Gobierno y Gestión de la función de Auditoria Interna
Dominio III: Gobierno de la Función de Auditoría Interna
Este dominio aborda los aspectos esenciales de gobierno que permiten que la Función de Auditoría Interna sea eficaz. Describe las responsabilidades del Consejo con respecto a autorizar la Función de Auditoría Interna, asegurar su posicionamiento independiente y supervisar su desempeño. El Consejo es el órgano de gobierno de más alto nivel de una organización. El Director de Auditoría Interna (DAI) es responsable de comunicarse eficazmente con el Consejo y de proporcionarle información, pero el Consejo también tiene un papel clave para cumplir con el Propósito de Auditoría Interna. Las responsabilidades del Consejo aplican independientemente de si la Función de Auditoría Interna está compuesta por empleados o subcontratada.
Principio 6: Autorización del Consejo
El Consejo establece, aprueba y apoya la autoridad, el papel y las responsabilidades de la Función de Auditoría Interna. El Mandato de Auditoría Interna faculta a la Función para mejorar el éxito de la organización mediante el aseguramiento objetivo y el asesoramiento.
Norma 6.1 Mandato de Auditoría Interna:
El Consejo debe aprobar el Mandato de Auditoría Interna que define su autoridad, rol, responsabilidades, alcance y tipos de servicios. El Consejo debe considerar la información del DAI y revisar el Mandato al menos anualmente para tener en cuenta cambios organizacionales. El DAI debe proporcionar la información necesaria al Consejo para establecer el Mandato. El Consejo y el DAI deben debatir y acordar el Mandato, documentándolo en el Estatuto de Auditoría Interna, que debe ser aprobado por el Consejo.
Factores para una empresa financiera peruana:
Aprobación Formal del Mandato: El Consejo de Administración de la entidad financiera debe aprobar formalmente el Mandato de Auditoría Interna, incluyendo la mención explícita de su alcance para cubrir todas las líneas de negocio, filiales y operaciones, incluyendo las transacciones en el exterior y las nuevas tecnologías financieras.
Alcance Regulatorio del Mandato: Asegurar que el mandato incluya la evaluación del cumplimiento de las normativas de la SBS, la SMV y otras entidades reguladoras peruanas, así como las prácticas internacionales para instituciones financieras.
Revisión Anual y Adaptación: La revisión anual del mandato debe considerar los cambios en el entorno regulatorio peruano, la introducción de nuevos productos financieros (ej. banca digital, criptomonedas), la evolución del perfil de riesgos de la entidad y los cambios en la estructura organizacional.
Estatuto de Auditoría Interna Detallado: El Estatuto debe especificar la relación de la auditoría interna con otras funciones de control y aseguramiento (ej. cumplimiento normativo, gestión de riesgos, auditoría externa), garantizando la complementariedad y evitando duplicidades.
Norma 6.2 Apoyo del Consejo:
El Consejo debe apoyar a la Función de Auditoría Interna, asegurando su reconocimiento en toda la organización. Esto incluye asegurar acceso irrestricto a datos, registros, información, personal y propiedad física. El Consejo debe apoyar al DAI a través de comunicaciones directas y periódicas, incluyendo reuniones sin la presencia de la Alta Dirección.
Factores para una empresa financiera peruana:
Acceso a Información Crítica: El Consejo debe garantizar que la Auditoría Interna tenga acceso pleno e irrestricto a todos los sistemas de información bancaria (ej. transacciones, clientes, créditos, inversiones), bases de datos de clientes, contratos, comunicaciones de la SBS y cualquier otra información necesaria para sus auditorías, sin necesidad de autorizaciones ad-hoc que puedan generar retrasos.
Comunicación Directa con el Consejo: Establecer reuniones periódicas (ej. trimestrales) entre el DAI y la Comisión de Auditoría del Consejo, y al menos una vez al año, una reunión del DAI solo con los miembros del Consejo sin la presencia de la alta dirección, para discutir temas sensibles, riesgos emergentes o cualquier limitación que la función de auditoría interna pueda enfrentar.
Resolución de Restricciones: Si la auditoría interna informa de restricciones de alcance, acceso o recursos, el Consejo debe intervenir para resolverlas, comunicándose con la alta dirección y abogando por la autonomía y capacidad de la función.
Apoyo en Temas Regulatorios: El Consejo debe respaldar las recomendaciones de auditoría interna relacionadas con el cumplimiento regulatorio, incluso si implican inversiones significativas o cambios operativos disruptivos, reconociendo la importancia de la estabilidad y la reputación ante la SBS.
Principio 7: Posicionarse de Manera Independiente
El Consejo establece y protege la independencia de la Función de Auditoría Interna. La independencia es la ausencia de limitaciones que impidan la capacidad de la función para llevar a cabo sus responsabilidades de manera imparcial. Se logra a través de la responsabilidad ante el Consejo, el acceso a recursos relevantes y la ausencia de interferencias.
Norma 7.1 Independencia dentro de la Organización:
El Consejo debe establecer una relación de dependencia directa con el DAI y la Función de Auditoría Interna para permitir el cumplimiento de su mandato. Esto incluye aprobar el nombramiento, cese, evaluación de desempeño y remuneración del DAI, ofrecer oportunidades de debate con el Consejo sin la presencia de la Alta Dirección, y asegurar un posicionamiento que permita el desempeño sin interferencias y con autoridad para llevar cuestiones directamente a la Alta Dirección. El DAI debe ratificar su independencia anualmente ante el Consejo.
