MODULO III · MODULO III DESEMPEÑO DEL AUDITOR INTERNO ADMINISTRACIÓN DE LA ACTIVIDAD DE...

MODULO III

DESEMPEÑO DEL AUDITOR INTERNO

ADMINISTRACIÓN DE LA ACTIVIDAD DE AUDITORÍA INTERNA

EVALUACIÓN DE RIESGO Y CONTROL

PLANIFICACIÓN DEL TRABAJO

DESEMPEÑO DEL TRABAJO

COMUNICACIÓN DE RESULTADOS

SUPERVISIÓN DEL PROGRESO

Norma 2000 Administración de la Actividad de Auditoría Interna El director de auditoría debe gestionar efectivamente la actividad de auditoría interna para asegurar que añada valor a la organización. El director de auditoría es responsable de administrar adecuadamente la actividad de auditoría interna, de forma que: 1) El trabajo de auditoría cumpla los propósitos generales y responsabilidades descriptos

en el Estatuto, aprobados por la máxima autoridad / comité de auditoría. 2) Los recursos de la actividad de auditoría interna sean empleados con eficiencia y

eficacia

Gestionar efectivamente la actividad de auditoría interna incluye: Planificación

Comunicación y aprobación de la planificación

Administración de recursos

Políticas y procedimientos

Coordinación

Informes para la máxima autoridad / comité de auditoría

Norma 2010 Planificación El director de auditoría debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. Norma 2010.A1 El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo. Norma 2010.C1 El director de auditoría debe considerar la aceptación de trabajos de consultoría que le sean propuestos, basado en el potencial del trabajo para mejorar la gestión de riesgos, añadir valor, y mejorar las operaciones de la organización. Aquellos trabajos que hayan sido aceptados deben ser incluidos en el plan.

Planificación

La planificación de la actividad de auditoría interna debe ser coherente con su Estatuto y con las metas de la organización. El proceso de planificación implica el establecimiento de Objetivos de auditoría / Actividades auditables.

Programas de trabajo (Plan y cronograma de trabajos)

Planes de personal y presupuesto operativo

Informes de actividad Cuando se planifica la auditoría, el director de auditoria interna debe identificar los riesgos relevantes de la actividad bajo revisión. Los objetivos de trabajo deben reflejar los resultados de esta evaluación.

1) Objetivos: Los objetivos de la actividad de auditoría interna deben poderse llevar a cabo dentro de los planes operativos y presupuestos especificados y, en lo posible, deben ser susceptibles de medición. Las metas deben estar acompañadas de criterios de medición y fechas estimadas de realización. 2) Programas de trabajo: Los programas de trabajo deben incluir lo siguiente: 2.1. Qué actividades serán desempeñadas, 2.2. Cuándo serán realizadas, y 2.3. El tiempo estimado requerido, teniendo en cuenta el alcance del trabajo planificado y la naturaleza y extensión del trabajo realizado por otros

Los aspectos que deben considerarse al establecer las prioridades del programa de trabajo incluyen: Fechas y resultados del último trabajo, Evaluaciones actualizadas de riesgos, y eficacia de la gestión de riesgos y de los procesos

de control, Solicitudes del Consejo de Administración y la alta dirección, Temas actuales referidos al gobierno de la organización, Cambios significativos en el negocio, operaciones, programas, sistemas y controles de la

empresa, Oportunidades de alcanzar beneficios operativos, y Cambios y capacidades del personal de auditoría. Los programas de trabajo deben ser lo suficientemente flexibles para que la actividad de auditoría interna pueda responder a solicitudes no previstas

Modelo para planificación basada en el riesgo

Identificar actividades auditables.

Determinar Factores de riesgos.

Ponderar los factores de riesgo.

Determinar una escala para los factores de riesgo

Evaluar y desarrollar actividades auditables

El director de auditoría interna debe considerar la evaluación de riesgos de la administración con relación a las actividades bajo revisión.

En resumen, debería identificar, entre otros:

La confiabilidad de la evaluación de riesgos de la administración

El monitoreo e informe de las cuestiones de riesgo.

Los informes de eventos que hayan excedido el límite acordado para la tolerancia del riesgo (apetito de riesgo).

También se recomienda revisar antecedentes para determinar el impacto del trabajo, como: los objetivos y metas, políticas, procedimientos, Información organizacional (numero de empleados, descripción de puestos, cambios en la organización), Información financiera (presupuesto, resultados operativos), resultados de los trabajos de auditores externos y papeles de trabajos anteriores.

Norma 2020 Comunicación y aprobación El director de auditoría debe comunicar los planes y requerimientos de recursos de la actividad de auditoría interna, incluyendo los cambios provisorios significativos, a la alta dirección y al Consejo para la adecuada revisión y aprobación. El director de auditoría también debe comunicar el impacto de cualquier limitación de recursos. La programación de trabajos, el plan de personal y el presupuesto financiero aprobados, junto con todos los cambios eventuales significativos, deben contener la información suficiente para permitir que la máxima autoridad determine si los objetivos y planes de la actividad de auditoría interna apoyan a los de la institución.

Comunicación y aprobación

Norma 2030 Administración de recursos El director de auditoría debe asegurar que los recursos de auditoría interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado. Los planes de personal y presupuestos financieros, incluyendo la cantidad de auditores y los conocimientos, técnicas y competencias exigidos para desempeñar su trabajo, deben ser determinados partiendo de la planificación de trabajos, de las actividades administrativas, de las exigencias de formación y preparación, y de los esfuerzos de desarrollo e investigación sobre auditoría. El director ejecutivo de auditoría debe establecer un programa para la selección y el desarrollo de los recursos humanos de la actividad de auditoría interna

Administración de recursos

Norma 2040 Políticas y procedimientos El director de auditoría debe establecer políticas y procedimientos para guiar la actividad de auditoría interna. El formato y el contenido de las políticas y procedimientos deben ser apropiados al tamaño y a la estructura de la actividad de auditoría interna y a la complejidad de su trabajo. No todas las entidades de auditoría interna necesitan de manuales formales administrativos y técnicos de auditoría. Una actividad de auditoría interna de pequeño tamaño puede ser administrada informalmente. Su personal de auditoría puede ser dirigido y controlado mediante una estrecha supervisión diaria. En una actividad de auditoría interna de gran tamaño son esenciales las políticas y los procedimientos para orientar al personal de auditoría en el cumplimiento coherente de las normas de desempeño de la actividad de auditoría interna

Políticas y procedimientos

Norma 2050 Coordinación El director de auditoría debe compartir información y coordinar actividades con otros proveedores internos y externos de aseguramiento y servicios de consultoría relevantes para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos. Norma 2060 Informe al Consejo y a la Dirección Superior El director de auditoría debe informar periódicamente al Consejo y a la alta dirección sobre la actividad de auditoría interna en lo referido a propósito, autoridad, responsabilidad y desempeño de su plan. El informe también debe incluir exposiciones de riesgo relevantes y cuestiones de control, cuestiones de gobierno corporativo y otras cuestiones necesarias o requeridas por el Consejo y la alta dirección.

