Normas sobre desempeño de la auditoría interna


Normas sobre desempeño

I.- Administración de la actividad de la auditoría interna

El director de AI debe gestionar eficazmente la act de AI para asegurar que añada valor a la organización.

La act de AI está gestionada eficazmente cuando:

  1. Los resultados cumplen con el propósito y la responsabilidad incluidos en el estatuto de AI
  2. Cumple la definición de AI y las normas
  3. Los individuos que forman parte de la AI demuestran cumplir con el código de ética y las normas

II.- Planificación

El director de AI debe establecer un plan basado en los riesgos (debe tener en cuenta el enfoque de gestión de riesgos de la organización y los niveles de aceptación de riesgos establecidos por la dirección para las diferentes partes de la organización), para determinar las prioridades de la act de AI, dichos planes deberán ser consistentes con las metas de la organización.

  • El plan de trabajo debe estar basado en una evaluación de riesgos documentada, realizada al menos anualmente.
  • El director de AI debe identificar y considerar las expectativas de la alta dirección, el Consejo y otras partes interesadas a emitir opiniones de AI y otras conclusiones
  • El director de AI debería considerar la aceptación de los trabajos de consultoría que le sean propuestos, basándose en el potencial del trabajo para mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la org.

III.- Comunicación y aprobación

El director de AI debe comunicar los planes y requerimientos de recursos de la act de AI, incluyendo los cambios provisionales significativos, a la alta dirección y el Consejo. También debe comunicar el impacto de cualquier limitación de recursos.


IV.- Administración de recursos

El director de AI debe asegurar que los recursos de AI sean apropiados, suficientes y eficazmente distribuidos para cumplir el plan aprobado.

V.- Políticas y procedimientos

El director de AI debe establecerlos para guiar la act de la AI. La forma y contenido de las políticas y procedimientos deben ser apropiados al tamaño y estructura de AI y de la complejidad de su trabajo.

VI.- Coordinación

El director de AI debe compartir información y coordinar act con otros proveedores internos y externos de ss de aseguramiento y consultoría para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos.

V.- Informe a la alta dirección y al Consejo

El director de AI debe informar periódicamente sobre la act de AI en lo referido al propósito, autoridad, responsabilidad y desempeño de su plan. El informe también de be incluir exposiciones de riesgo y cuestiones de control significativas, cuestiones de gobierno y otros asuntos necesarios o requeridos por el Consejo.

VI.- Proveedor de ss externos y responsabilidad de la org sobre auditoria interna

Dicho proveedor debe poner en conocimiento de la org que esta última retiene la responsabilidad de mantener una función de AI efectiva. Esta responsabilidad se demuestra a través del programa de aseguramiento y mejora de la calidad.

VII.- Naturaleza del trabajo

La act de AI debe evaluar y contribuir a la mejora de los procesos de gobierno, gestión de riesgos y control, utilizando un enfoque sistemático y disciplinado.


VII.- Gobierno

La act de AI debe evaluar y hacer recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos:

  1. Promover ética y valores
  2. Asegurar la gestión y responsabilidad eficaces
  3. Comunicar la información de riesgo y control en las áreas adecuadas
  4. Coordinar las act y la información de comunicación entre el Consejo, los auditores internos y externos y la dirección

VIII.- La act de AI debe avaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos

Determinar si los procesos son eficaces es un juicio que resulta de la evaluación que efectúa el auditor interno de que:

  1. Los objetivos de la org apoyan la misión y están alineados con la misma
  2. Los riesgos significativos están identificados y evaluados
  3. Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con la aceptación de riesgos por parte de la org.
  4. Se capta la información sobre riesgos relevantes, permitiendo al personal, la dirección y el Consejo, cumplir con sus responsabilidades, y se comunica dicha información oportunamente a través de la org.

La act de AI debe evaluar las exposiciones al riesgo referidas al gobierno, operaciones y sistemas de información de la org, con relación a:

  1. El logro de objetivos estratégicos de la org
  2. Fiabilidad de integridad de la información financiera y operativa
  3. Eficacia y eficiencia de las operaciones y programas
  4. Protección de activos
  5. Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos

La act de AI debe evaluar la posibilidad de ocurrencia de fraude y como la org maneja la gestión de riesgos de fraude.