Factores para una empresa financiera peruana:
Dependencia Funcional al Consejo: El DAI debe reportar funcionalmente directamente al Consejo de Administración (o a su Comisión de Auditoría) y administrativamente al CEO o un nivel similar de la alta dirección, para asegurar la independencia y el estatus necesario para operar sin injerencias en el día a día.
Control del Nombramiento y Remuneración del DAI: El Consejo debe tener la autoridad final para el nombramiento, cese, evaluación y determinación de la remuneración del DAI, asegurando que estas decisiones no estén sujetas a la influencia de la gerencia operativa.
Protección contra Interferencias: Establecer mecanismos para proteger la auditoría interna de presiones para cambiar hallazgos o conclusiones, o de restricciones al alcance o al acceso a la información, comunes en entornos donde hay intereses creados en la información auditada.
Ratificación Anual de Independencia: El DAI debe presentar un informe anual al Consejo que confirme la independencia de la función de auditoría interna, detallando cualquier incidente o desafío a la independencia y las acciones tomadas para mitigarlos.
Norma 7.2 Roles, Responsabilidades y Cualificaciones:
El Consejo debe aprobar los roles y responsabilidades del DAI e identificar las cualificaciones y competencias necesarias. Debe asegurar que el DAI tenga las cualificaciones para gestionar la función eficazmente y asegurar la calidad de los servicios. Si se asignan al DAI roles adicionales, el Consejo debe comprender los impedimentos a la independencia y asegurar salvaguardas adecuadas.
Factores para una empresa financiera peruana:
Descripción de Puesto del DAI: La descripción de puesto del DAI debe ser aprobada por el Consejo, detallando las competencias requeridas en gestión de riesgos financieros, cumplimiento normativo, ciberseguridad, y liderazgo de equipos multidisciplinarios.
Roles Adicionales del DAI: En empresas financieras, el DAI puede asumir roles temporales en comités de implementación de nuevas regulaciones (ej. Basilea III, IFRS 9) o en proyectos de transformación digital. El Consejo debe evaluar cuidadosamente si estos roles generan conflictos de interés y si se aplican salvaguardas (ej. no auditar esos proyectos posteriormente, supervisión externa).
Desarrollo Continuo del DAI: El Consejo debe fomentar el desarrollo profesional continuo del DAI en áreas como el riesgo de fraude en el sector financiero, tecnologías disruptivas o nuevas regulaciones globales que puedan afectar a la industria peruana.
Norma 7.3 Salvaguardas para la Independencia:
Se deben aplicar salvaguardas para gestionar los impedimentos a la independencia de la Función de Auditoría Interna. El Consejo debe proteger la independencia, asegurando que las salvaguardas estén bien diseñadas y operen eficazmente. El DAI debe tratar los roles y responsabilidades que pudieran causar impedimento y asesorar al Consejo sobre salvaguardas. Si el DAI tiene responsabilidades distintas a la auditoría de manera continuada, deben documentarse en el Estatuto y establecerse procesos alternativos de aseguramiento.
Factores para una empresa financiera peruana:
Registro de Impedimentos y Salvaguardas: Mantener un registro formal de todos los impedimentos potenciales o reales a la independencia identificados en la función de auditoría interna y las salvaguardas específicas aplicadas (ej. exclusión de un auditor de un trabajo, supervisión de un tercero independiente).
Auditoría Externa o Co-sourcing para Conflictos: En casos de conflictos de interés significativos (ej. si el DAI tuviera responsabilidades temporales en un proyecto clave), considerar el uso de auditores externos especializados o un modelo de co-sourcing para asegurar la revisión independiente de esa área, reportando directamente al Consejo.
Evaluación Periódica de Salvaguardas: El Consejo debe revisar anualmente la efectividad de las salvaguardas implementadas, especialmente aquellas relacionadas con la independencia del DAI o de auditores que hayan tenido roles previos en áreas auditadas.
Educación sobre Amenazas a la Independencia: Capacitar a todo el personal de auditoría interna sobre las amenazas a la independencia (ej. presiones de la gerencia, regalos, relaciones personales) y los protocolos para reportarlas.
Principio 8: Supervisión del Consejo
El Consejo supervisa la Función de Auditoría Interna para asegurar su eficacia. Para lograr este principio, se requiere una comunicación colaborativa e interactiva entre el Consejo y el DAI, así como el apoyo del Consejo para asegurar recursos suficientes. El Consejo recibe aseguramiento sobre la calidad del desempeño a través del Programa de Aseguramiento y Mejora de la Calidad (PAMEC).
Norma 8.1 Interacción con el Consejo:
El Consejo debe interactuar con la Función de Auditoría Interna para comprender la eficacia de los procesos de gobierno, gestión de riesgos y control. La supervisión del Consejo debe incluir comunicación continua con el DAI. El Consejo debe comunicar su perspectiva sobre estrategias, objetivos y riesgos para asistir al DAI en la definición de prioridades.
Factores para una empresa financiera peruana:
Temas de Comunicación Formal: El DAI debe presentar regularmente al Consejo (ej. trimestralmente) los resultados de las auditorías clave, el estado de implementación de las recomendaciones, los riesgos emergentes (ej. nuevas amenazas cibernéticas, cambios en el mercado de crédito) y las opiniones de la función de auditoría interna sobre la efectividad del control interno en la entidad financiera.
