobre el gobierno de la organizacin, la gestin de riesgos y los procesos de control. La Gua Prctica para la Formulacin y Expresin de Opiniones del Auditor Interno, del IAI, ofrece directrices adicionales a este respecto. 13. En casos en los que la organizacin no espera una opinin general, el DAI puede adoptar el papel de coordinador de los proveedores de servicios de aseguramiento para bien asegurar que no hay lagunas en el aseguramiento o bien que las lagunas se conocen y aceptan. El DAI informa sobre la falta de aportacin, implicacin, supervisin o aseguramiento por parte de otros proveedores de aseguramiento. Si el DAI considera que la cobertura de aseguramiento no es adecuada ni efectiva, debe informar a la alta direccin y al Consejo. 14. El DAI se gua por la Norma 2050 para coordinar actividades con otros proveedores de servicios de aseguramiento. El uso de un mapa de aseguramiento ayudara a ejercer esta labor de coordinacin. Cada vez ms, los mapas de aseguramiento ofrecen una forma cada vez ms efectiva de comunicar esta coordinacin.

Marco Internacional para la Prctica Profesional de la Auditora Interna

120

Consejo para la Prctica 2050-3

Confiar en el trabajo de otros proveedores de servicios de aseguramiento


Norma principalmente relacionada 2050 Coordinacin El director de auditora interna debera compartir la informacin y coordinar las actividades con otros proveedores internos y externos de servicios de aseguramiento y consultora para asegurar una cobertura adecuada y minimizar la duplicacin de esfuerzos.

Consejo para la Prctica 2050-3


1. El auditor interno puede hacer uso del trabajo de otros proveedores internos o externos de servicios de aseguramiento al proporcionar al gobierno, gestin de riesgos y aseguramiento de control. Los proveedores internos de servicios de aseguramiento pueden incluir las funciones de Cumplimiento, Seguridad de la Informacin, Calidad, y Seguridad e Higiene en el trabajo, como tambin actividades de gestin de supervisn. Los proveedores externos de servicios de aseguramiento pueden ser auditores externos, socios de una empresa de negocios conjuntos, anlisis de expertos o una empresa de auditora independiente, como tambin entidades dedicadas a la elaboracin de informes en virtud de las Normas Internacionales sobre Compromiso de Aseguramiento 3402: Informes de Aseguramiento sobre los Controles en una Organizacin de Servicio. La decisin de confiar en el trabajo de otros proveedores de servicios de aseguramiento puede deberse a varias razones, entre otras, para abarcar las reas que no son competencia de la actividad de auditora interna, para obtener la transferencia de conocimientos de otros proveedores de aseguramiento, o para ampliar eficientemente la cobertura de riesgo ms all del plan de auditora interna. Un estatuto de auditora interna o una carta de compromiso deberan especificar que la actividad de auditora interna tiene acceso al trabajo de otros proveedores internos y externos de servicios de aseguramiento. Cuando el auditor interno contrata al proveedor de servicios de aseguramiento, debe documentar, en un contrato o acuerdo, las expectativas del trabajo. Deben garantizarse expectativas mnimas para la naturaleza y propiedad de los resultados a entregar, los mtodos y tcnicas, la naturaleza de los procedimientos y la informacin a utilizar, la supervisin e informes sobre el progreso para asegurar que el trabajo es adecuado, y los requisitos de las comunicaciones.

2.

3.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2050-3

121

5.

Si la direccin de la organizacin proporciona el contrato con un proveedor de servicios de aseguramiento independiente, el auditor interno debera estar convencido de que las instrucciones son adecuadas, entendidas y ejecutadas. 6. El auditor interno debe tener en cuenta la independencia y objetividad de los dems proveedores de servicios de aseguramiento a la hora de considerar si confiar en el trabajo de estos. Si un proveedor de servicios de aseguramiento es contratado por la alta direccin en lugar de por un auditor interno, debera entonces evaluarse el impacto de este acuerdo sobre la independencia y objetividad del proveedor de servicios de aseguramiento. 7. El auditor interno debe evaluar las competencias y cualificaciones de los proveedores que llevan a cabo el trabajo de aseguramiento. Como competencia se entiende, por ejemplo, verificar que el asegurador tiene la experiencia y cualificacin adecuadas, pertenece al instituto u rgano profesional relevante, y que se ha labrado una reputacin en cuanto a su competencia e integridad en el sector. 8. El auditor interno debe tener en cuenta los elementos de prctica profesional del proveedor de aseguramiento para tener una seguridad razonable de que los hallazgos de auditora se basan en informacin suficiente, fiable, relevante y til, segn estipula la Norma 2310: Identificacin de la Informacin. El director de auditora interna (DAI) debe cumplir la Norma 2310 independientemente del grado en el que se utilice el trabajo de otro proveedor de servicios de aseguramiento. 9. El auditor interno debe asegurarse de que el trabajo de otro proveedor est debidamente planificado, supervisado, documentado y revisado. El auditor interno debe considerar si las pruebas de auditora son adecuadas y suficientes para determinar hasta qu punto debe utilizar, y confiar en, el trabajo de otros proveedores de servicios de aseguramiento. Es posible que, en funcin de una evaluacin del trabajo de otro proveedor de servicios de aseguramiento, se necesite realizar trabajo adicional o evaluaciones de procedimientos para obtener una prueba de auditora adecuada y suficiente. El auditor interno debe estar convencido, apoyndose en el conocimiento del negocio, del entorno, tcnicas e informacin utilizadas por el proveedor de servicios de aseguramiento, de que los hallazgos son razonables. 10. El nivel de confianza que se deposite sobre otro proveedor de servicios de aseguramiento se ver afectado por los factores mencionados anteriormente: independencia, objetividad, competencias, elementos de prctica profesional, adecuacin de la ejecucin del trabajo de auditora, y suficiencia de pruebas de auditora que respalden el nivel de aseguramiento dado. Dado que el riesgo o importancia de la actividad analizada por otro proveedor de aseguramiento aumenta, el auditor interno debe recopilar ms informacin acerca de estos factores y puede que necesite obtener pruebas adi-

Marco Internacional para la Prctica Profesional de la Auditora Interna

122

Consejo para la Prctica 2050-3

cionales de auditora para complementar el trabajo realizado por el proveedor. Para aumentar el nivel de confianza en los resultados, la actividad de auditora interna volver a evaluar los resultados del otro proveedor de servicios de aseguramiento. 11. El auditor interno debe incorporar los resultados del proveedor de servicios de aseguramiento a los informes de aseguramiento finales que debe remitir al Consejo u otras partes interesadas. Los problemas significativos surgidos del trabajo del otro proveedor de servicios de aseguramiento se incluirn, detallada o resumidamente, en los informes de auditora interna. El auditor interno debe incluir referencias a otros proveedores de servicios de aseguramiento, en casos en los que los informes se basen en esta informacin. 12. Las actividades de seguimiento son un proceso mediante el cual los auditores internos evalan la adecuacin, efectividad y puntualidad de las medidas tomadas por la alta direccin para las recomendaciones y observaciones notificadas, incluyendo las realizadas por otro proveedor de servicios de aseguramiento. A la hora de analizar las medidas tomadas para abordar las recomendaciones aportadas por otro proveedor de servicios de aseguramiento, el auditor interno debe determinar si la alta direccin ha implantado las recomendaciones o, por el contrario, ha asumido el riesgo de no implantarlas. 13. Los hallazgos significativos encontrados por otro proveedor de servicios de aseguramiento deben tenerse en cuenta en el aseguramiento y las comunicaciones que auditora interna proporciona a la organizacin. Adems, los resultados del trabajo realizado por otro proveedor pueden afectar a la evaluacin de riesgos de la auditora interna en cuanto a si los hallazgos afectan a la evaluacin de riesgos y al nivel de trabajo de auditora necesarios como respuesta a ese riesgo. 14. A la hora de evaluar la efectividad de los procesos de gestin de riesgos (Norma 2120: Gestin de Riesgos), y de contribuir a su mejora, la actividad de auditora interna puede analizar los procesos de los proveedores internos de servicios de aseguramiento, entre los que se incluyen las funciones de la compaa, tales como Cumplimiento, Seguridad de la Informacin, Calidad y Seguridad e Higiene en el trabajo, como tambin actividades de gestin de supervisin. Auditora interna debera cubrir las reas de riesgos, pero cuando existe otra funcin de aseguramiento, la actividad de auditora interna debe analizar el desempeo del proceso, y evitar duplicar el trabajo especfico de esa otra funcin. 15. La evaluacin realizada por otro proveedor de servicios de aseguramiento debe ser comunicada a las reas relevantes de la organizacin con el fin de ser tomadas en cuenta en las consideraciones relacionadas con el marco de gestin de riesgos de la organizacin y el mapa de aseguramiento. (Consultar Consejo para la Prctica 2050-2).

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2060-1

123

Informe a la Alta Direccin y al Consejo


Norma principalmente relacionada 2060 Informe a la alta direccin y al Consejo El director de auditora interna debe informar peridicamente a la alta direccin y al Consejo sobre la actividad de auditora interna en lo referido al propsito, autoridad, responsabilidad y desempeo de su plan. El informe tambin debe incluir exposiciones al riesgo y cuestiones de control significativas, cuestiones de gobierno y otros asuntos necesarios o requeridos por la alta direccin y el Consejo. Interpretacin:

La frecuencia y el contenido del informe estn determinados por comentarios con la alta direccin y el Consejo, y dependen de la importancia de la informacin a ser comunicada y la urgencia de las acciones a seguir por parte de la alta direccin y el Consejo.

Consejo para la Prctica 2060-1


1. El propsito del informe es proporcionar aseguramiento a la alta direccin y al Consejo con respecto a los procesos de gobierno (Norma 2110), la gestin de riesgos (Norma 2120), y el control (Norma 2130). La Norma 1111 estipula: El director de auditora interna debe comunicarse e interactuar directamente con el Consejo de Administracin. El director de auditora interna (DAI) debe ponerse de acuerdo con el Consejo sobre la frecuencia y la naturaleza de los informes de auditora interna (por ejemplo: propsito, autoridad, responsabilidad) y desempeo. El informe sobre el desempeo debe estar relacionado con el ltimo plan aprobado para informar a la alta direccin y al Consejo sobre las modificaciones ms importantes surgidas del plan de auditora, planes de personal y presupuestos aprobados; sobre las razones de las modificaciones, y las medidas que se han implantado o necesitan implantarse. La Norma 1320 estipula: El director de auditora interna debe comunicar los resultados del programa de aseguramiento y mejora de la calidad a la alta direccin y al Consejo. La exposicin al riesgo y los problemas de control significativos son, a juicio del director de auditora interna, factores que podran afectar negativamente a la organizacin

2.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

124

Consejo para la Prctica 2060-1

y a su habilidad para alcanzar sus objetivos estratgicos, operacionales, de cumplimiento y los relacionados con los informes financieros. Un problema significativo puede acarrear una exposicin inaceptable a riesgos internos y externos, incluyendo factores relacionados con la debilidad de control, fraude, irregularidades, actos ilegales, prdida, inefectividad, conflictos de inters y viabilidad financiera. 4. La alta direccin y el Consejo toman las decisiones sobre las medidas apropiadas a adoptar en caso de problemas significativos. Pueden decidir asumir el riesgo de no corregir la situacin informada debido a su coste u otras consideraciones. El Consejo debe estar informado de las decisiones tomadas por la alta direccin sobre los problemas significativos derivados del trabajo. Cuando el DAI considere que la alta direccin ha aceptado un nivel de riesgo que pueda ser inaceptable para la organizacin, debe tratar este asunto con la alta direccin, tal y como se establece en la Norma 2600. El DAI debe entender los motivos de la alta direccin para tomar sus decisiones, identificar la causa de las discrepancias que puedan surgir, y determinar si la alta direccin tiene autoridad para aceptar el riesgo. Las discrepancias pueden estar relacionadas con la probabilidad y exposicin potencial de riesgos, entendimiento del apetito de riesgo, coste, y nivel de control. Preferentemente, el DAI debe resolver las discrepancias con la alta direccin. Si el director de auditora interna y la alta direccin no llegan a un acuerdo, la Norma 2600 indica que el director de auditora interna debe informar al Consejo. Si fuera posible, el director de auditora interna y la alta direccin expondrn conjuntamente las razones del conflicto. Para asuntos relacionados con informes financieros, el director de auditora interna debe considerar tratarlos con los auditores externos de la manera oportuna.

5.

6.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2110-1

125

Gobierno: Definicin
Norma principalmente relacionada 2110 Gobierno La actividad de auditora interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos: Promover la tica y los valores apropiados dentro de la organizacin, Asegurar la gestin y responsabilidad eficaces en el desempeo de la organizacin, Comunicar la informacin de riesgo y control a las reas adecuadas de la organizacin, y Coordinar las actividades y la informacin de comunicacin entre el Consejo de Administracin, los auditores internos y externos, y la direccin.

Consejo para la Prctica 2110-1


1. El papel de auditora interna, como se presenta en la Definicin de Auditora Interna, incluye la responsabilidad de evaluar y mejorar los procesos de gobierno como parte de su funcin de aseguramiento. Existen varias definiciones para el trmino gobierno, las cuales dependen de diversas circunstancias del entorno, estructurales y culturales, as como legales. Las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna (Las Normas) definen gobierno como: la combinacin de procesos y estructuras implantados por el Consejo para informar, dirigir, gestionar y vigilar las actividades de la organizacin con el fin de lograr su objetivos. El director de auditora interna puede utilizar una definicin distinta a efectos de auditora cuando la organizacin haya adoptado un marco o modelo de gobierno diferente. Existe una amplia variedad de modelos de gobierno que han sido publicados por otras organizaciones y organismos jurdicos y reguladores. Por ejemplo, la Organizacin para la Cooperacin y el Desarrollo Econmico (OCDE) define gobierno como: un conjunto de relaciones entre la direccin de la empresa, su Consejo, sus accionistas y otras partes interesadas. El gobierno corporativo proporciona la estructura a travs de la cual se establecen los objetivos de la empresa y se deciden los medios para lograr dichos objetivos y vigilar su desempeo. El Consejo de Gobierno Corporativo de la

2.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

126

Consejo para la Prctica 2110-1

Bolsa de Valores de Australia (ASX) define gobierno como: el sistema que dirige y gestiona las empresas. Influye en el establecimiento de los objetivos y en su consecucin, en el seguimiento y evaluacin del riesgo y en la optimizacin del desempeo. En la mayora de los casos hay indicacin de que el gobierno es un proceso o sistema no esttico. Lo que hace distintivo al enfoque de Las Normas es su nfasis sobre el Consejo y sus actividades de gobierno. 4. Los marcos y requisitos de gobierno varan en funcin del tipo de organizacin y jurisdiccin reguladora. Existen, entre otras, sociedades que cotizan en bolsa, organizaciones sin nimo de lucro, asociaciones, entidades gubernamentales y cuasi-gubernamentales, instituciones acadmicas, entidades privadas, comisiones y mercados burstiles. La manera en que una organizacin disea y pone en prctica los principios para un gobierno efectivo tambin depende del tamao, complejidad, la madurez de la organizacin, la estructura de sus accionistas, los requisitos legales y culturales, etc. Como consecuencia de la variacin en el diseo y estructura de gobierno, el director de auditora interna debe trabajar con el Consejo y la alta direccin, segn corresponda, para determinar cmo debera definirse el gobierno a efectos de auditora. La auditora interna es parte integral del marco de gobierno de la organizacin. Su excepcional posicin dentro de la organizacin permite a los auditores internos observar y evaluar formalmente la estructura de gobierno, su diseo y efectividad operacional conservando su independencia. La relacin entre gobierno, gestin de riesgos y control interno debe ser tenida en cuenta. Este artculo es tratado en el Consejo para la Prctica 2110-2. El Consejo para la Prctica 2110-3 trata la evaluacin del gobierno.

5.

6.

7.

8.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2110-2

127

Gobierno: Relacin con riesgo y control


Norma principalmente relacionada 2110 Gobierno La actividad de auditora interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos: Promover la tica y los valores apropiados dentro de la organizacin, Asegurar la gestin y responsabilidad eficaces en el desempeo de la organizacin, Comunicar la informacin de riesgo y control a las reas adecuadas de la organizacin, y Coordinar las actividades y la informacin de comunicacin entre el Consejo de Administracin, los auditores internos y externos, y la direccin.

Consejo para la Prctica 2110-2


1. Las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna (Las Normas) definen gobierno como: la combinacin de procesos y estructuras implantados por el Consejo de Administracin para informar, dirigir, gestionar y vigilar las actividades de la organizacin con el fin de lograr su objetivos El gobierno no existe como un conjunto de procesos y estructuras diferenciadas e independientes. Ms bien, mantiene relacin directa con la gestin de riesgos y los controles internos. Unas actividades de gobierno efectivas deben considerar el riesgo a la hora de definir una estrategia. En cambio, la gestin de riesgos depende de un gobierno efectivo (por ejemplo: compromiso de la alta direccin, apetito de riesgo y tolerancia, cultura del riesgo, y la supervisin de la gestin de riesgos) Un gobierno efectivo depende de los controles internos y de la comunicacin al Consejo de la efectividad de dichos controles. El control y el riesgo tambin estn relacionados, pues el control se define como cualquier accin tomada por la alta direccin, el Consejo y otras partes para gestionar el riesgo y aumentar la posibilidad de conseguir los objetivos establecidos.