Coordinación e informe

Evaluación de riesgo

|

Riesgo Es la probabilidad de que hechos o acciones impacten negativamente en el logro de los objetivos de la institución. El riesgo se mide en términos de probabilidad e impacto.

El impacto o la gravedad del riesgo se puede establecer teniendo en cuenta: Tipo de amenaza : en este caso el auditor debe ponderar los potenciales daños en caso

de materializarse el riesgo. Duración: se refiere al tiempo de exposición al riesgo. Exposición: se refiere al grado de alcance que tiene la amenaza.

La evaluación del riesgo será mayor cuanto mayor sea la exposición y la duración de la amenaza. Riesgo Inherente: Es el riesgo propio de cada actividad, sin tener en cuenta los controles. Es el riesgo que siempre existe. Riesgo Residual: Es el riesgo que subsiste, una vez que se hayan implementado los controles.

Estrategias para evaluación y administración de riesgos

Establecimiento de objetivos

Identificación de eventos

Identificación de riesgos Amenaza Causas/ Agentes generadores Consecuencias

Evaluación de riesgo Probabilidad Impacto Calificación Valoración

Respuesta al riesgo Evitar Transferir/ Compartir Mitigar Aceptar

Combinación de estrategias y recursos para enfrentar los riesgos y decidir como manejarlos

Valoración del riesgo

Baja 1

Media 2

Alta 3

Es Probable que ocurra el evento

Muy Probable, casi con certeza de

Ocurrencia Descripción Valor

Es improbable que ocurra el

Consecuencia Valor

Insignificante 10

Moderada 20

Grave 30Cuando la consecuencia tiene un

efecto muy importante, afecta a la

Descripción

Cuando la consecuencia no e Cuando la consecuencia es relativamente importante

Calificación de riesgos

Alta 30 60 903

Importante Inaceptable

Media 20 40 60

2

Baja 10 20 30

1

Bajo (10) Moderado Alto (30)Impacto

Moderado

Aceptable Moderado Importante

Insignificante Aceptable Moderado

Prob

abili

dad

Evaluación de control interno

|

Control Interno: Comprende el proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñados con el objeto de proporcionar un grado de seguridad razonable en el logro de los objetivos

CONTROL INTERNO

PROCESO

EFECTUADO POR PERSONAS

PROPORCIONA SEGURIDAD RAZONABLE

MAXIMA AUTORIDAD

GERENCIA

EMPLEADOS

COMITES

AUDITORIAS Gobierno Corporativo

Control interno

RES

PO

NSA

BIL

IDA

DES

Objetivos de control interno

OPERATIVOS: Eficiencia y eficacia de las operaciones

FINANCIEROS: Fiabilidad de la información financiera

CUMPLIMIENTO: Cumplimiento de leyes, normas aplicables, contratos

Componentes del control interno

Monitoreo

Actividades de control

Evaluación de riesgos

Ambiente de control

Ambiente de control Refleja la actitud y acciones de los directores y gerencia con relación a la importancia del control dentro de la organización. Es la base de los demás componentes aportando disciplina y estructura

Integridad y valores éticos

Compromiso de competencia profesional

Consejo de administración

Filosofía de dirección y estilo de gestión

Estructura organizativa

Asignación de autoridad y responsabilidad

Evaluación de riesgos La evaluación de riesgos identifica y analiza los riesgos externos e internos que afectan el logro de los objetivos al nivel de la actividad, así como a nivel de entidad

Cambios en el ambiente operativo

Nuevas personas, Reestructuraciones corporativas

Cambios en los sistemas de información

Nuevas tecnologías

Nuevas líneas de negocio, crecimiento rápido

Actividades de control Son las actividades y procedimientos que ayudan a asegurar que se llevan a cabo las instrucciones de la dirección. Ayudan a asegurar que se tomen las medidas necesarias para controlar los riesgos relacionados con la consecución de los objetivos de la entidad

Verificaciones y conciliaciones

Controles físicos

Separación de funciones

Indicadores de rendimiento

Control presupuestario

Procesamiento de información

Información: Conjunto de datos apropiadamente organizados (veraz, oportuna, integra, relevante y accesible) La información relevante debe ser identificada, capturada, y comunicada en forma oportuna y apropiada. Los sistemas de información generan informes que posibilitan la dirección y el control del negocio. Comunicación: Flujo de información a través de la organización

Emisor Lenguaje Medio Receptor

Debe asegurarse de que el mensaje fue recibido y comprendido

• Lenguaje formal • Lenguaje informal • Jerga profesional, • Expresión Idiomática

• Unidireccional • Reuniones

multitudinarias • Comunicaciones por

escrito

Debe asegurarse de su comprensión del mensaje.

Interrelación entre información, comunicación. Para tener éxito, es necesario: Contar con la información apropiada, Comunicarla a quien debe tomar acción, Decidir apropiadamente, Comunicar la decisión y Ejecutarla correctamente

Monitoreo: Es un proceso que evalúa la calidad del desempeño del sistema. Consiste en actividades continuas incorporadas en operaciones normales, para asegurar que continúan siendo realizadas efectivamente. Ejemplos. Controles regulares efectuados por la dirección, así como determinadas tareas que realiza el personal en el cumplimiento de sus funciones, auditorias internas y externas. El monitoreo también involucra evaluaciones puntuales. La dimensión de esta forma de monitoreo depende de la efectividad del monitoreo continuo y de la evaluación de riesgos. La evaluación puntual puede consistir en auto evaluación de control, o evaluaciones formales por auditores internos o externos. Leyes y regulaciones pueden requerir que una evaluación externa de control interno sea realizada periódicamente.

Limitaciones del control interno

El control interno no garantiza el éxito de una entidad. Sólo puede “ayudar” a la

consecución de los objetivos básicos empresariales El control interno no asegura la fiabilidad de la información financiera y el

cumplimiento de las leyes y normas aplicables. Sólo puede dar “seguridad razonable”, no absoluta, en cuanto a la consecución de estos objetivos.

