material de lectura cia 1

El rol del auditor interno en el siglo XXI ©2004 Instituto de Auditores Internos de Argentina

El rol del auditor interno en los

negocios del siglo XXI.

Un aporte del Instituto de Auditores Internos de Argentina

para el apoyo a la preparación de los nuevos contenidos del examen CIA ®

©2004 Instituto de Auditores Internos Parte I El rol de la auditoría interna.

El rol de la auditor interno en el siglo XXI ©2003 Instituto de Auditores Internos de Argentina

Propósito. Destinatarios.

Este libro constituye un esfuerzo del Instituto de Auditores Internos de Argentina para brindar un apoyo en la preparación de su examen CIA ® a todos aquellos candidatos hispanoparlantes y para dar a conocer a los profesionales que trabajan en las áreas de auditoría interna cuáles son las mejores prácticas de la profesión basadas en el Marco para el ejercicio profesional de la Auditoría Interna emitido por el The Institute of Internal Auditors, Inc. Este examen, que ya lleva 30 años de administración exitosa por el The Institute of Internal Auditors, Inc. ha sufrido recientemente una modificación importante en cuanto a su contenido y a la manera de examinación. Luego de encuestas realizadas a través de todo el mundo durante el año pasado el Consejo de Regentes del The Institute of Internal Auditors, Inc. decidió la modificación del temario del examen que está incluyendo nuevos temas tales como manejo estratégico, análisis estructural, ambientes globales de negocios, comportamiento organizacional y habilidades de negocio incluidos en la parte IV del examen. Ciertos contenidos que anteriormente estaban en la parte IV del examen fueron llevados a la parte III, especialmente aquellos relacionados con contabilidad financiera y administrativa. Incluye también una modificación en el tratamiento de los temas de tecnología de la información incorporándolos en las evaluaciones de riesgo y control debido a que la modificación recientemente introducida en las Normas exige un conocimiento de los riesgos y los controles que implican el manejo de la tecnología de la información y de las técnicas de auditoría basadas en la tecnología. Focaliza la acción del auditor en la prevención del fraude, el manejo de los riesgos y los controles y enfatiza la tarea del auditor en su rol de consultor de la alta dirección. Comprende también el tratamiento de los temas relacionados con los procesos de gobierno corporativo y de seguridad y privacidad de datos que alcanzaron gran repercusión a raíz de los sucesos públicamente conocidos y a la aparición de nuevos marcos regulatorios. Implica un gran desafío en la tarea de alinear a la auditoría en la problemática de los negocios del siglo XXI y de ubicar a los auditores internos en particular y a la función de auditoría interna en general en un lugar de privilegio como asesor y consejero de la alta dirección y el consejo. Por último, es necesario agradecer a todos los profesionales que han colaborado en la redacción de este libro y particularmente al Instituto de Auditores Internos de Argentina, a su presidencia, vicepresidencia y honorable comisión directiva por el apoyo y el respaldo brindado en todo momento para llevar adelante este proyecto que hoy se hace realidad. Juan Carlos Bernardi, CIA. Coordinador y co-redactor del proyecto.

©2003 Instituto de Auditores Internos 2 Parte I El rol de la auditoría interna.


Colaboradores:

Dirección: Guillermo Casal, CIA, CISA,CCSA, CFE. Dirección editorial: Carlos Zarlenga. Equipo de redactores: Pablo Fudim, CIA. Adriana Fernández Menta, CIA. Enrique Gonzalvo, CIA. Juan Carlos Bernardi, CIA.



El examen CIA ®. El examen CIA ® es la principal certificación profesional de reconocimiento internacional en el área de la auditoría interna y la marca global de excelencia en auditoría interna. Fue instituido en 1974 y hoy cuentan con la certificación más de 45000 personas alrededor de todo el mundo. El examen CIA es la revisión más completa de la profesión hoy disponible. Los candidatos adquieren gran experiencia, información y técnicas que pueden ser aplicadas a cualquier organización no importa la industria o el tamaño de la que se trate. La designación CIA® está dirigida a las siguientes personas: Directores Ejecutivos de Auditoría Interna. Gerentes de Auditoría. Miembros de equipos de auditoría. Educadores. Capacitadores Estudiantes Gerentes que necesitan actualizar sus conocimientos para diseñar estrategias de negocio

efectivas. Cualquiera que quiera tomar decisiones que agreguen valor a su organización o a su

negocio. El formato actual del examen comprende cuatro partes: Parte I. El rol de la actividad de la auditoría interna en el gobierno, riesgo y control. Parte II Conduciendo los trabajos de auditoría interna. Parte III Análisis del negocio y tecnología de la información. Parte IV Habilidades de administración de negocios.

El Instituto considera que las partes I a III integran un “cuerpo global de conocimientos” mientras que la parte IV constituye un área de conocimiento de administración general de negocios y, para ciertos profesionales, se otorga un crédito por reconocimiento profesional. Formato del examen y fechas. El examen ha modificado recientemente su formato: a partir de mayo del 2004 incluirá 125 preguntas de opción múltiple para cada una de las cuatro partes manteniendo la duración de tres horas y media para cada una de las cuatro partes. El puntaje mínimo para aprobar los exámenes se mantiene en 600 puntos y se incluirán un mínimo de 25 preguntas que no se calificarán. Las fechas se mantienen en dos turnos en mayo y noviembre de cada año. Mayor información disponible sobre el formato de examen, las fechas y los costos de los derechos de examen podrá encontrarse en la página del Instituto de Auditores Internos de Argentina www.iaia.org.ar o en la del de Estados Unidos www.theiia.org.


http://www.iaia.org.ar/


Estructura de la obra. La obra se encuentra estructurada en base a los nuevos lineamientos de los contenidos del examen CIA®. En este sentido la obra se encuentra divida en cuatro partes: Parte I: El rol de la actividad de auditoría interna en el gobierno, riesgo y control.

Parte II: Conduciendo el trabajo de auditoría interna.

Parte III: Análisis del negocio y tecnología de la información.

Parte IV: Habilidades de administración de negocios.

Cada capítulo corresponde a un punto del temario del examen y para las partes I y II se siguieron los lineamientos del Marco para la Práctica Profesional de la Auditoría Interna emitidos por el The Institute of Internal Auditors, Inc. para el desarrollo de los distintos temas. La obra se encuentra actualizada con la última modificación de las Normas cuya vigencia rige desde el 1 de enero del 2004. Al final de cada capítulo se incluye un listado de la bibliografía consultada para elaborar la obra.



PARTE I

EL ROL DE LA AUDITORIA INTERNA EN EL GOBIERNO EL RIESGO Y EL CONTROL.



CAPITULO I. Cumplir con los estándares de atributos. 1. Definir el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna. 2. Mantener independencia y objetividad. 3. Determinar si el conocimiento, habilidades y competencias están disponibles. 4. Desarrollar y/o procurar el conocimiento, habilidades y competencias colectivamente requeridas por la actividad. 5. Ejercitar el debido cuidado profesional. 6. Promover el desarrollo profesional continuo. 7. Promover el aseguramiento de la calidad y la mejora de la actividad de auditoría interna. 8. Estándares para la Práctica Profesional de Auditoría de los Sistemas de Información.

CAPITULO II. Establecer un plan basado en el riesgo. 1. Establecer un marco para evaluar el riesgo. 2. Utilizar el marco. 3. Identificar los requerimientos de recursos. 4. Coordinar los esfuerzos de la actividad de auditoría interna. 5. Seleccionar los trabajos. 6. Identificar el alcance de los trabajos.

CAPITULO III

Entendiendo el rol de la actividad de auditoría interna en el gobierno organizacional.

1. Obtener la aprobación por parte del Consejo de estatuto de Auditoría. 2. Comunicar el plan de trabajo. 3. Reportar asuntos de auditoría significativos.



4. Comunicar indicadores clave al Consejo en forma regular. 5. Discutir áreas de riesgo significativas. 6. Soportar al Consejo en un aseguramiento amplio del riesgo en toda la

organización. 7. Revisar la posición de la función de auditoría interna dentro de la

administración del riesgo de la organización. 8. Monitorear cumplimiento con el código de conducta/y las prácticas del

negocio. 9. Evaluar el clima ético del Consejo y de la organización. 10. Informar eficacia del marco de control 11. Asistir al consejo en la evaluación de la independencia del auditor externo. 12. Evaluar el cumplimiento de políticas en áreas específicas. 13. Conducir el seguimiento y el informe de las respuestas del Consejo a los

cuerpos de revisión regulatorios. 14. Evaluar el mecanismo de informe de la organización al Consejo. 15. Evaluar la adecuación del sistema de medición de desempeño y el

cumplimiento de los objetivos corporativos. 16. Conducir el seguimiento y el reporte de las respuestas de la dirección a la

auditoría externa 17. Desarrollar otros roles y responsabilidades de la auditoría interna.

a) Ética y cumplimiento. b) Administración del riesgo. c) Privacidad. d) Seguridad física y de la información.

CAPITULO IV

Elementos de gobierno, riesgo y control. 1. Modelos alternativos para el gobierno corporativo. 2. Marcos alternativos de control. 3. Conceptos y vocabularios de riesgo. 4. Técnicas de administración de riesgos. 5. Implicaciones de riesgo y control de las diferentes estructuras

organizacionales. 6. Implicaciones de riesgo y control de los distintos estilos de liderazgo. 7. Administración del cambio.



8. Administración del conflicto. 9. Técnicas de administración del control. 10. Tipos de control (preventivo, detectivo).

CAPITULO V. Planificación de trabajos 1. Iniciar y conducir una investigación preliminar en el área del trabajo. 2. Completar una evaluación detallada de los riesgos del área (priorizar o

evaluar los factores de riesgo/control). 3. Coordinar esfuerzos del trabajo de auditoría y establecer/refinar objetivos

del trabajo y finalizar el alcance del trabajo.. 4. Identificar o desarrollar criterios para el aseguramiento de los

trabajos(criterios contra los que medirse). 5. Considerar el potencial de fraude cuando se planifican los trabajos. 6. Determinar procedimientos de trabajo. 7. Establecer un adecuado planeamiento y supervisión del trabajo. 8. Preparar el programa de trabajo.



CAPITULO I. Cumplir con los estándares de atributos. 1. Definir el propósito, la autoridad y la responsabilidad de la actividad de

auditoría interna. 2. Mantener independencia y objetividad. 3. Determinar si el conocimiento, habilidades y competencias están

disponibles. 4. Desarrollar y/o procurar el conocimiento, habilidades y competencias

colectivamente requeridas por la actividad. 5. Ejercitar el debido cuidado profesional. 6. Promover el desarrollo profesional continuo. 7. Promover el aseguramiento de la calidad y la mejora de la actividad de

auditoría interna. 8. Estándares para la Práctica Profesional de Auditoría de los Sistemas de

Información.



Cumplir con los estándares de atributos. El Consejo de Normas de Auditoría Interna (IASB – Internal Auditing Standard Board) es el organismo oficial del IIA, encargado de desarrollar normas profesionales., es decir que la responsabilidad principal del IASB es dictar y mantener las normas actualizadas de manera que constituyan una guía útil para todos los auditores. En junio de 1999, la Junta de Directores del IIA aprobó la definición de Auditoría Interna:

“La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.”

Propósito de las Normas:

Definir principios básicos que representen el ejercicio de la auditoría interna.

□ Proveer un marco para ejercer y promover un amplio rango de actividades de

auditoría interna de valor agregado. □ Establecer las bases para medir el desempeño de la auditoría interna. □ Fomentar la mejora de los procesos y operaciones de la organización.

La actividad de Auditoría Interna se encuentra regida por las Normas y estándares de Auditoría Interna, las que son emitidas por el Instituto de Auditores Internos. Las Normas comprenden: □ Normas sobre Atributos (serie 1000) □ Normas sobre Desempeño (serie 2000) □ Normas de Implementación

Las Normas sobre Atributos tratan sobre las características de la organización y los individuos que desarrollan actividades de auditoría interna. Las Normas sobre Desempeño describen la naturaleza de la actividad de auditoría interna y poseen criterios de calidad contra los cuales pueda medirse la práctica de estos servicios.



Las Normas de Implementación aplican las Normas sobre Atributos y sobre Desempeño a tipos específicos de trabajo. Las Normas son parte del Marco Profesional para la Práctica profesional. El marco para la práctica profesional incluye la definición de auditoría interna, el código de Etica, las Normas y otras guías. Las guías se refieren a cómo las Normas pueden ser aplicadas e incluyen los Consejos para la práctica que son emitidos por el Comité de Asuntos Profesionales del Instituto. En esta primera parte nos vamos a referir las a Normas sobre Atributos, las que se encuentran en la serie 1000 de las Normas y Estándares de Auditoría Interna. Además de los estándares los Auditores Internos deben de cumplir con el Código de Ética de IIA el que según el Glosario del mismo Instituto se define como:

“Código de Ética – El Código de Ética de The Institute of Internal Auditors (IIA) son principios relevantes a la profesión de auditoría interna y reglas de conducta que describen el comportamiento esperado de los auditores internos. El Código de Ética se aplica tanto a las partes o entidades que proporcionen servicios de auditoría interna. El propósito del Código de Ética es promover una cultura ética en la profesión global de la auditoría interna.”

Dicho Código establece los siguientes puntos:

□ La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización.

□ La auditoría interna ayuda a la organización a cumplir sus objetivos

aportando un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de los procesos de gestión de riesgo, control y dirección.

El Código de Ética abarca más que la definición de auditoría interna, llegando a incluir dos componentes esenciales:

1. Principios que son relevantes para la profesión y práctica de la auditoría interna. 2. Reglas de conducta que describen las normas de comportamiento que se espera sean observadas por los auditores internos.

Además de las normas el Instituto emite los Consejos para la Práctica, que equivalen a los lineamientos no-obligatorios que representan el grueso de lo que contenían los Normas anteriores. Los Consejos para la Práctica han sido desarrollados utilizando algunos de los lineamientos anteriores y creando nuevos en áreas no cubiertas anteriormente. Aunque no son obligatorios, representan los mejores enfoques y clarificaciones apoyadas por el IIA como formas para implementar las Normas. En parte, los Consejos para la Práctica



pueden ayudar a interpretar las Normas o aplicarlos en ambientes específicos de auditoría interna.

1. Definir propósito, autoridad y responsabilidad de la actividad de auditoría interna.

El Standard 1000 - Propósito, Autoridad y Responsabilidad establece:

El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben estar formalmente definidos en un estatuto, de conformidad con las Normas, y estar aprobados por el Consejo. El Consejo para la Práctica 1000-1: Estatuto de Auditoría Interna, establece: Los auditores internos deben tener en cuenta las siguientes sugerencias al establecer un Estatuto de auditoría interna. Esta guía no pretende abarcar todas las consideraciones que pudieran ser necesarias al adoptar un Estatuto, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional. 1. El propósito, la autoridad y la responsabilidad de la actividad de auditoría

interna deben estar formalmente definidos en un Estatuto. El director ejecutivo de auditoría debe conseguir su aprobación por la dirección y su aceptación por el Consejo, el Comité de Auditoría u otras autoridades de gobierno correspondientes. El Estatuto debe (a) establecer la posición de la actividad de auditoría interna dentro de la organización, (b) autorizar el acceso a los registros, al personal y a los bienes relevantes para la ejecución de los trabajos, y (c) definir el ámbito de actuación de las actividades de auditoría interna.

2. El Estatuto de la actividad de auditoría interna debe estar por escrito. Un

documento escrito proporciona una comunicación formal que permite la revisión y aprobación por parte de la dirección y la aceptación por parte del Consejo. Además, facilita la evaluación periódica de la adecuación del propósito, autoridad y responsabilidad de la actividad de auditoría interna. Contar con este documento escrito formal es crítico para administrar la función de auditoría dentro de la organización. El propósito, la autoridad y la responsabilidad deben estar definidos y comunicados, de modo de establecer la función de la actividad de auditoría interna y de proporcionar una base para la dirección y para el Consejo en su evaluación de las operaciones de la función. En caso de presentarse alguna cuestión, el Estatuto también proporcionará un acuerdo formal, escrito, con la dirección y con el Consejo respecto de la


http://www.theiia.org/iia/index.cfm?doc_id=2363


función y responsabilidades de la actividad de auditoría interna dentro de la organización.

3. El director ejecutivo de auditoría debe evaluar periódicamente si el propósito,

la autoridad y la responsabilidad, según se definen en el Estatuto, continúan siendo adecuados para permitir que la actividad de auditoría interna cumpla sus objetivos. El resultado de esta evaluación periódica debe comunicarse a la dirección y al Consejo.

1000.A1 – La naturaleza de los servicios de aseguramiento proporcionados a la organización debe estar definida en el estatuto de auditoría. Si los servicios de aseguramiento fueran proporcionados a terceros ajenos a la organización, la naturaleza de esos servicios también deberá estar definida en el estatuto. 1000.C1 – La naturaleza de los servicios de consultoría debe estar definida en el estatuto de auditoría. El Consejo para la Práctica de la Interpretación de la Norma 1000.C1 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece: Naturaleza de este Consejo para la Práctica: La definición de auditoría interna establece que "La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno". Se recuerda a los auditores internos que las Normas sobre Atributos y sobre Desempeño se refieren a los auditores internos que realizan trabajos de aseguramiento así como trabajos de consultoría. Este Consejo establece amplios parámetros para ser tenidos en cuenta en todos los trabajos de consultoría. La consultoría puede abarcar un amplio rango, desde trabajos formales, definidos por acuerdos escritos, hasta actividades de consulta, tales como la participación en comités permanentes o temporarios de la dirección o en equipos de proyectos. Los auditores internos deberán utilizar su criterio profesional para determinar el grado de aplicación de la guía proporcionada por este Consejo en cada situación en particular. Los trabajos especiales de consultoría, tales como la participación en un proyecto de fusión o adquisición, o en trabajos de emergencia, tales como la recuperación de desastres, pueden requerir desviarse de los procedimientos normales o establecidos para realizar trabajos de consultoría. Los auditores internos deben tener en cuenta los siguientes principios guía al desempeñar trabajos de consultoría. Esta guía no pretende abarcar todas las consideraciones que puedan ser necesarias al desempeñar un trabajo de consultoría, y los auditores internos deberán tomar precauciones adicionales para determinar que la dirección y el Consejo de Administración comprendan y acuerden con el concepto, las guías operativas, y las comunicaciones requeridas en



el desempeño de servicios de consultoría. El cumplimiento de este Consejo para la Práctica es opcional. 1. Proposición de Valor – La proposición de valor de la actividad de auditoría interna tiene lugar dentro de cada organización que emplea a los auditores internos de manera que favorezcan a la cultura y recursos de esa organización. La proposición de valor está contemplada en la definición de auditoría interna y comprende las actividades de aseguramiento y consulta concebidas para agregar valor a la organización, aportando un enfoque sistemático y disciplinado a las áreas de gobierno, riesgo y control. 2. Consistencia con la Definición de Auditoría Interna – Una metodología de evaluación sistemática y disciplinada forma parte de cada actividad de auditoría interna. La lista de servicios puede ser generalmente incorporada a las amplias categorías de aseguramiento y consultoría. Sin embargo, estos servicios también pueden incluir formas más evolucionadas de servicios de valor agregado que sean consistentes con la amplia definición de auditoría interna. 3. Actividades de Auditoría Distintas del Aseguramiento y la Consultoría – Hay múltiples servicios de auditoría interna. El aseguramiento y la consultoría no son excluyentes entre sí, y no impiden realizar otro tipo de servicios de auditoría, tales como investigaciones y funciones distintas de auditoría. Muchos de los servicios de auditoría tendrán ambos roles, tanto el de aseguramiento como el de consultoría. 4. Interrelaciones entre Aseguramiento y Consultoría – La consultoría de auditoría interna enriquece a la auditoría interna de valor agregado. Si bien la consultoría es muy a menudo el resultado directo de los servicios de aseguramiento, debemos reconocer también que el aseguramiento puede estar, a su vez, generado por los trabajos de consultoría. 5. La Consultoría Impulsada por el Estatuto de Auditoría Interna – Los auditores internos han desempeñado tradicionalmente diversos tipos de servicios de consultoría, como el análisis de controles incluidos en sistemas en desarrollo, el análisis de productos de seguridad, la participación en equipos de trabajo para analizar operaciones y efectuar recomendaciones, y demás. El Consejo de Administración (o el Comité de Auditoría) debe propiciar que la actividad de auditoría interna preste servicios adicionales siempre que no representen un conflicto de intereses o le aparten de sus obligaciones frente al Comité. Esto debe estar reflejado en el Estatuto de auditoría interna. 6. Objetividad – Los servicios de consultoría pueden mejorar el entendimiento que tenga el auditor interno de los procesos de negocios o de cuestiones relacionadas con un trabajo de aseguramiento, y no necesariamente afectan la objetividad del auditor o de la actividad de auditoría interna. La auditoría interna no es una función de toma de decisiones gerenciales. Las decisiones de adoptar o implantar las recomendaciones originadas en un servicio de consultoría realizado por auditoría interna debe tomarlas la dirección. En consecuencia, la objetividad de



auditoría interna no debería verse afectada por las decisiones tomadas por la dirección. 7. Fundamentos de Auditoría Interna para los Servicios de Consultoría– Muchos de los servicios de consultoría son una extensión natural de los servicios de aseguramiento e investigación, y pueden representar consejos formales o informales, análisis, o evaluaciones. La actividad de auditoría interna está excelentemente posicionada para desempeñar este tipo de trabajos de consultoría, basándonos en (a) su cumplimiento de las normas más elevadas de objetividad, y (b) su extenso conocimiento de los procesos, riesgos y estrategias de la organización. 8. Comunicación de Información Fundamental – Uno de los valores principales de auditoría interna es brindar aseguramiento a la alta dirección y a los directores del comité de auditoría. Los trabajos de consultoría no pueden ser realizados de forma que oculten información que, a criterio del director ejecutivo de auditoría, deba ser presentada a la alta dirección y a los miembros del Consejo de Administración. Todo tipo de consultoría debe ser entendido dentro de ese contexto. 9. Principios de Consultoría Comprendidos por Toda la Organización – Las organizaciones deben tener reglas de procedimiento para el desempeño de servicios de consultoría, de modo que sean entendidos por todos sus miembros. Estas reglas deben estar incluidas en el Estatuto de auditoría aprobado por el comité de auditoría y promulgado en la organización. 10. Trabajos de Consultoría Formales – La dirección contrata a menudo consultores externos para trabajos formales de consultoría que duran un período significativo. Sin embargo, la organización puede encontrar que su función de auditoría interna está calificada de forma excelente para realizar determinadas tareas de consultoría formales. Si una actividad de auditoría interna emprende un trabajo de consultoría formal, el grupo de auditoría interna debe aportar un enfoque disciplinado y sistemático a la realización de ese trabajo. 11. Responsabilidades del Director Ejecutivo de Auditoría – Los servicios de consultoría permiten al director ejecutivo de auditoría establecer un diálogo con la dirección para resolver determinados asuntos de la gestión. En este diálogo, la extensión del trabajo y su calendario deben responder a las necesidades de la dirección. Sin embargo, el director ejecutivo de auditoría mantiene la prerrogativa de establecer las técnicas de auditoría y el derecho de informar a la alta dirección y a los miembros del comité de auditoría cuando la naturaleza y materialidad de los resultados presenten riesgos significativos para la organización. 12. Criterios para Resolver Conflictos o Asuntos Imprevistos – Un auditor interno es, ante todo, un auditor interno. En consecuencia, en el desempeño de todo tipo de servicios el auditor interno deberá guiarse por el Código de Ética y las Normas sobre Atributos y sobre Desempeño pertenecientes a las Normas para el Ejercicio Profesional de la Auditoría Interna, todos ellos del IIA. Cualquier tipo de conflictos



o asuntos imprevistos deberán ser resueltos de manera consistente con el Código de Ética y las Normas mencionadas Interpretación de la Norma 1000.C1 (y otras Normas de Implantación de Consultoría relacionadas) de las Normas para el Ejercicio Profesional de la Auditoría Interna Este Consejo para la Práctica establece una guía profesional referida a múltiples Normas de Implantación de Consultoría. Además de la ya mencionada

Norma 1000.C1, esta guía comprende también las Normas 1130.C1 y C2; 1210.C1; 1220.C1; 2010.C1; 2110.C1 y C2; 2120.C1 y C2; 2130.C1; 2201.C1; 2210.C1; 2220.C1; 2240.C1; 2330.C1; 2410.C1; 2440.C1 y C2; y 2500.C1. La referencia a cada una de las mencionadas Normas está indicada entre paréntesis en los títulos de este Consejo para la Práctica Naturaleza de este Consejo para la Práctica: Este Consejo para la Práctica cubre un tema similar al del Consejo 1000.C1-1, que comenta los Principios que Guían el Desempeño de los Servicios de Consultoría. Ambos Consejos son de utilidad para el auditor interno en el desempeño de sus actividades de consultoría. La definición de auditoría interna establece que “La auditoría interna es una actividad independiente de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.” Se recuerda a los auditores internos que las Normas sobre Atributos y sobre Desempeño se refieren a los auditores internos que realizan trabajos de aseguramiento así como trabajos de consultoría. Este Consejo establece amplios parámetros para ser tenidos en cuenta en los trabajos formales de consultoría. La consultoría puede abarcar un amplio rango, desde trabajos formales, definidos por acuerdos escritos, hasta actividades de consulta, tales como la participación en comités permanentes o temporarios de la dirección o en equipos de proyectos. Los auditores internos deberán utilizar su criterio profesional para determinar el grado de aplicación de la guía proporcionada por este Consejo en cada situación en particular. Los trabajos especiales de consultoría, tales como la participación en un proyecto de fusión o adquisición, o en trabajos de emergencia (por ejemplo, la revisión de actividades de recuperación de desastres), pueden requerir desviarse de los procedimientos normales o establecidos para realizar trabajos de consultoría. Los auditores internos deben tener en cuenta las siguientes sugerencias al desempeñar trabajos de consultoría formales. Esta guía no pretende abarcar todas las consideraciones que puedan ser necesarias al desempeñar un trabajo de consultoría, y los auditores internos deberán tomar precauciones adicionales para determinar que la dirección y el Consejo de Administración comprendan y acuerden con el concepto, las guías operativas, y las comunicaciones requeridas en el desempeño de servicios de consultoría formales.



Definición de Servicios de Consultoría 1. El Glosario de las Normas define a los “servicios de consultoría” de la siguiente manera: “Son las actividades de consulta y otras, relacionadas con los servicios al cliente, cuya naturaleza y alcance son acordados con el cliente y que están orientadas a agregar valor y mejorar los procesos de gobierno, manejo de riesgos y control sin que el auditor asuma una responsabilidad directiva.Por ejemplo: asesoramiento, consejo, facilitación y formación.” 2. El Director Ejecutivo de Auditoría debe establecer la metodología a utilizar para clasificar los trabajos dentro de la organización. En determinados casos, puede ser apropiado realizar un trabajo “combinado” que incluya elementos tanto de consultoría como de aseguramiento dentro de un enfoque consolidado. En otros, puede ser apropiado distinguir los componentes de aseguramiento de los de consultoría. 3º Los auditores internos podrán realizar servicios de consultoría ya sea como parte de sus actividades normales o rutinarias, así como en respuesta a las solicitudes de la dirección. Cada organización deberá considerar el tipo de actividades de consultoría que serán ofrecidas y determinar si se desarrollarán políticas o procedimientos especiales para cada tipo de actividad. Algunas posibles categorías podrían ser:

• Trabajos de consultoría formales – planificados y sujetos a un acuerdo escrito.

• Trabajos de consultoría informales – actividades rutinarias, tales como la

participación en comités permanentes, proyectos de tiempo limitado, reuniones ad-hoc, o el intercambio rutinario de información.

• Trabajos de consultoría especiales – participación en un equipo de fusión y

adquisición, o de conversión de un sistema. • Trabajos de consultoría de emergencia – participación en un equipo

establecido para la recuperación o mantenimiento de operaciones después de un desastre u otros eventos extraordinarios de negocio, o en un equipo formado para proporcionar ayuda temporaria para cumplir con un pedido especial o un vencimiento inusual.

4. Los auditores, en general, no deben acordar la realización de un trabajo de consultoría simplemente para evitar, o permitir que otros eviten, los requisitos que normalmente se aplicarían a un trabajo de aseguramiento si el servicio en cuestión fuera realizado más apropiadamente como un trabajo de aseguramiento. Esto no significa que no deban ajustarse las metodologías en el caso de trabajos que una vez fueron de aseguramiento y luego se ha juzgado más conveniente realizarlos como trabajos de consultoría.



Independencia y Objetividad en Trabajos de Consultoría (Norma 1130.C1) 5. A los auditores internos se les solicita en algunas ocasiones proporcionar servicios de consultoría referidos a operaciones por las cuales han tenido responsabilidades previas o en las cuales han realizado servicios de aseguramiento. Antes de ofrecer servicios de consultoría, el director ejecutivo de auditoría debe confirmar que el Consejo de Administración comprende y aprueba el concepto de proporcionar servicios de consultoría. Una vez aprobado, el Estatuto de auditoría interna debe adecuarse de modo que incluya la autoridad y responsabilidades para realizar este tipo de trabajos, y la actividad de auditoría interna debe confeccionar las políticas y procedimientos adecuados para realizar los mismos. 6. Los auditores internos deben mantener su objetividad al sacar conclusiones y ofrecer su consejo a la dirección. Si existieran impedimentos a la independencia u objetividad previos al comienzo de un trabajo de consultoría, o si aparecieran durante el desarrollo del trabajo, debe declararse esta situación inmediatamente a la dirección. 7. La independencia y la objetividad pueden verse menoscabadas si se proporcionan servicios de aseguramiento dentro del año siguiente a haber realizado un trabajo de consultoría formal. Se pueden tomar algunas medidas para minimizar los efectos de este impedimento a la independencia y objetividad, asignando diferentes auditores para cada uno de los servicios, estableciendo una supervisión y gerencia independientes, definiendo responsabilidades separadas para los resultados de los proyectos, y declarando los impedimentos supuestos. La dirección debe ser la responsable de aceptar e implantar las recomendaciones. 8. Debe tenerse cuidado, en especial en los trabajos de consultoría que sean continuos por su propia naturaleza, de que los auditores internos no asuman inadecuadamente o sin intenciones responsabilidades gerenciales que no estaban entre los objetivos originales y alcance del trabajo. Debido Cuidado Profesional en Trabajos de Consultoría (Normas 1210.C1, 1220.C1, 2130.C1, y 2201.C1) 9.º El auditor interno debe ejercer el debido cuidado profesional al realizar un trabajo de consultoría formal, mediante la comprensión de lo siguiente:

• Las necesidades de la dirección, incluyendo la naturaleza, oportunidad y comunicación de los resultados del trabajo.

• Las posibles motivaciones y razones de aquellos que solicitan el servicio. • La extensión del trabajo necesario para alcanzar los objetivos del trabajo. • Las habilidades y recursos necesarios para realizar el trabajo.



• El efecto sobre el alcance del plan de auditoría previamente aprobado por el comité de auditoría.

• El impacto potencial sobre futuros trabajos y asignaciones de auditoría. • Los beneficios potenciales para la organización, originados en ese trabajo.

10. Además de la evaluación de la independencia y objetividad y de las consideraciones respecto del debido cuidado profesional mencionado anteriormente, el auditor interno debe:

• Realizar las reuniones apropiadas y obtener la información necesaria para

evaluar la naturaleza y extensión del servicio que va a proporcionar. • Confirmar que aquellos que recibirán el servicio comprenden y acuerdan

con la guía relevante contenida en el Estatuto de auditoría interna, las políticas y procedimientos de la actividad de auditoría interna, y otras guías relacionadas con la conducción de trabajos de consultoría. El auditor interno no debería aceptar la realización de trabajos de consultoría que estén prohibidos en los términos del Estatuto de auditoría interna, que entren en conflicto con la actividad de auditoría interna, o que no agreguen valor y promocionen los mejores intereses para la organización.

• Evaluar el trabajo de consultoría en cuanto a su compatibilidad con el plan

general de trabajo de la actividad de auditoría interna. El plan de trabajo basado en riesgos de la actividad de auditoría interna puede incorporar y contar con los trabajos de consultoría, en la extensión que se considere apropiada, de modo de proporcionar la cobertura de auditoría necesaria para la organización

• Documentar los términos generales, acuerdos, entregas, y otros factores

clave del trabajo de consultoría formal en un acuerdo o plan escrito. Es esencial que tanto el auditor interno como aquellos que reciban el trabajo de consultoría comprendan y acuerden con los requisitos de información y comunicación.

Alcance del Trabajo para el Caso de Consultoría (Normas 2010.C1, 2110.C1 y C2, 2120.C1 y C2, 2201.C1, 2210.C1, 2220.C1, 2240.C1, y 2440.C2) 11. Según lo mencionado anteriormente, los auditores internos deben alcanzar un entendimiento de los objetivos y alcance del trabajo de auditoría con aquellos que recibirán el servicio. Cualquier reserva sobre el valor, beneficio, o posibles implicancias negativas del trabajo de consultoría debe ser comunicada a aquellos que reciben el servicio. Los auditores internos deben establecer el alcance del trabajo de modo de asegurar que el profesionalismo, integridad, credibilidad y reputación de la actividad de auditoría interna serán mantenidos.



12. Al planificar trabajos de consultoría formales, los auditores internos deben diseñar objetivos que alcancen las necesidades apropiadas de las gerencias que reciban estos servicios. En el caso de solicitudes especiales por parte de la dirección, los auditores internos pueden considerar las siguientes acciones si creen que los objetivos que deberían lograrse van más lejos de aquellos solicitados por la dirección:

• Persuadir a la dirección para que incluya los objetivos adicionales al

trabajo de consultoría. • Documentar el hecho de que no se aspiró a aquellos objetivos y declararlo

en la comunicación final del resultado del trabajo de consultoría; e • Incluir los objetivos en un trabajo de aseguramiento separado y

subsiguiente. 13. Los programas de trabajo para las consultorías formales deben documentar los objetivos y el alcance del trabajo, así como la metodología a utilizar para satisfacer los objetivos. La forma y el contenido de programa podrá variar dependiendo de la naturaleza del trabajo. Al establecer el alcance del trabajo, los auditores internos pueden expandir o limitar el mismo de modo de satisfacer la solicitud de la dirección. Sin embargo, el auditor interno debe satisfacerse de que el alcance proyectado sea el adecuado para alcanzar los objetivos del trabajo. Los objetivos, alcance y términos del trabajo deben ser periódicamente reevaluados y ajustados durante el transcurso del trabajo. 14. Los auditores internos deben observar la eficacia de los procesos de gestión de riesgos y control durante los trabajos de consultoría formales. Las exposiciones significativas al riesgo o las debilidades materiales de control deben ser llevadas a la atención de la dirección. En algunas situaciones, las preocupaciones del auditor también deberían ser comunicadas a la dirección ejecutiva, al comité de auditoría, y/o al Consejo de Administración. Los auditores deben utilizar su juicio profesional (a) para determinar la significatividad de las exposiciones o debilidades y las acciones tomadas o contempladas para mitigar o corregir las mismas, y (b) para indagar las expectativas de la dirección ejecutiva, el comité de auditoría y el Consejo de ser informados sobre estos asuntos. Comunicación de Resultados de los Trabajos de Consultoría (Normas 2410.C1 y 2440.C1) 15. La comunicación del avance y los resultados de los trabajos de consultoría variará en forma y contenido según la naturaleza del trabajo y las necesidades del cliente. Los requerimientos de información están generalmente determinados por quienes solicitan el servicio de consultoría, y deberían cumplir con los objetivos determinados y acordados con la dirección. Sin embargo, el formato para comunicar los resultados del trabajo de consultoría debe describir claramente la naturaleza del trabajo y cualquier limitación, restricción u otro factor que los usuarios de la información debieran conocer.



16. En determinadas circunstancias, el auditor interno puede concluir que los resultados deben ser comunicados más allá de aquellos que recibieron o solicitaron el servicio. En tales casos, el auditor interno debe extender la información, de modo que los resultados sean comunicados a las partes apropiadas. Al extender la información a otras partes, el auditor deberá seguir los siguientes pasos hasta lograr satisfacerse de la resolución del asunto:

• Primero, determinar qué directiva está proporcionada en el acuerdo

respecto del trabajo de consultoría y sus comunicaciones. • Segundo, intentar convencer a aquellos que reciben o solicitan el servicio de

extender voluntariamente la comunicación a las partes apropiadas. • Tercero, determinar qué guía está proporcionada en el Estatuto de auditoría

interna o en las políticas y procedimientos de la actividad de auditoría respecto de las comunicaciones de consultoría.

• Cuarto, determinar qué guía es proporcionada por el código de conducta de

la organización, el código de ética, u otras políticas, procedimientos o directivas administrativas al respecto.

• Quinto, determinar qué guía es proporcionada por las Normas y el Código

de Ética del IIA, otras normas o códigos aplicables al auditor, y cualquier requerimiento legal o de regulación referido al asunto en cuestión.

17. Los auditores internos deben declarar a la dirección, al comité de auditoría, al Consejo de Administración u otro cuerpo de gobierno de la organización, la naturaleza, alcance y resultados generales de los trabajos de consultoría formales junto con los informes de las actividades de auditoría interna. Los auditores internos deben mantener informados a la dirección ejecutiva y al comité de auditoría sobre cómo están siendo distribuidos los recursos de auditoría. No se requiere comunicar ni los informes detallados ni los resultados específicos de estos trabajos de consultoría. Pero debería comunicarse una adecuada descripción de estos tipos de trabajos y sus recomendaciones significativas. Esto es esencial para cumplir con la responsabilidad del auditor interno, de acuerdo con la Norma 2060, Informe al Consejo de Administración y a la Dirección Superior Requerimientos de Documentación para los Trabajos de Consultoría (Norma 2330.C1) 18. Los auditores internos deben documentar las tareas realizadas para alcanzar los objetivos de un trabajo de consultoría formal y para soportar sus resultados. Sin embargo, los requerimientos de documentación aplicables a los trabajos de aseguramiento no necesariamente son aplicables a los de consultoría. 19. Se alienta a los auditores internos a adoptar políticas apropiadas de retención de registros y a resolver cuestiones relacionadas, tales como la propiedad de los



registros de los trabajos de consultoría, de modo de proteger adecuadamente a la organización y evitar potenciales malentendidos en el caso de solicitud de estos registros. Las situaciones que impliquen procedimientos legales, exigencias reguladoras, cuestiones tributarias y asuntos contables, pueden requerir un manejo especial de ciertos registros del trabajo de consultoría. Supervisión de Trabajos de Consultoría (Norma 2500.C1) 20. La actividad de auditoría interna debe supervisar los resultados de los trabajos de consultoría, hasta el punto que se haya acordado con el cliente. Diversos tipos de supervisión pueden ser adecuados para los diversos tipos de trabajos de consultoría. La tarea de supervisión puede depender de factores tales como el interés explícito que tenga la dirección en ese trabajo, o la evaluación de los riesgos del proyecto que efectúe el auditor interno, o el valor para la organización.