2.

3.

4. 5.

Marco Internacional para la Prctica Profesional de la Auditora Interna

128

Consejo para la Prctica 2110-2

6.

El director de auditora interna (DAI) debe tener en cuenta a la hora de planificar las evaluaciones para los procesos de gobierno que: Una auditora interna debe dirigirse a los controles de procesos de gobierno diseados para prevenir o detectar acontecimientos que puedan causar un impacto negativo en la consecucin de estrategias organizacionales, metas y objetivos; eficacia y eficiencia operativa; informes financieros; o cumplimiento con las regulaciones y leyes aplicables. (Consultar Consejo para la Prctica 2110-3) Dentro de los procesos de gobierno, los controles juegan un papel importante en la gestin de riesgos mltiples en la organizacin. Por ejemplo, pueden basarse en los controles del cdigo de conducta para gestionar los riesgos de cumplimiento, riesgos de fraude, etc. Este efecto de agregacin debera ser tenido en cuenta a la hora de desarrollar el alcance de una auditora interna sobre los procesos de gobierno. Si otras auditoras internas evalan los controles de los procesos de gobierno (por ejemplo, auditoras de control de informes financieros, procesos de gestin de riesgos, o cumplimiento), el auditor interno debera considerar basarse en los resultados de estas auditoras internas.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2110-3

129

Gobierno: Evaluaciones
Norma principalmente relacionada 2110 - Gobierno La actividad de auditora interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos: Promover la tica y los valores apropiados dentro de la organizacin, Asegurar la gestin y responsabilidad eficaces en el desempeo de la organizacin, Comunicar la informacin de riesgo y control a las reas adecuadas de la organizacin, y Coordinar las actividades y la informacin de comunicacin entre el Consejo de Administracin, los auditores internos y externos, y la direccin.

Consejo para la Prctica 2110-3


1. Los auditores internos pueden ejercer su trabajo en varios puestos de evaluacin y contribucin a la mejora de las prcticas de gobierno. Normalmente, los auditores internos proporcionan evaluaciones independientes y objetivas de la efectividad operacional y del diseo de los procesos de gobierno de la organizacin. Tambin proporcionan servicios de asesoramiento y consulta para mejorar esos procesos. En algunos casos, puede recurrirse a los auditores internos para facilitar las autoevaluaciones del Consejo sobre las prcticas de gobierno. Tal y como seala el Consejo para la Prctica 2110-1, Gobierno: Definicin, la definicin de gobierno a efectos de auditora interna deber ser acordada con el Consejo y la alta direccin, segn corresponda. Adems, el auditor interno deber comprender los procesos de gobierno de la organizacin y las relaciones entre gobierno, riesgo y control (vase el Consejo para la Prctica 2110-2, Gobierno: Relacin con riesgo y control). El plan de auditora interna deber desarrollarse segn una evaluacin de riesgos de la organizacin. En esta evaluacin de riesgos, debern considerarse todos los procesos de gobierno. El plan deber incluir los procesos de gobierno de mayor riesgo y deber considerarse la inclusin de una evaluacin de los procesos o las reas de ries-

2.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

130

Consejo para la Prctica 2110-3

go en las que el Consejo o la alta direccin hayan solicitado que se realice el trabajo. El plan deber definir la naturaleza del trabajo a realizar, los procesos de gobierno a tratar y la naturaleza de las evaluaciones que se harn (esto es, macro, considerando el macro de gobierno en su totalidad; o micro, considerando riesgos, procesos o actividades especficas; o alguna combinacin de ambas). 4. Cuando haya asuntos de control conocidos o el proceso de gobierno no est consolidado, el director de auditora interna podra considerar diferentes mtodos para la mejora del control o de los procesos de gobierno a travs de servicios de asesoramiento en lugar de, o junto con, las evaluaciones formales. Es probable que las evaluaciones de las auditoras internas referentes a los procesos de gobierno se basen en la informacin obtenida de las numerosas tareas de auditora conforme avance el tiempo. El auditor interno deber considerar: Los resultados de las auditoras internas de los procesos de gobierno especficos (por ejemplo, proceso de denuncia de situaciones ilegales dentro de la empresa whistleblowing, proceso de gestin de la estrategia). Asuntos de gobierno surgidos de las auditoras que no estn centrados en el gobierno (por ejemplo, auditoras del proceso de gestin de riesgos, control interno sobre informes financieros, riesgos de fraude). Los resultados del trabajo de otros proveedores de servicios de aseguramiento internos y externos (por ejemplo, una empresa comprometida por el director de asesora jurdica a analizar el proceso de investigacin). (Vase el Consejo para la Prctica 2050, Coordinacin). Otra informacin sobre asuntos de gobierno tales como los incidentes adversos que indiquen una oportunidad de mejora para los procesos de gobierno. Durante las fases de planificacin, evaluacin e informe, el auditor interno deber considerar la naturaleza y repercusiones de los resultados y garantizar las comunicaciones adecuadas con el Consejo y la alta direccin. El auditor interno deber plantearse la consulta con un asesor legal tanto antes del inicio de la auditora como tras de la finalizacin del informe. La actividad de auditora interna es una parte esencial del proceso de gobierno. El Consejo y la alta direccin debern confiar en el programa de aseguramiento y mejora de la calidad de la actividad de auditora interna junto a las evaluaciones de calidad externas realizadas conforme a los Normas Internacionales para el Ejercicio Profesional de la Auditora Interna para garantizar su efectividad.

5.

6.

7.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2120-1

131

Evaluar la Adecuacin de los Procesos de Gestin de Riesgos


Norma principalmente relacionada 2120 Gestin de riesgos La actividad de auditora interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestin de riesgos. Interpretacin:

Determinar si los procesos de gestin de riesgos son eficaces es un juicio que resulta de la evaluacin que efecta el auditor interno de que: Los objetivos de la organizacin apoyan a la misin de la organizacin y estn alineados con la misma, Los riesgos significativos estn identificados y evaluados, Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con la aceptacin de riesgos por parte de la organizacin, y Se capta informacin sobre riesgos relevantes, permitiendo al personal, la direccin y el Consejo cumplir con sus responsabilidades, y se comunica dicha informacin oportunamente a travs de la organizacin. La actividad de auditora interna rene la informacin necesaria para soportar esta evaluacin mediante mltiples trabajos de auditora. El resultado de estos trabajos, observado de forma conjunta, proporciona un entendimiento de los procesos de gestin de riesgos de la organizacin y su eficacia. Los procesos de gestin de riesgos son vigilados mediante actividades de administracin continuas, evaluaciones por separado, o ambas.

Consejo para la Prctica 2120-1


1. La gestin de riesgos es una responsabilidad clave de la alta direccin y el consejo de administracin. Para cumplir sus objetivos de negocio, la direccin asegura que existen y funcionan slidos procesos de gestin de riesgos. Los consejos de administracin cumplen una funcin de supervisin para determinar que existan apropiados procesos de gestin de riesgos y que estos procesos sean adecuados y eficaces. En este rol, pueden dirigir a los auditores internos a que los ayuden mediante el examen, evaluacin,

Marco Internacional para la Prctica Profesional de la Auditora Interna

132

Consejo para la Prctica 2120-1

informe y recomendacin de mejoras sobre la adecuacin y eficacia de los procesos de gestin de riesgos de la direccin. 2. La direccin y el consejo de administracin son los responsables de los procesos de gestin de riesgos y control de su organizacin. Sin embargo, los auditores internos que actan en un rol de consultores pueden asistir a la organizacin en la identificacin, evaluacin, e implantacin de metodologas de gestin de riesgos y controles dirigidos a aquellos riesgos. En las situaciones en que la organizacin no posee un proceso formal de gestin de riesgos, el director de auditora interna (DAI) comenta formalmente con la direccin y el comit de auditora sus obligaciones para entender, gestionar y vigilar los riesgos dentro de la organizacin y la necesidad de que los mismos se aseguren de que haya procesos operando dentro del negocio, aunque sea informalmente, que brinden el nivel apropiado de visibilidad a los riesgos principales y cmo estn siendo gestionados y vigilados. El DAI ha de obtener un entendimiento de las expectativas que tenga la alta direccin y el consejo de administracin respecto de la actividad de auditora interna en el proceso de gestin de riesgos de la organizacin. Este entendimiento ser luego codificado en los estatutos de la actividad de auditora interna y del consejo de administracin. El rol que cumple la actividad de auditora interna en el proceso de gestin de riesgos de una organizacin puede cambiar con el tiempo y puede comprender lo siguiente: Ningn rol. Auditar el proceso de gestin de riesgos como parte del plan de auditora interna. Apoyar e implicarse de forma activa y continua en el proceso de gestin de riesgos, tal como la participacin en comits de supervisin, actividades de vigilancia e informes de situacin. Administrar y coordinar el proceso de gestin de riesgos. En ltima instancia, determinar el rol de auditora interna en el proceso de gestin de riesgos es una responsabilidad de la alta direccin y el consejo de administracin. Su visin del rol de auditora interna estar probablemente determinada por factores tales como la cultura de la organizacin, la aptitud del personal de auditora interna, y las condiciones locales y costumbres del pas. Sin embargo, abordar la responsabilidad de la direccin respecto del proceso de gestin de riesgos y la amenaza potencial

3.

4.

5.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2120-1

133

a la independencia de la actividad de auditora interna requiere un amplio debate y la aprobacin del consejo de administracin. 6. Las tcnicas utilizadas por las diversas organizaciones para sus prcticas de gestin de riesgos pueden varias significativamente. Dependiendo del tamao y complejidad de las actividades de negocios de la organizacin, los procesos de gestin de riesgos pueden ser: Formales o informales, Cuantitativos o subjetivos, Insertados en las unidades de negocios o centralizados a nivel corporativo. La organizacin disea procesos basados en su cultura, estilo de direccin y objetivos de negocio. Por ejemplo, el uso de derivados u otros sofisticados productos del mercado de capitales por una organizacin podra requerir el uso de herramientas cuantitativas de gestin de riesgos. Organizaciones ms pequeas, menos complejas, podran utilizar un comit informal de riesgos para debatir el perfil de riesgos de la organizacin y para realizar acciones peridicas. El auditor interno determina si la metodologa elegida es suficientemente integral y apropiada para la naturaleza de las actividades de la organizacin. Los auditores internos tienen que obtener evidencia suficiente y apropiada para determinar que los objetivos clave de los procesos de gestin de riesgos se hayan cumplido, con el fin de formarse una opinin sobre la adecuacin de dichos procesos. Al obtener esta evidencia, el auditor interno podra tener en cuenta los siguientes procedimientos de auditora: Investigar y revisar desarrollos, tendencias e informacin actualizada del sector econmico correspondiente a los negocios de la organizacin, y otras fuentes apropiadas de informacin, con el fin de determinar los riesgos y exposiciones que puedan afectar a la organizacin y los procedimientos de control relacionados que se utilizan para afrontar, vigilar y reevaluar aquellos riesgos. Revisar las polticas corporativas, las minutas del consejo de administracin y del comit de auditora, con el fin de determinar las estrategias de negocio de la organizacin, su filosofa y metodologa de gestin de riesgos, su apetito de riesgo, y su aceptacin de riesgos. Revisar informes previos de evaluacin de riesgos emitidos por la direccin, los auditores internos, auditores externos y otras fuentes.

7.

8.

Marco Internacional para la Prctica Profesional de la Auditora Interna

134

Consejo para la Prctica 2120-1

Entrevistar a la direccin ejecutiva con el fin de determinar los objetivos de las unidades de negocio, los riesgos relacionados, y las actividades de mitigacin de riesgos y vigilancia de controles de parte de la direccin. Asimilar informacin con el fin de evaluar independientemente la eficacia de la mitigacin de riesgos, vigilancia, y comunicacin de riesgos y actividades de control asociadas. Evaluar la adecuacin de las lneas de reporte para las actividades de vigilancia del riesgo. Revisar la adecuacin y oportunidad de la informacin sobre los resultados de la gestin de riesgos. Revisar la integridad del anlisis de gestin de riesgos y las acciones tomadas por parte de la direccin para remediar los problemas identificados en los procesos de gestin de riesgos, y sugerir mejoras. Determinar la eficacia de los procesos de autoevaluacin de la direccin mediante observaciones, pruebas directas del control y los procedimientos de vigilancia, pruebas de la informacin utilizada en actividades de vigilancia y otras tcnicas apropiadas. Revisar los problemas relacionados con el riesgo que puedan indicar debilidad en las prcticas de gestin de riesgos y, si corresponde, comentarlos con la alta direccin y el consejo de administracin. Si el auditor interno considera que la direccin ha aceptado un nivel de riesgos que es inconsistente con la estrategia y poltica de gestin de riesgos de la organizacin, o que es inaceptable para la organizacin, debe consultar la Norma 2600: Aceptacin de los Riesgos por la Direccin, y dems guas relacionadas.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2120-2

135

Gestin de Riesgos de la Actividad de Auditora Interna


Norma principalmente relacionada 2120 Gestin de Riesgos La actividad de auditora interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestin de riesgos. Interpretacin:

Determinar si los procesos de gestin de riesgos son eficaces es un juicio que resulta de la evaluacin que efecta el auditor interno de que: Los objetivos de la organizacin apoyan a la misin de la organizacin y estn alineados con la misma, Los riesgos significativos estn identificados y evaluados, Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con la aceptacin de riesgos por parte de la organizacin, y Se capta informacin sobre riesgos relevantes, permitiendo al personal, la direccin y el Consejo cumplir con sus responsabilidades, y se comunica dicha informacin oportunamente a travs de la organizacin. La actividad de auditora interna rene la informacin necesaria para soportar esta evaluacin mediante mltiples trabajos de auditora. El resultado de estos trabajos, observado de forma conjunta, proporciona un entendimiento de los procesos de gestin de riesgos de la organizacin y su eficacia. Los procesos de gestin de riesgos son vigilados mediante actividades de administracin continuas, evaluaciones por separado, o ambas.

Consejo para la Prctica 2120-2


1. La importancia de la auditora interna y el papel que desempea han crecido enormemente, y las expectativas de las partes interesadas (por ejemplo, el Consejo, la alta direccin) continan aumentado. Las actividades de auditora interna han ampliado mandatos para cubrir los riesgos financieros, operacionales, de tecnologas de la informacin, legales/regulatorios y estratgicos. Al mismo tiempo, muchas actividades de auditora interna se enfrentan a desafos relacionados con la disponibilidad de perso-

Marco Internacional para la Prctica Profesional de la Auditora Interna

136

Consejo para la Prctica 2120-2

nal cualificado en los mercados laborales en todo el mundo, el aumento de los costes de compensacin y la alta demanda de recursos especializados (por ejemplo, sistemas de informacin, fraude, derivados, impuestos). La combinacin de estos factores da lugar a un alto nivel de riesgo para una actividad de auditora interna. As pues, los directores de auditora interna (DAI) necesitan considerar los riesgos relacionados con sus actividades de auditora interna y la consecucin de sus objetivos. 2. 3. La actividad de auditora interna no es inmune a los riesgos. Deben tomarse las medidas necesarias para garantizar que auditora interna gestiona sus propios riesgos. Los riesgos de las actividades de auditora interna se clasifican en tres amplias categoras: fracaso de la auditora, falso aseguramiento y riesgos de reputacin. El siguiente anlisis enfatiza las cualidades clave relacionadas con estos riesgos y algunas medidas que una actividad de auditora interna debe considerar controlar mejor. Toda organizacin experimentar fallos de control. Con frecuencia, cuando los controles fallan u ocurren fraudes, alguien podr preguntar: Dnde estaban los auditores internos? La actividad de auditora interna podra ser un factor contributivo debido a: El incumplimiento de las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna. Un programa de aseguramiento y mejora de la calidad inadecuado (Norma 1300), en el que se incluyen los procedimientos de supervisin de la independencia y objetividad del auditor interno. La carencia de un proceso de evaluacin de riesgos efectivo para la identificacin de las reas clave de auditora interna durante la evaluacin estratgica de riesgos, as como de las reas de alto riesgo durante la planificacin de auditoras individuales. De ello se deriva la realizacin de una auditoria interna no adecuada y/o la prdida de tiempo en la realizacin de auditoras internas inadecuadas. La deficiencia en el diseo de procedimientos de auditora interna efectivos para la evaluacin de los riesgos reales y los controles correctos. La evaluacin indebida de la idoneidad del diseo y la efectividad del control como parte de los procedimientos de auditora interna. El uso de equipos de auditora interna que no disponen del nivel apropiado de competencia basada en la experiencia o del conocimiento de las reas de alto riesgo. La carencia de un alto escepticismo profesional y de procedimientos ampliados de auditora interna para los hallazgos o las deficiencias de control.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2120-2

