Sunteți pe pagina 1din 8

CONSEJOS PARA LA PRÁCTICA DE AUDITORIA

INTERNA

Tratan sobre temas de enfoque, metodología y consideraciones, pero NO sobre


procesos y procedimientos de manera minuciosa. Es una guía concisa y puntual
para asistir a los auditores internos en la aplicación del Código de Ética y las
Normas, además de promover las buenas prácticas. Incluye prácticas
relacionadas con problemas del ámbito internacional, del país o específicos del
sector, además de tipos específicos de trabajos, problemas legales y
reglamentarios.

Se ha realizado una limpieza significativa tendiente a reducir la cantidad de


consejos para la práctica, de 83 a 42.
Se han reescrito los consejos para la práctica remodelados para lograr:
– Que sean concisos
– Que describan el método, el enfoque o las consideraciones necesarias para
ayudar a los auditores internos en la aplicación de Normas específicas o de los
requerimientos del Código de Ética.

Consejo para la Práctica 1000-1: Estatuto de Auditoría Interna


Norma principalmente relacionada:
1000 – Propósito, autoridad y responsabilidad:
El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna
deben estar formalmente definidos en un estatuto, de conformidad con la
definición de auditoría interna, el Código de Ética y las Normas. El director
ejecutivo de auditoría debe revisar periódicamente el estatuto de auditoría interna
y presentarlo a la alta dirección y al Consejo para su aprobación.

Interpretación:
El estatuto de auditoría interna es un documento formal que define el propósito, la
autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de
auditoría interna establece la posición de la actividad de auditoría interna dentro
de la organización; autoriza su acceso a los registros, al personal y a los bienes
relevantes para el desempeño de los trabajos; y define el alcance de las
actividades de auditoría interna. La aprobación final del estatuto de auditoría
interna corresponde al Consejo.

Consejo para la práctica:


1. Contar con un estatuto de auditoría interna formal y escrito es muy importante
para gestionar la actividad de auditoría interna. El estatuto constituye una
declaración reconocida para la revisión y aceptación por parte de la dirección y
para su aprobación, según está documentado en las actas, por parte del consejo
de administración.

Pág. 1
Además, facilita la evaluación periódica del propósito, autoridad y responsabilidad
de la actividad de auditoría interna, lo cual establece el rol de la actividad de
auditoría interna. En caso de presentarse alguna cuestión, el estatuto proporciona
un acuerdo formal, escrito, con la dirección y con el consejo de administración
respecto de la organización de la actividad de auditoría interna.
2. El director ejecutivo de auditoría (DEA) es el responsable de evaluar
periódicamente si el propósito, la autoridad y la responsabilidad de la actividad de
auditoría interna, según se definen en el estatuto, continúan siendo adecuados
para permitir que la actividad cumpla sus objetivos.
El DEA también es el responsable de comunicar los resultados de esta evaluación
a la alta dirección y al consejo de administración.