Existen factores que podrían reducir o eliminar la efectividad de un sistema de control interno (colusión entre empleados, gerentes/ directores que eluden el sistema, restricción de recursos)

El costo de un efectivo control interno no debe exceder los beneficios esperados de él.

Antes de que puedan evaluarse los controles, la dirección debe determinar el nivel de riesgo que desea asumir en el área a ser revisada. Los auditores internos deben identificar cuál es ese nivel de riesgo. Esta identificación debe hacerse en términos de reducción del impacto potencial de las amenazas clave para el logro de los objetivos principales en el área bajo revisión. Si la dirección no ha identificado los riesgos clave y el nivel de riesgo que desea asumir, auditoría interna puede ayudarle mediante la facilitación de talleres de identificación de riesgo u otras técnicas utilizadas por la organización. Una vez que se ha determinado el nivel de riesgo, podrán evaluarse los controles que existen, con el fin de determinar sus expectativas de éxito en la reducción de los riesgos hasta el nivel deseado.

Norma 2200 Planificación del trabajo Los auditores internos deben elaborar y registrar un plan para cada trabajo, que incluya el alcance, los objetivos, el tiempo y la asignación de recursos. Norma 2201 Consideraciones sobre planificación Al planificar el trabajo, los auditores internos deben considerar: Los objetivos de la actividad que está siendo revisada y los medios con los cuales la

actividad controla su desempeño. Los riesgos significativos de la actividad, sus objetivos, recursos y operaciones, y los

medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable. La adecuación y eficacia de los sistemas de gestión de riesgos y control de la actividad

comparados con un cuadro o modelo de control relevante. Las oportunidades de introducir mejoras significativas en los sistemas de gestión de

riesgos y control de la actividad.

Norma 2201.A1 Cuando se planifica un trabajo para partes ajenas a la organización, los auditores internos deben establecer un acuerdo escrito con ellas respecto de los objetivos, el alcance, las responsabilidades correspondientes y otras expectativas, incluyendo las restricciones a la distribución de los resultados del trabajo y el acceso a los registros del mismo. Norma 2201.C1 Los auditores internos deben establecer un entendimiento con los clientes de trabajos de consultoría, referido a objetivos, alcance, responsabilidades respectivas, y demás expectativas de los clientes. En el caso de trabajos significativos, este entendimiento debe estar documentado.

Objetivos del trabajo

Norma 2210 Objetivos del trabajo Deben establecerse objetivos para cada trabajo. Norma 2210.A1 Los auditores internos deben realizar una evaluación preliminar de los riesgos pertinentes a la actividad bajo revisión. Los objetivos del trabajo deben reflejar los resultados de esta evaluación. Norma 2210.A2 - El auditor interno debe considerar la probabilidad de errores, irregularidades, incumplimientos y otras exposiciones materiales al desarrollar los objetivos del trabajo. Norma 2210.C1 Los objetivos de los trabajos de consultoría deben considerar los procesos de riesgo, control y gobierno, hasta el grado de extensión acordado con el cliente.

Los objetivos del trabajo son declaraciones amplias desarrolladas por los auditores internos que definen los logros que se pretenden conseguir en el trabajo. Los procedimientos de trabajo son los medios para conseguir los objetivos del trabajo. Los objetivos y procedimientos de trabajo, considerados en conjunto, definen el ámbito del trabajo del auditor interno. Los objetivos y procedimientos de trabajo deben contemplar los riesgos asociados con las actividades que se están revisando. Los auditores internos deben realizar una evaluación preliminar de los riesgos pertinentes a la actividad bajo revisión. Los objetivos del trabajo deben reflejar los resultados de esta evaluación. Cuando corresponda, debe realizarse un relevamiento para familiarizarse con las actividades, riesgos y controles, para identificar las áreas en las que se deberá poner más énfasis en el trabajo y para lograr comentarios y sugerencias de parte de los auditados.

Relevamiento

Un relevamiento es un proceso para reunir información, sin una verificación detallada, sobre la actividad que se examina. Sus principales propósitos son: Comprender la actividad bajo revisión. Identificar áreas significativas que precisen un énfasis especial. Obtener información para utilizar al realizar el trabajo. Determinar si es necesario profundizar en la auditoría.

Procedimientos para realizar un relevamiento: Entrevistas con las personas implicadas en la actividad, por ejemplo, usuarios de los

resultados de la actividad. Observaciones in situ . Revisión de informes y estudios de la dirección. Procedimientos de auditoría analíticos. Diagramas de flujo. Pruebas de cumplimiento por funciones walk-through (pruebas de actividades de

trabajo específicas, desde el principio hasta el final). Documentación de actividades de control clave.

Gestión de Riesgos Asistir a la organización mediante la identificación y evaluación de las exposiciones

significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control.

Supervisar y evaluar la eficacia del sistema de gestión de riesgos de la organización. La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a

gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente:

Confiabilidad e integridad de la información financiera y operativa, Eficacia y eficiencia de las operaciones, Protección de activos, y Cumplimiento de leyes, regulaciones y contratos.

Objetivos de la actividad de auditoria interna

Control Asistir a la organización en el mantenimiento de controles efectivos, mediante la

evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora continua. evaluar la adecuación y eficacia de los controles que comprenden el gobierno, las

operaciones y los sistemas de información de la organización. Esto debe incluir lo siguiente:

Confiabilidad e integridad de la información financiera y operativa, Eficacia y eficiencia de las operaciones, Protección de activos, y Cumplimiento de leyes, regulaciones y contratos.

Gobierno evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en

el cumplimiento de los siguientes objetivos: Promover la ética y los valores apropiados dentro de la organización. Asegurar la gestión y responsabilidad eficaces en el desempeño de la institución. Comunicar eficazmente la información de riesgo y control a las áreas adecuadas de

la institución. Coordinar eficazmente las actividades y la información de comunicación entre el

Comité de auditoría / máxima autoridad, los auditores internos y externos y la dirección.

Evaluar el diseño, implantación y eficacia de los objetivos, programas y actividades de la

institución relacionados con la ética.

Alcance del trabajo

Norma 2220 Alcance del trabajo El alcance establecido debe ser suficiente para satisfacer los objetivos del trabajo. Norma 2220.A1 El alcance del trabajo debe tener en cuenta los sistemas, registros, personal y propiedades físicas relevantes, incluso aquellos bajo el control de terceros. Norma 2220.A2 Si durante la realización de un trabajo de aseguramiento surgen oportunidades de realizar trabajos de consultoría significativos, deberá lograrse un acuerdo escrito específico en cuanto a los objetivos, alcance, responsabilidades respectivas y otras expectativas. Los resultados del trabajo de consultoría deben ser comunicados de acuerdo con las normas de consultoría Norma 2220.C1 Al desempeñar trabajos de consultoría, los auditores internos deben asegurar que el alcance del trabajo sea suficiente para cumplir los objetivos acordados. Si los auditores internos encontraran restricciones al alcance durante el trabajo, estas restricciones deberán tratarse con el cliente para determinar si se continúa con el trabajo.

