Normas sobre desempeño para la auditoria interna

2000 –Auditoría Interna

El Director Ejecutivo de la Auditoría debe gestionar efectivamente. Administración de la actividad de Auditoría Interna para asegurar que añada valor a actividad de la organización.

2010–Planificación

El Director Ejecutivo de Auditoría debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de Auditoría Interna. Dichos planes deberán ser consistentes con las metas de la organización.

210. A1

El plan de trabajo de la actividad de Auditoría Interna debe estar basado en una evaluación de riesgos, realizada anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta Dirección y del Consejo.

2010. C1

El Director Ejecutivo de Auditoría debe considerar la aceptación de trabajos de consultoría que le sean propuestos, basado en el potencial del trabajo para mejorar la gestión de riesgos, añadir valor, y mejorar las operaciones de la organización. Aquellos trabajos que hayan sido aceptados deben ser incluidos en el plan.

2020–Comunicación y Aprobación

El director Ejecutivo de Auditoría debe comunicar los planes y requerimientos de recursos de la actividad de Auditoría Interna, incluyendo los cambios provisorios significativos, Dirección y al Consejo para la adecuada revisión y aprobación.

El Director Ejecutivo de Auditoría también debe comunicar elmimpacto de cualquier limitación de recursos.

2030–Administración de Recursos

El Director Ejecutivo de Auditoría debe asegurar que los recursos de Auditoría Interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado.

2040–Políticas y Procedimientos

El Director Ejecutivo de Auditoría debe establecer políticas y procedimientos para guiar la actividad de Auditoría Interna.

2050 – Coordinación

El Director Ejecutivo de Auditoría debe compartir información y coordinar actividades con otros roveedores internos y externos de aseguramiento y servicios de consultoría relevantes para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos.

2060–Auditoría Informe al Consejo y a la Dirección Superior

El Director Ejecutivo de Auditoría debe informar periódicamente al Consejo y a la alta Dirección sobre la actividad de interna en lo referido a propósito, autoridad, responsabilidad y desempeño de su plan.

El informe también debe incluir exposiciones de riesgos relevantes y cuestiones de control, cuestiones de gobierno corporativo y otras cuestiones necesarias o requeridas por el Consejo y la alta Dirección.

2100 – Naturaleza del trabajo

La actividad de Auditoría Interna avalúa y contribuye a la mejor de los sistemas de gestión de riesgos, control y gobierno.

2110 – Gestión de riesgos.
La actividad de Auditoría Interna debe asistir a la organización mediante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los
sistemas de gestión de riesgos y control.

2110. A1

La actividad de Auditoría Interna debe supervisar y evaluar la eficacia del sistema de gestión de riesgos de la organización.

2110. A2

La actividad de Auditoría Interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente:

– Confiabilidad e integridad de la información financiera operativa
– Eficacia y eficiencia de las operaciones.
– Protección de activos, y cumplimiento de leyes, regulaciones y contratos.

2110. C1
Durante los trabajos de consultoría, los auditores internos deben considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.

2110. C2

Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones de riesgo significativas en la organización.

2120 – Control

La actividad de Auditoría Interna debe asistir a la organización en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora continúa.

2120. A1

Basada en los resultados de la evaluación de riesgos, la actividad de Auditoría Interna debe evaluar la adecuación y eficacia de los controles que comprenden el gobierno, las operaciones y los sistemas de información de la organización. Esto debe incluir lo siguiente:

– Confiabilidad e integridad de la información financiera y operativa,
– Eficacia y eficiencia de las operaciones,
– Protección de activos, y
– Cumplimiento de leyes, regulaciones y contratos

2120. A2

Los Auditores Internos deben cerciorarse del alcance de los objetivos y metas operativos y de programas que hayan sido establecidos y de que sean consistentes con aquellos de la
organización.

2120. A3

Los Auditores Internos deben revisar las operaciones y programas para cerciorarse de que los resultados sean consistentes con los objetivos y metas establecidos, y de que las operaciones y programas estén siendo implantados o desempeñados tal como fueron planeados.

2120. A4

Se requiere criterio adecuado para evaluar controles. Los Auditores Internos deben cerciorarse del alcance hasta el cual la dirección ha establecido criterios adecuados para determinar silos objetivos y metas han sido cumplidos. Si es apropiado, los auditores internos deben utilizar dichos criterios en su evaluación.

