Proposito, etica y profesionalismo de Auditoria Interna
Dominios y principios de las Normas Globales de Auditoria Interna
Las Normas Globales de Auditoría Interna (NGAI), publicadas el 9 de enero de 2024 y con entrada en vigor a partir del 9 de enero de 2025, guían la práctica profesional de la auditoría interna a nivel mundial, sirviendo como base para evaluar y elevar la calidad de la función de auditoría interna. Estas Normas establecen los requisitos y recomendaciones esenciales para la práctica profesional de la auditoría interna a nivel global. Se aplican a cualquier individuo o función que ofrezca servicios de auditoría interna, a organizaciones de cualquier propósito, tamaño, complejidad y estructura, y a personas dentro o fuera de la organización, incluyendo empleados, proveedores de servicios externos o una combinación de ambos.
Las NGAI se organizan en cinco dominios principales interrelacionados, que son: Propósito de la Auditoría Interna; Ética y Profesionalismo; Gobierno de la Función de Auditoría Interna; Gestión de la Función de Auditoría Interna; y Desempeño de los Servicios de Auditoría Interna. El Director de Auditoría Interna (DAI) es responsable de la conformidad global de la Función de Auditoría Interna con las Normas.
A continuación, se detalla cada dominio y se proporcionan variables específicas para su aplicación en una empresa del sistema financiero peruano.
Dominio I: Propósito de la Auditoría Interna
Este dominio busca expresar el valor de la auditoría interna y ayudar a los auditores internos y sus partes interesadas a comprender su rol. La Auditoría Interna, según las NGAI, aumenta el éxito de la organización al proporcionar aseguramiento objetivo y asesoramiento al Consejo y a la alta dirección.
La auditoría interna fortalece varios aspectos clave de una organización, incluyendo:
La creación de valor, su protección y sostenibilidad.
Los procesos de gobierno, gestión de riesgos y control
La toma de decisiones y la supervisión.
La reputación y credibilidad con sus partes interesadas.
Su capacidad para servir al interés público.
Para que la auditoría interna sea más eficaz, debe ser realizada por auditores internos cualificados en conformidad con las Normas Globales de Auditoría Interna, establecidas de acuerdo con el interés público. Además, la función de auditoría interna debe estar posicionada de manera independiente con responsabilidad directa ante el Consejo, y los auditores internos deben estar libres de parcialidad o sesgo y de influencia indebida, comprometiéndose a realizar evaluaciones objetivas.
Variables para una empresa del sistema financiero peruano: En el contexto de una empresa del sistema financiero peruano, el propósito de la auditoría interna se manifestará de diversas maneras:
Creación y Protección de Valor: La auditoría interna contribuirá a la protección del capital de la entidad, a la prevención de fraudes y al aseguramiento de la continuidad operativa frente a riesgos específicos del mercado peruano, como la volatilidad económica o los riesgos de crédito asociados a carteras de clientes diversificadas. Su rol incluye identificar ineficiencias que impidan la sostenibilidad del negocio y el cumplimiento de los márgenes de rentabilidad esperados por los accionistas.
Procesos de Gobierno, Gestión de Riesgos y Control: La auditoría interna evaluará la efectividad de los marcos de gobierno corporativo, esenciales para la confianza de los inversionistas y reguladores. Esto incluye la revisión de políticas de gestión de riesgos crediticios, de mercado, operativos y de liquidez, que son críticos en el sector financiero. Evaluarán si los controles internos son robustos para prevenir errores en transacciones, asegurar la integridad de la información financiera y proteger los activos frente a amenazas internas y externas.
Toma de Decisiones y Supervisión: Los informes de auditoría interna proporcionarán al Consejo y a la alta dirección información crucial para la toma de decisiones estratégicas, como la expansión a nuevos segmentos de mercado, la introducción de nuevos productos financieros (ej. fintech) o la evaluación de la suficiencia de las provisiones para créditos dudosos. La supervisión efectiva por parte de la auditoría interna asegurará que las directrices del Consejo se implementen adecuadamente.