Consejo para la Práctica 1210.A1-1: Obtención de Proveedores Externos de


Servicios para Apoyar o Complementar la Actividad de Auditoría Interna
Norma principalmente relacionada 1210.A1
El director ejecutivo de auditoría debe obtener asesoramiento y asistencia
competentes en caso de que los auditores internos carezcan de los
conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la
totalidad o parte del trabajo:
1. Cada miembro de la actividad de auditoría interna no necesita estar cualificado
en todas las disciplinas. La actividad de auditoría interna puede utilizar
proveedores externos de servicios o recursos internos que estén cualificados en
disciplinas tales como contabilidad, auditoría, economía, finanzas, estadística,
tecnología de la información, ingeniería, tributación, derecho, medio ambiente y
otras áreas según sea necesario para cumplir sus responsabilidades.
2. Un proveedor externo de servicios es una persona o empresa, independiente de
la organización, que tiene conocimientos, técnica y experiencia especiales en una
disciplina en particular. Entre los proveedores externos de servicios se incluyen a
los actuarios, contables, tasadores, expertos en idiomas o culturas, expertos en
medio ambiente, investigadores de fraudes, abogados, ingenieros, geólogos,
expertos en seguridad, estadísticos, expertos en tecnología informática, los
auditores externos de la organización, y otras organizaciones de auditoría. Un
proveedor externo de servicios puede ser contratado por el consejo de
administración, la alta dirección o el director ejecutivo de auditoría (DEA).
3. Los proveedores externos de servicios pueden ser utilizados por la actividad de
auditoría interna para asuntos relacionados con los siguientes, entre otros:
- El logro de los objetivos del programa de trabajo.
- Tareas de auditoría para las que se necesiten conocimientos y técnica
especializados tales como tecnología de la información, estadística, tributación o
traducción de idiomas.
- Transacción de activos tales como tierras y edificios, obras de arte, piedras
preciosas, inversiones y complejos instrumentos financieros. Determinación de
cantidades o condiciones físicas de ciertos bienes tales como minerales o
reservas petroleras.
- Medición de la obra terminada y pendiente de ejecutar para contratos en curso.
- Investigaciones de fraude y seguridad.
Pág. 2
- Cálculo de cantidades utilizando métodos especializados tales como el cálculo
actuarial de las obligaciones referidas a las prestaciones de los empleados.
- Interpretación de requerimientos legales, técnicos y regulatorios.
- Evaluación del programa de aseguramiento y mejora de la calidad de la actividad
de auditoría interna, en cumplimiento de las Normas Internacionales para el
Ejercicio
- Profesional de la Auditoría Interna (las Normas).
- Fusiones y adquisiciones.
- Consultoría sobre gestión de riesgos y otros asuntos.
4. Cuando el DEA Pretenda utilizar y confiar en el trabajo de un proveedor externo
de servicios, debe tener en cuenta la competencia, independencia y objetividad de
dicho proveedor con respecto al trabajo en particular a realizar. La evaluación de
la competencia, independencia y objetividad también debe realizarse cuando el
proveedor externo de servicios es seleccionado por la alta dirección o el consejo
de administración y el DEA pretende utilizar y confiar en el trabajo de aquél.
Cuando la selección la efectúan otras personas y la evaluación realizada por el
DEA llega a la conclusión de que no se debería utilizar ni confiar en el trabajo del
proveedor externo de servicios, deben comunicarse estos resultados a la alta
dirección o al consejo de administración, según proceda.
5. El DEA determina que el proveedor externo de servicios posee los necesarios
conocimientos, técnicas y demás competencias para realizar el trabajo, teniendo
en cuenta lo siguiente:
- La certificación profesional, licencia u otro reconocimiento de la competencia del
proveedor externo de servicios en la disciplina relevante.
- La calidad de asociado a una organización profesional adecuada y la adhesión a
su código de ética, por parte del proveedor externo de servicios.
- La reputación del proveedor externo de servicios. Esto puede requerir ponerse
en contacto con terceros que estén familiarizados con el trabajo de aquél.
- La experiencia del proveedor externo de servicios en el tipo de trabajo que se
esté considerando.
- El grado de estudios y la formación recibida por el proveedor externo de servicios
en aquellas disciplinas relacionadas con el trabajo en particular.
- El conocimiento y la experiencia del proveedor externo de servicios dentro del
sector en el que opera la organización.
6. El director ejecutivo de auditoría necesita evaluar la relación del proveedor
externo de servicios con la organización y con la actividad de auditoría interna
para asegurar que la independencia y objetividad se mantengan durante todo el
trabajo. Al realizar la evaluación, el DEA verifica que no exista ninguna relación
financiera, de organización o personal que impida al proveedor externo de
servicios emitir juicios y opiniones imparciales y sin desvíos cuando realiza el
trabajo o informa sobre el mismo.
7. El DEA evalúa la independencia y objetividad del proveedor externo de servicios
considerando lo siguiente:
- Los intereses financieros que el proveedor externo de servicios pueda tener en la
organización.

