UNIDAD 4 DESEMPEÑO DEL TRABAJO DE AUDITORÍA INTERNA. 4.1 Normas sobre el Desempeño 4.2 Planificación de la auditoría 4.3 Desempeño del trabajo (Examen y evaluación de la información) 4.4 Comunicación de resultados informe 4.5 Seguimiento e 1 4.1 NORMAS SOBRE DESEMPEÑO Las Normas sobre Desempeño describen la naturaleza de los servicios de auditoría interna y proporcionan criterios de calidad con los cuales puede evaluarse el desempeño de estos servicios (2000 – 2600). 2 NORMAS SOBRE DESEMPEÑO 2000 Administración de la actividad de auditoría Interna 2010 Planificación 2020 Comunicación y aprobación 2030 Administración de recursos 2040 Políticas y procedimientos 2050 Coordinación y confianza 2060 Informe a la alta dirección y al Consejo 2070 Proveedor de servicios externos y responsabilidades de la organización sobre auditoría interna 2100 Naturaleza del trabajo 2110 Gobierno 2120 Gestión de riesgos 2130 Control 2200 Planificación del trabajo 2201 Consideraciones sobre planificación 2210 Objetivos del trabajo 2220 Alcance del trabajo 3 NORMAS SOBRE DESEMPEÑO 2230 Asignación de recursos para el trabajo 2240 Programa de trabajo 2300 Desempeño del trabajo 2310 Identificación de la información 2320 Análisis y evaluación 2330 Documentación de la información 2340 Supervisión del trabajo 2400 Comunicación de resultados 2410 Criterios para la comunicación 2420 Calidad de la comunicación 2421 Errores y omisiones 2430 Uso de “Realizado de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna” 2431 Declaración de incumplimiento de las Normas 2440 Difusión de resultados 2450 Opiniones globales 2500 Seguimiento del progreso 2600 Comunicación de la aceptación de los riesgos 4 Norma 2000 Administración de la actividad de auditoría interna El director de auditoría interna debe gestionar eficazmente la actividad de auditoría interna para asegurar que añada valor a la organización. 5 Norma 2000 Administración de la actividad de auditoría interna Interpretación: La actividad de auditoría interna está gestionada de forma eficaz cuando: Cumple con el propósito y las responsabilidades incluidos en el estatuto de auditoría interna, Cumple con las Normas Cada uno de sus miembros cumplen con el Código de Ética y las Normas. Tiene en cuenta las tendencias y temas emergentes que podrían tener impacto en la organización. 6 Norma 2000 Administración de la actividad de auditoría interna La actividad de auditoría interna añade valor a la organización y a sus partes interesadas cuando tiene en cuenta estrategias, objetivos y riesgos; se esfuerza para ofrecer mejoras en procesos de gobierno, gestión de riesgos y control de procesos; y proporciona aseguramiento relevante de forma objetiva. 7 FASES DE LA AUDITORIA INTERNA 1. Planificación 2. Ejecución 3. Informe (comunicación de resultados) 8 4.2 PLANIFICACIÓN DEL TRABAJO DE AUDITORÍA INTERNA Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (NIEPAI) aplicables a la planificación: 2010 2020 2200 2201 2210 2220 2230 2240 Planificación Comunicación y aprobación Planificación del trabajo Consideraciones sobre planificación Objetivos del trabajo Alcance del trabajo Asignación de recursos para el trabajo Programa de trabajo 9 Norma 2010 Planificación El director ejecutivo de auditoría debe establecer un plan basado en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. 10 Norma 2010 Planificación Interpretación: Para desarrollar un plan basado en riesgos, el Director ejecutivo de auditoría primero consulta con la alta dirección y el Consejo para entender las estrategias de la organización, los objetivos clave del negocio, los riesgos asociados y los procesos de gestión de riesgos. El director ejecutivo de auditoría debe revisar y ajustar el plan, cuando sea necesario, como respuesta a los cambios en la organización, los riesgos, las operaciones, los programas, los sistemas y los controles. 11 Norma 2020 – Comunicación y aprobación El director ejecutivo de auditoría debe comunicar los planes y requerimientos de recursos de la actividad de auditoría interna, incluyendo los cambios provisionales significativos, a la alta dirección y al Consejo para la adecuada revisión y aprobación. El director ejecutivo de auditoría también debe comunicar el impacto de cualquier limitación de recursos. 