Nunca se insistirá lo suficiente en el papel y la responsabilidad de la función de auditoría interna y en la participación del auditor interno en las actividades operativas de la organización. Las principales tareas operativas de la auditoría interna son las siguientes
Formular políticas y procedimientos para la planificación, organización, dirección y supervisión de las operaciones de auditoría interna
Después de la carta de auditoría, el manual de auditoría es el documento más importante para el departamento de auditoría interna. El manual de auditoría proporciona una guía a los miembros actuales y nuevos de la actividad de auditoría interna sobre los objetivos de la actividad y la forma en que se cumplirán estos objetivos. El Director de Auditoría es responsable de garantizar la creación y el mantenimiento de un manual de auditoría, de que se distribuya en toda la actividad de auditoría interna y de que se apliquen constantemente las políticas y los procedimientos que figuran en el manual de auditoría.
Función y responsabilidad de la función de auditoría interna Objetivo
El objetivo principal del manual de auditoría es:
- Guiar a los miembros de la actividad para apoyar el cumplimiento del Código de Ética y las normas profesionales de la profesión.
- Definir un alto nivel de expectativas de desempeño para el personal que permita que la actividad cumpla su función de apoyo a la gobernanza, la gestión de riesgos y los objetivos estratégicos de la organización.
- Centrar a los miembros de la actividad en los objetivos y valores clave. Por ejemplo, una actividad puede enfocarse en asegurar controles o agregar valor a la organización mediante el reconocimiento de momentos para una mayor eficiencia y calidad, o puede ponderar ambos roles por igual.
- Coordinar las funciones y responsabilidades dentro de la actividad y respecto de otros órganos internos y externos.
- Codifique los procesos críticos, como los pasos involucrados en la realización de diferentes tipos de compromisos y políticas, como la protección de la información confidencial, así como la comunicación y el seguimiento de los resultados del trabajo.
- Y, por último, proporcionar la base para evaluar el rendimiento de la actividad de auditoría interna.
Papel de la función de auditoría interna en el marco de la gestión de riesgos
Se espera que los auditores internos señalen y evalúen los riesgos importantes en el curso rutinario de sus funciones. El papel de la actividad de auditoría interna en el proceso de gestión de riesgos de una organización puede cambiar con el tiempo y puede encontrarse en algún momento a lo largo de un continuo que va desde:
- ningún papel
- auditar el proceso de gestión de riesgos como parte del plan de auditoría interna;
- proporcionar información y datos históricos sobre los eventos de riesgo identificados por las conclusiones de la auditoría interna;
- apoyo e implicación continuos en el proceso de gestión de riesgos, como la participación en los comités de supervisión, las actividades de seguimiento y los informes de situación; y
- gestionar y coordinar el proceso de gestión de riesgos.
La alta dirección y el consejo de administración determinan el papel que desempeñará la actividad de auditoría interna en el proceso de gestión de riesgos de la organización. En la mayoría de las organizaciones, los auditores internos desempeñan un papel clave en la evaluación de la eficacia de la gestión de riesgos empresariales y en la recomendación de mejoras.
Sin embargo, hay funciones que los auditores internos no pueden desempeñar en la gestión del riesgo empresarial. Los papeles son:
- Establecer el apetito por el riesgo
- Imposición de los procesos de gestión de riesgos
- Aseguramiento de la gestión de riesgos
- Toma de decisiones sobre las respuestas al riesgo
- Implementación de respuestas al riesgo en nombre de la gerencia
- Responsabilidad en la gestión de riesgos
Ofrecer garantías es la principal contribución de la actividad de auditoría interna a la gestión de riesgos. Por lo general, el auditor interno garantiza lo siguiente:
- Los procesos de gestión de riesgos, incluyendo su diseño y su funcionamiento;
- Gestión de los principales riesgos, incluida la eficacia de los controles y otras actividades; y
- Evaluación fiable y adecuada de los riesgos e información sobre el estado de los riesgos y los controles.
La prestación de garantías requiere que el auditor interno formule una opinión sobre si la metodología de gestión de riesgos de la organización es comprendida por los grupos o individuos clave que participan en el gobierno corporativo, incluidos el consejo y el comité de auditoría. El auditor interno también debe comprobar si los procesos de gestión de riesgos son suficientes para proteger los activos, la reputación y las operaciones en curso de la entidad. La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos.