Si no es apropiado, los auditores internos deben trabajar con la Dirección para desarrollar criterios de evaluación adecuados.

2120. C1

Durante los trabajos de consultoría, los Auditores Internos deben considerar los controles compatibles con los objetivos del trabajo y deben estar alertas a la existencia de debilidades de control significativas.

2120. C2

Los Auditores Internos deben incorporar los conocimientos de los controles de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones de riesgo significativas en la organización.

2130 – Gobierno

La actividad de Auditoría Interna debe al proceso de gobierno de la organización mediante la evaluación y mejora del proceso por el cual (1) se establecen y comunican metas y valores, (2) se supervisa el cumplimiento de las metas, (3) se asegura la responsabilidad, y (4) se preservan los valores.

2130. A1

Los Auditores Internos deben revisar las operaciones y programa para asegurar su consistencia con los valores de la organización.

2130. C1

Los objetivos de los trabajos de consultoría deben ser compatibles con los valores y las metas generales de la organización.

2200 – Planificación del trabajo

Los Auditores Internos deben desarrollar y registrar un plan para cada trabajo.

Al planificar el trabajo, los Auditores Internos deben considerar:

2201 – Consideracionessobre planificación

– Los objetivos de la actividad que están siendo revisada y los medios con los cuales la actividad controla su desempeño.
– Los riesgos significativos de la actividad, sus objetivos, recursos y operaciones, y los medios con los cuales el impacto potencial del riesgo se mantienen a un nivel aceptable.
– La adecuación y eficacia de los sistemas de gestión de riesgos y control de la actividad comparados con un cuadra o modelo de control relevante.
– Las oportunidades de introducir mejoras significativas en los sistemas de gestión de riesgos y control de la actividad.

2201. C1

Los Auditores Internos deben establecer un entendimiento con los clientes de trabajo de consultoría, referido a objetivos, alcance, responsabilidades respectivas, y demás expectativas de los clientes. En el caso de trabajos significativos, este entendimiento debe estar documentado.

2210 – Objetivos del trabajo

Los objetivos del trabajo deben dirigirse a los procesos de riesgos, controles y gobierno asociados a las actividades bajo revisión.

2210. A1

Durante la planificación del trabajo, el Auditor Interno debe identificar y evaluar los riesgos relevantes de la actividad bajo revisión. Los objetivos del trabajo deben reflejar los resultados de la evaluación de riesgos.

2210. A2

El Auditor Interno debe considerar la probabilidad de errores, irregularidades, incumplimientos y otras exposiciones materiales al desarrollar los objetivos del trabajo.

2210. C1

Los objetivos de los trabajos de consultoría deben considerar los procesos de riesgo, control y gobierno, hasta el grado de extensión acordado con el cliente.

2220 – Alcance del trabajo

El alcance establecido debe ser suficiente para satisfacer los objetivos del trabajo.

2220. A1

El alcance del trabajo debe tener en cuenta los sistemas, registros, personal y propiedades físicas relevantes, incluso aquellos bajo el control de terceros.

2220. C1

Al desempeñar trabajos de consultoría, los Auditores Internos deben asegurar que el alcance del trabajo sea suficiente para cumplir los objetivos acordados. Si los Auditores Internos encontrarán restricciones al alcance durante el trabajo, estas restricciones deberán tratarse con el cliente para determinar si se
continúa con el trabajo.

2230 – Asignación de para lograr los objetivos del trabajo.

Los Auditores Internos deben determinar los recursos adecuados. El personal debe estar recursos para el basado en una evaluación de la naturaleza y complejidad de cada trabajo tarea, las restricciones de tiempo y los recursos disponibles.

2240 – Programa de Trabajo

Los Auditores Internos deben preparar programas que cumplan con los objetivos del trabajo. Estos programas de trabajo deben estar registrados.

2240. A1

Los programas de trabajo deben establecer los procedimientos para identificar, analizar, evaluar y registrar información durante la tarea. El programa de trabajo debe ser aprobado con anterioridad
al comienzo del trabajo y cualquier ajuste ha de ser aprobado oportunamente.

2240. C1

Los programas de trabajo de los servicios de consultoría pueden variar en forma y contenido dependiendo de la naturaleza del trabajo.

2300 – Desempeño del Trabajo

Los Auditores Internos deben identificar, analizar, evaluar y registrar suficiente información de manera tal que les permita cumplir con los objetivos del trabajo

2310 – Identificación de la información

Los Auditores Internos deben identificar información suficiente, confiable, relevante y útil de manera tal que les permita alcanzar los objetivos del trabajo.