De acuerdo al Glosario de Normas del IIA estatuto (charter) de la actividad de Auditoría Interna es un documento formal escrito que define el objetivo, autoridad y responsabilidad de la actividad de Auditoría Interna. El estatuto (charter) debe:

a) establecer la posición de la actividad de Auditoría Interna dentro de la organización; b) autorizar el acceso a los registros, al personal y a los bienes pertinentes para la ejecución de los trabajos; y c) definir el ámbito de actuación de las actividades de Auditoría Interna

En lo que respecta al Estatuto no alcanza con que la organización lo tenga, sino que el mismo debe ser distribuido en toda la organización, a fin de que se conozca la autoridad que le ha sido otorgada a la Auditoría Interna para que lleve a cabo su trabajo. Como ya dijimos anteriormente el estatuto (charter) es el que le confiere a la Auditoría Interna su autoridad, razón por la cual en el mismo debe constar que el director de la auditoría esta autorizado para dirigir un programa de Auditoría Interna que le permita abarcar toda la organización. Dado que la Auditoría interna es la encargada de examinar y evaluar la adecuación y efectividad de los sistemas de control, tanto el director de auditoría como los miembros del personal de auditaría deben estar autorizados para tener acceso completo, libre e irrestricto a todos los registros, bienes y personal de la organización. Debemos interpretar que el Propósito de la actividad de Auditoría Interna es el Objetivo mismo de la Dirección o Departamento de Auditoría Interna. El propósito (Objetivo) principal de la Auditoría Interna es asistir a los miembros de la organización (Gerencias y Directorio) en el cumplimiento de sus responsabilidades, en consecuencia la Auditoría Interna tendrá como misión la siguiente:



□ Revisar a intervalos periódicos si en la organizaron se están ejerciendo

correctamente las funciones de planificación, organización, dirección y control. □ Determinar la adecuación y efectividad de los sistemas de contabilidad,

controles internos y operativos de la organización. □ Revisar la confiabilidad e integridad de la información financiera, así como los

medios utilizados para identificar, medir, clasificar y presentar dicha información.

□ Revisar los medios utilizados para salvaguardar los bienes, además de verificar

la existencia de dichos activos. □ Evaluar la economía y eficiencia con las cuales se han empleado los recursos. □ Revisar las operaciones y programas para determinar si los resultados son

coherentes con los objetivos y metas establecidos, y si fueron llevados a cabo de acuerdo con lo planificado.

□ Coordinar los esfuerzos de la Auditoría Interna con los de los auditores

externos. □ Revisar el cumplimiento de las directivas de la organización sobre la ética

comercial. □ Presentar los planes anuales de auditoría al Directorio y al Comité de Auditoría

para su revisión y aprobación □ Informar periódicamente al Comité de Auditoría de las tareas desarrolladas y

sus resultados. □ Informar a las gerencias auditadas los resultados de los exámenes de auditoría,

las opiniones y las recomendaciones realizadas. □ Evaluar los planes y medidas tomadas para corregir las condiciones informadas.

Si la medida correctiva, es considerada insatisfactoria, seguir debatiendo el tema para lograr una disposición aceptable.

□ Disponer un adecuado seguimiento para asegurar que se tomen las medidas

correctivas adecuadas y que las mismas sean efectivas.

Como ya se menciono anteriormente la Autoridad de la Auditoría Interna también se debe encontrar definida en el estatuto (charter), el cual debe establecer la jerarquía de la Auditoría Interna dentro de la organización.



Para lo cual el nivel organizacional del que dependa la Auditoría Interna debe ser tal que le asegure una adecuada consideración y acción ante las recomendaciones de la auditoría, es decir que debe encontrarse dependiendo del nivel más alto de la organización. Dicha dependencia debe asegurar la independencia y promover una amplia cobertura de la auditoría. Al referirnos a Responsabilidad lo hacemos teniendo en cuenta que los Auditores Internos tenemos la obligación de cumplir no solo con las Normas de Auditoría sino también con el Código de Ética. Además seremos responsables de realizar nuestra tarea con profesionalismo, objetividad y discreción, teniendo en cuenta que los documentos, información, e informes que conozcamos son confidenciales. La Responsabilidad de la Auditoría Interna recae directamente y en primer lugar sobre el Director Ejecutivo de Auditoría , quien será el responsable de:

□ Establecer las políticas necesarias para el desarrollo de la actividad de la

Auditoría, ejerciendo la dirección de sus funciones técnicas y administrativas □ Desarrollar y ejecutar un programa de auditoría amplio que le permita evaluar

los controles administrativos establecidos sobre la actividad propia de la organización.

□ Examinar todos los niveles de la organización para el cumplimiento de las

políticas y procedimientos establecidos. □ Recomendar las mejoras necesarias en los controles administrativos destinados

a salvaguardar los recursos y bienes, promover el crecimiento de la organización y asegurar el cumplimiento de las leyes y normas del gobierno.

□ Revisar que los procedimientos y los registros sean adecuados para cumplir con

los objetivos fijados por la organización, y evaluar las políticas y planificaciones relacionadas con la actividad o función bajo revisión de auditoría.

□ Autorizar la publicación y/o distribución de los informes de Auditoría Interna

sobre los resultados de los exámenes realizados, incluyendo en el mismo, las recomendaciones de mejoras propuestas.

□ Evaluar la adecuación de las medidas tomadas por las gerencias auditadas para:

1) corregir las condiciones deficientes informadas por la Auditoría Interna; 2) aceptar las medidas correctivas propuestas y adecuadas; 3) continuar las revisiones en forma conjunta con el personal gerencial adecuado, sobre todas aquellas medidas que el director de auditoría considera inadecuadas hasta tanto se logre una resolución satisfactoria del tema.



□ Realizar exámenes especiales a solicitud de la gerencia, incluyendo las revisiones de las declaraciones o confirmaciones realizadas por personas ajenas a la organización.

En lo que respecta en particular a la actividad de Consultaría, norma 1000.C1 - La naturaleza de los servicios de consultoría debe estar definida en el estatuto de auditoría.

2. Mantener independencia y objetividad. 1100 - Independencia y Objetividad

La actividad de auditoría interna debe ser independiente, y los auditores internos deben ser objetivos en el cumplimiento de su trabajo. El Consejo para la Practica 1100-1: Independencia y Objetividad de para la Interpreta la Norma 1100 de la Normas para el Ejercicio Profesional de la Auditoría Interna, establece: Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias al evaluar la independencia y objetividad. Esta guía no pretende abarcar todas las consideraciones que pudieran ser necesarias al realizar tal evaluación, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional. 1. Los auditores internos son independientes cuando pueden realizar su trabajo

libre y objetivamente. La independencia permite a los auditores internos emitir juicios imparciales y equilibrados, lo cual es esencial para realizar adecuadamente los trabajos. Esto se consigue con objetividad y con la existencia de un nivel jerárquico determinado dentro de la organización.

1110 - Independencia de la Organización

El director ejecutivo de auditoría debe responder ante un nivel jerárquico tal dentro de la organización que permita a la actividad de auditoría interna cumplir con sus responsabilidades. El Consejo para la Práctica 1110-1: Independencia de la Organización que interpreta la Norma 1110 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece:

Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias al evaluar la independencia de la organización. Esta guía no pretende abarcar todas las consideraciones que pudieran ser necesarias durante dicha evaluación, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional.




1. Los auditores internos deben tener el apoyo de la dirección y del

Consejo, de tal forma que puedan obtener la cooperación de sus clientes y realizar el trabajo libre de interferencias.

2. El director ejecutivo de auditoría debe depender, en la organización,

de una persona con suficiente autoridad para promover la independencia y garantizar una amplia cobertura de la auditoría, así como la adecuada consideración de las comunicaciones del trabajo y de las acciones apropiadas sobre las recomendaciones efectuadas.

3. Idealmente, el director ejecutivo de auditoría debería reportar

funcionalmente al comité de auditoría, al Consejo de Administración, u otras autoridades de gobierno apropiadas, y administrativamente al director general (chief executive officer) de la organización.

4. El director ejecutivo de auditoría debe tener comunicación directa con

el Consejo, el comité de auditoría u otras autoridades de gobierno apropiadas. La comunicación directa con el Consejo ayuda a asegurar la independencia y es un medio para que, tanto el Consejo como el director ejecutivo de auditoría, se informen mutuamente en cuestiones de interés para ambos.

5. La comunicación directa tiene lugar cuando el director ejecutivo de

auditoría asiste y participa regularmente en las reuniones del Consejo, del comité de auditoría o de otras autoridades de gobierno apropiadas, que tratan de las responsabilidades de supervisión de éstos sobre la auditoría, la información financiera, el gobierno de la organización, y el control. La asistencia y participación del director ejecutivo de auditoría a dichas reuniones proporciona una oportunidad para intercambiar información concerniente a los planes y actividades de la actividad de auditoría interna. El director ejecutivo de auditoría debe reunirse en privado con el Consejo, el comité de auditoría u otras autoridades de gobierno apropiadas, al menos una vez al año.

6. La independencia se reafirma cuando el Consejo interviene en el

nombramiento o cese del director ejecutivo de auditoría.

El Consejo para la Práctica 1110-2: Líneas de Reporte del Director Ejecutivo de Auditoría que Interpreta la Norma 1110 de las Normas para el Ejercicio Profesional de la Auditoría Interna

Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta la siguiente guía al establecer o evaluar las líneas de reporte y relaciones con los ejecutivos de la organización a quienes reporta el director ejecutivo de auditoría. Esta guía no pretende abarcar todas las consideraciones que puedan ser necesarias durante tal evaluación, sino ser



simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional.

1. Las Normas para el Ejercicio Profesional de la Auditoría Interna (las Normas) del IIA requieren que el director ejecutivo de auditoría (DEA) reporte a un nivel jerárquico tal dentro de la organización que permita a la actividad de auditoría interna cumplir con sus responsabilidades. El Instituto considera firmemente que para alcanzar la independencia necesaria, el DEA debe reportar funcionalmente al comité de auditoría o su equivalente. Para propósitos administrativos, en la mayoría de las circunstancias, el DEA debe reportar directamente al Director General (chief executive officer - CEO) de la organización. A continuación se proporciona una descripción de lo que el IIA considera “reporte funcional” y “reporte administrativo” para ayudar a centrar el tema tratado en este Consejo para la Práctica.

• Reporte Funcional – La línea de reporte funcional para la función de

auditoría interna es el recurso fundamental para su independencia y autoridad. Como tal, el IIA recomienda que el DEA reporte funcionalmente al comité de auditoría, al Consejo de Administración u otras autoridades de gobierno apropiadas. En este contexto, reportar funcionalmente significa que la autoridad de gobierno:

Aprueba el Estatuto general de la función de auditoría

interna.

Aprueba la evaluación de riesgos de auditoría interna y el plan de auditoría relacionado.

Recibe comunicaciones de parte del DEA sobre los

resultados de las actividades de auditoría interna u otros asuntos que considere necesarios e incluso mantiene reuniones privadas con el DEA sin la presencia de la dirección.

Aprueba todas las decisiones referidas a la designación o

destitución del DEA.

Aprueba la retribución anual y los ajustes salariales del DEA.

Realiza las averiguaciones necesarias con la dirección y el

DEA para determinar si hay limitaciones al alcance o de presupuesto que impidan a auditoría interna cumplir con sus responsabilidades.

• Reporte Administrativo – El reporte administrativo es la relación dentro

de la estructura gerencial de la organización que facilita las



operaciones del día a día de la función de auditoría interna. El reporte administrativo comprende, típicamente, lo siguiente:

Presupuesto y gestión contable.

Administración de recursos humanos, incluyendo las

evaluaciones del personal y sus retribuciones.

Comunicaciones internas y flujos de información.

Administración de las políticas y procedimientos de la organización.

2.º Este Consejo para la Práctica se centra en las consideraciones para establecer o evaluar las líneas de reporte del DEA. Mantener adecuadas líneas de reporte es decisivo para lograr independencia, objetividad y la estatura organizacional que necesita una función de auditoría interna para cumplir con sus obligaciones. Además, es decisivo para asegurar un apropiado flujo de información y el acceso a ejecutivos y gerentes clave, que serán la base para la evaluación de riesgos y para informar los resultados de las actividades de auditoría. A la inversa, cualquier relación de reporte que impida la independencia y la eficacia de las operaciones de auditoría interna deben ser consideradas por parte del DEA como una seria limitación al alcance, que debería ser llevada a la atención del comité de auditoría o su equivalente.

3. Este Consejo para la Práctica también reconoce que las líneas de reporte del DEA reciben el impacto de la naturaleza de la organización (ya sea pública o privada, así como su tamaño relativo); de las prácticas comunes en cada país; del grado de complejidad creciente de las organizaciones (joint ventures, corporaciones multinacionales con subsidiarias); y de la tendencia de los grupos de auditoría interna a proporcionar servicios de valor agregado con una mayor colaboración de sus clientes sobre las prioridades y alcance. En consecuencia, si bien el IIA considera que existe una estructura de reporte ideal, que es la del reporte funcional al Comité de Auditoría y el reporte administrativo al Director General (chief executive officer – CEO), puede haber otro tipo de relaciones eficaces en tanto existan claras distinciones entre las líneas de reporte funcional y administrativo y apropiadas actividades en cada línea, de modo de asegurar que se mantengan la independencia y el alcance de las actividades. Los auditores internos deberán ejercer su criterio profesional para determinar el grado de aplicación de la guía proporcionada por este Consejo en cada situación en particular.

4º. Las Normas acentúan la importancia de que el director ejecutivo de auditoría reporte a una persona con suficiente autoridad como para promover la independencia y asegurar una amplia cobertura de auditoría. Las Normas son, en cierto sentido, deliberadamente genéricas respecto de las relaciones de reporte, dado que han sido diseñadas para ser aplicables a todas las



organizaciones sin importar su tamaño u otro tipo de factores Los factores que no permiten tener una fórmula única para todos los casos comprenden el tamaño de la organización y su tipo (privado, gubernamental, corporativo). En consecuencia, el DEA debe tener en cuenta los siguientes atributos al evaluar la adecuación de la línea de reporte administrativo:

• ¿Tiene la persona la suficiente autoridad y rango jerárquico para

asegurar la eficacia de la función? • ¿Tiene la persona una mentalidad de control y gobierno apropiada para

asistir al DEA en su función? • ¿Tiene la persona tiempo e interés de apoyar activamente al DEA en los

asuntos de auditoría? • ¿La persona entiende y apoya la relación de reporte funcional?

5. El DEA debe asegurar también que se mantenga una adecuada independencia en caso de que la persona responsable de la línea de reporte administrativo sea también responsable de otras actividades en la organización que sean objeto de auditoría interna. Por ejemplo, algunos directores ejecutivos de auditoría reportan administrativamente al Director Financiero (chief financial officer – CFO), quien es el responsable de las funciones contables de la organización. La función de auditoría interna debe tener la libertad de auditar e informar sobre cualquier tipo de actividades, aunque reporten a su cabeza administrativa, si así lo considera para mantener la cobertura adecuada de su plan de auditoría. Cualquier limitación al alcance o a la información de resultados de este tipo de actividades debe ser llevada a la atención del comité de auditoría.

6. Ante los recientes cambios tendientes a una legislación y regulaciones más estrictas en cuanto a la información contable que se están llevando a cabo en todo el mundo, las líneas de reporte del DEA deben ser apropiadas para permitir a la actividad de auditoría interna cumplir con las necesidades crecientes del comité de auditoría u otras partes interesadas. Cada vez más, se le requiere al DEA asumir un rol más significativo en las actividades de gobierno y gestión de riesgos de la organización. Las líneas de reporte del DEA deben facilitar la capacidad de la actividad de auditoría interna para cumplir con estas expectativas. 7. Sin importar cuál sea la relación de reporte que elija la organización, hay varias acciones clave que pueden ayudar a asegurar que las líneas de reporte apoyen y permitan la eficacia e independencia de la actividad de auditoría interna.

• Reporte Funcional:



La línea de reporte funcional debe ir directamente al comité de auditoría o su equivalente, para asegurar el nivel adecuado de independencia y comunicación.

El DEA debe reunirse en privado con el comité de auditoría

o su equivalente, sin la presencia de gerentes, para reforzar la independencia y naturaleza de esta relación de reporte.

El comité de auditoría debe tener la autoridad final para

revisar y aprobar el plan anual de auditoría y cualquier modificación importante a dicho plan.

En todo momento, el DEA debe tener acceso abierto y directo

al Presidente del comité de auditoría y a sus demás miembros; o al Presidente del Consejo de Administración o a todos sus miembros, si es apropiado.

Al menos una vez al año, el comité de auditoría debe revisar

el desempeño del DEA y aprobar su retribución anual y ajustes salariales.

El Estatuto de la función de auditoría interna debe establecer

claramente tanto las líneas de reporte funcional como administrativo para esta función, así como las actividades principales dirigidas hacia cada línea.

• Reporte Administrativo:

La línea de reporte administrativo del DEA debe ser con el

Director General (chief executive officer – CEO) u otro ejecutivo con suficiente autoridad para dar apoyo al cumplimiento de sus actividades del día a día. Este apoyo comprende posicionar a la función de auditoría y al DEA en la estructura de la organización de modo de proporcionar la suficiente jerarquía a la función dentro de la organización. Un reporte demasiado bajo en la organización puede impactar negativamente en la posición y eficacia de la función de auditoría interna.

La línea de reporte administrativo no debe tener autoridad

final sobre el alcance o la información de resultados de la actividad de auditoría interna.

La línea de reporte administrativo debe facilitar las

comunicaciones abiertas y directas con la gerencia ejecutiva y de línea. El DEA debe poder comunicarse directamente con cualquier nivel de dirección, incluso con el Director General (chief executive officer – CEO).



La línea de reporte administrativo debe permitir

comunicaciones y flujo de información adecuados, de modo tal que el DEA y la función de auditoría interna obtengan un flujo de información adecuado y oportuno sobre las actividades, planes e iniciativas de negocio de la organización.

Los controles y consideraciones presupuestarios impuestos

por la línea de reporte administrativo no deben impedir la capacidad de la función de auditoría interna para cumplir con su misión.

8.º Los directores ejecutivos de auditoría también deben tener en cuenta sus relaciones con otras funciones de control y supervisión (gestión de riesgos, cumplimiento, seguridad, legal, medioambiental, auditoría externa) y facilitar la información de asuntos de control y riesgo materiales al comité de auditoría. 1110.A1 - La actividad de auditoría interna debe estar libre de injerencias al determinar el alcance de auditoría interna, al desempeñar su trabajo, y al comunicar sus resultados. El Consejo para la Práctica 1110.A1-1: Comunicar los Motivos de un Pedido de información que Interpreta la Norma 1110.A1 de las Normas para el Ejercicio Profesional de la Auditoría Interna Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias cuando se les requiera comunicar los motivos de un pedido de información. Esta guía no pretende abarcar todas las consideraciones que pudieran ser necesarias, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional. 1. En ciertas ocasiones, el auditor interno puede ser consultado por el

cliente de un trabajo de auditoría interna u otros interesados respecto de porqué un documento que él ha solicitado es relevante para su trabajo. La decisión de comunicar o no comunicar los motivos por los cuales ciertos documentos son necesarios durante un trabajo, deberá determinarse de acuerdo con las circunstancias. La existencia de irregularidades significativas puede indicar un entorno menos abierto de lo que normalmente conduciría a un trabajo en colaboración. Sin embargo, este es un juicio que debe hacer el director ejecutivo de auditoría a la luz de las circunstancias específicas.

1120 - Objetividad Individual





Los auditores internos deben tener una actitud imparcial, neutral y evitar conflictos de intereses. El Consejo para la Práctica 1120-1: Objetividad Individual que interpreta la Norma 1120 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece:

Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias al evaluar la objetividad individual. Esta guía no pretende abarcar todas las consideraciones que pudieran ser necesarias durante dicha evaluación, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional.

1. La objetividad es una actitud mental independiente que deben

mantener los auditores internos en la realización de sus trabajos. Los auditores internos no deben subordinar su juicio al de otros sobre temas de auditoría.

2. La objetividad exige que los auditores internos lleven a cabo sus

trabajos con honesta confianza en el producto de su labor y sin comprometer su calidad. Los auditores internos no han de colocarse en situaciones donde se sientan incapaces de emitir juicios profesionales objetivos.

3. La asignación de tareas del personal debe realizarse de forma que se

eviten prejuicios o conflictos de intereses reales o potenciales. Periódicamente, el director de auditoría interna debe obtener del personal de auditoría interna información concerniente a conflictos de intereses y prejuicios potenciales. La asignación de tareas al personal de auditoría interna debe realizarse de forma rotativa, siempre y cuando sea posible.

4. Los resultados de la labor de auditoría interna deben revisarse antes

de emitir las comunicaciones correspondientes al trabajo, para asegurar razonablemente que el trabajo se ha efectuado de manera objetiva.

No es ético para un auditor interno recibir dinero o regalos de un empleado, cliente, proveedor o persona relacionada con el negocio. La aceptación de dinero o de un regalo puede crear la apariencia de que la objetividad del auditor interno ha sido afectada. La apariencia de que la objetividad ha sido afectada puede aplicarse a trabajos actuales o futuros conducidos por el auditor. El estado de los trabajos no debe ser considerado como justificación para recibir dinero o regalos. Recibir elementos de promoción (tales como lápices, calendarios, o muestras) que estén a disposición del público en general y tengan un mínimo valor no deben obstruir los juicios profesionales



del auditor interno. Los auditores internos deben informar el ofrecimiento de todo dinero o regalos materiales de inmediato a sus supervisores.

1130 - Impedimentos a la Independencia u Objetividad

Si la independencia u objetividad se viese comprometida de hecho o en apariencia, los detalles del impedimento deben darse a conocer a las partes correspondientes. La naturaleza de esta comunicación dependerá del impedimento. El Consejo para la Práctica 1130-1: Impedimentos a la Independencia u Objetividad que Interpreta la Norma 1130 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece:

Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias al evaluar impedimentos a la independencia u objetividad. Esta guía no pretende abarcar todas las consideraciones que pudieran ser necesarias durante dicha evaluación, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional.

1. Los auditores internos deben informar al director ejecutivo de auditoría

sobre cualquier situación en la que se presenten o puedan, razonablemente, presentarse conflictos de intereses o prejuicios. El director ejecutivo de auditoría debe entonces reasignar a tales auditores.

2. Una limitación en el ámbito de actuación es una restricción puesta

sobre la actividad de auditoría interna le impide cumplir sus planes y objetivos. Una limitación en el ámbito de actuación puede restringir, entre otras cosas, las siguientes:

o El ámbito de actuación o alcance definido en el Estatuto. o El acceso de la actividad de auditoría interna a los registros,

al personal y a los bienes relevantes para la realización de los trabajos.

o La programación aprobada de los trabajos. o La ejecución de los procedimientos necesarios para el

trabajo. o El plan de personal y el presupuesto financiero aprobados.



3. Cualquier limitación en el ámbito de actuación y sus efectos potenciales deben ser comunicados, preferentemente por escrito, al Consejo, comité de auditoría u otras autoridades de gobierno apropiadas.

4. El director ejecutivo de auditoría debe evaluar si es apropiado volver a

informar al Consejo, comité de auditoría u otras autoridades de gobierno apropiadas sobre aquellas limitaciones en el ámbito de actuación que se hubieran comunicado anteriormente a dichos órganos y que fueron aceptadas por los mismos. Esto puede ser necesario, especialmente, cuando ha habido cambios en la organización, Consejo, alta dirección u otros.

1130.A1 - Los auditores internos deben abstenerse de evaluar operaciones específicas de las cuales hayan sido previamente responsables. Se presume que hay impedimento de objetividad si un auditor provee servicios de aseguramiento para una actividad de la cual el mismo haya tenido responsabilidades en el año inmediato anterior. El Consejo para la Práctica 1130.A1-1: Evaluación de Operaciones de las cuales el Auditor Interno tuvo Responsabilidades Previas que Interpreta la Norma 1130.A1 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece:

Naturaleza de este Consejo para la Práctica:: Los auditores internos deben tener en cuenta las siguientes sugerencias en caso de que a un auditor se le asigne evaluar una operación de la cual haya sido previamente responsable. Esta guía no pretende abarcar todas las consideraciones que pudieran ser necesarias durante dicha evaluación, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional. 1. Los auditores internos no deben asumir responsabilidades sobre

operaciones. Si la alta dirección dirige a los auditores internos a desempeñar tareas que no sean de auditoría, debe entenderse que no las están desempeñando como auditores internos. Más aún, se entiende que la objetividad se ve afectada cuando los auditores internos realizan una revisión de aseguramiento en una actividad en la cual han tenido autoridad o de la cual han sido responsables durante el año inmediato anterior. Esta circunstancia debe considerarse al comunicar los resultados del trabajo de auditoría.

o En caso de que los auditores internos sean dirigidos a desempeñar

tareas que no sean de auditoría interna y que puedan afectar su objetividad, tales como la preparación de conciliaciones bancarias, el director ejecutivo de auditoría debe informar a la alta dirección y al Consejo que esa actividad no es una actividad de auditoría de



aseguramiento; y, en consecuencia, no deberían emitirse conclusiones de auditoría sobre la misma.

o Además, cuando se asignan responsabilidades operativas a la

actividad de auditoría interna, debe darse especial atención a asegurar la objetividad en ocasión de realizar un posterior trabajo de aseguramiento en las áreas operativas relacionadas. Se entiende que la objetividad está afectada cuando los auditores internos deben auditar cualquier actividad en la cual han tenido autoridad o de la cual han sido responsables dentro del año inmediato anterior. Estos hechos deben ser claramente establecidos al comunicar los resultados de un trabajo de auditoría relacionado con un área en la cual un auditor haya tenido responsabilidades operativas.

2. En cualquier caso en que las actividades asignadas impliquen la

presunción de autoridad operativa, la objetividad de la auditoría será considerada afectada con respecto a dichas actividades.

3. Las personas transferidas a/o utilizadas temporalmente por la actividad

de auditoría interna no deben ser asignadas a auditar aquellas actividades que realizaron anteriormente, hasta que haya transcurrido un período razonable de tiempo (al menos un año). Se entiende que dichas asignaciones afectan a la objetividad y debe tenerse en cuenta este hecho al supervisar el trabajo y al comunicar los resultados del mismo.

4. La objetividad del auditor interno no se ve afectada cuando recomienda

normas de control para sistemas o cuando revisa procedimientos antes de que sean implantados. Se considera que la objetividad del auditor interno se ve afectada si el auditor diseña, instala, hace proyectos de procedimientos u opera dichos sistemas.

5. El desempeño ocasional de trabajos que no sean de auditoría por parte

del auditor interno, comunicados claramente en el proceso de informe, no necesariamente afecta su independencia. Sin embargo, en estos casos se requerirá especial consideración por parte de la dirección y del auditor interno para evitar afectar adversamente la objetividad del auditor interno.

EL Consejo para la Práctica 1130.A1-2 Responsabilidad de Auditoría Interna en Funciones Distintas de Auditoría que Interpreta la Norma 1130.A1 de las Normas para el Ejercicio Profesional de la Auditoría Interna

Naturaleza de este Consejo para la Práctica: La siguiente guía es ofrecida a los auditores internos que deban afrontar la aceptación de responsabilidades por funciones o tareas operativas, distintas de auditoría. La aceptación de tales responsabilidades puede menoscabar la independencia y objetividad, por lo cual, de ser posible, deben ser evitadas. Esta guía no pretende abarcar



todas las consideraciones que puedan ser necesarias al evaluar tales responsabilidades o asignaciones. El cumplimiento de este Consejo para la Práctica es opcional.

1. A algunos auditores internos se les han asignado o han aceptado tareas distintas de auditoría, debido a diversas razones de negocio que tienen sentido para la dirección de la organización. Cada vez con más frecuencia se les solicita a los auditores internos desempeñar funciones y responsabilidades que pueden afectar su independencia y objetividad. Dada la demanda creciente de las organizaciones, tanto públicas como privadas, de desarrollar operaciones más eficientes y eficaces y de hacerlo con menos recursos, algunas actividades de auditoría interna son dirigidas por la dirección de sus organizaciones a asumir responsabilidades por operaciones que son objeto de evaluaciones periódicas de auditoría interna.

2. Cuando la actividad de auditoría interna o el auditor individual es responsable de una operación que podría ser auditada por el mismo, o bien cuando la dirección está considerando asignarle dicha responsabilidad, la independencia y objetividad del auditor interno puede verse afectada. El auditor interno debe tener en cuenta los siguientes factores al evaluar el impacto sobre la independencia y objetividad:

• Los requerimientos del Código de Ética y de las Normas para el

Ejercicio Profesional de la Auditoría Interna (las Normas) del IIA; • Las expectativas de las partes interesadas, que podrían ser los

accionistas, Consejo de Administración, comité de auditoría, dirección, cuerpos legislativos, entidades públicas, organismos de regulación, y grupos de interés público;

• Las autorizaciones y restricciones contenidas en el Estatuto de la

actividad de auditoría interna; • Las declaraciones requeridas por las Normas; y • La subsiguiente cobertura de auditoría en las actividades o

responsabilidades aceptadas por el auditor interno. 3. Los auditores internos deben tener en cuenta los siguientes factores para determinar el curso de acción apropiado cuando se les presente la oportunidad de aceptar la responsabilidad de una función distinta de auditoría:

A. El Código de Ética y las Normas del IIA requieren que la actividad

de auditoría interna sea independiente y que los auditores internos sean objetivos en el desempeño de su trabajo.



• De ser posible, los auditores internos deben evitar aceptar responsabilidades por funciones o tareas distintas de auditoría, que sean objeto de evaluaciones periódicas por parte de auditoría interna. Si esto no fuera posible, entonces:

• El impedimento a la independencia y objetividad deben ser

declarados a las partes apropiadas, y la naturaleza de esta declaración dependerá del impedimento.

• Se presume que hay un impedimento de objetividad si un auditor

provee servicios de aseguramiento para una actividad de la cual el mismo haya tenido responsabilidades en el año inmediato anterior.

• Si en alguna ocasión la dirección dirige a los auditores internos a

desempeñar tareas distintas de auditoría, se entenderá que los mismos no están desempeñándose como auditores internos.

B. Las expectativas de las partes interesadas, incluyendo las exigencias

legales o de regulaciones, deben ser evaluadas en relación con el impedimento potencial.

C. Si el Estatuto de la actividad de auditoría interna contiene

restricciones o limitaciones específicas respecto de la asignación de funciones distintas de auditoría al auditor interno, dichas restricciones deben ser declaradas y discutidas con la dirección. Si la dirección insiste en llevar a cabo tal asignación, el auditor deberá declarar y discutir este asunto con el Comité de Auditoría o el cuerpo de gobierno apropiado. Si el Estatuto nada dice al respecto, deberá tenerse en cuenta la guía establecida en los puntos siguientes. Todos estos puntos están subordinados a la letra del Estatuto.

D. Evaluación – Los resultados de la evaluación deben ser discutidos con

la dirección, el Comité de Auditoría, y/o las partes interesadas correspondientes. Deberán tomarse decisiones respecto de diversas cuestiones, algunas de las cuales afectan a las otras: • Debe evaluarse la significatividad de la función operativa para la

organización (en términos de ingresos, gastos, reputación e influencia).

• Debe evaluarse la extensión o duración de la asignación, así como

el alcance de la responsabilidad. • Debe evaluarse la adecuación de la separación de funciones. • Debe tenerse en cuenta el impedimento potencial a la objetividad e

independencia o la apariencia de tal impedimento, al informar resultados de auditoría.



E. Auditoría de la Función y Declaración – Dado que la actividad de

auditoría interna tiene responsabilidades operativas y las operaciones forman parte del plan de auditoría, hay varios caminos que el auditor puede seguir.

• La auditoría puede ser desempeñada por una entidad contratada

(un tercero), por los auditores externos, o por la función de auditoría interna. En los dos primeros casos, el impedimento a la objetividad está minimizado por la utilización de auditores de fuera de la organización En el último caso, en cambio, la objetividad se vería afectada.

• Los auditores individuales que tienen responsabilidades operativas

no deberán participar en la auditoría de esa operación. De ser posible, los auditores que realicen la evaluación deberían estar supervisados por aquellos cuya independencia u objetividad no ha sido afectada, a quienes también deberían informar los resultados de la evaluación.

• Deben declararse las responsabilidades operativas del auditor en

esta función, la significatividad de la operación para la organización (en términos de ingresos, gastos, u otra información pertinente) y la relación de aquellos que auditen la función con el auditor

. • La declaración de las responsabilidades operativas del auditor

debe efectuarse en el informe de auditoría relacionado y en la comunicación normal del auditor con el Comité de Auditoría u otro cuerpo de gobierno.

1130.A2 - Los trabajos de aseguramiento para funciones por las cuales el director ejecutivo de auditoría tiene responsabilidades deben ser supervisadas por alguien fuera de la actividad de auditoría interna.

En lo que respecta a las tareas de Consultaría las Normas establecen lo siguiente: Impedimentos a la Independencia u Objetividad

1130.C1 - Los auditores internos pueden proporcionar servicios de consultoría relacionados a operaciones de las cuales hayan sido previamente responsables. 1130.C2 - Si los auditores internos tuvieran impedimentos potenciales a la independencia u objetividad relacionados con servicios de consultoría que les hayan sido propuestos, deberá declararse esta situación al cliente antes de aceptar el trabajo.



Tal como lo establecen los estándares del IIA los auditores internos deben ser independientes de las actividades que auditen, por lo tanto existen dos elementos básicos para alcanzar la independencia que son:

□ Libertad de juicio □ Objetividad

Asimismo, el Código de Ética en su parte referida a los principio del auditor interno establece que los auditores internos deben exhibir el más alto nivel de objetividad profesional al reunir, evaluar y comunicar información sobre la actividad o proceso a ser examinado. Los auditores internos deben hacer sus juicios sin dejarse influir indebidamente por sus propios intereses o por otras personas. El mismo Código, haciendo referencia a las reglas de conducta que debe cumplir el auditor interno establece que:

1. No participaran de actividades o relaciones que puedan perjudicar o que aparentemente puedan perjudicar su evaluación imparcial. Esta participación incluye aquellas actividades o relaciones que puedan estar en conflicto con los intereses de la organización.

2. No aceptaran nada que pueda perjudicar o que aparentemente pueda perjudicar su

juicio profesional.

3. Divulgaran todos los hechos materiales que conozcan y que, de no ser divulgados puedan distorsionar el informe de las actividades sometidas s revisión.

A mí entender, y a forma de resumen creo que donde mejor se encuentra expresado que se debe entender por objetividad es en el Glosario, donde se establece:

“Objetividad - Es una actitud mental independiente, que exige que los auditores internos lleven a cabo sus trabajos con honesta confianza en el producto de su labor y sin comprometer de manera significativa su calidad. La objetividad requiere que los auditores internos no subordinen su juicio al de otros sobre temas de auditoría”.



3.Determinar si los conocimientos, habilidades y competencias requeridas están disponibles.

4.Desarrollar y/o procurar el conocimiento, habilidades y competencias requeridas para la actividad. En lo que respecta a determinar si la Auditoría Interna cuenta tanto en su conjunto como en forma individual para cada uno de sus auditores nos debemos remitir al siguiente estándar: 1200 - Pericia y Debido Cuidado Profesional

Los trabajos deben cumplirse con pericia y con el debido cuidado profesional. El Consejo para la Práctica 1200-1: Pericia y Debido Cuidado Profesional que interpreta la Norma 1200 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece: Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias al desempeñar sus trabajos. Esta guía no pretende abarcar todas las consideraciones que pudieran ser necesarias, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional. 1. La aptitud profesional es responsabilidad del director ejecutivo de auditoría y

de cada auditor interno. El director ejecutivo de auditoría debe asegurar que las personas asignadas a cada trabajo posean, en conjunto, los conocimientos, técnicas y otras competencias para desempeñar el trabajo adecuadamente.

2. Los auditores internos deben cumplir con las normas profesionales de

conducta. El Código de Ética de The Institute of Internal Auditors abarca mucho más que la definición de auditoría interna, llegando a incluir dos componentes esenciales:

3. Principios que son relevantes para la profesión y práctica de la auditoría

interna. Específicamente, integridad, objetividad, confidencialidad y competencia; y;

4. Reglas de Conducta que describen las normas de comportamiento que se

espera sean observadas por los auditores internos. Estas reglas son una ayuda para interpretar la aplicación práctica de los Principios. Su intención es guiar la conducta ética de los auditores internos.

1210 - Pericia



Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades individuales. La actividad de auditoría interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades El Consejo para la Práctica 1210-1: Pericia que Interpreta la Norma 1210 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece: Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias al evaluar la pericia. Esta guía no pretende abarcar todas las consideraciones que pudieran ser necesarias durante dicha evaluación, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional. 1. Todo auditor interno debe poseer ciertos conocimientos, técnicas y otras

competencias, tales como:

o Aptitud para la aplicación de las normas, procedimientos y técnicas de auditoría interna al desempeñar sus trabajos. Se entiende por aptitud, la habilidad para aplicar el conocimiento a situaciones que se puedan producir y a gestionarlas sin recurrir a extensas investigaciones técnicas y asistencia.

o Pericia en los principios y técnicas contables para aquellos auditores

que trabajen regularmente con registros e informes financieros. o Comprensión de los principios de dirección, para reconocer y evaluar

la materialidad y significatividad de las desviaciones de las prácticas empresariales correctas. Esta comprensión significa la habilidad para aplicar amplios conocimientos a situaciones que puedan presentarse, para reconocer las desviaciones significativas, y poder llevar a cabo las investigaciones necesarias para llegar a soluciones razonables.

o Se requiere una apreciación de los fundamentos de materias tales

como contabilidad, economía, derecho mercantil, tributación, finanzas, métodos cuantitativos, y tecnología informática. Esta apreciación significa la habilidad para reconocer la existencia de problemas reales o potenciales y para determinar la investigación posterior a realizar o la asistencia a obtener.

2. Los auditores internos deben poseer cualidades para tratar con las

personas y comunicarse de forma eficaz. Los auditores internos deben comprender las relaciones humanas y mantener relaciones satisfactorias con los clientes de sus trabajos.



3. Los auditores internos deben poseer capacidades para comunicarse de forma oral y por escrito, de modo que puedan transmitir eficazmente cuestiones tales como los objetivos, las evaluaciones, las conclusiones y las recomendaciones de sus trabajos.

4. El director ejecutivo de auditoría debe establecer los criterios apropiados

de educación y experiencia para cubrir los puestos de auditoría interna, teniendo en cuenta el alcance del trabajo y el nivel de responsabilidad. Debe obtenerse una seguridad razonable de las cualidades y aptitudes de cada candidato.

5. El personal de auditoría interna, en conjunto, debe poseer los

conocimientos y las técnicas imprescindibles para la práctica de la profesión dentro de la organización.

1210.A1 - El director ejecutivo de auditoría debe obtener asesoramiento competente y asistencia si el personal de auditoría interna carece de los conocimientos, las aptitudes y/u otras competencias necesarias para llevar a cabo la totalidad o parte del trabajo. El Consejo para la Práctica 1210.A1-1: Obtención de Servicios para Apoyar o Complementar la Actividad de Auditoría Interna que Interpreta la Norma 1210.A1 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece: Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias en caso de considerar el adquirir servicios adicionales que apoyen la actividad de auditoría interna. Esta guía no pretende abarcar todas las consideraciones que pueden ser necesarias, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional. 1. La actividad de auditoría interna debe disponer de empleados o utilizar

proveedores de servicios externos que estén cualificados, en disciplinas tales como: contabilidad, auditoría, economía, finanzas, estadística, tecnología informática, ingeniería, tributación, derecho, medio ambiente, y demás áreas según sea necesario para cumplir sus responsabilidades. Sin embargo, cada integrante de la actividad de auditoría interna no necesita estar cualificado en la totalidad de estas disciplinas.