Criterios de Escalamiento: Establecer criterios claros con el Consejo sobre qué hallazgos o riesgos deben ser escalados de inmediato, especialmente aquellos que excedan la tolerancia al riesgo de la entidad o que impliquen incumplimientos regulatorios significativos.
Diálogo Estratégico: El Consejo debe involucrar al DAI en discusiones estratégicas para entender el perfil de riesgos de la entidad y asegurar que el plan de auditoría interna esté alineado con la estrategia de negocio (ej. expansión digital, fusiones y adquisiciones en el sector).
Norma 8.2 Recursos:
El Consejo debe asegurar que la Función de Auditoría Interna cuenta con suficientes recursos para cumplir su Mandato y lograr el plan. Debe preguntar al DAI anualmente sobre la suficiencia de recursos y considerar el impacto de limitaciones, abogando por los recursos necesarios. El DAI debe proponer una estrategia para obtener recursos y comunicar insuficiencias.
Factores para una empresa financiera peruana:
Presupuesto Suficiente: El Consejo debe aprobar un presupuesto para la función de auditoría interna que cubra las necesidades de personal especializado (ej. auditores de TI, expertos en fraude), herramientas tecnológicas (software de análisis de datos, GRC) y capacitación continua en las últimas tendencias y regulaciones del sector financiero.
Análisis de Brechas de Recursos: El DAI debe presentar al Consejo un análisis de las brechas entre los recursos actuales de la función y los necesarios para cubrir el universo de auditoría y los riesgos emergentes (ej. incremento de la complejidad de productos, volumen de transacciones digitales).
Consideración de Opciones de Sourcing: Discutir con el Consejo opciones para complementar los recursos internos, como el co-sourcing con firmas especializadas o el uso de auditores invitados, especialmente para auditorías que requieran conocimientos muy específicos (ej. valoración de instrumentos financieros complejos).
Norma 8.3 Calidad:
El Consejo debe asegurar que el DAI desarrolle, implemente y mantenga un Programa de Aseguramiento y Mejora de la Calidad (PAMEC), que incluye evaluaciones externas e internas. El Consejo debe aprobar los objetivos de desempeño de la Función de Auditoría Interna anualmente. El Consejo debe realizar o participar en la evaluación anual del desempeño del DAI.
Factores para una empresa financiera peruana:
Alcance del PAMEC: El PAMEC debe incluir la evaluación de la conformidad con las NGAI y las regulaciones específicas de la SBS sobre auditoría interna (ej. periodicidad y alcance de las evaluaciones externas), así como la efectividad en la mitigación de riesgos financieros.
Evaluación del Desempeño del DAI: La evaluación anual del DAI por parte del Consejo debe considerar su contribución a la mejora del gobierno, gestión de riesgos y control en la entidad financiera, su capacidad para atraer y retener talento especializado, y la efectividad de sus comunicaciones con el Consejo y la alta dirección.
Informes de Calidad: El DAI debe comunicar al Consejo los resultados de las evaluaciones internas de calidad y los planes de acción para abordar las deficiencias, especialmente si afectan la capacidad de la función para proporcionar aseguramiento efectivo en áreas críticas del negocio.
Norma 8.4 Evaluación Externa de Calidad:
El Consejo debe asegurar que se realice una Evaluación Externa de Calidad (EEC) al menos cada cinco años por un evaluador o equipo independiente cualificado. La EEC debe revisar la idoneidad del Mandato, Estatuto, estrategias, metodologías, cumplimiento de Normas, criterios de desempeño, competencias e integración en los procesos de gobierno. El Consejo debe aprobar el plan de la EEC y recibir los resultados directamente del evaluador.
Factores para una empresa financiera peruana:
Selección de Evaluador Cualificado: Asegurarse de que el evaluador externo tenga experiencia comprobada en auditoría interna de instituciones financieras y un profundo conocimiento de las regulaciones peruanas y prácticas bancarias internacionales.
Alcance de la Evaluación Externa: La EEC debe incluir la revisión de la cobertura de riesgos regulatorios, la efectividad de las auditorías de ciberseguridad y tecnologías de información bancaria, y la integración de la función de auditoría interna con la gestión de riesgos y cumplimiento normativo de la entidad.
Validación Independiente: La autoevaluación con validación independiente (que puede alternar con la EEC una vez cada diez años) debe incluir una revisión in situ por un evaluador externo cualificado para determinar la completitud y precisión de la autoevaluación.
Comunicación de Resultados al Consejo: El DAI debe presentar los resultados de la EEC y los planes de acción al Consejo, asegurando que se aborden las oportunidades de mejora y que se implementen las acciones correctivas, lo cual es de gran interés para la SBS.
Dominio IV: Gestión de la Función de Auditoría Interna
El Director de Auditoría Interna (DAI) es responsable de la gestión de la Función de Auditoría Interna de acuerdo con el Estatuto de Auditoría Interna y las Normas Globales de Auditoría Interna. Esta responsabilidad incluye la planificación estratégica, la obtención y asignación de recursos, el fomento de relaciones y comunicación con las partes interesadas, y la adecuación y mejora del desempeño de la Función. Se espera que el DAI cumpla las Normas, incluso si es un proveedor externo. El DAI puede delegar responsabilidades, pero mantiene la responsabilidad final.