Asignación de recursos para el trabajo

Norma 2230 Asignación de recursos para el trabajo Los auditores internos deben determinar los recursos adecuados para lograr los objetivos del trabajo. El personal debe estar basado en una evaluación de la naturaleza y complejidad de cada tarea, las restricciones de tiempo y los recursos disponibles. Al determinar los recursos necesarios para realizar un trabajo, es importante tener en cuenta: La cantidad y el nivel de experiencia del personal de auditoría interna debe basarse en

una evaluación de la naturaleza y complejidad del trabajo asignado, de las limitaciones de

tiempo y de los recursos disponibles. Los conocimientos, técnicas y competencias del personal de auditoría interna al

seleccionar a los auditores internos para el trabajo a realizar. Las necesidades de formación de los auditores internos, ya que cada trabajo a realizar

sirve como base para conseguir las necesidades de desarrollo de la actividad de auditoría interna.

Considerar la utilización de recursos externos en aquellos casos en que se necesiten conocimientos, técnicas y otras competencias adicionales

Programa de trabajo

Norma 2240 Programa de trabajo Los auditores internos deben preparar programas que cumplan con los objetivos del trabajo. Estos programas de trabajo deben estar registrados. Norma 2240.A1 - Los programas de trabajo deben establecer los procedimientos para identificar, analizar, evaluar y registrar información durante la tarea. El programa de trabajo debe ser aprobado con anterioridad a su implantación y cualquier ajuste ha de ser aprobado oportunamente. Norma 2240.C1 Los programas de trabajo de los servicios de consultoría pueden variar en forma y contenido dependiendo de la naturaleza del trabajo. Son procedimientos de trabajo, incluyendo las técnicas de prueba y muestreo, deben ser seleccionados previamente, cuando sea posible, y aplicados o modificados de acuerdo con las circunstancias. El proceso de obtención, análisis, interpretación y documentación de la información debe ser supervisado para proporcionar una seguridad razonable de que se mantiene la objetividad del auditor y se alcanzan los objetivos del trabajo.

Fecha de Inicio: ……/……./…….

Fecha de finalización: ……/……/…….

1 Plazo: …….. días

1

2

1

2

PRESUPUESTO

Recursos Perfil Horas

1 Nombre y Apellido del auditor Supervisor

2 Nombre y Apellido del auditor Auditor Senior

3

A

B

C

D

E

#

ALCANCE

DETALLE DE PRUEBAS A SER REALIZADAS

OBJETIVOS DE TRABAJO

Dpto: Recursos Humanos

Responsable: ……………………

Proceso: Comisiones , Horas Extras y vacaciones

Seleccionar una muestra de 25 empleados que han recibido el pago por la realización de horario extraordinario y

verificar: 1) Que exista un documento (memo, mail, planilla estandarizada, etc.) donde se pueda evidenciar la solicitud

por parte de su superior inmediato para la realización de horas extras 2) el detalle de las horas extraordinarias

realizadas y la firma del jefe o gerente 3) Que el horario no haya superado los límites establecidos por el código laboral.

Solicitar la planilla y los documentos de respaldo para el cálculo de comisiones. Realizar el cálculo para el pago, según

los criterios definidos en la política de comisiones y validar los montos de la planilla de RRHH.

Verificar que las planillas de comisiones estén autorizadas por el gerente de área o un designado.

Verificar que el beneficiario de la comisión se haya incluido dentro del pago del salario y se haya aportado IPS

Verificar la ejecución de las vacaciones causadas y realizar un cálculo del pasivo generado por las vacaciones

acumuladas

Ref.

Determinar el cumplimiento de las disposiciones legales relacionadas con el horario extraordinario y los descansos

legales (vacaciones)

Evaluar los controles sobre el proceso de pago de horas extras y comisiones.

Pagos de comisiones y horas extras de los meses de enero, junio y octubre

Vacaciones causadas y pendientes acumuladas al periodo 2013.

Hecho por

Norma 2300 Desempeño del trabajo Los auditores internos deben identificar, analizar, evaluar y registrar suficiente información de manera tal que les permita cumplir con los objetivos del trabajo. El auditor interno debe investigar los temas antes de comenzar los trabajos de auditoría y solicitar asesoramiento al asesor legal interno si existieran dudas o preocupaciones al respecto. Es importante que el auditor interno comprenda y cumpla con todas las leyes referidas al uso de información, especialmente la información personal. El auditor interno debe entender que puede ser inapropiado, y en algunos casos ilegal, acceder, recuperar, revisar, manipular o utilizar información personal al realizar ciertos trabajos de auditoría interna.

Identificación de la información

Norma 2310 Identificación de la información Los auditores internos deben identificar información suficiente, confiable, relevante y útil de manera tal que les permita alcanzar los objetivos del trabajo. Debe obtenerse información sobre todos los aspectos relacionados con los objetivos y el alcance del trabajo. La información debe ser suficiente, competente, relevante y útil para proporcionar una base sólida a las observaciones y recomendaciones del trabajo. Información suficiente quiere decir que es real, adecuada y convincente, de modo tal que una persona prudente e informada pueda llegar a las mismas conclusiones que el auditor. El criterio de suficiencia se define explícitamente en términos objetivos. Ej., se mejora la objetividad, cuando se escogen ejemplos usando métodos estadísticos estándar. La diferencia en el riesgo determina la calidad y cantidad de información EJ., si la información tiene el grado de convencimiento necesario según las circunstancias. De esta forma, el convencimiento debe ser mayor en una investigación de fraude de un gerente ejecutivo, que en una auditoría que involucra la caja chica.

Información competente significa información confiable y la mejor que puede conseguirse con el uso apropiado de las técnicas de trabajo. La información es confiable, cuando los resultados del auditor interno pueden ser verificados por otros. La información confiable también es válida. Representa en forma precisa el fenómeno observado. La información es más confiable si es: Obtenida de fuentes independientes del cliente auditado, tales como confirmaciones de

cuentas por cobrar. Corroborada por otra información. Directa, tal como observación personal del auditor interno, en vez de indirecta, tal como

rumores. Un documento original, no una copia.