2. Un proveedor de servicios externos es una persona o empresa,

independiente de la organización, que tiene conocimiento, técnica y experiencia especiales en una disciplina en particular. Entre los proveedores de servicios externos se incluyen, entre otros, los siguientes: actuarios, contables, tasadores, expertos en medio ambiente, investigadores de fraudes, abogados ingenieros, geólogos, expertos en seguridad, estadísticos, expertos en tecnología informática, los auditores externos de la organización, y otras organizaciones de auditoría. Un



proveedor de servicios externos puede ser contratado por el Consejo, la alta dirección o el director ejecutivo de auditoría.

3. Los proveedores de servicios externos pueden ser utilizados por la

actividad de auditoría interna para asuntos relacionados con los siguientes, entre otros:

o Actividades de auditoría que requieran un conocimiento y técnica

especializados tales como tecnología informática, estadística, tributación, traducción de idiomas, o para conseguir los objetivos de la planificación del trabajo.

. o Tasación de activos tales como tierras y edificios, obras de arte,

piedras preciosas, inversiones y complejos instrumentos financieros. o Determinación de cantidades o condiciones físicas de ciertos bienes

tales como minerales o reservas petroleras. o Medición de la obra terminada y pendiente de ejecutar para los

trabajos en curso. o Investigaciones de fraude y seguridad. o Cálculo de cantidades utilizando métodos especializados tales como el

cálculo actuarial de las obligaciones relativas a las prestaciones sociales de los empleados.

o Interpretación de requerimientos legales, técnicos y regulatorios. o Evaluación del programa de aseguramiento de calidad de la actividad

de auditoría interna de conformidad con la Sección 1300 de las Normas.

o Fusiones y adquisiciones.

4. Cuando el director ejecutivo de auditoría pretenda utilizar y confiar en el

trabajo de un proveedor de servicios externos, debe evaluar la competencia, independencia y objetividad de dicho proveedor con respecto al trabajo asignado a realizar. Esta evaluación se debe hacer también cuando el proveedor de servicios externos es seleccionado por la alta dirección o el Consejo, y el director ejecutivo de auditoría pretende utilizar y confiar en el trabajo de aquél. Cuando la selección se efectúe por otras personas y la evaluación realizada por el director ejecutivo de auditoría llega a la conclusión de que no se debería utilizar ni confiar en el trabajo del proveedor de servicios externos, los resultados de dicha evaluación deben comunicarse a la alta dirección y al Consejo, según proceda.



5. El director ejecutivo de auditoría debe determinar que el proveedor de servicios externos posee los necesarios conocimientos, técnicas y demás competencias para realizar el trabajo. Al evaluar la competencia profesional, el director ejecutivo de auditoría debe considerar lo siguiente:

o La certificación profesional, licencia u otro reconocimiento de la

competencia del proveedor de servicios externos en la disciplina relevante.

o La calidad de asociado a una organización profesional adecuada y la

adhesión a su código de ética, por parte del proveedor de servicios externos.

o La reputación del proveedor de servicios externos. Esto puede

requerir ponerse en contacto con terceros que estén familiarizados con el trabajo de aquél.

o La experiencia del proveedor de servicios externos en el tipo de

trabajo que se esté considerando. o El grado de estudios y la formación recibida por el proveedor de

servicios externos en aquellas disciplinas relacionadas con el trabajo específico asignado.

o El conocimiento y la experiencia del proveedor de servicios externos

dentro del sector en el que opera la organización. 6. El director ejecutivo de auditoría debe evaluar la relación del proveedor

de servicios externos con la organización y con la actividad de auditoría interna para asegurar que la independencia y objetividad se mantengan durante todo el trabajo. Al realizar la evaluación, el director ejecutivo de auditoría debe determinar que no exista ninguna relación financiera, de organización o personal que impida al proveedor de servicios externos emitir juicios y opiniones imparciales y sin prejuicios cuando realiza el trabajo o informa sobre el mismo.

7. Al evaluar la independencia y objetividad del proveedor de servicios

externos, el director ejecutivo de auditoría debe considerar lo siguiente:

o Los intereses financieros que el proveedor pueda tener en la organización.

o La asociación personal o profesional que el proveedor pueda tener

con el Consejo, la alta dirección o con otras personas. o La relación que el proveedor pueda haber tenido con la organización

o con las actividades objeto de revisión.



o La medida en que el proveedor pueda realizar otros servicios

continuos para la organización. o Los honorarios u otros incentivos que pueda tener el proveedor.

8. En el caso de que el proveedor de servicios externos sea también el

auditor externo de la organización y la naturaleza del trabajo asignado consista en ampliar los servicios de auditoría, el director ejecutivo de auditoría debe garantizar que el trabajo realizado no menoscabe la independencia del auditor externo. La ampliación de los servicios de auditoría se refiere a aquellos servicios más allá de los requerimientos de las normas de auditoría generalmente aceptadas por los auditores externos. Si los auditores externos de la organización actúan o parece que actúan como miembros de la alta dirección, la administración o como empleados de la organización, entonces su independencia está afectada. Además, los auditores externos pueden proporcionar a la organización otros servicios tales como tributación y consultoría. Sin embargo, la independencia debe evaluarse con respecto a la gama completa de servicios prestados a la organización.

9. El director ejecutivo de auditoría debe obtener información suficiente

respecto al alcance del trabajo del proveedor de servicios externos, lo cual es necesario para garantizar que el alcance del trabajo es adecuado para los propósitos de la actividad de auditoría interna. Puede ser conveniente documentar esta y otras cuestiones en una carta o contrato. El director ejecutivo de auditoría debe revisar con el proveedor de servicios externos los siguientes puntos:

o Objetivos y alcance del trabajo. o Temas específicos que esperan cubrirse en las comunicaciones del

trabajo. o Acceso a los registros, a las personas y a las propiedades físicas

relevantes. o Información sobre los supuestos y procedimientos a emplear. o Propiedad y custodia de los papeles de trabajo, si corresponde. o Confidencialidad y restricciones sobre la información obtenida

durante el trabajo.

10. En aquellos casos en que el proveedor de servicios externos desempeñe

actividades de auditoría interna, el director ejecutivo de auditoría debe



especificar y garantizar que el trabajo cumple con las Normas para el Ejercicio Profesional de la Auditoría Interna. Al revisar el trabajo de un proveedor de servicios externos, el director ejecutivo de auditoría debe evaluar la idoneidad del trabajo realizado. Esta evaluación debe incluir la estimación de si la información obtenida es suficiente para proporcionar una base razonable tanto a las conclusiones alcanzadas como a la resolución de excepciones significativas u otras cuestiones inusuales.

11. Cuando el director ejecutivo de auditoría emite comunicaciones sobre el

trabajo, y se hayan utilizado los servicios de un proveedor de servicios externos, el director ejecutivo de auditoría puede indicar los servicios prestados, si lo considera adecuado. El proveedor de servicios externos debe estar informado y, si corresponde, llegar a un acuerdo con el mismo antes de incluir dicha referencia en las comunicaciones del trabajo.

1210.A2 - El auditor interno debe tener suficientes conocimientos para identificar los indicadores de fraude, pero no es de esperar que tenga conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude. 1210.A3- Los auditores internos deben tener el conocimiento de la información clave sobre los riesgos y controles de tecnología y las técnicas basadas en tecnología para desempeñar su trabajo. Sin embargo,no se espera que todos los auditores internos tengan la experiencia de un auditor interno cuya responsabilidad primaria sea la auditoría de tecnología de la información.

1210.C1 - El director ejecutivo de auditoría no debe aceptar un servicio de consultoría, o bien debe obtener asesoramiento y ayuda competente, en caso de que el personal de auditoría carezca de los conocimientos, las aptitudes y otras competencias necesarias para desempeñar la totalidad o parte del trabajo.

Según lo establecen los estándares de auditoría en la serie 1200 los trabajos de auditoría deben cumplir con los requisitos de pericia y debido cuidado profesional. Cuando nos referimos a los conocimientos, habilidades y competencias requeridos para la Auditoría interna no nos referimos solo al responsable de la Auditoría Interna, sino que lo hacemos en un sentido mas amplio abarcando a todo el personal del equipo de auditoría interna y ala auditoría interna en su conjunto. La Gerencia de Auditoría Interna deberá contar para ello con un grupo multidisciplinario (profesionales de distintas carreras de grado) que posea n la habilidad de trabajar en forma conjunta. Una de las recientes modificaciones que sufrieron las Normas es la referida a la necesidad que los auditores posean conocimientos sobre los riesgos y controles que implica el manejo



de la tecnología de la información y de las técnicas de auditoría basadas en la tecnología que lo ayudarán a realizar en forma más eficiente su trabajo. Decimos que los profesionales deben poseer ciertas habilidades dado que el trabajo de auditoría interna requiere:

1. Examinar, analizar y evaluar actividades que desarrollan otras personas, las cuales por lo general poseen una experiencia y conocimientos sobre tales temas mayores que los integrantes de auditoría interna.

2. La autoridad que posee la auditoría interna es sólo para llevar a cabo si trabajo y

no para efectuar tareas ejecutivas. (ya nos referimos ampliamente a ese tema en los puntos A.1. y A.2.)

3. El auditor debe procurar evitar los posibles roces y/o fricciones que se produzcan

como consecuencia de sus tareas.

4. Poseer un adecuado comportamiento, dado que por lo general se encontrara desarrollando sus actividades en los sectores auditados.

Se ha escrito mucho sobre las cualidades y/o perfil que debe posee el auditor interno, a tal vez, y a modo de ejemplo, se puedan detallar las características y/o requisitos mencionados mas comúnmente:

1. Identificación con los objetivos de la organización. 2. Sentido integral de la auditoría interna.

3. Elevado concepto de responsabilidad y disciplina.

4. Discreto y reservado.

5. Uniformidad en su metodología de trabajo, debiendo ser ordenado, metódico y

con capacidad de síntesis.

6. Capacidad para razonar con lógica.

7. Habilidad para el análisis.

8. Objetividad en sus juicios e informes, además de precisión y exactitud en los detalles.

9. Facilidad de expresión oral y escrita.

10. Iniciativa personal.

11. Aptitud para la crítica constructiva, capaz de utilizar la empatía, es decir de

ponerse en el lugar y/o situación de los auditados.



12. Tacto y cortesía en el trato don otros funcionarios y clientes de la organización.

Tiene que ser dinámico y con cierta simpatía (no un “simpático”).

13. Sentido de puntualidad.

14. Habituado al trato social y con capacidad para relacionarse con naturalidad.

15. Saber escuchar y no solo “oír”.

16. Capacidad para trabajar en equipo.

Además de los estándares debemos tener en cuenta que el Código de Ética en su parte pertinente a este punto establece las reglas para su integridad, confidencialidad y competencia. Para lo cual el Auditor interno deberá:

1. Desempeñar su trabajo con honestidad, diligencia y responsabilidad. 2. Respetar las leyes y divulgar lo que corresponda de acuerdo con las leyes y la

profesión.

3. No participar en actividades ilegales o en actos que vayan en detrimento de la profesión o de la organización.

4. Respetar y contribuir a los objetivos legítimos y éticos de la organización

5. Ser prudente en el uso y protección de la información adquirida en el transcurso

de su trabajo.

6. No utilizar para lucro personal o de alguna manera que fuera contraria a la ley o en detrimento de los objetivos legítimos y éticos de la organización.

7. Participar sólo en aquellos servicios para los cuales tenga los suficientes

conocimientos, aptitudes y experiencia.

8. Mejorar continuamente sus aptitudes y la efectividad y calidad de sus servicios.

El estándar 1200 y en especial el 1210 se refieren al perfil que debe poseer el auditor interno. La forma de lograr obtener todos los conocimientos requeridos para el desarrollo de la auditoría interna es a través de la capacitación y formación, en primer lugar por la carrera de grado y luego por las certificaciones, postgrados y cursos de capacitación.



5. Ejercitar el debido cuidado profesional. 1220 - Debido Cuidado Profesional

Los auditores internos deben cumplir su trabajo con el cuidado y la pericia que se esperan de un auditor interno razonablemente prudente y competente. El debido cuidado profesional no implica infalibilidad. El Consejo para la Práctica 1220-1: Debido Cuidado Profesional que Interpreta la Norma 1220 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece: Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias al evaluar el debido cuidado profesional. Esta guía no pretende abarcar todas las consideraciones que pueden ser necesarias durante dicha evaluación, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional. 1. El debido cuidado profesional exige la aplicación del cuidado y

conocimientos que se esperan de un auditor interno razonablemente prudente y competente en iguales o similares circunstancias. El cuidado profesional, por tanto, debe ser el apropiado para las complejidades del trabajo en ejecución. Al ejercer el debido cuidado profesional, los auditores internos deben estar alertas a la posibilidad de existencia de hechos intencionadamente incorrectos, errores y omisiones, ineficiencias, despilfarros, ineficacias, y conflictos de intereses. También deben estar alertas a aquellas condiciones y actividades en las que es más probable que se produzcan irregularidades. Además, deben identificar los controles inadecuados y recomendar mejoras para promover el cumplimiento de procedimientos y prácticas aceptables.

2. El debido cuidado implica una prudencia y competencia razonable, no la

infalibilidad ni una actuación extraordinaria. El debido cuidado exige que el auditor lleve a cabo exámenes y verificaciones hasta un grado razonable, pero no requiere una revisión detallada de todas las transacciones. Por ello, el auditor interno no puede ofrecer la seguridad absoluta de que no existan irregularidades e incumplimientos. Sin embargo, al emprender un trabajo de auditoría interna, el auditor interno



siempre debe considerar la posible existencia de incumplimientos e irregularidades significativas.

1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar:

El alcance necesario para alcanzar los objetivos del trabajo. La relativa complejidad, materialidad o significatividad de asuntos a

los cuales se aplican procedimientos de aseguramiento. La adecuación y efectividad de los procesos de gestión de riesgos,

control y gobierno. La probabilidad de errores materiales, irregularidades o

incumplimientos. El costo de aseguramiento en relación con los potenciales beneficios.

1220.A2 En el ejercicio del debido cuidado profesional el auditor interno debe considerar el uso de las herramientas asistidas por computadora y otras técnicas de análisis de datos. 1220.A3 - El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos, las operaciones, o los recursos. Sin embargo, los procedimientos de aseguramiento por sí solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no garantizan que todos los riesgos materiales sean identificados. 1220.C1 - El auditor interno debe ejercer el debido cuidado profesional durante un trabajo de consultoría, teniendo en cuenta lo siguiente:

Las necesidades y expectativas de los clientes, incluyendo la

naturaleza, oportunidad y comunicación de los resultados del trabajo.

La complejidad relativa y la extensión de la tarea necesaria para

cumplir los objetivos del trabajo. El costo del trabajo de consultoría en relación con los beneficios

potenciales.

El debido cuidado profesional implica el ejercicio de un juicio profesional cuidadoso y prudente pero no implica infabilidad.



Se supone que el auditor debe llevar adelante su trabajo con pericia, conocimiento y profesionalidad adecuadas pero ello no va a traer como consecuencia la infabilidad. La modificación reciente de las Normas incluyó la necesidad que el auditor tenga conocimiento sobre las llamadas técnicas de auditoría asistidas por computadora, CATS (computer assisted tecniques), las cuales serán analizadas con mayor detalle en la parte II de esta obra.



6. Promover el desarrollo profesional continuo. 1230 - Desarrollo Profesional Continuado

Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras competencias mediante la capacitación profesional continua.

El Consejo para la Práctica 1230-1: Desarrollo Profesional Continuado que Interpreta la Norma 1230 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece: Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias en relación con el desarrollo profesional continuado. Esta guía no pretende abarcar todas las consideraciones que pueden ser necesarias durante dicha evaluación, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional. 1. Los auditores internos son responsables de continuar su formación a fin

de mantener su competencia profesional. Deben mantenerse informados de las mejoras y de la evolución de las normas, procedimientos y técnicas de auditoría interna. La formación continua se puede obtener haciéndose miembro y participando en organizaciones profesionales; mediante la asistencia a conferencias, seminarios, cursos universitarios y programas internos de formación, y mediante la participación en proyectos de investigación.

2. Se alienta a los auditores internos a demostrar su pericia mediante la

obtención de la apropiada certificación profesional, tal como la designación CIA (Certified Internal Auditor – Auditor Interno Certificado) y otras designaciones ofrecidas por el Instituto de Auditores Internos.

3. Los auditores internos con certificaciones profesionales deben obtener la

suficiente formación profesional continua para satisfacer los requerimientos de la certificación profesional que poseen.

4. Se aconseja a los auditores internos que actualmente no posean

certificaciones profesionales apropiadas a seguir un programa de formación que les ayude a obtener las mismas.

Como ya mencionamos anteriormente la capacitación profesional continua se da a través de cursos de especialización y de las certificaciones. Las certificaciones que ofrece el IIA son las siguientes:



1. Certified Internal Auditor (CIA) 2. Certified Control Self-Assessment (CCSA) 3. Certified Government Auditing Professional (CGCP)

4. Certified Financial Services Auditor (CFSA)

Además existen otras certificaciones de interés para los auditores internos que son otorgadas por otras organizaciones:

1. Certified Information Systems Auditor (CISA) 2. Certified Fraud Examiner (CFE) Asociación de Examinadores de Fraude

Certificados En relación con los cursos de especialización el Instituto de Auditores Internos de Argentina (IAIA) posee una amplia gama que abarca temas como: riesgo, gobierno corporativo, herramientas de auditoría interna, (ver la oferta de cursos que ofrece el Instituto) Cabe aclarar que el Instituto se preocupa constantemente de actualizar sus contenidos y de incorporar nuevos cursos de acuerdo a los avances y necesidades de la profesión. En materia de auditoría de sistemas, contamos con la capacitación brindada por el ISACA (Information System Audit Control Association), que además funciona como autoridad en la profesión de auditoría de los sistemas de información, tema que detallaremos más ampliamente al final de este capítulo. Pero además de toda la capacitación profesional que requiere el auditor interno, es necesaria la capacitación interna que brinda la propia organización, en lo que respecta a los siguientes aspectos:

□ conocimiento global de la organización y del sector en que se desarrollan las actividades de auditoría.

□ Teoría y práctica de la auditoría interna y externa □ Conocimiento sobre redacción de informes, entrevistas y reuniones. □ Sistema de información e informática como herramienta de trabajo.



7. Promover el aseguramiento de la calidad y la mejora de la actividad de auditoría interna.

1300 - Programa de Aseguramiento de Calidad y Mejora

El director ejecutivo de auditoría debe desarrollar y mantener un programa de aseguramiento de calidad y mejora que cubra todos los aspectos de la actividad de auditoría interna y revise continuamente su efectividad. Este programa incluye una evaluación periódica interna y externa de la calidad y un monitoreo continuo.Cada parte del programa debe estar diseñado para ayudar a la actividad de auditoría interna a añadir valor y a mejorar las operaciones de la organización y a proporcionar aseguramiento de que la actividad de auditoría interna cumple con las Normas y el Código de Ética.

1310 - Evaluaciones del Programa de Calidad La actividad de auditoría interna debe adoptar un proceso para supervisar y evaluar la efectividad general del programa de calidad. Este proceso debe incluir tanto evaluaciones internas como externas.

El Consejo para la Práctica 1310-1: Evaluaciones de Programas de Calidad que Interpreta de la Norma 1310 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece: Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias al implementar o evaluar programas de calidad dentro de la actividad de auditoría interna. Esta guía no pretende abarcar todos los procedimientos necesarios en los programas amplios de calidad o su evaluación, sin ser simplemente un conjunto de prácticas rrecomendadas de evaluación de calidad. El cumplimiento de este Consejo para la Práctica es opcional. 1. Implementación de programas de calidad – El director ejecutivo de

auditoría (DEA) debe ser responsable de implementar procesos diseñados para suministrar aseguramiento razonable a los diversos terceros interesados de la actividad de auditoría interna de que:

o Se desempeña de acuerdo con su estatuto, que debe desarrollarse en

conformidad con las Normas para el Ejercicio Profesional de la Auditoría Interna y el Código de Ética,

o Opera de una manera eficaz y eficiente y



o Los terceros interesados perciben que agrega valor y mejora las operaciones de la organización.

Estos procesos deben incluir supervisión apropiada, evaluación interna periódica y monitoreo continuo del aseguramiento de calidad y evaluaciones externas periódicas.

2. Supervisión de los programas de calidad – La supervisión debe incluir

mediciones y análisis continuos del desempeño; por ejemplo, tiempo de ciclo y recomendaciones aceptadas.

3. Evaluación de programas de calidad – Las evaluaciones deben

considerar e indicar la calidad de la actividad de auditoría interna y contribuir a las recomendaciones para mejoras apropiadas. Las evaluaciones de los programas de calidad deben considerar:

o Cumplimiento con las Normas y Código de Ética, o Adecuación del estatuto, de las metas, las políticas y los

procedimientos de la actividad de auditoría interna, o Contribución a la gestión de riesgos, al gobierno corporativo y a los

procesos de control de la organización, o Cumplimiento con leyes, reglamentaciones y normas gubernamentales

o de la industria aplicables, o Eficacia en las actividades de mejora continua y la adopción de

mejores prácticas y o Si la actividad de auditoría agrega valor y mejora las operaciones de

la organización. 4. Mejora continua – Todos los esfuerzos de mejora en calidad deben incluir

un proceso de comunicación diseñado para facilitar la modificación apropiada de recursos, tecnología, procesos y procedimientos según lo indicado en las actividades de supervisión y evaluación.

5. Comunicación de resultados – A fin de cumplir con sus obligaciones, el

DEA debe compartir los resultados de las evaluaciones externas y, si resulta apropiado, de las evaluaciones internas del programa de calidad, con los diversos terceros interesados en la actividad, tales como la alta gerencia, el Consejo y los auditores externos.

1311 - Evaluaciones Internas

Las evaluaciones internas deben incluir:



Revisiones continuas del desempeño de la actividad de auditoría interna; y

Revisiones periódicas mediante auto evaluación o mediante otras

personas dentro de la organización, con conocimiento de las prácticas de auditoría interna y de las Normas.

El consejo para la Práctica 1311-1: Evaluaciones Internas que Interpreta la Norma 1311 de las normas para el Ejercicio Profesional de la Auditoría Interna, establece: Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta estas sugerencias al realizar evaluaciones internas dentro de la actividad de auditoría interna. Esta guía no pretende representar todos los procedimientos necesarios para las evaluaciones internas, sino ser simplemente un conjunto recomendado de prácticas de evaluaciones internas. El cumplimiento de este Consejo para la Práctica es opcional. 1. Revisiones continuas – Las evaluaciones continuas pueden realizarse a

través de:

o La supervisión del trabajo descripto en el Consejo para la Práctica 2340-1: Supervisión del Trabajo,

o Listas de verificación y otros medios para asegurar que se sigan los

procesos adoptados por la actividad de auditoría (por ejemplo, en un manual de auditoría y procesos),

o Retroalimentación de los clientes de auditoría y otros terceros

interesados, o Análisis de mediciones del desempeño, (por ejemplo, tiempo de ciclo y

recomendaciones aceptadas) y o Presupuestos de proyectos, sistemas de control del tiempo, concreción

del plan de auditoría, recuperaciones de costos y otros elementos. 2. Deben desarrollarse conclusiones respecto de la calidad del desempeño

continuo y tomarse acciones de seguimiento a fin de asegurar que se implementen las mejoras apropiadas

. 3. Revisiones periódicas – Deben diseñarse evaluaciones periódicas para

evaluar el cumplimiento con el estatuto de la actividad, las Normas para el Ejercicio Profesional de Auditoría Interna, el Código de Ética y la eficiencia y eficacia de la actividad para satisfacer las necesidades de sus diversos terceros interesados. El Manual de Evaluación de Calidad del IAI incluye pautas y herramientas para revisiones internas.



4. Las evaluaciones internas pueden:

o Incluir entrevistas y encuestas profundas de los grupos de terceros interesados,

o Ser realizadas por miembros de la actividad de auditoría interna

(auto-evaluación), o Ser realizadas por CIAs u otros profesionales competentes de

auditoría, actualmente designados en cualquier otra parte de la organización,

o Abarcar una combinación de auto-evaluación y preparación de

materiales subsiguientemente revisados por CIAs u otros profesionales competentes de auditoría, de cualquier otra parte de la organización e

o Incluir el “benchmarking” de las prácticas de la actividad de

auditoría interna y las mediciones del desempeño en contraposición con las mejores prácticas pertinentes a la profesión de auditoría interna.

5. Deben desarrollarse conclusiones respecto de la calidad del desempeño y

la acción apropiada iniciada para lograr mejoras y conformidad con las Normas, si resulta necesario.

6. El director ejecutivo de auditoría (DEA) debe establecer una estructura

para informar resultados de revisiones periódicas que mantengan la credibilidad y objetividad apropiadas. En general, aquellos a los que se les asignó la responsabilidad de conducir revisiones continuas y periódicas deben informar al DEA mientras realizan las revisiones y deben comunicar sus resultados directamente al DEA.

7. Comunicación de resultados – El DEA debe compartir los resultados de

las evaluaciones internas y los planes de acción necesarios con las personas apropiadas que se encuentren fuera de la actividad, tales como la alta gerencia, el Consejo y los auditores externos.

1312 - Evaluaciones Externas

Deben realizarse evaluaciones externas, tales como revisiones de aseguramiento de calidad, al menos una vez cada cinco años por un revisor o equipo de revisión cualificado e independiente, proveniente de fuera de la organización.

El Consejo para la Práctica 1312-1: Evaluaciones Externas que Interpreta la Norma 1312 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece:



Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta estas sugerencias cuando planifican y pactan realizar una evaluación externa. Esta guía no pretende representar todas las consideraciones necesarias para una evaluación externa, sino ser simplemente un conjunto recomendado de consideraciones de alto nivel respecto de la evaluación externa. El cumplimiento de este Consejo para la Práctica es opcional. 1. Consideraciones generales – Las evaluaciones externas de una actividad

de auditoría interna deben valuar y expresar una opinión en cuanto al cumplimiento de la actividad de auditoría interna con las Normas para el Ejercicio Profesional de Auditoría Interna y, si resulta apropiado, debe incluir recomendaciones de mejora. Estas revisiones pueden tener valor considerable para el director ejecutivo de auditoría (DEA) y otros miembros de la actividad de auditoría interna. Sólo personas cualificadas (párrafo 4 a continuación) debe realizar dichas revisiones.

2. Se requiere una evaluación externa dentro de los cinco años siguientes al

1 de enero de 2002. Es sumamente recomendable adoptar lo más pronto posible la nueva Norma que requiere una evaluación externa. Se estimula a las organizaciones que tuvieron evaluaciones externas a que realicen su próxima revisión externa dentro de los cinco años siguientes a la última efectuada.

3. Al terminar la revisión, debe enviarse una comunicación formal al

Consejo (de acuerdo con la definición del glosario de las Normas) y a la alta gerencia.

4. Calificaciones de los revisores externos -Los revisores externos,

incluyendo aquellos que validan auto-evaluaciones (párrafo 13 a continuación), deben ser independientes de la organización y de la actividad de auditoría interna. El equipo de revisión debe estar formado por individuos que sean competentes en la práctica profesional de auditoría interna y en el proceso de evaluación externa. Para ser considerados candidatos a realizar evaluaciones externas, los individuos calificados podrían ser revisores de Aseguramiento de Calidad del IIA, examinadores reguladores, consultores, auditores externos, otros profesionales proveedores de servicios y auditores internos que se encuentren fuera de la organización.

5. Independencia – La organización que está realizando la evaluación

externa, los miembros del equipo de revisión y otros individuos que participen en la evaluación deben encontrarse libres de obligación o interés respecto de la organización que se halle sujeta a la revisión o de su personal. Los individuos que estén en otro departamento de esa organización, aunque estén orgánicamente separados de la actividad de auditoría interna, no se consideran independientes para realizar una evaluación externa.



6. Los acuerdos de revisiones recíprocas entre colegas de tres o más

organizaciones pueden estructurarse de manera que se minimicen las preocupaciones por cuestiones de independencia. En general, no deben llevarse a cabo las revisiones recíprocas entre colegas de dos organizaciones.

7. Las evaluaciones externas deben ser realizadas por individuos

cualificados que sean independientes de la organización y que no tengan conflictos de intereses reales o aparentes. Ser “independientes de la organización” significa que no formen parte ni estén bajo el control de la organización a la cual pertenece la actividad de auditoría interna. Al seleccionar al revisor externo, debe considerarse el conflicto de intereses real o aparente que el revisor pueda tener debido a relaciones presentes o pasadas con la organización o su actividad de auditoría interna.

8. Integridad y objetividad – La integridad requiere que el equipo de

revisión sea honesto y franco dentro de los límites de la confidencialidad. El servicio y la confianza pública no deben encontrarse subordinados a la ganancia y ventaja personal. La objetividad es un estado mental y una cualidad que da valor a los servicios de un equipo de revisión. El principio de la objetividad impone la obligación de ser imparcial, ser intelectualmente honesto y estar libre de conflictos de intereses.

9. Competencia – El desempeño y la comunicación de resultados de una

evaluación externa requiere del ejercicio del juicio profesional. Por consiguiente, un individuo que se desempeña como revisor debe tener en cuenta lo siguiente:

o Ser auditor profesional certificado competente, por ejemplo, CIA,

CPA, CA o CISA, que posea conocimiento actualizado de las Normas,

o Encontrarse bien familiarizado con las mejores prácticas de la

profesión y o Tener al menos tres años de experiencia reciente en la práctica de

auditoría interna a nivel gerencial. 10. El equipo de revisión debe incluir a miembros con pericia en tecnología

de información y experiencia pertinente en la industria. Los individuos con pericia en otras áreas especializadas pueden ayudar al equipo externo de revisión. Por ejemplo, los especialistas en muestreo estadístico o expertos en auto-evaluaciones de control pueden participar en ciertos segmentos de la revisión.



11. Aprobación de la gerencia y del Consejo – El DEA debe hacer que la alta gerencia y el Consejo participen en el proceso de selección de un revisor externo y obtener su aprobación.

12. Alcance de las evaluaciones externas – La evaluación externa debe

consistir en una cobertura de amplio alcance que incluya los siguientes elementos de la actividad de auditoría interna:

o Cumplimiento con las Normas, el Código de Ética del IIA y el estatuto,

los planes, políticas, procedimientos, prácticas y requerimientos legislativos y reguladores aplicables de la actividad de auditoría interna,

o Las expectativas de la actividad de auditoría interna expresadas por el

Consejo, la gerencia ejecutiva y los gerentes operativos, o La integración de la actividad de auditoría interna en el proceso del

gobierno corporativo de la organización, incluyendo las relaciones de servicio entre los grupos clave que participan en ese proceso,

o Las herramientas y técnicas empleadas por la actividad de auditoría

interna, o La mezcla de conocimiento, experiencia y disciplinas dentro del

personal, incluyendo el enfoque del personal en la mejora en los procesos y

o La determinación de considerar si la actividad de auditoría agrega

valor y mejora las operaciones de la organización. 13. Auto-evaluación con validación independiente – Un proceso alternativo

es que el DEA opte por una auto-evaluación con validación externa independiente que muestre las siguientes características:

o Un proceso amplio y totalmente documentado de auto-evaluación. o Una validación independiente en las oficinas del cliente realizada por

un revisor calificado (párrafo 4 anterior). o Requerimientos económicos de tiempo y recursos.

14. Un equipo bajo la dirección del DEA debe realizar el proceso de auto-

evaluación. El Manual de Evaluación de Calidad del IIA contiene un ejemplo del proceso, incluyendo las pautas y herramientas para la auto-evaluación. Un revisor independiente cualificado debe realizar pruebas limitadas de la auto-evaluación para validar los resultados y expresar una opinión sobre el nivel indicado de la conformidad de la actividad con las Normas.



15. La comunicación de los resultados de la auto-evaluación debe seguir el

proceso presentado posteriormente (párrafo 17). 16. Aunque con una revisión externa completa se logre obtener el beneficio

máximo para la actividad y dicha revisión deba incluirse en su programa de calidad, la auto-evaluación con validación independiente suministra un medio alternativo para cumplir con esta Norma 1312.

17. Comunicación de resultados – Los resultados preliminares de la revisión

deben considerarse con el DEA durante y al concluir el proceso de evaluación. Los resultados finales deben comunicarse al DEA o a otra autoridad que haya permitido la revisión de la organización.

18. La comunicación debe incluir lo siguiente:

o Una opinión sobre el cumplimiento de la actividad de auditoría interna con las Normas que se base en un proceso estructurado de calificación. El término “cumplimiento” significa que las prácticas de la actividad de auditoría interna, tomadas como un todo, satisfacen los requerimientos de las Normas. Asimismo, la falta de “cumplimiento” significa que el impacto y la gravedad de la deficiencia en las prácticas de la actividad de auditoría interna son tan significativas que menoscaban la capacidad de la actividad de auditoría interna para cumplir con sus responsabilidades. La expresión de una opinión acerca de los resultados de la evaluación externa requiere la aplicación de buen juicio para los negocios, integridad y debido cuidado profesional.

o Una evaluación y determinación del uso de las mejores prácticas,

tanto las observadas durante la evaluación y como las posiblemente aplicables a la actividad.

o Recomendaciones de mejora, cuando resulten apropiadas. o Las respuestas del DEA que incluyan un plan de acción y sus fechas

de implementación. 19. El DEA debe comunicar los resultados de la revisión y el plan de acción

necesario a la alta gerencia, si resulta apropiado, y al Consejo.

1320 - Reporte sobre el Programa de Calidad El director ejecutivo de auditoría debe comunicar los resultados de las evaluaciones externas al Consejo.

El Consejo para la Práctica 1320-1: Reporte sobre el Programa de Calidad que Interpreta la Norma 1320 de las Normas para el Ejercicio Profesional de la Auditoría Interna, establece:



Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta las siguientes sugerencias en ocasión de reportar sobre el programa de calidad. Esta guía no pretende abarcar todas las consideraciones que pueden ser necesarias, sino ser simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es opcional. 1. Al finalizar una evaluación externa, el equipo revisor debe emitir un

informe formal que contenga una opinión sobre el cumplimiento por parte de la actividad de auditoría interna de las Normas, del Estatuto y de otras normas aplicables, e incluir recomendaciones apropiadas de mejora. El informe debe ser remitido a la persona u organización que solicitó la evaluación. El director ejecutivo de auditoría debe preparar un plan de acción por escrito en respuesta a los comentarios y recomendaciones significativos contenidos en el informe de evaluación externa, y es responsable de realizar un seguimiento adecuado del mismo.

2. La evaluación del cumplimiento de las Normas es un componente crítico

de la evaluación externa. El equipo revisor debe conocer las Normas de modo que pueda evaluar y opinar sobre el cumplimiento por parte de la actividad de auditoría interna. Sin embargo, según se expresa en el Consejo para la Práctica 1310-1, hay criterios adicionales que deben considerarse al evaluar el desempeño de la actividad de auditoría interna.

1330 - Utilización de "Realizado de Acuerdo con las Normas"

Se anima a los auditores internos a informar que sus actividades son "realizadas de acuerdo con las Normas para el Ejercicio Profesional de la Auditoría Interna". Sin embargo, los auditores internos podrán utilizar esta declaración sólo si las evaluaciones del programa de mejoramiento de calidad demuestran que la actividad de auditoría interna cumple con las Normas. El Consejo para la Práctica 1330-1: Utilización de "Realizado de Acuerdo con las Normas" que Interpreta la Norma 1330 de las Normas para el Ejercicio Profesional de la Auditoría Interna

Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en cuenta estas sugerencias cuando utilicen la frase "realizado de acuerdo con las Normas para el Ejercicio Profesional de la Auditoría Interna". Esta guía no pretende ser totalmente incluyente, sino simplemente complementar las Normas. El cumplimiento de este Consejo para la Práctica es opcional.

Consideraciones Generales – Las evaluaciones externas e internas de una actividad de auditoría interna deben realizarse para valuar y expresar una opinión en cuanto al cumplimiento de la actividad de auditoría interna con las Normas para el Ejercicio Profesional de Auditoría Interna y, si resulta



apropiado, debe incluir recomendaciones de mejora. Estas revisiones pueden tener considerable valor para los procesos de gobierno de la organización, el director ejecutivo de auditoría (DEA) y otros miembros de la actividad de auditoría interna. Sólo personas cualificadas deben realizar estas revisiones. Se requiere una evaluación externa dentro de los cinco años siguientes al 1 de enero de 2002. Es altamente recomendable la pronta adopción de la nueva Norma que requiere una evaluación externa. Se alienta a que las organizaciones que tuvieron revisiones externas soliciten su próxima revisión dentro de los cinco años siguientes a la última realizada. Uso de la frase de cumplimiento – El uso de la frase de cumplimiento requiere que se lleven a cabo evaluaciones periódicas del programa de mejoramiento de calidad y se indique como conclusión que la actividad de auditoría interna cumple con las Normas. Los casos de falta de cumplimiento que impacten en el alcance u operación global de la actividad de auditoría interna, incluyendo el no poder obtener una evaluación externa antes del 1 de enero de 2007, deben declararse a la alta dirección y al Consejo. Cualquier caso significativo de falta de cumplimiento debe ser solucionado antes de que la actividad de auditoría interna utilice la frase de cumplimiento. La falta de cumplimiento que haya sido declarada por una evaluación de calidad (interna o externa) o cubierta por recomendaciones relacionadas debe ser adecuadamente solucionada y las acciones llevadas a cabo deben ser documentadas e informadas al evaluador o evaluadores relevantes, así como a la alta dirección y al Consejo, antes de que la actividad de auditoría interna utilice la frase de cumplimiento.

1340 - Declaración de Incumplimiento Si bien la actividad de auditoría interna debe lograr el cumplimiento total de las Normas y los auditores internos deben lograr el cumplimiento total del Código de Ética, puede haber instancias en las cuales no se logre el cumplimiento total. Cuando el incumplimiento afecte el alcance general o la operatoria de la actividad de auditoría interna, debe declararse esta situación a la dirección superior y al Consejo.

Como todos sabrán las Normas de Auditoría han sufrido cambios, siendo probablemente la sección sobre aseguramiento de calidad la que muestre con mayor claridad el nuevo enfoque de las Normas –realmente muestra el nuevo énfasis para agregar valor. En las Normas anteriores, no había una Norma sobre aseguramiento de calidad. Había una sección guía titulada “Aseguramiento de Calidad” dentro de la Norma 500, Administración del Departamento de Auditoría Interna. Ahora existen siete Normas separados y obligatorios sobre aseguramiento de calidad y programas de mejoramiento. Siendo estas las expuestas más arriba e identificadas como serie 1300. El propósito de estas normas, y del programa de Aseguramiento de Calidad -Quality Assurance (QA)- mencionado reúnen tres conceptos claves:



1. Evaluar la efectividad de una actividad de Auditoría Interna al proporcionar

servicios de aseguramiento y consultoría a las máximas autoridades de la organización.