12 Norma 2060 – Informe a la alta Dirección y al Consejo El director ejecutivo de auditoría debe informar periódicamente a la alta dirección y al Consejo sobre la actividad de auditoría interna en lo referido al propósito, autoridad, responsabilidad y desempeño de su plan, y sobre el cumplimiento del Código de Ética y las Normas. El informe también debe incluir cuestiones de control y riesgos significativos, incluyendo riesgos de fraude, cuestiones de gobierno y otros asuntos que requieren la atención de la alta dirección y/o el Consejo. 13 Norma 2200 Planificación del Trabajo Los Auditores Internos deben elaborar y documentar un plan para cada trabajo, que incluya: su alcance, objetivos, tiempo y asignación de recursos. El plan debe considerar las estrategias, los objetivos y riesgos relevantes para el trabajo. 14 Norma 2201 Consideraciones sobre planificación Al planificar el trabajo, los AI deben considerar: Las estrategias y objetivos de la actividad que está siendo revisada y los medios con los cuales la actividad controla su desempeño. Los riesgos significativos de los objetivos, recursos y operaciones de la actividad y los medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable. La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control de la actividad comparados con un enfoque o modelo relevante. Las oportunidades de introducir mejoras significativas en los procesos de gobierno, gestión de riesgos y control de la actividad. 15 Norma 2210 Objetivos del trabajo Deben establecerse objetivos para cada trabajo. 2210.A1 Los AI deben realizar una evaluación preliminar de los riesgos relevantes para la actividad bajo revisión. Los objetivos del trabajo deben reflejar los resultados de esta evaluación. 2210.A2 El AI debe considerar la probabilidad de errores, fraude, incumplimientos y otras exposiciones significativas al elaborar los objetivos del trabajo. 2210.A3 Se requieren criterios adecuados para evaluar el gobierno, la gestión de riesgos y los controles. Deben cerciorarse que la dirección y/o el Consejo han establecido criterios adecuado para determinar si los objetivos y metas han sido cumplidos. 16 Norma 2210 Objetivos del trabajo Si fuera apropiado, los auditores internos deben utilizar dichos criterios en su evaluación. Si no fuera apropiado, deben identificar criterios de evaluación adecuados junto con la Dirección y/o el Consejo. Los objetivos de los trabajos de consultoría deben considerar los procesos de riesgo, control y gobierno hasta el grado de extensión acordado con el cliente. 17 Norma 2220 Alcance del trabajo El alcance establecido debe ser suficiente para alcanzar los objetivos del trabajo. Tener en cuenta los sistemas, registros, personal y bienes relevantes, incluso aquellos bajo el control de terceros. 18 Norma 2220 Alcance del trabajo Si durante la realización de un trabajo de aseguramiento, surgen oportunidades de realizar trabajos de consultoría significativos, debería lograrse un acuerdo escrito específico en cuanto a los objetivos, alcance, responsabilidades respectivas y otras expectativas. Los resultados del trabajo de consultoría deben ser comunicados de acuerdo con normas de consultoría. 19 Norma 2230 Asignación de recursos para el trabajo Los auditores internos deben determinar los recursos adecuados y suficientes para lograr los objetivos del trabajo, basándose en una evaluación de la naturaleza y complejidad de cada trabajo, las restricciones de tiempo y los recursos disponibles. 20 Norma 2230 Asignación de recursos para el trabajo Interpretación: “Adecuados” se refiere al equilibrio entre conocimiento, aptitud y otras competencias necesarias para realizar el trabajo. “Suficientes” se refiere a la cantidad de recursos que se necesitan para realizar el trabajo con el cuidado profesional adecuado. 21 Norma 2240 Programa de trabajo Los AI deben preparar y documentar programas que cumplan con los objetivos del trabajo. Deben estar registrados en PT. Deben incluir los procedimientos para identificar, analizar, evaluar y documentar información durante la tarea. Debe ser aprobado con anterioridad a su implantación y cualquier ajuste ha de ser aprobado oportunamente. Los programas de consultoría pueden variar en forma y contenido, dependiendo de la naturaleza del trabajo. 