Información relevante es la que sirve de soporte a las observaciones y recomendaciones y es coherente con los objetivos del trabajo. La información relevante tiene una relación lógica hacia lo que pretende probar. Por ejemplo, la revisión de comprobantes de los asientos del diario, no soporta la afirmación de integridad relativa a transacciones reportadas. En vez de esto, el rastrear las transacciones contra el registro contable proporcionaría información relevante. Información útil es aquella que ayuda a la organización a lograr sus metas.

Fuentes de Información Se refiere a como se originó y quién tiene acceso a ella. La confiabilidad de la información es mayor cuando viene de fuentes independientes del auditado. La información interna se origina y permanece con el cliente auditado. Ej. Los registros de nómina, debido a que son generados inicialmente por el auditado y procesados subsecuentemente y retenidos por el auditado. Al no participar partes externas, se disminuye la credibilidad de la información interna. La información interna-externa se origina con el auditado, pero también es procesada por una parte externa. Un ejemplo son los cheques pagados por el banco. Estos documentos son creados por el auditado, pero luego circulan a través del sistema bancario. La aceptación por parte del banco de un cheque, brinda información de su validez. Por tanto, que la información interna-externa, es más confiable que la información puramente interna.

La información externa-interna es creada por una parte externa, pero es procesada subsecuentemente por el auditado. Tal información tiene una mayor validez que la información originada por el auditado, pero su valor es disminuido debido a la oportunidad que tiene el auditado de alterarla o destruirla. Ej. Las facturas del proveedor La información externa es creada por una parte independiente y transmitida directamente al auditor interno. Ejemplos comunes son las confirmaciones de cuentas por cobrar enviadas en respuesta a los requerimientos del auditor interno. Ordinariamente la información externa es considerada como la más confiable, debido a que no ha sido expuesta a una posible contaminación por parte del cliente auditado.

Naturaleza de la Información La información puede consistir en documentación autorizada, cálculos del auditor interno, control interno, interrelaciones entre los datos, existencia física, eventos subsecuentes, registros subsidiarios y testimonios del cliente auditado y de terceras partes. Características de la información: La información física. La información testimonial La información documental La información analítica

(Sawyer, en Internal Auditing, 4ª Edición (1996) páginas 307-308)

La información física consiste en las observaciones directas del auditor interno, y la inspección de gente, propiedades o actividades; por ejemplo, del conteo del inventario. Las Fotografías, mapas, gráficas, diagramas, etc; pueden proporcionar información física precisa. Cuando la observación física es la única información acerca de una condición significativa, al menos dos auditores internos debieran verla. La información testimonial consta de aseveraciones escritas o habladas del personal del auditado y otros, en respuesta a encuestas o preguntas de entrevista. La información testimonial puede no ser concluyente y debiera estar soportada por otras formas de información, cuando sea posible

La información documental Es el tipo más común de información reunida por los auditores internos (cheques, facturas, registros de embarque, reportes de recibo y órdenes de compra. La información documental puede ser externa (respuestas a las solicitudes de confirmación, facturas de proveedores, e información pública ) o interna ( registros de contabilidad, los reportes de recibo y las órdenes de compra) La información analítica es extraída al considerar las interrelaciones entre los datos, o en el caso del control interno, de las políticas y procedimientos particulares de que está compuesta. El análisis produce información circunstancial, en la forma de inferencias o conclusiones, basadas en el examen de los componentes como un todo, buscando consistencias, inconsistencias, relaciones de causa-efecto, puntos relevantes e irrelevantes, etc.

Grado de Persuasión de la información Durante este proceso de recolección de información, el auditor interno puede determinar qué información particular justifica la confianza total, confianza parcial, o ninguna confianza. Un auditor interno confía totalmente en la información, cuando no se requiere corroboración adicional. Por lo general la información obtenida merece únicamente una confianza parcial y debe por lo tanto, ser corroborada. Por ejemplo, la información testimonial obtenida al entrevistar al personal auditado, ordinariamente debiera ser complementada con los resultados de pruebas detalladas y procedimientos analíticos. De esta forma, el auditor interno debe determinar que los controles del cliente auditado, para la generación, procesamiento y mantenimiento de tal información, están diseñados adecuadamente, existen y operan efectivamente.

Las circunstancias pueden dictar que el auditor interno dé poca o ninguna confianza a cierta información. Sin embargo, dicha información puede ser útil para indicar la dirección de la auditoria o sugerir otras fuentes de información. Aspectos determinantes de persuasión de diferentes tipos de información, (Ratliff, Internal Auditing

Principles and Techniques , 2ª Edición (1996) pág 154)

FUERTE DÉBIL

Objetiva Subjetiva

Documentos Opiniones

Opiniones expertas o Informadas Opiniones con información pobre

Directa Indirecta

De sistemas con buen control interno De sistemas con un control interno pobre

Independiente de las operaciones del auditado Preparado por el auditado

Muestras estadísticas (usualmente) Muestras no estadísticas (usualmente)

Corroborada No corroborada

De registros preparados oportunamente De registros preparados después de cierto tiempo

La palabra evidencia es usada estrictamente en el contexto legal, mientras que información es el respaldo para las observaciones, conclusiones y recomendaciones del auditor interno. tipos de evidencia Evidencia primaria Evidencia secundaria Evidencia directa Evidencia circunstancial La evidencia conclusiva Evidencia corroborativa Evidencia de opinión Evidencia de rumor

Evidencia

Evidencia primaria: Constituye el método más satisfactorio y confiable . Es la evidencia documental (documento original) Evidencia secundaria: Es menos confiable que la evidencia primaria, porque puede consistir en copias de documentos originales o evidencia verbal con respecto a su contenido. Sin embargo, las copias pueden ser admisibles cuando los originales: Se han perdido o destruido. No pueden ser obtenidos por medios legales u otros medios razonables. Están dentro del control de una entidad pública.

Las copias son preferibles que los resúmenes escritos o los testimonios verbales acerca de los escritos originales

Evidencia directa: Es prueba sin suposición o interferencia. Algunos ejemplos son los documentos originales y el testimonio, acerca de lo que un testigo por sí mismo hizo, vio o escuchó. Evidencia circunstancial: Es la evidencia indirecta, porque proporciona hechos intermedios a partir de los cuales puede ser deducido un hecho primario que es material para la cuestión en disputa. Por ejemplo, una alteración a un dato de la contabilidad en línea con acceso protegido por un password, constituye evidencia circunstancial de que una persona autorizada fue la responsable. Sin embargo, esta inferencia puede ser errónea, si una persona no autorizada ha podido obtener el password necesario. Evidencia conclusiva: Permite una conclusión razonable y no necesita una corroboración adicional. Evidencia corroborativa: Respalda a otra evidencia. Por ejemplo, el testimonio de un segundo testigo ocular de un evento, puede fortalecer y confirmar la explicación del primer testigo.