Principio 9: Planificar Estratégicamente
El DAI elabora un plan estratégico para asegurar que la Función de Auditoría Interna cumple su Mandato y se posiciona con éxito a largo plazo. La planificación estratégica requiere que el DAI comprenda el Mandato de Auditoría Interna y los procesos de gobierno, gestión de riesgos y control.
Norma 9.1 Comprensión de los Procesos de Gobierno, Gestión de Riesgos y Control:
Para desarrollar una Estrategia, Estatuto y Plan de Auditoría Interna eficaces, el DAI debe comprender los procesos de gobierno, gestión de riesgos y control de la organización. Esto incluye entender cómo la organización establece objetivos estratégicos, supervisa la gestión de riesgos y control, promueve una cultura ética, asegura la gestión del desempeño y la rendición de cuentas, estructura sus funciones y comunica información de riesgos. También debe comprender cómo identifica y gestiona riesgos significativos como la fiabilidad de la información financiera, la eficacia de operaciones, la salvaguarda de activos y el cumplimiento de leyes.
Factores para una empresa financiera peruana:
Gobierno Corporativo Específico del Sector: El DAI debe comprender el rol del Consejo de Administración, los comités especializados (ej. Comité de Riesgos, Comité de Créditos) y la alta gerencia en la toma de decisiones y la supervisión del cumplimiento normativo y la gestión de riesgos en una entidad financiera peruana.
Marcos de Gestión de Riesgos Financieros: Conocimiento profundo de los marcos de gestión integral de riesgos adoptados por la entidad (ej. COSO ERM, Basilea III) y cómo se aplican a los riesgos crediticios, de mercado, de liquidez, operacionales y de ciberseguridad, así como su alineación con las directrices de la SBS.
Cultura Ética y Cumplimiento: Evaluar cómo la organización promueve una cultura de ética y cumplimiento normativo, crucial para prevenir lavado de activos y fraudes financieros. Esto incluye la revisión de políticas de conducta y la efectividad de los programas de capacitación en ética.
Matriz de Riesgos y Controles: Desarrollar y mantener una matriz de riesgos y controles que refleje los riesgos específicos del sistema financiero peruano (ej. riesgos de mercado por fluctuaciones del tipo de cambio, riesgos operacionales por fallas en sistemas de pago digital) y los controles implementados.
Norma 9.2 Estrategia de Auditoría Interna:
El DAI debe desarrollar e implementar una estrategia para la Función de Auditoría Interna que respalde los objetivos y el éxito de la organización, alineada con las expectativas de la Alta Dirección, el Consejo y otras partes interesadas clave. La estrategia debe incorporar una visión y objetivos estratégicos, así como iniciativas de apoyo. El DAI debe revisar la estrategia con la Alta Dirección y el Consejo al menos anualmente.
Factores para una empresa financiera peruana:
Alineación Estratégica con el Negocio: La estrategia de auditoría interna debe estar directamente ligada a los objetivos estratégicos de la entidad financiera (ej. crecimiento en banca digital, penetración en nuevos mercados, optimización de costos operativos), identificando cómo la auditoría contribuirá a mitigar los riesgos asociados a estas iniciativas.
Enfoque en Riesgos Emergentes: La estrategia debe priorizar la evaluación de riesgos emergentes relevantes para el sector financiero peruano, como el ciberfraude, la regulación de criptoactivos, la competencia de las fintech o los riesgos ASG (Ambientales, Sociales y de Gobierno Corporativo).
Desarrollo de Capacidades: Incluir iniciativas para desarrollar las competencias del equipo en áreas como análisis de datos avanzado, auditoría de sistemas de inteligencia artificial y machine learning aplicados en el sector financiero, o nuevas metodologías de auditoría continua.
Revisión Dinámica: La estrategia de auditoría interna debe ser dinámica y revisarse con mayor frecuencia que anualmente si hay cambios significativos en el entorno regulatorio peruano (ej. nuevas circulares de la SBS), la estrategia de la entidad o el panorama de riesgos (ej. crisis económica, inestabilidad política).
Norma 9.3 Estatuto de Auditoría Interna:
El DAI debe desarrollar y mantener un Estatuto de Auditoría Interna que especifique el Propósito de Auditoría Interna, el compromiso de adhesión a las Normas, el Mandato y responsabilidades del Consejo de apoyar la función, la posición organizativa y relaciones de dependencia, las responsabilidades de la función (incluyendo alcance y tipos de servicios), y el compromiso con el aseguramiento y mejora de la calidad. Se debe discutir y obtener la aprobación del Consejo.
Factores para una empresa financiera peruana:
Contenido Específico del Estatuto: El estatuto debe detallar el alcance de la auditoría interna para cubrir todas las unidades de negocio, procesos, sistemas y productos financieros de la entidad en Perú, así como sus operaciones en el exterior (si aplica).
Relación de Dependencia Regulatoria: El estatuto debe reflejar la relación de dependencia funcional de la auditoría interna con el Consejo, como lo exigen las mejores prácticas y, en algunos casos, las regulaciones de la SBS, para asegurar su independencia.
Mención de Leyes y Regulaciones: El estatuto puede hacer referencia explícita a las leyes y regulaciones peruanas que respaldan el Mandato de Auditoría Interna, como la Ley General del Sistema Financiero y del Sistema de Seguros, para fortalecer su autoridad.