Reputación y Credibilidad: En un sector altamente regulado y basado en la confianza como el financiero, la auditoría interna es clave para mantener la reputación. Esto implica asegurar el cumplimiento de las normativas de la Superintendencia de Banca, Seguros y AFP (SBS), la prevención de lavado de activos y financiamiento del terrorismo (LAFT), y la protección de datos de los clientes. Una auditoría interna sólida refuerza la confianza de los depositantes, inversionistas y el público en general en la entidad.
Servicio al Interés Público: En Perú, las entidades financieras son actores clave en la estabilidad económica. La auditoría interna contribuirá a la solidez del sistema financiero al asegurar prácticas responsables, la protección de los ahorros del público y el cumplimiento de las regulaciones diseñadas para la estabilidad sistémica.
Dominio II: Ética y Profesionalismo
Este dominio es fundamental, ya que los principios y normas que contiene constituyen el código de ética de los auditores internos. Marcan las expectativas de comportamiento para los auditores internos profesionales y para cualquier persona o entidad que preste servicios de auditoría interna. La adhesión a estos principios y normas fomenta la confianza en la profesión de Auditoría Interna, crea una cultura ética dentro de la Función de Auditoría Interna y establece la base para la confianza en el trabajo y los juicios de los auditores internos. Se espera que los auditores internos cumplan estas Normas de Ética y Profesionalismo, incluso si deben observar otros códigos de conducta de su organización.
Principio 1: Demostrar Integridad
Los auditores internos deben demostrar integridad en su trabajo y comportamiento. Esto significa comportarse de manera que soporte el escrutinio de los compañeros u otras personas, implicando trato justo, honestidad y el coraje de actuar apropiadamente incluso bajo presión o con potenciales consecuencias personales u organizacionales. La integridad es el fundamento de los otros principios de Ética y Profesionalismo, como la objetividad, la competencia, el debido cuidado profesional y la confidencialidad.
Norma 1.1 Honestidad y Valentía:
Los auditores internos deben realizar su trabajo con honestidad y valentía. Esto implica actuar de manera honesta, precisa, clara y abierta, siendo respetuosos en todas las relaciones y comunicaciones profesionales No deben hacer declaraciones falsas, engañosas u omitir hechos materiales que puedan afectar la toma de decisiones informadas de la organización. Deben mostrar valentía al comunicarse honestamente y tomar acciones apropiadas, incluso ante dilemas, tratando a las personas con profesionalismo y respeto. El DAI debe mantener un entorno donde los auditores se sientan apoyados al expresar observaciones legítimas y basadas en evidencias. Se recomienda al menos dos horas de educación profesional continua sobre ética anualmente.
Factores a considerar para una empresa financiera peruana:
Formación en Ética Regulatoria: Programas de capacitación específicos sobre las regulaciones peruanas contra el lavado de activos (SBS), financiamiento del terrorismo (UIF-Perú), y delitos financieros, destacando la importancia de la honestidad en el reporte de hallazgos relacionados.
Canales de Denuncia Protegidos: Establecimiento de canales internos robustos para que los auditores informen, con valentía, sobre irregularidades o presiones indebidas, especialmente en áreas sensibles como créditos, inversiones o tesorería, sin temor a represalias.
Dilemas Éticos en Entornos de Alta Presión: Casos prácticos y simulaciones que aborden situaciones comunes en el sector financiero peruano, como la presión para aprobar créditos a clientes con conexiones políticas, o la minimización de hallazgos en auditorías de áreas de alto desempeño.
Supervisión y Mentoría: Los supervisores deben guiar a los auditores junior en cómo mantener la honestidad y la valentía en un entorno que a menudo puede ser jerárquico y demandante, asegurando que los hallazgos desfavorables sean comunicados de manera clara y precisa.
Norma 1.2 Expectativas éticas de la organización:
Los auditores internos deben respetar y contribuir a las expectativas legítimas y éticas de la organización. Deben comprender y cumplir las expectativas éticas y reconocer conductas contrarias, promoviendo una cultura ética. Evaluarán y recomendarán mejoras en objetivos, políticas y procesos que promuevan la ética y comunicarán las inconsistencias. El Plan de Auditoría Interna debería incluir la evaluación de riesgos de ética.
Factores para una empresa financiera peruana:
Alineación con Códigos de Conducta: Asegurar que las políticas de auditoría interna reflejen y refuercen el código de conducta de la empresa, especialmente en lo que respecta a la gestión de conflictos de interés, el uso de información privilegiada y la relación con proveedores y clientes.