Pág. 3
- La asociación personal o profesional que el proveedor externo de servicios
pueda tener con el consejo de administración, la alta dirección u otros dentro de la
organización.
- La relación que el proveedor externo de servicios pueda haber tenido con la
organización o con las actividades objeto de revisión.
- La medida de otros servicios continuos que el proveedor externo de servicios
pueda estar prestando para la organización.
- Los honorarios u otros incentivos que pueda tener el proveedor externo de
servicios.
8. Si el proveedor externo de servicios externos es también el auditor externo de la
organización y la naturaleza del trabajo asignado consista en ampliar los servicios
de auditoría, el DEA tiene que garantizar que el trabajo realizado no menoscabe la
independencia del auditor externo. La ampliación de los servicios de auditoría se
refiere a aquellos servicios más allá de los requisitos de las normas de auditoría
generalmente aceptadas por los auditores externos. Si los auditores externos de la
organización actúan o parece que actúan como miembros de la alta dirección o de
la administración, o como empleados de la organización, entonces su
independencia está afectada. Además, los auditores externos pueden
proporcionar a la organización otros servicios tales como tributación y consultoría.
La independencia debe evaluarse con respecto a la gama completa de servicios
prestados a la organización.
9. Para garantizar que el alcance del trabajo sea adecuado para los propósitos de
la actividad de auditoría interna, el DEA obtiene información suficiente respecto al
alcance del trabajo del proveedor externo de servicios. Puede ser prudente
documentar esta y otras cuestiones en una carta o contrato. Para lograr esto, el
DEA revisa con el proveedor externo de servicios lo siguiente:
- Objetivos y alcance del trabajo, incluyendo los resultados a entregar y los
tiempos.
- Temas específicos que esperan cubrirse en las comunicaciones del trabajo.
- Acceso a los registros, a las personas y a las propiedades físicas relevantes.
- Información sobre los supuestos y procedimientos a emplear.
- Propiedad y custodia de los papeles de trabajo, si corresponde.
- Confidencialidad y restricciones sobre la información obtenida durante el trabajo.
- Si es aplicable, el cumplimiento de las Normas y de las normas de la actividad de
auditoría interna referidas a las prácticas del trabajo.
10. Al revisar el trabajo de un proveedor externo de servicios, el DEA evalúa la
adecuación del trabajo realizado, lo que incluye conocer si la información obtenida
es suficiente para proporcionar una base razonable tanto a las conclusiones
alcanzadas como a la resolución de excepciones u otras cuestiones inusuales.
11. Cuando el DEA emite comunicaciones del trabajo, y se hayan utilizado los
servicios de un proveedor externo de servicios, el DEA puede mencionar dichos
servicios prestados, si lo considera apropiado. El proveedor externo de servicios
debe estar informado y, si corresponde, llegar a un acuerdo con el mismo antes de
incluir dicha referencia en las comunicaciones del trabajo.

Consejo para la Práctica 1310-1: Requisitos del Programa de Aseguramiento


y Mejora de la Calidad
Pág. 4
Norma principalmente relacionada
El programa de aseguramiento y mejora de la calidad debe incluir tanto
evaluaciones internas como externas.
1. Un programa de aseguramiento y mejora de la calidad (PAMC) es una
evaluación continua y periódica del espectro completo del trabajo de auditoría y
consultoría llevado a cabo por la actividad de auditoría interna. Estas evaluaciones
continuas y periódicas están compuestas por procesos rigurosos e integrales;
supervisión y pruebas continuas del trabajo de auditoría interna y consultoría; y
validaciones periódicas del cumplimiento de la Definición de Auditoría Interna, el
Código de Ética y las Normas. Esto también incluye las mediciones y análisis
continuos de indicadores de desempeño (por ejemplo, cumplimiento del plan de
auditoría interna, ciclos de tiempos, recomendaciones aceptadas y satisfacción del
cliente). Si los resultados de estas evaluaciones indican áreas de mejora para la
actividad de auditoría interna, el director ejecutivo de auditoría (DEA)
implementará las mismas mediante el PAMC.
2. Los aseguramientos evalúan y dan una conclusión sobre la calidad de la
actividad de auditoría interna y aportan recomendaciones para las mejoras
apropiadas. Los PAMC comprenden una evaluación de lo siguiente:
- Cumplimiento de la Definición de Auditoría Interna, el Código de Ética y las
Normas, incluyendo las acciones correctivas oportunas para solucionar cualquier
caso significativo de incumplimiento.
- Adecuación del estatuto, las metas, los objetivos, las políticas y los
procedimientos de la actividad de auditoría interna.
- Contribución a los procesos de gobierno, gestión de riesgos y control de la
organización,
- Cumplimiento de las leyes, reglamentaciones y normas gubernamentales o del
sector económico aplicables.
- Eficacia de las tareas de mejora continua y adopción de mejores prácticas.
- Si la actividad de auditoría interna agrega valor y mejora las operaciones de la
organización.
3. Los PAMC también incluyen el seguimiento de las recomendaciones que
implican la modificación apropiada y oportuna de recursos, tecnología, procesos y
procedimientos.
4. A fin de proporcionar responsabilidad y transparencia, el DEA comunica los
resultados de las evaluaciones externas de programas de calidad y, si
corresponde, de las evaluaciones internas de programas de calidad, a las diversas
partes interesadas en la actividad (tales como la alta dirección, el consejo de
administración y los auditores externos). Al menos una vez al año, el DEA informa
a la alta dirección y al consejo de administración respecto de las tareas y
resultados del programa de calidad.