2. Evaluar la conformidad con las Normas y proporcionar una opinión sobre si la

actividad de auditoría interna en general se conforma a todos ellos. 3. Identificar oportunidades, ofrecer recomendaciones para el mejoramiento y

proporcionar asesoramiento al Directorio y al personal para mejorar su desempeño y servicios y promover la imagen y credibilidad de la función de auditoría interna.

La parte inherente a la tarea de administrar una actividad de Auditoría Interna dentro del Marco de Aseguramiento de Calidad, incluye los siguientes aspectos:

1. Una declaración de política sobre el control de las actividades de la organización. 2. El estatuto de la actividad de Auditoría Interna, que tiene como génesis la declaración

de política. 3. El ambiente de control de la práctica de auditoría y la influencia del Director Ejecutivo

de Auditoría. 4. La capacidad de la actividad de Auditoría Interna para agregar valor a la empresa. 5. Aseguramiento de que la actividad de Auditoría Interna se enfoca en la administración

del riesgo de la empresa, los procesos de control de gobierno y alinea sus planes de auditoría a los objetivos de la empresa.

6. Prácticas relevantes de actividades exitosas de auditoría compiladas por el IIA.

El alcance de las tareas de Aseguramiento de Calidad incluye los siguientes elementos clave de la práctica profesional de auditoría interna:

1. Las expectativas de la actividad expresada por el grupo de vigilancia, la administración ejecutiva y sus otros “clientes” unidades operacionales y de apoyo de la administración.

2. El ambiente de control de la entidad y el ambiente de la práctica de auditoría del

Directorio.

3. El enfoque en la evaluación del riesgo de la empresa, la evaluación de controles organizacionales, y la inclusión de aspectos del proceso de gobierno en los planes de auditoría para asegurar que las actividades de auditoría agregan valor a la empresa.

4. La integración de la auditoría interna en el proceso de gobierno de la organización,

incluyendo las relaciones de subalternos y las comunicaciones entre y con los grupos



clave involucrados en ese proceso y la alineación de planes y objetivos de auditoría con los objetivos estratégicos de la entidad como un todo.

5. Las Normas, incluyendo las cinco categorías principales del IIA de objetivos del control

interno.

6. La mezcla de conocimiento, experiencia y disciplinas dentro del personal, incluyendo el enfoque del personal sobre el mejoramiento del proceso y actividades de valor agregado.

7. Las herramientas y técnicas empleadas por el departamento, con énfasis en el uso de

tecnología.



8. Estándares para la Práctica Profesional de la Auditoría de Sistemas de Información Hasta ahora nos hemos referido solo a la normas de auditoría interna pero no debemos de olvidar que existen otras normas que son y deben ser aplicadas por otros profesionales que integran los equipos de auditoría, es este caso nos referimos a los auditores de sistemas de información. El INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA), funciona como autoridad de la profesión de Auditoría de los Sistemas de Información que aborda cuestiones significativas que afectan a los auditores de Sistemas de Información (SI), y es la única organización dedicada exclusivamente al progreso del auditor de SI y a su profesión en todo el mundo. Monitorea la legislación, las regulaciones o pronunciamientos de otras organizaciones profesionales de todo el mundo sobre asuntos que directa o indirectamente impacten en la práctica de la auditoría de SI. Las normas para la práctica de la auditoría de sistemas de información incluyen:

□ Código de Ética Profesional □ Normas de Auditoría de SI □ Directivas de Auditoría de SI □ Procedimientos de Auditoría de SI

Los sistemas basados en computadoras son herramientas útiles y omnipresentes que se aplican en la gestión y operación de muchas organizaciones. Tales sistemas pueden efectuar el control sobre muchos activos y operaciones de una organización. El desarrollo y respaldo de estos sistemas puede exigir una porción significativa de todos los recursos de la organización. Cuando se presentan tales condiciones, la misión del auditor puede incluir auditar el desarrollo, implementación, mantenimiento y operación de los sistemas. El trabajo de los auditores, sean externos o internos, se rigen en general por estándares desarrollados por una cantidad de organizaciones profesionales, cada una de las cuales busca asegurarse de la calidad del trabajo de auditoría que se realiza. El carácter especializado de la auditoría de sistemas de información y las habilidades necesarias para llevar a cabo una auditoría de esta índole requieren normas generales específicamente aplicables a la auditoría de sistemas de información. Como consecuencia de ello, uno de los objetivos de ISACA es proponer normas para satisfacer esta necesidad.



La auditoría de sistemas de información se define como cualquier auditoría que cubre la revisión y evaluación de todos los aspectos (o alguna parte) de sistemas de procesamiento automatizado de información, incluyendo los procesos relacionados no automatizados, y las interfaces con ellos. Los auditores de sistemas de información examinan y evalúan el desarrollo, implementación, mantenimiento y operación de los componentes de sistemas automatizados (o tales sistemas como un todo) y sus interfaces con áreas no automatizadas de las operaciones de la organización. Los objetivos de tales auditorías por lo general son evaluar el grado en que estos sistemas o componentes de los mismos producen información confiable y exacta y determinar si tal información está en conformidad con requerimientos de la gerencia y cualquier disposición normativa aplicable. Los objetivos de las Normas de Auditoría de Sistemas de Información de ISACA son informar a:

□ Los auditores de sistemas de información del nivel mínimo de rendimiento aceptable que se requiere para cumplir con las responsabilidades profesionales expuestas en el Código de Ética Profesional para auditores de sistemas de información.

□ La gerencia y otras partes interesadas de las expectativas de los profesionales

respecto de su propio trabajo. El objetivo de las Directivas de Auditoría de Sistemas de Información es proporcionar información adicional sobre la manera de cumplir con las Normas de Auditoría de Sistemas de Información. Las Normas de Auditoría de Sistemas de Información emitidas por ISACA comprenden:

□ Normas: definen los requisitos obligatorios para la auditoría de sistemas de información y la presentación de informes.

□ Directivas: brindan una orientación para la correcta aplicación de las normas de

auditoría de SI. El Auditor de SI debe tenerlos en cuenta al determinar cómo llevar a cabo la implementación de las normas mencionadas, utilizar el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación respecto de los mismos.

□ Procedimientos: brindan ejemplos de procedimientos que podría seguir un

auditor de sistemas de información en un contrato de auditoría. Los documentos contienen procedimientos que proporcionan información sobre la manera de cumplir con las normas al realizar tareas de auditoría de sistemas de información, pero no establecen requisitos.

El Código de Ética Profesional de ISACA exige que los miembros de la Asociación y los titulares de la designación CISA (Auditor Certificado de Sistemas de Información) cumplan con las Normas de Auditoría de Sistemas de Información adoptadas por ISACA.



El manifiesto incumplimiento de las mismas puede conducir a una investigación de la conducta del miembro de la Asociación o del titular de la designación CISA por parte del Consejo Directivo de ISACA o del comité de ISACA que corresponda, con la eventual ocurrencia de acciones disciplinarias. Relación entre las Normas de Auditoría de Sistemas de Información y otras Normas de Auditoría: Las normas de auditoría de sistemas de información promulgadas por ISACA no reemplazan a las normas de auditoría o reglamentaciones desarrolladas por otras organizaciones profesionales o entes gubernamentales. En situaciones en las que se perciba un conflicto entre las normas de ISACA y los de otro ente, es responsabilidad del auditor utilizar su juicio profesional, a partir de los hechos específicos de las situaciones, a fin de resolver la cuestión.


Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina

Bibliografía consultada:

1. Concepto Moderno de la Auditoría Interna – Eduardo Hevia Vazquez- Instituto de Auditores Internos e España

2. Normaría - Boletín de la Comisión de Normas y Asuntos Profesionales del Instituto de Auditores Internos de Argentina.

3. Normas y estándares de Auditoría Interna – IIA 4. Normas de Auditoría ISACA 5. Manual de QAR

©2004 Instituto de Auditores Internos de Argentina 71 - Parte I El rol de la auditoría interna


CAPITULO II. Establecer un plan basado en el riesgo. 1. Establecer un marco para evaluar el riesgo. 2. Utilizar el marco. 3. Identificar los requerimientos de recursos. 4. Coordinar los esfuerzos de la actividad de auditoría interna. 5. Seleccionar los trabajos. 6. Identificar el alcance de los trabajos.



La planificación basada en el riesgo. Normas para la práctica relacionadas. Las normas para la práctica profesional de la auditoría interna establecen que: Norma 2010: El director ejecutivo de auditoría debe establecer planes basados en los riesgos a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. Por su parte la norma 2010.A1 determina que: El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo.

La norma 2210.A1 determina que el auditor debe realizar una identificación de los riesgos relevantes de la actividad bajo revisión y que los objetivos del trabajo deben reflejar dichos resultados.

Cuando se planifica la auditoría, el auditor interno debe identificar los riesgos relevantes de la actividad bajo revisión. Los objetivos del trabajo deben reflejar los resultados de esta evaluación.

El consejo para la práctica relacionado, aclaramos que su cumplimiento no es obligatorio, dice:

El auditor interno debe considerar la evaluación de riesgos de la administración con relación a las actividades bajo revisión.

Particularmente se deberá tener en cuenta:

La confiabilidad de la evaluación de riesgos de la administración.

El monitoreo e informe de las cuestiones de riesgo.

Los informes de eventos que hayan excedido el limite acordado para la tolerancia del riesgo.

El consejo, también indica, la necesidad de revisar antecedentes para determinar el impacto del trabajo. En particular es necesario, realizar la revisión de:



Objetivos y metas.

Políticas, planes, procedimientos, leyes, regulaciones y contratos que pudieran tener un impacto significativo en las operaciones y reportes.

Información organizacional acerca del número de empleados, descripciones de puesto y detalles sobre los cambios recientes en la organización incluidos cambios de sistemas que fueren significativos.

Información del presupuesto, resultados operacionales y datos financieros de la actividad bajo revisión.

Resultados de otros trabajos incluido el trabajo de auditores externos.

Papeles de trabajo anteriores.

Este consejo, también recomienda la necesidad de realizar una investigación preliminar para hacerse familiar con las actividades, riesgos y controles para identificar áreas de énfasis de trabajo, para invitar a que los clientes realicen sus sugerencias y comentarios, para que el auditor pueda identificar áreas que merecen un énfasis especial, obtenga información para su uso posterior en el trabajo y determine la necesidad de la auditoría.

Al final de la entrevista el auditor debe preparar un resumen de los resultados de la revisión del riesgo, la información de antecedentes y las observaciones que pudieren haber surgido.

El resumen debería identificar, entre otros:

Temas importantes y las razones para verlos con mayor profundidad.

Información pertinente de todas las fuentes.

Objetivos del trabajo, procedimientos, y enfoques especiales como técnicas asistidas por computadora.

Estimaciones preliminares de tiempo y recursos.

Cuando sea aplicable los razones para no continuar el trabajo.

Las normas y el consejo para la práctica relacionado, establecen claramente la necesidad de que el auditor contemple ampliamente las cuestiones de riesgo en la planificación de la auditoría interna.



Marco para la evaluación de riesgos.

Riesgo. Definiciones.

Se define al riesgo como la “probabilidad de que hechos o acciones impacten negativamente en la consecución de los objetivos de una organización”.

Se acostumbra medir al riesgo en términos de la probabilidad de ocurrencia y la gravedad de las consecuencias si ocurren las amenazas que el riesgo involucra.

No pueden evaluarse de la misma forma aquellos riesgos que tienen una alta probabilidad de ocurrencia que aquellos cuya probabilidad es remota.

De la misma forma no resultan tener la misma gravedad los riesgos que involucren pérdidas de $1000 que aquellos que representen pérdidas de $1000000.

La gravedad puede establecerse teniendo en cuenta:

Tipo de amenaza.

Duración.

Exposición.

Por tipo de amenaza entendemos la clase de daño si se materializan las amenazas que el riesgo involucra. En este caso el auditor debe ponderar los potenciales daños que ocurrirán en la organización en el caso que ocurran los hechos o acciones cuya amenaza implica el riesgo.

Por duración establecemos el tiempo en que la organización se encuentra expuesta al riesgo y por exposición el grado o alcance que tiene la amenaza.

Para ejemplificar un poco todo esto podemos decir que dado el mismo tipo de riesgo o amenaza será mayor la evaluación del riesgo cuanto mayor sea la exposición y la duración de la amenaza.

Un riesgo que involucre a toda la organización será evaluado con mayor gravedad que otro cuyo alcance se encuentre restringido a un solo sector de la misma.

Del mismo modo, un riesgo que exponga a la organización durante mayor tiempo será evaluado con mayor gravedad que otro cuya permanencia en el tiempo o duración fuera menor.



Características de la evaluación de riesgos.

La evaluación de riesgos, como el control interno son responsabilidades integrales y continuas de la Dirección.

Se trata de un proceso sistemático para evaluar e integrar juicios profesionales sobre las condiciones y hechos adversos. El proceso debería ser la base para la planificación de la auditoría interna. Se deberán asignar mayores prioridades a aquellas áreas que involucren mayores riesgos.

Las fuentes que el auditor debe integrar son variadas y complejas:

Discusiones con el directorio y distintos miembros de la alta dirección.

Discusiones con el personal de auditoría interna y externa.

Consideración de las leyes y contratos aplicables.

Análisis de los datos operativos y financieros.

Resultados de las anteriores auditorías.

Tendencias de la industria o la economía.

Como vimos los riesgos pueden tener fuentes externas o internas, a continuación algunos riesgos o barreras que pueden obstruir la obtención de los objetivos:

Una nueva ley o regulación que distrae recursos de las operaciones requeridas para alcanzar los objetivos.

Un competidor introduce un nuevo producto o servicio que requiere acción inmediata y crea un nuevo objetivo que disminuye la prioridad de los anteriores objetivos.

Un cambio tecnológico convierte a uno o más objetivos obsoletos.

Como la lista de objetivos parece sin fin, el propósito de la evaluación de riesgos es dar sentido, orden y limitación a esta lista. Por otra parte, el número de riesgos no es estático: cambian continuamente y aparecen nuevos riesgos.

El proceso de evaluación de riesgos debe ser organizado y realizado de una forma ordenada.

En realidad no solo el auditor debe basar su plan de auditoría en una evaluación de los riesgos, sino que los propios objetivos de auditoría deben proporcionar a la administración información para mitigar los riesgos asociados con el cumplimiento de



los objetivos como una evaluación de la efectividad de las actividades de administración de los riesgos de la Dirección.

La auditoría interna también debería considerar los componentes del plan estratégico de la organización. El plan estratégico incluye como enfrenta la organización a sus riesgos y el grado de dificultad para alcanzar los objetivos planeados.

Cambios en la dirección de la administración, objetivos, énfasis y el foco deben reflejar en actualizaciones al universo de auditoría y al plan relativo de auditoría.

Es aconsejable que el universo de auditoría se evalúe al menos anualmente para reflejar los cambios en las estrategias y en la dirección de la organización.

Muchas veces, los planes de auditoría pueden necesitar ser actualizados frecuentemente (cuatrimestralmente) en repuesta a los cambios en el ambiente de la organización.

Los distintos modelos que existen para evaluar la exposición al riesgo deberían contemplar la gravedad del riesgo y la probabilidad de su ocurrencia.

Para que la dirección entienda el grado de exposición es clave que el auditor identifique claramente la gravedad y consecuencia de la exposición al riesgo para conseguir los objetivos.

Por último el citado informe COSO indica, sobre la evaluación de riesgos:

....”El evaluador ha de concentrarse en el proceso por parte de la Dirección de fijación de objetivos, de análisis de riesgos y gestión de cambios, incluyendo su vinculación y su relevancia para las actividades del negocio”...

El mismo informe incluye una lista de factores que la persona encargada de la evaluación debe tener en cuenta:

Objetivos globales.

El grado de claridad e integridad de los objetivos.

La eficacia en el cumplimiento de los objetivos.

La vinculación y coherencia de los objetivos con la estrategia.

La coherencia de los planes de negocio y de los presupuestos con los objetivos de la entidad y sus planes estratégicos.



Objetivos particulares.

Conexión de los objetivos de cada actividad con los objetivos globales y planes estratégicos.

La coherencia entre los objetivos de cada actividad.

Relevancia de dichos objetivos para los procesos empresariales importantes.

Idoneidad de los recursos con relación a los objetivos.

Identificación de los objetivos de cada actividad que son importantes o críticos para el cumplimiento de los objetivos generales.

Participación en la determinación de los objetivos de los empleados que ocupan puestos de responsabilidad en todos los niveles y grado de compromiso con el cumplimiento de los mismos.

Riesgos.

Idoneidad de los mecanismos para identificar riesgos externos.

Idoneidad de los mecanismos para identificar riesgos internos.

Identificación de todos los riesgos importantes que puedan impactar en cada objetivo relevante.

Identificación y relevancia del proceso de análisis de riesgos, la probabilidad de que se materializen y la determinación de acciones oportunas.

Gestión de cambios.

Existencia de mecanismos para prever, identificar y reaccionar ante los acontecimientos y actividades que influyen en el cumplimiento de objetivos globales o específicos.

Existencia de mecanismo para identificar y reaccionar ante los cambios que pueden afectar a la actividad de una forma más dramática y duradera y que puedan requerir la intervención de la Alta Dirección.



1. En el establecimiento de un marco para evaluar el riesgo.

El informe COSO1define al control interno como “un proceso realizado por el directorio, las gerencias y demás personal de la empresa con el objeto de brindar una razonable seguridad sobre el logro de los objetivos en las siguientes categorías:

Efectividad y eficacia de las operaciones.

Cumplimiento de las leyes y reglamentaciones aplicables.

Confiabilidad de la información financiera.”

El mismo informe establece cinco componentes del control interno.

Estos cinco componentes se encuentran integrados a la función de dirección y son los siguientes:

Ambiente de control:

Evaluación del riesgo.

Actividades de control.

Información y comunicación.

Monitoreo.

Por ambiente de control entendemos la integridad, los valores éticos y la competencia.

Consiste en el estilo y la filosofía de la dirección, en los métodos de asignar autoridad y responsabilidad y en la organización y el desarrollo del personal.

El informe COSO define a la evaluación de riesgos como la identificación y el análisis de los riesgos relevantes para el cumplimiento de los objetivos y la determinación de cómo los riesgos deben ser administrados.

Las actividades de control son las políticas y procedimientos relacionados con las aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisión de operaciones, seguridad de activos y segregación de responsabilidades.

La información debe ser pertinente y debe ser comunicado con el objeto que el personal pueda llevar adelante sus responsabilidades.

1 Control Interno, Marco Integrado , Comité de Organizaciones patrocinadoras de la Comisión Treadway.



El monitoreo consiste en el seguimiento del sistema para determinar su adecuado funcionamiento.

El informe COSO y el marco para la evaluación del riesgo.

El informe COSO, Marco Integrado de control interno, comenta que:

...”Cada organización se enfrenta con riesgos externos e internos que debe evaluar. Una precondición para la evaluación de riesgos es el establecimiento de objetivos enlazados en diferentes niveles y consistentes entre sí. La evaluación del riesgo es la identificación y análisis de los riesgos relevantes para el logro de los objetivos de la organización, determinando una base para determinar como se deben manejar los riesgos. En razón que las condiciones económicas, industriales, regulatorias y operativas seguirán cambiando se debe implementar mecanismos que identifiquen y traten convenientemente aquellos riesgos asociados al cambio”...

La metodología del informe COSO.

El informe COSO incluye una parte denominada Herramientas de Evaluación. Estas herramientas no son obligatorias sino que se trata de herramientas ejemplificativas.

Las herramientas de evaluación contienen dos tipos de instrumentos:

Una herramientas de componentes.

Hojas de trabajo de las actividades de control.

La herramienta de componentes detalla los cinco componentes del control interno, que fueron anteriormente comentados:

Ambiente de control.

Evaluación de riesgos.

Actividades de control.

Información y comunicación.



Monitoreo.

Esta herramienta está diseñada para evaluar cada uno de los componentes en la organización. Cada componente se encuentra subdividido en objetivos y a su vez estas cuestiones están comprendidas por uno o más medios para asegurar su cumplimiento que son denominados puntos donde centrar las acciones.

Un ejemplo de la herramienta de componentes figura abajo:

Exhibit 8.3

Compromiso de competencia.

La Dirección debe especificar el nivel de competencia necesaria para los puestos y traducir los niveles deseados de competencia en requisitos de conocimientos y habilidades.

Descripciones de puesto formales o informales u otros medios para definir tareas que comprendan los puestos. Por ejemplo considerar si:

La dirección ha analizado, en una base formal o informal, las tareas que comprenden determinados puestos, considerando factores tales como el alcance de la autoridad y la supervisión requerida.

Análisis del conocimiento y habilidades necesarias para desempeñar el puesto en forma adecuada. Por ejemplo considerar si:

La dirección ha determinado una extensión adecuada al conocimiento y habilidades necesarias para desempeñar un puesto en particular.

Existe evidencia que indique que los empleados aparentan tener los requisitos y habilidades necesarios.

Cuando el auditor completa la evaluación se ingresan las observaciones.

Un ejemplo del exhibit completo es el siguiente:

En negrita e itálica figuran las observaciones realizadas por el auditor.

Compromiso de competencia.



La Dirección debe especificar el nivel de competencia necesaria para los puestos y traducir los niveles deseados de competencia en requisitos de conocimientos y habilidades.

Descripciones de puesto formales o informales u otros medios para definir tareas que comprendan los puestos. Por ejemplo considerar si:

La dirección ha analizado, en una base formal o informal, las tareas que comprenden determinados puestos, considerando factores tales como el alcance de la autoridad y la supervisión requerida.

La compañía tiene una descripción formal de puestos para todo el personal de supervisión y para los puestos que involucran sólo algunas tareas específicas y las responsabilidades de los puestos son claramente comunicadas.

Análisis del conocimiento y habilidades necesarias para desempeñar el puesto en forma adecuada. Por ejemplo considerar si:

La dirección ha determinado una extensión adecuada al conocimiento y habilidades necesarias para desempeñar un puesto en particular.

Existe evidencia que indique que los empleados aparentan tener los requisitos y habilidades necesarios.

Las descripciones de puesto especifican el conocimiento y las habilidades necesarias tanto en forma general como en términos de la educación, capacitación y decisiones de promoción.



Por su parte la hoja de actividades de control especifica objetivos, riesgos y controles.

Su contenido abarca:

Objetivos

Categoría de objetivos: que puede ser operacional, financiera o de cumplimiento.

Factores de riesgo: que son los riesgos específicos que pueden impedir el cumplimiento de los objetivos.

Probabilidad: la probabilidad de ocurrencia de los riesgos que amenazan el cumplimiento de los objetivos

Actividades de control, que son las actividades de control que pueden prevenir o detectar la ocurrencia de los riesgos.

Otros objetivos afectados, la referencia cruzada a otros objetivos que pueden verse afectados por los riesgos o las actividades de control.

Evaluación y conclusión, que es la opinión del auditor interno sobre la efectividad del control en el manejo del riesgo que amenaza el cumplimiento de los objetivos.

Como ejemplo incluimos este exhibió que figura como modelo:

Objetivos: Todos los materiales recibidos son apropiadamente registrados.

Clase de objetivos: Los objetivos se encuentran divididos en diferentes categorías las cuales son las siguientes:

Los objetivos operacionales son aquellos relacionados con las operaciones, es decir la eficacia y la eficiencia con que se desarrollan las operaciones, los objetivos de rendimiento y rentabilidad y la salvaguarda de recursos contra posibles pérdidas.

Los objetivos financieros se refieren a la preparación de información financiera confiable y a la prevención de la falsificación de información financiera.

Los objetivos de cumplimiento están relacionados con el cumplimiento de leyes, normas y reglamentaciones.

Factores de riesgo: que las cantidades realmente recibidas no sean iguales a las cantidades indicadas en la orden de compra o documento de embarque del proveedor.

Probabilidad: media / baja.



Actividades de control: Las mercaderías recibidas son contadas y pesadas. También se efectúa un segundo conten sobre una base aleatoria por el supervisor del departamento de recepción. Las cantidades recibidas de acuerdo al informe de recepción son conciliadas con la documentación de embarque o la orden de compra. Los defectos de recepción son anotados en el documento de recepción y se rechaza el material recibido en exceso y se devuelve al proveedor.

Relación con otros objetivos: Relacionado con el objetivo de producción # 10 (descripto previamente).

Evaluación y conclusión: Los controles son suficientes para asegurar razonablemente el cumplimiento de los objetivos.

En líneas generales el modelo pasa por:

La identificación del objetivo, lo cual hace que la identificación del riesgo se facilite.

Al mismo tiempo, la identificación del riesgo hace que pueda establecerse una probabilidad de ocurrencia en base a la información histórica.

Cuando el riesgo se conoce las actividades de control para prevenir su ocurrencia también pueden ser identificadas.

La relación con otros objetivos consiste en encontrar los mismo riesgos y/o actividades de control en otros objetivos.

Por último, se establece una conclusión sobre la eficacia del control.

Una vez terminado el análisis de objetivos, riesgos y controles el programa de auditoría va a estar dirigido a probar si los controles están funcionando de acuerdo a lo planeado.

En una primera parte se prueba la eficacia del control y en la auditoría se realiza una prueba de cumplimiento, y la conclusión de la auditoría será una medida de dicho desempeño. Para que quede más claro, las preguntas que un auditor se haría serían:

Etapa de análisis de los objetivos, riesgos y controles.



1. ¿Cuál es el objetivo?

2. ¿Cuáles son lo/s riesgo/s que amenazan dicho objetivo?

3. ¿Cuál es la probabilidad/es de ocurrencia/s de dicho/s riesgo/s?

4. ¿Cuáles son las actividades de control implementadas para hacer frente a dicho/s riesgo/s?

5. ¿Es suficiente el control implementado para hacer frente a el/los riesgo/s identificado/s?

Prueba de cumplimiento de controles.

1. ¿Los controles se encuentran funcionando adecuadamente, es decir de acuerdo a como fueron diseñados para hacer frente a los riesgos que pretenden controlar?

Utilizando un marco para la planificación basada en el riesgo.

El informe COSO proporciona un marco adecuado para la evaluación de los objetivos, riesgos y controles.

Por otra parte, una planificación basada en el riesgo significa que el auditor interno oriente sus esfuerzos de auditoría a aquellas áreas de mayor riesgo para la organización.

Además implica que debe realizar una evaluación de riesgos, al menos en forma anual con el objeto de medir la exposición al riesgo de la organización.



Modelo para la planificación basada en el riesgo.

IDENTIFICAR ACTIVIDADES AUDITABLES

DETERMINAR FACTORES DE

RIESGO

PONDERAR LOS FACTORES

DE RIESGO



DETERMINAR UNA ESCALA PARA LOS FACTORES DE

RIESGO

EVALUAR Y DESARROLLAR ACTIVIDADES AUDITABLES.

EVALUAR Y DESARROLLAR

PLANES.



Identificación de las actividades auditables. Por actividad auditable entendemos toda aquella que puede ser definida y evaluada. En términos prácticos la lista es muy extensa. A modo de ejemplo podemos citar: Políticas, procedimientos y prácticas. Centros de costo, beneficios o inversión. Cuentas del mayor general. Sistemas de información (manuales y computadorizados) Contratos y programas. Unidades organizacionales tales como productos y líneas de servicio. Funciones tales como procesamiento electrónico de datos, compras, marketing,

producción , finanzas, contabilidad y recursos humanos. Estados financieros. Leyes y regulaciones.

El primer paso de la planificación basada en el riesgo consiste precisamente en la identificación de las actividades auditables de la organización. La pregunta a la cual el auditor debería responder en primera instancia sería: ¿Qué se quiere auditar? Factores de riesgo. Una vez elegida la actividad auditable es necesario conocer los factores de riesgo que amenezan el cumplimiento de los objetivos. Los factores de riesgo son según el SIAS 9 2aquellos criterios utilizados para evaluar la significación relativa y la probabilidad de que eventos o hechos puedan afectar adversamente la organización. Entre ellos podemos citar: Clima ético y presión de la administración para alcanzar los objetivos. Competencia, adecuación e integridad del personal. Condiciones económicas y financieras. Condiciones competitivas. Complejidad y volatilidad de las operaciones. Impacto de los clientes, proveedores y regulaciones del gobierno. Grado de computarización de los sistemas de información. Dispersión geográfica de las operaciones. Adecuación y eficacia del sistema de control interno. Cambios económicos, operacionales o tecnológicos. Juicios y estimaciones contables de la organización. Aceptación de las observaciones de auditoría y acciones correctivas tomadas.

2 Statement on Internal Auditing Standard, Risk Assesment. Institute of Internal Auditors.



Fecha y resultados de las auditorías previas. Ponderar los factores de riesgo. La ponderación de los factores de riesgo implica asignar una calificación a los riesgos: Muy importante Importancia promedio. Baja importancia.

La ponderación puede ser llevada a una escala numérica basada en información cualitativa o cuantitativa, por ejemplo: Escala numérica basada en información cualitativa:

1= controles fuertes. 5= controles inadecuados. Escala numérica basada en información cuantitativa. 1=<$50000 5=>$1000000 Escala numérica basada en el tiempo (desde la última auditoría). 1= reciente. 5= 5 y + años. Evaluar actividades auditables. En función de los factores de riesgo se evalúan las actividades auditables y en función de ello se planifica la auditoría. El auditor va a tener una lista de actividades auditables con la ponderación razonable y objetiva de sus riesgos basada en un enfoque racional de evaluación de riesgos. En función de la evaluación de riesgos que realice y de otros elementos que se tendrán en cuenta más adelante podrá realizar la planificación de su trabajo basado en el riesgo.



Planificación de la auditoría. Por planificación entendemos el proceso cuya responsabilidad recae en el Director de Auditoría Interna que incluye: a) Las actividades que van a ser auditadas. b) Cuando serán auditadas. c) La fecha estimada requerida teniendo en consideración el alcance del trabajo planeado y

el alcance del trabajo desarrollado. Las cuestiones a ser consideradas en el establecimiento de este presupuesto tendrán en cuenta entre otros:

Riesgo y pérdida potencial. Pedidos del management. Exposición financiera. Resultados de las últimas auditorías. Cambios a las operaciones, programas, sistemas y controles. Cambios en las competencias del personal de auditoría interna. Oportunidades de alcanzar algún beneficio operativo u ahorro.

El presupuesto debe ser lo suficientemente flexible para cubrir cambios imprevistos o no anticipados. La planificación de la auditoría estará relacionada con: Recursos presupuestarios. Recursos de personal. Pedidos de trabajos especiales de auditoría. Magnitud de las operaciones. Intención de cubrir distintos aspectos de la organización. Experiencia del auditor.

En función de todo ello debe elegirse aquellas actividades auditables que proporcionarán un adecuado balance entre los requerimientos de la organización y las posibilidades de la auditoría. Como dijimos antes la planificación basada en el riesgo implica orientar los esfuerzos del departamento de auditoría interna en tono con los riesgos que implican las actividades que la organización realiza.



Podemos resumir el plan basado en el riesgo en lo siguientes elementos: 1. Identificar actividades auditables. 2. Evaluar los riesgos que dichas actividades tienen. 3. Determinar un “ranking de riesgos” en las distintas actividades auditables. 4. Planificar la auditoría basada en el riesgo, teniendo en cuenta los recursos de personal y

presupuesto con los que el departamento de auditoría cuenta, la magnitud de las operaciones y el alcance que se le quiera dar a la auditoría.

5. La planificación de la auditoría basada en el riesgo, implica que a mayor riesgo mayor

alcance y esfuerzo de auditoría.



Bibliografía consultada: Sawyer’s Internal Auditing. 4th Edition. Normas para la Práctica Profesional de la auditoría interna y consejos para la Práctica relacionados. Instituto de Auditores Internos.



CAPITULO III. Entendiendo el rol de la actividad de auditoría interna en el gobierno organizacional.

1. Obtener la aprobación por parte del Consejo de estatuto de Auditoría. 2. Comunicar el plan de trabajo. 3. Reportar asuntos de auditoría significativos. 4. Comunicar indicadores clave al Consejo en forma regular. 5. Discutir áreas de riesgo significativas. 6. Soportar al Consejo en un aseguramiento amplio del riesgo en toda la

organización. 7. Revisar la posición de la función de auditoría interna dentro de la

administración del riesgo de la organización. 8. Monitorear cumplimiento con el código de conducta/y las prácticas del

negocio. 9. Evaluar el clima ético del Consejo y de la organización. 10. Informar eficacia del marco de control 11. Asistir al consejo en la evaluación de la independencia del auditor externo. 12. Evaluar el cumplimiento de políticas en áreas específicas. 13. Conducir el seguimiento y el informe de las respuestas del Consejo a los

cuerpos de revisión regulatorios. 14. Evaluar el mecanismo de informe de la organización al Consejo. 15. Evaluar la adecuación del sistema de medición de desempeño y el

cumplimiento de los objetivos corporativos. 16. Conducir el seguimiento y el reporte de las respuestas de la dirección a la

auditoría externa 17. -Desarrollar otros roles y responsabilidades de la auditoría interna.

a) Ética y cumplimiento. b) Administración del riesgo. c) Privacidad. d) Seguridad física y de la información.



1. Obtener la aprobación del estatuto por el Consejo. Definición de Estatuto El eficaz ejercicio de la auditoría interna requiere que los auditores internos puedan llevar a cabo su trabajo con independencia, y sin obstáculos para acceder a la información o a las personas pertinentes. El trabajo no podría llevarse a cabo correctamente si las personas a entrevistar fuesen inaccesibles, o si el auditor interno se viese inhibido de hacer observaciones sobre las deficiencias halladas por temor a sufrir represalias. Otra posible dificultad es que no se le permita al auditor interno consultar documentación o registros de información confidencial relevante para su trabajo. Pero aún habiendo contactado a las personas apropiadas y habiendo accedido a la información conveniente, la labor del auditor interno no sería eficaz si la organización no diera la debida consideración a las observaciones y recomendaciones resultantes del trabajo, las que son habitualmente expresadas en el informe de auditoría. Un medio para otorgarle la necesaria independencia, es hacer que la actividad de auditoría interna dependa de un nivel jerárquico suficientemente alto dentro de la organización. De esta forma se evita los responsables de los distintos procesos auditados puedan considerar que su trabajo está siendo revisado por sus pares o, peor aún, por sus subordinados. Pero aún dependiendo del nivel jerárquico más elevado, el trabajo del auditor interno se vería dificultado sin un fuerte y permanente apoyo de la alta dirección. El respaldo de la alta dirección a la actividad de auditoría interna se instrumenta en el estatuto o charter de auditoría interna. El estatuto establece el marco y las pautas básicas para el desarrollo de la labor de auditoría interna dentro de la organización. El Glosario de las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna proporciona la siguiente definición de estatuto:

Estatuto (Charter) – El Estatuto (charter) de la actividad de auditoría interna es un documento formal escrito que define el objetivo, autoridad y responsabilidad de la actividad de auditoría interna. El Estatuto debe (a) establecer la posición de la actividad de auditoría interna dentro de la organización, (b) autorizar el acceso a los registros, al personal y a los bienes pertinentes para la ejecución de los trabajos, y (c) definir el ámbito de actuación de las actividades de auditoría interna.

En esta definición se encuentran los elementos esenciales que debe tener el Estatuto.

− El Estatuto es un documento. Conviene que los elementos que constituyen el Estatuto estén reunidos en un único texto, que tenga una denominación conocida, y que se pueda mencionar como referencia cuando sea necesario.



− El Estatuto es un documento formal, que debe ser aprobado por el Consejo para tener validez. Dicha aprobación constará en el correspondiente libro de actas. El texto del Estatuto deberá estar incluido en el acta de aprobación, posiblemente como un anexo.

− El Estatuto es un documento escrito. No tendría la misma eficacia una

manifestación verbal de la alta dirección expresada en los mismos términos respaldando la actividad de auditoría interna.

− El Estatuto define el objetivo o propósito de la actividad de auditoría interna,

pudiéndose mencionar, por ejemplo, la ayuda para evaluar y mejorar los procesos de gestión de riesgos, control y gobierno de la organización.

− El Estatuto define la autoridad de la actividad de auditoría interna, debiéndosele

otorgar las atribuciones necesarias para poder desarrollar normalmente su tarea sin limitaciones.

− El Estatuto define la responsabilidad de la actividad de auditoría interna, donde se

especifican sus principales deberes en términos generales. Entre estos deberes podrá estar la preparación de un plan de auditoría y su posterior ejecución.

− El Estatuto debe establecer la posición de la actividad de auditoría interna dentro de

la organización. Este punto es crucial para permitir un adecuado desempeño. Se deberá procurar que la auditoria interna dependa jerárquicamente de un nivel lo suficientemente alto que le permita llevar a cabo sus tareas sin limitaciones. No sería razonable que la auditoría interna se viese jerárquicamente subordinada al responsable directo de los mismos procesos que se deben auditar.

− El Estatuto debe autorizar el acceso a los registros, al personal y a los bienes

pertinentes para la ejecución de los trabajos. Se facilita de esta manera la tarea del auditor interno, ya que se le otorgan la prerrogativa de entrevistarse con quien sea necesario y utilizar información confidencial que de otra forma le estaría vedada.

− El Estatuto debe definir el ámbito de actuación de las actividades de auditoría

interna, y se tendría que incluir en dicho ámbito la totalidad de los procesos de la organización, no limitándose solamente a algunos de ellos, como por ejemplo la contabilidad y las finanzas.



Normas relacionadas En las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, dentro de las Normas sobre Atributos, encontramos tres normas que se refieren al Estatuto:

NORMAS SOBRE ATRIBUTOS 1000 Propósito, Autoridad y Responsabilidad El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben estar formalmente definidos en un estatuto, de conformidad con las Normas, y estar aprobados por el Consejo. 1000.A1 La naturaleza de los servicios de aseguramiento proporcionados a la organización debe estar definida en el estatuto de auditoría. Si los servicios de aseguramiento fueran proporcionados a terceros ajenos a la organización, la naturaleza de esos servicios también deberá estar definida en el estatuto. 1000.C1 La naturaleza de los servicios de consultoría debe estar definida en el estatuto de auditoría.

La norma 1000 señala que debe existir un estatuto formalmente aprobado por el Consejo, según las características ya mencionadas, y añade que esté en conformidad con las Normas. Merece destacarse que esta es la primera de las Normas, lo que da una idea de la importancia que las Normas atribuyen al estatuto. Las normas de implantación 1000.A1 y 1000.C1 coinciden en indicar que en el estatuto se debe definir la naturaleza de los servicios dados por la auditoría interna, sean estos de aseguramiento o de consultoría. En el caso de aseguramiento, la norma es extensiva a servicios proporcionados por terceros. Contenido del estatuto Además de los puntos esenciales ya mencionados, en el estatuto se pueden incluir otros asuntos, que podrán variar según las necesidades de cada organización, como por ejemplo los siguientes:

− Atribuciones del Director ejecutivo de auditoría para definir políticas y normas para la actividad de auditoría interna.

− Responsabilidad de elaborar un plan anual de auditoría y de rendir cuenta sobre su cumplimiento.

− Responsabilidad de realizar revisiones y evaluaciones sobre control interno, la gestión de riesgos y gobierno de la organización.

− Responsabilidad de verificar el cumplimiento de leyes y demás normas que regulan la actividad de la organización.