Norma 1.3 Comportamiento legal y profesional:
Los auditores internos no realizarán ni participarán en actividades ilegales o perjudiciales para la organización o la profesión. Deben comprender y cumplir las leyes y regulaciones relevantes en el sector y jurisdicciones donde opera la organización. Si identifican incumplimientos legales o regulatorios, deben comunicarlos a las personas con autoridad para tomar acciones apropiadas.
Factors para una empresa financiera peruana:
Conocimiento de Normativas: Capacitación constante sobre la Ley General del Sistema Financiero y del Sistema de Seguros (Ley N° 26702), regulaciones de la SBS (ej. Circular G-140 sobre Gestión Integral de Riesgos), normas de protección al consumidor (INDECOPI), y la Ley de Protección de Datos Personales (Ley N° 29733).
Procesos de Detección de Fraude: Implementar metodologías de auditoría para detectar actividades fraudulentas comunes en el sector financiero peruano, como el fraude con tarjetas de crédito, fraudes en préstamos o malversación de fondos, asegurando que se documenten y reporten adecuadamente.
Reporte de Incumplimientos Regulatorios: Asegurar que los incumplimientos con las normativas de la SBS o de la Superintendencia del Mercado de Valores (SMV) sean comunicados internamente y, cuando sea necesario, a los entes reguladores pertinentes, siguiendo los protocolos establecidos.
Salvaguardas contra Comportamientos Perjudiciales: Establecer políticas claras contra el acoso, la discriminación y la manipulación de informes de auditoría, incluyendo procedimientos para manejar acusaciones y asegurar un ambiente de trabajo profesional.
Principio 2: Mantener la Objetividad
Los auditores internos deben mantener una actitud imparcial y libre de sesgo al llevar a cabo los servicios de Auditoría Interna y tomar decisiones. Una Función de Auditoría Interna posicionada de forma independiente apoya la capacidad de los auditores internos para mantener la objetividad.
Norma 2.1 Objetividad Individual:
Requiere que los auditores internos mantengan su objetividad profesional en todos los aspectos de los servicios de Auditoría Interna, aplicando una actitud mental imparcial y emitiendo juicios basados en una evaluación equilibrada de todas las circunstancias relevantes Deben conocer y gestionar potenciales sesgos como la autorrevisión, la familiaridad y el prejuicio inconsciente. El DAI debe proporcionar políticas, procedimientos y formación para apoyar y promover la objetividad
Factores para una empresa financiera peruana:
Rotación de Auditores: Implementar políticas de rotación de auditores en áreas de alto riesgo (ej. mesas de dinero, evaluación de créditos, sistemas de pagos) para evitar el sesgo por familiaridad y asegurar una perspectiva fresca y crítica.
Formación en Sesgos Cognitivos: Capacitación sobre sesgos cognitivos comunes en la auditoría (ej. sesgo de confirmación, sesgo de anclaje) y cómo mitigar su impacto al evaluar la información financiera y operativa, especialmente en decisiones subjetivas como la valoración de garantías o la clasificación de riesgos.
Declaraciones de Conflicto de Interés: Requerir declaraciones anuales y ad-hoc de conflictos de interés para todos los auditores, especialmente aquellos que auditan áreas donde tienen relaciones personales o financieras previas.
Norma 2.2 Garantizar la Objetividad:
Los auditores internos deben reconocer y evitar o mitigar cualquier impedimento real, potencial o aparente a la objetividad. Esto incluye evitar la aceptación de regalos o favores que puedan influenciar el juicio, y gestionar conflictos de intereses. No deben proporcionar aseguramiento a actividades sobre las que tuvieron responsabilidad o influencia significativa en el último año. Los trabajos deben ser supervisados por un auditor cualificado e independiente.
Factores para una empresa financiera peruana:
Política Estricta sobre Regalos y Atenciones: Dada la naturaleza del sector financiero y la interacción con clientes y proveedores de gran envergadura, la política sobre la aceptación de regalos debe ser más restrictiva que la general de la organización, para evitar cualquier apariencia de impropiedad.