Proceso de Aprobación Formal: Asegurar que el estatuto sea formalmente aprobado por el Consejo y que cualquier modificación significativa sea también aprobada, con la debida documentación y comunicación a la alta dirección.
Norma 9.4 Metodologías:
El DAI debe establecer metodologías (políticas, procesos y procedimientos) para guiar a la Función de Auditoría Interna en el logro de su Mandato y la conformidad con las Normas. Las metodologías deben guiar la evaluación de riesgos, el desarrollo del Plan de Auditoría Interna, la determinación del equilibrio entre trabajos de aseguramiento y asesoramiento, la coordinación con proveedores, la protección de datos, la ejecución de trabajos, la comunicación de resultados, la retención de registros y la monitorización de planes de acción.
Factores para una empresa financiera peruana:
Metodologías de Auditoría Específicas: Desarrollar metodologías para auditar procesos financieros complejos (ej. originación de créditos, gestión de carteras de inversión, operaciones de tesorería, cumplimiento de estándares contables peruanos), incluyendo guías para la evaluación de riesgos inherentes y residuales en estos procesos.
Uso de Marcos de Control para Finanzas: Incorporar marcos de control reconocidos en el sector financiero (ej. COBIT para TI, ISO 27001 para seguridad de la información, guías de la SBS para riesgos operacionales) en las metodologías de auditoría para evaluar la idoneidad y eficacia de los controles.
Rating de Hallazgos y Conclusiones: Establecer una metodología clara y consistente para la calificación o "rating" de hallazgos y conclusiones, que sea comprendida y aceptada por el Consejo y la alta dirección, y que refleje la importancia del riesgo en el contexto de una entidad financiera.
Auditoría de Fraude y LAFT: Metodologías específicas para la realización de investigaciones de fraude, la evaluación de controles contra el lavado de activos y el financiamiento del terrorismo, y la revisión de la gestión de incidencias de ciberseguridad.
Norma 9.5 Plan de Auditoría Interna:
El DAI debe desarrollar un Plan de Auditoría Interna que apoye el logro de los objetivos de la organización, basado en una evaluación documentada de las estrategias, objetivos y riesgos de la organización, que se realice al menos anualmente. El plan debe ser dinámico, considerar la estrategia de Auditoría Interna, especificar servicios que apoyen la evaluación de gobierno, gestión de riesgos y control, e identificar recursos necesarios. El DAI debe comunicar limitaciones y solicitudes contradictorias a la Alta Dirección y al Consejo.
Factores para una empresa financiera peruana:
Universo Auditable por Riesgo Financiero: Desarrollar un universo auditable que segmente la entidad por líneas de negocio, productos, procesos críticos (ej. crédito, tesorería, banca digital), y sistemas de información clave, priorizando las auditorías en función de los riesgos financieros, operativos, regulatorios y reputacionales más altos.
Evaluación Continua de Riesgos: Más allá de la evaluación anual, el DAI debe implementar un monitoreo continuo de los riesgos (ej. cambios en tasas de interés, nuevos productos de la competencia, evolución de regulaciones de la SBS) para ajustar el plan de auditoría de manera ágil.
Auditoría Basada en Escenarios: Considerar escenarios de riesgo específicos para el sector financiero peruano (ej. inestabilidad política, recesión económica, desastres naturales) y cómo podrían afectar los objetivos de la entidad, para integrar estas consideraciones en el plan de auditoría.
Balance entre Aseguramiento y Asesoramiento: El plan debe reflejar un equilibrio entre los trabajos de aseguramiento (ej. cumplimiento regulatorio, efectividad de controles) y los de asesoramiento (ej. apoyo en la implementación de nuevas tecnologías, optimización de procesos), adaptándose a las necesidades de la dirección y el Consejo.
Norma 9.6 Coordinación y Confianza:
El DAI debe coordinarse con los proveedores internos y externos de aseguramiento y considerar la posibilidad de confiar en su trabajo para minimizar duplicaciones y señalar brechas. El DAI debe desarrollar una metodología para evaluar a otros proveedores, considerando sus roles, independencia, competencias y objetividad. El DAI sigue siendo responsable de las conclusiones si confía en el trabajo de otros.
Factores para una empresa financiera peruana:
Coordinación con Reguladores y Auditores Externos: Establecer reuniones periódicas con la SBS y los auditores externos para coordinar los planes de auditoría, compartir información relevante (sin comprometer la confidencialidad) y evitar duplicidades en la revisión de áreas críticas (ej. estados financieros, gestión de riesgos de liquidez).
Mapa de Aseguramiento Integral: Crear un mapa de aseguramiento que identifique todas las funciones de control y aseguramiento en la entidad financiera (ej. cumplimiento, riesgo, seguridad de la información, calidad) y el nivel de cobertura que cada una proporciona sobre los diferentes riesgos, para identificar brechas o solapamientos.
Criterios de Confianza en el Trabajo de Otros: Desarrollar criterios claros para determinar cuándo la auditoría interna puede confiar en el trabajo de otras funciones (ej. cumplimiento normativo, gestión de riesgos), evaluando su independencia, competencia, objetividad y metodología.
Acuerdos de Nivel de Servicio (SLA): En el caso de co-sourcing o servicios especializados, formalizar acuerdos que definan el alcance del trabajo, los entregables esperados y los mecanismos de comunicación y coordinación.