− Responsabilidad de emitir informes con opinión acerca de los procesos revisados, incluyendo recomendaciones para mejorar los procesos.

− Responsabilidad y autoridad de la función de auditoría de sistemas − Autoridad de la auditoría interna para exigir que se dé la debida consideración a

las observaciones y recomendaciones incluidas en los informes de auditoría. − Participación de los auditores internos en trabajos de consultoría. − Disponibilidad para realizar trabajos no planificados. − No participación de la auditoría interna en controles y tareas operativas propias

de la administración de la organización que pudieran menoscabar su independencia.

− Requisito de capacitación continua para los auditores internos. − Relación con los auditores externos. − Responsabilidad por el cumplimiento de normas externas que regulen la

actividad de auditoría interna en la organización − Papel de la auditoría interna ante situaciones de fraudes o actos ilegales,

comprobados o presuntos. − Responsabilidad de colaborar con las revisiones externas que se realicen sobre la

actividad de auditoría interna. − Adhesión de la organización a las Normas Internacionales para el Ejercicio

Profesional de la Auditoría Interna. Declaración de funciones y responsabilidades En muchas organizaciones existe un manual de organización o algún documento equivalente en el que se describe la estructura de la organización y se definen el objetivo de cada departamento junto con sus misiones y funciones, como así también la autoridad y la responsabilidad de los principales puestos. Cuando se da esta situación, el estatuto de auditoría interna podrá estar constituido por la parte del documento correspondiente a la actividad de auditoría interna, más un documento específico para auditoría interna conteniendo la declaración de funciones y responsabilidades. Redacción del estatuto El estatuto es un elemento básico para la actividad de auditoría interna. Al crearse en una organización un nuevo departamento de auditoría interna, entre las primeras tareas a realizar estará la redacción del estatuto. Si bien el estatuto deberá ser aprobado por el Consejo, la redacción del mismo debería ser realizada por un especialista en auditoría interna que tenga conocimiento de las Normas. Puede ser redactado por el responsable de la auditoría interna, o bien por alguien bajo su supervisión. No existe una fórmula única ni una estructura predefinida para redactar el estatuto de auditoría interna. El mismo debe diseñado según las necesidades específicas de cada organización. Normalmente no necesita tener una gran extensión.



Por otra parte, una vez redactado y aprobado el estatuto, no necesariamente se deberá mantener intacto por tiempo indefinido, sino que podrá sufrir cambios a través del tiempo a medida que varíen las necesidades de la organización. De todos modos, no es de esperar habitualmente que los cambios al estatuto sean grandes ni que se produzcan con frecuencia. Es razonable que cada uno o dos años se evalúe la conveniencia de introducir modificaciones al estatuto. En el caso de que un nuevo responsable asuma al frente de un departamento de auditoría interna y descubriera que no existe el estatuto o que el que hay no es apropiado, deberá ocuparse prioritariamente de la redacción del mismo, para luego procurar su aprobación por el Consejo. Si no hay un estatuto pero sí hay una definición formal de la estructura de la organización, incluyendo del objetivo y misión de cada departamento y su dependencia jerárquica, el primer paso sería verificar que las definiciones para el departamento de auditoría interna sean apropiadas, y de no ser así procurar su modificación. Aprobación del estatuto Durante la preparación del estatuto (o de las modificaciones al mismo) el Director ejecutivo de auditoría deberá mantener un fluido diálogo con los miembros del Consejo y tener en cuenta sus sugerencias o expectativas. Sería un error presentar para su aprobación una propuesta de estatuto cuyo contenido fuese totalmente desconocido para los miembros del Consejo. La aprobación surgirá luego de una serie de negociaciones y reuniones en las que se discutirá sobre puntos conflictivos y se aclararán aspectos de más difícil comprensión. Una vez finalizada la redacción del estatuto, se presentará ante el Consejo solicitando su aprobación formal. En caso de existir un comité de auditoría, podrá ser este quien apruebe el estatuto. Si se produjeran controversias acerca del contenido del estatuto, el Director ejecutivo de auditoría deberá esforzarse especialmente para lograr que los aspectos esenciales se resuelvan apropiadamente, pudiendo mostrarse más flexible en otros asuntos. Entre estos aspectos esenciales se encuentra la definición del propósito, autoridad y responsabilidad de la actividad de auditoría interna, su ámbito de actuación y posición dentro de la organización, y la autorización para acceder a registros, personal y bienes. Comunicación El Director ejecutivo de auditoría deberá asegurarse de que el estatuto sea conocido en toda la organización, especialmente por parte del personal directivo a todos los niveles. Para que resulte manifiesto el respaldo de la alta dirección, se procurará que la comunicación del estatuto a los responsables de las distintas áreas de la organización provenga del propio Consejo. Si durante la realización de un trabajo el auditor interno percibiera reticencia en el personal del área donde se realiza el trabajo para facilitar el acceso, podrá ser el propio auditor quien



recuerde o dé a conocer el estatuto a su interlocutor, aclarando las dudas que la persona pudiera tener acerca de la potestad del auditor interno para requerir los elementos pertinentes para llevar a cabo el trabajo. Asimismo, ante tal situación el Director ejecutivo de auditoría deberá cerciorarse de que los mecanismos previstos para la comunicación del estatuto sean suficientes y eficaces.



2. Comunicar el plan de trabajo. Generalidades. El planeamiento constituye la base de la tarea de auditoría interna, sobre la cual se desarrollará el resto del trabajo. Sirve a mútliples propósitos, entre ellos podemos citar: Para interesar y comprometer más al Consejo sobre la actividad de auditoría interna. Para evaluar el cumplimiento de los objetivos de auditoría.. Para tener bajo control adecuado a la actividad de auditoría interna. Para informar a terceros interesados (p.ej: auditoría externa) del alcance del trabajo.

La necesidad de un adecuado planeamiento figura en las normas para el ejercicio profesional de la auditoría interna, las cuales establecen que el planeamiento debe estar basado en una adecuada evaluación de los riesgos a los cuales se encuentra sometida la organización. En el capítulo II vimos como la auditoría interna, debía evaluar, mediante el uso de un marco adecuado los diferentes riesgos que amenazaban a la organización. Recordamos que riesgo, es la probabilidad que hechos u acciones impacten negativamente en el cumplimiento de los objetivos de una organización y se miden de acuerdo a su gravedad y probabilidad de ocurrencia. Para poder realizar una evaluación se recurre a los factores de riesgo que son aquellos criterios que se utilizan para establecer la gravedad y la probabilidad de ocurrencia. De una oportuna y completa evaluación de los riesgos, debe surgir, un ranking de riesgos de las diferentes actividades auditables y el auditor deberá programar su actividad de auditoría interna teniendo cuidado de adjudicar una mayor dedicación a aquellas actividades que fueron consideradas como de mayor riesgo. Norma 2010

El director ejecutivo de auditoría interna debe establecer planes basados en los riesgos para determinar las prioridades de la actividad de auditoría interna consistente con las metas de la organización.



Planeamiento de los trabajos.

Las normas para el ejercicio profesional de la auditoría interna establecen que al realizar el planeamiento de su auditoría, los auditores internos deben considerar:

Los objetivos de la actividad y la forma de controlar su desempeño.

Los riesgos significativos, sus objetivos, recursos y operaciones y las maneras de mantener el riesgo bajo control.

La adecuación y eficacia de la administración del riesgo y control.

Las oportunidades de realizar mejoras significativas en el riesgo y el control.

Como vemos, la consideración de objetivos, riesgos y control está presente en el momento de planificar el trabajo.

Ejemplo de un plan de auditoría.

Programa de auditoría para el Departamento de Compras.

Objetivo de la actividad: Conseguir precios adecuados para bienes y servicios.

Las letras en mayúsculas entre paréntesis, indican la gravedad del riesgo que va de A a C (mayor a menor gravedad del riesgo).

Riesgo Controles Pruebas Ref. P/T Comentarios

Que la organización no cuente con procedimientos escritos de compra.(A)

Revisión periódica de los procedimientos de compra.

Examinar procedimientos para verificar su actualización y adecuada aprobación.



Falta de adecuada rotación de los compradores.

Permitir que se familiarizen con algunos de ellos y los favorezcan (B).

Previsión de rotación periódica de los compradores.

Requerimiento que todos los compradores tomen vacaciones.

Examinar la rotación y vacaciones de los compradores.

Como puede verse la planificación del trabajo se encuentra basada en el riesgo y en función de ello se enumeran los controles con que la organización cuenta para enfrentarlos. Orientado hacia los riesgos el auditor interno planifica las actividades que van a proporcionarle una seguridad razonable sobre el funcionamiento adecuado de los controles con lo cual los riesgos se encontrarán bajo un nivel aceptable.

Objetivos del trabajo.

Concepto y relación con objetivos operativos.

Los objetivos del trabajo están relacionados con los objetivos operativos de la actividad que se está auditando.

Los objetivos operativos de la actividad son fijados por la dirección operativa de la actividad y pueden ser por ejemplo, para la actividad de compras:

“Conseguir las mercaderías en el precio correcto y el momento oportuno para satisfacer las necesidades de la organización”

“Aceptar solo aquellos productos de los proveedores que alcanzen las especificaciones y las cantidades ordenadas”

En cambio los procedimientos operativos están diseñados para asegurarse que se cumplan los objetivos.



El conjunto de procedimientos operativos conforman el programa de trabajo, que según las normas debe figurar por escrito.

Un ejemplo sería:

“Contar con especificaciones claras para las mercaderías”

“Utilizar métodos estadísticos para determinar las cantidades recibidas”.

“Operaciones de inspección técnica”.

Los objetivos del trabajo se diseñan para asegurarse que los objetivos de la actividad bajo revisión se están alcanzando.

Los procedimientos de auditoría, por último, son los medios mediante los cuales el auditor se asegure que el objetivo del trabajo de auditoría se está cumpliendo.

Relación con riesgos, controles y procesos de gobierno.

Las Normas también indican que los objetivos del trabajo deben estar dirigidos a los riesgos, controles y procesos de gobierno asociados con las actividades bajo revisión.

Como vimos antes, en el ejemplo anterior el objetivo operativo de la división de compras de la organización era “obtener las mercaderías pagando el precio adecuado y en el momento adecuado”.

En función de ello se establecen los riesgos que pueden amenazar dicho objetivo operativo y los controles establecidos para mantenerlo en niveles adecuados.

El objetivo del trabajo de auditoría del ejemplo puede formularse como “asegurarse que el departamento de compras paga el precio adecuado por sus mercaderías, las recibe en el momento oportuno y las especificaciones de las mismas están de acuerdo a sus necesidades”.

En este caso, se tuvo en cuenta el objetivo de la actividad, los riesgos que esta presenta y los controles que se han establecido para mantenerlos bajo control.

Comunicación y aprobación.

La norma 2020 dice:



“El director ejecutivo de auditoría interna debe comunicar los planes de la actividad de auditoría interna y los requerimintos de recursos, incluídos los cambios intermedios a la Alta dirección y al Consejo para su aprobación y revisión.

El director ejecutivo de auditoría interna debe comunicar también el impacto de la restricción de recursos”.

Los planes de la actividad, deben estar aprobados por el Consejo y es recomendable que también los sean por el Comité de Auditoría.

Esto es importante porque tanto el Consejo y/o el Comité y el director ejecutivo de auditoría interna pueden discutir distintas cuestiones en lo referente a:

Si se están cubriendo apropiadamente todas las áreas de actividad.

Si se pueden cubrir otras áreas, que no están siendo cubiertas.

Si es necesario o conveniente modificar el alcance propuesto.

Las dificultades que deberían preverse en el transcurso de los trabajos.

La misma dirección puede manifestar las áreas donde desea que la actividad de auditoría interna ponga un mayor énfasis.

Además el hecho de aprobar los planes hace que el Consejo y el Comité se involucren más en la actividad de auditoría interna, con lo cual aumenta el grado de compromiso que adquieren.

Información, monitoreo y seguimiento.

2060 – Informe al Consejo y a la Dirección Superior



El director ejecutivo de auditoría debe informar periódicamente al Consejo y a la alta dirección sobre la actividad de auditoría interna en lo referido a propósito, autoridad, responsabilidad y desempeño de su plan. El informe también debe incluir exposiciones de riesgo relevantes y cuestiones de control, cuestiones de gobierno corporativo y otras cuestiones necesarias o requeridas por el Consejo y la alta dirección. Una vez comunicado el plan de trabajo al Consejo el auditor debe mantenerlo informado sobre la marcha del mismo. La información debe abarcar otras cuestiones además de la marcha del plan en sí mismo como el propósito y la autoridad de la actividad definidos en el Estatuto.



3. Reportar cuestiones significativas.

4. Comunicar indicadores clave al Consejo de forma regular

Concepto.

Una vez que el auditor interno haya llegado a una opinión fundada debe comunicarla, en general, dicha comunicación se realiza generalmente a través de reportes escritos aunque a veces puede ser en forma oral.

La comunicación de las observaciones es importante por varios motivos:

Mueve a la acción, es decir al ponerse en evidencia las deficiencias invita a que el gerente las solucione.

Es una excelente oportunidad para que el auditor pueda demostrar de que forma puede ayudar a la organización en el cumplimiento de sus objetivos.

Involucra y compromete a la dirección para encontrar una respuesta a los problemas encontrados.

Si se trata de un reporte escrito, permite dejar evidencia escrita de las observaciones halladas con el objeto de deslindar responsabilidades.

Normas relacionadas.

Existen una serie de normas que se encuentran relacionadas con la comunicación de los resultados, entre ellas podemos citar a:

2400 – Comunicación de Resultados Los auditores internos deben comunicar los resultados del trabajo oportunamente. Las normas anteriores, hablaban de la necesidad de efectuar reportes escritos, y a veces en forma orales si se trataba de reportes intermedios. El nuevo juego de normas para el ejercicio profesional de la auditoría interna se limita a indicar que el resultado debe comunicarse en forma oportuna.



Por oportuna entendemos que se refiere en el momento adecuado para tomar las medidas correctivas necesarias. Obviamente que existirán ocasiones, donde, cuando llega el auditor y descubre el problema sea tarde para ensayar medidas correctivas.

2410 – Criterios para la Comunicación Las comunicaciones deben incluir los objetivos y alcance del trabajo así como las conclusiones correspondientes, las recomendaciones, y los planes de acción.

2410.A1 - La comunicación final de resultados debe incluir, si corresponde, la opinión general del auditor interno.

2410.A2 – En las comunicaciones del trabajo se debe reconocer cuando se observa un desempeño satisfactorio.

2410.A3.-En la información de los resultados del trabajo a partes externas de la organización la comunicación puede incluir limitaciones en la distribución y el uso de sus resultados.

2410.C1 – Las comunicaciones sobre el progreso y los resultados de los trabajos de consultoría variarán en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del cliente.

La forma de reportar los hallazgos de auditoría incluye:

Las observaciones que, el auditor encontró como resultado de su trabajo.

Las acciones correctivas que se hubieran adoptado para corregirlas.

Los comentarios y la opinión del auditor sobre las actividades auditadas.

Con el objeto de fomentar y resaltar el buen desempeño, las nuevas normas, recomiendan que el auditor también destaque el comportamiento satisfactorio.

Características de la información.

2420 – Calidad de la Comunicación Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas.

2421 - Errores y Omisiones Si una comunicación final contiene un error u omisión significativos, el director



ejecutivo de auditoría debe comunicar la información corregida a todas las personas que recibieron la comunicación original.

La norma 2420 indica las características que debe tener la información de auditoría, entre otras, indica que la información debe ser objetiva, clara, concisa, constructiva, completa y oportuna.

Objetiva.

Las normas indican la necesidad que las comunicaciones sean objetivas, es decir, deben estar fundadas en evidencia. Cada hecho que el auditor informe debe estar soportado por evidencia suficiente. Por “evidencia” entendemos la información que el auditor puede obtener en el transcurso de su trabajo que proporcione una base objetiva para sus opiniones, conclusiones y recomendaciones. Si el auditor indica que “no se cumplen las normas de higiene y seguridad en el depósito de materiales”, deberá probarlo. En tal caso, una foto puede ser evidencia suficiente para que el resto de la organización le crea. También la frecuencia de accidentes anteriores puede ser una evidencia que se están vulnerando las normas de seguridad de alguna forma. Sea como fuere, el adecuado soporte de las observaciones de auditoría refuerza la credibilidad de la auditoría interna sobre su trabajo.

Precisa

Con relación a la precisión la objetividad implica precisión. A veces las palabras confusas no son claras y hacen que el lector pueda sentirse confundido. La expresión del auditor “no todas las ordenes de compra estaban suficientemente autorizadas” no resulta ser clara y lleva a la confusión. No se sabe cuanto es “no todas” y si el auditor quiere ser más preciso y claro podría identificar cuales fueron las ordenes de compra que no contaban con una autorización apropiada. La observación anterior sería más clara y precisa si el auditor la hubiera redactado de esta forma. “ las órdenes de compra abajo detalladas (o en el cuadro anexo al presente informe) no contaban con la autorización que indican las normas de procedimiento de compras”. Clara. Un escrito es claro cuando el sentido puede ser interpretado fácilmente y sin lugar a dobles interpretaciones. Esto, como se verá, no es tan fácil de lograr y muchos auditores fallan en este tema y convierten a sus informes en poco claros.



Para que un auditor pueda transmitir con claridad debe tener en claro sus ideas, es por eso que antes de sentarse a escribir debe estar seguro de sus conclusiones y luego, si podrá transmitirlas en forma clara. Un lenguaje claro sin tecnicismos y con frases entendibles ayuda mucho en la tarea de hacer los reportes más claros. Concisa. Por información concisa entendemos aquella que contiene sólo lo necesario, donde cualquier lo irrelevante o lo inmaterial fue eliminado. Esto no implica brevedad o escribir en “estilo telegráfico” sino que implica decir lo que está relacionado con el tema central y nada más. Como muchas veces lo que es conciso para un nivel puede tener falta de información para otro lo común es que se realicen reportes con diferente grado de detalle: un resumen para la dirección y un reporte más detallado para la dirección operativa. Constructiva. El tono constructivo indica que el informe no debe remarcar los errores ni identificar individuos. Debe resaltar la necesidad de mejoras pero no debe enfatizar siempre los errores. Las nuevas normas, cuando indican la necesidad de resaltar el buen comportamiento están tratando de hacer más constructiva las comunicaciones de auditoría. Oportuna. Uno de los fines de la información de auditoría es llamar a la acción, llamar la atención de la gerencia o los responsables operativos sobre determinados hechos o circunstancias que están afectando o pueden afectar adversamente el cumplimiento de los objetivos. Si el reporte de los hechos no es oportuno, pierde eficacia toda la acción posterior de la auditoría interna. Puede ocurrir que, mientras se efectúa la auditoría aparezcan signos que pueden indicar la existencia de un posible fraude: en ese caso es necesario que el auditor lo comunique a la gerencia y recomiende el inicio de una investigación. Es evidente que si el auditor demora la comunicación el fraude puede avanzar y eso le haría perder eficiencia. También es importante tener en cuenta lo que se llama “tiempo de ciclo” que es el tiempo que va desde que se planifica la actividad hasta que se informan los resultados. Una de las mejoras más importantes que puede hacerse a la auditoría es reducir el tiempo de ciclo con el objetivo de que la información de auditoría sea lo más oportuna posible.



Completa. Por información completa entendemos aquella que contiene todas los hechos o circunstancias que describen la situación y que pueden ayudar a que la dirección operativa o el Consejo tome una mejor acción correctiva. Cuando el auditor indica una observación debe indicar todas las circunstancias relacionadas relevantes a ella, de modo que aquel que sea responsable de tomar una decisión pueda hacerlo con la mejor información disponible. Si el auditor informa que “no se cumplen los procedimientos de autorización de compras” pero omite indicar que “el personal operativo no los comprende adecuadamente porque los mismos no son claros” está informando en forma parcial con lo cual también impide que la dirección pueda tomar una acción correctiva más eficaz, o sea modificar los procedimientos para hacerlos más claros y entendibles. En este caso, como en tantos otros, el auditor deberá ejercer su juicio profesional para determinar el alcance adecuado de su información: que no debe faltar porque es esencial e importante y que puede ser eliminado por superfluo. En definitiva la mejor información es aquella que tiene un adecuado balance entre la integridad y la concisión o dicho de otro modo: no falta ni sobra nada. Destinatarios de los reportes. 2440 – Difusión de Resultados El director ejecutivo de auditoría debe difundir los resultados a las partes apropiadas.

2440.A1 - El director ejecutivo de auditoría es responsable de comunicar los resultados finales a las partes que puedan asegurar que se dé a los resultados la debida consideración.

El auditor debe asegurarse que al comunicar el resultado de su trabajo lo esté haciendo al nivel necesario para que se tomen las medidas correctivas.

No olvidemos que uno de los objetivos de la comunicación de los resultados es atraer la atención y mover a la acción de la dirección sobre determinados hechos o situaciones.

Si el auditor informa a quien no tiene autoridad para tomar medidas correctivas, es decir para subsanar o corregir los defectos encontrados, su comunicación perdería toda eficacia.

2440.A2- Si de otra forma no se obligue por requerimientos legales, estatutarios o regulatorios, antes de suministrar los resultados a partes fuera de la organización , el director ejecutivo de auditoría interna debe:

Evaluar los riesgos potenciales a la organización.

Consultar, si fuera apropiado, con la dirección o abogados.



Aumentar el control mediante la restricción de los resultados.

La última actualización que sufrieron las normas en enero del 2004 introdujeron la necesidad que el director ejecutivo de auditoría interna tenga en cuenta los riesgos de suministrar información confidencial a terceras partes fuera de la organización.

Responsable de la comunicación.

2440.C1 – El director ejecutivo de auditoría es responsable de comunicar los resultados finales de los trabajos de consultoría a los clientes.

Encarga en el director ejecutivo de auditoría interna, máximo responsable de la actividad, la responsabilidad de comunicación a los clientes.

Cuestiones de riesgo, control y proceso de gobierno.

2440.C2 – Durante los trabajos de consultoría pueden ser identificadas cuestiones referidas a gestión de riesgo, control y gobierno. En el caso de que estas cuestiones sean significativas, deberán ser comunicadas a la dirección superior y al Consejo.

La modificación de las normas, trajo como consecuencia que se preste más atención en las cuestiones de riesgo, control y proceso de gobierno.

Como vimos en el capítulo II de esta obra, el auditor debe basar todo su planeamiento de auditoría en una evaluación de riesgos.

Debe identificar los riesgos y los controles asociados que los mitiguen y tomar las pruebas de cumplimiento necesarias para asegurarse que están funcionando adecuadamente.

Posibilidad de errores u omisiones.

2421 - Errores y Omisiones

Si una comunicación final contiene un error u omisión significativos, el director ejecutivo de auditoría debe comunicar la información corregida a todas las partes que recibieron la comunicación original.

La última modificación de las Normas incluye la obligación de comunicar los errores que se hubieren cometido a todas las personas que recibieron la comunicación original lo cual es lógico a los fines que todos los interesados manejen la misma información.



No cumplimiento o “non compliance” con las Normas.

2430 – Declaración de Incumplimiento con las Normas Cuando el incumplimiento con las Normas afecta a una tarea específica, la comunicación de los resultados debe exponer: •Las Normas con las cuales no se cumplió totalmente •Las razones del incumplimiento, y •El impacto del incumplimiento en la tarea

Uno de los objetivos de las normas de auditoría es servir como referencia sobre la calidad del trabajo realizado.

Las normas incluyen ciertas pautas y características sobre los atributos y el desempeño profesional del auditor interno que, si son cumplidas, aseguran que el trabajo de auditoría interna fue desempeñado satisfactoriamente por lo cual merece la confianza de cualquier usuario de la información emitida.

Si por alguna razón el auditor se apartó de esas Normas el usuario de la información debe conocerlo con el objeto que las decisiones que se tomen teniendo en cuenta esa información no se vea afectada por dicha falta de cumplimiento.

Información periódica al Consejo.

Una vez informados y aprobados los planes de auditoría por el Consejo, la labor de auditoría no se reduce a realizar el trabajo de campo y emitir sus informes.

Es importante que el Consejo reciba información periódica sobre la marcha de la función de auditoría y sobre el grado de cumplimiento de sus objetivos para poder realizar un monitoreo de la función y determinar si está actuando con eficiencia y eficacia en el cumplimiento de la gestión encomendada.

En cuanto a la periodicidad de esta información, en la mayoría de los casos, la información al consejo se realiza en forma anual, aunque a veces es usual realizar información semestralmente.



Indicadores clave de gestión.

Aquellas cuestiones que aparezcan en el transcurso del trabajo y que impliquen alguna modificación importante al plan trazado, tanto sea en el alcance como en el tiempo previsto para alcanzar el trabajo, en principio deberían ser informadas al Consejo.

Los auditores internos deben periódicamente llamara la atención del Consejo para informar los logros tanto monetarios como no monetarios con el fin de demostrar el valor agregado de la función.

Comparación entre el trabajo previsto y el realizado (diferencia entre las horas presupuestadas y las horas reales).

El presupuesto de auditoría es la referencia más válida de la cual se dispone para evaluar la eficiencia.

Los desvíos significativos del presupuesto deben ser convenientemente explicados y aclarados.

Modificaciones importantes al alcance y al plan previstos.

Si se producen modificaciones significativas al alcance o al plan previstos es recomendable que el Consejo se encuentre informado al respecto.

Número y diversidad de actividades auditadas.Opinión sobre controles y desempeño.

Particularmente en grandes organizaciones, la auditoría puede afectar varios sectores, por lo cual la auditoría puede ser muy compleja.

Es útil agregar la información sobre controles y desempeño de las distintas actividades auditadas.

Ahorros monetarios y recuperos que fueron alcanzados en forma directa por la función de auditoría.

De todos ellos, la magnitud de ahorros que ha contribuido la auditoría tiene una importancia fundamental.

Muchas veces, estos ahorros no pueden ser valuados cuantitativamente. En tal caso la auditoría o el mismo Consejo deberá encontrar alguna manera alternativa para valorizar los aportes.

Un acuerdo sobre el auditado puede ser útil cuando se trata de eliminación de tareas improductivas o reasignación de puestos.



Costo de operación del departamento de auditoría.

Debido a que es importante medir la eficiencia del departamento se debe proporcionar el costo del departamento en los distintos clases de gastos que lo componen (sueldos, cargas sociales, vacaciones, alquileres, honorarios, materiales, etc) y la comparación con los valores presupuestados.

Cualquier diferencia deberá ser analizada, explicada e informada.

Cuantificación de las mejoras en los servicios de la organización.

En este caso cualquier mejora a los servicios de la organización debería ser, en lo posible, cuantificada, e informada.

Coordinación con el trabajo de auditoría interna.

La coordinación de esfuerzos con auditoría interna es importante por los ahorros que significa.

Es necesario que departamento de auditoría mantenga información suficiente sobre estos datos para poder informarlos adecuadamente.

Reportes de actividad.

El objetivo de estos reportes es mantener informado al Consejo sobre los resultados de la función de auditoría durante el período analizado.

Es importante suministrar información sobre los ahorros conseguidos, los hallazgos encontrados, las mejoras a los procesos obtenidas, los resultados de las auditorías realizadas y las opiniones que obtuvieron los auditores de las áreas bajo revisión.

Algunas de las cuestiones que el reporte debería incluir son:

Especifique claramente el o los objetivos de la función de auditoría.

Determine, en cifras, el esfuerzo realizado por auditoría en el período bajo análisis.

Es importante que se compare contra las cifras presupuestadas y se haga mención de la cantidad de informes de auditoría emitidos.

Se haga referencia, en forma resumida, al tipo de auditoría realizada. Es decir, las áreas donde se focalizó el esfuerzo de auditoría.

Es muy útil que se indiquen el porcentaje de opiniones satisfactorias que surgieron de las distintas áreas analizadas. De esta forma, el lector de la información , tiene idea de la marcha de los distintos sectores auditados a través del tiempo.

El origen de las distintas deficiencias halladas (falta de controles, errores) y si se tomaron acciones correctivas apropiadas.

La opinión del auditor sobre las causas de esas deficiencias (presión por obtener resultados, desconocimiento, falta de conciencia de control).



Los trabajos especiales requeridos por la dirección (asistencia a auditores externos, análisis de costos, revisión de controles, investigación sobre faltantes de material).

El monto de los ahorros y recuperos conseguidos.

Los planes futuros del departamento.



5. Discutir áreas de riesgo significativas.


2100 – Naturaleza del Trabajo La actividad de auditoría interna evalúa y contribuye a la mejora de los sistemas de gestión de riesgos, control y gobierno utilizando un enfoque sistemático y disciplinado

2110 – Gestión de Riesgos La actividad de auditoría interna debe asistir a la organización mediante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control.

2110.A1 - La actividad de auditoría interna debe supervisar y evaluar la eficacia del sistema de gestión de riesgos de la organización.

El auditor no sólo debe basar su planeamiento en los objetivos, riesgos y controles de las actividades auditadas sino que además desempeña un rol activo en la evaluación y el mejoramiento de los procesos de riesgo, control y gobierno.

Estos conceptos están incluidos en la propia definición de la auditoría interna que dice:

...”un enfoque disciplinado para evaluar y mejorar la eficacia de los procesos de administración del riesgo, control y proceso de gobierno”...

La responsabilidad de la administración del riesgo recae en la dirección porque debe asegurar que el proceso de administración de riesgo se encuentra implementado y supervisar su correcto funcionamiento.

El rol del auditor consiste en asistir a la Dirección y al Comité de Auditoría en el examen, evaluación, informe y recomendación de mejoras en la adecuación y efectividad del proceso de administración de riesgos.

De esta manera, el auditor participa del proceso de riesgo y puede aportar su opinión que es importante porque tiene la habilidad y el conocimiento adecuados para ofrecer una visión objetiva y profesional sobre el riesgo de toda la organización.

Al mismo tiempo, la información que surja de este trabajo de evaluación puede servir en el planeamiento de su trabajo.



Exposiciones al riesgo.

2110.A2 – La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente:

• Confiabilidad e integridad de la información financiera y operativa, • Eficacia y eficiencia de las operaciones, • Protección de activos, y • Cumplimiento de leyes, regulaciones y contratos.

Las exposiciones al riesgo deben estar interpretadas a la luz de la categoría de objetivos enumerados en el Marco Integrado de Control del Informe COSO3.

Este informe, trata de proporcionar una definición común sobre el control interno y establecer un standard de control contra el cual puedan compararse las diferentes organizaciones.

En tal sentido, define al control interno como “el proceso efectuado por el Consejo de Administración, la dirección y el resto del personal diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto al cumplimiento de los objetivos en estas categorías:

Eficacia y eficiencia de las operaciones.

Fiabilidad de la información financiera.

Cumplimiento de las leyes y regulaciones”.

Relación con los objetivos.

2110.C1 – Durante los trabajos de consultoría, los auditores internos deben considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.

2110.C2 – Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones de riesgo significativas en la organización.

Los nuevos conceptos del control interno (Informe COSO).Comité de organizaciones patrocinadoras de la

Comisión Treadway.



Como se había definido en el capítulo II de esta obra el riesgo puede ser definido como la probabilidad de que circunstancias adversas puedan afectar el cumplimiento de los objetivos.

El formulamiento de los objetivos es necesario como un paso previo para la evaluación del riesgo.

Para identificar adecuadamente los riesgos es necesario pensar en las amenazas que comprometen el cumplimiento de los objetivos.

Por ejemplo:

Auditoría de: Departamento de distribución.

Objetivo de la función: Seleccionar los transportistas y rutas que proporcionen el envío más económico y oportuno para los envíos.

Riesgos identificados:

Rutas económicas e ineficientes, este riesgo está claramente identificado con la categoría de eficacia y eficiencia de las operaciones.

Que los transportes no estén adecuadamente habilitados y cumplan con las reglamentaciones vigentes en materia de transporte, relacionado con la categoría de cumplimiento de las leyes y regulaciones.



6. Soportar al Consejo en una evaluación amplia de los riesgos de la organización.

7. Revisar el posicionamiento de la función de auditoría interna en el marco del manejo de riesgo de la organización.


Uno de los componentes del control interno que enumera el citado informe COSO4

es la evaluación de riesgos.

El mismo informe define a la evaluación de riesgos de esta forma:

....”La evaluación del riesgo es la identificación y el análisis de los riesgos relevantes para el cumplimiento de los objetivos y forma una base para determinar como deben ser manejados los riesgos. Porque las condiciones económicas, industriales, regulatorias y operativas se encuentran cambiando continuamente es necesario que se identifiquen mecanismos para tratar los riesgos especiales asociados con el cambio”...

Relación con objetivos y controles.

El concepto del informe COSO es que los objetivos y controles se encuentran relacionados de alguna manera u otra con los riesgos.

El mismo informe señala que la formulación de objetivos es un prerrequisito para la identificación de los riesgos porque, lógicamente, no se pueden establecer riesgos si no se sabe cuál es el objetivo que se encuentra amenazado.

Los controles son los medios con los que cuenta la organización para controlar los riesgos y mantenerlos bajo un cierto nivel de control.

El informe establece tres categorías de controles que son los siguientes:

4 Op. cit pág. 116.



Operacionales, están relacionados con la eficacia y eficiencia de la operación de la organización, los objetivos de rentabilidad y la salvaguarda de recursos.

De información financiera, relacionados con la presentación de estados financieros confiables incluyendo la prevención del fraude.

De cumplimiento, relacionados con la adherencia a leyes y regulaciones a los cuales la organización se encuentra sujeta.

Soportando la evaluación de riesgos.

El proceso de evaluación de riesgos, que forma parte de uno de los componentes del control interno como indica el informe COSO es responsabilidad de la dirección y reside en toda la organización.

Toda la organización debe ser capaz de identificar los riesgos que pueden amenazar el cumplimiento de sus objetivos, realizar un apropiado “ranking de riesgos” considerando la gravedad y probabilidad de ocurrencia y ensayar controles o medios para mitigarlos es decir reducir o eliminar sus consecuencias negativas.

Pero, si la responsabilidad de la evaluación reside en la dirección y en la organización ¿cuál es el aporte de la auditoría interna en la evaluación de riesgos?.

La auditoría tiene una función importante que es la de actuar de soporte en este proceso.

Volviendo a la definición de auditoría interna, que se comentara en el punto anterior recordamos que hablaba de la auditoría interna como aquella función que evalúa ... y mejora los procesos de... riesgo.

¿Cómo soporta el proceso de evaluación de riesgos la función de auditoría interna?

La función de auditoría interna soporta el proceso de evaluación de riesgos cuando realiza su trabajo.

En toda la realización de su proceso de trabajo el auditor interno está evaluando riesgos: desde la planificación, que debe estar basada en el riesgo, en el desarrollo de sus programas de trabajo que deben considerar los riesgos y controles involucrados pasando por el desarrollo del trabajo en el cual prueba controles que mitigan riesgos y en la recomendación de mejoras y monitoreo donde recomienda mejoras a los procesos de riesgo y control.

El auditor hace su aporte:

Identificando y midiendo la gravedad y probabilidad de los riesgos.



Identificando controles que reduzcan la probabilidad de ocurrencia o su gravedad y determinando, a través de pruebas adecuadas, si se encuentran trabajando de acuerdo a lo previsto.

Proponiendo mejoras a los controles existentes o identificando riesgos no contemplados o estableciendo exposiciones al riesgo diferentes a las que la administración estableció.

Como los controles establecidos, aún si ellos funcionan adecuadamente, no neutralizan completamente el riesgo sino proporcionan un grado razonable de seguridad sobre el cumplimiento de los objetivos siempre subsiste un grado de riesgo llamado residual que es aquel que permanece luego de aplicados e implementados los mecanismos de control. El auditor, en el transcurso de su evaluación de riesgos, determina el grado de riesgo residual que tiene el cumplimiento de los objetivos y si juzga que el mismo es inaceptable para la organización debe discutirlo con la dirección operativa y con el Consejo si fuera necesario.

2600 - Aceptación de los Riesgos por la Dirección Cuando el director ejecutivo de auditoría considere que la alta dirección ha aceptado un nivel de riesgo residual que puede ser inaceptable para la organización, debe discutir esta cuestión con la alta dirección. Si la decisión referida al riesgo residual no se resuelve, el director ejecutivo de auditoría y la alta dirección deben informar esta situación al Consejo para su resolución. Aplicación práctica.

El auditor, una vez que la organización haya definido sus objetivos piensa en que cosas pueden afectar esos objetivos.

Utiliza su ingenio, imaginación y conocimiento de la actividad para listar posibles riesgos

de la actividad.

Por ejemplo los objetivos de un depósito de materiales de una organización puede ser definido como:

Almacenar los materiales en forma adecuada para prevenir su deterioro y/o robo o hurto.

Recibirlos y entregarlos en forma adecuada de acuerdo a las necesidades de los clientes internos y externos



Cumplir las reglamentaciones de seguridad, higiene y medio ambiente en el manejo de los materiales y el cuidado del personal.

Mantener actualizados los registros contables de las existencias y emitir en forma adecuada y oportuna los vales de entrada y salida de los materiales.

Estos objetivos son variados y están dirigidos a diversas categorías operativas, de cumplimiento y financieros.

Proceso de identificación de riesgos.

Una vez definidos los objetivos el auditor interno o la organización están en condiciones de identificar los hechos adversos que puedan comprometer el logro de objetivos.

Que no existan procedimientos sobre la seguridad de los bienes y personas en el depósito o los mismos no sean claros o no se cumplan efectivamente.

Que a raíz de ineficiencias por desconocimiento, inexperiencia, irresponsabilidad o negligencia la entrega y recepción de las mercaderías se demore excesivamente.

Que el personal del depósito no registre adecuadamente la entrada y salidas de los materiales.

Identificación de los controles asociados.

Para cada riesgo puede existir o no uno o más controles que mitiguen los riesgos. Recordamos que una de las maneras que la organización cuenta para manejar sus riesgos es el control.

Las otras son la transferencia de los riesgos a un tercero mediante la contratación de un seguro, la aceptación del riesgo y el retiro de la actividad.

En el caso del ejemplo para el riesgo de la no existencia de procedimientos puede existir una reunión periódica con los empleados para comentar y comunicar los procedimientos, que se asegure la actualización de los procedimientos mediante reuniones entre la dirección del depósito y la dirección operativa.



Proceso de evaluación de riesgos.

El riesgo está definido como la probabilidad que hechos o acciones afecten negativamente el cumplimiento de objetivos.

Los riesgos se miden a través de los llamados factores de riesgo que son aquellos criterios utilizados para determinar la gravedad o la probabilidad de ocurrencia de los riesgos.

Se pueden enumerar diferentes factores de riesgo, entre ellos podemos citar a:

El clima ético y la presión de la dirección por el cumplimiento de los objetivos.

La competencia, la adecuación y la integración del personal.

El volumen de transacciones, la liquidez y el tamaño de los activos.

Las condiciones financieras y económicas.

Las condiciones competitivas.

La complejidad y volatilidad de las operaciones.

El impacto de los clientes, proveedores y regulaciones gubernamentales.

La dispersión geográfica de las operaciones.

La adecuación y efectividad del sistema de control interno.

La aceptación de las observaciones de auditoría y de las acciones correctivas tomadas.

Fecha y resultados de las auditorías anteriores.

Técnicas para evaluar el riesgo.