Restricciones en la Auditoría de Áreas Previamente Gestionadas: Asegurar que los auditores que han trabajado en roles operativos o de gestión (ej. gerencia de productos, riesgos, operaciones) no auditen esas mismas áreas hasta que haya transcurrido un período mínimo (ej. 12 meses).
Supervisión Independiente de Auditorías Sensibles: En el caso de auditorías que involucren áreas de responsabilidad directa del DAI o de la alta gerencia (ej. auditoría de la mesa de dinero, auditoría de la cartera de inversiones del propio banco), la supervisión de la auditoría debe ser realizada por una parte externa o un auditor de un nivel superior con independencia comprobada.
Manejo de Incentivos y Remuneraciones: Diseñar sistemas de evaluación de desempeño y remuneración de la auditoría interna que no creen sesgos, evitando ligar bonos a la cantidad de hallazgos o a la reducción de gastos en las áreas auditadas.
Norma 2.3 Declaración de Impedimentos a la Objetividad:
Si existe un impedimento a la objetividad, real o aparente, debe declararse a las partes apropiadas antes de realizar los servicios de auditoría. El DAI o supervisor debe comunicar al auditor interno afectado, y si el impedimento es significativo, el DAI debe comunicarlo a la dirección de la actividad bajo revisión, la Alta Dirección y/o el Consejo, y determinar las acciones apropiadas para resolver la situación.
Factores para una empresa financiera peruana:
Protocolos de Declaración Formal: Establecer un protocolo formal para que los auditores declaren cualquier impedimento potencial o real de objetividad (ej. parentesco con el gerente del área a auditar, inversiones personales significativas en la empresa, participación reciente en proyectos del área).
Mitigación de Impedimentos Inevitables: En casos donde el impedimento no puede evitarse (ej. auditor con conocimiento único requerido para un proyecto crítico), implementar salvaguardas como la reasignación de tareas, la supervisión reforzada por un tercero independiente, o la exclusión de ciertas áreas del alcance del auditor.
Comunicación al Consejo sobre Impedimentos del DAI: Si el propio Director de Auditoría Interna tiene un impedimento de objetividad (ej. asumir una responsabilidad operativa temporal por mandato del Consejo), debe declararlo al Consejo y proponer salvaguardas para mantener la independencia
Principio 3: Demuestra Competencia
Los auditores internos deben aplicar sus conocimientos, aptitudes y habilidades para cumplir sus roles y responsabilidades de forma exitosa. Esto incluye mejorar su comprensión del negocio, la gestión y la tecnología, así como los contextos económicos, medioambientales, legales, políticos y sociales.
Norma 3.1 Competencia:
Los auditores internos deben reunir u obtener los conocimientos, aptitudes y habilidades necesarios para cumplir con sus responsabilidades. Participarán solo en servicios para los cuales tienen o pueden obtener las competencias. El DAI debe asegurar que la Función de Auditoría Interna, colectivamente, reúne las competencias necesarias.
Factors para una empresa financiera peruana:
Conocimiento del Negocio Financiero: Capacitación en productos financieros complejos (derivados, fideicomisos, fondos mutuos), modelos de riesgo financiero (credit scoring, VaR), contabilidad bancaria (Normas Contables de la SBS), y sistemas core bancarios.
Habilidades Tecnológicas Específicas: Dominio de herramientas de análisis de datos para grandes volúmenes de transacciones (ej. SQL, ACL, Python, R), conocimiento de ciberseguridad para proteger la información financiera, y comprensión de tecnologías emergentes como blockchain o inteligencia artificial aplicada a servicios financieros.
Certificaciones Relevantes: Fomentar la obtención de certificaciones como el Certified Internal Auditor (CIA), Certified in Risk Management Assurance (CRMA), o certificaciones especializadas en ciberseguridad (ej. CISM, CISSP), análisis financiero (ej. CFA) o prevención de fraude (ej. CFE).
Inventario de Competencias: El DAI debe mantener un registro detallado de las competencias individuales del equipo para asegurar una asignación de tareas efectiva y planificar las necesidades de capacitación.
Norma 3.2 Desarrollo Profesional Continuo:
Los auditores internos deben mantener y desarrollar continuamente sus competencias, completando un mínimo de 20 horas de educación profesional continua anualmente. Los certificados deben cumplir requisitos adicionales para mantener sus credenciales.