22 Elementos de la Planificación Documentar la metodología y procedimientos a utilizar Definición de Objetivos Alcance y Cobertura Detalle del área a auditar Tipo de pruebas Revisado y comunicado oportunamente Evaluación de riesgos Tiempo asignado Recursos 23 Documentar la metodología y procedimientos a utilizar Encuesta/cuestionario de control interno. Obtener información clave de los objetivos y estrategias del área. Modelos de gestión administrativa y riesgos evaluados. Controles claves y sus responsables. Procedimientos y sus ejecutores. Tecnología de información y comunicaciones. Ubicación física. Definición de Objetivos Objetivos primarios y secundarios. Resultados esperados con la realización de la auditoría. Riesgos que se espera monitorear Alcance y Cobertura Qué áreas se revisarán. Qué tanto se revisarán. Qué tan satisfecho quedará el punto de vista del auditor interno, en cuanto al riesgo de auditoría. La cobertura no implicará trabajos en exceso del personal de auditoría que impacte en la eficiencia operativa. Podrían resultar trabajos de consultoría según el alcance. Detalle del área a auditar Dónde Organigrama A quién contactar Restricciones de acceso o permisos necesarios Antecedentes de accidentes que impliquen riesgos para el personal. Medidas de seguridad Permisos de TIC 27 Evaluación de Riesgos Existe un modelo de gestión de riesgos. Obtener el plan estratégico. Obtener toda la normativa que aplique a organización. Información clave sobre planes de crecimiento. Información financiera. Resultados de revisiones anteriores de auditoría. Resultados de revisiones de otros entes. Correspondencia que evidencie información clave. la 28 Recursos Evaluar el nivel de experiencia del personal según la complejidad del trabajo. Nivel de conocimientos, habilidades y competencias de los auditores que forma parte del equipo de trabajo. Necesidades de capacitación. Cuántos auditores? Ayuda de expertos externos. 29 Tiempo asignado El tiempo se calculará: De acuerdo al recurso humano disponible. Según el alcance y cobertura. 30 4.3 Desempeño del trabajo de Auditoría Interna Normas aplicables a la Fase de Ejecución: 2300 Desempeño del trabajo 2310 Identificación de la información 2320 Análisis y evaluación 2330 Documentación de la información 2340 Supervisión del trabajo 31 Norma 2300 Desempeño del trabajo Los auditores internos deben identificar, analizar, evaluar y documentar suficiente información de manera tal que les permita cumplir con los objetivos del trabajo. 32 Norma 2310 Identificación de la información Los auditores internos deben identificar información suficiente, fiable, relevante y útil de manera tal que les permita alcanzar los objetivos del trabajo. 33 Norma 2310 Identificación de la información Interpretación: La información suficiente está basada en hechos, es adecuada y convincente, de modo que una persona prudente e informada sacaría las mismas conclusiones que el auditor. La información fiable es la mejor información que se puede obtener mediante el uso de técnicas de trabajo apropiadas. La información relevante apoya las observaciones y recomendaciones del trabajo y es compatible con sus objetivos. La información útil ayuda a la organización a cumplir con sus metas. 34 Norma 2320 Análisis y evaluación Los auditores internos deben basar sus conclusiones y los resultados del trabajo en análisis y evaluaciones adecuados. 35 Norma 2330 Documentación de la información Los Auditores Internos deben documentar información suficiente, fiable, relevante, y útil que les permita respaldar los resultados del trabajo y las conclusiones. 36 Norma 2330 Documentación de la información El Director Ejecutivo de auditoría debe: Controlar el acceso a los registros del trabajo. Obtener aprobación de la alta dirección o de asesores legales antes de dar a conocer los registros a terceros. Establecer políticas sobre la custodia y retención (custodia) de los registros de trabajo. 37 Norma 2340 Supervisión del trabajo Los trabajos deben ser adecuadamente supervisados para asegurar el logro de sus objetivos, la calidad del trabajo y el desarrollo del personal. 38 Norma 2340 Supervisión del trabajo Interpretación: El alcance de la supervisión requerida dependerá de la pericia y experiencia de los auditores internos y de la complejidad del trabajo. El director ejecutivo de auditoría tiene la responsabilidad general de la supervisión del trabajo, ya sea que haya sido desempeñado por la actividad de auditoría interna o para ella, pero puede designar a miembros adecuadamente experimentados de la actividad de auditoría interna para llevar a cabo esta tarea. Se debe documentar y conservar evidencia adecuada de la supervisión. 