Evidencia de opinión: Usualmente se excluye, debido a su efecto potencialmente perjudicial. A los testigos ordinariamente se les permite testificar exclusivamente de cuestiones objetivas, dentro de su experiencia directa. Se hace una excepción para la opinión de expertos, esto está permitido cuando éste Se refiere a cuestiones que van más allá del conocimiento de gente no experta y ayudará en el proceso de comprobar la verdad. Evidencia de rumor: El rumor normalmente es inadmisible, debido a que no puede ser probado en un examen cruzado. Por ejemplo, si el empleado A declara que el empleado B dijo que vio al empleado C robar de la caja chica, La declaración del empleado A, si se ofrece para probar que el empleado C robó de la caja chica, es rumor.

Norma 2320 Análisis y Evaluación Los auditores internos deben basar sus conclusiones y los resultados del trabajo en adecuados análisis y evaluaciones. La entrevista Recalcular datos cuantitativos. La prueba detallada, La observación y la inspección Escudriñar. Muestreo estadístico Las solicitudes de confirmación Procedimientos analíticos

Procedimientos de auditoría

La entrevista Es una forma de reunir información testimonial. Es una habilidad vital, es especialmente útil para obtener y entender las operaciones del auditado, debido a la oportunidad de hacer exámenes cruzados, esto es, la oportunidad de hacer preguntas para clarificar las respuestas precedentes, o para buscar información adicional. La información recogida a través de entrevistas puede por tanto, ayudar al cliente auditado a entender porqué han ocurrido condiciones fuera de lo común. Un entrevistador efectivo, evita sesgar la información obtenida. De esta forma, evita preguntas que sugieran la respuesta deseada. Los resultados deben ser registrados pronta y exactamente, para proveer documentación. Debido a la poca confiabilidad de la información testimonial, ésta debe ser corroborada cuando sea posible. Sin embargo, la información testimonial proporcionada por una tercera parte independiente, puede ser suficiente en ocasiones.

Recalcular datos cuantitativos Es una forma de reunir información que es confiable pero de valor limitado. Un cálculo hecho directamente por el auditor interno, proporciona información fuerte y no sesgada en cuanto a exactitud. Una limitación del recalculo, es que no proporciona información acerca de la confiabilidad de la entrada. Por ejemplo, recalcular el ingreso por intereses puede ser de poca utilidad, si es poco probable que sean cobradas las cuentas por cobrar que lo respaldan. La prueba detallada Involucra el examen de documentos creados de acuerdo con las actividades y transacciones que están siendo revisadas. Son pruebas de detalle Revisión de comprobantes Rastreo.

Revisión de comprobantes: Implica la verificación de cantidades registradas al examinar los documentos de respaldo. El objetivo de la auditoría de trabajar hacia atrás, es proporcionar información de que las

cantidades registradas reflejan transacciones válidas. La revisión de comprobantes, soporta la existencia o afirmación de ocurrencias. La revisión de comprobantes es irrelevante a la afirmación de integridad. Que algunas transacciones fueran registradas, no prueba que todas las transacciones fueron registradas. Rastreo: Implica seguir las transacciones hacia delante a través de los registros, desde documentos originales hasta el resumen final de cifras. De esta forma, la dirección de la prueba es la opuesta a la de la revisión de comprobantes. El objetivo de la auditoría al rastrear es soportar la afirmación de integridad.

La observación y la inspección Son procedimientos que involucran el examen de información física por el auditor interno. El término observación comúnmente se aplica al examen de actividades por el auditor interno, por ejemplo, la realización de los procedimientos de control. El término inspección usualmente se refiere al examen físico de activos fijos, por ejemplo, maquinaria. Una de las virtudes de la observación y de la inspección, es que la información resultante consiste en la experiencia directa del auditor interno y en ese punto es altamente confiable. No obstante son procedimientos de utilidad limitada, por ejemplo, la experiencia del observador o inspector puede ser insuficiente para producir información confiable. Tampoco establecen si el auditado tiene derecho de propiedad sobre lo que se observa o inspecciona, o si otras partes pueden tener derecho sobre tales activos.

Escudriñar Es un procedimiento que implica la búsqueda de excepciones obvias en una cantidad grande de datos. Por ejemplo, el escudriñar fácilmente detecta saldos deudores en cuentas por pagar, o saldos acreedores en cuentas de caja. Muestreo estadístico Permiten al auditor interno hacer una valoración cuantitativa de qué tan cerca las muestras representan a la población, en un nivel dado de confiabilidad. Las solicitudes de confirmación Las solicitudes de confirmación son usadas comúnmente, para probar las cuentas por cobrar. También se envían a instituciones financieras, para confirmar depósitos específicos y pasivos directos sobre préstamos. Son remitidas por el auditor a entidades externas, y las respuestas regresan directamente al auditor. Por consiguiente constituyen información puramente externa.

Procedimientos analíticos Los procedimientos de auditoría analíticos proporcionan a los auditores internos

medios eficientes y eficaces para evaluar y valorar la información obtenida durante

un trabajo. La evaluación tiene lugar comparando dicha información con las

expectativas identificadas o desarrolladas por el auditor interno.

Los procedimientos de auditoría analíticos son útiles para identificar, entre otras

cosas:

Diferencias no esperadas.

Ausencia de diferencias cuando eran de esperar.

Errores potenciales.

Irregularidades o actos ilegales potenciales.

Otros hechos o transacciones no habituales o no recurrentes.

Algunos procedimientos de auditoría analíticos La comparación de información del período actual con información similar de períodos anteriores. La comparación de información del período actual con los presupuestos o previsiones. El estudio de las relaciones entre la información financiera con la adecuada información no financiera (por ejemplo, gastos de nómina comparados con los cambios en la cantidad promedio de empleados). El estudio de las relaciones entre elementos de información (por ejemplo, las fluctuaciones en los costos de intereses registrados comparadas con los cambios en los saldos de deuda correspondientes). La comparación de información con información similar de otras unidades de la organización. La comparación de información con información similar del sector en el que opera la organización.

Papeles de trabajo

Norma 2330 Registro de la Información Los auditores internos deben registrar información relevante que les permita soportar las conclusiones y los resultados del trabajo. Los papeles de trabajo: Documentan el trabajo, deben ser preparados por el auditor interno y revisados por la

dirección de auditoría interna y registran la información obtenida, los análisis efectuados, y sirven de base para las observaciones y recomendaciones que se efectúen.