Principio 10: Gestionar los Recursos
El DAI gestiona los recursos con el fin de implementar la estrategia de la Función de Auditoría Interna, completar su Plan y lograr su Mandato. Esto implica la obtención y asignación eficaz de recursos financieros, humanos y tecnológicos.
Norma 10.1 Gestión de los Recursos Financieros:
El DAI debe gestionar los recursos financieros, desarrollando un presupuesto que permita el logro del Mandato y el Plan de Auditoría Interna, incluyendo formación y adquisición de tecnologías. El DAI debe presentar el presupuesto al Consejo para su aprobación y comunicar el impacto de recursos insuficientes.
Factores para una empresa financiera peruana:
Presupuesto Basado en Riesgos: Desarrollar un presupuesto detallado que refleje las necesidades de inversión en talento (ej. salarios competitivos para expertos en banca digital), tecnología (ej. licencias de software de auditoría asistida por computadora) y capacitación, justificando las inversiones en función de los riesgos de la entidad financiera y la estrategia de auditoría.
▪Monitoreo del Gasto: Realizar un seguimiento mensual de los gastos reales frente al presupuesto, identificando desviaciones significativas y adaptando la asignación de recursos según sea necesario.
Argumentación de Recursos Adicionales: Si surgen riesgos imprevistos (ej. nuevas regulaciones urgentes de la SBS, un ataque cibernético grave), el DAI debe justificar y solicitar proactivamente al Consejo y la alta dirección recursos adicionales para abordarlos.
Norma 10.2 Gestión de los Recursos Humanos:
El DAI debe establecer un programa para la selección, desarrollo y retención de auditores internos cualificados para cumplir el Estatuto y el Plan. Debe asegurar que los recursos humanos sean apropiados, suficientes y eficazmente asignados. Debe informar a la Alta Dirección y al Consejo sobre la suficiencia de los recursos humanos y obtener su aprobación del plan de recursos humanos. El DAI debe evaluar las competencias individuales y fomentar el desarrollo profesional.
Factores para una empresa financiera peruana:
Estrategia de Atracción de Talento: Desarrollar una estrategia para atraer y retener auditores con perfiles especializados en el sector financiero (ej. ingenieros de sistemas con experiencia en banca, expertos en análisis de datos, contadores con conocimientos de IFRS y normas SBS), dada la alta demanda en el mercado laboral.
Desarrollo de Competencias Técnicas y Blandas: Crear planes de desarrollo individual que no solo abarquen conocimientos técnicos (ej. ciberseguridad, gestión de riesgos de mercado) sino también habilidades blandas críticas para la auditoría (ej. comunicación asertiva, pensamiento crítico, negociación).
Modelo de Rotación de Personal: Considerar un modelo de rotación con otras áreas del banco (ej. riesgos, cumplimiento, tecnología) para que los auditores internos adquieran experiencia práctica en el negocio y viceversa, lo que mejora la comprensión mutua y la calidad de la auditoría.
Plan de Sucesión: Establecer un plan de sucesión para roles clave en la auditoría interna (ej. DAI, Gerentes de Auditoría), asegurando la continuidad del conocimiento y la experiencia en el sector financiero.
Norma 10.3 Recursos Tecnológicos:
El DAI debe asegurar que la Función de Auditoría Interna cuenta con tecnologías apropiadas para apoyar el proceso de auditoría. Debe evaluar regularmente las tecnologías y buscar oportunidades de mejora en eficacia y eficiencia. Debe asegurar que los auditores reciban formación apropiada y colaborar con las funciones de TI y Seguridad de la Información.
Factores para una empresa financiera peruana:
Software de Auditoría Especializado: Adquirir y capacitar en el uso de software de auditoría asistida por computadora (CAATs) para el análisis de grandes volúmenes de transacciones financieras, detección de patrones de fraude y monitoreo continuo de controles.
Herramientas de Ciberseguridad para Auditoría: Implementar herramientas que permitan a los auditores evaluar la seguridad de los sistemas bancarios, las aplicaciones móviles y las plataformas de banca en línea, y detectar vulnerabilidades.
Sistemas de Gestión de Auditoría: Utilizar plataformas integradas para la gestión del ciclo de auditoría, desde la planificación y ejecución hasta el seguimiento de recomendaciones, mejorando la eficiencia y el control de calidad.
Colaboración con TI y Seguridad: Trabajar estrechamente con los equipos de TI y seguridad de la información del banco para entender la arquitectura de sistemas, los controles de ciberseguridad y las innovaciones tecnológicas, asegurando que la auditoría interna esté preparada para evaluar los riesgos asociados a estas tecnologías.
Principio 11: Comunicarse de Manera Eficaz
El DAI asegura que la Función de Auditoría Interna se comunica con las partes interesadas de forma eficaz. La comunicación eficaz promueve relaciones, establece confianza y asegura que las partes interesadas se beneficien de los Servicios de Auditoría Interna.
Norma 11.1 Construcción de Relaciones y Comunicación con las Partes Interesadas:
El DAI debe actuar para que la Función de Auditoría Interna construya relaciones y genere confianza con las principales partes interesadas, incluyendo el Consejo, la Alta Dirección, la Dirección Operativa, los reguladores y los proveedores internos y externos. Debe promover comunicaciones formales e informales que contribuyan a un entendimiento común de intereses, riesgos, roles y regulaciones.