Factores para una empresa financiera peruana:
Programas de CPE Dirigidos: Diseñar programas de Educación Profesional Continua (CPE) que incluyan seminarios sobre nuevas regulaciones de la SBS, talleres sobre ciberseguridad financiera, cursos sobre tendencias en fintech y banca digital, y conferencias sobre riesgos emergentes en el mercado peruano.
Mentoría y Rotación Interna: Fomentar programas de mentoría con auditores experimentados y oportunidades de rotación entre diferentes áreas (ej. auditoría de créditos, auditoría de operaciones, auditoría de tecnología) para ampliar el conocimiento y la experiencia de los auditores.
Participación en Foros del Sector: Incentivar la participación en asociaciones profesionales locales (ej. Instituto de Auditores Internos de España, que traduce guías globales, o capítulos locales del IIA en Perú) y foros del sector financiero para mantenerse al día con las mejores prácticas y tendencias.
Principio 4: Ejercer el Debido Cuidado Profesional
Los auditores internos deben aplicar el debido cuidado profesional al planificar y desempeñar los Servicios de Auditoría Interna. Esto requiere conformidad con las NGAI, considerar la naturaleza del trabajo y aplicar escepticismo profesional. Implica diligencia, juicio y escepticismo de auditores prudentes y competentes, actuando en el mayor interés de quienes reciben los servicios.
Norma 4.1 Conformidad con las Normas Globales de Auditoría Interna:
Los auditores internos deben planificar y proporcionar servicios de Auditoría Interna de conformidad con las NGAI. Las metodologías deben estar alineadas con las Normas. Si existen impedimentos legales o regulatorios que impidan el cumplimiento de ciertas partes de las Normas, se deben declarar y cumplir con todas las demás partes.
Factores para una empresa financiera peruana:
Manual de Auditoría Interna Detallado: Un manual de auditoría interna que incorpore las NGAI y las regulaciones específicas de la SBS para la auditoría interna de entidades financieras, asegurando que los procedimientos estén alineados con ambos marcos.
Declaración de Conformidad: Incluir en los informes de auditoría una declaración de que el trabajo se realizó de acuerdo con las NGAI, a menos que existan impedimentos legales o regulatorios específicos del Perú que lo impidan.
Aseguramiento de Calidad Interno: Realizar revisiones internas de calidad periódicas para verificar la adherencia a las NGAI y a las metodologías internas, documentando cualquier desviación y sus impactos.
Norma 4.2 Debido Cuidado Profesional:
Los auditores internos deben aplicar el debido cuidado profesional considerando la estrategia y objetivos de la organización, el mayor interés de las partes interesadas, la idoneidad y eficacia de los procesos de gobierno, gestión de riesgos y control, y la relación coste-beneficio de los servicios. También deben considerar la magnitud y oportunidad del trabajo, la complejidad e importancia de los riesgos y la probabilidad de errores significativos o fraudes.
Factores para una empresa financiera peruana:
Enfoque Basado en Riesgos: Priorizar las auditorías en función de los riesgos más significativos para la entidad financiera (ej. riesgo de ciberseguridad en banca digital, riesgo de fraude en transacciones electrónicas, riesgo crediticio en segmentos específicos).
Análisis Costo-Beneficio: Evaluar si el costo de una auditoría profunda en un área particular se justifica por los beneficios esperados en la mitigación de riesgos o la mejora de procesos, especialmente en un entorno donde los recursos pueden ser limitados.
Impacto en Partes Interesadas: Considerar el impacto de los hallazgos y recomendaciones no solo en la eficiencia interna, sino también en la confianza de los clientes, la reputación de la entidad y la relación con los reguladores peruanos.
Uso de Tecnología para Eficiencia: Implementar el uso de herramientas de análisis de datos o software de gestión de auditorías para optimizar el tiempo y los recursos invertidos en cada trabajo, mejorando la eficiencia y la cobertura del riesgo.
Norma 4.3 Escepticismo Profesional:
Los auditores internos deben aplicar el escepticismo profesional al planificar y proporcionar los servicios. Esto implica mantener una mente inquisitiva, evaluar críticamente la fiabilidad de la información, ser directos al plantear inquietudes y buscar evidencias adicionales para validar información inconsistente o engañosa.