39 4.4 Comunicación de resultados e informe Normas aplicables a la Fase de Comunicación e informe: 2400 Comunicación de resultados 2410 Criterios para la comunicación 2420 Calidad de la comunicación 2421 Errores y omisiones 2430 Uso de “Realizado de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna” 2431 Declaración de Incumplimiento de las Normas 2440 Difusión de resultados 2450 Opiniones globales 40 Norma 2400 Comunicación de resultados Los Auditores Internos deben comunicar los resultados de los trabajos. 41 Norma 2410 Criterios para la Comunicación Las comunicaciones deben incluir los objetivos, alcance y resultados del trabajo. 42 Norma 2410 Criterios para la comunicación La comunicación final de los resultados del trabajo debe incluir las conclusiones aplicables así como también las recomendaciones aplicables y/o los planes de acción. Se debe proporcionar la opinión del auditor interno cuando resulte apropiado. Una opinión debe considerar las expectativas del Consejo, la alta dirección y otras partes interesadas y debe estar soportada por información suficiente, fiable, relevante y útil. 43 Norma 2410 Criterios para la comunicación Interpretación: Las opiniones en los trabajos de auditoría pueden ser clasificaciones (ratings), conclusiones u otras descripciones de los resultados. Un trabajo de auditoría puede estar relacionado con controles sobre un proceso específico, riego o unidad de negocio. La formulación de opiniones al respecto requiere de la consideración de los resultados del trabajo y su importancia. 44 Norma 2410 Criterios para la comunicación Se alienta a los auditores internos a reconocer en las comunicaciones del trabajo cuando se observa un desempeño satisfactorio. Cuando se envíen resultados de un trabajo a partes ajenas a la organización, la comunicación debe incluir las limitaciones a la distribución y uso de los resultados. Las comunicaciones sobre el progreso y los resultados de los trabajos de consultoría, variarán en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del cliente. 45 Norma 2420 Calidad de la comunicación Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas. 46 Norma 2420 Calidad de la comunicación Interpretación: Precisas: Están libres de errores y distorsiones y son fieles a los hechos que describen. Objetivas: Son justas, imparciales y sin desvíos y son el resultado de una evaluación justa y equilibrada de todos los hechos y circunstancias relevantes. Claras: Son fácilmente comprensibles y lógicas, evitando el lenguaje técnico innecesario. Concisas: van a los hechos y evitan elaboraciones innecesarias. Constructivas: Son útiles el cliente del trabajo y la organización y conducen a mejoras que son necesarias. Completas: No les falta nada que sea esencial. Oportunas: Son realizadas en el tiempo debido. 47 Norma 2421 Errores y omisiones Si una comunicación final contiene un error u omisión significativos, el director ejecutivo de auditoría debe comunicar la información corregida a todas las personas que recibieron la comunicación original. 48 Norma 2430 Uso de “Realizado de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna” Manifestar que los trabajos son "realizados en conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna" es apropiado sólo si los resultados del programa de aseguramiento y mejora de la calidad respaldan dicha afirmación. 49 Norma 2431 Declaración de incumplimiento de las Normas Cuando el incumplimiento del Código de Ética o las normas afecta a un trabajo específico, la comunicación de los resultados debe exponer: Los principios o reglas de conducta del Código de Ética o las normas con las cuales no se cumplió totalmente. Las razones del incumplimiento El impacto del incumplimiento sobre ese trabajo y los resultados comunicados del mismo. 50 Norma 2440 Difusión de resultados El Director Ejecutivo de Auditoría debe difundir los resultados a las partes apropiadas. Interpretación: El director ejecutivo de auditoría debe revisar y aprobar la comunicación final del trabajo antes de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación. El director ejecutivo de auditoria retiene la responsabilidad última, aunque delegue estas tareas. 51 Norma 2440 Difusión de resultados El Director Ejecutivo de Auditoría es el responsable de comunicar los resultados finales a las partes que puedan asegurar que se de a los resultados la debida consideración. A menos de que exista obligación legal, estatutaria o de regulaciones en contrario, antes de enviar los resultados a partes ajenas a la organización, el director ejecutivo de auditoría debe: Evaluar el riesgo potencial para la organización. Consultar con la alta dirección y/o Consejero legar, según corresponda. Controlar la difusión, restringiendo la utilización de resultados. 