Proporcionan el soporte principal de las comunicaciones del trabajo. Ayudan en la planificación, ejecución y revisión de los trabajos. Documentan si los objetivos del trabajo se han alcanzado y facilitan las revisiones por

terceros. Suministran una base para la evaluación de calidad de la actividad de auditoría interna. Proporcionan un apoyo en circunstancias tales como reclamaciones de seguros, casos de

fraude y litigios judiciales. Ayudan al desarrollo profesional del personal de auditoría interna. Demuestran el cumplimiento de las Normas Internacionales para el Ejercicio Profesional

de la Auditoría Interna, por la actividad de auditoría interna.

Entre otras cosas, los papeles de trabajo pueden incluir: Documentos de la planificación y programas de trabajo. Cuestionarios de control, diagramas de flujo, listas de verificación y descripciones

narrativas. Notas y memorandos de las entrevistas. Datos de la organización, tales como organigramas y descripciones de puestos de trabajo. Copias de contratos y acuerdos importantes. Información sobre las políticas financieras y operativas. Resultados de las evaluaciones de los controles. Cartas de confirmación y representación. Análisis y pruebas de transacciones, procesos y saldos contables. Resultados de los procedimientos de auditoría analíticos. Las comunicaciones finales del trabajo y las respuestas de la dirección. La correspondencia referida al trabajo si la misma documenta las conclusiones alcanzadas.

Los papeles de trabajo pueden estar en forma de papel, cintas, discos, disquetes, películas u otros medios. Técnicas de preparación de papeles de trabajo: Cada papel de trabajo debe identificar el trabajo y describir los contenidos o propósito del

papel de trabajo. Cada papel de trabajo debe estar firmado (o contener las iniciales) y fechado por el

auditor interno que realizó el trabajo. Cada papel de trabajo debe tener un índice o número de referencia. Los símbolos (marcas) de las verificaciones de auditoría deben estar explicados. Las fuentes de los datos deben estar claramente identificadas.

Custodia y acceso a los papeles de trabajo

Norma 2330.A1 El director ejecutivo de auditoría debe controlar el acceso a los registros del trabajo. El director ejecutivo de auditoría debe obtener aprobación de la dirección superior o de consejeros legales antes de dar a conocer tales registros a terceros, según corresponda. Los papeles de trabajo son propiedad de la institución y deben ser accesibles sólo a las personas autorizadas. La dirección y otros miembros de la institución pueden solicitar el acceso a los papeles de trabajo. Dicho acceso puede ser necesario para justificar o explicar las observaciones y recomendaciones o para utilizar dicha documentación para otros objetivos de la institución. El director de auditoría debe aprobar estas peticiones. Es una práctica común entre los auditores internos y los auditores externos permitir el acceso mutuo a sus respectivos papeles de trabajo. El acceso de los auditores externos a los papeles de trabajo debe ser aprobado por el director de auditoría.

Norma 2330.A2 El director ejecutivo de auditoría debe establecer requisitos de custodia para los registros del trabajo. Estos requisitos de retención deben ser consistentes con las guías de la institución y cualquier regulación pertinente u otros requerimientos. Norma 2330.C1 El director ejecutivo de auditoría debe establecer políticas sobre la custodia y retención de los registros del trabajo, y sobre la posibilidad de darlos a conocer a terceras partes, internas o externas. Estas políticas deben ser consistentes con las guías de la institución y cualquier regulación pertinente u otros requerimientos sobre este tema. Los papeles de trabajo son propiedad de la institución y deben ser accesibles sólo a las personas autorizadas. La dirección y otros miembros de la institución pueden solicitar el acceso a los papeles de trabajo para justificar o explicar las observaciones y recomendaciones o para utilizar dicha documentación para otros objetivos de la institución. El director de auditoría debe aprobar estas peticiones. Es una práctica común entre los auditores internos y los auditores externos permitir el acceso mutuo a sus respectivos papeles de trabajo. El acceso de los auditores externos a los papeles de trabajo debe ser aprobado por el director de auditoría.

Norma 2400 Comunicación de resultados Los auditores internos deben comunicar los resultados del trabajo. Norma 2410 Criterios para la comunicación Las comunicaciones deben incluir los objetivos y alcance del trabajo así como las conclusiones correspondientes, las recomendaciones, y los planes de acción. Norma 2410.A1 - La comunicación final de los resultados del trabajo debe incluir, si corresponde, la opinión general y/o conclusiones del auditor interno. Norma 2410.A2 Se alienta a los auditores internos a reconocer en las comunicaciones del trabajo cuando se observa un desempeño satisfactorio. Norma 2420 Calidad de la Comunicación Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas.

Norma 2421 Errores y Omisiones Si una comunicación final contiene un error u omisión significativos, el director de auditoría debe comunicar la información corregida a todas las partes que recibieron la comunicación original. Norma 2430 Declaración de Incumplimiento con las Normas Cuando el incumplimiento con las Normas afecta a una tarea específica, la comunicación de los resultados debe exponer: Las Normas con las cuales no se cumplió totalmente, Las razones del incumplimiento, y El impacto del incumplimiento en la tarea. Norma 2440 Difusión de Resultados El director de auditoría debe difundir los resultados a las partes apropiadas. Norma 2440.A1 El director de auditoría es responsable de comunicar los resultados finales a las partes que puedan asegurar que se dé a los resultados la debida consideración.

Norma 2440.A2 A menos de que exista obligación legal, estatutaria o de regulaciones en contrario, antes de enviar los resultados a partes ajenas a la organización, el director de auditoría debe: Evaluar el riesgo potencial para la organización. Consultar con la alta dirección y/o el consejero legal, según corresponda. Controlar la difusión, restringiendo la utilización de los resultados. Norma 2440.C1 El director de auditoría es responsable de comunicar los resultados finales de los trabajos de consultoría a los clientes. Norma 2440.C2 Durante los trabajos de consultoría pueden ser identificadas cuestiones referidas a gestión de riesgo, control y gobierno. En el caso de que estas cuestiones sean significativas, deberán ser comunicadas a la dirección superior y al Consejo.

El formato y contenido de las comunicaciones finales del trabajo pueden variar según la organización o el tipo de trabajo Las comunicaciones finales o Informes de auditoría interna, deben contener:

Propósito, alcance y resultados de trabajo. Antecedentes y resúmenes. Observaciones, conclusiones y recomendaciones de informes anteriores. Los resultados deben incluir observaciones, conclusiones, opiniones, recomendaciones y planes de acción.