137

Una supervisin inadecuada de auditora interna. La toma de decisiones equivocadas cuando haba evidencia de fraude. Por ejemplo, Probablemente no sea sustancial o No disponemos del tiempo o los recursos para tratar este asunto. Informacin de sospechas a las personas inadecuadas. Comunicacin incorrecta de la informacin. 5. Los fallos de auditora interna no solo son incmodos para las actividades de auditora interna, sino que tambin exponen a una organizacin a un riesgo significativo. Mientras no haya garanta absoluta de que no van a ocurrir fallos de auditora, una actividad de auditora interna puede implantar las siguientes prcticas para mitigar dicho riesgo: Programa de aseguramiento y mejora de la calidad: para toda actividad de auditora interna es crucial implantar un programa de aseguramiento y mejora de la calidad efectivo. Anlisis peridico del universo de la auditora interna: analizar la metodologa para determinar el universo de la auditora interna en su totalidad mediante la evaluacin rutinaria del perfil de riesgo dinmico de la organizacin. Anlisis peridico del plan de auditora interna: analizar el plan de auditora interna actual para evaluar qu tareas son las de mayor riesgo. Mediante la identificacin de las tareas de mayor riesgo, la direccin de la actividad de auditora interna obtiene mejor visibilidad y puede dedicar ms tiempo a la comprensin del enfoque de las tareas crticas. Planificacin efectiva: no existe sustituto para la planificacin de auditora interna efectiva. Un proceso de planificacin meticuloso que incluya hechos relevantes y actualizados sobre el cliente y el desempeo de una evaluacin de riesgos efectiva puede reducir significativamente los riesgos de fracaso de la auditora interna. Adems, la comprensin del alcance del trabajo y los procedimientos de auditora interna a realizar son elementos importantes en el proceso de planificacin, lo que reducir los riesgos de fracaso de la auditora interna. Tambin son esenciales la creacin de puntos de control en la direccin de la actividad de auditora interna en el proceso y la aprobacin de cualquier desviacin del plan acordado. Diseo de auditora interna efectivo: En la mayora de los casos, se dedica suficiente tiempo a la comprensin y anlisis del diseo del sistema de controles internos para determinar si este proporciona el control adecuado con anterioridad al inicio

Marco Internacional para la Prctica Profesional de la Auditora Interna

138

Consejo para la Prctica 2120-2

de las pruebas de efectividad. Esto proporciona una base firme para los comentarios de auditora interna sobre las causas principales, que a veces pueden ser el resultado de un diseo de control deficiente, ms que sobre los sntomas. Tambin reducir la posibilidad de fracaso de la auditora mediante la identificacin de los controles que faltan. Anlisis de la direccin y procedimientos de jerarquizacin efectivos: La implicacin de la direccin de auditora interna en el proceso de auditora interna (esto es, antes del borrador del informe) juega un papel importante a la hora de mitigar el riesgo de fracaso de la auditora. Esta implicacin puede incluir anlisis de los documentos de trabajo, discusiones a tiempo real relacionadas con los hallazgos o una reunin de cierre. Al incluir la direccin de la actividad de auditora interna en el proceso de auditora interna, pueden identificarse problemas potenciales y evaluarse antes en la tarea. Adems, una actividad de auditora interna puede tener procedimientos de orientacin que perfilen cundo y qu tipos de asuntos transferir y a qu nivel de direccin de auditora interna. Asignacin de recursos apropiados: Es esencial asignar al personal adecuado a cada trabajo de auditora interna, sobre todo al planificar un riesgo mayor o un trabajo muy tcnico. Asegurarse de que el equipo posea las competencias adecuadas puede jugar un papel significativo a la hora de reducir el riesgo de fracaso de la auditora. Adems de las competencias adecuadas, es importante garantizar que el equipo posee el nivel apropiado de experiencia, incluyendo grandes habilidades de gestin de proyectos para aquellos que lideran un trabajo de auditora interna. 6. Una actividad de auditora interna puede proporcionar involuntariamente algn tipo de falso aseguramiento. El falso aseguramiento es un nivel de confianza o aseguramiento basado en percepciones o asunciones ms que en hechos. En muchos casos, el mero hecho de que la actividad de auditora interna est implicada en un problema puede crear algn nivel de falso aseguramiento. El uso de los recursos de auditora interna para ayudar a la organizacin a identificar y evaluar exposiciones de riesgo significativas debe estar claramente definido para los otros proyectos aparte de las auditoras internas. Por ejemplo, una unidad de negocio solicit una actividad de auditora interna para proporcionar algunos recursos de ayuda para la implantacin de un nuevo sistema informtico en toda la empresa. La unidad de negocio utiliz estos recursos para probar el nuevo sistema. Tras ese uso, un error en el diseo del sistema dio lugar a una repeticin de las declaraciones finan-

7.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2120-2

139

cieras. Cuando se le pregunt por la causa, la unidad de negocio respondi que la actividad de auditora interna haba estado involucrada en el proceso y no haba identificado el problema. La implicacin de los auditores internos cre un nivel de falso aseguramiento que no era consistente con su papel real en el proyecto. 8. Aunque no existe forma de atenuar los riesgos del falso aseguramiento, una actividad de auditora interna puede gestionar proactivamente su riesgo en esta rea. Una comunicacin frecuente y clara es una estrategia clave para controlar el falso aseguramiento. Otras prcticas destacadas son: Comunicar proactivamente el papel y el mandato de la actividad de auditora interna al comit de auditora, la alta direccin y otras partes interesadas. Comunicar con claridad el mbito cubierto por la evaluacin de riesgos, el plan de auditora interna y el trabajo de auditora interna. Comunicar tambin explcitamente lo que no est en el alcance de la evaluacin de riesgos y el plan de auditora interna. Tener un proceso de aceptacin del proyecto para evaluar el nivel de riesgo relacionado con cada proyecto y el papel de la auditora interna en el proyecto. La evaluacin puede considerar: el alcance del proyecto, el papel de la actividad de auditora interna, las expectativas del informe, las competencias necesarias y la independencia de los auditores internos. Si se usa a los auditores internos para aumentar el personal de un proyecto o iniciativa, documentar el papel y alcance de su implicacin, as como los asuntos de objetividad e independencia futuras en lugar de usar a los auditores internos como recursos prestados, lo que puede crear falso aseguramiento. La reputacin creble de una actividad de auditora interna es parte esencial de su efectividad. Las actividades de auditora interna que se tienen en gran estima son capaces de atraer a profesionales con talento y son altamente valorados en sus organizaciones. Mantener una marca fuerte es primordial para el xito de las actividades de auditora interna y su habilidad para contribuir con la organizacin. En la mayora de los casos, la marca de la actividad de auditora interna se ha creado durante varios aos a travs de trabajo consistente y de alta calidad. Desgraciadamente, esta marca puede destruirse instantneamente por un acontecimiento desfavorable de alto nivel.

9.

10. Por ejemplo, una actividad de auditora interna puede tenerse en gran estima por haber tenido a los ejecutivos financieros clave realizando tareas rotativas como audi-

Marco Internacional para la Prctica Profesional de la Auditora Interna

140

Consejo para la Prctica 2120-2

tores internos, lo que se vera como campo de formacin para los futuros ejecutivos. Sin embargo, una serie de repeticiones significativas e investigaciones regulatorias impactaran la reputacin de la actividad de auditora interna. El comit de auditora y el Consejo podran preguntar si la actividad de auditora interna dispone de los expertos y del programa de aseguramiento y mejora de la calidad adecuados para apoyar a la organizacin. 11. En otro ejemplo, durante una auditora del departamento de recursos humanos, los auditores internos pueden descubrir que las verificaciones de antecedentes no se han revisado adecuadamente. El descubrimiento de que auditores internos recin contratados no tenan la educacin apropiada, mientras que otros han estado involucrados en actividades criminales, podra impactar gravemente la credibilidad de la actividad de auditora interna. 12. Situaciones como estas no solo son embarazosas, sino que tambin daan la efectividad de la actividad de auditora interna. Proteger la reputacin de la marca de la actividad de auditora interna no tan esencial para la actividad de auditora interna, como para la organizacin en su totalidad. Es importante que las actividades de auditora interna consideren a qu tipos de riesgos se enfrentan que podran impactar en su reputacin y desarrollen estrategias atenuantes para tratar estos riesgos. 13. Algunas prcticas son: Implantar un programa slido de aseguramiento y mejora de la calidad en todos los procesos de la actividad de auditora interna, incluyendo los recursos humanos y la contratacin. Realizar peridicamente una evaluacin de riesgos de la actividad de auditora interna para identificar riesgos potenciales que puedan afectar a la marca. Exigir de nuevo a los auditores internos el cumplimiento del cdigo de conducta y los estndares de comportamiento tico, incluyendo el Cdigo de tica del IAI. Asegurarse de que la actividad de auditora interna cumple con todas las polticas y prcticas de empresa aplicables. 14. En el caso de que una actividad de auditora interna experimente un acontecimiento de los mencionados anteriormente, el director de auditora interna necesita analizar la naturaleza del acontecimiento y comprender las causas principales. Este anlisis permite una mejor comprensin de los cambios potenciales a considerar en el proceso de auditora interna o control del entorno para atenuar las incidencias futuras.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2130-1

141

Evaluar la Adecuacin de los Procesos de Control


Norma principalmente relacionada 2130 Control La actividad de auditora interna debe asistir a la organizacin en el mantenimiento de controles efectivos, mediante la evaluacin de la eficacia y eficiencia de los mismos y promoviendo la mejora continua.

Consejo para la Prctica 2130-1


1. La organizacin establece y mantiene procesos eficaces de gestin de riesgos y control. El propsito de los procesos de control es apoyar a la organizacin en la gestin de riesgos y el logro de sus objetivos establecidos y comunicados. Se espera que los procesos de control aseguren, entre otras cosas, que: La informacin financiera y operativa es confiable y posee integridad, Las operaciones son realizadas eficientemente y alcanzan objetivos establecidos, Los activos estn protegidos, y Las acciones y decisiones de la organizacin cumplen las leyes, regulaciones y contratos. La funcin de la alta direccin es supervisar el establecimiento, administracin y evaluacin del sistema referidos a los procesos de gestin de riesgo y control. Entre las responsabilidades de los gerentes de lnea de la organizacin est la evaluacin de los procesos de control en sus respectivas reas. Los auditores internos proporcionan distintos grados de aseguramiento sobre la eficacia de los procesos de gestin de riesgos y control en actividades y funciones seleccionadas de la organizacin. El director de auditora interna (DAI) se forma una opinin sobre la adecuacin y eficacia de los procesos de gestin de riesgos y control. La expresin de dicha opinin estar basada en evidencia de auditora suficiente, obtenida mediante auditoras y, cuando sea apropiado, el trabajo de otros proveedores de aseguramiento. El DAI comunica su opinin a la alta direccin y al consejo de administracin. El DAI elabora un plan de auditora interna propuesto con el fin de obtener suficiente evidencia para evaluar la eficacia de los procesos de control. El plan comprende trabajos de auditora interna y otros procedimientos para obtener evidencia de auditora

2.

3.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

142

Consejo para la Prctica 2130-1

suficiente y apropiada sobre todas las principales unidades operativas y funciones de negocios a evaluar, as como una revisin de los principales procesos de control que operan a travs de la organizacin. El plan debe ser flexible de manera que puedan efectuarse ajustes durante el ao como consecuencia de cambios en las estrategias de la direccin, condiciones externas, reas de mayor riesgo, o modificacin de las expectativas sobre el logro de los objetivos de la organizacin. 5. El plan de auditora interna otorga especial atencin a aquellas operaciones ms afectadas por cambios recientes o inesperados. Los cambios en las circunstancias pueden originarse, por ejemplo, por las condiciones de mercado o las inversiones, por adquisiciones y ventas, reestructuraciones de la organizacin y nuevos proyectos. Al determinar la cobertura de auditora interna esperada para el plan de auditora interna propuesto, el DAI tiene en cuenta los trabajos relevantes realizados por otros, que proporcionan aseguramiento a la alta direccin (por ejemplo, la utilizacin del trabajo de los directores de cumplimiento por parte del DAI). El plan de auditora interna del DAI tambin tiene en cuenta el trabajo de auditora realizado por el auditor externo y las evaluaciones realizadas por la propia direccin, tales como las evaluaciones de sus procesos de gestin de riesgos, controles y mejora de la calidad. El DAI debera evaluar la amplitud que tiene la cobertura del plan de auditora interna propuesto con el fin de determinar si el alcance es suficiente para permitir expresar una opinin sobre los procesos de gestin de riesgos y control de la organizacin. El DAI debera informar a la alta direccin y al consejo de administracin sobre cualquier problema en la cobertura de auditora interna que impidiera expresar una opinin sobre todos los aspectos de aquellos procesos. Un desafo importante para la actividad de auditora interna es evaluar la eficacia de los procesos de control de la organizacin basndose en la suma de evaluaciones realizadas por muchas personas. Esas evaluaciones estn mayormente originadas en trabajos de auditora interna, revisiones de autoevaluaciones de la direccin y el trabajo de otros proveedores de aseguramiento. A medida que los trabajos avanzan, los auditores internos comunican las observaciones, en forma oportuna, a los niveles apropiados de la direccin de manera que se pueda tomar accin inmediata para corregir o mitigar las consecuencias de las discrepancias o debilidades de control observadas.

6.

7.

8.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2130-1

143

9.

Al evaluar la eficacia general de los procesos de control de la organizacin, el DAI tiene en cuenta si: Se descubrieron discrepancias o debilidades significativas, Se hicieron correcciones o mejoras despus de esos descubrimientos, y Los descubrimientos y sus consecuencias potenciales permiten sacar la conclusin de que existe una situacin importante que genera un nivel inaceptable de riesgo.

10. La existencia de una discrepancia o debilidad significativa no necesariamente lleva a la conclusin de que es importante y crea un riesgo inaceptable. El auditor interno tiene en cuenta la naturaleza y alcance de la exposicin al riesgo, as como el nivel de consecuencias potenciales, al determinar si la eficacia de los procesos de control est comprometida y existen riesgos inaceptables. 11. El informe del DAI sobre los procesos de control de la organizacin se presenta normalmente una vez al ao a la alta direccin y al consejo de administracin. El informe establece la importante funcin que cumplen los procesos de control en el logro de los objetivos de la organizacin. Este informe tambin describe la naturaleza y alcance del trabajo realizado por la actividad de auditora interna, as como la naturaleza y alcance de la utilizacin de otros proveedores de aseguramiento para formular la opinin.

Marco Internacional para la Prctica Profesional de la Auditora Interna

144

Consejo para la Prctica 2130.A1-1

Fiabilidad e Integridad de la Informacin


Norma principalmente relacionada 2130.A1 Control La actividad de auditora interna debe evaluar la adecuacin y eficacia de los controles en respuesta a los riesgos del gobierno, operaciones y sistemas de informacin de la organizacin, respecto de lo siguiente: Logro de los objetivos estratgicos de la organizacin, Fiabilidad e integridad de la informacin financiera y operativa, Eficacia y eficiencia de las operaciones y programas, Proteccin de activos, y Cumplimiento de leyes, regulaciones, polticas, procedimientos y contratos.

Consejo para la Prctica 2130.A1-1


1. Los auditores internos determinan si la alta direccin y el consejo de administracin entienden claramente que la fiabilidad e integridad de la informacin es una responsabilidad de la direccin. Esta responsabilidad incluye toda la informacin crtica de la organizacin, sin importar cmo se almacena la informacin. La fiabilidad e integridad de la informacin incluye la precisin, integridad y seguridad. El director de auditora interna (DAI) determina si la actividad de auditora interna posee o tiene acceso a recursos de auditora interna competentes para evaluar la confiabilidad e integridad de la informacin y las exposiciones a los riesgos relacionados. Esto incluye tanto las exposiciones a riesgos internos como externos y las exposiciones originadas en la relacin de la organizacin con entidades externas. El DAI determina si las violaciones a la fiabilidad e integridad de la informacin y las condiciones que podran representar una amenaza para la organizacin sern dadas a conocer de inmediato a la alta direccin, al consejo de administracin y a la actividad de auditora interna. Los auditores internos evalan la eficacia de las medidas para prevenir, detectar y mitigar ataques ocurridos en el pasado, segn sea apropiado, e intentos futuros o incidentes probables. Los auditores internos determinan si el consejo de administracin ha

2.

3.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2130.A1-1

145

sido adecuadamente informado de las amenazas, incidentes y vulneraciones ocurridas, y de las medidas correctivas. 5. Los auditores internos evalan peridicamente la fiabilidad e integridad de la informacin de la organizacin y recomiendan, segn sea apropiado, mejoras o implantaciones de nuevos controles y protecciones. Tales evaluaciones pueden ser realizadas como trabajos por separado o estar integradas en otros trabajos o auditoras que formen parte del plan anual de auditora interna. La naturaleza del trabajo determinar el proceso de informe ms apropiado para la alta direccin y el consejo de administracin.