52 Norma 2440 Difusión de resultados El Director Ejecutivo de Auditoría es responsable de comunicar los resultados finales de los trabajo de consultoría a los clientes. Durante el trabajo de consultoría pueden identificarse cuestiones referidas a gobierno, gestión de riesgos y control. En el caso de que estas cuestiones sean significativas para la organización, deben ser comunicadas a la alta dirección y al consejo. 53 Norma 2450 Opiniones globales Cuando se emite una opinión global, debe considerar las estrategias, objetivos y riesgo de la organización; y las expectativas de la alta dirección, el Consejo, y otras partes interesadas. Debe ser soportada por información suficiente, fiable, relevante y útil. 54 Norma 2450 Opiniones globales Interpretación: La comunicación incluirá: — El alcance, incluyendo el periodo de tiempo al que se refiere la opinión — Las limitaciones al alcance —La consideración de todos los proyectos relacionados incluyendo cuando se confíe en otros proveedores de aseguramiento —Un resumen de la información que respalda la opinión — El riesgo, marco de control u otros criterios utilizados como base para la opinión global — La opinión global, juicio o conclusión alcanzada. Cuando existe una opinión global que no es favorable, deben exponerse las causas de esta opinión. 55 4.4 Norma 2500 Seguimiento del progreso El director ejecutivo de auditoría: debe establecer y mantener un sistema para vigilar la disposición de los resultados comunicados a la dirección. 56 Norma 2500 Seguimiento del progreso El director ejecutivo de auditoría debe establecer un proceso de seguimiento, para vigilar y asegurar que las acciones de la dirección hayan sido implantadas eficazmente o que la alta dirección haya aceptado el riesgo de no tomar medidas. La actividad de auditoría interna debe vigilar la disposición de los resultados de los trabajos de consultoría, hasta el grado de alcance acordado con el cliente. 57 Norma 2600 Comunicación de la aceptación de los riesgos Cuando el director ejecutivo de auditoría concluya que la dirección ha aceptado un nivel de riesgo que pueda ser inaceptable para la organización, debe tratar este asunto con la alta dirección. Si el director ejecutivo de auditoría determina que el asunto no ha sido resuelto, el director ejecutivo de auditoría debe comunicar esta situación al Consejo. 58 Norma 2600 Comunicación de la aceptación de los riesgos Interpretación: La identificación del riesgo aceptado por la dirección puede observarse a través de un trabajo de aseguramiento o consultoría, a través del seguimiento del progreso sobre las acciones tomadas por la dirección como resultado de anteriores trabajos, o a través de otros medios. El director ejecutivo de auditoria no tiene la responsabilidad de resolver el riesgo. 59 El Informe de Auditoría Interna Es un documento formal que resume el trabajo realizado en una auditoría, reportando sus hallazgos y recomendaciones. El reporte de Auditoría es presentado como un servicio de aseguramiento, con el propósito de tomar decisiones con base en los resultados de la Auditoría. El informe de Auditoría en sí mismo, revela la calidad del trabajo del Auditor, ayudando a evaluar su desempeño y es un factor importante para establecer la reputación del Departamento de Auditoría Interna. 60 Tipos de Informes Formales (Formato especial autorizado DEA). Informales: cartas, emails, memos. Avance o intermedios. Orales: Presentación audiovisual, comentarios, discusión de asuntos finales. Globales, de deficiencias, con conclusiones operativas, financieras. 61 Tipos de Informes A la administración Aseguramiento (operacional – desempeño) Consultoría Due diligence RSE A Junta Directiva (a través del Comité de Auditoría) Resumen de informes relevantes Desempeño del plan (productividad y desempeño de recursos) Opinión global sobre el ambiente de control interno 62 Tipos de Informes Informes intermedios: Los informes intermedios pueden ser escritos o verbales y pueden ser transmitidos formal o informalmente. Se pueden utilizar para: Transmitir información que requiera atención inmediata. Comunicar un cambio en el alcance del trabajo que se está realizando. Mantener informada a la dirección del avance del trabajo cuando éste se prolongue durante un período de tiempo determinado. El uso de informes intermedios no reduce ni elimina la necesidad de un informe final. 