Factores para una empresa financiera peruana:
Diálogo con la SBS y la SMV: Mantener una comunicación fluida y proactiva con los supervisores peruanos, compartiendo perspectivas sobre riesgos sistémicos, implementación de nuevas regulaciones y avances en la gestión de control interno.
Relación con la Alta Gerencia: Reuniones periódicas con los líderes de las principales líneas de negocio (ej. banca minorista, banca corporativa, inversiones) para entender sus estrategias, objetivos y principales desafíos, y cómo la auditoría interna puede agregar valor.
Participación en Comités Clave: Que el DAI o sus representantes participen en comités relevantes de la entidad (ej. Comité de Activos y Pasivos, Comité de Ciberseguridad, Comité de Continuidad de Negocio) para mantenerse informado y establecer una relación de confianza.
Comunicación con Clientes y Proveedores: Entender las expectativas de los clientes del banco (ej. a través de encuestas, quejas) y la relación con proveedores críticos (ej. proveedores de tecnología, empresas de seguridad), ya que estos pueden ser fuentes de riesgo importantes.
Norma 11.2 Comunicación Eficaz:
El DAI debe asegurar que las comunicaciones de Auditoría Interna sean precisas, objetivas, claras, concisas, constructivas, completas y oportunas.
Factores para una empresa financiera peruana:
Informes Adaptados por Audiencia: Preparar informes con diferentes niveles de detalle y terminología según la audiencia (ej. resumidos para el Consejo, técnicos para la gerencia de TI, detallados para los responsables de procesos), asegurando claridad en los hallazgos de riesgos financieros y operacionales.
Uso de Datos y Visualizaciones: Incorporar gráficos, tablas y análisis de datos en los informes para presentar de manera clara la materialidad y el impacto de los hallazgos, especialmente en relación con cifras financieras o volúmenes de transacciones.
Enfoque Constructivo: Formular recomendaciones que sean prácticas y factibles para la entidad financiera, considerando su contexto operativo y regulatorio en Perú, y promoviendo la colaboración para la mejora.
Oportunidad de la Comunicación: Asegurar que los hallazgos críticos (ej. vulnerabilidades de ciberseguridad, fraudes detectados, incumplimientos regulatorios) sean comunicados de inmediato a las partes responsables y al Consejo, sin esperar el informe final.
Norma 11.3 Comunicación de los Resultados:
El DAI debe comunicar periódicamente los resultados de los Servicios de Auditoría Interna, comprendiendo las expectativas de la Alta Dirección y del Consejo Los resultados incluyen conclusiones de trabajos, temas (prácticas eficaces, causas raíz) y conclusiones a nivel de unidad de negocio o de la organización. El DAI debe aprobar la comunicación final antes de su emisión.
Variables para una empresa financiera peruana:
Informes Consolidado de Riesgos: Presentar al Consejo informes que consoliden los hallazgos de múltiples auditorías para identificar patrones de riesgo sistémicos o causas raíz recurrentes en la entidad financiera (ej. debilidades en los procesos de KYC, falta de automatización de controles en áreas clave).
Opinión sobre el Control Interno General: Cuando sea requerido por la SBS o el Consejo, el DAI debe emitir una opinión global sobre la efectividad del sistema de control interno de la entidad, basada en evidencia suficiente y fiable de múltiples auditorías.
Comunicación de Buenas Prácticas: Resaltar las prácticas efectivas o los controles robustos identificados en algunas áreas, para que sirvan de ejemplo y se puedan replicar en otras partes de la organización, fomentando una cultura de mejora continua.
Consideración de Perspectivas Externas: Al consolidar los resultados, el DAI debe considerar las observaciones de los reguladores (SBS), auditores externos y otras funciones de control para ofrecer una visión holística del entorno de control.
Norma 11.4 Errores y Omisiones:
Si una comunicación final contiene errores u omisiones significativas, el DAI debe comunicar la información corregida oportunamente a todas las partes que recibieron la comunicación original. La importancia se determina de acuerdo con los criterios acordados con el Consejo.
Factores para una empresa financiera peruana:
Protocolo de Rectificación Urgente: Establecer un protocolo de comunicación urgente para rectificar errores u omisiones que puedan afectar la reputación de la entidad, la relación con los reguladores o la toma de decisiones críticas (ej. un error en el cálculo de un riesgo material que afecta las provisiones).
Análisis de Causa Raíz de Errores: Identificar la causa raíz del error u omisión en la comunicación de auditoría para implementar acciones correctivas y preventivas, como la revisión de procesos internos de control de calidad de informes o la capacitación del personal.
Norma 11.5 Comunicación de la Aceptación de los Riesgos:
El DAI debe comunicar los niveles inaceptables de riesgo. Cuando el DAI concluya que la Dirección ha aceptado un nivel de riesgo que excede la tolerancia de riesgo de la organización, debe tratarlo con la Alta Dirección. Si no se resuelve, debe escalarlo al Consejo. La resolución del riesgo no es responsabilidad del DAI.
Factores para una empresa financiera peruana:
Identificación de Riesgos Inaceptables: El DAI debe identificar activamente situaciones donde la gerencia de la entidad financiera acepte riesgos que exceden la tolerancia al riesgo aprobada por el Consejo (ej. niveles de exposición crediticia a sectores de alto riesgo, vulnerabilidades de ciberseguridad no mitigadas).