Determinar si los procesos de gestión de riesgos son efectivos es un juicio que resulta de la evaluación del auditor interno de que:
- Los objetivos de la organización apoyan y se alinean con la misión de la organización;
- Se identifican y evalúan los riesgos significativos;
- Se seleccionan respuestas de riesgo apropiadas que alinean los riesgos con el apetito de riesgo de la organización; y
- La información relevante sobre los riesgos se captura y comunica con prontitud en toda la organización, lo que permite al personal, a la dirección y a la junta directiva llevar a cabo sus responsabilidades.
Los procesos de gestión de riesgos se observan a través de las actividades de gestión en curso, las evaluaciones independientes o ambas.
Los auditores a menudo deben desempeñar funciones consultivas. Las posibilidades de trabajos de consultoría incluyen:
- Informar a la dirección sobre las herramientas y técnicas de riesgo y control utilizadas por la actividad de auditoría interna y compartir dichas herramientas;
- Ser un defensor de la introducción de la gestión del riesgo empresarial en la organización y compartir la experiencia de la actividad de auditoría interna;
- Brindar asesoramiento, facilitar talleres y capacitar a la organización sobre riesgos y control;
- Actuar como punto central de coordinación, seguimiento e información sobre los riesgos.
- Apoyar a los gestores en su labor de identificar la mejor manera de mitigar el riesgo.
La medida en que la actividad de auditoría interna presta servicios de consultoría en materia de gestión de riesgos está en función de diversos factores, como:
- Disponibilidad de recursos,
- La madurez de riesgo de la organización, y
- La objetividad del auditor interno
Cuando la actividad de auditoría interna amplía sus servicios para incluir compromisos de consultoría, se deben establecer salvaguardias para preservar su independencia y objetividad. Debe quedar claro que la dirección sigue siendo la encargada de la gestión de riesgos.
Para preservar la integridad de la función de auditoría interna dentro del marco de gestión de riesgos de la organización, se recomienda que:
- Los auditores internos asesoran y cuestionan o apoyan las decisiones de la dirección sobre el riesgo, en lugar de tomar decisiones de gestión del riesgo, y
- La naturaleza de las responsabilidades de la auditoría interna debe estar documentada en la carta de auditoría y aprobada por el consejo.
Actividades administrativas directas del Departamento de Auditoría Interna
El director de auditoría es el principal responsable de las actividades administrativas de la función de auditoría interna, que incluyen
- Planificación. Incluye actividades como la elaboración de un plan de auditoría basado en el riesgo y la revisión de las necesidades de competencia del personal y la planificación de la contratación y el desarrollo.
- Organizando. Se trata de una actividad operativa que implica el diseño de estructuras y procesos destinados a alcanzar los objetivos de la actividad y las metas generales de eficiencia y eficacia. Esto puede incluir la asignación de auditores a trabajos específicos, la asignación de tiempo para actividades de trabajo separadas, incluida la planificación, el desarrollo, la implementación del programa de auditoría, la realización de trabajo de campo y la redacción de informes.
El director de auditoría puede desarrollar procesos para apoyar el trabajo de compromiso, como las reuniones de inicio o transición del compromiso y los procesos de revisión de los informes, los procesos para calificar y contratar a los proveedores de servicios externos, las estructuras para comunicar los diferentes tipos de información de la actividad, los procesos de supervisión destinados a mantener la calidad y el cumplimiento del presupuesto, y los canales para recopilar estos datos, como las hojas de tiempo.
- Dirigiendo. Esto incluye las numerosas tareas que conlleva la dirección de la actividad de auditoría interna. Hay que mantener la comunicación dentro de la organización y con los organismos externos. Hay que seleccionar a los proveedores de servicios de auditoría externa. Hay que entrevistar y contratar a una nueva plantilla. Deben aplicarse sistemas de gestión del rendimiento que incluyan evaluaciones al final de los compromisos y anualmente. La motivación puede mantenerse teniendo en cuenta los niveles de estrés del personal y ofreciendo tanto recompensas como oportunidades de desarrollo profesional.
- Controlando. El CAE es responsable en última instancia de garantizar que se sigan las políticas y los procedimientos, que la actividad cumpla sus objetivos estratégicos, que los presupuestos se supervisen y evalúen, y que el comité de auditoría, la alta dirección y los clientes del encargo estén satisfechos.
Tener una mezcla de experiencia y conocimientos
Como entidad, la actividad de auditoría interna debe «poseer u obtener» los conocimientos, habilidades y competencias necesarios. La explicación de la norma señala las certificaciones profesionales como indicación de competencia. Además, los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la eficacia de la gestión del mismo. Deben tener un conocimiento suficiente -no necesariamente experto- de los riesgos clave de la tecnología de la información, los controles y las técnicas de auditoría.
En consecuencia, los auditores internos contratados deben tener una mezcla de conocimientos y experiencia necesarios en su conjunto. Esto implica que el auditor interno no tiene que ser sólo un experto financiero. Un equipo de auditoría también puede estar formado por ingenieros, expertos en tecnología de la información y asesores jurídicos, entre otros.
Eficacia de los procesos de gestión de riesgos corporativos a la alta dirección y al Consejo
La evaluación de la adecuación de los procesos de gestión de riesgos implica que la responsabilidad de la gestión de los riesgos de la organización recae en la alta dirección y el consejo de administración. La auditoría interna puede ser llamada para apoyar a la alta dirección y al consejo en el cumplimiento de esta responsabilidad «examinando, evaluando, informando y/o recomendando mejoras en la adecuación y eficacia de los procesos de riesgo de la dirección». El director de auditoría discute el papel de la auditoría interna con la alta dirección y el consejo de administración, y el papel está codificado en la carta de auditoría.
A través de los compromisos planificados, la auditoría interna puede proporcionar una garantía a nivel macro mediante la evaluación del diseño y la implementación del proceso de gestión de riesgos de la organización. A nivel micro, proporcionarán garantías evaluando las afirmaciones de la dirección sobre la eficacia de la identificación y el tratamiento de los riesgos en distintas áreas de la organización.
La auditoría interna garantiza todo el proceso de gestión de riesgos mediante la investigación:
- El papel de la gestión de riesgos en la organización. ¿Dispone de un apoyo de gestión adecuado? ¿Se han previsto recursos suficientes para el proceso? ¿Es la gestión de riesgos parte del proceso de toma de decisiones, particularmente en los niveles más altos de la organización?
- El marco de gestión de riesgos y los criterios utilizados para evaluarlos. ¿Son el marco y los criterios apropiados para la estructura de la organización y el entorno externo?
- La capacidad de aplicar los procesos de gestión de riesgos. ¿Se han transmitido los objetivos y criterios de evaluación de los riesgos? ¿Están los empleados formados para sus funciones? ¿Los empleados son responsables de su parte en el proceso?
- Comunicación. ¿Permite el proceso retroalimentar los resultados de la gestión de riesgos en toda la organización? ¿Incluye el proceso sus prácticas de gestión de riesgos cuando se comunica con las partes interesadas externas? ¿El proceso es compatible con el cumplimiento de los requisitos de informes externos?
- Control e informes. ¿Se supervisan las actividades de identificación y tratamiento de riesgos y se informa de ellas regularmente a la alta dirección y al consejo de administración? ¿Se puede medir el proceso en sí mismo en función de los indicadores clave de rendimiento para que pueda mejorarse continuamente?
- Coherencia en la aplicación. ¿Las definiciones, los criterios y las actividades se llevan a cabo de manera coherente en toda la organización?
- Y la capacidad de respuesta al cambio. ¿Reconoce el proceso la necesidad de revalorizar el entorno de riesgo de la organización? ¿Se revalorizan los riesgos con una frecuencia adecuada a la actividad y al entorno de la organización?
Informe sobre la eficacia de los marcos de control interno y de gestión de riesgos
La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gobernanza, gestión de riesgos y control mediante un enfoque sistemático y disciplinado. Los criterios para que los procesos de gestión de riesgos sean eficaces son:
- Objetivos organizativos que apoyan y se alinean con la misión de la organización;
- Que se puedan identificar y evaluar los riesgos importantes;
- Que se seleccionen las respuestas adecuadas a los riesgos, que se ajusten a la propensión al riesgo de la organización; y
- La información relevante sobre los riesgos puede ser capturada y comunicada rápidamente en toda la organización, lo que permite al personal, a la gerencia y a la junta directiva llevar a cabo sus responsabilidades.
La actividad de auditoría interna debe:
- Evaluar las exposiciones al riesgo relacionadas con el gobierno, las operaciones y los sistemas de información de la organización;
- Evaluar el potencial de fraude y la gestión de los riesgos de fraude;
- Durante los encargos de consultoría, hay que abordar el riesgo de acuerdo con los objetivos del encargo, pero hay que estar atento a la existencia de otros riesgos importantes;
- Aplicar los conocimientos relativos a los riesgos de los compromisos de consultoría para evaluar los procesos de gestión de riesgos de la organización; y
- Abstenerse de asumir la responsabilidad de la dirección en la gestión del riesgo. Aunque durante los trabajos de consultoría, la auditoría interna puede comentar y recomendar mejoras a los procesos de gestión de riesgos, la responsabilidad de gestionar el riesgo organizacional pertenece únicamente a la dirección.
La actividad de auditoría interna debe ayudar a la organización a mantener controles eficaces mediante la evaluación de su efectividad y eficiencia y el fomento de la mejora continua. Al igual que con la responsabilidad de evaluar la exposición al riesgo, la auditoría interna también debe aplicar los conocimientos relativos a la adecuación de los controles de los compromisos de consultoría a la evaluación de la eficacia de los procesos de control de la organización.
Programa eficaz de garantía y mejora de la calidad
Las organizaciones están en continuo cambio. Las operaciones se perfeccionan y los procesos internos cambian y evolucionan. A medida que una organización cambia, los servicios de auditoría deben mantenerse actualizados. ¿Cómo puede el auditor interno cumplir los requisitos de gestión de los servicios de auditoría, siempre cambiantes, y seguir garantizando que los resultados de la actividad de auditoría sean de la máxima calidad? La función de auditoría interna debe contar con un programa de garantía y mejora de la calidad (QAIP) para garantizar la calidad de las actividades de auditoría interna.
Incluso un departamento de auditoría interna totalmente subcontratado debe tener un QAIP, independientemente de que el proveedor subcontratado haya completado uno para sus actividades generales. Por ejemplo, PricewaterhouseCooper completa anualmente un QAIP para sus actividades, pero cada uno de sus clientes también necesita uno.
Las normas de auditoría interna exigen que el director de auditoría desarrolle y mantenga un programa de garantía y mejora de la calidad que abarque todos los aspectos de la actividad de auditoría interna. El programa de aseguramiento y mejora de la calidad está diseñado para permitir una evaluación de la conformidad de la actividad de auditoría interna con la Definición de Auditoría Interna y las Normas y una evaluación de si los auditores internos aplican el Código de Ética. El programa también evalúa la eficiencia y la eficacia de la actividad de auditoría interna y señala las oportunidades de mejora.
Los planes de garantía y mejora de la calidad se dividen en dos partes principales, la interna y la externa.
Plan de garantía y mejora de la calidad interna:
Las evaluaciones internas continuas son prácticas puestas en marcha por el CAE para hacer una evaluación rutinaria de las prácticas y políticas de realización de auditorías individuales. El tipo y la cuantía de estas evaluaciones variarán en función de la naturaleza de la organización. Deben desarrollarse procesos y herramientas específicos para cada organización. Las conclusiones deben elaborarse de forma continua y deben adoptarse las medidas adecuadas para mejorar la calidad de las actividades de auditoría en curso.
Las revisiones periódicas son otra parte importante del proceso de evaluación interna. Se trata más bien de un enfoque de autoevaluación programada para determinar si se están realizando las actividades correctas, en caso de que haya que introducir cambios en las prácticas y procedimientos de auditoría interna para mejorar la calidad de los programas. Este proceso de autoevaluación periódica también es utilizado por muchas organizaciones para realizar su evaluación de conformidad con las normas. Numerosas organizaciones utilizan este tipo de revisión para realizar su evaluación antes de que se lleve a cabo una evaluación de calidad externa.
Dichas evaluaciones deben incluir:
- Supervisión rutinaria y continua, comprobación del rendimiento de la auditoría y trabajos de consultoría.
- Mediciones y análisis continuos de las métricas de rendimiento (por ejemplo, cumplimiento del plan de auditoría, tiempo de ciclo, recomendaciones aceptadas y satisfacción del cliente).
- Validaciones periódicas del cumplimiento de las leyes, reglamentos y normas gubernamentales o de la industria aplicables.
- Validaciones periódicas del cumplimiento de las Normas y el Código de Ética, incluidas las acciones correctivas oportunas para remediar cualquier caso significativo de incumplimiento.
- Evaluación de la idoneidad de los estatutos, metas, objetivos, políticas y procedimientos de la actividad de auditoría interna.
- Evaluación de la contribución a los procesos de gobernanza, gestión de riesgos y control de la organización.
- Evaluación de la eficacia de las actividades de mejora continua y adopción de las mejores prácticas.
- Determinar si la actividad de auditoría añade valor, mejora las operaciones y ayuda a la organización a alcanzar sus objetivos.
Es responsabilidad del CAE desarrollar una estructura para informar de los resultados de las revisiones periódicas que mantenga la credibilidad y objetividad adecuadas. Normalmente, las personas que organizan las revisiones continuas y periódicas deben informar al CAE mientras realizan las revisiones y comunicar sus conclusiones directamente al CAE.
Plan de garantía y mejora de la calidad externa:
Las evaluaciones externas pueden adoptar la forma de una evaluación externa completa o de una autoevaluación con validación externa independiente. En él, un evaluador o equipo de evaluación cualificado demuestra su competencia en dos ámbitos: la práctica profesional de la auditoría interna y el proceso de evaluación externa.
La competencia puede demostrarse mediante una mezcla de experiencia y aprendizaje teórico. La experiencia adquirida en organizaciones de tamaño, complejidad, sector o industria similares y que utilizan distintos niveles de tecnología es más valiosa que la experiencia menos relevante.
En el caso de un equipo de evaluación, no es necesario que todos los miembros del equipo tengan todas las competencias; es el equipo el que está cualificado. El director ejecutivo de auditoría utiliza su juicio profesional al evaluar si un evaluador o equipo de evaluación demuestra la competencia adecuada para estar calificado.
Un evaluador o equipo de evaluación independiente significa no tener un conflicto de intereses real o aparente y no formar parte o estar bajo el control de la organización a la que pertenece la actividad de auditoría interna.
Las revisiones externas de evaluación de la calidad pueden ser realizadas por:
- Un equipo que es independiente de la organización que se está revisando.
- Autoevaluación con validación independiente por parte de un revisor independiente.
- Un equipo de revisión por pares formado por miembros de al menos tres organizaciones diferentes.
La evaluación externa consiste en un amplio ámbito de cobertura que incluye los siguientes elementos de la actividad de auditoría interna:
- Conformidad con la definición de auditoría interna, el código de ética, las normas y los estatutos, planes, políticas, procedimientos y prácticas de la actividad de auditoría interna, así como los requisitos legislativos y reglamentarios aplicables;
- Expectativas de la actividad de auditoría interna expresadas por el consejo de administración, la alta dirección y los directores operativos;
- Integración de la actividad de auditoría interna en el proceso de gobernanza de la organización, incluidas las relaciones entre los grupos clave que participan en el proceso;
- Herramientas y técnicas empleadas en la actividad de auditoría interna;
- Una mezcla de conocimientos, experiencia y disciplinas dentro del personal, incluyendo el enfoque del personal en la mejora de los procesos; y
- Determinar si la actividad de auditoría interna añade valor y mejora el funcionamiento de la organización.
Los resultados del programa de garantía y mejora de la calidad, ya sea interno o externo, deben comunicarse a las partes interesadas. En el caso de las evaluaciones internas, el CAE debe compartir los hallazgos, los planes de acción requeridos y su ejecución satisfactoria con las partes interesadas, como la alta dirección, el consejo de administración y los auditores externos.
En el caso de las evaluaciones externas, los resultados iniciales de la revisión deben discutirse con el CAE durante y al final del proceso de evaluación. Los resultados deben comunicarse en un informe formal al CAE u otro funcionario que haya autorizado la revisión para la organización, idealmente con copias enviadas directamente a los respectivos miembros de la alta dirección y del consejo.
El informe formal para las evaluaciones externas debería:
- Contener una opinión sobre el cumplimiento de la actividad de auditoría interna con la definición de auditoría interna, el código de ética y las normas basadas en un proceso de calificación estructurado,
- Valorar y evaluar el uso de las mejores prácticas, tanto las observadas durante la evaluación como otras potencialmente aplicables a la actividad, y
- Proporcionar recomendaciones apropiadas para la mejora.
El CAE también debe informar de las medidas correctoras previstas para los problemas importantes, así como de la información posterior sobre el cumplimiento de dichas medidas previstas.
Reflexiones finales
Los auditores internos se ocupan de cuestiones que son fundamentales para la supervivencia y la prosperidad de cualquier organización. A diferencia de los auditores externos, miran más allá de los riesgos y estados financieros para considerar cuestiones más amplias como la reputación de la organización, el crecimiento, el impacto medioambiental y el trato a los empleados.
En resumen, los auditores internos contribuyen al éxito de las organizaciones. Esto se consigue mediante una combinación de aseguramiento y consultoría. El componente de aseguramiento de nuestro trabajo consiste en informar a los directivos y gobernantes sobre la eficacia de los sistemas y procesos diseñados para mantener la organización en marcha. A continuación, según sea necesario, ofrecemos servicios de consultoría para ayudar a mejorar esos sistemas y procesos.