Observaciones son exposiciones pertinentes de los hechos. Las que sean necesarias para apoyar las conclusiones y recomendaciones del auditor interno o para evitar equívocos derivados de éstas. Surgen de un proceso de comparación entre lo que debe ser y lo que es Atributos de las observaciones Criterios: Lo que debe ser. Realidad (condición): Lo que es. Causa: Por qué existe la diferencia Efecto: El impacto de la diferencia.

Conclusiones y opiniones: Son las evaluaciones que hace el auditor interno sobre los efectos de las observaciones y recomendaciones en la actividad revisada. Las conclusiones del trabajo, deben estar claramente identificadas como tal. Asimismo, pueden referirse a todo el ámbito del trabajo o sólo a aspectos determinados. Aunque no están limitadas a ellos, pueden abarcar aspectos tales como la determinación de si los objetivos y metas de programas y operaciones están en consonancia con los de la organización, si estos últimos se están cumpliendo y si la actividad revisada funciona como se pretende. Una opinión puede incluir una evaluación general de controles o del área bajo revisión, o puede estar limitada a controles o aspectos del trabajo específicos. Los puntos de vista del cliente sobre las conclusiones o recomendaciones pueden ser incluidos en las comunicaciones del trabajo. Como parte de las conversaciones del auditor interno con el auditado, el auditor interno debe intentar conseguir el acuerdo sobre los resultados del trabajo y sobre un plan de acción para mejorar las operaciones, en la medida que sea necesario. Si ambos discrepan sobre los resultados del trabajo, las comunicaciones pueden exponer ambas posiciones y las razones del desacuerdo.

Cierta información puede no ser apropiada para ser comunicada a todos los receptores del informe, debido a su condición de confidencial o privada, o por referirse a actos impropios o ilegales. Sin embargo, esta información puede presentarse en un informe separado. Si los hechos de los que se informa implican a la alta dirección, el informe se debe distribuir al Consejo de la organización. Los informes intermedios pueden ser escritos o verbales y pueden ser transmitidos formal o informalmente. Se pueden utilizar para transmitir información que requiera atención inmediata, para comunicar un cambio en el alcance del trabajo que se está realizando, o para mantener informada a la dirección del avance del trabajo cuando éste se prolongue durante un dilatado período de tiempo. El uso de informes intermedios no reduce ni elimina la necesidad de un informe final. .

Norma 2500 Supervisión del Progreso El director de auditoría debe establecer y mantener un sistema para supervisar la disposición de los resultados comunicados a la dirección. Norma 2500.A1 - El director de auditoría debe establecer un proceso de seguimiento, para supervisar y asegurar que las acciones de la dirección hayan sido efectivamente implantadas o que la dirección superior ha aceptado el riesgo de no tomar acción. Norma 2500.C1 La actividad de auditoría interna debe supervisar la disposición de los resultados de los trabajos de consultoría, hasta el grado de alcance acordado con el cliente. El seguimiento se define como un proceso por el cual los auditores internos determinan la adecuación, eficacia y oportunidad de las medidas tomadas por la dirección con relación a las observaciones y recomendaciones del trabajo informadas, incluso aquellas efectuadas por los auditores externos y otros.

factores que deben tenerse en cuenta para determinar los procedimientos de seguimiento La significatividad de las observaciones y recomendaciones informadas. El grado de esfuerzo y de costo necesarios para corregir la situación informada. Los impactos que pudieran derivarse si la acción correctiva falla. La complejidad de la acción correctiva. El período involucrado. El director de auditoría debe establecer procedimientos que incluyan lo siguiente:

Un plazo dentro del cual se requiera la respuesta de la dirección a las observaciones y

recomendaciones del trabajo. Una evaluación de la respuesta de la dirección. Una verificación de la respuesta (si corresponde). Un trabajo de seguimiento (si corresponde). Un procedimiento de comunicación, a los niveles adecuados de dirección, que incida en

las respuestas o acciones insatisfactorias, incluyendo la asunción del riesgo.

Ciertas observaciones y recomendaciones informadas pueden ser tan significativas que requieran acción inmediata por parte de la dirección. Estas situaciones deben ser controladas por la actividad de auditoría interna hasta su corrección, debido al efecto que pueden tener sobre la organización. Algunas técnicas utilizadas para realizar una supervisión eficaz del progreso: Dirigir las observaciones y recomendaciones del trabajo a los niveles adecuados

responsables de llevar a cabo la acción correctiva. Recibir y evaluar las respuestas de la dirección a las observaciones y recomendaciones

del trabajo durante la realización del mismo o dentro de un período razonable después de comunicar los resultados del trabajo. Las respuestas son más útiles si incluyen la información suficiente que permita al director ejecutivo de auditoría evaluar la adecuación y oportunidad de la acción correctiva.

Recibir actualizaciones periódicas de parte de la dirección con el fin de evaluar los esfuerzos llevados a cabo para corregir las situaciones previamente comunicadas.

Informar a la alta dirección o al Consejo sobre la situación de las respuestas a las observaciones y recomendaciones del trabajo.

También puede haber casos en que el director ejecutivo de auditoría juzgue que la respuesta oral o escrita de la dirección muestre que la medida ya tomada es suficiente con relación a la importancia relativa de las observaciones o recomendaciones del trabajo. En tales ocasiones, el seguimiento puede realizarse como parte del siguiente trabajo. Los auditores internos deben determinar si las medidas tomadas sobre las observaciones y recomendaciones del trabajo solucionan los problemas de fondo.

Aceptación de los riesgos Norma 2600 Decisión de Aceptación de los Riesgos por la Dirección Cuando el director ejecutivo de auditoría considere que la alta dirección ha aceptado un nivel de riesgo residual que pueda ser inaceptable para la organización, debe discutir esta cuestión con la alta dirección. Si la decisión referida al riesgo residual no se resuelve, el director ejecutivo de auditoría y la alta dirección deben informar esta situación al Consejo para su resolución. La dirección es responsable de decidir las medidas adecuadas a adoptar en respuesta a las observaciones y recomendaciones del trabajo. El director de auditoría es responsable de evaluar tales medidas. La alta dirección puede decidir asumir el riesgo de no corregir la situación informada por razones de costo u otras consideraciones. La máxima autoridad debe ser informada de tales decisiones.

MODULO III · MODULO III DESEMPEÑO DEL AUDITOR INTERNO ADMINISTRACIÓN DE LA ACTIVIDAD DE...

Documents

Transcript of MODULO III · MODULO III DESEMPEÑO DEL AUDITOR INTERNO ADMINISTRACIÓN DE LA ACTIVIDAD DE...