Pág. 5
Consejos para la Práctica relacionados con las Normas sobre atributos

1000-1: Estatuto de Auditoría Interna


1110-1: Independencia de la organización
1111-1: Interacción del Consejo
1120-1: Objetividad individual
1130-1: Impedimentos a la independencia u objetividad
1130.A1-1: Evaluación de las operaciones sobre las que los auditores internos
hayan sido previamente responsables
1130.A2-1: Responsabilidades de auditoría interna respecto de otras funciones
(que no sean de auditoría)
1200-1: Pericia y cuidado profesional
1210-1: Pericia
1210.A1-1: Obtención de servicios para respaldar o complementar la actividad de
auditoría interna
1220-1: Cuidado profesional
1230-1: Desarrollo profesional continuo
1300-1: Programa de aseguramiento y mejora de la calidad
1310-1: Requisitos del programa de aseguramiento y mejora de la calidad
1311-1: Evaluaciones internas
1312-1: Evaluaciones externas
1312-2: Evaluación externa: autoevaluación con validación independiente
1312-3: Evaluación del equipo de evaluación externa en el sector privado
1312-4: Evaluación del equipo de evaluación externa en el sector público
1321-1: Utilización de “Cumple con las Normas Internacionales para el Ejercicio

Consejos para la práctica relacionados con las Normas sobre desempeño

2010-1: Vínculo del plan de auditoría con el riesgo y las exposiciones


2010-2: Usando el proceso de gestión de riesgos en el planeamiento de auditoría
interna (julio 2009)
2020-1: Comunicación y aprobación
2030-1: Administración de recursos
2040-1: Políticas y procedimientos
2050-1: Coordinación
2050-2: Mapas de aseguramiento
2050-3: Confiar en el trabajo de otros proveedores de servicios de aseguramiento
2060-1: Preparación de informes para el Consejo de Administración y la Alta
Direcciónón
2110-1: Gobierno Definición
2110-2: Gobierno, relación con riesgos y control
2110-3: Gobierno – evaluaciones
2120-1: Evaluación de la idoneidad de los procesos de gestión de riesgos
2120-2: Gerencia do los riesgos de la actividad de auditoría interna (Marzo 2009)
Pág. 6
2130-1: Evaluación de la idoneidad de los procesos de control
2130.A1-1: Integridad y fiabilidad de la información
2130.A1-2: Evaluación del enfoque de privacidad de una organización
Consejos para la práctica relacionados con las Normas sobre desempeño