Marco Internacional para la Prctica Profesional de la Auditora Interna

146

Consejo para la Prctica 2130.A1-2

Evaluacin del Enfoque de Privacidad de una Organizacin


Norma principalmente relacionada 2130.A1 Control La actividad de auditora interna debe evaluar la adecuacin y eficacia de los controles en respuesta a los riesgos del gobierno, operaciones y sistemas de informacin de la organizacin, respecto de lo siguiente: Logro de los objetivos estratgicos de la organizacin, Fiabilidad e integridad de la informacin financiera y operativa, Eficacia y eficiencia de las operaciones y programas, Proteccin de activos, y Cumplimiento de leyes, regulaciones, polticas, procedimientos y contratos.

Consejo para la Prctica 2130.A1-2


1. La falta de proteccin de la informacin personal por medio de controles adecuados puede tener consecuencias significativas para una organizacin. Esta falta puede daar la reputacin de las personas y de la organizacin, exponer a la organizacin a riesgos que tengan consecuencias legales, y disminuir la confianza de consumidores y empleados. Las definiciones de privacidad varan ampliamente dependiendo de la cultura, ambiente poltico y marco legal de los pases donde acte la organizacin. Los riesgos asociados con la privacidad de la informacin comprenden a la privacidad personal (fsica y psicolgica); la privacidad del espacio (libertad de vigilancia); la privacidad de las comunicaciones (libertad de vigilancia); y la privacidad de la informacin (obtencin, uso y revelacin de informacin personal por parte de terceros). La informacin personal se refiere generalmente a informacin que puede estar asociada con un individuo determinado, o que tiene caractersticas de identificacin que cuando se combina con otra informacin puede asociarse a un individuo en particular. Puede incluir cualquier informacin fctica o subjetiva, registrada o no, en cualquier formato o medio. La informacin personal podra incluir: Nombre, direccin, nmeros de identificacin, relaciones familiares; Documentacin, evaluaciones, comentarios, estado civil o acciones disciplinarias del personal; Registros crediticios, ingresos, situacin financiera; o Situacin mdica. El control eficaz sobre la proteccin de la informacin personal es un componente esencial de los procesos de gobierno, gestin de riesgos y control de una organiza-

2.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2130.A1-2

147

4.

5.

6.

7.

cin. El consejo de administracin es en ltima instancia el responsable de identificar los riesgos principales para la organizacin y de implementar procesos de control apropiados que reduzcan esos riesgos. Esto incluye establecer el enfoque de privacidad necesario para la organizacin y vigilar su implementacin. La actividad de auditora interna puede contribuir al buen gobierno y a la gestin de riesgos evaluando la adecuacin de la identificacin de riesgos efectuada por la direccin con respecto a sus objetivos de privacidad, y la adecuacin de los controles establecidos para reducir esos riesgos a un nivel aceptable. El auditor interno est bien posicionado para evaluar el enfoque de privacidad en su organizacin e identificar los riesgos significativos as como efectuar recomendaciones apropiadas para reducirlos. La actividad de auditora interna identifica los tipos de informacin obtenida por la organizacin que se consideren personal o privada, lo apropiado de las mismas, la metodologa de recoleccin utilizada, y si el uso que hace la organizacin de esa informacin es el que corresponde a lo que se pretende y a la legislacin aplicable. Dada la naturaleza altamente tcnica y legal de los problemas de privacidad, la actividad de auditora interna ha de tener los conocimientos y competencias apropiadas para realizar una evaluacin de los riesgos y controles del enfoque de control de la organizacin. Al realizar dicha evaluacin de la gestin del enfoque de privacidad de la organizacin, el auditor interno: Tiene en cuenta las leyes, regulaciones y polticas referidas a la privacidad en la jurisdiccin donde opera la organizacin; Establece contactos con un asesor legal del lugar para determinar la naturaleza exacta de las leyes, regulaciones y otras normas y prcticas aplicables a la organizacin y a los pases donde opera; Establece contactos con especialistas en tecnologa de la informacin para determinar que los controles sobre la seguridad informtica y la proteccin de datos existan y sean revisados y evaluados regularmente respecto de su adecuacin; Tiene en cuenta el nivel de madurez de las prcticas de privacidad de la organizacin. Dependiendo de ese nivel, el auditor interno puede asumir roles diferentes. El auditor interno puede facilitar la elaboracin e implementacin del programa de privacidad, evaluar la gestin de riesgos de privacidad que realiza la direccin para determinar las necesidades y exposiciones al riesgo de la organizacin, o proporcionar aseguramiento sobre la eficacia de las polticas, prcticas y controles de privacidad en toda la organizacin. Si el auditor interno asume alguna responsabilidad de elaborar e implementar un programa de privacidad, su independencia se ver menoscabada.

Marco Internacional para la Prctica Profesional de la Auditora Interna

148

Consejo para la Prctica 2200-1

Planificacin del Trabajo


Norma principalmente relacionada 2200 Planificacin del trabajo Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance, objetivos, tiempo y asignacin de recursos.

Consejo para la Prctica 2200-1


1. El auditor interno planifica y lleva a cabo el trabajo, con la revisin y aprobacin de un supervisor. Antes de comenzar el trabajo, el auditor interno prepara un programa de trabajo que: Establece los objetivos del trabajo. Identifica los requisitos tcnicos, objetivos, riesgos, procesos y transacciones que deben examinarse. Establece la naturaleza y extensin de las pruebas requeridas. Documenta los procedimientos del auditor interno para obtener, analizar, interpretar y documentar la informacin durante el trabajo. Se modifica, cuando sea preciso, durante el transcurso del trabajo, con la aprobacin del director de auditora interna (DAI) o quien ste designe. 2. El DAI debera exigir un nivel de formalidad y documentacin (por ejemplo, de los resultados de la planificacin de reuniones, procedimientos de evaluacin de riesgos, nivel de detalle en el programa de trabajo, etc.) que sea apropiado a la organizacin. Los factores a tener en cuenta seran: Si el trabajo desempeado y los resultados del trabajo sern utilizados por otros (por ejemplo, auditores externos, organismos reguladores o la direccin). Si el trabajo se refiere a asuntos que puedan estar implicados en juicios posibles o reales. El nivel de experiencia del personal de auditora interna y el nivel de supervisin directa requerida. Si el proyecto se llevar a cabo con personal internacional, con auditores invitados o con proveedores externos de servicios.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2200-1

149

La complejidad y alcance del proyecto. El tamao de la actividad de auditora interna. El valor de la documentacin (por ejemplo, si ser utilizada en aos posteriores). 3. El auditor interno determina los dems requisitos del trabajo, tales como el perodo que cubrir y las fechas estimadas de realizacin. El auditor interno tambin tiene en cuenta el formato de la comunicacin final del trabajo. La planificacin en esta etapa facilita el proceso de comunicacin que tiene lugar al finalizar el trabajo. El auditor interno informa a aquellos miembros de la direccin que tienen que conocer la realizacin del trabajo, realiza reuniones con la gerencia responsable de la actividad a revisar, resume y distribuye los debates y cualquier conclusin alcanzada en las reuniones, y retiene la documentacin dentro de sus papeles de trabajo. Los temas a debatir pueden ser: Los objetivos y alcance del trabajo planificados. Los recursos y tiempos de realizacin del trabajo. Los factores clave que afectan a las condiciones del negocio y las operaciones de las reas bajo revisin, incluyendo los cambios recientes en los ambientes internos y externos. Las preocupaciones o solicitudes de la direccin. 5. El DAI determina cmo, cundo y a quin se comunicarn los resultados del trabajo. El auditor interno documenta y comunica esta decisin a la direccin, en la medida que considere apropiada, durante la etapa de planificacin del trabajo. El auditor interno comunica a la direccin los cambios posteriores que afectan a las fechas o a la informacin de los resultados del trabajo.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

150

Consejo para la Prctica 2200-2

Uso de un enfoque basado en riesgos, partiendo de los ms significativos (Topdown, Risk-based Approach) para identificar los controles que van a ser evaluados en el trabajo de auditora interna
Norma principalmente relacionada 2200 Planificacin del trabajo Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance, objetivos, tiempo y asignacin de recursos.

Consejo para la Prctica 2200-2


1. Lase este Consejo para la Prctica junto a los Consejos para la Prctica 2010-2: Uso del proceso de gestin de riesgos en la planificacin de auditora interna, 2210-1: Objetivos del Trabajo, y 2210.A1-1: Evaluacin de Riesgos en la Planificacin del Trabajo y la Gua prctica GAIT para riesgos de negocio y de TI (GAIT-R). Este Consejo para la Prctica asume que se han establecido los objetivos del trabajo de auditora interna y se han identificado los riesgos a tratar en el proceso de planificacin de auditora interna. Proporciona una gua con un enfoque basado en los riesgos de mayor a menor significatividad (top-down) que se utiliza para identificar e incluir en el alcance de la auditora interna (por la Norma 2220) los controles clave para gestionar los riesgos. Top-down significa basar la definicin del alcance en los riesgos ms significativos para la organizacin. Esto contrasta con el desarrollo del alcance basado en los riesgos de una localizacin especfica, que pueden no ser significativos para la organizacin en su totalidad. Un enfoque top-down garantiza que la auditora interna se centre, tal y como seala el Consejo para la Prctica 2010-2, en proporcionar aseguramiento en la gestin de los riesgos significativos. Por lo general, un sistema de control interno incluye tanto los controles manuales como los automticos. (Tngase en cuenta que esto se aplica a los controles en todos los niveles - entidad, proceso de negocio y controles generales de tecnologas de la informacin (TI) -, y en cada nivel dentro del marco del control; por ejemplo, las actividades en el entorno de control, supervisin o los niveles de evaluacin de riesgos tambin pueden automatizarse). Ambos tipos de controles necesitan ser evaluados

2.

3.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2200-2

151

para determinar si los riesgos de negocio son gestionados con efectividad. Concretamente, el auditor interno necesita evaluar la existencia de una combinacin de controles adecuada, incluyendo aquellos relacionados con las TI, para mitigar los riesgos de negocio dentro de la tolerancia al riesgo de la organizacin. El auditor interno necesita considerar la inclusin de procedimientos para evaluar y confirmar que las tolerancias de riesgo son actuales y adecuadas. 5. Es necesario incluir en el alcance de auditora interna todos los controles necesarios para proporcionar un aseguramiento razonable de que los riesgos se gestionan con efectividad (sujeto a los comentarios del apartado 9, ms adelante). Estos controles son los denominados controles clave, aquellos necesarios para gestionar riesgos relacionados con un objetivo de negocio crtico. Solo los controles clave necesitan ser evaluados, aunque el auditor interno puede elegir incluir una evaluacin de controles no claves (por ejemplo, controles redundantes, duplicados) si supone un valor para el negocio proporcionar dicho aseguramiento. El auditor interno puede tambin debatir con la alta direccin si los controles no claves son necesarios. Tngase en cuenta que donde la organizacin tenga un programa de gestin de riesgos consolidado y efectivo, los controles clave para gestionar cada riesgo habrn sido identificados. En estos casos, el auditor interno necesita evaluar si la identificacin y evaluacin de la alta direccin sobre los controles clave son adecuados. Los controles clave pueden ser: Controles a nivel de entidad (por ejemplo, los empleados reciben formacin y realizan un examen para confirmar su comprensin del cdigo de conducta). Los controles a nivel de entidad pueden ser manuales, totalmente automticos, o parcialmente automticos. Controles manuales dentro de un proceso de negocio (por ejemplo, la realizacin de un inventario fsico). Controles totalmente automticos dentro de un proceso de negocio (por ejemplo, combinar o actualizar cuentas en el libro mayor). Controles automticos parciales dentro de un proceso de negocio (tambin llamados controles hbridos o dependientes de TI), donde un control que de otra manera sera manual pasa a depender de una aplicacin como un informe de excepcin. Si no se detectara un error en esa funcionalidad, el control al completo sera inefec-

6.

7.

Marco Internacional para la Prctica Profesional de la Auditora Interna

152

Consejo para la Prctica 2200-2

tivo. Por ejemplo, un control clave para detectar pagos duplicados podra incluir el anlisis de un informe generado por el sistema. La parte manual del control no garantizara que el informe estuviera completo. Por lo tanto, la aplicacin que gener el informe debera estar en el alcance. El auditor interno puede usar otros mtodos o marcos de referencia, siempre que los controles clave para gestionar los riesgos sean identificados y evaluados, incluyendo los controles manuales, automatizados y los controles dentro de los procesos de control generales de TI. 8. Los controles automatizados total o parcialmente, tanto a nivel de entidad como dentro de un proceso de negocio, generalmente dependen de un diseo apropiado y de una operacin efectiva de los controles generales de TI. GAIT-R trata el proceso recomendado para identificar los controles clave generales de TI. La evaluacin de los controles clave debe realizarse en un trabajo de auditora interna nico e integrado o en una combinacin de trabajos de auditora interna. Por ejemplo, un trabajo de auditora interna puede tratar los controles clave realizados por los usuarios de procesos de negocio, mientras otro cubre los controles clave generales de TI, y un tercero evala los controles relacionados que operan a nivel de entidad. Esto suele ocurrir cuando se depende de los mismos controles (sobre todo aquellos a nivel de entidad o dentro de los controles generales de TI) para ms de un rea de riesgo.

9.

10. Tal y como se seala en el apartado 5, antes de dar una opinin sobre la gestin efectiva de los riesgos cubiertos por el alcance de la auditora interna, es necesario evaluar la combinacin de todos los controles clave. Incluso si se realizan mltiples trabajos de auditora interna, cada uno tratando algunos controles clave, el auditor interno necesita incluir en el alcance de al menos un trabajo de auditora interna una evaluacin del diseo de los controles clave en su totalidad (esto es, a travs de todos los trabajos de auditora interna relacionados) y si este es suficiente para gestionar riesgos dentro de la tolerancia al riesgo de la organizacin. 11. Si el alcance de auditora interna (teniendo en cuenta otros trabajos de auditora interna como los mencionados en el apartado 9) incluye algunos, pero no todos los controles clave necesarios para gestionar los riesgos fijados, debera considerarse una limitacin del alcance y comunicar esta con claridad en la notificacin de auditora interna y en el informe final.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2210-1

153

Objetivos del Trabajo


Norma principalmente relacionada 2210 Objetivos del trabajo Deben establecerse objetivos para cada trabajo.

Consejo para la Prctica 2210-1


1. Los auditores internos establecen los objetivos del trabajo con el fin de revisar los riesgos asociados con la actividad bajo revisin. Para los trabajos planificados, los objetivos provienen y estn alineados con aquellos inicialmente identificados durante el proceso de evaluacin de riesgos del cual se deriva el plan anual de auditora. Para los trabajos no planificados, los objetivos se establecen antes del comienzo de cada trabajo y estn diseados para revisar el problema especfico que motiv la realizacin de cada trabajo. La evaluacin de riesgos que se realiza durante la fase de planificacin del trabajo se utiliza para definir ms adelante los objetivos iniciales e identificar otras reas significativas de problemas. Una vez identificados los riesgos, el auditor determina los procedimientos a realizar y el alcance (naturaleza, tiempo y extensin) de aquellos procedimientos. Los procedimientos del trabajo llevados a cabo con el alcance apropiado son el medio que permitir sacar conclusiones referidas a los objetivos del trabajo.

2.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

154

Consejo para la Prctica 2210.A1-1

Evaluacin de Riesgos en la Planificacin del Trabajo


Norma principalmente relacionada 2210.A1 Los auditores internos deben realizar una evaluacin preliminar de los riesgos relevantes para la actividad bajo revisin. Los objetivos del trabajo deben reflejar los resultados de esta evaluacin.

Consejo para la Prctica 2210.A1-1


1. Los auditores internos tienen en cuenta la evaluacin de riesgos realizada por la direccin que sea relevante para la actividad bajo revisin. El auditor interno tambin contempla lo siguiente: La fiabilidad de la evaluacin de riesgos realizada por la direccin. El proceso que sigue la direccin para vigilar, informar y resolver asuntos de riesgos y control. Los informes de la direccin sobre eventos que hayan excedido los lmites de la organizacin respecto de la aceptacin de riesgos y la respuesta de la direccin a aquellos informes. Los riesgos en actividades relacionadas que sean relevantes para la actividad bajo revisin. Los auditores internos obtienen o actualizan la informacin de antecedentes sobre las actividades a revisar, para determinar su impacto sobre los objetivos y alcance del trabajo. Cuando corresponda, los auditores internos realizan un estudio para familiarizarse con las actividades, riesgos y controles, con el fin de identificar las reas en las que se deber poner ms nfasis en el trabajo y lograr comentarios y sugerencias de parte de los clientes del trabajo. Los auditores internos resumen los resultados a partir de las revisiones de la evaluacin de riesgos realizada por la direccin, la informacin de antecedentes, y cualquier estudio llevado a cabo. Este resumen incluye: Temas significativos del trabajo y las razones para seguirlos con mayor profundidad. Objetivos y procedimientos del trabajo. Metodologas a utilizar, tales como auditora basada en tecnologa y tcnicas de muestreo. Posibles puntos de control crticos, deficiencias de control o exceso de controles. Cuando corresponda, las razones para no proseguir el trabajo o para modificar significativamente los objetivos del trabajo.