En general las dos dimensiones mediante las cuales se pondera el riesgo se tienen en cuenta que son:

La gravedad, se acostumbra a calificar la gravedad con una escala numérica que va de 1 a 5 y estará dada por una escala parecida a esta:

1: menor a $1000.

2: entre $1001 y $10000

3: entre $10001 y $100000

4: entre $100000 y $500000

5: más de $500000



Se otorga la calificación que corresponda de acuerdo a la potencial pérdida que se daría si se produce la amenaza.

Existen algunos riesgos cuya ponderación en valores monetarios de los daños sufridos no es fácil ni posible. En ese caso, una alternativa es considerar una escala cuantitativa y luego asignarle un valor numérico.

Ejemplo:

1: poco grave.

2: medianamente grave.

3: grave

4: muy grave.

La probabilidad de ocurrencia, es decir que tan probable es la posibilidad de que materialize el riesgo.

1: remota.

2: medianamente probable

3: muy probable.

La multiplicación de la gravedad por la probabilidad de ocurrencia nos dará el nivel de riesgo.



8. Evaluar el clima ético del Consejo y de la organización.

9. Monitorear el cumplimiento del código de conducta o el de negocios.

El rol de la auditoría en el cumplimiento y la ética.

Gobierno y clima ético.

El proceso de gobierno puede ser definido aquel a través del cual los valores y las metas se establecen y comunican, se monitorea el cumplimiento de los objetivos, se asegura la rendición de cuentas y se preservan los valores.

Dentro de est proceso los códigos de conducta juegan un rol fundamental: son importantes declaraciones de los valores y metas de la organización, el comportamiento esperado de su gente y las estrategias para mantener una cultura que se pueda estar en línea con las responsabilidades legales, éticas y sociales.

El rol de la auditoría interna en la cultura ética de la organización.

Los consejos para la práctica del Instituto aconsejan que el rol de la auditoría interna en la cultura ética de la organización varíe de acuerdo al grado de desarrollo de la cultura ética de la organización.

Naturaleza del proceso de gobierno y la cultura ética de la organización.

Una organización utiliza distintas formas legales, estructuras y estrategias con el objeto de asegurar que:

Se cumple con las reglas legales y regulatorias de la sociedad.

Se satisfacen las normas de negocio, preceptos éticos y expectativas sociales de la sociedad.

Se proporcione un beneficio a la sociedad y se tiene en cuenta los intereses específicos de los interesados tanto en el largo como en el corto plazo.

Se informa completa y verazmente a los propietarios, reguladores, otros interesados y al público en general para asegurar la rendición de cuentas por las decisiones, acciones, conducta y desempeño.

La forma en que una organización elige para conducir sus negocios para alcanzar las cuatro responsabilidades se llama comúnmente su proceso de gobierno.

El consejo de administración o consejo directivo y su alta dirección deben rendir cuentas por la eficacia del proceso de gobierno.



Las prácticas de gobierno de la organización constituyen una única y cambiante cultura que afecta roles, especifica conductas, fija objetivos y estrategias, mide desempeño y define los términos de rendición de cuentas.

La cultura determina los valores, los roles y las responsabilidades que serán toleradas y determinarán el grado de sensibilidad que tendrá la organización en alcanzar su responsabilidad a la sociedad.

Responsabilidad por la cultura ética de la organización.

Todas las personas en la organización comparten cierta responsabilidad en la cultura ética de la organización.

Debido a la complejidad y a la dispersión de los procesos de toma de decisiones en la mayoría de las empresas, cada individuo debe ser alentado para convertirse en un defensor activo de la ética.

En los últimos tiempos, un número creciente de organizaciones han designado un encargado ético como asesor de ejecutivos, directores y otros en materia de ética de negocios para hacer “lo correcto” es decir, “lo que se debe”.

La auditoría como soporte de la cultura ética.

Los auditores internos y la actividad de auditoría interna en particular debe tener un rol activo en el soporte de la cultura ética de la organización.

Los auditores gozan de mucho prestigio y confianza dentro de la organización y tienen las habilidades necesarias como para ser promotores eficaces de una conducta ética.

Como tienen la competencia y la capacidad de atraer a los líderes, directores y otros empleados para cumplir con las responsabilidades legales, éticos y sociales.

El auditor puede desempeñar distintos roles en la ética de la organización:

Ombudsman.

Funcionario de cumplimiento.

Asesor ético

Experto ético.

Miembro de un consejo de ética interna.

Asesor ético de la organización.



Evaluación de la cultura ética de la organización.

Como mínimo la actividad de auditoría interna debe periódicamente evaluar el estado del clima ético de la organización y la eficacia de sus estrategias, tácticas, comunicaciones y otros procesos en obtener el nivel deseado de cumplimiento legal y ético.

El auditor debería al menos, evaluar lo siguiente:

Si existe un código formal de conducta, que sea claro y comprensible y procedimientos y políticas (que incluyan procedimientos contra el fraude y la corrupción) y otras expresiones de aspiración.

Si existen comunicaciones frecuentes y demostraciones de actitudes éticas esperadas y comportamiento por los líderes influyentes de la organización.

Si existen estrategias para soportar y mejorar la cultura ética con programas regulares para actualizar y renovar el compromiso de la organización con una cultura ética.

Si existen formas para que la gente pueda realizar en forma anónima y confidencial denuncias sobre violaciones a la ética y a su código.

Si existe una delegación clara de responsabilidades para asegurar que las consecuencias éticas son evaluadas, se proporciona asesoramiento confidencial, se investigan las denuncias por falta de comportamiento ético y se informan los hallazgos encontrados.

Si existe una manera fácil de aprender oportunidades de facilitar que todos los empleados sean promotores de una cultura ética.

Si existen prácticas personales positivas que alienten que cada empleado contribuya al clima ético de la organización..

Si existen investigaciones de empleados, proveedores y clientes que determinen el estado del clima ético de la organización.

Si existen revisiones regulares de procesos formales o informales dentro de la organización que puedan potencialmente crear presiones y sesgos que socaven la cultura ética.

Si en los procesos de incorporación de personal se encuentran previstos la averiguación de antecedentes y referencias y pruebas de integridad ética.



10. Informar la eficacia del marco de control.

Rol de la auditoría interna en la evaluación de los controles.

Los auditores internos pueden convertirse en buenos auxiliares para la administración evaluando los sistemas de control interno e indicando las debilidades del control interno.

En la evaluación de los controles internos el auditor interno debe tener presente que los controles están diseñados para asegurar el cumplimiento de los objetivos.

A raíz de la sanción de la Ley Sarbannes Oxley , se requiere al menos en los EEUU, que las sociedades que realicen oferta pública de sus acciones deban informar específicamente sobre la efectividad de los controles internos y su efecto sobre la información financiera.

En tal sentido adquiere una particular importancia el rol que pueda desempeñar la auditoría interna en la asistencia de dicha responsabilidad.

El marco de control.

De todas las definiciones que se conocen del control interno recordamos la del conocido informe COSO, que lo señala como un proceso llevado a cabo adelante por toda la organización para proporcionar seguridad razonable del cumplimiento de los objetivos relacionados con la eficacia y la eficiencia de las operaciones, la confiabilidad de la información financiera y el cumplimiento con las regulaciones y leyes aplicables.

Por su parte, el glosario incluido en las Normas de auditoría definen al control como “cualquier acción tomada por la dirección, el consejo y otras partes para manejar el riesgo e incrementar la probabilidad que se puedan obtener los objetivos y metas sean alcanzados. La administración planea, organiza y dirige el desempeño de acciones suficientes para proporcionar razonable seguridad que las metas y objetivos sean alcanzados”. Relación con las normas. 2120 – Control La actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles efectivos controlando su eficacia y efectividad y promoviendo su mejora continua. Las normas de auditoría establecen la necesidad que el auditor interno asista a la organización en el mantenimiento de controles efectivos y eficientes y promoviendo la mejora continua de los mismos.



Sistemas de control.

Elementos.

Los medios de control incluyen las personas, reglas, presupuestos, agendas y otros componentes.

Importancia.

El control es especialmente importante en las grandes organizaciones. Los gerentes son incapaces de supervisar personalmente todo sobre lo cual tengan responsabilidad.

Por lo cual deben delegar autoridad a los subordinados y junto a la delegación de responsabilidad se debe asegurar la rendición de cuentas, que no es más que demostrar que las cosas se hicieron como estaban planeadas. Ello es una forma de control.

La auditoría de controles.

El objetivo de auditar los controles es determinar que:

Los controles se encuentran implementados.

Los controles están estructurados.

Están diseñados para cumplir un objetivo específico o para alcanzar el cumplimiento de determinados requerimientos.

Los controles están siendo utilizados.

Son un eficientes y eficaces sirviendo su propósito.

La dirección utiliza el resultado del sistema de control.

El auditor debe:

Determinar los objetivos del sistema de control.

Revisar los objetivos para determinar si son consistentes con las políticas de la organización y están diseñados para asegurar el cumplimiento de los requerimientos externos o internos.

Examinar y analizar los sistemas de control para determinar si su anatomía es sana si existe un criterio, un método para medir las condiciones y una evaluación de las desviaciones y un método de información.

Determinar si el resultado de los controles está diseñado para cumplir con su propósito.

Revisar las operaciones del sistema de control.



¿Se usan los resultados?

¿Es el ingreso de los datos al sistema válido, preciso, razonable?

¿Si el sistema está computarizado, está funcionando correctamente?

¿Es el resultado del control válido?

Determinar si el sistema de control tiene las características de:

Flexibilidad.

Oportunidad.

Rendición de cuentas.

Identificación de causas.

Relación con objetivos y riesgos.

La auditoría interna cumple una función importante en la evaluación de riesgos y controles.

Según las normas de auditoría el auditor debe evaluar la eficacia de los procesos de manejo, de riesgo y de controles.

El auditor comienza elaborando una lista de riesgos que amenacen el cumplimiento de objetivos de la organización.

A continuación, se establece el nivel de riesgo al cual está expuesta la organización mediante un examen de los controles asociados a esos riesgos.

De esta forma el auditor puede dar una amplia opinión sobre los riesgos y los controles que los mitigan.

Entre otras cosas, se establecen

Una identificación de los riesgos, que amenazan el cumplimiento de los objetivos.

El grado de eficacia y eficiencia de los controles asociados a los riesgos, dicho de otro modo el funcionamiento de los controles.



11. Asistir al consejo en la evaluación de la independencia del auditor externo.

La independencia del auditor externo.

Uno de las cuestiones que ha alcanzado mayor importancia en los últimos tiempos es asegurar la independencia del auditor externo.

En algunos países la tarea del aseguramiento de la independencia recae en el Consejo pero a veces esta función la delega en el Comité de Auditoría, que es el organismo creado para descargar sus responsabilidades en lo que hace a la supervisión del sistema de control interno, los mecanismos destinados a asegurar la confiabilidad de la información financiera de uso público y la supervisión general de la función de auditoría interna y externa.

El rol de la auditoría interna en la evaluación de la independencia.

Uno de los objetivos del control interno es proporcionar un grado razonable de seguridad sobre el cumplimiento del objetivo de confiabilidad de la información financiera.

El pilar más importante sobre el cual descansa este objetivo es la independencia del auditor externo quien va a dictaminar sobre la corrección de la información financiera que la organización emita.

En tal sentido, y para asegurar que efectivamente la independencia del auditor externo es importante que el Consejo o el Comité de Auditoría soportado por la función de auditoría interna realicen al menos anualmente una evaluación cuyo objetivo sea la independencia del auditor externo y su eficiencia.

Evaluando la eficacia y la independencia.

El consejo o el comité de auditoría juegan un rol fundamental en el aseguramiento de la independencia de los auditores externos.

En tal sentido algunas de las funciones que el consejo o el comité de auditoría deben llevar adelante con los relación a los auditores externos son:

La aprobación por parte del Consejo o del Comité de aquellos servicios, que quieran llevar adelante los auditores externos que no fueran de auditoría y que pudieran crear un conflicto de intereses.

Que el Consejo o el Comité de Auditoría requieran de la firma responsable de la auditoría externa, por lo menos anualmente:



Una declaración escrita sobre aquellas situaciones que pudieren afectar su independencia.

Un reporte donde se especifique, entre otros: los procedimientos de control interno de la firma, cualquier cuestión surgida de la revisión de los procedimientos de control interno o de una investigación requerida o pedida por cualquier organismo profesional o gubernamental, dentro de los cinco años, respecto de las auditorías independientes llevadas adelante y los pasos seguidos adelante para tratarlos.

Que el comité o el consejo discutan con el auditor externo y la Dirección los reportes financieros anuales o cuatrimestrales y aquellos asuntos que resulten en una diferencia de tratamiento contable entre los auditores externos y la Dirección y/o el Consejo.

Que el consejo o el comité de auditoría sean responsables del nombramiento, remoción, elección de la firma responsable de llevar adelante el trabajo de auditoría externa como así también de la supervisión de su trabajo.

Que el consejo o el comité de auditoría consideren conjuntamente con los auditores internos o externos cualquier cambio en los principios contables y su efecto en la medición y exposición de los resultados financieros.

Al mismo tiempo es conveniente que se evalúe la eficacia del auditor externo verificando:

La extensión o el alcance del plan de auditoría externa.

La competencia y el conocimiento del personal.

La adecuación de los recursos con los que se cuenta para llevar adelante el plan previsto.

Políticas adecuadas para asegurar la independencia.

Existen numerosas políticas para asegurar la independencia de los auditores externos.

Al menos el consejo deberá asegurarse que:

Se establezca la rotación periódica en la asignación de los auditores externos y de los socios responsables de la firma de auditoría externa.

Que las personas que fueron auditores o socios de la firma auditora no pueden ser empleados o directores sin dejar transcurrir un tiempo razonable (al menos un año).

Se prohiba que los auditores externos puedan realizar tareas que no son estrictamente de auditoría y pudiera entrar en conflicto de intereses con aquella, como por ejemplo: tax planning, servicios relacionados con fusiones y adquisiciones (due dilligence), reclutamiento de personal ejecutivo, valuaciones o tasaciones significativas, diseños e implementaciones de sistemas de información financiera y otros servicios que los auditores puedan requerir en el transcurso de su auditoría.



La ley Sarbannes-Auxley y la independencia del auditor externo.

En EEUU, una de las reformas más importantes que significó la sanción de la llamada ley Sarbannes-Auxley es el establecimiento de claras responsabilidades del Comité de Auditoría sobre los auditores externos en particular sobre su nombramiento, la fijación de sus honorarios y en la supervisión de su trabajo.

En tal sentido, la ley pretende realizar un aporte importante en la independencia del auditor externo.



12. Evaluar el cumplimiento con políticas en áreas específicas.

13. Conducir el monitoreo y la información de la respuesta de la dirección a revisiones de cuerpos regulatorios.

Importancia.

La organización se encuentra sometida, según el tipo del cual se trate, a un sinnúmero de regulaciones muchas de ellas importantes y que a veces no son convenientemente cumplidas.

Su incumplimiento, puede devenir según las reglamentaciones de cada país, en fuertes multas y a veces hasta en la prohibición de seguir operando.

Es por ello que la evaluación del cumplimiento de las regulaciones y el monitoreo de la respuesta a las eventuales requerimientos de información de los cuerpos regulatorios resulta importante para la prevención de los riesgos involucrados.

A continuación citamos algunos de los temas sobre los cuales el auditor deberá poner un énfasis especial:

Medio ambiente.

Higiene y seguridad del trabajo.

Regulaciones técnicas específicas de la actividad (seguros, banca).

Superintendencias o cuerpos regulatorios sobre actividades específicas sujetas a un control especial por parte del gobierno (alimentos, energía, transporte, comunicaciones, educación, salud).

Agencias gubernamentales de control en materia de impuestos y seguridad social.

Auditorías de cumplimiento o “compliance”.

Uno de los objetivos del control interno es proveer razonable seguridad sobre el cumplimiento de las regulaciones y reglamentaciones aplicables.

En ese sentido el plan de auditoría deberá incluir aquellos aspectos relacionados con esos temas.



Respuesta a los organismos de control o de revisión.

Es habitual que en el ejercicio de su actividad específica de control y supervisión sobre las actividades sujetas a su jurisdicción las agencias reguladoras u organismos de revisión realicen inspecciones y controles los cuales pueden devenir en pedidos de información, reclamos de acciones correctivas, multas, clausuras y hasta prohibiciones para continuar la operación.

Es importante que los requerimientos de estos organismos sean constestados en la forma y el tiempo adecuados para evitar posibles sanciones.

Para el auditor interno, cualquier investigación realizada por los cuerpos regulatorios adquiere una importancia fundamental.

Puede implicar la aparición de riesgos no contemplados anteriormente y la ocasión para realizar las acciones correctivas necesarias.

El auditor deberá prestar especial atención a lo siguiente:

Si se encuentra previsto que se notifique apropiadamente a la Dirección y a auditoría sobre cualquier investigación o reclamo iniciado por los organismos regulatorios.

Si una vez notificado del reclamo el sector responsable lleva adelante las acciones necesarias (información, investigación o corrección de los problemas advertidos).

Si el organismo regulatorio recibe la información requerida en el tiempo previsto y en la forma adecuada.

Si efectivamente, las acciones correctivas fueron llevadas adelante o la información entregada al organismo se ajusta a la realidad verificable.

En caso que así no fuera, asegurarse que la Dirección tomó en cuenta los riesgos involucrados.

Si de la inspección de los organismos de control derivara algún tipo de irregularidad comprobable averiguar las causas de la misma (desconocimiento, falta de capacitación, razones económicas, etc) y recomendar acciones para evitar su repetición.



14. Evaluar el mecanismo de informe de la organización al Consejo.

15. Evaluar la adecuación del sistema de medición del desempeño de los logros de los objetivos corporativos.

La información, base para el control.

Una completa y oportuna información es importante para que se pueda monitorear el cumplimiento de las metas y objetivos.

En ese sentido resulta decisivo que el Consejo reciba información completa, veraz y oportuna sobre la marcha de los negocios.

Deben existir procedimientos claros sobre que, cómo, cuando y a quién informar.

Esos procedimientos pueden ser formales o informales pero deben ser conocidos y respetados por todos los funcionarios.

Asi como es recomendable que exista conciencia de control en la organización es importante que existe la conciencia de que la información oportuna y confiable es clave para ejercer un buen control y tomar las acciones correctivas en el tiempo oportuno y por el nivel adecuado.

Evaluando el mecanismo de información.

El auditor deberá evaluar la adecuación de los mecanismos de información al Consejo u organismo decisorio.

Algunas cuestiones que deberán tenerse en cuenta son:

Si se encuentran previstos procedimientos que identifiquen la manera y la oportunidad de información al Consejo.

Si tales procedimientos se encontraran previstos verificar su cumplimiento y su razonabilidad.

La información que se reciba no debe ser excesiva: unos pocos índices pueden servir para conocer la tendencia y la marcha de los negocios. Si fuera necesario, se podrá informar con mayor detalle aquellas cuestiones que lo merezcan.

La periodicidad de información con mayor grado de detalle puede ser mensual pero deberá siempre tenerse en cuenta que muchas veces puede ser necesario reportar con urgencia cuestiones que no pueden esperar ni siquiera una semana hasta la próxima reunión del consejo. En tal caso es necesario mantener siempre abiertas las puertas de la comunicación y de la información entre las direcciones operativas y el consejo.

Si quedan evidencias escritas de las informaciones recibidas, a través de reportes o memos escritos o se acostumbra a reportar algunas cuestiones a través del teléfono o de conversaciones informales.



Si esos reportes resultan tener un apropiado tratamiento por el consejo y, en caso de deficiencias o irregularidades, se toman las medidas correctivas necesarias.

Si en el transcurso de las auditorías se revelan situaciones que debieron tener un adecuado conocimiento por parte del consejo y fueron ocultadas por desconocimiento o negligencia.

Realizar las recomendaciones y mejoras al sistema de información que, a juicio del auditor, deberían adoptarse.

Sistema de medición de desempeño.

Importancia.

Asi como es importante que el consejo reciba información adecuada y oportuna para que pueda tomar las decisiones más convenientes para la organización, también es necesario que la organización cuente con un sistema de medición eficiente de objetivos para conocer si se están cumpliendo en el grado y en la oportunidad prevista.

Sistemas de medición de objetivos.

Una de las condiciones que deben tener los objetivos es que sean medibles. Los objetivos deben ser medibles para que puedan compararse y para que la organización conozca si ha arribado a los resultados esperados y en caso que así no fuera, tomar las medidas correctivas necesarias en el tiempo oportuno.

Muchas veces la organización establece premios o incentivos al personal que estarán en relación con el desempeño logrado. Estas también resultan ser razones importantes para que los objetivos sean medidos en forma correcta.

La contabilidad ofrece la fuente primaria de la gran mayoría de las mediciones.

El presupuesto que es el reflejo cuantitativo de los planes de la organización suele ser el mejor y más efectivo medio de medición de desempeño.

Un buen presupuesto, con objetivos claros, realizables, medibles y con clara asignación de responsabilidades suele ser el primer paso de un buen sistema de información de desempeño.

Utilización de indicadores.

Además de la información presupuestaria y de las comparaciones que suelen realizarse en forma periódica para saber como se está cumpliendo se suelen utilizar distintos indicadores.

Algunos de ellos pueden ser ratios financieros por ejemplo:

% de utilidad neta o % de utilidad bruta,

monto de gastos operativos por número de personal

altas, bajas y modificaciones del staff,



número de unidades producidas y vendidas, retorno sobre el capital empleado, monto de intereses sobre resultados totales.

En fin la lista puede ser variada y muy extensa y dependerá del tipo y clase de objetivo que se quiere medir.

Lo importante es que los ratios informados estén relacionados con el objetivo que se quiera evaluar.

Si se trata de una empresa telefónica y el objetivo de ventas determinado es alcanzar un determinado número de líneas es obvio que se deberá llevar un buen registro de las líneas vendidas para poder monitorear el cumplimiento del objetivo.

Evaluación del sistema de información.

El auditor deberá observar si el sistema de información es adecuado principalmente en lo referente a:

Ofrece una descripción razonable del cumplimiento de los objetivos que pretenden medir.

Los datos o índices resultan fáciles de obtener y los costos de su procesamiento y obtención son menores que los beneficios que reportan.

Son de fácil interpretación, conocidos por todo el personal y confiables.

Tablero de control. Balanced Scorecard.

Este tema será analizado con mayor detalle en la parte III de esta obra pero podemos adelantar que se trata de un sistema balanceado de medición de desempeño que relaciona mediciones operativas y financieras clave.

Como las mediciones financieras no resultaban adecuadas porque reflejaban simplemente el resultado de acciones ya realizadas se establecen mediciones operativas que son las verdaderas impulsoras del desempeño financiero futuro.

El sistema establece cuatro perspectivas: aprendizaje y crecimiento, procesos operativos, clientes y finanzas.

Considera que el componente actitudinal del personal es la base de los procesos operativos, de la relación con los clientes y en última instancia de los resultados financieros que podrán obtenerse.

El modelo del tablero de control ofrece un modelo de negocios muy útil para la auditoría porque proporciona una serie de mediciones clave de las actividades y sirve como orientador de los esfuerzos de auditoría.



16. Conducir el seguimiento y el reporte de la respuesta de la dirección a la auditoría externa.

Necesidad de coordinación.

Los esfuerzos de la auditoría interna y externa deben estar coordinadas de manera que los dos puedan brindar un mejor servicio a la organización.

Respuesta de la dirección a la auditoría externa.

Los auditores externos tienen diferentes objetivos a los auditores internos: su objetivo es obtener un dictamen sobre los estados financieros de la organización.

En el transcurso de su auditoría es común que hagan observaciones y requerimientos a la dirección sobre diferentes asuntos.

Es importante que entre las diferentes funciones de la auditoría interna, los auditores conduzcan el proceso de respuesta a los auditores externos.

Por sus competencias los auditores internos pueden convertirse en buenos asesores de la dirección para dirigir el proceso de respuesta a los auditores externos.

El objetivo es asegurar que los auditores externos reciban la respuesta en el tiempo y de la forma adecuada.

Evaluación del proceso de respuesta.

Los auditores internos deberán tener en cuenta, entre otros los siguientes aspectos:

Si la respuesta de la organización a los auditores externos es relevante, completa, oportuna y verificable con la realidad.

Si las cuestiones observadas por los auditores externos pueden derivar en ampliacioens al alcance de la auditoría interna o en posibilidades de una mejor coordinación de sus tareas con la auditoría externa en un futuro.

Si se otorga a los auditores externos la posibilidad de aplicar procedimientos adicionales para satisfacer su objetivo.

Si las cuestiones observadas pueden derivar en riesgos no contemplados anteriormente por la organización o por los propios auditores internos en sus procesos de evaluación y manejo de riesgos.

Si de la observación o requerimiento efectuado por los auditores externos derivara la necesidad de efectuar acciones correctivas o mejorar algún proceso o actividad es importante que los auditores internos verifiquen que la dirección las haya tomado efectivamente.



17. Desarrollar otros roles y responsabilidades de la auditoría interna. a) El rol como promotor de la Ética y el cumplimiento. Normas relacionadas. El consejo para la práctica 2130-1 “Rol de la actividad de la auditoría interna y el auditor interno en la cultura ética de la organización” es la interpretación del stándard del mismo número que determina, entre otras cosas, el rol que debe desempeñar la actividad del auditor interno como promotor de la ética de la organización. Este consejo resalta la necesidad de que el auditor interno en particular y la actividad de auditoría interna en general desempeñen un rol activo en soporte de la cultura ética de la organización.

Debido a su preparación, competencias, la integridad y la confianza que los auditorores merecen son aquellos más indicados para desempeñar el rol de defensor ético en la organización. También tienen la capacidad y competencia necesarias para apelar a los líderes de la empresa y a los empleados a cumplir con las responsabilidades éticas, legales y de cumplimiento de la organización.

Los roles que pueden asumir los auditores internos como un defensor y promotor de la ética en la organización puede ser varios: ombudsman, asesor o experto ético. b) El rol en la administración del riesgo. La administración del riesgo es una responsabilidad clave de la dirección quien para poder alcanzar sus objetivos la dirección debe asegurarse que el proceso se encuentra implementado y está funcionando adecuadamente. El consejo de auditoría y el consejo tienen la responsabilidad de supervisar que el proceso se encuentra implementado y funciona adecuadamente. Los auditores internos tienen un rol de asesoramiento o consultivo para que la organización pueda identificar, evaluar e implementar metodologías apropiadas para manejar y controlar los riesgos. El director ejecutivo de auditoría interna debe conseguir un conocimiento completo del consejo y de la dirección sobre las expectativas que tienen de la auditoría interna en el proceso de manejo de riesgos. Más específicamente el rol de la auditoría interna en los procesos de manejo de riesgo puede variar con el transcurso del tiempo desde: No desempeñar ningún rol. Auditar el proceso de manejo de riesgos como parte del plan de auditoría. Desempeñar un rol activo soportando continuamente e involucrándose ampliamente en

el manejo de riesgos participando en actividades tales como comités de supervisión, actividades de monitoreo e informes del estado.

Coordinar y administrar el proceso de manejo de riesgos.



La dirección y el comité de auditoría deberán determinar cual debe ser el rol de la auditoría en el proceso de manejo de riesgos. Algunos factores tales como la cultura de la organización, las habilidades o competencias del personal de la auditoría interna y las condiciones locales incidirán en la determinación del rol que tendrá la auditoría en el proceso del manejo de riesgos en la organización.

c) El rol de la auditoría en la protección de los derechos a la intimidad o privacidad. Definición e introducción. La privacidad generalmente se refiere a la información que puede ser asociada con un individuo específico o que tenga características identificativas que, asociada con otra información, pueda utilizarse con el mismo fin. Este tipo de información, es decir, aquella capaz de ser asociada con un individuo en particular se llama información personal identificable (personally identifiable information) y se considera sujeta a todas las consideraciones que hacen a la privacidad del individuo. Se trata de información considerada como sensitiva y se puede referir a los gustos, consumos, nivel ecónomico, estado de salud (enfermedades padecidas) y requiere una gran protección sobre el manejo de los datos. Protección legal a dicha información. La mayoría de las legislaciones protegen aquellos datos que hacen a la privacidad de las personas y limitan el poder del Estado y de las organizaciones de avanzar sobre los derechos individuales que consagran la privacidad de los individuos. Impacto de Internet. El creciente uso de internet provocó por un lado una mayor exposición de aquella información considerada como sensible y al mismo tiempo, los desarrollos tecnólogicos facilitaron el procesamiento, almacenamiento y distribución de grandes volúmenes de datos en un muy corto lapso de tiempo y aumentaron los riesgos involucrados. Cuidado acerca de los datos. Las organizaciones se ven obligadas a realizar un manejo muy cuidadoso de los datos que posean de sus clientes y puedan ser considerados como sensibles o susceptibles de protección legal contra su difusión o conocimiento por personas no autorizadas. Existen múltiples razones pero entre ellas, podemos citar: Las organizaciones se exponen a multas y otros castigos si no cumplen las regulaciones

sobre protección a la privacidad de los individuos existentes. Muchos países europeos cuentan con limitaciones a la transferencia de datos a países

que no alcancen los estándares mínimos de protección de información privada. La reputación y el precio de las acciones de la empresa pueden verse afectados

negativamente si se producen violaciones a la privacidad de los datos.



El rol de la auditoría en la protección de la privacidad. La protección de la privacidad proporciona distintas áreas para que el auditor pueda desarrollar revisiones en la seguridad de los datos. Se puede seguir la pista de los datos desde su captura pasando por su utilización, almacenamiento, difusión y terminando por su destrucción. El auditor puede colaborar ampliamente en la mitigación de los riesgos y desarrollar controles apropiados donde se hayan identificado vulnerabilidades. El auditor puede desarrollar una serie de actividades con el fin de facilitar, influenciar sobre y evaluar el programa y las políticas de privacidad de los datos de la organización. Entre ellas podemos citar: Evaluación de las políticas de privacidad de datos. Facilitar el desarrollo de un programa de privacidad. Evaluación de las políticas de privacidad de los empleados y protección de los datos. Revisión de la protección de los datos y monitoreo de las intrusiones. Revisión de la clasificación, retención, archivo y eliminación de los datos. Evaluación de la privacidad en e-commerce. Evaluación de la seguridad y privacidad de la red de comunicación.

d) El rol del auditor interno en la seguridad física y de los datos. La seguridad de los datos y la seguridad física constituyen dos cuestiones muy importantes que tienen que ver con la tecnología de la información. Seguridad de datos. Los controles sobre los datos previenen accesos no autorizados sobre el más importante activo que pueden tener la organización hoy en día, que son sus datos. El acceso lógico permite saber que usuarios están autorizados a entrar al sistema y cuáles son las funciones que pueden desempeñar en el mismo. Las características que debe reunir un buen sistema de seguridad de datos son: Sólo los usuarios autorizados tienen acceso a los datos. El nivel de acceso es adecuado a las necesidades del usuario. Las modificaciones de los datos deben estar acompañadas de una pista de auditoría

completa. El acceso no autorizado es denegado y se reporta adecuadamente el intento.

La función más importante y difícil resulta ser la autenticación del usuario. Las passwords resultan ser hoy por hoy la forma más sencilla y fácil de autenticar al usuario. Los softwares de seguridad de datos cumplen ciertas funciones: Encripción de datos para que no puedan ser leídos por los programadores. Obligan a cambiar las passwordas cada cierto lapso de tiempo.



Requieren que las passwords tengan cierta estructura: al menos cinco o seis caracteres, sin vocales e incluir algunos números, para evitar que puedan ser fácilmente deducidas.

Los softwares de seguridad de datos tienen otras funciones, por ejemplo restringen el acceso a determinados archivos a aquellos usuarios que por sus funciones no tienen necesidad de acceder, pueden permitir que determinadas tareas se hagan exclusivamente desde una sola terminal, pueden restringir el uso de las terminales a determinado horario del día y de la semana, bloquean las terminales luego de un período determinado sin actividad y pueden pedir el uso de la password antes de efectuar cada transacción importante. Seguridad física. Los controles de seguridad física previenen el acceso a personas no autorizadas al sitio del centro de datos y otorgan protección de las instalaciones donde se procesan los datos contra fuego, inundaciones y cortes de corriente. Hoy por hoy existen medios sofisticados para impedir el acceso a personas no autorizados al centro de procesamiento como ser tarjetas magnéticas que guardan la información de la persona en una tarjeta magnética, controles de acceso biométrico que leen la características del iris de la persona para determinar su acceso o las carácterísticas de la mano o reconocen su voz. En cuanto a los controles sobre la seguridad física podemos destacar los sistemas de prevención contra incendio que generalmente comprenden a los detectores de humo y a las alarmas contra incendio. Por último los dispositivos más comunes contra los cortes de corriente son los equipos electrógenos que permiten la continuidad de las operaciones ante cortes de energía y los equipos estabilizadores de corriente que previenen los daños que las variaciones en el voltaje de la energía pueden ocasionar a los equipos. El tema de seguridad de datos será tratado con mayor profundidad en la parte II de la obra.



CAPITULO IV E- Elementos de gobierno, riesgo y control. 1. Modelos alternativos para el gobierno corporativo. 2. Marcos alternativos de control. 3. Conceptos y vocabularios de riesgo. 4. Técnicas de administración de riesgos. 5. Implicaciones de riesgo y control de las diferentes estructuras

organizacionales. 6. Implicaciones de riesgo y control de los distintos estilos de liderazgo. 7. Administración del cambio. 8. Administración del conflicto. 9. Técnicas de administración del control. 10. Tipos de control (preventivo, detectivo).



1. Modelos alternativos de gobierno corporativo. Proceso de gobierno. Las Normas para la Práctica Profesional de la Auditoría Interna definen al proceso de gobierno como aquellos procedimientos utilizados por los representantes de los accionistas y otros interesados en la organización con el objeto de proporcionar una adecuada supervisión de los procesos de riesgo y control administrados por la Dirección. Norma para la Práctica relacionada. Norma para el Desempeño 2130. La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos: Promover una ética y valores apropiados en la organización. Asegurar un efectivo desempeño directivo y una rendición de cuentas adecuada. Efectiva comunicación de los riesgos e información de control a las áreas apropiadas

de la organización. Efectiva coordinación de las actividades y comunicación de la información entre el

Directorio, los auditores externos e internos y la alta dirección. Los consejos para la Práctica relacionados: El consejo para la práctica relacionado es el 2130-1: Rol de la actividad de auditoría interna y el auditor interno en la cultura ética de una organización. 2130. Gobierno. La actividad de auditoría interna debe contribuir al proceso de gobierno de la organización evaluando y mejorando el proceso a través del cual: (1) los valores y las metas se establecen y comunican (2) se monitorea el cumplimiento de las metas (3) se asegura la rendición de cuentas (4) se preservan los valores. Naturaleza de este consejo para la práctica: Los auditores internos deben considerar lo siguiente en la determinación del rol para jugar en la cultura ética de la organización. Este rol puede variar dependiendo de la existencia, falta o grado de desarrollo de la cultura ética de la organización. Est guía no intenta representar todos los procedimientos que pueden ser necesarios para un aseguramiento completo o trabajo de consultoría



relacionado con la cultura ética de la organización El cumplimiento de este Consejo es opcional. Como puede verse las nuevas normas asignan a la Auditoría Interna una gran responsabilidad sobre los procesos de gobierno corporativo. Como dicen las recomendaciones que propuso el Instituto en un intento de mejorar el gobierno corporativo como respuesta a los sucesos públicamente conocidos, la Auditoría Interna resulta ser una de las bases sobre las cuales debe edificarse un eficiente gobierno corporativo. Las otras bases, sobre las cuales se asienta el modelo, son el Consejo de Dirección, la Dirección y los auditores externos. Naturaleza del proceso de gobierno. La organización utiliza su forma legal, estructura, estrategias y procedimientos para asegurar que: Se cumpla con la leyes y reglamentaciones.

Se satisfagan los preceptos éticos y las expectativas sociales de la organización.

Se proporcione un adecuado beneficio a la sociedad y se aseguren los intereses de los

accionistas y otros interesados en la organización (proveedores, clientes, empleados) tanto en el largo como en el corto plazo.

Se informe completa y verdaderamente a los propietarios, entes reguladores, otros

interesados y al público en general para asegurar la rendición de cuentas por las decisiones, acciones, conducta y desempeño.

La forma en que la organización elige para conducir estos asuntos y alcanzar estas cuatro responsabilidades se llama comúnmente proceso de gobierno. El consejo de dirección y la alta dirección deben rendir cuentas por la efectividad del proceso de gobierno. Responsabilidad compartida por la cultura ética de la organización. Toda las personas de la organización están comprometidas y comparten alguna responsabilidad por el estado de la cultura ética. En razón de la complejidad y de la dispersión del proceso de toma de decisiones en muchas organizaciones cada individuo debe ser un defensor de la ética. Los códigos de conducta y las declaraciones de visión y política son declaraciones importantes de los valores y los objetivos de la organización, el comportamiento afectado



de su gente y de la estrategia para mantener una cultura alineada con sus responsabilidades legales, éticas y sociales. La actividad de la auditoría interna como promotora de la ética organizacional. Los auditores internos y la actividad de auditoría interna deben tomar un rol activo en el

soporte de la cultura ética de la organización. Evaluación del clima ético de la organización. Como mínimo la actividad de auditoría interna debe periódicamente evaluar el estado del clima ético de la organización y la eficacia de sus estrategias, tácticas, comunicaciones y otros procesos para cumplimentar el nivel deseado de cumplimiento legal y ético. Los auditores deben evaluar la eficacia de los siguientes rasgos de una cultura ética. Código formal de conducta, el cual es claro y entendible.

Comunicaciones frecuentes y demostraciones de actitudes y comportamiento ético por

los líderes de la organización. Estrategias explícitas para soportar y mejorar la cultura ética con programas regulares

para actualizar y renovar el compromiso de la organización con una cultura ética. Revisiones regulares de los procesos de la organización que puedan crear presiones y

debilitar la cultura ética. El nuevo marco que propone el Instituto. En respuesta a los distintos sucesos que ocurrieron en EEUU hace unos años Instituto propuso un marco en el intento de mejora del gobierno corporativo el cual sintéticamente delineamos: Que los organismos que supervisan a las empresas que cotizan en forma pública sus

títulos valores en Estados Unidos (Bolsa de Valores de Nueva York, Bolsa de Valores Americana y el NASDAQ) emitan una serie uniforme de principios para las empresas públicas (en Estados Unidos aquellas que realizan oferta pública de títulos valores).

Que el directorio emita, junto a su reporte anual, una declaración sobre el alcance del

cumplimiento de esos principios.



Asimismo el Directorio debe informar sobre la evaluación de la efectividad del control interno en la organización. Estas declaraciones deben tener un alcance amplio, esto es no estar limitadas a los controles sobre el registro e información de los datos financieros.

Por último todas las empresas públicas deben establecer y mantener una función de

auditoría interna independiente, competente y con los recursos adecuados para proporcionar al Comité de Auditoría y a la Dirección una evaluación continua de los procesos de riesgo y del sistema de control interno.

Si la función de auditoría interna no está presente el Directorio debe informar , en su reporte anual porque la función no está implementada.