IX.- Control

La act de AI debe asistir a a org en el mantenimiento de controles efectivos, mediante la evaluación de eficacia y eficiencia de los mismos, promoviendo la mejora continua, respecto a lo siguiente:

  1. El logro de objetivos estratégicos de la org
  2. Fiabilidad de integridad de la información financiera y operativa
  3. Eficacia y eficiencia de las operaciones y programas
  4. Protección de activos
  5. Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos

X.- Planificación del trabajo

Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance, objetivos, tiempo y asignación de recursos.

XI.- Consideraciones sobre la planificación

Al planificar, los auditores internos deben considerar:

  1. Los objetivos de la act que está siendo revisada y los medios con los cuales controla su desempeño
  2. Los riesgos significativos de la act, sus objetivos, recursos y operaciones, y los medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable
  3. La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control de la act comparados con el enfoque o modelo relevante
  4. Las oportunidades de introducir mejoras significativas en los procesos de gobierno, gestión de riesgos y control de la act


XII.- Objetivos del trabajo

Deben establecerse los objetivos para cada trabajo.

Los auditores internos deben realizar una evaluación preliminar de los riesgos relevantes para la act bajo revisión, los objetivos del trabajo deben reflejar los resultados de esta evaluación.

El auditor interno debe considerar la probabilidad de errores, fraude, incumplimientos y otras exposiciones significativas al elaborar los objetivos del trabajo.

Se requiere de criterios adecuados para evaluar el gobierno, la gestión de riesgos y controles.

XIII.- Alcance del trabajo

El alcance establecido debe ser suficiente para alcanzar los objetivos del trabajo.

Debe tener en cuenta los sistemas, registros, personal y bienes relevantes, incluso aquellos bajo el control de terceros.

XIV.- Asignación de los recursos de trabajo

Los auditores internos deben determinar los recursos adecuados y suficientes para lograr los objetivos, basándose en una evaluación de la naturaleza y complejidad de cada trabajo, las restricciones de tiempo y recursos disponibles.

XV.- Programa de trabajo

Los auditores internos deben preparar y documentar programas que cumplan con los objetivos del trabajo.

Los programas de trabajo pueden incluir los procedimientos para identificar, analizar, evaluar y documentar información durante la tarea, el programa de trabajo debe ser aprobado con anterioridad a su implantación y cualquier ajuste ha de ser aprobado oportunamente.

XVI.- Desempeño del trabajo

Los auditores internos deben identificar, analizar, evaluar y documentar suficiente información de manera tal que les permita cumplir con los objetivos del trabajo.


XVII.- Identificación de la información

Los auditores internos deben identificar información suficiente (basada en hechos convincentes y adecuados, de modo que una persona prudente e informada sacaría las mimas conclusiones que el auditor), fiable (la mejor información que se puede obtener mediante técnicas de trabajo apropiadas), relevante (apoya las observaciones y recomendaciones del trabajo y es compatible con sus objetivos) y útil para cumplir con los objetivos.

XVIII.- Análisis y evaluación

Los auditores deben basar sus conclusiones y los resultados del trabajo de análisis y evaluaciones adecuados.

XIX.- Documentación de la información

Los auditores internos deben documentar información relevante que les permita soportar las conclusiones y los resultados del trabajo.

El director de AI debe:

  1. Controlar el acceso a los registros del trabajo
  2. Obtener aprobación de la alta dirección o de asesores legales antes de dar a conocer tales registros a terceros
  3. Establecer requisitos de retención para los registros del trabajo, cualquiera sea el medio por el cual se almacenan, estos requisitos deben ser consistentes con las guias de la org y cualquier regulación u otros requisitos pertinentes
  4. Establecer políticas sobre la custodia y retención de los registros de trabajo de consultoría y sobre la posibilidad de darlos a conocer a terceras partes internas o externas

XX.- Supervisión del trabajo

Los trabajos deben ser adecuadamente supervisados para asegurar el logro de los objetivos, calidad del trabajo y desarrollo del personal. El alcance de la supervisión requerida dependerá de la pericia y experiencia de los auditores internos y de la complejidad del trabajo.