2. 3.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2230-1

155

Asignacin de Recursos para el Trabajo


Norma principalmente relacionada 2230 Asignacin de recursos para el trabajo Los auditores internos deben determinar los recursos adecuados y suficientes para lograr los objetivos del trabajo, basndose en una evaluacin de la naturaleza y complejidad de cada trabajo, las restricciones de tiempo y los recursos disponibles.

Consejo para la Prctica 2230-1


1. Para determinar que los recursos sean apropiados y suficientes, los auditores internos tienen en cuenta lo siguiente: La cantidad de personal con que cuenta auditora interna y su nivel de experiencia. Los conocimientos, tcnicas y dems competencias del personal de auditora interna al seleccionar a los auditores internos para el trabajo a realizar. La disponibilidad de recursos externos en aquellos casos en que se necesiten conocimientos y competencias adicionales. Las necesidades de capacitacin de los auditores internos, dado que cada asignacin de trabajo sirve de base para cumplir con las necesidades de desarrollo de la actividad de auditora interna.

Marco Internacional para la Prctica Profesional de la Auditora Interna

156

Consejo para la Prctica 2240-1

Programa de Trabajo
Norma principalmente relacionada 2240 Programa de trabajo Los auditores internos deben preparar y documentar programas que cumplan con los objetivos del trabajo.

Consejo para la Prctica 2240-1


1. Los auditores internos desarrollan y obtienen aprobacin documentada de los programas de trabajo antes de comenzar cada trabajo de auditora interna. El programa de trabajo incluye las metodologas a utilizar, tales como auditora interna basada en tecnologa y tcnicas de muestreo. El proceso de obtencin, anlisis, interpretacin y documentacin de la informacin deber ser supervisado para proporcionar una seguridad razonable de que se alcancen los objetivos del trabajo y se mantengan la objetividad del auditor interno.

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2300-1

157

Uso de la Informacin de carcter personal durante el trabajo de auditora interna


Norma principalmente relacionada 2300 Desempeo del Trabajo Los auditores internos deben identificar, analizar, evaluar y documentar suficiente informacin de manera tal que les permita cumplir con los objetivos del trabajo.

Consejo para la Prctica 2300-1


1. Los auditores internos deben considerar ciertos asuntos relacionados con la proteccin de la informacin de carcter personal recogida durante los trabajos de auditora interna, ya que los avances en la tecnologa de la informacin y en las comunicaciones suponen un riesgo y una amenaza para la privacidad. Los controles de privacidad son requisitos legales en muchas jurisdicciones. La informacin de carcter personal normalmente hace referencia a los datos asociados con un individuo en concreto o los datos que contienen caractersticas identificables que pueden combinarse con otra informacin. Incluye toda informacin basada en hechos o subjetiva, registrada o no en cualquier forma o medio. La informacin personal incluye: Nombre, direccin, nmeros de identificacin, ingresos, grupo sanguneo. Evaluaciones, estatus social, acciones disciplinarias. Archivos del empleado y registros de crditos y prstamos. Salud del empleado y datos mdicos. 3. En muchas jurisdicciones, la ley obliga a las organizaciones a identificar los propsitos para los que se recopila informacin personal en el momento de recabarse o con anterioridad a este. La ley tambin prohbe el uso y la revelacin de informacin personal con un propsito diferente del de su recopilacin, excepto si se dispone del consentimiento del individuo o si lo requiere la ley. Es importante que los auditores internos comprendan y cumplan con todas las leyes concernientes al uso de la informacin personal en su jurisdiccin y en aquellas jurisdicciones en las que sus organizaciones llevan a cabo actividades comerciales.

2.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

158

Consejo para la Prctica 2300-1

5.

Puede ser poco apropiado, y algunos casos ilegal, el acceso, recuperacin, anlisis, manipulacin o uso de informacin personal en la realizacin de ciertos trabajos de auditora interna. Si el auditor interno accede a informacin personal, puede ser necesario el desarrollo de procedimientos para proteger esta informacin. Por ejemplo, en algunas situaciones el auditor interno puede decidir no registrar informacin personal en los registros del trabajo. El auditor interno puede buscar el consejo de un asesor legal antes de comenzar el trabajo de auditora si existen preguntas o problemas sobre el acceso a informacin personal.

6.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2320-1

159

Procedimientos analticos
Norma principalmente relacionada 2320 Anlisis y Evaluacin Los auditores internos deben basar sus conclusiones y los resultados del trabajo en anlisis y evaluaciones adecuados.

Consejo para la Prctica 2320-1


1. Los auditores internos pueden usar procedimientos analticos para obtener pruebas de auditora. Los procedimientos analticos requieren el estudio y comparacin de las relaciones entre la informacin financiera y la no financiera. Esta aplicacin de los procedimientos analticos se basa en la premisa de que, en ausencia de condiciones conocidas que indiquen lo contrario, es de esperar que las relaciones entre la informacin existan y continen. Algunos ejemplos de condiciones contrarias son las transacciones o acontecimientos inusuales o no recurrentes, de contabilidad, organizacionales, operacionales, del entorno y tecnolgicos, ineficiencias, inefectividades, errores, fraude o actos ilegales. Los procedimientos analticos a menudo proporcionan al auditor interno medios eficientes y efectivos para obtener pruebas. La evaluacin resulta de la comparacin de la informacin con las expectativas definidas o desarrolladas por el auditor interno. Los procedimientos analticos son tiles para la identificacin de: Diferencias imprevistas. Ausencia de las diferencias previstas. Errores potenciales. Fraude o actos ilegales potenciales. Otras transacciones o acontecimientos inusuales o no recurrentes. 3. Los procedimientos analticos de auditora incluyen: Comparar la informacin del periodo actual con las expectativas basadas en informacin similar de periodos anteriores, as como en presupuestos y previsiones. Estudiar las relaciones entre la informacin financiera y la no financiera apropiada (por ejemplo, gastos de personal registrados comparado con los cambios en el nmero medio de empleados).

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

160

Consejo para la Prctica 2320-1

Estudiar las relaciones entre los elementos de informacin (por ejemplo, fluctuacin del gasto de intereses registrado comparado con los cambios en los saldos deudores relacionados). Comparar la informacin con las expectativas basadas en informacin similar de otras unidades de la organizacin, as como del sector en el que la organizacin opera. 4. Los auditores internos pueden llevar a cabo procedimientos analticos usando cantidades monetarias, fsicas, ratios o porcentajes. Los procedimientos analticos especficos incluyen anlisis de ratios, anlisis de tendencia y anlisis de regresin, test de viabilidad, comparaciones periodo a periodo, comparaciones con presupuestos, previsiones e informacin econmica externa. Los procedimientos analticos ayudan al auditor interno en la identificacin de condiciones que puedan requerir procedimientos de auditora adicionales. Un auditor interno utiliza procedimientos analticos para planificar el trabajo de acuerdo con las directrices contenidas en la Norma 2200. Los auditores internos pueden usar procedimientos analticos para crear evidencias durante el trabajo de auditora. Al determinar la extensin de los procedimientos analticos, el auditor interno considera: La importancia del rea a auditar. La evaluacin de la gestin de riesgos del rea a auditar. La adecuacin del sistema de control interno. La disponibilidad y fiabilidad de la informacin financiera y no financiera. La precisin con la que pueden predecirse los resultados de los procedimientos analticos de auditora. La disponibilidad y comparabilidad de la informacin referente al sector en la que la organizacin opera. La medida en la que otros procedimientos proporcionan evidencias. 6. Cuando los procedimientos analticos de auditora identifican resultados o relaciones imprevistos, el auditor interno evala dichos resultados o relaciones. Esta evaluacin incluye establecer si la diferencia de las expectativas pudo ser resultado de un fraude, error, o cambio en las condiciones. El auditor puede preguntarle a la alta direccin acerca de los motivos de tal diferencia y comprobar la explicacin ofrecida mediante,

5.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2320-1

161

por ejemplo, la modificacin de las expectativas y el nuevo clculo de la diferencia, o mediante la aplicacin de otros procedimientos de auditora. Concretamente, el auditor interno necesita estar seguro de que la explicacin considera tanto la direccin del cambio (por ejemplo, disminucin de ventas) como la cantidad de la diferencia (por ejemplo, disminucin de ventas del 10%). Los resultados o relaciones de procedimientos analticos sin explicacin pueden ser indicativos de un problema significativo (por ejemplo, un error, fraude o acto ilegal potencial). Los resultados de las relaciones que no estn debidamente explicadas pueden suponer una situacin que debe ser comunicada a la alta direccin y el Consejo de Administracin segn la Norma 2060. Dependiendo de las circunstancias, el auditor interno recomendar la medida a tomar adecuada.

Marco Internacional para la Prctica Profesional de la Auditora Interna

162

Consejo para la Prctica 2320-2

Anlisis del origen (Root Cause Analysis)


Norma principalmente relacionada 2320 Anlisis y Evaluacin Los auditores internos deben basar sus conclusiones y los resultados del trabajo en anlisis y evaluaciones adecuados.

Consejo para la Prctica 2320-2


1. El anlisis del origen (Root Cause Analysis) se define como la identificacin de las causas que han dado lugar a un evento (en lugar de proceder nicamente a la identificacin o la comunicacin del problema mismo). En este contexto, un evento se define como una dificultad, un error, un caso de incumplimiento, o una oportunidad perdida. Los auditores internos, cuyos informes solamente recomiendan que la alta direccin solucione la cuestin y no la causa subyacente que caus la misma estn omitiendo elementos que podran mejorar la efectividad y eficiencia a largo plazo de los procesos empresariales, y por ende, del entorno general de gobierno, de riesgos y de control. Una competencia bsica necesaria para aportar estos elementos es la capacidad para identificar la necesidad de realizar un anlisis de los orgenes y, cuando corresponda, facilitar, revisar y/o realizar un anlisis de las mismas. La auditora interna puede ser la funcin ideal para analizar las cuestiones e identificar el origen, dada su independencia y objetividad. Esta perspectiva contribuir a garantizar que se reduzca la parcialidad, que se cuestionan los supuestos, y que se evalan las pruebas en su totalidad. Adems, los auditores internos al trabajar de forma transversal a travs de diversas cadenas de mando y departamentos de una organizacinpueden haber desarrollado un entendimiento ms amplio y claro de los problemas subyacentes, posiblemente superando la capacidad de compresin de un nico miembro de la direccin, lo que les sita en una mejor posicin para analizar los problemas. En circunstancias en las que el origen de un evento proviene de acciones u omisiones de la direccin, ser esencial utilizar un ente objetivo, como la auditora interna, para investigar e informar a la direccin. El anlisis del origen beneficia a la organizacin, al identificar las causas subyacentes de los eventos. Este enfoque permite una perspectiva a largo plazo para la mejora de

2.

3.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2320-2

163

los procesos de negocio. Sin la ejecucin de un anlisis efectivo del origen y de las actividades de remediacin apropiadas, existir una mayor probabilidad de repeticin del evento. El anlisis del origen contribuir a evitar la repeticin adicional de los trabajos y a solucionar de forma proactiva la futura reaparicin de los eventos. El anlisis del origen puede ser considerado en cualquier tipo de situaciones, como aquellas que implican un evento de riesgo sorpresa, un fallo de los procesos, el dao o prdida de los activos, la interrupcin de los trabajos, los incidentes de seguridad, la degradacin de la calidad, o la insatisfaccin del cliente. Cabe destacar que frecuentemente existen mltiples causas, que pueden estar o no relacionadas entre s. 5. Los recursos empleados en el anlisis del origen deberan guardar relacin con el impacto del evento o con los posibles eventos y riesgos futuros. En algunas circunstancias, el anlisis del origen puede ser tan simple como preguntarse cinco porqus. Por ejemplo: El trabajador se cay. Por qu? Porque haba aceite en el suelo. Por qu? Por culpa de una pieza rota. Por qu? Porque la pieza falla con frecuencia. Por qu? Por culpa de los cambios en las prcticas de compras. Al llegar al quinto porqu, posiblemente el auditor interno habr identificado o estar cercano a identificar el origen. Sin embargo, en cuestiones ms complejas podra ser necesario una mayor inversin de recursos y un anlisis ms riguroso. Antes de comenzar el anlisis del origen para asuntos ms complejos, los auditores internos deberan considerar: a. Los anlisis del origen pueden exigir un perodo de tiempo amplio para analizar los procesos, el personal, la tecnologa y los datos necesarios a fin de identificar y sustentar la evaluacin del origen. Lo que inicialmente puede parecer un proyecto rpido puede llegar a convertirse en un esfuerzo exhaustivo, dada la necesidad de evaluar y validar diversos escenarios, de realizar anlisis de datos exhaustivos, y de evaluar mltiples elementos internos y externos que pueden influir en el proceso empresarial. b. Es posible que los auditores internos no dispongan de todas las habilidades necesarias para llevar a cabo el anlisis especfico del origen bajo su consideracin. Los auditores internos deberan determinar cuidadosamente qu esfuerzos de anlisis del origen van a llevar a cabo, as como el nivel de implicacin sobre la base del conjunto de capacidades necesarias, y el nivel de la evaluacin y del anlisis nece-

Marco Internacional para la Prctica Profesional de la Auditora Interna

164

Consejo para la Prctica 2320-2

sario para apoyar una conclusin. Los directores de auditora interna deberan comprobar que la experiencia y la competencia de su personal son las idneas para llevar a cabo el trabajo, y complementar al personal de la auditora interna por medio de asistencia externa en caso necesario (por ejemplo, aportando liderazgo empresarial, expertos en el asunto y/o consultores externos). c. Cuando el compromiso de tiempo previsto o los niveles de capacidad necesarios superen los disponibles dentro de la actividad de auditora interna, el director de auditora interna deber trasmitir recomendaciones que resuelvan el evento subyacente y, en caso necesario, podr incluir una recomendacin para que la direccin lleve a cabo un anlisis del origen. 6. Antes de llevar a cabo el anlisis del origen, los auditores internos deberan anticiparse a los posibles obstculos que puedan impedirles el esfuerzo, y desarrollar de forma activa el enfoque adecuado para gestionar estas circunstancias. a. Los directivos de las empresas pueden ser reacios a la hora de apoyar a la funcin de la auditora interna en el anlisis del origen. Puede que sea necesario que el director de auditora interna y los auditores internos tengan que trabajar con los directivos para explicar y demostrar las funciones y las capacidades de la actividad de auditora interna. b. Puede que los directivos de las empresas se opongan a la realizacin de un anlisis del origen, debido a la implicacin necesaria por parte de su personal en tiempo y recursos. Es posible que los directivos estn centrados en la necesidad a corto plazo de mantener el cumplimiento de forma inmediata o de devolver los procesos de negocio o transacciones a su estado correcto. En algunas ocasiones, la direccin atiende las necesidades a largo plazo nicamente cuando el tiempo y los recursos se lo permitan especialmente cuando el resultado de un anlisis del origen lleva a una solucin que puede no aportar resultados inmediatos, que sea preventiva en su naturaleza, y que pueda requerir desembolsos de capital significativos. Por ello, no siempre se lleva a cabo el anlisis para evaluar el impacto a largo plazo sobre los costes, el tiempo y los recursos de capital resultante de las deficiencias en los procesos que no han sido corregidas o de la necesidad permanente de realizar correcciones del curso constantes. El director de auditora interna puede que necesite explicar y documentar los motivos para un anlisis del origen, a fin de obtener el apoyo de la direccin. Para las

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2320-2

165

cuestiones que requieran soluciones a largo plazo con un amplio impacto sobre los recursos, el tiempo o los costes, los auditores internos podrn sugerir una solucin atenuante inmediata a corto plazo, adems de la solucin a largo plazo ms costosa. Esta aproximacin permitir a la direccin alcanzar los objetivos de negocio ms rpidamente, y les conceder algn tiempo para planificar y presupuestar una solucin a largo plazo, de mayor entidad, que resuelva el origen subyacente del evento. c. La determinacin del verdadero origen puede ser difcil y subjetivo, incluso en casos en los que se disponga de una cantidad significativa de datos cuantitativos y cualitativos. Los auditores internos deberan considerar detenidamente incluir la informacin de todos los implicados en los procesos de negocio a la hora del diseo, del anlisis y de la evaluacin de los datos. El origen de un evento puede tener su base en mltiples errores con diversos grados de influencia. En algunos casos, el auditor interno podr proporcionar mltiples conclusiones de hecho, junto con mltiples escenarios, a fin de que la direccin los considere como el origen de un evento. En estas circunstancias, el valor proporcionado por la auditora interna es la evaluacin independiente y objetiva y la presentacin de los diversos datos y anlisis, de los cuales la direccin podr extraer una conclusin sobre el origen ms probable. d. Cuando el anlisis del origen es realizado por auditora interna y se presentan observaciones y recomendaciones concretas y especficas sobre mejoras en los procesos y en los controles, se podra percibir como la colocacin del auditor interno en el papel de la direccin. Los auditores internos deberan gestionar este riesgo de percepcin de las siguientes formas: (i) Proporcionando un anlisis especfico, objetivo y razonado del origen. (ii) Distinguiendo la determinacin del origen de las recomendaciones para solucionar la misma. (iii) Verificando que las especificaciones o la carta de compromiso de la auditora interna detallan claramente que la direccin asumir la funcin de evaluar las recomendaciones efectuadas por la auditora interna y la implementacin de cualquier cambio a los procesos empresariales. (iv) Distinguiendo claramente entre los compromisos fomentados por la actividad de la auditora interna que tienen un carcter de control o de evaluacin, frente a los que son de consultora y estn fomentados por un patrocinador empresarial.