Proceso de Escalamiento Formal: Establecer un proceso formal de escalamiento para cuando la alta dirección no resuelva un riesgo inaceptable, comunicándolo al Consejo con toda la información relevante y las consecuencias potenciales para la entidad (ej. multas de la SBS, impacto en la solvencia).
Impacto Regulatorio: El DAI debe estar especialmente atento a los riesgos aceptados que puedan tener un impacto regulatorio (ej. incumplimiento de límites de exposición, deficiencias en la prevención de lavado de activos), ya que esto puede llevar a sanciones por parte de la SBS..
Principio 12: Mejorar la Calidad
El DAI asegura la conformidad con las Normas Globales de Auditoría Interna y mejora continuamente el desempeño de la Función de Auditoría Interna. El Programa de Aseguramiento y Mejora de la Calidad (PAMEC) se diseña para evaluar y asegurar la conformidad con las Normas, el logro de objetivos de desempeño y la búsqueda de mejora continua, incorporando evaluaciones internas y externas.
Norma 12.1 Evaluación Interna de Calidad:
El DAI debe desarrollar y llevar a cabo Evaluaciones Internas (EI) para medir el avance de la Función de Auditoría Interna en el logro de objetivos y la conformidad con las Normas. La metodología debe incluir seguimiento continuo y autoevaluaciones periódicas. Los resultados deben comunicarse al Consejo anualmente.
Factores para una empresa financiera peruana:
Monitoreo Continuo del Desempeño: Implementar un sistema de monitoreo continuo que evalúe la calidad de los papeles de trabajo, la oportunidad de los informes y la efectividad de las recomendaciones en la mitigación de riesgos financieros y operacionales.
Autoevaluaciones Periódicas Detalladas: Realizar autoevaluaciones periódicas que abarquen todos los aspectos de la función de auditoría interna, incluyendo la adecuación de las metodologías para auditar nuevos productos financieros (ej. billeteras digitales), la capacidad del equipo para evaluar riesgos de ciberseguridad y el cumplimiento de las regulaciones peruanas.
Feedback de los Auditados: Recopilar feedback de la gerencia de las áreas auditadas sobre la calidad, el profesionalismo y el valor agregado de las auditorías internas, especialmente en un sector donde la colaboración es clave para el éxito.
Planes de Acción de Mejora: Desarrollar planes de acción claros para abordar las debilidades identificadas en las evaluaciones internas, con indicadores clave de desempeño (KPIs) específicos para medir la mejora (ej. reducción de tiempo de ciclo de auditoría, aumento en el porcentaje de recomendaciones implementadas).
Norma 12.2 Medición del Desempeño:
El DAI debe desarrollar objetivos para evaluar el desempeño de la Función de Auditoría Interna, considerando los comentarios de la Alta Dirección y del Consejo. Debe desarrollar una metodología para la medición del desempeño que incluya criterios y medidas para evaluar los avances, y solicitar comentarios de la Alta Dirección y del Consejo.
Factores para una empresa financiera peruana:
KPIs Específicos del Sector Financiero: Establecer KPIs que midan no solo la eficiencia (ej. porcentaje del plan completado, tiempo promedio de auditoría) sino también la efectividad en la mejora del control interno y la mitigación de riesgos financieros (ej. reducción de hallazgos repetitivos en áreas de alto riesgo, valor de los ahorros o recuperaciones generadas por recomendaciones de auditoría).
Métricas de Valor Agregado: Incluir métricas que demuestren el valor agregado de la auditoría interna a la entidad financiera, como la contribución a la mejora de los procesos de gestión de riesgos crediticios, la optimización de los controles de ciberseguridad o el apoyo en la adaptación a nuevas regulaciones.
Encuestas de Satisfacción de Stakeholders: Realizar encuestas periódicas a la alta dirección, al Consejo y a los gerentes de las áreas auditadas para evaluar la satisfacción con los servicios de auditoría interna, la claridad de los informes y la relevancia de las recomendaciones.
Norma 12.3 Verificación y Mejora del Desempeño en los Trabajos:
El DAI debe asegurar que los trabajos de auditoría se supervisen correctamente, se asegure la calidad y se desarrollen competencias. Esto implica ofrecer orientación, verificar la completitud de los papeles de trabajo y asegurar que respaldan hallazgos, conclusiones y recomendaciones. También debe asegurar que los trabajos cumplan con las Normas y metodologías y ofrecer feedback para desarrollar competencias.
Factores para una empresa financiera peruana:
Supervisión Especializada: En auditorías de áreas altamente técnicas (ej. sistemas de trading, modelos de valoración de activos), la supervisión debe ser realizada por auditores con experiencia y conocimiento específico en esas áreas.
Control de Calidad en Papeles de Trabajo: Implementar un sistema de revisión de papeles de trabajo que asegure que la evidencia recopilada es relevante, fiable y suficiente para respaldar los hallazgos y conclusiones sobre riesgos financieros y controles.
Feedback Estructurado y Oportuno: Proporcionar feedback constructivo y oportuno a los auditores sobre su desempeño en la aplicación de las metodologías, la identificación de riesgos en el sector financiero y la comunicación de hallazgos, para fomentar su desarrollo profesional..
Resolución de Diferencias de Juicio: Establecer un proceso para resolver cualquier diferencia de juicio profesional que pueda surgir entre auditores y supervisores, especialmente en temas subjetivos como la materialidad de un riesgo o la viabilidad de una recomendación en el contexto del negocio bancario.
Comentarios
Publicar un comentario