63 Partes del Informe Las NIEPAI no establecen un formato definido o el contenido de los informes y comunicaciones, sin embargo se mencionan aspectos tales como: Elementos Informe por tipo de trabajo Reportar necesidades de la Gerencia Reportes de acuerdo a la naturaleza de la organización En cada informe debe haber una aceptación de la gerencia y una posición de la AI. 64 Partes del Informe Propósito: La explicación del propósito debe describir los objetivos del trabajo y cuando sea necesario, informar al lector sobre las razones que motivaron la realización del trabajo y lo que se esperaba conseguir. Alcance: La explicación del alcance debe identificar las actividades auditadas, el período revisado, los procedimientos aplicados, etc. Las actividades relacionadas no revisadas deben señalarse cuando sea necesario para definir los límites del trabajo. También se debe describir la naturaleza y extensión del trabajo realizado. 65 Partes del Informe Resultados: Deben incluirse áreas de mejora, comentarios de la administración y planes de acción. Áreas de Mejora (Deficiencias o hallazgos): Son exposiciones pertinentes de los hechos, necesarias para apoyar los juicios del auditor interno. Las observaciones menos significativas pueden ser comunicadas informalmente. Las áreas de mejora y planes de acción del trabajo surgen de un proceso de comparación entre “lo que debe ser” y “lo que es”. 66 Partes del Informe Cuando la realidad coincide con los criterios previstos, puede ser conveniente reconocer en las comunicaciones del trabajo el adecuado funcionamiento. Las áreas de mejora y los planes de acción deben incluir los siguientes elementos: Criterios: Los estándares, medidas o supuestos utilizados al hacer una evaluación y/o verificación (“lo que debe ser”). Condición (Realidad): La evidencia que el auditor interno descubre en su trabajo. (“lo que es”). 67 Partes del Informe Causa: La razón de la diferencia entre las situaciones esperadas y las reales (por qué existe la diferencia). Efecto: El riesgo o exposición en que se encuentra la organización u otros terceros debido a que la realidad no coincide con los criterios (el “impacto” de la diferencia). Plan de Acción: Recomendación Son los juicios especializados del Auditor Interno respecto al área de mejora. Los planes de acción permiten agregar valor a la organización, al proveer soluciones basadas en la experiencia del auditor y su revisión de ayudar a alcanzar los objetivos. 68 Partes del Informe Pueden abarcar aspectos tales como: Ayudar a que los objetivos se alcancen Mejoras a la estrategia Identificación de riesgos relevantes Evaluación y mejora al diseño del sistema de control interno Gestión del riesgo de fraude Fortalecimiento de la gestión de TI 69 Partes del Informe Comentarios de la Administración: Como parte del informe del auditor interno con el cliente del trabajo, el auditor debe conseguir el acuerdo sobre los resultados del trabajo y sobre un plan de acción para mejorar las operaciones, en la medida que sea necesario. Si ambos discrepan sobre los resultados del trabajo, las comunicaciones pueden exponer ambas posiciones y las razones del desacuerdo. Los comentarios escritos del cliente, si son extensos, se pueden incluir como anexos. Otra alternativa es presentar las opiniones del cliente dentro del mismo informe o en una carta de representación. 70 Partes del Informe Emisión y firma: Debe emitirse un informe firmado una vez concluido el trabajo. Es conveniente emitir informes resumidos, que destaquen los resultados de auditoría, para aquellos niveles de dirección superiores jerárquicamente al cliente del trabajo, y allí colocar la firma del auditor. El término “firmado” significa que la firma del auditor interno autorizado aparece en el informe. Si los informes del trabajo se distribuyen por medios electrónicos, se debe mantener una versión firmada del informe en el archivo de la actividad de auditoría interna. 