Los principios del gobierno corporativo. En la misma línea el Instituto adoptó los Principios del Siglo XXI para las empresas públicas americanas emitidos por Centro de Gobierno Corporativo de la Universidad Estatal de Kennesaw estado de Georgia. Estos principios son: Interacción. El gobierno corporativo requiere una interacción efectiva entre el

Directorio, la Dirección, los auditores externos e internos.

Propósito del Directorio. El Directorio debe entender que su propósito es proteger los intereses de los accionistas mientras considera los intereses de otros interesados (acreedores, empleados, etc).

Responsabilidades del Directorio. Las mayores áreas de responsabilidad del

Directorio deberían ser monitorear al Chief Executive Officer o Presidente, supervisar la estrategia de la corporación, monitorear riesgos y el sistema de control interno de la corporación. Los directores deberían ejercer un sano escepticismo en el cumplimiento de estar responsabilidades.

Independencia. Las bolsas de valores deberían definir como director independiente

a aquel que no tiene intereses profesionales ni personales (actuales o anteriores) con la corporación o su dirección más que el servicio como director. La vasta mayoría de los directores debe ser independiente en hechos y apariencias para promover una supervisión amplia.

Experiencia. Los directores deberían poseer experiencia adecuada en la industria,

compañía, área funcional o gobierno. Deberían reflejar una combinación de perspectivas y antecedentes. Todos los directores deben recibir orientación y educación continua para asegurar que cumplimentan y mantienen el nivel necesario de experiencia.

Reuniones e Información. El directorio debe reunirse en forma frecuente y extensa y tener acceso a la información y al personal que necesite para desarrollar sus responsabilidades.



Liderazgo. Las posiciones de CEO y de director deben estar convenientemente separadas.

Declaración . Las comunicaciones deberían reflejar las actividades del Directorio y

las transacciones en una forma transparente y oportuna.

Comités. Los comités de auditoría deben estar compuestos por directores independientes.

Auditoría interna. Todas las compañías con cotización pública de sus títulos

valores deben mantener una función de auditoría interna efectiva y de tiempo completo que reporte directamente al Comité de Auditoría.

El Instituto cree que estos principios involucran un modelo para el Gobierno Corporativo porque el gobierno corporativo depende de la sinergia generada entre los cuatro componente del sistema de gobierno: el Directorio, la dirección, los auditores internos y los auditores externos. Para lograr un proceso de gobierno efectivo los cuatro grupos deben estar presentes y trabajar en forma conjunta. Estos cuatro grupos proporcionan un efectivo sistema de controles y balances que combinan conocimiento interno del negocio con evaluación externa independiente. Reportes sobre el control interno. Uno de los principios que postula este modelo es que el directorio emita una declaración sobre la evaluación del control interno en las organizaciones. Estas declaraciones deberían estar dirigidas a los controles internos en forma amplia y no limitarse sólo a los controles sobre el registro y la información financiera. En opinión del Instituto, esta es una herramienta poderosa para proteger a los accionistas e inversores. Para asegurar un reporte efectivo la auditoría interna debería reportar al Comité de Auditoría sobre la adecuación y efectividad del control interno. El reporte debería incluir las opiniones de la Dirección sobre la suficiencia del control interno, el resultado de las pruebas de control interno efectuadas por los auditores internos y el trabajo del auditor externo. El Comité de auditoría debería evaluar la adecuación del reporte y realizar las recomendaciones apropiadas al Directorio para el reporte externo.

Auditoría Interna. Los auditores internos y el comité de auditoría se soportan mutuamente. La consideración del trabajo de los auditores internos es esencial para el Comité de Auditoría para obtener un completo entendimiento de las operaciones de la organización. La auditoría moderna está basada en la identificación de los riesgos que debe enfrentar la organización y de la evaluación de los controles que se implementaron para mitigar aquellos riesgos dentro de un contexto dinámico.



2. Marcos Alternativos de control. Para el Instituto de Auditores Internos, el marco más efectivo de control disponible es el Marco Integrado de Control, publicado por el Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO)5. Según el informe COSO, el control interno es un proceso efectuado por el Consejo de Administración, la dirección y el resto del personal diseñado con el objeto de proporcionar un grado razonable de seguridad en cuanto al cumplimiento de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones.

Fiabilidad de la información financiera.

Cumplimiento de las leyes y normativas aplicables.

Según el informe COSO “el control interno es un proceso, lo cual significa que no constituye un hecho aislado sino una serie de acciones que se extienden por todas las actividades de la entidad. Los procesos del negocio, que se llevan a cabo dentro de las unidades y funciones de la organización o entre las mismas, se coordinan en función de procesos básicos de planificación, ejecución y supervisión. El control interno es parte de dichos procesos y está integrado en ellos, permitiendo su funcionamiento adecuado y supervisando su comportamiento y aplicabilidad en cada momento. Constituye una herramienta útil para la gestión pero no un sustituto de ésta. Este concepto de control interno dista mucho de la perspectiva de algunos observadores, que ven al control interno como un elemento añadido a las actividades de una entidad o como una carga inevitable impuesta por los organismos reguladores o por el dictado de una burocracia excesiva”.

5Los nuevos conceptos del control interno (Informe COSO). Ed. Coopers & Lybrand. Ediciones Díaz de Santos.



Las personas y el control interno. El control interno lo llevan adelante las personas, en este caso, el Consejo de Administración, la dirección y los demás miembros de la entidad. Los empleados deben conocer sus responsabilidades y los límites de su autoridad. Ha de existir un vínculo estrecho entre las funciones de cada individuo y la forma de ejecución de dichas funciones. Seguridad razonable. El control interno sólo puede aportar un grado razonable de seguridad a la Dirección y al Consejo de Administración acerca de las consecuencias de los objetivos. Las limitaciones de todos los sistemas de control interno son: Las opiniones en que se basan las decisiones pueden ser erróneas.

Los empleados encargados del establecimiento del control tienen que establecer los

costos y beneficios relativos. Pueden producirse problemas a raíz de fallos humanas.

Pueden esquivarse los controles si dos o más personas se lo proponen.

La alta dirección puede eludir el sistema si lo estima oportuno.

Los cinco componentes del control interno y su relación con objetivos y procesos. Los componentes del control interno que el informe COSO determina son los siguientes: Ambiente de control:

Constituye la integridad, los valores éticos y la competencia, consiste en la filosofía de la dirección y su estilo operativo y los métodos de asignación de autoridad y responsabilidad así como el desarrollo y la organización del personal. Incluye el basamento sobre el cual se edifica el control interno. Evaluación de riesgos.

La evaluación de riesgos es la identificación y el análisis de los riesgos relevantes para el cumplimiento de los objetivos y la forma en que se manejan o administran los riesgos en un entorno cambiante y dinámico. Actividades de control.



Las actividades de control son las políticas y procedimientos para la aprobación, autorización, verificación, reconciliación, revisión de operaciones, seguridad de los activos y segregación de responsabilidades. Información y comunicación.

Las informaciones pertinentes deben ser comunicadas para permitir que las personas puedan llevar adelante sus responsabilidades. Monitoreo.

El sistema de control interno necesita ser monitoreado para determinar la calidad del su desempeño. Los objetivos. Cada entidad tiene una misión la cual determina sus objetivos y las estrategias necesarias para alcanzarlos. Pueden existir objetivos globales, es decir para toda la organización o específicos para una determinada actividad. El informe COSO clasifica a los objetivos en tres categorías: Operacionales: son aquellos relacionados con una utilización eficaz y eficiente de los recursos. Información financiera: son aquellos dirigidos a la preparación y publicación de estados financieros fiables. Cumplimiento. son los que están relacionados con en el cumplimiento de las leyes, normas y regulaciones. Relación entre los objetivos y los componentes. Existe una relación entre los objetivos, que es lo que la organización pretende conseguir y los componentes que son los elementos necesarios para cumplir con esos objetivos. Esta relación puede ilustrarse mediante una matriz tridimensional, tal como se presenta abajo: Las tres categorías de objetivos son las columnas verticales. Los cinco componentes están representados por filas. Las unidades o actividades están representadas por la tercera dimensión de la matriz.



El control interno, componentes, objetivos y unidades, actividades.

financ

Cum

p

Opera

iones

Infiormacion

era m

iento

Ef ElAd

La Seorefi

©2

OBJETIVO

ili c

SUPERVISION

INFORMACION Y COMUNICACION

Actividad 1U

nidad 1

S

g

COMPONENTE

ACTIVIDADES DE CONTROL

EVALUACION DE RIESGOS

AMBIENTE DE CONTROL

icacia del control.

control interno puede considerarse eficaz en cada una de las 3 categorías si el conseministración y la Dirección tienen una seguridad razonable que:

Disponen de información adecuada sobre hasta que punto se están lograndoobjetivos operacionales.

Se preparan en forma fiable los estados financieros públicos.

Se cumplen las leyes y las normas aplicables.

actividad de auditoría interna y el control.

gún la norma de desempeño 2120, la actividad de auditoría interna debe asistiranización en el mantenimiento de controles efectivos y evaluando su eficac

ciencia y promoviendo su mejora continua.

004 Instituto de Auditores Internos de Argentina 158 - Parte I El rol de la auditoría interna

UNIDADES/ ACTIVIDAD

jo de

los

a la ia y


Con lo cual, las Normas otorgan a la función de auditoría una responsabilidad importante sobre la supervisión en el control y su mejoramiento. Es importante, recalcar que, la actividad de auditoría no tiene una responsabilidad primaria sobre el control la cual recae en las unidades operativas, la alta dirección y el Consejo, es decir, en la organización misma como un conjunto. En cambio, establece responsabilidades claras e indudables de asesoramiento y supervisión sobre las actividades de control de la organización.



3. Conceptos y vocabularios de riesgo. Riesgo. Concepto. Se define al riesgo como la probabilidad de que un hecho o una acción adversa puede afectar negativamente el cumplimiento de los objetivos de una organización. El riesgo se mide en términos de la probabilidad de su ocurrencia y la gravedad que el mismo encierra para la organización. La organización en su conjunto y todas las actividades que esta realiza se enfrenta a un sinnúmero de riesgos algunos de los cuales provienen del ambiente externo en el cual la organización opera y otros tienen su origen en la propia organización. El riesgo debe ser manejado en forma adecuada a través de controles eficientes y eficaces pero como se debe tener presente siempre el concepto de economía del control, cierto nivel de riesgo queda presente y debe ser soportado por la organización. La forma de administrar el riesgo y la magnitud de riesgo no controlado es responsabilidad de la administración pero el consejo de dirección y el comité de auditoría tienen la responsabilidad de determinar si el proceso de manejo de riesgos se encuentra implementado y recomendar mejoras para su adecuación y mejora. Riesgo inherente. Por riesgo inherente entendemos aquel riesgo en ausencia de cualquier control. Es el riesgo inherente al negocio de la organización. Este riesgo puede ser diferente según la organización y el tipo de actividad de la cual se trate. El riesgo inherente de una organización que se dedica a la prospección y extracción de petróleo y gas puede ser mayor que una que se dedique a la distribución y comercialización de alimentos y posea una oferta muy diversificada. Del mismo modo, el riesgo inherente sobre una valuación errónea sobre el rubro de cuentas a cobrar es mayor que la aseveración del auditor interno sobre la continuidad del negocio. También puede variar de acuerdo a la complejidad de los cálculos: la posibilidad de errores en el cálculo de la amortización utilizando el método de la línea es menor que la de que existan errores en el calculo de los gastos por pensiones. El tipo de activo del cual se trate también tiene incidencia en el grado del riesgo inherente: el efectivo presenta un mayor riesgo de robo que un inventario de material para la construcción.



El auditor interno puede evaluar el riesgo inherente del cliente observando la industria en su conjunto. Si bien puede parecer, que el riesgo inherente proveniente exclusivamente del ambiente externo, es decir del ambiente donde la empresa opera, existen ciertas situaciones que hacen que las organizaciones se enfrenten a riesgos inherentes que provienen de decisiones tomadas en el ámbito interno de la empresa y que la exponen a riesgos, que otras organizaciones que operan en la misma industria no tienen. Tal sería el caso de aquella organización que, para tener una respuesta más flexible y rápida a los requerimientos de los clientes y a los cambios del mercado elige no tener procedimientos y políticas escritas. Estos riesgos creados por la cultura de la organización son riesgos inherentes al estilo de la organización. El auditor debe tener un interés especial en el riesgo inherente. En él influyen la naturaleza de los procesos de negocio y el estilo de la dirección. Para especificarlo mejor, dos organizaciones que trabajan en la misma industria tienen riesgos inherentes comunes porque participan del mismo ambiente externo pero sus grados de riesgo pueden ser diferentes porque una posee normas escritas y estructuras organizativas más sólidas y competentes que la otra. Riesgo de control. Cuando se ha considerado apropiadamente el riesgo inherente es necesario pasar a considerar las acciones de control que la organización ha tomado para hacer frente a ese riesgo. En ese sentido, el riesgo de control es que un error o una situación falsa o errónea no sea detectado por el sistema de control interno de la entidad, sus políticas o procedimientos. La organización comienza sus operaciones con determinados riesgos inherentes y grados de exposición a ese riesgo motivados por el ambiente externo en el cual opera y por su estilo de liderazgo que, como vimos, pueden influir en el grado de riesgo inherente que una organización puede estar enfrentando. Una vez implementados los controles necesarios para mitigar las consecuencias de los riesgos queda siempre un nivel de riesgo y que constituye aquel denominado riesgo del control. Esta situación se produce por el concepto de razonable seguridad o principio de economía de control que hace que deban balancearse los costos del establecimiento de los controles y los potenciales beneficios que estos traerán.



Dicho de otra manera no sería económico controlar el 100% de los procesos y de las operaciones y ello siempre deja un margen de exposición al riesgo, lo que se llama comúnmente riesgo residual. Riesgo de detección. Consiste en que el auditor no detecte los errores o inexactitudes sobre las aseveraciones de la organización. Ocurre, por varias razones, algunas de ellas pueden ser: El auditor, por razones de economía de control, no revisa la totalidad de las

transacciones, sino que trabaja en función de muestras significativas de la población bajo estudio.

Pueden existir incertidumbres, errores, fallas por la selección de procedimientos de auditoría que no resultan ser adecuadas o apropiados, errores en la aplicación de los mismos o en la interpretación de los resultados de las pruebas que el auditor lleva adelante.

Muchas de estas incertidumbres pueden ser reducidas a través de una adecuada

planificación y supervisión. De la misma forma que existe un riesgo de control, entre otras cosas, porque la organización aplica controles selectivos y parciales y no puede controlar el 100% de las operaciones existe un riesgo de detección en razón de la naturaleza del trabajo de auditoría. El auditor en su esfuerzo de trabajo realiza distintos procedimientos con la intención de reducir el riesgo de detección a un nivel aceptable. Puede decirse que cuanto mayor sean los riesgos inherentes y de control menor será el nivel aceptado de riesgo de detección, es decir la posibilidad que el auditor no detecte determinadas condiciones, hechos o situaciones. El auditor modifica la naturaleza, extensión y oportunidad de sus pruebas sustantivas para modificar el riesgo de detección, con el objeto de llevarlo a niveles aceptables o satisfactorios.



El proceso de riesgo en la organización.

RIESGO DE DETECCION

Evaluación de

riesgos y controles

Auditoría interna

RIESGO DE CONTROL

Administración

del riesgo

Procedimien

tos y políticas de

control

RIESGO INHERENTE

Ambiente externo

Estilo de dirección



4. Técnicas de administración de riesgos. Normas para la práctica relacionadas. La norma para la Práctica Profesional de la Auditoría relacionada con este tema es la Norma de desempeño 2100 Naturaleza del trabajo que dice: 2100. Naturaleza del trabajo. La actividad de auditoría interna evalúa y contribuye a la mejora de los sistemas de manejo de riesgo, control y gobierno. Por su parte el Consejo para la práctica relacionado 2100-3 dice: ...”Los auditores internos tienen un rol clave para jugar en el manejo del riesgo de la organización para determinar si están implementados los procesos de administración del riesgo y si esos procesos son adecuados y eficaces. La auditoría debe asistir al comité de auditoría y a la dirección para examinar, evaluar, informar y recomendar mejoras en la adecuación y eficacia del proceso de manejo de riesgos. La dirección y el Consejo de dirección son responsables por los procesos de riesgo y control de la organización pero los auditores actúan como consultores de la organización en identificar, evaluar e implementar metodologías y controles dirigidos a aquellos riesgos...”. Técnicas de administración de riesgos. Una vez identificados los riesgos es necesario tomar determinadas decisiones con el objetivo de mantener la exposición al riesgo de la organización en niveles razonables. Como hemos visto la posibilidad de eliminar los riesgos en forma completa no existe porque, el riesgo se encuentra implícito en cualquier actividad que la organización encare. Si se quisiera eliminar el riesgo sería necesario aumentar el control al 100% de las actividades o deja de desempeñar toda actividad, lo cual implica, la desaparición de la organización. La organización cuenta con determinadas acciones que tomar en cuanto a lo que se llama administración del riesgo. Estas acciones mitigan las consecuencias del riesgo. En tal sentido estas acciones son: Transferir las consecuencias del riesgo a un tercero, a través de la constitución de

pólizas de seguro o acuerdos de cobertura (swaps, contratos a término).



Implementar medidas de control que mitiguen las consecuencias del riesgo (tomar inventarios, establecer políticas de seguridad de los bienes).

Aceptar las consecuencias del riesgo. En este caso no se toma ninguna acción y se

decide “correr el riesgo” es lo que se llama riesgo residual y debe esta decisión debe ser tomada por el máximo nivel de la organización.

Por último, la organización puede decidir no aceptar el riesgo y abandonar la o las

actividades que estaba desempeñando. En cuanto al riesgo residual es necesario aclarar, que las Normas, además de asignar un rol importante a la auditoría interna en la evaluación y la administración de los riesgos también determinan la necesidad que el auditor interno discuta con la alta dirección si considera que, a su criterio, el riesgo residual que ha asumido es demasiado alto. Si la decisión no puede ser resuelta entre el auditor y la alta dirección, es necesario, que el auditor informe al Consejo de Dirección. 2600. Aceptación de los Riesgos por la Dirección Cuando el director ejecutivo de auditoría considere que la alta dirección ha aceptado un nivel de riesgo residual que es inaceptable para la organización, debe discutir esta cuestión con la alta dirección. Si la decisión referida al riesgo residual no se resuelve, el director ejecutivo de auditoría y la alta dirección deben informar esta situación al Consejo para su resolución. El proceso de administración de riesgos y la auditoría interna. El proceso de administración de riesgos consiste en el mantenimiento del riesgo a niveles razonables para la organización. Ello implica, como hemos visto, un balance razonable entre el riesgo y el control. La dirección debe asegurarse que el proceso está implementado y funcionando. Según las Normas, la auditoría interna debe asistir a la Dirección y al Comité de Auditoría en el examen, evaluación, informe y recomendaciones de mejora en la adecuación y eficacia del proceso de manejo de riesgos. Para ello es necesario que el director ejecutivo de auditoría interna obtenga un conocimiento de las expectativas de la Dirección y el Consejo de Administración sobre el rol de la auditoría interna en el proceso de manejo de riesgos. Además como se trata de un trabajo realizado en conjunto las actividades y responsabilidades de los dos grupos (Dirección y Auditoría Interna) deben estar coordinadas. En este sentido, es recomendable que se encuentren apropiadamente documentadas en los planes estratégicos de la organización, políticas de la Dirección, directivas y procedimientos operativos.



Así como cualquier tipo de decisión de la organización reside en distintos niveles según la importancia de la misma, las tipos de decisiones sobre riesgo se deben encontrar apropiadamente asignadas de acuerdo a lo siguiente: La aceptación del riesgo residual debe ser asignada al nivel ejecutivo de dirección.

La alta dirección debe ser la propietaria de los riesgos.

Las actividades de identificación, evaluación, mitigación y monitoreo puede ser

asignada a cada nivel operativo, con el objetivo que toda la organización pueda identificar los riesgos que impliquen las actividades que desempeñan y las medidas que pueden ser tomadas para mitigarlos. En ese sentido esta recomendación es importante porque crea una “cultura del riesgo y del control” en la organización.

La auditoría interna tiene la responsabilidad de una evaluación y aseguramiento

periódico, ello incluye una apropiada identificación y evaluación de exposición de riesgo significativo de la Dirección. Hay que aclarar que el proceso de evaluación de riesgos es diferente que la utilización del riesgo en la planificación de la auditoría, sin embargo la información sobre la identificación y los intereses de la Dirección sobre los riesgos puede ser utilizada por la auditoría interna en el planeamiento de sus actividades.

Los distintos roles que la actividad de auditoría interna pueden desempeñar en el proceso de administración de riesgos pueden variar a través del tiempo y pueden ser: No desempeñar ningún rol.

Incluír el proceso de evaluación de riesgos como parte del plan de auditoría interna.

Dar un soporte continuo y activo en la evaluación de riesgos tal como la participación

de la auditoría interna en comités de supervisión, actividades de monitoreo e informes de estado.

Administrar y coordinar el proceso de administración de riesgos.

En última instancia, es responsabilidad del Comité de Auditoría y de la Dirección la determinación del rol que la Auditoría Interna va a desempeñar en el proceso de administración de riesgos. Esta determinación estará influenciada por un conjunto de factores los cuales, entre otros, serán:

La cultura de la organización.

Las capacidades del personal de auditoría interna. Las condiciones y costumbres locales.



5. Implicaciones de riesgo y control en las diferentes estructuras organizacionales..

Estructura organizativa. La estructura de la organización proporciona el marco en que se producen los procesos de planificación, ejecución, control y supervisión con el objeto de cumplir con los objetivos establecidos. Entre los temas más importantes que tienen que ver con el riesgo y control están las definiciones de las áreas de autoridad y responsabilidad. En general, las organizaciones, adoptan las estructuras que mejor se adaptan a sus necesidades. Algunas entidades adoptan estructuras centralizadas otras descentralizadas. La estructura depende de su tamaño y de la naturaleza de las actividades que desarrollan. Una organización con estructuras muy rígidas y con líneas de autoridad y responsabilidad altamente formalizadas puede resultar adecuada para una organización que posea varias divisiones operativas. Pero, quizás esa misma estructura, puede ser inconveniente para organizaciones más chicas que necesitan estructuras más flexibles con líneas de autoridad y responsabilidad más informales. Asignación de autoridad y responsabilidad. Esto incluye tanto la asignación de autoridad y responsabilidad para las actividades de gestión como para el establecimiento de las relaciones de jerarquía y de las políticas de autorización. Está relacionada con la forma que se impulsa y fomenta a nivel individual y colectivo a emplear la iniciativa cuando se encaran temas y formulan soluciones y determinar los límites a la autoridad. También tiene relación con el descubrimiento de las prácticas adecuadas, habilidades y competencia del personal y los recursos que se ponen a su disposición para llevar adelante los objetivos que se le encomendaron. Muchas organizaciones tienen la tendencia a la delegación de funciones, es decir, a tratar que las decisiones se tomen en el nivel más bajo posible de la organización. Esto puede favorecer la respuesta a las satisfacciones del cliente o hacer que la organización se muestre más flexible a los requerimientos y necesidades del mercado en el cual opera. En general para que la delegación sea eficaz y eficiente debe haber límites claros y en que se delegue únicamente para satisfacer mejor los objetivos.



En tal sentido es necesario garantizar que los riesgos se asumen en forma responsable y que los empleados poseen la capacidad y tienen la competencia necesaria. Es importante, además, que cada empleado entienda como se relaciona con el resto de la organización y la forma en que su actividad contribuye en el cumplimiento del objetivo global. ¿Qué evaluar? El auditor en su evaluación de la estructura organizativa debe prestar atención: La idoneidad de la estructura organizativa de la entidad y su capacidad para

proporcionar el flujo de información para gestionar las actividades. La suficiencia de la definición de las responsabilidades de los directivos clave y sus

conocimientos de los mismos. La suficiencia de los conocimientos y experiencia a de los directivos clave teniendo en

cuenta sus responsabilidades y conocimientos. La asignación de responsabilidad y delegación de autoridad para hacer frente a las

metas y objetivos, funciones operativas y requisitos reguladores incluyendo la responsabilidad en cuanto a los sistemas de información y gestión de los cambios.

La suficiencia de las normas y procedimientos relacionados con el control.

El número de personas adecuado, sobre todo en relación con las funciones del

procesamiento de datos y la contabilidad teniendo en cuenta el tamaño de la entidad así también como la naturaleza y complejidad de sus actividades y sistemas.

Las políticas y procedimientos adecuados para la contratación, formación, promoción y

remuneración de los empleados. La capacidad de los criterios para retener y promocionar y las evaluaciones de

desempeño y su relación con el código de conducta y otras prácticas.



6. Implicaciones de riesgo y control de los distintos estilos de liderazgo.

Concepto de liderazgo. El liderazgo puede ser definido como el arte de estimular e influenciar el desempeño de otros. El liderazgo proviene del poder pero ese poder puede ser un poder coercitivo o carismático. Los diferentes estilos de liderazgo. Los estilos de liderazgo pueden ser definidos como: Autocrático: Se trata de líder que orden al resto de la gente lo que tiene que hacer. Consultivo: En este caso el líder tiene confianza en sus empleados, proporciona recompensas con el objetivo de motivar y castigos cuando es adecuado. Desarrolla canales de comunicación adecuados tanto hacia arriba como hacia abajo. Este líder escucha a los empleados pero se reserva para sí el poder de decisión. Participativo: Los empleados pueden proporcionar información necesaria para la toma de decisiones y el líder incluye los puntos de vista de ellos cuando toma las decisiones. Liberal.: En este caso el líder adopta una actitud de “dejar hacer” en donde los empleados toman sus propias decisiones. Relaciones con el riesgo y control. El control puede ser desarrollado de distintas maneras. El control impuesto es el tradicional. En este caso se mide el desempeño contra los standard impuestos se toman acciones correctivas y se monitorea si esta acción trae los resultados esperados. Pero este control trae connotaciones negativas: el control, al comparar y resaltar las acciones equivocadas de las personas produce una disminución en su autoestima. Además los empleados tienen tendencia a evitar que personas ajenas al grupo ejerzan funciones de control y por eso tiende a sabotear y resistir los controles. Por tal motivo muchos gerentes toman las siguientes medidas. Participan a los empleados en el establecimiento de controles.

Se aseguran que los objetivos de los controles sean comunicados ampliamente.



Utilizan los controles con el fin de conseguir los objetivos y no para imponer reglas estrictas que provoquen censuras o castigos.

Es evidente, que los estilos de liderazgo participativos fomentan y alientan el establecimiento de controles por parte de los empleados o responsables operativos del proceso y requieren de ellos sus opiniones, deseos y sugerencias a los fines de lograr una mayor participación y en definitiva una mejor aceptación y compromiso. Este proceso, alentado por la Dirección y llevado adelante por los propios responsables del proceso resulta ser altamente positivo porque eliminan muchos de los problemas que trae el establecimiento de controles impuestos “desde afuera “ del proceso. Los controles establecidos desde dentro del proceso resultan ser mucho más efectivos y gozan de una mejor aceptación por parte de los empleados involucrados en el proceso. En cambio, los líderes autocráticos, tienden a implementar estructuras de control más rígidas y formales poco participativas y con alto grado de imposición. A continuación vemos el siguiente cuadro que ejemplifica y relaciona los distintos estilos de liderazgo y su relación con los riesgos y controles. Estilo de liderazgo Estructuras de control Efectos sobre el control

Autocrático Rígidas, formales e

impuestas Control que puede ser discutido y no aceptado. Posibilidades de sabotaje y elusión. Bajo grado de compromiso en los responsables de las tareas. El desarrollo e implementación de este tipo de controles suele ser más rápida.

Participativo Flexibles, informales y participativos.

Auto-control. Los responsables del proceso diseñan e implementan sus propios controles. Requiere una gran dosis de compromiso, responsabilidad y conocimiento de las objetivos y las tareas por parte de los empleados.



7. Administración del cambio. El citado informe COSO, cita lo siguiente con relación a lo que se llama “gestión del cambio” ...”Los cambios producidos en la economía, el sector de la actividad, la reglamentación y las actividades de la empresas hacen que un sistema de control interno que se considera eficaz en un entorno quizás no lo sea en otro. En el contexto del análisis del riesgo resulta fundamental que exista un proceso para identificar las condiciones que han cambiado y tomar acción sobre los cambios que se produjeron. Aunque todas las actividades necesitan tener un proceso ya sea formal o informal para identificar las circunstancias que puedan afectar de forma significativa su capacidad para conseguir objetivos. Una parte clave de dicho proceso son los sistemas de información que están en condiciones de captar, procesar y suministran información sobre los acontecimientos, actividades y condiciones que indican la existencia de cambios ante los cuales es necesario que la organización reaccione. Este proceso supone la identificación de la circunstancia que ha cambiado (pueden tratarse de cambios en la tecnología, condiciones de la competencia, aparición de nuevos productos, tendencias, modas, regulaciones etc) y el análisis de las oportunidades y riesgos asociados. Tal análisis incluye la determinación de las posibles causas del cumplimiento o no cumplimiento de un objetivo, la evaluación de la probabilidad de que tales causas se produzcan, la evaluación del posible efecto sobre el incumplimiento de los objetivos y la consideración de hasta que punto puede ser controlado dicho riesgo o aprovechada esta oportunidad.”.. El cambio y el control Los factores siguientes deben ser objeto de una atención especial: Cambios en el entorno operacional.

Si se producen cambios en las leyes o en el entorno económico pueden aparecer nuevos competidores o desaparecer otros y motivar la aparición de riesgos que no existían hasta entonces. Nuevos empleados.

Un alto nivel de rotación junto con la ausencia de sistemas eficaces de formación y supervisión pueden ser las causas de incidencias y problemas de control. Sistemas de información nuevos.



La aparición de nuevos sistemas de información está muy relacionada con el control porque generalmente la implementación de nuevos sistemas de información convierte en ineficaces los sistemas de control que se venían utilizando. Crecimiento rápido.

Cuando el volumen de operaciones crece en forma rápida y muy importante es posible que los sistemas existentes se vean sometidos a una presión tan grande que los controles dejen de funcionar. Nuevas tecnologías.

La incorporación de nuevos sistemas o tecnologías de producción provocará que los sistemas de control deban ser modificados. La automatización de los procesos hace que muchas veces los controles manuales que se venían realizando no puedan seguir llevándose adelante y deban ser reemplazados por otros.



8. Administración del conflicto. Conflicto. El conflicto está presente en todas las organizaciones y se muestra en una variedad de grados. En muchas organizaciones se mantiene razonablemente bajo control y es causado por diferencias entre la gente o las organizaciones por: Métodos de desarrollo de actividades.

Problemas con áreas de responsabilidad.

Compromiso de recursos.

Ideología y ética.

Los conflictos entre el auditor y el auditado son comunes. En razón de que el auditor toma un actitud adversaria se producen las bases para el conflicto. Los conflictos pueden ser resueltos por: Arbitraje Mediación Compromiso. Técnicas para resolver conflictos. Los auditores deben estar preparados para el conflicto y la disputa porque son inherentes a su trabajo. Tienen que ser capaces de resolver disputas, soportar adecuadamente las evidencias y ampliar las pruebas sin dificultad ni tardanza. Una buena técnica consiste en preparar una lista de objeciones y las posibles respuestas que se pueden interponer para contestarlas. En definitiva, cuanto mejor preparado esté el auditor para defender sus observaciones mayor será la credibilidad que tendrá su informe y más fácilmente serán aceptadas sus recomendaciones. Se dice que el auditado está siempre a la defensiva. Pero esa barrera puede ser removida y alcanzado los acuerdos.: Mantener buenos modales. La utilización, por parte del auditor, de frases tales como

“Estoy en desacuerdo con usted”, “Usted está equivocado” o el empleo de frases



hirientes u ofensivas provoca una actitud defensiva del auditado y destruye la comunicación e impide el cumplimiento de los objetivos del auditor.

Utilizar frases no personales. Cuando se está en desacuerdo se deben evitar, las frases que tienen un connotación personal.

Frases de tono más impersonal como “Valdría la pena considerar” o “Quizás puede ser útil investigar” hacen que sea menos probable que se enciendan las emociones.

Utilizar el sentido común. Existen ocasiones donde es recomendable dejar algunos temas un tiempo hasta que puedan volver a ser discutidos con mayor tranquilidad y menos emocionalmente.

No poner a nadie contra la pared. El objetivo del auditor es que se lleven a cabo sus recomendaciones y conclusiones no que los auditados cambien su parecer.

No confundir los puntos de vista con un desacuerdo. Ellos realmente no están en desacuerdo sino simplemente quieren una chance para justificar la posición o explicar las razones de su posición.

Cuando no se puede llegar a un acuerdo es importante que el auditor incluya los puntos de vista del auditado en su informe. También es importante que los auditores estén dispuestos a modificar el lenguaje y las frases de su reporte para utilizar las palabras sugeridas por el auditado si es que no se modifica el sentido de sus recomendaciones y sugerencias. Por último el auditor debe estar seguro de esta considerando sólo aquellos aspectos que son relevantes y estar dispuesto a realizar los cambios necesarios en beneficio de su reporte. Involucrar al auditado en la formulación de las recomendaciones. Uno de los métodos que reducen los conflictos entre el auditado y el auditor fue formulado por W.L.Kendig6. Se propone que el auditor emita sus reportes sin las recomendaciones y sugerencias. En su lugar se le pide al auditado que elija entre al menos dos alternativas diferentes para solucionar las observaciones. El auditado debe elegir alguna de las dos posibilidades y justificarla. Por su parte el auditor evalúa las soluciones elegidas por el auditado y si entiende que deben ser rechazadas, debe explicar las razones. El método elimina la necesidad de que el auditor tenga que defender sus recomendaciones posibilitando que el auditado elija la alternativa más conveniente y de esa forma se sienta más predispuesto a llevarlas adelante.

6 W.L.Kendig, “Finding without recommendations”. The Internal Auditor June 1983 45-47.



Sugerencias para mejorar las respuestas del auditado a las observaciones y recomendaciones. Las recomendaciones deben ser específicas con el fin de facilitar la medición de las

medidas correctivas. Si las recomendaciones involucran aspectos operativos deben ser discutidas con los

responsables de línea para facilitar y posibilitar su implementación. Los auditores internos deben estar al tanto de los nuevos planes, operaciones y

actividades que se encaren y proponer las recomendaciones tendientes a la mejora. Sin embargo no deben interferir sobre la autoridad o el proceso de toma de decisiones de la dirección.

Finalmente existen algunos principios7 que es conveniente tener en cuenta si se quiere mejorar la aceptación de las observaciones que el auditor realice: Calidad de las recomendaciones: Las recomendaciones deben ser útiles y valiosas,

claras, convincentes y posibles. Su utilidad y relevancia debe ser reevaluada a través de la acciones de seguimiento.

Compromiso: Es importante que la auditoría y los auditores demuestren tener una

compromiso con el cambio en la organización. Monitoreo y seguimiento: Los auditores deben tener un sistema útil para realizar el

monitoreo y seguimiento de las recomendaciones que efectúen a sus auditados. Al mismo tiempo, deben evaluar si las unidades auditadas cuentan con sistemas adecuados y apropiados para realizar el monitoreo y seguimiento de las recomendaciones de auditoría.

Por último el estudio de la GAO citado aconseja que, para ser efectivas, las recomendaciones deben: Atacar las causas subyacentes de los problemas.

Ser factibles

Ser costo-efectivas, es decir que los beneficios que traerán las soluciones sean mayores

que los costos de su implementación y puesta en marcha. Considerar alternativas.

7 “How to get action on Audit Recommendations”, GAO (General Accounting Office).



9. Técnicas de administración de control. Definición del control interno. Recordando la definición que el citado informe COSO8 proporciona del control interno

“un proceso realizado por el directorio, las gerencias y demás personal de la empresa con el objeto de brindar una razonable seguridad sobre el logro de los objetivos en las siguientes categorías:

Efectividad y eficacia de las operaciones.

Cumplimiento de las leyes y reglamentaciones aplicables.

Confiabilidad de la información financiera.”

Elementos del sistema de control.

Los elementos que un sistema de control tiene son:

Personas.

Reglas.

Presupuestos.

Cronogramas.

Medios para alcanzar el control.

Algunos de los medios con que una organización cuenta para alcanzar el control son:

Organización.

Políticas.

Procedimientos.

8 Control Interno, Marco Integrado , Comité de Organizaciones patrocinadoras de la Comisión Treadway.



Personal.

Contabilidad.

Presupuestos.

Información.

Organización:

La organización es la estructura intencionada de los roles que se asignan a las personas para que la empresa pueda cumplir sus objetivos de una manera económica y eficiente.

Los gerentes deben tener la autoridad necesaria para tomar sus decisiones de manera de descargar sus responsabilidades.

Las responsabilidades pueden ser divididas de forma tal que una persona no concentre todas las responsabilidades del proceso.

El funcionario que asigna responsabilidad y delega autoridad debe tener un sistema efectivo de seguimiento para asegurar que las responsabilidades se llevaron a cabo de acuerdo a lo previsto.

La definición de la responsabilidad de los individuos en la organización debe ser clara de forma tal que no sea excedida o eludida.

Los superiores deben requerir una apropiada rendición de cuentas sobre el cumplimiento de las responsabilidades asignadas.

La organización debe ser flexible a los cambios de planes, políticas y objetivos.

La estructura de la organización debe ser lo más simple posible.

Para un mejor conocimiento de las jerarquías de autoridad, tareas y asignación de responsabilidades es conveniente la preparación de organigramas.

Políticas.

Una política es una declaración de principios que requiere, proporciona directivas o limita las acciones.

Los rasgos que debe contener una buena política son:



Las políticas deben estar claramente establecidas por escrito en manuales y apropiadamente aprobadas.

Deben ser comunicadas en forma sistemática a todos los empleados de la organización.

Deben estar de acuerdo con las leyes y regulaciones y consistentes con los objetivos y metas de la organización.

Deben promover la utilización eficaz y eficiente de los recursos y la protección de los activos.

Deben ser revisadas y actualizadas en forma periódica.

Procedimientos.

Los procedimientos son los medios de que se valen los empleados para llevar adelante las actividades de acuerdo a las políticas emitidas.

Los mismos principios que se comentaron para las políticas deberían aplicarse a los procedimientos.

Deberían tenerse en cuenta además lo siguiente:

Es importante que se aplique el principio del llamado “control por oposición” para evitar la posibilidad de fraude o malversación. En este caso la actividad realizada por un empleado es chequeada por otro que está realizando funciones separadas. Est Este principio halla su limitación en el grado de riesgo involucrado en la operación a controlar, el costo de los procedimientos preventivos, la disponibilidad de personal y en definitiva el principio de costo-beneficio del control donde los beneficios que trae la implementación de medidas de control deben ser mayores a los costos de su implementación.

En el caso de operaciones que no sean mecánicas los procedimientos no deben ser tan detallados como para impedir la utilización del juicio o sentido común del empleado.

Para promover la máxima eficiencia y economía los procedimientos prescriptos deben ser tan simples y económicos como sea posible.

No deben ser conflictivos o duplicados.



Personal

El personal asignado debe tener las competencias necesarias para realizar el trabajo. La mejor forma de control sobre el personal es la supervisión. En consecuencia, se deben establecer altos estándares de desempeño.

Las siguientes prácticas ayudan a mejorar el control:

Los empleados nuevos deben ser investigados, particularmente en lo referente a su honestidad y confiabilidad.