Factores para una empresa financiera peruana:
Verificación de Datos Financieros: No aceptar la información financiera o de gestión sin una verificación cruzada, especialmente en áreas con alta materialidad o susceptibilidad a fraude (ej. datos de morosidad, valoraciones de activos, cumplimiento de ratios regulatorios).
Cuestionamiento de Supuestos de Gestión: Evaluar críticamente los supuestos subyacentes a las decisiones de la alta gerencia, como las proyecciones de crecimiento de cartera, los modelos de riesgo o las estrategias de mitigación de ciberataques.
Detección de Manipulación o Sesgo: Entrenar a los auditores para identificar señales de manipulación en la información o sesgos en los procesos (ej. favoritismo en la aprobación de créditos, ocultamiento de operaciones no autorizadas), especialmente en una cultura donde el cumplimiento puede ser interpretado de forma flexible.
Entrevistas y Corroboración: Realizar entrevistas estructuradas y corroborar las respuestas con documentación independiente, observando el lenguaje corporal y las inconsistencias, especialmente en áreas de alto riesgo reputacional o de fraude.
Principio 5: Mantener la Confidencialidad
Los auditores internos deben utilizar y proteger la información de manera adecuada. Deben respetar el valor y la titularidad de la información que reciben, empleándola solo para la finalidad aprobada y protegiéndola del acceso o divulgación no intencionada.
Norma 5.1 Uso de Información:
Los auditores internos deben seguir las políticas de la organización y de la Función de Auditoría Interna al emplear la información. Solo deben recopilar y documentar la información necesaria para el trabajo y usarla para finalidades aprobadas. No deben utilizar información para lucro personal ni de forma contraria a la ley o en detrimento de la organización.
Factores para una empresa financiera peruana:
Manejo de Datos Sensibles de Clientes: Implementar controles estrictos para el acceso y uso de datos personales y financieros de clientes, cumpliendo con la Ley de Protección de Datos Personales de Perú (Ley N° 29733) y las regulaciones de la SBS sobre privacidad y seguridad de la información.
Prevención de Uso Indebido de Información Privilegiada: Establecer políticas claras sobre el uso de información financiera o estratégica obtenida durante las auditorías, prohibiendo su uso para transacciones bursátiles personales o para beneficio de terceros.
Acceso Justificado a Sistemas: Asegurar que los auditores solo tengan acceso a la información y sistemas que sean estrictamente necesarios para el desarrollo de su trabajo, con un registro de auditoría de dicho acceso.
Norma 5.2 Protección de Información:
Los auditores internos deben conocer sus responsabilidades sobre la protección de la información y respetar la confidencialidad, privacidad y titularidad de la información obtenida. Deben adherirse a las leyes y regulaciones de confidencialidad y seguridad de la información en las jurisdicciones donde opera la organización. No deben divulgar información confidencial a partes no autorizadas, a menos que exista una responsabilidad legal o profesional, incluso después de cambiar de rol o dejar la organización.
Factores para una empresa financiera peruana:
Seguridad Física y Digital de Papeles de Trabajo: Implementar políticas para la custodia, retención y disposición de los papeles de trabajo y la información digital, asegurando su protección contra accesos no autorizados, especialmente en un entorno de trabajo híbrido o remoto.
Divulgación Restringida a Terceros: Establecer procedimientos para la divulgación de información de auditoría a terceros (ej. reguladores, auditores externos), requiriendo autorizaciones formales y asegurando que la información sea anonimizada cuando sea posible y legal.
Conciencia sobre Riesgos de Divulgación No Intencionada: Capacitar a los auditores sobre los riesgos de divulgación no intencionada de información, incluso en entornos sociales o informales, y sobre la importancia de la discreción fuera del horario laboral.
Cumplimiento con Regulaciones de Ciberseguridad: Asegurar que las prácticas de protección de información de la auditoría interna estén alineadas con las normativas de ciberseguridad específicas del sector financiero peruano, incluyendo medidas de encriptación y control de acceso a sistemas críticos.
Comentarios
Publicar un comentario