2320 – Análisis y evaluación

Los Auditores Internos deben basar sus conclusiones y los resultados del trabajo en adecuados análisis y evaluaciones.

2330 – Registro de la información

Los Auditores Internos deben registrar información relevante que les permita soportar las conclusiones y los retos del trabajo.

2330. A1

El Director Ejecutivo de Auditoría debe controlar el acceso a los registros del trabajo. El director ejecutivo de la Auditoría debe obtener aprobación de la Dirección Superior o de consejeros legales antes de dar a conocer tales registros a terceros, según corresponda.

2330. A2

El director Ejecutivo de Auditoría debe establecer requisitos de custodia para los registros del trabajo. Estos requisitos de retención deben ser consistentes con las guías de la organización y cualquier regulación pertinente u otros requerimientos.

2330. C1

El Director Ejecutivo de Auditoría debe establecer políticas sobre la custodia y retención de los registros del trabajo, y sobre la posibilidad de darlos a conocer a terceras partes, internas o externas. Estas políticas deben ser consistentes con las guías de la organización y cualquier regulación pertinente u otros requerimientos sobre este tema.

2340 – Supervisión del trabajo

Los trabajos deben ser adecuadamente supervisados para asegurar el logro de sus objetivos, la calidad del trabajo, y el desarrollo profesional del personal.

2400 – Comunicación

Los Auditores Internos deben comunicar los resultados del trabajo de resultados oportunamente.

2410 – Criterios para la comunicación

Las comunicaciones deben incluir los objetivos y alcance del trabajo así como las conclusiones correspondientes, las recomendaciones, y los planes de acción.

2410. A1

La comunicación final de resultados debe incluir, si corresponde, la opinión general del Auditor Interno.

2410. A2

En las comunicaciones del trabajo se debe reconocer cuando se observa un desempeño satisfactorio.

2410. C1

Las comunicaciones sobre el progreso y los resultados de los trabajos de consultoría variarán en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del cliente.

2420 – Calidad de la Comunicación

Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas.

2421 – Errores y Omisiones

Si una comunicación final contiene un error u omisión significativos, el director ejecutivo de Auditoría debe comunicar la información corregida a todas las personas que recibieron la comunicación original.

2430 – Declaración de incumpliendo de las normas

Cuando el incumplimiento con las Normas afecta a una tarea específica, la comunicación de los resultados debe exponer:

– Las normas con las cuales no se cumplió totalmente.
– Las razones del incumplimiento, y
– El impacto del incumplimiento en la tarea.

2440 – Difusión de los resultados

El Director Ejecutivo de Auditoria debe difundir los resultados a las personas apropiadas.

2440. A1

El Director Ejecutivo de Auditoría es responsable de comunicar los resultados finales a las personas que puedan asegurar que se dé a los resultados la debida consideración.

2440. C1

El Director Ejecutivo de Auditoría es responsable de comunicar los resultados finales de los trabajos de consultoría a los clientes.

2440. C2

Durante los trabajos de consultoría pueden ser identificados cuestiones referidas a gestión de riesgo, control y gobierno. En el caso de que estas cuestiones sean significativas, deberán ser comunicadas a la Dirección Superior y al Consejo.

2500 – Supervisión del progreso

El Director Ejecutivo de Auditoría debe establecer y mantener un sistema para supervisar la disposición de los resultados comunicados a la dirección.

2500. A1

El Director de Auditoria debe establecer un proceso de seguimiento, para supervisar y asegurar que las acciones de la Dirección hayan sido efectivamente implantadas o que la dirección superior ha aceptado el riesgo de no tomar acción.

2500. C1

La actividad de la Auditoría debe supervisar la disposición de los resultados de los trabajos de consultoría, hasta el grado de alcance acordado con el cliente.

2600 – Aceptación de los riesgos por la dirección

Cuando el Director Ejecutivo de Auditoría considere que la alta Dirección ha aceptado un nivel de riesgo residual que es inaceptable para la organización, debe discutir esta cuestión con la alta dirección. Si la decisión referida al riesgo residual no se resuelve, el Director Ejecutivo de Auditoría y la Alta Dirección debe informar esta situación al Consejo para su resolución.

Fuente: Apuntes de Auditoria Interna de la FCA de la UNAM