Los empleados deben tener la oportunidad de mantenerse capacitados, actualizados e informados de las nuevas políticas y procedimientos.

También deben ser informados sobre las responsabilidades y deberes de los puestos del resto de la organización con el objeto que puedan entender mejor como sus puestos se insertan en el resto de la organización como un todo.

El desempeño de todos los empleados deben ser revisados periódicamente para ver si están cumpliendo sus objetivos. El desempeño suficiente debe tener un reconocimiento apropiado y en caso que el mismo no fuera el apropiado esta situación debe ser discutida con los empleados para que tengan oportunidad de mejorar su desempeño o mejorar sus competencias.

Contabilidad.

La contabilidad es el medio indispensable para conseguir el control financiero sobre las actividades y recursos.

Algunos principios sobre los sistemas de contabilidad:

La contabilidad debe estar alineada a las necesidades de los gerentes para la toma de decisiones.

Debe estar basada en las líneas de responsabilidad.

Los reportes financieros de resultados operativos deben seguir a las unidades organizacionales que llevan adelante las operaciones.



La contabilidad debe permitir que se puedan identificar aquellos costos controlables.

Presupuesto.

Un presupuesto es una declaración de resultados esperados expresadas en términos numéricos. Como una forma de control fija un standard para la asignación de recursos y lo que se pretende alcanzar como ingreso o producto.

Es conveniente que:

Participen aquellos que son responsables de su cumplimiento.

Se suministre información a los responsables del presupuesto sobre la comparación entre los resultados alcanzados y los presupuestados y las causas de las desviaciones.

Todos los presupuestos de las distintas unidades de negocio deben estar alineados con el presupuesto global de la organización.

Los presupuestos deben implicar objetivos medibles.

El presupuesto es una manera de disciplina y coordinación porque implica alinear objetivos que a veces pueden ser contrapuestos.

Informes

La información sirve para la toma de decisiones porque generalmente, en base a ello se toman los gerentes toman sus decisiones.

En tal sentido, la información debe ser oportuna, precisa, relevante y económica.

Algunos de los principios que debe tener un buen sistema de información son:

Los informes deben ser hechos de acuerdo a la asignación de responsabilidades.

Se debe requerir que los individuos o las unidades reporten sólo sobre los asuntos sobre los cuales son responsables.

Los costos de la obtención de los datos y preparar la información deben ser comparados con los beneficios de obtenerlos.



Los informes deben ser tan simples como lo posible y consistentes con la naturaleza de su objeto. Deben incluir sólo la información que sirva a las necesidades de los lectores.

Cuando sea apropiado, los reportes deben incluir comparaciones con los estándares de calidad, desempeño, costo y cantidad.

Cuando el desempeño no pueda ser informado en términos cuantitativos los informes deben ser diseñados para enfatizar las excepciones u otros asuntos o cuestiones que deban requerir la atención de la Dirección.

Para maximizar su valor los reportes deben ser oportunos. Los reportes oportunos basados parcialmente en estimaciones suelen ser más valiosos que aquellos reporte más precisos pero presentados tardíamente.

Periódicamente se deben realizar encuestas para asegurarse que aquellos que los receptores de los reportes son los apropiados y si pueden ser mejorados.



10. Tipos de control. Tipos de control. Los controles son diseñados para llevar adelante múltiples funciones. Algunos son instalados para prevenir resultados indeseables antes que ocurran y en ese sentido se llaman controles preventivos. Otros, por otra parte, intentan detectar las consecuencias indeseables cuando ocurren y se llaman controles detectivos. Por último, otros, pretenden asegurarse que las acciones correctivas se han tomado para revertir las consecuencias indeseables o verificar que no vuelvan a ocurrir y se denominan controles correctivos. Todos intentan funcionan para verificar si se están cumplimentando los objetivos y metas organizacionales. Los controles preventivos son más costo-efectivos que los detectivos. A continuación algunos ejemplos de costos preventivos: Personal competente. Separación de funciones, para prevenir irregularidades. Autorización apropiada para prevenir inapropiada utilización de recursos. Documentación y registro adecuados para desalentar transacciones irregulares. Control físico sobre los activos para prevenir su inapropiada utilización o disposición.

Los controles detectivos son generalmente más caros que los preventivos pero ambos son esenciales. Primero miden la eficacia de los controles preventivos, segundo algunos errores no pueden ser controlados eficazmente a través de un sistema de prevención deben ser detectados cuando ocurren. Los controles detectivos incluyen: Revisión y comparación.

Reconciliaciones bancarias.

Circularizaciones bancarias, a proveedores y clientes..

Inventarios físicos y análisis de las variaciones.

Auditoría interna.

Los controles correctivos se utilizan cuando ya han ocurrido las consecuencias no deseadas. No existe ningún control correctivo eficaz si las deficiencias identificadas permanecen sin corregir o si vuelven a recurrir.



En consecuencia la dirección debe desarrollar sistemas que permitan el seguimiento de la irregularidad hasta que sea corregida y cuando sea apropiado deben desarrollar procedimientos para impedir su recurrencia. Los controles correctivos cierran el círculo que comienza con los controles preventivos y pasan desde la detección a la corrección. Un ejemplo de ello son los controles que se establecen sobre los movimientos de fondos. Por un lado, la organización establece controles preventivos al establecer una adecuada segregación de funciones entre los que registran los movimientos de efectivos y los que emiten los cheques. Por otro lado se establecen controles detectivos al conciliar y circularizar periódicamente las cuentas bancarias y analizar las diferencias surgidas. Por último, si se establece alguna irregularidad en el movimiento de fondos se procede a realizar la investigaciones correspondientes con el objeto de establecer las causas, deslindar y establecer responsabilidades, establecer acciones correctivas e informar los resultados a la Dirección .Estos últimos, son controles correctivos. Es necesario, aclarar que, no existe el control interno infalible porque hay que tener presente que los que realizan el control son personas y pueden fallar, ya sea por incompetencia, irresponsabilidad o colusión entre dos o más personas. La efectividad de un buen control pasa por disminuir la probabilidad de una irregularidad a sólo una posibilidad remota de su ocurrencia. En consecuencia los auditores internos pueden confiar razonablemente pero no completamente en lo que parece ser un buen sistema de control interno.



Bibliografía consultada: Sawyer’s Internal Auditing. 4th Edition. Normas para la Práctica Profesional de la auditoría interna y consejos para la Práctica relacionados. Instituto de Auditores Internos. Recomendaciones para la mejora del Gobierno Corporativo. Instituto de Auditores Internos.



CAPITULO V F- Planificación de trabajos. 1. Iniciar y conducir una investigación preliminar en el área del trabajo. 2. Completar una evaluación detallada de los riesgos del área (priorizar o

evaluar los factores de riesgo/control). 3. Coordinar esfuerzos del trabajo de auditoría y establecer/refinar objetivos

del trabajo y finalizar el alcance del trabajo.. 4. Identificar o desarrollar criterios para el aseguramiento de los

trabajos(criterios contra los que medirse). 5. Considerar el potencial de fraude cuando se planifican los trabajos. 6. Determinar procedimientos de trabajo. 7. Establecer un adecuado planeamiento y supervisión del trabajo. 8. Preparar el programa de trabajo.



1. Iniciar y conducir una investigación preliminar con el cliente.

El contacto preliminar con el cliente. La etapa de la investigación preliminar constituye el primer contacto con nuestro cliente y como tal resulta particularmente importante para el éxito del trabajo posterior. Estudio incial El estudio inicial corresponde a la etapa donde el auditor va a tomar conocimiento del cliente. Lo puede hacer a través de los papeles de trabajo si existe una auditoría anterior o bien con ayuda de información especializada del área o industria en la cual la organización se encuentra operando. El estudio inicial, incluye entre otras tareas el análisis de: Los organigramas, para conocer la estructura de la organización. Las declaraciones de autoridad y responsabilidad, que obviamente deberán ser revisadas

durante el transcurso de la auditoría. Es importante que el auditor, durante esta primera etapa, documente adecuadamente aquellas cuestiones que le llamaron la atención con el objeto de tenerlas presente en el resto del trabajo. Puede ser útil elaborar listas recordatorias donde el auditor va a ir detallando las distintas tareas que debe realizar en las distintas etapas de su trabajo, desde la planificación pasando por el trabajo de campo hasta la conclusión. Una vez elaboradas estas listas el auditor puede elaborar ya una “tabla de contenidos” donde incluirá las distintas documentaciones que va a agregar a sus papeles de trabajo y una referenciación preliminar y tentativa con el objeto de ayudarlo a la planificación y al ordenamiento de los papeles de trabajo. Como la auditoría debe proporcionar un valor agregado, no será nada malo que incluya distintas formas de reducir costos en la actividad que va a auditar, a través de mejora de procesos, eliminación de tareas o combinación con otras y eliminación de reportes innecesarios. Puede redactar una “lista de ahorros de costos”, la cual irá revisando y controlando a lo largo del trabajo. Entrevistas preliminares. Una vez desarrollado el estudio inicial (generalmente antes de visitar al cliente) el auditor está en condiciones de comenzar con las entrevistas preliminares. El auditor utilizará la información de los papeles de trabajo anteriores, el archivo permanente de auditoría y los manuales de procedimiento de la actividad que va a auditar para obtener la información necesaria para elaborar los cuestionarios.



Los cuestionarios suelen ser técnicas muy útiles en esta etapa porque permiten obtener un rápido conocimiento de la actividad con poco esfuerzo de trabajo y orientan la actividad de auditoría. Las preguntas que puede formular el auditor son variadas y no vale la pena detallarlas porque dependerán de la situación, alcance y tipo de auditoría a realizar. Sin embargo es necesario aclarar que las preguntas que el auditor formule deberán estar orientadas a determinar los siguientes aspectos de la actividad bajo revisión: Estructura de la actividad (número de departamentos, secciones, divisiones) Cantidad de personal, cómo se los entrena y evalúa Actividades que se están desarrollando, cuales se consideran más importantes y cuales

más problemáticas o dificultosas. La forma en que se ejerce el control sobre las diferentes actividades. Los distintos informes o reportes que se reciben y los que se preparan y a quienes se

envían y las fuentes en que se basan. Los estándares que se establecieron para la actividad. Los cambios que se han producido desde la última auditoría y el estado en que se

encuentran las recomendaciones de la anterior auditoría. Las sugerencias del cliente sobre las cuestiones en que se debería prestar atención.

Reuniones con el cliente. Las distintas reuniones con el cliente van a permitir que el auditor pueda comentar a su cliente el propósito y el enfoque que le va a dar a su trabajo. La reunión representa un punto clave y le permitirá al auditor establecer: Objetivos, metas y estándares de la actividad a auditar. Los riesgos involucrados. Le servirá para conocer el estilo y cultura de la dirección.

El tono que el auditor debe llevar adelante es cooperativo tratando de no entrar en disputas o controversias en esta etapa. Entrevistas. Una de las habilidades más importantes con que debe contar un auditor es su capacidad para planificar, dirigir y registrar adecuadamente las entrevistas que pueda realizar con su cliente. Luego de los papeles de trabajo y, quizás más que ellos, las entrevistas proporcionan la fuente de información primaria para el desarrollo del trabajo del auditor. De ella surgirán muchos puntos que deben ser analizados, modificaciones al planeamiento, y hasta propuesta de mejoras a los procesos existentes. La entrevista, como todo buen proceso, debe ser cuidadosamente preparada. El auditor debe, antes de la fecha de la entrevista, tener en claro cuáles son los objetivos de la entrevista y preparar las preguntas adecuadas para alcanzarlos.



Es recomendable que las entrevistas preliminares se encuentren preparadas de antemano, es decir no sean sorpresivas. Ya iniciada la entrevista el auditor debe presentar los objetivos de la misma a su entrevistado y para qué va a utilizar los resultados. El auditor cuando conduce la entrevista debe ejercer buenas técnicas de comunicación, con el objeto que el mensaje que quiere transmitir llegue al receptor de la manera adecuada. Algunas de las recomendaciones que el auditor debe tener en cuenta para hacer eficiente el proceso de comunicación con el entrevistado son: El auditor debe establecer un clima de confianza, para que el entrevistado se sienta

cómodo de transmitir información. Se deben evitar lenguajes técnicos y mantener una lógica en los cuestionarios que se

realicen. Adoptar una actitud positiva y evitar enfrentamientos personales. Evitar prejuicios porque pueden bloquear el canal de información. Saber escuchar, es importante que el auditor desarrolle buenos hábitos de escucha,

porque si no puede perjudicar el desarrollo de la entrevista. Saber preguntar: el auditor no debe hacer preguntas que den la respuesta en la propia

pregunta o impliquen una incriminación o preguntas por sí o por no porque agregan poca información.

Saber registrar apropiadamente las conclusiones de la entrevista: de otra manera todo el esfuerzo habrá sido inútil ya que no es bueno confiar en la propia memoria, además que es recomendable que quede registro de la entrevista.



2. Completar una evaluación detallada de los riesgos. Riesgos. Como se vió en el capítulo II de esta obra, la planificación de la auditoría debe estar basada en el riesgo. El auditor debe realizar una lista de actividades auditables y luego evaluar los riesgos en cada una de ellas y otorgarles mayor esfuerzo de auditoría a aquellas actividades que ofrezcan mayores riesgos. Tal cual enumeran las normas “el director ejecutivo de auditoría interna debe establecer planes basados en los riesgos para determinar las prioridades de la actividad de auditoría interna consistentes con los objetivos de la organización”. En la entrevista preliminar el auditor debe identificar las principales exposiciones a los riesgos y los controles que la organización ha implementado para tenerlos bajo control.

En este caso el auditor debe estar atento a las debilidades de control que pueden estar ocurriendo y que no mitiguen adecuadamente la exposición.

La primera entrevista va a proporcionar información importante sobre si la identificación de los riesgos que hace la organización es completa, sobre si son periódicamente controlados esos riesgos que se han identificado, si existen controles inadecuados que pueden ser identificados y corregidos y que riesgos o amenazas vale la pena auditar en detalle.

Insistimos que el auditor debe basar su análisis en dos elementos principales: riesgos y controles. Dos preguntas pueden resumir el énfasis que debe darle a su trabajo:

¿Cuáles son las exposiciones a los riesgos que se han identificado?

¿Cuáles son los controles que ayudan a mitigar dichos riesgos?

Ejemplo:

Riesgo: “Compras en exceso de la cantidad necesaria”

Control: “Las compras son ordenadas por el usuario no por los compradores”.

Riesgo: “Los empleados retiren material del inventario”

Control: “Seguridad realiza una revisión de los bolsos y pertenencias a la salida de los empleados”

Riesgo: “Se realicen compras no autorizadas”

Control: “Se requieren autorizaciones firmadas por responsables autorizados”



3. Coordinar esfuerzos del trabajo de auditoría,establecer objetivos del trabajo y finalizar el alcance del trabajo.

Coordinación. Las Normas establecen lo siguiente con referencia a la coordinación de las tareas que debe realizar la auditoría interna. 2050-Coordinación. El director ejecutivo debe compartir información y coordinar actividades con otros proveedores externos e internos de servicios de aseguramiento y consultoría para asegurar una apropiada cobertura y evitar esfuerzos duplicados. Las tareas de coordinación del director ejecutivo deben estar orientadas a repartir esfuerzos e información básicamente con auditores externos. Sin embargo, dentro de una organización, existen otros profesionales que pueden colaborar con la tarea del auditor interno, como ser abogados, investigadores y asesores externos. El auditor interno debe establecer un trato fluido con ellos, intercambiar informaciones y programas de trabajo y utilizar una sinergia positiva para, en conjunto, brindar un valor agregado a la organización.

Objetivos del trabajo.

Las Normas establecen con relación a los objetivos los siguiente:

2210-Objetivos del trabajo.

Los objetivos deben ser establecidos para cada trabajo.

2210-A1. Los auditores internos deben conducir una evaluación preliminar de los riesgos relevantes a la actividad bajo revisión. Los objetivos del trabajo deben reflejar los resultado de esta evaluación.

Asi como comentamos que la planificación de la auditoría debe estar basada en el riesgo, los objetivos del trabajo deben contemplar una evaluación de los riesgos.

Según las Normas, los objetivos del trabajo deberían estar dirigidos a los riesgos, controles y procesos de gobierno de las actividades bajo revisión.

Relación entre los objetivos de auditoría y los objetivos operativos.



Los objetivos del trabajo de auditoría son los propósitos o el ánimo del trabajo. Sería el ¿para qué? del trabajo, en cambio los procedimientos de auditoría son las técnicas utilizadas para lograr el objetivo, sería el ¿con qué? del trabajo.

Los objetivos de auditoría están íntimamente relacionados con los objetivos operacionales de la actividad.

Es por tal razón que antes de formular los objetivos de auditoría el auditor debe conocer bien los objetivos de la organización.

Tampoco se puede conocer si los objetivos se están desarrollando eficiente y económicamente si no se puede examinar los procedimientos empleados por el personal operativo en cumplimiento de sus objetivos.

En todos los programas de auditoría se deben identificar los objetivos operativos que el auditor debe evaluar si se están cumpliendo.

Los objetivos de auditoría pueden ser generales, es decir aquellos relacionados con la totalidad de la actividad de auditoría o específicos para cada trabajo.

Si el objetivo de la actividad es comprar las mercadería adecuadas el objetivo de la auditoría va a ser establecer si realmente se están comprando las mercaderías adecuadas y si el diseño de los sistemas puede informar sobre el grado de cumplimiento del objetivo.

Alcance de la auditoría.

Con referencia a lo que las Normas indican con referencia al alcance podemos decir que: 2220- Alcance del trabajo. El alcance establecido del trabajo debe ser suficiente para establecer los objetivos del trabajo.

2220.A1- El alcance del trabajo debe incluir la consideración de los sistemas, controles, registros personal y propiedades relevantes, incluidas aquellas bajo el control de partes externas a la organización.

El programa de auditoría debe indicar en forma clara el alcance de la auditoría, debe estar claro lo que está cubierto y lo que no.

El alcance estará determinado por los objetivos del trabajo.

Una auditoría amplia y adecuada debería abarcar al menos la integridad y confiabilidad de la información, el cumplimiento con las políticas, los planes, procedimientos, leyes y regulaciones, la salvaguarda de activos, el uso económico y eficiente de los recursos y el cumplimiento de los objetivos y metas establecidos para las operaciones y programas.

El límite del alcance es la autoridad que la alta dirección concedió a la auditoría.



En una auditoría del ciclo de gastos (desde el ordenamiento de la mercadería hasta su correspondiente recepción y pago) estos objetivos deberían ser examinados:

Distribución de los gastos en las cuentas apropiadas.

Cumplimiento de las procedimientos y políticas de compra en lo referente a la autorización y aprobación de las compras.

Protección de las mercaderías recibidas.

Compras en lotes económicos y autorizaciones y rendición de cuentas para el acceso a los sistemas y datos.

Controles en los sistemas de forma tal que aseguren la integridad, confidencialidad y disponibilidad de los datos.

Contribución al objetivo de producción entregando las mercaderías en el tiempo oportuno.



4. Identificar o desarrollar criterios para los trabajos de aseguramiento.

Normas relacionadas. 2120.A4 Se necesitan criterios adecuados para evaluar los controles. Los auditores internos deben aseverar la extensión en que la dirección estableció criterios para determinar si los objetivos y metas se han alcanzado. Si resulta adecuado, los auditores internos deben usar tales criterios en su evaluación. Si no es adecuado los auditores deben trabajar con la dirección para desarrollar criterios de evaluación adecuados. Criterios y estándares de medición. En cualquier auditoría se encuentran presentes los objetivos de propiedad, eficiencia, economía y efectividad debido a que todos los recursos deben usarse de la manera más económica y evitando los desperdicios. Pero para determinar que el grado de cumplimiento de esos objetivos es necesario contar con adecuados estándares de medición. Los estándares operativos existen en distintas áreas , por ejemplo un área de producción establece que el control de calidad no debe rechazar más del 1% de la producción diaria. Una vez que el estándar se ha establecido el auditor tiene algunas tareas para hacer: Debería juzgar su validez y evaluar sus bases. Debería comparar el estándar contra otros de industrias similares. Ver si es razonable con relación al cumplimiento de los objetivos de la organización.

Si no existieran estándares el auditor interno debería llegar a un acuerdo con los clientes para encontrar los estándares más apropiados.



5. Considerar el potencial de fraude cuando se planifica los trabajos.

El auditor y el fraude.

El auditor debe adoptar una actitud de escepticismo cuando planifica los trabajos de auditoría y debe estar atento a las diferentes posibilidades de error, fraude, irregularidades y no cumplimiento con las normas y regulaciones aplicables.

Asi como los objetivos del trabajo estarán orientados a los riesgos de la actividad bajo revisión, también la posibilidad de fraude ocupa un lugar importante en la planificación de los trabajos.

Si bien la auditoría no puede impedir la existencia del fraude, puede asegurar que los controles implementados prevengan su aparición y minimicen sus consecuencias.

En cierta manera riesgo y fraude están muy relacionados y el fraude en sí mismo es uno de los riesgos más importantes que una organización puede enfrentar.

Fraude es una representación falsa u ocultamiento de la realidad con un objetivo intencional.

Con relación al rol del auditor en el fraude debemos considerar que las Normas indican con que el auditor interno debe tener el suficiente conocimiento como para identificar los indicadores de fraude pero de ninguna manera debe ser experto como aquellas personas cuya responsabilidad primaria es la detección del fraude.

El principal objetivo del auditor, con relación al fraude, es asegurar que existan los controles necesarios para prevenirlos y funcionen adecuadamente. La responsabilidad de la prevención recae en la dirección.

Rol del auditor en el fraude.

Sin perjuicio de un tratamiento con mayor detalle en la parte II de esta obra, podemos decir que este párrafo extraído del consejo para la práctica que interpreta la norma 1210 A1, clarifica un poco el rol del auditor en el fraude:

1.La disuasión consiste en aquellas acciones tomadas para evitar la realización del fraude y a limitar los riesgos, si el fraude se consuma. El principal mecanismo para la disuasión del fraude es el control. La responsabilidad principal para el establecimiento y mantenimiento del control recae sobre la dirección. 2.Los auditores internos son responsables de ayudar en la disuasión del fraude mediante el examen y evaluación de la adecuación y efectividad del sistema de control interno,



considerando el grado de exposición o riesgo potenciales en los diferentes segmentos de las operaciones de la organización. Para llevar a cabo esta responsabilidad, los auditores internos deberán, por ejemplo, determinar si: o El ambiente de la organización favorece la conciencia de control. o Se fijan metas y objetivos realistas para la organización. o Existen políticas escritas (por ej.: código de conducta) que describan las actividades prohibidas y las acciones requeridas cuando se descubre cualquier violación. o Se han establecido y mantenido políticas apropiadas de autorización para las transacciones. o Se han desarrollado políticas, prácticas, procedimientos, informes y otros mecanismos para vigilar las actividades y salvaguardar los activos, especialmente en áreas de alto riesgo. o Los canales de comunicación proporcionan información adecuada y confiable a la dirección. o Es necesario hacer recomendaciones para establecer o mejorar controles eficientes para colaborar en la disuasión del fraude. 3.Cuando el auditor interno sospeche de la existencia de irregularidades, debe informar a las autoridades responsables de la organización. El auditor interno puede recomendar cualquier investigación que considere necesaria en tales circunstancias. Posteriormente, el auditor debe efectuar un seguimiento para asegurarse de que las responsabilidades de la actividad de auditoría interna se han cumplido.



6. Determinar los procedimientos de auditoría del trabajo.

Procedimientos de auditoría.

Vimos que los objetivos del trabajo eran aquellos fines u objetivos para los cuales se realizaba el trabajo de auditoría, en ¿para que? del trabajo y que debían estar dirigidos a los riesgos y controles.

Los procedimientos de auditoría están relacionados con el ¿cómo? o ¿con que? del trabajo de auditoría.

Son las técnicas que usa el auditor interno para establecer si están cumpliendo o no los objetivos operativos de la actividad bajo revisión.

El programa de auditoría debe explicarle a los auditores las técnicas utilizadas para cumplir con los objetivos de auditoría.

De la misma manera que el juicio y la experiencia del auditor hará posible la adecuada elección de aquellos objetivos de auditoría que satisfagan el cumplimiento de determinados objetivos operacionales el auditor podrá seleccionar dentro de todas las técnicas disponibles aquellas que harán posible probar el cumplimiento del objetivo de auditoría.

Determinación de los procedimientos adecuados.

En la determinación de los procedimientos, el auditor utiliza su juicio y su competencia.

Si un auditor quiere probar la existencia de determinado activo, no va a ser relevante que obtenga la factura de compra aprobada, porque si bien ella prueba la propiedad de los bienes no garantiza que efectivamente el bien se encuentre físicamente y en buenas condiciones.

Si el auditor quiere probar que las alarmas contra incendio se encuentran instaladas y funcionando debe realizar una prueba de ellas y hacer una inspección ocular, la revisión de la documentación técnica de las alarmas o la de las facturas de compra no son procedimientos de auditoría relevantes a dicho objetivo.

De la misma manera, los procedimientos de auditoría tienen distinto grado de eficacia para el cumplimiento de un mismo objetivo: la circularización de cuentas por cobrar es un procedimiento más adecuado que la revisión de las facturas de venta si se quiere probar la existencia de las cuentas a cobrar.



Si se quiere asistir a la dirección en la eficacia y eficiencia del proceso de producción un buen procedimiento es comparar los costos reales contra los estándares.

Si se quiere determinar si las compras se encuentran autorizadas es necesario verificar si las órdenes de compra se encuentran autorizadas y no existen compras sin orden de compra, revisar las facturas del proveedor no tendría mucho sentido si se quiere cumplir el objetivo de auditoría.

Si el auditor quiere asegurarse que la disposición de activos está autorizada sólo la revisión de las autorizaciones puede ayudarlo en este objetivo.

Si se quiere determinar si los precios son asignados de manera uniforme a todos los clientes una manera de asegurase debería ser verificar si los precios se asignan de manera objetiva.

Si se quiere asegurar que los sueldos pagados al personal contienen todos descuentos y aportes que la ley establece verificar las cuentas contables donde se imputaron los sueldos no sería relevante. Se debería realizar alguna prueba sobre las liquidaciones para verificar que la liquidación de los sueldos se realiza de acuerdo a la legislación vigente.

Si se quiere determinar si se contabilizan las notas de crédito por ventas, el único procedimiento eficaz es tomar la documentación respaldatoria y verificar su contabilización en los registros contables.

Si se quiere evaluar la adecuación de los estándares de calidad de la organización se debería establecer la adecuación y precisión de los datos utilizados por la dirección para evaluar el cumplimiento de los objetivos, determinar si los estándares de calidad se están alcanzando no es relevante para este objetivo de auditoría y formará parte de otra auditoría.



7. Establecer un adecuado planeamiento y supervisión del trabajo.

Determinación de los recursos necesarios.

Normas relacionadas.

Las Normas establecen que los auditores internos deben determinar los recursos apropiados para alcanzar los objetivos, ello debe estar basado en la naturaleza y el alcance del trabajo, los requerimientos de tiempo, las competencias del personal y los recursos disponibles.

Planeamiento del trabajo. Los auditores internos deben planificar adecuadamente su trabajo el cual debe estar documentado e incluye: Los objetivos y el alcance del trabajo. Los antecedentes de la actividad bajo revisión. La determinación de los recursos necesarios para llevar adelante el trabajo. La comunicación a aquellas personas que necesitan conocer acerca de la existencia de

la auditoría. Desarrollar una visita preliminar con el objeto de familiarizarse con las actividades, los

riesgos y controles de las áreas a ser auditadas y para invitar al cliente a realizar las sugerencias y comentarios que crea necesario.

Escribir el programa de auditoría. Determinar cómo, cuándo y a quién se deben comunicar los resultados de la auditoría. Obtener la aprobación del programa de auditoría.

Las Normas establecen las siguientes consideraciones acerca del planeamiento de la auditoría: 2200- Planificación del trabajo. Los auditores internos deben desarrollar y documentar un plan para cada trabajo incluido el alcance, objetivo, oportunidad y asignación de recursos. 2201 Consideraciones de planificación. Cuando se planifica la auditoría los auditores internos deben considerar: Los objetivos de la actividad bajo revisión y los medios a través de los cuales la

actividad controla su desarrollo.



Los riesgos significativos de la actividad, sus objetivos, recursos y operaciones y los medios a través de los cuales los impactos potenciales de los riesgos se mantienen bajo un nivel aceptable.

La adecuación y eficacia del manejo de riesgos de la actividad y el sistema de control comparado con el marco de control o modelo relevante.

Las oportunidades para realizar mejoras significativas al manejo de riesgos y a los sistemas de control.

Desde el primer momento, la comunicación entre el auditor y su cliente debe funcionar adecuadamente, por eso es necesario que el auditor informe adecuadamente:

Los objetivos y alcance del trabajo planificados.

El tiempo planificado que demandará la auditoría

Cual será el canal de comunicación entre los auditados y el cliente.

Los auditores internos que serán asignados al trabajo.

La forma en que se comunicarán los resultados y se efectuará el seguimiento del trabajo.

Supervisión del trabajo. Las Normas establecen la necesidad que el trabajo sea supervisado adecuadamente para asegurar que se están cumpliendo los objetivos del trabajo. 2340- Supervisión del trabajo. Los trabajos deben estar apropiadamente supervisados para asegurar que los objetivos se están alcanzando, se asegura la calidad y el personal se desarrolla. El consejo para la práctica relacionado agrega, entre otras cuestiones, que el director ejecutivo de auditoría interna es responsable de llevar adelante una adecuada supervisión de los trabajos, que debe quedar evidencia que se realizó una supervisión adecuada y que la supervisión del trabajo no sólo se extiende a la mera revisión de los papeles de trabajo sino que abarca otros temas tales como el grado de capacitación, desarrollo y evaluación del personal y el control presupuestario de los trabajos. La supervisión del trabajo abarca todas las fases de la auditoría como vemos:

Planeamiento e introducción: Atender las reuniones inciales, hacer las presentaciones y liderar u observar las reuniones iniciales.



Investigación preliminar: Aprobar los planes para la investigación preliminar, visitar el sitio de la auditoría y aconsejar a los auditores a cargo sobre como llevar adelante aquellas observaciones importantes que hayan surgido al inicio del trabajo.

Programas de auditoría: Aprobar los programas de trabajo y estar seguros sobre las razones por las cuales se modifiquen algunos pasos o procedimientos.

Trabajo de campo: Visitar periódicamente el sitio de la auditoría para verificar que se está llevando el trabajo en tiempo, revisar los papeles de trabajo e introducir la conciencia de preparar buenos papeles de trabajo.

Entrevistas de salida: Puede contribuir mucho en ellas, sería conveniente que asista.

Informes: Aprobar el borrador del informe y asegurarse que se hallan incluido todas las referencias necesarias como para que las observaciones incluidas estén adecuadamente soportadas.

Revisión del informe: Los supervisores pueden proporcionar soporte adecuado al auditor a cargo si los clientes tienen problemas en tratar con ellos e intervenir si existen dificultades en la necesidad de acciones correctivas y deben tratar de asegurarse que no se produzcan errores en el reporte final.

Cierre del proyecto: Los supervisores deben revisar los papeles de trabajo para asegurarse que están completos antes de su archivo y que se han tomado todas las acciones correctivas antes de que el proyecto se cierre.

En el mercado existen softwares específicos que ayudan en el trabajo de supervisión sobre todo, para empresas y trabajos de gran volumen.

Igualmente, la tarea de supervisión , puede llevarse adelante con planillas de cálculo preparadas por el propio auditor, que indiquen entre otras:

Las descripción de tareas de cada auditor, la estimación de tiempo asignada y la efectivamente incurrida.

Las estadísticas sobre los reportes emitidos y la comparación contra sus metas y los días de trabajo disponibles o todavía no asignados.

Las distintas tareas en las que se encuentran asignados los auditores y los tiempos estimados de terminación de los trabajos.

El estado de revisión de los distintos informes de auditoría.



8. Preparar el programa de trabajo. Normas relacionadas.

Las Normas establecen lo siguiente con referencia a los programas de trabajo: 2240- Programa de trabajo. Los auditores internos deben desarrollar programas que aseguren el cumplimiento de los objetivos del trabajo. Estos programas debe estar documentados. 2240.A1- Los programas de trabajo deben establecer los procedimientos para identificar, analizar, evaluar y registrar información durante el trabajo. El programa de trabajo debe estar previamente aprobado antes de su implementación y cualquier ajuste debe ser aprobado inmediatamente. 2240.A2- Los programas de trabajos de consultoría pueden variar en forma y conteniendo dependiendo de la naturaleza del trabajo.

Los programas son guías de trabajo que permiten a los auditores el desarrollo y supervisión del trabajo.

Un programa de trabajo le informa al auditor sobre el contenido, la oportunidad, la manera, las personas y el tiempo que insumirán las tareas.

Ventajas de un programa de trabajo.

Proporciona un plan sistemático para cada fase de la auditoría.

Establece los medios para controlar el presupuesto y el tiempo de los trabajos.

Ayuda a los integrantes menos expertos sobre la forma de desarrollar el trabajo.

Ayuda a familiarizar a los auditores sobre el tipo de trabajo realizado en las auditorías anteriores.

Presenta un punto de partida desde el cual evaluar a la función de auditoría interna.

El auditor debería preparar su programa de trabajo luego de la entrevista preliminar que es cuando ya está muy familiarizado con las actividades, riesgos y controles del cliente.

El programa de auditoría debe ser modificado en cualquier momento del desarrollo del trabajo si las circunstancias así lo indican.



Algunas auditores trabajan con programas pro-forma es decir programas repetitivos que se aplican a determinadas áreas, pero que es conveniente que sean lo suficientemente flexibles como para que contemplen los cambios y modificaciones que pudieran ocurrir en las actividades, los riesgos y controles del cliente.

Por último algunos softwares específicos desarrollan programas especiales a partir de una evaluación de los riesgos de una actividad.

Guías y criterios para la preparación de los programas de auditoría.

El programa de auditoría va a estar muy relacionado con la información que se pudo obtener de la entrevista preliminar.

Revisar informes, programas de trabajo y papeles de trabajo anteriores para obtener antecedentes y resultados de las revisiones anteriores y decidir el alcance del trabajo actual.

Desarrollar la investigación preliminar para determinar los objetivos, riesgos y controles de la actividad bajo revisión

Revisar políticas y procedimientos, manuales, organigramas y objetivos y metas para determinar las áreas que pueden ser evaluadas y si están cumpliendo los objetivos que la dirección pretende de la actividad.

Preparar un flujograma de la actividad para detectar debilidades de control y obtener un análisis visual de la actividad.

Revisar los estándares de desempeño que se han establecido y en lo posible, compararlos contra otros de la industria para obtener una medida para evaluar la eficacia y eficiencia de la operación y determinar si se están obteniendo los standard de desempeño.

Entrevistar al cliente y discutir el alcance del trabajo para obtener una acuerdo con el cliente y evitar malentendidos y sorpresas en el alcance y objetivos del trabajo.

Preparar el presupuesto de tiempo y recursos necesarios para cumplir con el trabajo para establecer el número y tiempo necesario para alcanzar el trabajo.

Listar los riesgos materiales que deben ser considerados para asegurarse que las cuestiones más vulnerables han recibido un apropiado tratamiento.

Para cada uno de los riesgos identificados determinar los controles que los mitiguen para ver si existen controles que puedan eliminarlos o reducirlos.

Determinar los mayores problemas y oportunidades de la actividad para identificar aquellas áreas de mayor dificultad y dificultad para determinar las causas y razones y determinar sus posibles soluciones.



Criterios para el programa de auditoría.

A continuación determinamos algunos criterios que deben seguirse cuando se preparan los programas de auditoría.

Se deben establecer en forma cuidadosa y acordar con el cliente los objetivos de la actividad.

Los programas de auditoría deben ser realizados a medida para cada revisión, salvo que razones especiales determinen lo contrario.

Cada paso del programa de trabajo debe estar justificado, para probar algún control o un objetivo de la actividad.

Cuando sea posible, el programa de trabajo debe contemplar las prioridades del trabajo, de forma de completar la parte más importante en el tiempo previsto.

Los programas deben ser flexibles como para permitir cambios de acuerdo al juicio profesional del auditor pero al mismo tiempo es necesario que los cambios más importantes sean adecuadamente informados a los supervisores del trabajo.

Los programas deben ser claros y en lo posible evitar información innecesaria, incluyendo sólo lo necesario para el desarrollo del trabajo. Tal como es necesario que el auditor redacte el informe final en un lenguaje claro y entendible es también importante que el supervisor o quien redacte el programa de trabajo lo haga en un lenguaje entendible que no se preste a confusiones.

Deben mostrar la evidencia de la supervisión efectuada antes de llevarse adelante.

Se deben incluir las pruebas que la dirección le pidió que el auditor realizara, si el presupuesto lo permite o modificándolo si fuera necesario.

Ejemplos de programas de trabajo.



Actividad: Compras

Objetivo: Obtener mercaderías y servicios al precio adecuado.

Tiempo de auditoría: 5 días.

Riesgos Controles Pruebas Ref. PT

Comentarios

Inexistencia de políticas escritas de compra.

Periódicamente el Consejo y el controller evalúan las políticas de procedimiento de compras

Examinar los registros de las reuniones para ver si se han considerado las distintas cuestiones importantes.

Compras no tenga tiempo de obtener precios competitivos o largos tiempos de espera para los productos.

Un comité que incluya al personal de Compras debe establecer el cronograma de compras.

Para una muestra de ítems con largo tiempo de entrega verificar si se cumplieron los tiempos previstos, eran factibles y proporcionaban tiempos para solicitar cotizaciones.

Que no se proporcionen información sobre las información de compras anteriores para los mismos productos reteniendo información importante para los compradores.

Se registran las compras en forma manual o a través de sistemas para registrar las compras repetitivas.

Para una muestra de órdenes de compra hacer el seguimiento para los mismos ítems. Investigar variaciones significativas.



Actividad: Marketing.

Objetivo: Impartir información, desarrollar actitudes de los consumidores e inducir acciones benéficas a la organización.

Tiempo: 10 días.

Riesgos Controles Pruebas Ref. PT

Comentarios

Las comparaciones entre el presupuesto y el real se realizan al final del año y no se pueden advertir la diferencias en las tendencias en el tiempo adecuado

Reportes mensuales comparando el actual y el presupuesto

Revisar los informes para determinar precisión oportunidad de las revisiones.

Ausencia de acuerdos escritos con las agencias publicitarias, lo cual genera disputas e incertidumbres.

Acuerdos escritos que contengan los cargos a facturar, registros a ser mantenidos y derecho a revisar registros y sistemas.

Revisar la razonabilidad y adecuación de los cargos de publicidad.

Ausencia de un estimado de cargos para cada proyecto de publicidad. La agencia puede hacer cargos que excedan el presupuesto.

Los costos de cada proyecto son comparados contra el presupuesto en forma frecuente.

Determinar como la dirección compara los costos, se recomienda la existencia de presupuestos escritos y la comparación contra los reales.



Bibliografía consultada:

Sawyer’s Internal Auditing 5th Edition.

Normas y Consejos para la práctica relacionadas del Instituto de Auditores Internos.


material de lectura cia 1

Documents