2200-1: Planificación del trabajo


2200-2: Uso de un enfoque basado en riesgos
2210-1: Objetivos del trabajo
2210.A1-1: Evaluación de riesgos en la planificaciónón del trabajo
2230-1: Asignación de recursos de trabajo
2240-1: Programa de trabajo
2300-1: Uso de la información de carácter personal durante el trabajo de auditoría
2320-1: Procedimientos analíticos
2330-1: Documentar la informaciónón
2330.A1-1: Control de registros del trabajo
2330-A1-2: Garantizar el acceso a los registros de auditoría
2330.A2-1: Conservación de los registros
2340-1: Supervisaón del trabajo
2400-1: Consideraciones legales en la comunicación de los resultados
2410-1: Criterios para la comunicaciónón
2420-1: Calidad de la comunicación
2440-1: Difusaón de resultados
2440-2: Comunicación de información sensible dentro y fuera de la cadena de
mando
2440.A2-1: Comunicaciones fuera de la organización
2500-1: Seguimiento del progreso
2500.A1-1: Proceso de seguimiento

Declaración de Posición (Position Papers)


• Declaración del IIA para ayudar a una amplia gama de partes interesadas,
incluso aquéllos que no pertenecen a nuestra profesión, a comprender los
problemas significativos relacionados con el gobierno corporativo, el riesgo o el
control, y a establecer los roles y las responsabilidades de la A.I.
• Se agregaron al MIPP 2 declaraciones de posición:
– El rol de la auditoría interna en relación con la Gestión de Riesgos para toda la
empresa.
– El rol de la auditoría interna en la obtención de recursos para la función de
auditoría interna.
Guías para la Práctica
Guía detallada para realizar las actividades de auditoría interna. Incluye procesos
y procedimientos detallados. Por ejemplo, herramientas y Técnicas, programas y
enfoques paso a paso, incluidos ejemplos de informes.

GTAG:
¿Qué es el GTAG?
Pág. 7
GTAG - Global Technology Audit Guide
• Proporcionar una guía fácil de entendimiento de la auditoría de TI para el CAE,
Comité de Auditoría y Gerencia Ejecutiva.
• Proporcionar un mecanismo para manejar rápidamente nuevos asuntos de TI.
• Producir guías de auditoría técnicas a una escala global.

Guía para la Evaluación de Riesgos de TI (GAIT)


• Metodología de la GAIT: metodología de determinación del alcance basado en
un enfoque de riesgos de arriba hacia abajo
•GAIT para evaluación de deficiencias de controles generales de TI: ayuda a
evaluar las deficiencias de los controles generales de TI identificadas
•GAIT para riesgos de negocio y de TI: ayuda a identificar los aspectos críticos de
los procesos de TI

Consejos:
1.- Mantenerse en contacto con el personal de su departamento: De vez en
cuando haga reuniones informales con su personal al menos una vez al mes y
pregunte sobre sus preocupaciones, como se les puede ayudar y asuntos
relacionados con la Compañía y también de aspectos de la vida de cada uno que
se quieran compartir.
2.-En su planeación anual del departamento incluya las expectativas del personal
del departamento: Es importante preguntar y considerar al personal que áreas
quiere desarrollar y/o mejorar, es importante considerar metas, estándares y
cuáles son los objetivos del equipo (certificaciones, uso de tecnología, desarrollo,
etc.). Esto permite construir un espíritu de equipo y de entusiasmo, debido a que el
personal establece metas concretas contra las cuales medir su progreso real.
3.-Siempre establezca a su personal altas expectativas de desempeño: El célebre
escritor alemán Wolfang Goethe dijo: "Trate a las personas como son, y ellas
permanecerán así. Trátelas como si fuesen lo que pueden ser y las ayudara a
transformarse en lo que son capaces de ser". La expectativa es una manera
indirecta de lograr en el personal del departamento esquemas de conducta
deseados, que funciona mediante la creación de creencias de auto-realización.
4.-Implemente un programa de aseguramiento de Calidad: Debemos de tener un
programa que asegure que los principios de calidad de la actividad de la auditoría
interna se esté cumpliendo y revisa periódicamente que sea eficaz. Este sistema
debe ayudar a mejorar y asegurar que se tenga que cumplir con los marcos
adecuados.
5.-Realice evaluaciones periódicas de desempeño: A los empleados de alto
rendimiento les gusta saber lo que se espera de ellos y que se mida su
desempeño, porque saben que es la única manera de mostrar que son buenos,
debemos considerar evaluaciones con asignaciones con un tiempo mayor a 40
horas.

Pág. 8

S-ar putea să vă placă și