Marco Internacional para la Prctica Profesional de la Auditora Interna

166

Consejo para la Prctica 2320-2

7.

En general, la mayor parte de los orgenes pueden remontarse a decisiones, acciones u omisiones por parte de una persona o personas. Sin embargo, los auditores internos deberan considerar los factores medioambientales que puedan haber contribuido al problema, que tambin pueden llegar a representar un riesgo ms amplio para la organizacin: a. La competencia del personal b. La contratacin de personal cualificado c. La falta de formacin, o la formacin insuficiente d. La idoneidad de las tecnologas o herramientas e. La pertinencia de la cultura de la organizacin o del departamento f. La salud de la organizacin o la moral del departamento g. El nivel o el nmero de recursos (es decir, presupuestarios o de personal) h. Circunstancias de los procesos y otros elementos influyentes que hayan llevado a la persona o personas a adoptar las decisiones i. Autoridad en la toma de decisiones de la persona o personas implicadas El anlisis del origen que se detenga en la identificacin de los componentes fsicos y de los procesos de las mismas (es decir, los sistemas de tecnologas, las polticas, los componentes, la formacin) podra no ser completo. Un anlisis real del origen intentar comprender por qu las personas adecuadas adoptaron decisiones errneas o inadecuadas (es decir, por qu la persona que adopt la decisin consider que era la correcta en ese momento?). En estos casos, los auditores internos deberan intentar concienciarse de la situacin y comprender todas las circunstancias con las que se enfrentaron los que ejecutaron los procesos que les llevaron a adoptar sus decisiones.

8.

Probablemente los auditores internos encuentren tcnicas simples y tiles para la gran mayora de eventos que analicen. Una recopilacin de datos ms elaborada, unos anlisis estadsticos, y el uso de otros conceptos deberan estar reservados para las situaciones en las que el tiempo y las posibles acciones (es decir, los costes) necesarias para corregir el origen posiblemente se vean justificadas por el nivel de riesgo y por la optimizacin de procesos que pueden ser alcanzada.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2320-2

167

Las tcnicas para el anlisis de los orgenes son diversas. Algunos ejemplos de estas herramientas que pueden buscarse fcilmente en Internet incluyen: a. Los cinco porqus b. Modo de fallo y anlisis de los efectos. c. Diagrama SIPOC (su nombre se deriva de las siglas en ingls Suppliers (proveedores), Inputs (entradas), Process (proceso), Outputs (salidas), Customers (clientes)). d. Diagramas de flujo del flujo de procesos, el flujo de sistemas y el flujo de datos. e. Diagramas Fishbone. f. Indicadores fundamentales para la calidad. g. Diagrama de Pareto. h. Correlacin estadstica.

Marco Internacional para la Prctica Profesional de la Auditora Interna

168

Consejo para la Prctica 2330-1

Documentacin de la Informacin
Norma principalmente relacionada 2330 Documentacin de la informacin Los auditores internos deben documentar informacin relevante que les permita soportar las conclusiones y los resultados del trabajo.

Consejo para la Prctica 2330-1


1. Los auditores internos preparan papeles de trabajo. Los papeles de trabajo documentan la informacin obtenida, los anlisis efectuados y el soporte para las conclusiones y los resultados del trabajo. La direccin de auditora interna revisa los papeles de trabajo que se han preparado. Generalmente, los papeles de trabajo: Ayudan en la planificacin, ejecucin y revisin de los trabajos. Proporcionan el soporte principal a los resultados del trabajo. Documentan si los objetivos del trabajo se han alcanzado. Soportan la precisin e integridad del trabajo realizado. Suministran una base para el programa de aseguramiento y mejora de calidad de la actividad de auditora interna. Facilitan las revisiones de terceras partes. 3. La organizacin, diseo y contenido de los papeles de trabajo depende de la naturaleza y objetivos del trabajo, as como de las necesidades de la organizacin. Los papeles de trabajo documentan todos los aspectos del proceso de trabajo, desde la planificacin hasta la comunicacin de los resultados. La actividad de auditora interna determina los medios utilizados para documentar y almacenar los papeles de trabajo. El director de auditora interna establece las polticas sobre los papeles de trabajo para los diversos tipos de trabajo realizados. Los papeles de trabajo normalizados, tales como cuestionarios y programas de auditora, pueden mejorar la eficiencia del trabajo y facilitar la delegacin del trabajo. Los papeles de trabajo pueden ser clasificados como archivos permanentes o para ser utilizados en el futuro, en cuyo caso contienen informacin de importancia permanente.

2.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2330.A1-1

169

Control de los Registros del Trabajo


Norma principalmente relacionada 2330.A1 El director de auditora interna debe controlar el acceso a los registros del trabajo. El director de auditora interna debe obtener aprobacin de la alta direccin o de asesores legales antes de dar a conocer tales registros a terceros, segn corresponda.

Consejo para la Prctica 2330.A1-1


1. Los registros del trabajo de auditora interna incluyen informes, documentacin de soporte, notas de revisin y correspondencia, sea cual fuere el medio utilizado para su almacenamiento. Los registros del trabajo o papeles de trabajo son propiedad de la organizacin. La actividad de auditora interna controla los papeles de trabajo y permite el acceso slo a las personas autorizadas. Los auditores internos pueden educar a la direccin y al consejo de administracin respecto del acceso a los registros del trabajo por parte de terceras partes. Las polticas referidas al acceso a los registros del trabajo, el manejo de las solicitudes de acceso y los procedimientos a seguir cuando un trabajo garantiza una investigacin necesitan ser revisadas por el consejo de administracin. Las polticas de auditora interna explican quin es el responsable dentro de la organizacin de asegurar el control y seguridad de los registros de la actividad, a qu partes internas o externas se les puede otorgar acceso a los registros del trabajo y cmo deben manejarse las solicitudes para acceder a dichos registros. Estas polticas variarn segn la naturaleza de la organizacin, las prcticas seguidas en el sector econmico y los privilegios de acceso establecidos por la ley. La direccin y otros miembros de la organizacin pueden solicitar el acceso a todos o a una parte de los papeles de trabajo. Dicho acceso puede ser necesario para justificar o explicar las observaciones y recomendaciones del trabajo o para otros propsitos de negocios. El director de auditora interna(DAI) aprueba estas peticiones. El DAI aprueba el acceso a los papeles de trabajo por parte de los auditores externos. Hay circunstancias en que la peticin de acceso a los papeles de trabajo y a los informes la realizan terceros ajenos a la organizacin, distintos de los auditores externos.

2.

3.

4.

5. 6.

Marco Internacional para la Prctica Profesional de la Auditora Interna

170

Consejo para la Prctica 2330.A1-1

Antes de dar a conocer la documentacin, el DAI obtiene la aprobacin de la alta direccin o de la asesora jurdica, segn proceda. 7. En procesos legales, se puede permitir el acceso a los registros de auditora interna que no estn especficamente protegidos. Las exigencias legales varan significativamente en las distintas jurisdicciones. Cuando hay una solicitud especfica respecto de los registros del trabajo en relacin con un proceso legal, el DAI trabaja muy de cerca con la asesora legal para decidir qu se proporcionar.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2330.A1-2

171

Garantizar el acceso a los registros de auditora


Norma principalmente relacionada 2330. A1 El director de auditora interna debe controlar el acceso a los registros del trabajo. El director de auditora interna debe obtener la aprobacin de la alta direccin o de asesores legales antes de dar a conocer tales registros a terceros, segn corresponda.

Aviso: Se recomienda a los auditores internos que consulten con un asesor legal para los asuntos que impliquen temas legales, ya que los requisitos varan considerablemente en las diferentes jurisdicciones. Las directrices contenidas en el presente Consejo para la Prctica estn basadas principalmente en los sistemas legales que protegen la informacin y el trabajo realizado para, o comunicado a, un abogado comprometido (esto es, el secreto profesional entre abogado y cliente), tales como el sistema legal en los Estados Unidos de Amrica. El Consejo para la Prctica 2400-1 trata el secreto profesional entre abogado y cliente.

Consejo para la Prctica 2330.A1-2


1. Los registros del trabajo de auditora interna incluyen informes, documentacin de apoyo, notas de revisin y correspondencia, independientemente del medio de almacenamiento. Los registros del trabajo se realizan normalmente bajo la presuncin de que sus contenidos son confidenciales y pueden contener una mezcla de hechos y opiniones. Sin embargo, aquellos que no estn familiarizados con la organizacin o con sus procesos de auditora interna pueden malinterpretar esos hechos y opiniones. Las partes externas pueden buscar acceso a los registros del trabajo mediante varios tipos de procedimientos, incluyendo procesos penales, litigios civiles, inspecciones tributarias, revisiones reguladoras, revisiones de los contratos del gobierno y revisiones por parte de organizaciones autorreguladas. Para procesos penales, puede accederse a la mayora de los registros de la organizacin que no estn protegidos por el secreto profesional entre abogado y cliente. Para los procesos civiles, el acceso es ms restringido y puede variar segn la jurisdiccin de la organizacin. Las prcticas explcitas de la actividad de auditora interna pueden aumentar el control de acceso a los registros del trabajo. La actividad de auditora interna puede tratar el acceso y control de los registros de auditora interna, independientemente del medio de almacenamiento.

2. 3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

172

Consejo para la Prctica 2330.A1-2

4.

Las polticas de la actividad de auditora interna deben detallar qu se incluye en los registros del trabajo y especificar el contenido y formato de estos, y la forma en la que los auditores internos han de manejar las notas de revisin resueltas. Las polticas tambin deben sealar el tiempo de conservacin de los registros de auditora. Cuando el director de auditora interna (DAI) especifique el tiempo de conservacin de los registros del trabajo, deber considerar las necesidades de la organizacin, as como los requisitos legales. Las polticas de la actividad de auditora interna pueden establecer quin es el responsable de la organizacin del control y seguridad de los registros de auditora interna, quin puede acceder a los registros del trabajo y cmo se gestionan las solicitudes de acceso a dichos registros. Estas polticas dependen de las normas que sigue el sector de la organizacin o la jurisdiccin legal. El DAI debe estar al tanto de los cambios en las normas del sector y en los precedentes legales. Cuando el DAI desarrolla las polticas, debe considerar quin puede acceder a los registros de auditora interna. La poltica que concede acceso a los registros del trabajo tambin trata los procesos: Para resolver los problemas de acceso. Para concienciar al personal de auditora interna acerca de los riesgos y problemas concernientes al acceso a los productos de su trabajo. Para determinar quin puede acceder al producto de su trabajo en el futuro. El DAI tambin puede concienciar a la alta direccin y el Consejo acerca de los riesgos del acceso a los registros del trabajo. El Consejo puede revisar las polticas relacionadas con las personas autorizadas para acceder a los registros del trabajo y el mtodo de gestin de dichas solicitudes. Las polticas especficas variarn segn la naturaleza de la organizacin y los privilegios de acceso establecidos por ley. Cuando se facilita registros del trabajo, el DAI normalmente: Proporciona solo los documentos especficos tal y como le haya indicado la asesora jurdica o segn las polticas. Estas normalmente excluyen documentos protegidos bajo el secreto profesional entre abogado y cliente. Los documentos que revelan los razonamientos o estrategias de los abogados sern generalmente secretos y no estarn sujetos a su revelacin forzosa. Facilita documentos en un formato que no pueda ser modificado (por ejemplo, una imagen en lugar de un formato de procesador de textos). Para documentos en papel, el DAI proporciona copias y se queda con los originales. Etiqueta cada documento como confidencial y coloca una anotacin de que la distribucin secundaria no est permitida sin autorizacin.

5.

6.

7.

8.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2330.A2-1

173

Retencin de los Registros


Norma principalmente relacionada 2330.A2 El director de auditora interna debe establecer requisitos de retencin para los registros del trabajo, sea cual fuere el medio en el cual se almacena cada registro. Estos requisitos de retencin deben ser consistentes con las guas de la organizacin y cualquier regulacin u otros requisitos pertinentes.

Consejo para la Prctica 2330.A2-1


1. 2. Los requisitos de retencin de registros del trabajo varan en las distintas jurisdicciones y entornos legales. El director de auditora interna (DAI) elabora una poltica escrita de retencin que cumpla con las necesidades de la organizacin y los requisitos legales de las jurisdicciones en que opera la organizacin. La poltica de retencin de registros tiene que incluir los acuerdos apropiados referidos a la retencin de registros de los trabajos realizados por proveedores externos de servicios.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

174

Consejo para la Prctica 2340-1

Supervisin del Trabajo


Norma principalmente relacionada 2340 Supervisin del trabajo Los trabajos deben ser adecuadamente supervisados para asegurar el logro de sus objetivos, la calidad del trabajo y el desarrollo del personal. Interpretacin: El alcance de la supervisin requerida depender de la pericia y experiencia de los auditores internos y de la complejidad del trabajo. El director de auditora interna tiene la responsabilidad general de la supervisin del trabajo, ya sea que haya sido desempeado por la actividad de auditora interna o para ella, pero puede designar a miembros adecuadamente experimentados de la actividad de auditora interna para llevar a cabo esta tarea. Se debe documentar y conservar evidencia adecuada de la supervisin.

Consejo para la Prctica 2340-1


1. El director de auditora interna (DAI) o quien este designe, proporciona la adecuada supervisin del trabajo. La supervisin es un proceso que comienza con la planificacin y contina a lo largo del trabajo. Este proceso incluye: Asegurar que los auditores internos designados posean en conjunto los conocimientos, tcnicas y otras competencias requeridas para desempear el trabajo. Proporcionar instrucciones adecuadas durante la planificacin y aprobar el programa de trabajo. Asegurar que se complete el programa de trabajo aprobado, a menos que se justifiquen y autoricen modificaciones. Determinar que los papeles de trabajo soporten adecuadamente las observaciones, conclusiones y recomendaciones del trabajo. Asegurar que las comunicaciones del trabajo sean precisas, objetivas, claras, concisas, constructivas y oportunas. Asegurar que se cumplan los objetivos del trabajo. Proporcionar oportunidades para que se desarrollen los conocimientos, tcnicas y otras competencias de los auditores internos. El DAI es responsable de todos los trabajos de auditora interna, ya sean los realizados por la actividad de auditora interna o para la misma, y de todos los juicios profe-

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2340-1

175

sionales significativos emitidos durante el trabajo. El DAI es tambin quien adopta las medidas necesarias para asegurar que se cumpla esta responsabilidad. Dichas medidas incluyen polticas y procedimientos diseados para: Minimizar el riesgo de que los auditores internos u otras personas que realicen tareas para la actividad de auditora interna emitan juicios profesionales o sigan otras acciones que sean inconsistentes con el juicio profesional del DAI de modo tal que produzcan un impacto adverso en el trabajo. Resolver diferencias en el criterio profesional entre el DAI y los miembros de auditora interna sobre cuestiones importantes relacionadas con el trabajo. Estas medidas pueden incluir la discusin de los hechos pertinentes, nuevas investigaciones o revisiones, y documentacin y disposicin de los diferentes puntos de vista en los papeles de trabajo. En los casos que existan diferencias de criterio profesional sobre una cuestin tica, las medidas adecuadas pueden incluir la consulta del tema con aquellas personas de la organizacin que tengan la responsabilidad sobre las cuestiones ticas. 3. Todos los papeles de trabajo deben ser revisados para asegurar que soportan las comunicaciones del trabajo y que se han aplicado los procedimientos de auditora necesarios. La evidencia de la revisin del supervisor consiste en que el supervisor coloque sus iniciales y la fecha en cada papel de trabajo una vez revisado. Otras tcnicas que proporcionan evidencia de la revisin del supervisor incluyen el completar una lista de puntos de revisin de los papeles de trabajo; la preparacin de un memorndum especificando la naturaleza, alcance y resultados de la revisin; o la evaluacin y aceptacin dentro de un software de papeles de trabajo. Los revisores pueden dejar por escrito (por ejemplo, mediante notas de revisin) las preguntas surgidas en el proceso de revisin. Cuando estas notas se clarifiquen deben asegurarse de que los papeles de trabajo proporcionen la evidencia adecuada de que las preguntas surgidas durante la revisin han sido resueltas. Las alternativas con respecto a la disposicin de las notas de revisin son las siguientes: Conservar las notas de revisin como un registro de las preguntas realizadas por el revisor, los pasos dados para resolverlas y los resultados de dichos pasos. Destruir las notas de revisin una vez que los temas tratados han sido resueltos y se han corregido los papeles de trabajo correspondientes de modo que proporcionen la informacin solicitada. La supervisin del trabajo tambin permite la capacitacin y desarrollo del personal, y la evaluacin de su desempeo.

4.

5.

Marco Internacional para la Prctica Profesional de la Auditora Interna

176

Consejo para la Prctica 2400-1

Consideraciones Legales en la Comunicacin de los Resultados


Norma principalmente relacionada 2400 Comunicacin de los Resultados Los auditores internos deben comunicar los resultados de los trabajos.

Aviso: Se recomienda a los auditores internos que consulten con un asesor legal para los asuntos que impliquen temas legales, ya que los requisitos varan considerablemente en las diferentes jurisdicciones. Las directrices contenidas en el presente Consejo para la Prctica estn basadas principalmente en los sistemas legales que protegen la informacin y el trabajo realizado para, o comunicado a, un abogado comprometido (esto es, el secreto profesional entre abogado y cliente), tales como el sistema legal en los Estados Unidos de Amrica. El Consejo para la Prctica 2400-1 trata el secreto profesional entre abogado y cliente.

Consejo para la Prctica 2400-1


1. El auditor interno necesita actuar con cautela a la hora de comunicar el incumplimiento de leyes, regulaciones y otros asuntos legales. Se recomienda desarrollar polticas y procedimientos relacionados con el manejo de dichos asuntos, as como una estrecha relacin de trabajo con otras reas apropiadas (por ejemplo, asesora jurdica y cumplimiento). El auditor interno rene pruebas, hace juicios analticos, informa de resultados y determina si las acciones correctivas tomadas por la alta direccin son las adecuadas. La necesidad del auditor interno de preparar los registros del trabajo puede entrar en conflicto con el deseo del asesor legal de no dejar evidencias manifiestas que puedan daar la posicin de la organizacin en asuntos legales. Por ejemplo, incluso cuando un auditor haya reunido y evaluado la informacin correctamente, los hechos y anlisis revelados pueden influir de forma negativa en la organizacin desde una perspectiva legal. La planificacin adecuada y la creacin de polticas, incluyendo la definicin de roles y los mtodos de comunicacin, son esenciales para que una revelacin repentina no enfrente al auditor interno con asesora jurdica y viceversa. Ambas par-

2.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2400-1

177

tes necesitan fomentar una perspectiva tica y preventiva en la organizacin para sensibilizar y concienciar a la alta direccin acerca de las polticas establecidas. 3. Con el objetivo de proteger el privilegio de secreto profesional de un cliente y su abogado, es necesario que la comunicacin sea confidencial con el propsito de buscar, obtener o proporcionar asistencia legal para el cliente. Este secreto profesional, que se utiliza principalmente para proteger las comunicaciones con los abogados, tambin se aplica a las comunicaciones con las terceras partes que trabajan con un abogado. Algunos tribunales han reconocido el privilegio de secreto profesional sobre anlisis crticos propios que protege los materiales crticos (por ejemplo, productos del trabajo de auditora) de su revelacin a terceros. En general, el reconocimiento de dicho privilegio se basa en la creencia de que la confidencialidad del anlisis propio en estos ejemplos es ms importante que el valor del inters pblico. Este privilegio normalmente se aplica cuando: La informacin resulta de un anlisis autocrtico asumido por la parte que reivindica el privilegio. El pblico tiene gran inters en mantener el flujo continuo de la informacin contenida en el anlisis crtico. La informacin es del tipo cuyo flujo podra restringirse si se permitiera su descubrimiento. 6. Es menos probable que los privilegios de auto-evaluaciones estn disponibles cuando una agencia del gobierno (y no una parte implicada en un asunto legal privado) busque los documentos. Presumiblemente, esta reticencia resulta del reconocimiento del mayor inters del gobierno en hacer cumplir la ley. Los documentos que deben ser protegidos bajo la doctrina trabajo-producto normalmente deben ser: Algn tipo de producto de trabajo (por ejemplo, memo, programa informtico). Preparado con antelacin al litigio. Completado por alguien que trabaja bajo la direccin de un abogado. 8. Los documentos preparados y enviados al abogado antes de que se establezca la relacin abogado-cliente generalmente no estn protegidos por el secreto profesional.

4.

5.

7.

Marco Internacional para la Prctica Profesional de la Auditora Interna

178

Consejo para la Prctica 2410-1

Criterios para la Comunicacin


Norma principalmente relacionada 2410 Criterios para la comunicacin Las comunicaciones deben incluir los objetivos y alcance del trabajo as como las conclusiones correspondientes, las recomendaciones, y los planes de accin.

Consejo para la Prctica 2410-1


1. Si bien el formato y contenido de las comunicaciones finales del trabajo varan segn la organizacin o el tipo de trabajo, deben contener, como mnimo, el propsito, alcance y resultados del trabajo. Las comunicaciones finales del trabajo pueden incluir antecedentes y resmenes. Los antecedentes pueden identificar las unidades y actividades revisadas de la organizacin y proporcionar informacin aclaratoria. Tambin pueden incluir la situacin de las observaciones, conclusiones y recomendaciones de informes anteriores. Asimismo, pueden indicar si el informe se refiere a un trabajo planificado o si responde a una peticin. Los resmenes son una expresin equilibrada del contenido de la comunicacin del trabajo. La explicacin del propsito describe los objetivos del trabajo y puede informar al lector sobre las razones que motivaron la realizacin del trabajo y lo que se esperaba conseguir. La explicacin del alcance identifica las actividades auditadas y puede incluir informacin de soporte, como por ejemplo el perodo revisado y las actividades relacionadas que no fueron revisadas, con el fin de definir los lmites del trabajo. Tambin puede describir la naturaleza y extensin del trabajo realizado. Los resultados incluyen observaciones, conclusiones, opiniones, recomendaciones y planes de accin. Las observaciones son exposiciones pertinentes de los hechos. El auditor interno comunica aquellas observaciones que sean necesarias para apoyar sus conclusiones y recomendaciones, o para evitar equvocos derivados de stas. El auditor interno pude comunicar las observaciones o recomendaciones que sean menos significativas de manera informal. Las observaciones y recomendaciones del trabajo surgen de un proceso de comparacin entre el criterio (el estado correcto) y la condicin (el estado actual). Si el auditor

2.

3.

4.

5. 6.

7.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2410-1

179

interno encuentra diferencias entre ambos, esta ser la base para elaborar su informe. Cuando la condicin cumple con el criterio establecido, puede ser conveniente comunicar ese desempeo satisfactorio. Las observaciones y recomendaciones se basan en los siguientes atributos: Criterio: Los estndares, medidas, o supuestos utilizados al hacer una evaluacin y verificacin (el estado correcto). Condicin: La evidencia, los hechos que el auditor interno encuentra durante la realizacin de su trabajo (el estado actual). Causa: La razn de la diferencia entre las situaciones esperadas y las reales. Efecto: El riesgo o exposicin en que se encuentra la organizacin u otros terceros, debido a que la condicin no coincide con el criterio (el impacto de la diferencia). Para determinar el grado de riesgo o exposicin, el auditor interno tiene en cuenta el efecto que las observaciones y recomendaciones puedan tener sobre las operaciones y los estados financieros de la organizacin. Las observaciones y recomendaciones pueden incluir logros obtenidos por el cliente del trabajo, problemas relacionados e informacin de soporte. 8. Las conclusiones y opiniones son las evaluaciones que hace el auditor interno sobre los efectos de las observaciones y recomendaciones en la actividad revisada. Generalmente, las conclusiones y opiniones sitan a las observaciones y recomendaciones en una perspectiva basada en todas sus implicaciones. Identifican claramente las conclusiones del trabajo en el informe del trabajo. Las conclusiones pueden referirse a todo el mbito del trabajo o slo a aspectos determinados. Aunque no estn limitadas a ellos, pueden abarcar aspectos tales como la determinacin de si los objetivos y metas de programas y operaciones estn en consonancia con los de la organizacin, si estos ltimos se estn cumpliendo y si la actividad revisada funciona como se pretende. Una opinin puede incluir una evaluacin general de controles o puede estar limitada a determinados controles o aspectos del trabajo. El auditor interno puede comunicar recomendaciones para mejoras, reconocimientos de desempeo satisfactorio y acciones correctivas. Las recomendaciones se basan en las observaciones y conclusiones obtenidas por el auditor interno. Demandan acciones que corrijan la situacin actual o mejoren las operaciones y pueden sugerir enfoques para corregir o mejorar la gestin que sirvan de gua a la direccin en la obtencin de los resultados deseados. Las recomendaciones pueden ser generales o especficas. Por ejemplo, en ciertas circunstancias, el auditor interno puede recomendar una lnea general de accin y sugerencias especficas para su puesta en marcha. En otros casos, el auditor interno puede sugerir una investigacin o estudio adicionales.

9.

Marco Internacional para la Prctica Profesional de la Auditora Interna

180

Consejo para la Prctica 2410-1

10. El auditor interno puede comunicar los logros obtenidos por el cliente, en trminos de mejoras realizadas desde el ltimo trabajo o del establecimiento de una operacin adecuadamente controlada. Esta informacin puede resultar necesaria para reflejar fielmente las condiciones actuales y proporcionar a las comunicaciones finales del trabajo la perspectiva y el equilibrio adecuados. 11. El auditor interno puede comunicar los puntos de vista del cliente sobre las conclusiones, opiniones o recomendaciones que realiz el auditor interno. 12. Como parte de las conversaciones del auditor interno con el cliente del trabajo, el auditor interno obtiene su acuerdo sobre los resultados del trabajo y sobre cualquier plan de accin necesario para mejorar las operaciones. Si ambos discrepan sobre los resultados del trabajo, las comunicaciones pueden exponer ambas posiciones y las razones del desacuerdo. Los comentarios escritos del cliente se pueden incluir como apndice al informe del trabajo, dentro del mismo informe o en una carta de presentacin. 13. Cierta informacin puede no ser apropiada para ser comunicada a todos los receptores del informe, debido a su condicin de confidencial o privada, o por referirse a actos impropios o ilegales. Esta informacin se presenta en un informe separado. El informe se entrega al consejo de administracin cuando los hechos de los que se informa implican a la alta direccin. 14. Los informes intermedios son escritos o verbales y pueden ser transmitidos formal o informalmente. Se utilizan informes intermedios para transmitir informacin que requiere atencin inmediata, para comunicar un cambio en el alcance del trabajo que se est realizando, o para mantener informada a la direccin del avance del trabajo cuando ste se prolonga durante un dilatado perodo de tiempo. El uso de informes intermedios no reduce ni elimina la necesidad de un informe final. 15. Se emite un informe firmado al finalizar el trabajo. Los informes resumidos, que destaquen los resultados de la auditora, son adecuados para aquellos niveles de direccin superiores jerrquicamente al cliente del trabajo y pueden emitirse separada o conjuntamente con el informe final. El trmino firmado significa que el nombre del auditor interno autorizado est manual o electrnicamente firmado en el informe o en una carta de presentacin. El director de auditora interna determina qu auditor interno est autorizado para firmar el informe. Si los informes del trabajo se distribuyen por medios electrnicos, se debe mantener una versin firmada en archivos de la actividad de auditora interna.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2420-1

181

Calidad de las Comunicaciones


Norma principalmente relacionada 2420 Calidad de la comunicacin Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas. Interpretacin: Las comunicaciones precisas estn libres de errores y distorsiones y son fieles a los hechos que describen. Las comunicaciones objetivas son justas, imparciales y sin desvos y son el resultado de una evaluacin justa y equilibrada de todos los hechos y circunstancias relevantes. Las comunicaciones claras son fcilmente comprensibles y lgicas, evitando el lenguaje tcnico innecesario y proporcionando toda la informacin significativa y relevante. Las comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles superfluos, redundancia y uso excesivo de palabras. Las comunicaciones constructivas son tiles para el cliente del trabajo y la organizacin, y conducen a mejoras que son necesarias. A las comunicaciones completas no les falta nada que sea esencial para los receptores principales e incluyen toda la informacin y observaciones significativas y relevantes para apoyar a las recomendaciones y conclusiones. Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes, dependiendo de la significatividad del tema, permitiendo a la direccin tomar la accin correctiva apropiada.

Consejo para la Prctica 2420-1


1. 2. 3. 4. 5. 6. 7. Obtener, evaluar y resumir datos y evidencias de manera cuidadosa y con precisin. Derivar y expresar observaciones, conclusiones y recomendaciones sin prejuicios, parcialidades, intereses personales e indebida influencia de terceros. Mejorar la claridad evitando el lenguaje tcnico innecesario y proporcionando toda la informacin significativa y relevante en contexto. Elaborar comunicaciones con el objetivo de que cada elemento sea expresivo pero sucinto. Adoptar un contenido y tono tiles, positivos y bienintencionados, que se centren en los objetivos de la organizacin. Asegurar que la comunicacin sea consistente con el estilo y cultura de la organizacin. Planear la oportunidad de la presentacin de los resultados del trabajo para evitar demoras indebidas.

Marco Internacional para la Prctica Profesional de la Auditora Interna

182

Consejo para la Prctica 2440-1

Difusin de Resultados
Norma principalmente relacionada 2440 Difusin de resultados El director de auditora interna debe difundir los resultados a las partes apropiadas. Interpretacin: El director de auditora interna debe revisar y aprobar la comunicacin final del trabajo antes de su emisin y decidir a quines y cmo ser distribuida dicha comunicacin. El director de auditora interna retiene la responsabilidad ltima, aunque delegue estas tareas.

Consejo para la Prctica 2440-1


1. Los auditores internos comentan las conclusiones y recomendaciones con los niveles directivos apropiados antes de que el director de auditora interna (DAI) emita las comunicaciones finales del trabajo. Esto se realiza usualmente durante el transcurso del trabajo y en las reuniones finales del trabajo. Otra tcnica consiste en que la gerencia de la actividad auditada revise el borrador de los temas, observaciones y recomendaciones del trabajo. Estas discusiones y revisiones ayudan a evitar equvocos o malas interpretaciones de los hechos, al proporcionar al cliente del trabajo la oportunidad de clarificar detalles especficos y de expresar su punto de vista sobre las observaciones, conclusiones y recomendaciones. El nivel de los participantes en las discusiones y revisiones vara dependiendo de las organizaciones y de la naturaleza del informe. Generalmente se incluyen a aquellas personas conocedoras de las operaciones en detalle y a aquellas que puedan autorizar la puesta en marcha de la accin correctiva. El DAI distribuye las comunicaciones finales del trabajo a la direccin de la actividad auditada y a aquellos miembros de la organizacin que puedan asegurar que se prestar debida atencin a los resultados del trabajo y seguirn las acciones correctivas o asegurarn que se sigan las mismas. Cuando sea apropiado, el DAI puede enviar una comunicacin resumida a miembros de ms alto nivel en la organizacin. Cuando lo exige el estatuto de auditora interna o la poltica de la organizacin, el DAI tambin enva las comunicaciones a otros interesados o partes afectadas, tales como los auditores externos y el consejo de administracin.

2.

3.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2440-2

183

Comunicacin de informacin sensible dentro y fuera de la cadena de mando


Norma principalmente relacionada 2440 Difusin de Resultados El director de auditora interna debe difundir los resultados a las partes apropiadas. Interpretacin: El director de auditora interna debe revisar y aprobar la comunicacin final del trabajo antes de su emisin y decidir a quines y cmo ser distribuida dicha comunicacin. El director de auditora interna retiene la responsabilidad ltima, aunque delegue estas tareas.

Consejo para la Prctica 2440-2


1. Los auditores internos a menudo acceden a informacin muy delicada que es importante para la organizacin y que plantea potenciales consecuencias considerables. Esta informacin puede estar relacionada con revelaciones, amenazas, incertidumbres, fraude, prdidas y mala administracin, actividades ilegales, abuso de poder, mala conducta que ponga en peligro la salud o seguridad pblicas u otras infracciones. Adems, estos asuntos pueden influir de forma negativa en la reputacin, imagen, competitividad, xito, viabilidad, valor de mercado, inversiones, bienes intangibles o ingresos de la organizacin Una vez que el auditor interno ha considerado que la nueva informacin es importante y creble, la comunicar, de manera oportuna, a la alta direccin y al Consejo segn la Norma 2060 y al Consejo para la Prctica 2060-1. Esta comunicacin seguir la cadena de mando habitual para el auditor interno. Si el director de auditora interna (DAI), tras estos debates, concluye que la alta direccin est exponiendo a la organizacin a un riesgo inaceptable y no est tomando las medidas adecuadas, deber presentar la informacin y las diferencias de opinin al Consejo conforme a la Norma 2600. El tpico escenario de comunicacin de la cadena de mando puede acelerarse para cierto tipo de acontecimientos delicados debido a la ley, normativa o prcticas comunes. Por ejemplo, en el caso de que exista evidencia de informacin financiera fraudulenta por una organizacin con valores burstiles, la regulacin local puede prescribir que el Consejo sea inmediatamente informado sobre las circunstancias que rodean a

2.

3.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

184

Consejo para la Prctica 2440-2

la posibilidad de que existan informes financieros falsos, incluso aunque la alta direccin y el DAI estn de acuerdo con las acciones a tomar. Las leyes y regulaciones en algunas jurisdicciones especifican que el Consejo debera ser informado de los descubrimientos de las infracciones penales y las violaciones de las leyes sobre los valores, alimentos, drogas o contaminacin as como de otros actos ilegales tales como el soborno o los pagos indebidos a funcionarios pblicos, proveedores o clientes. 5. En algunas situaciones, un auditor interno puede enfrentarse al dilema de considerar si comunica o no la informacin a personas fuera de la cadena de mando habitual o incluso fuera de la organizacin. Esta comunicacin es comnmente denominada whistleblowing. El acto de revelar informacin desfavorable a alguien de la organizacin, pero fuera de la cadena habitual de mando del auditor interno se denomina whistleblowing interno, mientras que revelar informacin desfavorable a una agencia gubernamental u otra autoridad fuera de la organizacin se denomina whistleblowing externo. La mayora de los denunciantes revelan internamente la informacin delicada, incluso fuera de la cadena de mando habitual, si confan en las polticas y mecanismos de la organizacin para investigar las alegaciones de ilegalidad u otra actividad indebida, y para tomar las medidas adecuadas. Sin embargo, algunas personas en posesin de informacin delicada pueden decidir sacar la informacin de la organizacin si temen que haya represalias por parte de su empleador o sus compaeros, dudan que el asunto se investigue adecuadamente, creen que se ocultar o tienen evidencia de una actividad ilegal o indebida que ponga en peligro la salud, seguridad o bienestar de personas en la organizacin o en la comunidad. En un caso donde el whistleblowing interno se elija como opcin, un auditor interno debe evaluar formas alternativas de comunicar el riesgo que perciba a las personas o grupos fuera de la cadena de mando habitual. Debido a los riesgos y repercusiones asociados con estos enfoques, el auditor interno debe actuar con cautela al evaluar la evidencia y sensatez de sus conclusiones, as como al examinar las ventajas y desventajas de cada medida potencial. Tomar estas medidas puede ser apropiado si resultan en acciones cuya responsabilidad cae en las personas de la alta direccin o el Consejo. Muchas jurisdicciones tienen leyes o normativas que requieren que los empleados pblicos con conocimiento de actos ilegales o inmorales informen al inspector general, a otro empleado pblico o al defensor del pueblo. Algunas leyes concernientes a las acciones de whistleblowing protegen a los ciudadanos si estos se ofrecen a reve-

6.

7.

8.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2440-2

185

lar tipos especficos de actividades indebidas. Las actividades que enumeran estas leyes y normativas son: Delitos y otros incumplimientos con las obligaciones legales. Actos considerados como injusticias. Actos que ponen en peligro la salud, seguridad o bienestar de los individuos. Actos que daan el medio ambiente. Actividades que oculten o encubran cualquiera de las actividades mencionadas anteriormente. Algunas jurisdicciones no ofrecen ninguna orientacin ni proteccin, o solo ofrecen proteccin a los empleados pblicos (esto es, empleados del gobierno). 9. El auditor interno deber conocer las diferentes leyes y normativas bajo las que opera la organizacin. Un asesor jurdico conocedor de los aspectos legales del whistleblowing puede ayudar a los auditores internos a enfrentarse a este asunto. El auditor interno siempre deber obtener asesoramiento legal si no est seguro de los requisitos legales o las consecuencias de dedicarse al whistleblowing interno o externo.

10. Muchas asociaciones profesionales responsabilizan a sus miembros de revelar actividades ilegales o inmorales. Una marca diferenciadora de una profesin es su aceptacin de sus amplias responsabilidades con el pblico y la proteccin del bienestar general. Adems de examinar los requisitos legales, los miembros del Instituto de Auditores Internos (IAI) y todos los auditores internos acreditados deben cumplir con los requisitos presentados en el Cdigo de tica del IAI. 11. Un auditor interno tiene el deber profesional y la responsabilidad tica de evaluar con cuidado todas las evidencias y la sensatez de sus conclusiones, y decidir si deben tomarse medidas adicionales para proteger los intereses de la organizacin y de las partes interesadas, la comunidad exterior o las instituciones sociales. El auditor interno tambin deber considerar el deber de confidencialidad impuesto por el Cdigo de tica del IAI para respetar el valor y la propiedad de la informacin y evitar revelarla sin la autoridad adecuada, a menos que exista una obligacin legal o profesional de hacerlo. Durante este proceso de evaluacin, el auditor interno debe buscar consejo de un asesor jurdico y, si es necesario, de otros expertos. Esas conversaciones pueden ser de ayuda para proporcionar una perspectiva diferente de las circunstancias, as como para ofrecer opiniones sobre el impacto y las consecuencias potenciales de las posibles acciones. La forma en la que el auditor interno trate de resolver este tipo de situacin compleja y delicada puede crear represalias y responsabilidad potenciales.

Marco Internacional para la Prctica Profesional de la Auditora Interna

186

Consejo para la Prctica 2440-2

12. En ltima instancia, es el auditor interno quien toma una decisin profesional sobre sus obligaciones con el empleador. La decisin de comunicar fuera de la cadena de mando habitual necesita estar basada en una opinin bien formada de que la infraccin est soportada por evidencias importantes y crebles, y de que un imperativo legal o regulatorio, o una obligacin profesional o tica, requiere acciones adicionales.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2440.A2-1

187

Comunicaciones fuera de la Organizacin


Norma principalmente relacionada 2440.A2 A menos de que exista obligacin legal, estatutaria o de regulaciones en contrario, antes de enviar los resultados a partes ajenas a la organizacin, el director de auditora interna debe: Evaluar el riesgo potencial para la organizacin. Consultar con la alta direccin y/o el asesor legal, segn corresponda. Controlar la difusin, restringiendo la utilizacin de los resultados.

Consejo para la Prctica 2440.A2-1


1. El estatuto de la actividad de auditora interna, el estatuto del Consejo, las polticas organizacionales o el acuerdo de trabajo pueden servir de orientacin para transmitir informacin fuera de la organizacin. Si dicha orientacin no existe, el director de auditora interna (DAI) puede facilitar la adopcin de polticas apropiadas que pueden incluir: La autorizacin necesaria para transmitir informacin fuera de la organizacin. El proceso para buscar la aprobacin de la transmisin de informacin fuera de la organizacin. Las directrices para la informacin permitida y no permitida que pueda comunicarse. Las personas externas autorizadas para recibir informacin y los tipos de informacin que pueden recibir. Las normas de privacidad relacionadas, requisitos regulatorios y consideraciones legales para transmitir informacin fuera de la organizacin. La naturaleza de las garantas, consejos, recomendaciones, opiniones, orientacin y otra informacin que puede incluirse en la transmisin de informacin fuera de la organizacin. 2. Las solicitudes pueden estar relacionadas tanto con informacin existente (por ejemplo, un informe de auditora interna emitido previamente), como con informacin que

Marco Internacional para la Prctica Profesional de la Auditora Interna

188

Consejo para la Prctica 2440.A2-1

se va a crear o determinar, que da lugar a un nuevo informe o trabajo de auditora interna. Si la solicitud est relacionada con informacin o con un informe ya existente, el auditor interno necesita determinar si es apropiada su divulgacin fuera de la organizacin. 3. En ciertas situaciones, puede crearse un informe con fines especficos basado en un informe o informacin existente con el fin de adecuarlo para su divulgacin fuera de la organizacin. Algunos asuntos a considerar a la hora de transmitir informacin fuera de la organizacin son: La utilidad de un contrato escrito con el destinatario acerca de la informacin a transmitir y las responsabilidades del auditor interno. La identificacin de los transmisores de la informacin, fuentes, firmantes de informes, destinatarios y personas relacionadas con el informe o con la informacin divulgada. La identificacin de los objetivos, alcance y procedimientos a realizar para generar la informacin aplicable. La naturaleza del informe o de otro tipo de comunicacin, incluyendo opiniones, inclusin o exclusin de recomendaciones, renuncias, limitaciones y tipo de garantas o afirmaciones a proporcionar. Los asuntos sobre los derechos de autor, uso previsto de la informacin y limitaciones sobre la distribucin o reparto de la informacin. 5. Si el auditor interno descubre informacin que se deba comunicar a la alta direccin o al Consejo mientras realiza trabajos que requieren divulgacin de la informacin fuera de la organizacin, el DAI debe informar adecuadamente al Consejo.

4.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2500-1

189

Seguimiento del Progreso


Norma principalmente relacionada 2500 Seguimiento del progreso El director de auditora interna debe establecer y mantener un sistema para vigilar la disposicin de los resultados comunicados a la direccin.

Consejo para la Prctica 2500-1


1. Para vigilar eficazmente la disposicin de los resultados, el director de auditora interna (DAI) establece procedimientos que incluyen lo siguiente: El marco de tiempo dentro del cual se requiera la respuesta de la direccin a las observaciones y recomendaciones del trabajo. La evaluacin de la respuesta de la direccin. La verificacin de la respuesta (si corresponde). La realizacin de un trabajo de seguimiento (si corresponde). Un proceso de comunicacin a los niveles adecuados de la alta direccin o del consejo de administracin, que haga hincapi en las respuestas o acciones insatisfactorias, incluyendo la asuncin del riesgo. 2. Si ciertas observaciones y recomendaciones resultan ser tan significativas que requieran accin inmediata por parte de la direccin o del consejo de administracin, la actividad de auditora interna vigila las acciones tomadas hasta que la observacin se haya corregido o la recomendacin se haya implementado. La actividad de auditora interna puede hacer un seguimiento eficaz del progreso mediante lo siguiente: Dirigir las observaciones y recomendaciones del trabajo a los niveles adecuados de la direccin que sean responsables de llevar a cabo la accin correctiva. Recibir y evaluar las respuestas de la direccin y el plan de accin propuesto a las observaciones y recomendaciones del trabajo durante la realizacin del mismo o dentro de un perodo razonable despus de comunicar los resultados del trabajo. Las respuestas son ms tiles si incluyen la informacin suficiente que permita al DAI evaluar la adecuacin y oportunidad de las acciones propuestas.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

190

Consejo para la Prctica 2500-1

Recibir actualizaciones peridicas de parte de la direccin con el fin de evaluar sus esfuerzos para corregir las observaciones e implementar las recomendaciones. Recibir y evaluar informacin de otras unidades de la organizacin que tengan asignada responsabilidad en el seguimiento o las acciones correctivas. Informar a la alta direccin o al consejo de administracin sobre la situacin de las respuestas a las observaciones y recomendaciones del trabajo.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Consejo para la Prctica 2500.A1-1

191

Proceso de Seguimiento
Norma principalmente relacionada 2500.A1 El director de auditora interna debe establecer un proceso de seguimiento para vigilar y asegurar que las acciones de la direccin hayan sido implantadas eficazmente o que la alta direccin haya aceptado el riesgo de no tomar medidas.

Consejo para la Prctica 2500.A1-1


1. Los auditores internos determinan si la direccin ha seguido las medidas o implementado la recomendacin. El auditor interno determina si se alcanzaron los resultados deseados, o si la direccin o el consejo de administracin han asumido el riesgo de no adoptar las medidas o implementar la recomendacin. El seguimiento es un proceso por el cual los auditores internos evalan la adecuacin, eficacia y oportunidad de las medidas tomadas por la direccin con relacin a las observaciones y recomendaciones del trabajo, incluso aquellas efectuadas por los auditores externos y otros. Este proceso tambin incluye determinar si la alta direccin o el consejo de administracin han asumido el riesgo de no tomar medidas correctivas sobre las observaciones informadas. El estatuto de la actividad de auditora interna debera definir la responsabilidad del seguimiento. El director de auditora interna (DAI) determina la naturaleza, oportunidad y alcance del seguimiento, teniendo en cuenta los siguientes factores: La relevancia de las observaciones y recomendaciones informadas. El grado de esfuerzo y coste necesarios para corregir la situacin informada. El impacto que puede derivarse si no se lleva a cabo la accin correctiva. La complejidad de la accin correctiva. El perodo involucrado. 4. El DAI es el responsable de programar las actividades de seguimiento, como parte de la programacin de trabajos a realizar. La programacin del seguimiento se basa en el riesgo y la exposicin al mismo, as como en el grado de dificultad y la cantidad de tiempo necesaria para implantar la accin correctiva.

2.

3.

Marco Internacional para la Prctica Profesional de la Auditora Interna

192

Consejo para la Prctica 2500.A1-1

5.

Cuando el DAI juzgue que la respuesta oral o escrita de la direccin indique que la medida tomada es suficiente con relacin a la importancia relativa de la observacin o recomendacin, los auditores internos pueden hacer el seguimiento como parte del siguiente trabajo. Los auditores internos determinan si las medidas tomadas sobre las observaciones y recomendaciones solucionan los problemas de fondo. Las actividades de seguimiento deberan estar apropiadamente documentadas.

6.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Documentos de posicionamiento y Guas

195

Todos los documentos listados a continuacin y emitidos hasta la fecha, as como futuros desarrollos pueden encontrarse para su descarga electrnica en el rea Standars & Guidance de la pgina web del Instituto Global: www.globaliia.org. Adems algunos de ellos pueden conseguirse en su versin impresa traducida al espaol a travs de la pgina web del Instituto de Auditores Internos de Espaa, en el rea de publicaciones. www.auditoresinternos.es

Documentos de posicionamiento
- El papel de la auditora interna en relacin con la gestin integral de riesgos corporativos. - Alternativas de obtencin de recursos para la funcin de auditora interna.

Guas para la prctica


Las guas para la prctica emitidas hasta la fecha son las siguientes: - Internal Auditing and Fraud. - Auditing External Business Relationships. - Formulating and Expressing Internal Audit Opinions. - Evaluating Corporate Social Responsibility/Sustainable Development. - Auditing Executive Compensation and Benefits. - CAEs - Appointment, Performance Evaluation and Termination. - Measuring Internal Audit Effectiveness and Efficiency. - Assessing the Adequacy of Risk Management.

Marco Internacional para la Prctica Profesional de la Auditora Interna

196

Documentos de posicionamiento y Guas

- Assisting Small Internal Audit Activities in implementing the International Standards for the Professional Practice Guide of Internal Auditing. - Auditing the Control Environment. - Interaction with the Board. - Independence and Objectivity. - Reliance by Internal Audit on Other Assurance Providers. - Coordinating Risk Management and Assurance. - Quality Assurance and Improvement Program. - Evaluating Ethics-related Programs and Activities. - Integrated Auditing. - Auditing Privacy Risks, 2nd Edition (sustituye a GTAG 5). - Developing the Internal Audit Strategic Plan. - Assessing Organizational Governance in the Private Sector. Guas globales de auditora interna de tecnologas de la informacin (GTAG) - GTAG-1 Information Technology Risks and Control, 2nd Edition. - GTAG-2 Change and Patch Management Controls: Critical for Organizational Success, 2nd Edition. - GTAG-3 Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment. - GTAG-4 Management of IT Auditing. - GTAG-5 Managing and Auditing Privacy Risks (sustituida por la 2 Edicin de la Gua Prctica Managing and Auditing Privacy Risks). - GTAG-6 Managing and Auditing IT Vulnerabilities.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Documentos de posicionamiento y Guas

197

- GTAG-7 Information Technology Outsourcing, 2nd Edition. - GTAG-8 Auditing Application Controls. - GTAG-9 Identity and Access Management. - GTAG-10 Business Continuity Management. - GTAG-11 Developing the IT Audit Plan. - GTAG-12 Auditing IT Projects. - GTAG-13 Fraud Prevention and Detection in an Automated World. - GTAG-14 Auditing User-developed Applications. - GTAG-15 Information Security Governance. - GTAG-16 Data Analysis Technologies. - GTAG-17 Auditing IT Governance.

Guas para la evaluacin del riesgo de TI (GAIT) - GAIT The GAIT Methodology. - GAIT for IT General Control Deficiency Assessment. - GAIT for Business and IT Risk.

Marco Internacional para la Prctica Profesional de la Auditora Interna

Instituto de Auditores Internos de Espaa Santa Cruz de Marcenado, 33 28015 Madrid Telfono: 91 593 23 45 Fax: 91 593 29 32 iai@iai.es www.auditoresinternos.es ISBN: 978-84-940290-1-1 Depsito legal: M-428-2013

Diseo y maquetacin: desdecero, estudio grfico Impresin: Alba, S.A.