XXI.- Comunicación de los resultados

Los auditores internos deben comunicar los resultados de los trabajos.

XXII.- Criterios para la comunicación

Deben incluir los objetivos y alcance del trabajo, las conclusiones correspondientes y las recomendaciones y planes de acción.

La comunicación final de los resultados del trabajo debe incluir, si corresponde, la opinión (pueden ser clasificaciones o ratings) o conclusiones u otras descripciones de los resultados del auditor interno.

Un trabajo de auditoria puede estar relacionado con controles sobre un proceso especifico, riesgo o unidad de negocio.

XXIII.- Calidad de la comunicación

Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas.

Precisas: libre de errores y distorsiones, son fieles a los hechos que describen.

Objetivas: son justas, imparciales y sin desvíos, son el resultado de una evaluación justa y equilibrada.

Claras: fácilmente comprensibles y lógicas, evitando el lenguaje técnico innecesario y proporcionando toda la información significativa relevante.

Concisas: van a los hechos y evitan elaboraciones innecesarias, detalles superfluos, redundancias y uso excesivo de palabras.

Constructivas: útiles para el cliente y conducen a mejoras.

Completas: no les falta nada que sea esencial para los receptores principales e incluyen toda la información significativa y relevante.

Oportunas: son realizadas en el tiempo debido y son pertinentes.


XXIV.- Errores y omisiones

Si una comunicación final contiene errores y omisiones significativas, el director de AI debe comunicar la información corregida a todas las partes que recibieron la comunicación original.

XXV.- Uso de “realizado de conformidad con las normas internacionales para el ejercicio profesional de la auditoria interna

Los auditores internos pueden manifestar que sus trabajos cumplen con el enunciado solo si los resultados del programa de aseguramiento y mejora de calidad apoyan esta declaración.

XXVI.- Declaración de incumplimiento de las normas

Cuando el incumplimiento de la Definición de Auditoría Interna, el Código de Ética o de las Normas afecta a un trabajo específico, la comunicación de los resultados de ese trabajo debe exponer:

  1. El principio o regla de conducta del Código de Ética, o las Normas con las cuales no se cumplió totalmente
  2. Las razones del incumplimiento
  3. El impacto del incumplimiento sobre ese trabajo y los resultados comunicados del mismo.

XXVII.- Difusión de resultados

El director de auditoría interna debe difundir los resultados a las partes apropiadas, debe revisar y aprobar la comunicación final del trabajo antes de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación. El director de auditoria interna retiene la responsabilidad última, aunque delegue estas tareas.

A menos de que exista obligación legal, estatutaria o de regulaciones en contrario, antes de enviar los resultados a partes ajenas a la organización, el director de auditoría interna debe:

  1. Evaluar el riesgo potencial para la organización
  2. Consultar con la alta dirección y/o el consejero legal, según corresponda
  3. Controlar la difusión, restringiendo la utilización de los resultados


XXVIII.- Opiniones globales

Cuando se emite una opinión global, debe considerar las expectativas de la alta dirección, el Consejo, y otras partes interesadas y debe ser soportada por información suficiente, fiable, relevante y útil.

La comunicación identificará:

  1. El alcance, incluyendo el periodo de tiempo al que se refiere la opinión
  2. Las limitaciones al alcance
  3. La consideración de todos los proyectos relacionados incluyendo cuando se confíe en otros proveedores de aseguramiento
  4. El riesgo, marco de control u otros criterios utilizados como base para la opinión global
  5. La opinión global, juicio o conclusión alcanzada.

Cuando existe una opinión global que no es favorable, deben exponerse las causas de esta opinión.

 XXIX.-Seguimiento del progreso

El director de AI debe establecer y mantener un sistema para vigilar la disposición de los resultados comunicados a la dirección, para asegurar que las acciones de la dirección hayan sido implantadas eficazmente.

XXX.- Comunicación de la aceptación de los riesgos

Cuando el director de la AI concluya que la alta dirección a aceptado un nivel de riesgo que pueda ser inaceptable para la org, debe tratar este asunto con la alta dirección, si el asunto no ha sido resuelto, debe comunicar esta situación al Consejo.

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *