Desempeño de los Servicios de Auditoría Interna

 

Dominio V: Desempeño de los Servicios de Auditoría Interna

En este dominio, los auditores internos implementan el programa de trabajo para lograr los objetivos del trabajo. La planificación del trabajo implica recopilar información y crear un programa de trabajo que describe las tareas y metodologías. Para implementar el programa, los auditores recopilan información, realizan análisis y evaluaciones, identifican hallazgos potenciales, determinan causas, efectos e importancia, y desarrollan recomendaciones y conclusiones.

Principio 13: Planificar Eficazmente los Trabajos

Los auditores internos planifican cada trabajo utilizando un enfoque sistemático y disciplinado. La planificación comienza comprendiendo las expectativas iniciales y los motivos del trabajo, recopilando información para comprender la organización y la actividad bajo revisión, y evaluando los riesgos relevantes.

Norma 13.1 Comunicación durante el Trabajo:

Los auditores internos deben comunicarse de forma eficaz a lo largo del trabajo de Auditoría Interna, incluyendo comunicaciones iniciales, continuas y de cierre con la Dirección de la actividad bajo revisión. La comunicación de cierre busca resolver diferencias antes de la emisión del informe final.

Factores para una empresa financiera peruana:

Reunión de Apertura con la Gerencia: En la reunión de apertura, discutir los objetivos y el alcance de la auditoría con la gerencia del área (ej. gerencia de operaciones, gerencia de riesgos), asegurando su comprensión y colaboración. Esto es crucial en un entorno donde los procesos son interdependientes.

Comunicación Continua de Hallazgos Preliminares: Informar a la gerencia sobre hallazgos preliminares a medida que se descubren, especialmente aquellos que requieren atención inmediata (ej. brechas de seguridad críticas, errores en el cálculo de provisiones que impactan los estados financieros).

Reunión de Cierre Formal: Utilizar la reunión de cierre para discutir los hallazgos, recomendaciones y planes de acción con la gerencia, buscando un consenso. Si no hay acuerdo, la auditoría interna debe documentar ambas posiciones en el informe final.

Norma 13.2 Evaluación de los Riesgos para la Actividad bajo Revisión:

Los auditores internos deben comprender la actividad bajo revisión, recopilando suficiente información y realizando una evaluación de riesgos. Deben comprender las estrategias, objetivos y tolerancia al riesgo de la organización relevantes para la actividad, así como los procesos de gobierno, gestión de riesgos y control de la actividad. Deben identificar riesgos significativos, cómo se controlan, evaluar su importancia y la idoneidad de los procesos de control, incluyendo riesgos de fraude y TI.

Factores para una empresa financiera peruana:

Análisis de Riesgos Específicos por Proceso: Realizar una evaluación de riesgos detallada para cada proceso o producto financiero auditado (ej. desembolso de préstamos, gestión de tarjetas de crédito, operaciones con divisas), identificando los riesgos inherentes (ej. riesgo de impago, riesgo de mercado) y los controles clave.

Riesgos de Fraude Específicos: Identificar y evaluar los riesgos de fraude relacionados con las operaciones financieras, como el fraude interno, el fraude de identidad o el fraude en transacciones electrónicas, utilizando matrices de riesgo y control adaptadas.

Evaluación de Controles Regulatorios: Evaluar la idoneidad del diseño de los controles internos para asegurar el cumplimiento de las normativas de la SBS, la SMV y otras leyes peruanas aplicables a la actividad.

Uso de Información de la Dirección de Riesgos: Apalancarse en los informes y evaluaciones de riesgo de la función de gestión de riesgos de la entidad, pero aplicando escepticismo profesional y validando la información.

Norma 13.3 Objetivos y Alcance del Trabajo:

Los auditores internos deben establecer y documentar los objetivos y el alcance del trabajo. Los objetivos deben articular el propósito y considerar la evaluación de riesgos. El alcance establece el enfoque y los perímetros (actividades, ubicaciones, procesos, sistemas, periodo) y debe ser suficiente para lograr los objetivos. Las limitaciones al alcance deben declararse.

Factores para una empresa financiera peruana:

Objetivos Alineados con Estrategia y Riesgos: Establecer objetivos de auditoría que se alineen directamente con los riesgos clave de la entidad financiera (ej. asegurar la integridad de los datos de clientes para cumplir con protección de datos, evaluar la efectividad de los controles de ciberseguridad para proteger activos).

Alcance por Sistema/Proceso: Definir el alcance en función de sistemas (ej. sistema de transferencias interbancarias, sistema de gestión de créditos), productos (ej. microcréditos, factoring) o procesos específicos (ej. apertura de cuentas, gestión de reclamos), crucial en una entidad con múltiples líneas de negocio.

Limitaciones de Alcance Claramente Documentadas: Documentar cualquier limitación de alcance (ej. imposibilidad de acceder a ciertos datos, restricciones regulatorias) y discutirla con la gerencia y el Consejo, especialmente si afecta la capacidad de la auditoría para evaluar riesgos críticos.

Norma 13.4 Criterios de Evaluación:

Los auditores internos deben identificar criterios medibles que se emplearán para evaluar los aspectos de la actividad bajo revisión. Deben comprobar el grado en que la Dirección o el Consejo ha establecido criterios adecuados; si son adecuados, usarlos; si no, identificar criterios apropiados. Los criterios pueden ser internos (políticas), externos (leyes, regulaciones peruanas), o prácticas oficiales (marcos, normas, guías específicas del sector financiero).

Factores para una empresa financiera peruana:

Criterios Regulatorios (SBS, SMV): Utilizar como criterios de evaluación las normas emitidas por la Superintendencia de Banca, Seguros y AFP (SBS) y la Superintendencia del Mercado de Valores (SMV) para evaluar la gestión de riesgos, el cumplimiento y los controles internos.

Políticas y Procedimientos Internos: Referenciarse a las políticas internas de la entidad financiera (ej. manual de crédito, política de seguridad de la información) como criterios para evaluar el cumplimiento y la efectividad de los controles.

Marcos de Control Reconocidos: Adoptar marcos internacionales como COSO (para control interno), COBIT (para TI) o ISO 27001 (para seguridad de la información), adaptándolos a la realidad de la entidad financiera peruana.

Tolerancia al Riesgo de la Entidad: Comprender la tolerancia al riesgo declarada por la entidad financiera y utilizarla como un criterio para evaluar la importancia de los hallazgos y la efectividad de los controles.

Norma 13.5 Recursos para el Trabajo:

Al planificar el trabajo, los auditores internos deben identificar los recursos necesarios (tipos y cantidad) para lograr los objetivos. Esto incluye considerar la naturaleza y complejidad del trabajo, los plazos y la suficiencia de recursos humanos, financieros y tecnológicos disponibles. Si los recursos son insuficientes, deben debatirlo con el DAI.

Factors para una empresa financiera peruana:

Expertos Especializados: Identificar la necesidad de expertos en temas específicos (ej. peritos forenses para investigaciones de fraude, especialistas en valoración de instrumentos financieros, ingenieros de ciberseguridad).

Herramientas Tecnológicas: Determinar las herramientas tecnológicas necesarias para la auditoría (ej. software de análisis de datos para transacciones bancarias, plataformas para la revisión de código de aplicaciones financieras).

Disponibilidad de Datos: Asegurar que se contará con acceso oportuno a los datos requeridos de los sistemas de la entidad, que pueden ser complejos y de gran volumen.

Plazos y Presupuesto Realistas: Establecer plazos y presupuestos realistas para cada auditoría, considerando la complejidad de los procesos financieros y la disponibilidad del personal auditado.

Norma 13.6 Programa de Trabajo:

Los auditores internos deben desarrollar y documentar un programa de trabajo que logrará los objetivos. El programa se basa en la planificación del trabajo y la evaluación de riesgos, identificando tareas, metodologías, herramientas y auditores asignados. El DAI o persona designada debe revisar y aprobar el programa y sus modificaciones.

Factores para una empresa financiera peruana:

Procedimientos de Prueba Detallados: El programa de trabajo debe incluir procedimientos de prueba detallados para evaluar la efectividad de los controles en procesos financieros (ej. pruebas de límites de crédito, conciliaciones bancarias, validación de transacciones).

Uso de Metodologías de Muestreo Cuantitativas: Especificar las metodologías de muestreo a utilizar (ej. muestreo estadístico para grandes volúmenes de transacciones, muestreo dirigido para riesgos específicos) y su justificación.

Integración con Matriz de Riesgos y Controles: El programa de trabajo debe estar vinculado a la matriz de riesgos y controles, mostrando cómo cada procedimiento aborda un riesgo específico y evalúa un control particular.

Flexibilidad para Cambios: El programa debe ser lo suficientemente flexible para ajustarse a nuevos hallazgos o cambios en el entorno de riesgo que puedan surgir durante la auditoría, con un proceso claro para su aprobación.

Principio 14: Ejecución de los Trabajos

Los auditores internos implementan el programa de trabajo para lograr los objetivos del trabajo. Esto implica recopilar información, llevar a cabo análisis y evaluaciones, identificar hallazgos potenciales, determinar causas, efectos e importancia, y desarrollar recomendaciones y conclusiones.

Norma 14.1 Recopilación de Información para el Análisis y Evaluación:

Los auditores internos deben recopilar información relevante, fiable y suficiente para llevar a cabo los análisis y evaluaciones. Deben evaluar la relevancia, fiabilidad y suficiencia de la información y, si no es suficiente, recopilar información adicional.

Factores para una empresa financiera peruana:

Fuentes de Información Diversas: Recopilar información de diversas fuentes, incluyendo sistemas transaccionales (ej. SWIFT, CLABE), bases de datos de clientes, informes de gestión de riesgos, actas de comités, y documentación de cumplimiento, para asegurar la fiabilidad.

Validación de Datos Cuantitativos: Para la información financiera, la auditoría debe aplicar técnicas de validación de datos para asegurar su integridad y precisión (ej. conciliaciones con fuentes externas, confirmaciones bancarias).

Evidencia de Cumplimiento Regulatorio: Recopilar evidencia del cumplimiento de las normativas de la SBS, incluyendo informes de supervisión, respuestas a requerimientos regulatorios y planes de acción implementados.

Entrevistas y Observaciones Directas: Complementar la revisión documental con entrevistas a personal clave en diferentes niveles (operativo, gerencial) y observaciones directas de procesos (ej. procesos de caja, atención al cliente).

Norma 14.2 Análisis y Potenciales Hallazgos de Auditoría:

Los auditores internos deben analizar información relevante, fiable y suficiente para desarrollar los potenciales hallazgos. Deben determinar diferencias entre criterios de evaluación y la condición existente (hallazgos potenciales), que pueden incluir errores, irregularidades, actos ilegales u oportunidades de mejora. Se debe determinar si se requiere mayor análisis y ajustar el programa de trabajo si es necesario.

Factores para una empresa financiera peruana:

Análisis de Tendencias Financieras: Realizar análisis de tendencias en indicadores financieros (ej. morosidad de la cartera, rentabilidad por producto, eficiencia operativa) para identificar desviaciones significativas que puedan indicar riesgos o ineficiencias.

Pruebas de Controles Automáticos y Manuales: Realizar pruebas específicas sobre la efectividad de los controles automáticos en los sistemas bancarios (ej. límites de transacciones, validaciones de datos) y de los controles manuales en los procesos financieros (ej. revisiones de aprobaciones, conciliaciones).

Identificación de Irregularidades y Fraudes: Utilizar técnicas de análisis de datos para identificar patrones de transacciones inusuales o anomalías que puedan indicar actividades fraudulentas o lavado de activos.

Evaluación de la Eficiencia Operativa: Más allá de la detección de errores, el análisis debe buscar oportunidades para mejorar la eficiencia operativa en los procesos financieros, lo cual puede generar ahorros significativos.

Norma 14.3 Evaluación de los Hallazgos:

Los auditores internos evalúan cada potencial hallazgo para determinar su importancia, identificando la causa fundamental (causa raíz), determinando los potenciales efectos y evaluando la importancia del riesgo (probabilidad e impacto). Los hallazgos significativos deben documentarse y comunicarse. Deben proporcionar una calificación o clasificación de prioridad de cada hallazgo, en base a su importancia, utilizando metodologías establecidas.

Factores para una empresa financiera peruana:

Causa Raíz: Utilizar una escala de calificación de hallazgos (ej. "crítico", "alto", "medio", "bajo") que esté alineada con la matriz de riesgos de la entidad y la tolerancia al riesgo del Consejo, lo cual es de gran relevancia para la SBS.

Documentación Detallada del Hallazgo: Asegurar que cada hallazgo esté documentado de manera clara, concisa y respaldada por evidencia, incluyendo la condición, el criterio, la causa, el efecto y la calificación de importancia, para facilitar su comprensión y resolución por parte de la gerencia.

Norma 14.4 Recomendaciones y Planes de Acción:

Los auditores internos deben formular recomendaciones (acciones sugeridas para resolver diferencias, mitigar riesgos o mejorar la actividad) y, si procede, obtener los planes de acción de la Dirección. Las recomendaciones deben debatirse con la Dirección. Para trabajos de aseguramiento, se deben obtener planes de acción para abordar la causa raíz. Si no hay acuerdo, se deben declarar ambas posiciones en la comunicación final.

Factores para una empresa financiera peruana:

Recomendaciones Viables y Específicas: Formular recomendaciones que sean prácticas, medibles y viables para la entidad financiera, considerando la complejidad de sus sistemas y procesos (ej. recomendar la implementación de un control específico en el sistema de onboarding digital en lugar de una revisión manual general).

Planes de Acción con Responsables y Plazos: Obtener planes de acción de la gerencia que incluyan responsables claros y plazos definidos para la implementación, especialmente para hallazgos de alto riesgo o incumplimientos regulatorios.

Análisis Costo-Beneficio de las Recomendaciones: Discutir con la gerencia el costo-beneficio de implementar las recomendaciones, reconociendo que algunas mejoras pueden requerir inversiones significativas.

Mediación en Desacuerdos: Si hay desacuerdos con la gerencia sobre las recomendaciones, el DAI debe mediar y, si es necesario, escalar el asunto al Consejo, documentando las razones del desacuerdo.

Norma 14.5 Desarrollo de las Conclusiones del Trabajo:

Los Asignar una calificación global a la auditoría (ej. "satisfactorio", "parcialmente satisfactorio", "necesita mejora") que refleje la efectividad general de los controles y la gestión de riesgos en el área auditada, en línea con el sistema de calificación de la función.

Impacto en Objetivos Estratégicos: La conclusión debe vincular los hallazgos con el impacto potencial en los objetivos estratégicos de la entidad financiera (ej. cómo las debilidades en los controles de crédito afectan el crecimiento de la cartera, o cómo las vulnerabilidades de TI afectan la reputación digital).

Perspectiva Holística del Riesgo: Si la auditoría cubre múltiples procesos o sistemas interconectados, la conclusión debe ofrecer una perspectiva holística de los riesgos residuales y su impacto agregado en la entidad financiera.

Norma 14.6 Documentación de los Trabajos:

Los auditores internos deben documentar la información y evidencias que respalden los hallazgos, recomendaciones y conclusiones. La documentación debe ser tal que un auditor prudente y competente pueda repetir el trabajo y obtener los mismos resultados. La documentación incluye la fecha, programa de trabajo, análisis de riesgos, objetivos y alcance, descripciones de análisis, hallazgos, recomendaciones, conclusiones, evidencias de comunicaciones y nombres de los participantes.

Factores para una empresa financiera peruana:

Estandarización de Papeles de Trabajo: Utilizar plantillas estandarizadas o software de auditoría para la documentación de los trabajos, asegurando que se capture toda la información relevante (ej. capturas de pantalla de sistemas bancarios, registros de transacciones, resultados de scripts de análisis de datos).

Trazabilidad de la Evidencia: Asegurar que los papeles de trabajo contengan referencias cruzadas claras que permitan trazar cada hallazgo y conclusión hasta la evidencia de respaldo (ej. extractos bancarios, contratos de crédito, políticas de la SBS).

Respaldo para Revisores Externos: La documentación debe ser lo suficientemente clara y completa para que los auditores externos la Dirección hacia la finalización de los planes de acción.

Norma 15.1 Comunicación Final del Trabajo:

Para cada trabajo, los auditores internos deben desarrollar una comunicación final que incluya objetivos, alcance y conclusiones, así como recomendaciones y planes de acción acordados. Para trabajos de aseguramiento, debe incluir hallazgos con sus calificaciones y limitaciones de alcance. Debe especificar responsables y plazos. La comunicación debe ser precisa, objetiva, concisa, constructiva y oportuna, y ser revisada y aprobada por el DAI. Debe incluir una declaración de conformidad con las Normas Globales de Auditoría Interna.

Factores para una empresa financiera peruana:

Formato de Informe Consistente: Mantener un formato de informe final consistente que facilite la comprensión por parte de la alta dirección y el Consejo, incluyendo un resumen ejecutivo, los hallazgos clave con su calificación de riesgo, las recomendaciones y los planes de acción de la gerencia.

Clara Articulación del Impacto del Riesgo: Los informes deben articular claramente el impacto de los hallazgos en la entidad financiera (ej. riesgo de pérdidas financieras, riesgo regulatorio, riesgo reputacional), utilizando terminología comprensible para el sector.

Declaración de Cumplimiento Regulatorio: Si aplica, el informe final debe incluir una declaración sobre el cumplimiento con las normativas de la SBS, o las razones de cualquier no conformidad.

Reconocimiento de Acciones de la Gerencia: Reconocer en el informe final cualquier acción correctiva que la gerencia haya iniciado o completado antes de la emisión del informe, fomentando la proactividad.

Norma 15.2 Confirmación de la Implementación de Planes de Acción:

Los auditores internos deben confirmar que la Dirección ha implementado los planes de acción acordados, siguiendo una metodología que incluya consultas, evaluaciones de seguimiento y actualización del estado. Deben solicitar notificación de cambios y verificar los mismos. Si los planes no se implementan, deben obtener explicaciones y el DAI determinará si se ha aceptado el riesgo de demora.

Reportes al Consejo sobre el Estado de Implementación: El DAI debe reportar regularmente al Consejo y a la alta dirección el estado de implementación de los planes de acción, destacando los hallazgos pendientes y las explicaciones de la gerencia, lo cual es de gran interés para la SBS.

Escalamiento de Riesgos Remanentes: Si un riesgo significativo persiste debido a la falta de implementación de las recomendaciones, el DAI debe escalar la situación al Consejo, como se establece en la Norma 11.5 sobre Aceptación de Riesgos