71 Informes de Aseguramiento Criterios para la comunicación de resultados Las comunicaciones deben incluir los objetivos y alcance del trabajo así como las conclusiones correspondientes, las recomendaciones, y los planes de acción. Un trabajo de auditoría puede estar relacionado con controles sobre un proceso específico, riesgo o unidad de negocio. Calidad de la comunicación Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas Difusión de resultados Es responsabilidad de auditoría comunicar los resultados finales a las partes que puedan asegurar que se dé a los resultados la debida consideración 72 Criterios para la comunicación Para que el informe genere valor agregado a la organización (cliente), es preciso que las auditorías se gestionen apropiadamente durante todas las fases del proyecto Objetivos y alcance del trabajo – Claramente definidos y comunicados a la gerencia, mejoran la aceptación de los resultados del trabajo Conclusiones alineadas a los objetivos y alcance - de forma clara, concisa y consistente Recomendaciones – Requiere que el auditor conozca el proceso, ciclo o riesgo auditado, a un nivel de profundidad razonable que le permita dar recomendaciones alineadas a la estrategia, el apetito al riesgo, la realidad económica del negocio Planes de acción – Al recibir los planes de acción, el auditor debe evaluar si las acciones realmente mitigan los riesgos, o si mejoran las fallas identificadas 73 Calidad de la Comunicación Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas: Comunicación objetiva – Conclusiones basadas en el análisis de evidencia soporte, debidamente recolectada (muestreo, enfoque y alcance apropiados). Comunicación clara y concisa – Orientada a la falla o riesgo que se desea reportar. Comunicación constructiva y completa – Eliminar juicios de valor, información que aporte a la toma de decisiones. Comunicación oportuna – Requiere la revisión de procesos en tiempo real, y que la gestión interna de auditoría sea eficiente; asegurar que se auditan procesos vigentes. 74 Pasos de la discusión del informe Qué está mal? Discusión sobre los hallazgos y cómo se detectaron Por qué esta mal o incorrecto? Descripción de los hallazgos, cómo pueden analizarse Cómo corregirlo? Recomendaciones y sugerencias Qué se hará? Punto de vista y planes de acción de los Auditados 75 Difusión de resultados Comunicar los resultados a las partes que puedan asegurar que se dé a los resultados la debida consideración Quién tiene autoridad y responsabilidad sobre el proceso (dueño)? Pueden estas personas tomar decisiones y generar los cambios requeridos? Requiere que el auditor conozca claramente cuáles son los puestos que pueden tomar acción/dar directrices para que las acciones correctivas sean implementadas Es requerido que el auditor evalúe y limite el grupo de personas que han de recibir el informe, especialmente si también será circulado a terceros Cuando la administración está asumiendo un riesgo por encima de los niveles considerados aceptables (apetito al riesgo), es responsabilidad del auditor reportarlo a la Dirección o al Consejo 76 Informes de consultoría Todos los trabajos de auditoría se rigen de las normas emitidas por el IIA Definir el alcance y expectativas de la actividad, preferiblemente por escrito - obtener confirmación del cliente. Establecer y comunicar los procedimientos a realizarse y la forma como éstos se relacionan con el objetivo esperado. Clarificar a las partes interesadas cuál fue el alcance y las limitaciones que se tuvieron en el proceso. 77 4.5 Seguimiento del Trabajo de Auditoría Interna El comité de Auditoría es responsable de: Evaluar el sistema de control interno y de Auditoría Interna de la compañía, identificando cualquier deficiencia importante que detecte; Dar seguimiento a cualquier medida correctiva o preventiva que se adopte en virtud del incumplimiento de los lineamientos y políticas operativas y de contabilidad; 78 COMITÉ DE AUDITORÍA Evaluar el desempeño de los auditores externos; Describir y valuar aquellos servicios que no sean de auditoría, prestados por los auditores externos; Revisar los estados financieros; Evaluar los efectos de cualquier modificación a políticas contables, aprobadas durante el ejercicio fiscal; 79 COMITÉ DE AUDITORÍA Dar seguimiento a las medidas adoptadas en relación con las observaciones que haya recibido de los accionistas, consejeros, directivos relevantes, empleados o terceras personas en relación a la contabilidad, sistemas de control interno y de auditoría interna y externa; 80 COMITÉ DE AUDITORÍA Así como de cualquier reclamo relacionado con irregularidades en la administración, incluyendo métodos anónimos o confidenciales para el manejo de reportes expresados por empleados. 81 AUDITORES EXTERNOS El Director de Auditoría Interna debe coordinar los esfuerzos de auditoría interna y auditoría externa. Lo que incluye: Reuniones periódicas para discutir asuntos de interés recíproco. Acceso a mutuos programas de auditoría y papeles de trabajo. Intercambio de reportes de auditoría y comunicación. Comprensión común de técnicas de auditoría, métodos y terminología. 82 CONTROL DE CALIDAD El Director de Auditoría Interna, debe establecer y mantener un programa de control de calidad para evaluar las operaciones de su departamento. El propósito de este programa es el de asegurar que el trabajo de auditoría sea conforme a los estándares del estatuto (manual) de auditoría interna y con otros estándares aplicables. 83 CONTROL DE CALIDAD Controles generales de calidad. Los controles de calidad son las políticas y procedimientos adoptados por el departamento de auditoría interna, para cerciorarse de que todas las auditorías realizadas, se han desarrollado de acuerdo con los estándares para la práctica profesional de auditoría interna, las normas del estatuto (manual) y otros requerimientos especificados por la Dirección. 84 CONTROL DE CALIDAD El departamento de auditoría interna debe adoptar políticas de control de calidad que incorporen los siguientes objetivos: Cualidades personales Habilidades y competencias Asignación Dirección y supervisión. Inspección. 85 CONTROL DE CALIDAD Cualidades personales: El personal debe adherirse a los principios de Integridad, Objetividad, Independencia y Confidencialidad. Habilidades y competencias: El departamento debe estar integrado por personal que ha alcanzado y mantenido las habilidades y competencias necesarias para cumplir con sus responsabilidades. 86 CONTROL DE CALIDAD Asignación: El trabajo de auditoría se debe asignar al personal que tenga la habilidad y el grado de capacitación técnica que se requiera según las circunstancias. Dirección y supervisión: Debe tener suficiente dirección y supervisión del trabajo a todos los niveles para proporcionar al departamento una seguridad razonable de que lo efectuado cumple apropiadamente con estándares de calidad. 87 CONTROL DE CALIDAD Inspección: El departamento debe vigilar la eficacia de sus políticas y procedimientos de control de calidad. 88 CONTROL DE CALIDAD Las políticas y procedimientos de control de calidad de un departamento de auditoría interna deben comunicarse a su personal de forma tal, que se asegure de modo razonable su comprensión. Deben programarse revisiones externas al departamento de auditoría interna con el propósito de evaluar la calidad del trabajo efectuado. 89 CONTROL DE CALIDAD MANUAL DE NORMAS Y PROCEDIMIENTOS. Es un instrumento administrativo de comunicación que contiene una serie de información acerca de la sucesión cronológica y secuencia de operaciones para la realización de una función, actividad o tarea específica de una organización. 90 MANUAL DE NORMAS Y PROCEDIMIENTOS IMPORTANCIA: Permite conocer los lineamientos para una actividad de carácter administrativo, sus responsabilidades, objetivos y los participantes en la misma. 91 MANUAL DE NORMAS Y PROCEDIMIENTOS OBJETIVOS: Es una guía de control de las diferentes áreas de las empresa. Establece las bases para los cambios en políticas adoptadas. Apoya la sistematización de la empresa. Es una guía para la correcta realización de las labores. Ahorra tiempo al facilitar la coordinación, supervisión y comunicación de las unidades que integran la empresa. 92 MANUAL DE NORMAS Y PROCEDIMIENTOS Facilita el reclutamiento, selección e integración del personal. Ayuda en el aprovechamiento de recursos al identificar claramente las responsabilidades, funciones, atribuciones de cada miembro de la empresa, al presentar una guía de éstas en forma ordenada y útil. Facilita la coordinación y comunicación en la empresa. Sirve como instrumento para orientar e informar a usuarios o entes relacionados. 93 MANUAL DE NORMAS Y PROCEDIMIENTOS Permite la agilización de estudios organizacionales, al tener una fuente única, ordenada, clara, oportuna y concisa de la información. Reduce la evasión de responsabilidad. Establece una secuencia lógica para el trabajo a desarrollar. Sustituye instrucciones verbales, por escritas. Apoya la capacitación y supervisión del personal. 94 MANUAL DE NORMAS Y PROCEDIMIENTOS Proceso para su elaboración: Recolección de datos Validación de datos reunidos Estructura de la información Análisis de datos recabados Recomendaciones e informes Aprobación del manual Circulación Implantación Revisión y actualización. 95 MANUAL DE NORMAS Y PROCEDIMIENTOS Contenido: Puede variar dependiendo de las necesidades de cada empresa, pero por lo general es el siguiente: Identificación Tabla de contenido – índice Objetivos Normas Procedimientos Formularios Flujogramas 96