Dominios y principios de NGAI
Dominios y principios de las Normas Globales de Auditoria Interna
Las Normas Globales de Auditoría Interna (NGAI), publicadas el 9 de enero de 2024 y con entrada en vigor a partir del 9 de enero de 2025, guían la práctica profesional de la auditoría interna a nivel mundial, sirviendo como base para evaluar y elevar la calidad de la función de auditoría interna. Estas Normas establecen los requisitos y recomendaciones esenciales para la práctica profesional de la auditoría interna a nivel global. Se aplican a cualquier individuo o función que ofrezca servicios de auditoría interna, a organizaciones de cualquier propósito, tamaño, complejidad y estructura, y a personas dentro o fuera de la organización, incluyendo empleados, proveedores de servicios externos o una combinación de ambos.
Las NGAI se organizan en cinco dominios principales
interrelacionados, que son: Propósito de la Auditoría Interna; Ética y
Profesionalismo; Gobierno de la Función de Auditoría Interna; Gestión de la
Función de Auditoría Interna; y Desempeño de los Servicios de Auditoría
Interna. El Director de Auditoría Interna (DAI) es responsable de la
conformidad global de la Función de Auditoría Interna con las Normas.
A continuación, se detalla cada dominio y se proporcionan
variables específicas para su aplicación en una empresa del sistema financiero
peruano.
Dominio I: Propósito de la Auditoría Interna
Este dominio busca expresar el valor de la auditoría
interna y ayudar a los auditores internos y sus partes interesadas a
comprender su rol. La Auditoría Interna, según las NGAI, aumenta el éxito de
la organización al proporcionar aseguramiento objetivo y asesoramiento al
Consejo y a la alta dirección.
La auditoría interna fortalece varios aspectos clave de una
organización, incluyendo:
La creación de valor, su protección y sostenibilidad.
Los procesos de gobierno, gestión de riesgos y control
La toma de decisiones y la supervisión.
La reputación y credibilidad con sus partes interesadas.
Su capacidad para servir al interés público.
Para que la auditoría interna sea más eficaz, debe ser
realizada por auditores internos cualificados en conformidad con las
Normas Globales de Auditoría Interna, establecidas de acuerdo con el interés
público. Además, la función de auditoría interna debe estar posicionada de
manera independiente con responsabilidad directa ante el Consejo, y los
auditores internos deben estar libres de parcialidad o sesgo y de influencia
indebida, comprometiéndose a realizar evaluaciones objetivas.
Variables para una empresa del sistema financiero peruano: En el contexto de una empresa del sistema financiero peruano, el propósito de la auditoría interna se manifestará de diversas maneras:
Creación y Protección de Valor: La auditoría interna
contribuirá a la protección del capital de la entidad, a la prevención de
fraudes y al aseguramiento de la continuidad operativa frente a riesgos
específicos del mercado peruano, como la volatilidad económica o los riesgos de
crédito asociados a carteras de clientes diversificadas. Su rol incluye
identificar ineficiencias que impidan la sostenibilidad del negocio y el
cumplimiento de los márgenes de rentabilidad esperados por los accionistas.
Procesos de Gobierno, Gestión de Riesgos y Control: La auditoría interna evaluará la efectividad de los marcos de gobierno corporativo, esenciales para la confianza de los inversionistas y reguladores. Esto incluye la revisión de políticas de gestión de riesgos crediticios, de mercado, operativos y de liquidez, que son críticos en el sector financiero. Evaluarán si los controles internos son robustos para prevenir errores en transacciones, asegurar la integridad de la información financiera y proteger los activos frente a amenazas internas y externas.
Toma de Decisiones y Supervisión: Los informes de auditoría interna proporcionarán al Consejo y a la alta dirección información crucial para la toma de decisiones estratégicas, como la expansión a nuevos segmentos de mercado, la introducción de nuevos productos financieros (ej. fintech) o la evaluación de la suficiencia de las provisiones para créditos dudosos. La supervisión efectiva por parte de la auditoría interna asegurará que las directrices del Consejo se implementen adecuadamente.
Reputación y Credibilidad: En un sector altamente regulado y basado en la confianza como el financiero, la auditoría interna es clave para mantener la reputación. Esto implica asegurar el cumplimiento de las normativas de la Superintendencia de Banca, Seguros y AFP (SBS), la prevención de lavado de activos y financiamiento del terrorismo (LAFT), y la protección de datos de los clientes. Una auditoría interna sólida refuerza la confianza de los depositantes, inversionistas y el público en general en la entidad.
Servicio al Interés Público: En Perú, las entidades financieras son actores clave en la estabilidad económica. La auditoría interna contribuirá a la solidez del sistema financiero al asegurar prácticas responsables, la protección de los ahorros del público y el cumplimiento de las regulaciones diseñadas para la estabilidad sistémica.
Dominio II: Ética y Profesionalismo
Este dominio es fundamental, ya que los principios y normas
que contiene constituyen el código de ética de los auditores internos.
Marcan las expectativas de comportamiento para los auditores internos
profesionales y para cualquier persona o entidad que preste servicios de
auditoría interna. La adhesión a estos principios y normas fomenta la confianza
en la profesión de Auditoría Interna, crea una cultura ética dentro de la
Función de Auditoría Interna y establece la base para la confianza en el
trabajo y los juicios de los auditores internos. Se espera que los auditores
internos cumplan estas Normas de Ética y Profesionalismo, incluso si deben
observar otros códigos de conducta de su organización.
Principio 1: Demostrar Integridad
Los auditores internos deben demostrar integridad en su
trabajo y comportamiento. Esto significa comportarse de manera que soporte
el escrutinio de los compañeros u otras personas, implicando trato justo,
honestidad y el coraje de actuar apropiadamente incluso bajo presión o con
potenciales consecuencias personales u organizacionales. La integridad es el
fundamento de los otros principios de Ética y Profesionalismo, como la
objetividad, la competencia, el debido cuidado profesional y la
confidencialidad.
Norma 1.1 Honestidad y Valentía:
Los auditores internos deben realizar su trabajo con
honestidad y valentía. Esto implica actuar de manera honesta, precisa, clara y
abierta, siendo respetuosos en todas las relaciones y comunicaciones
profesionales No deben hacer declaraciones falsas, engañosas u omitir hechos
materiales que puedan afectar la toma de decisiones informadas de la
organización. Deben mostrar valentía al comunicarse honestamente y tomar
acciones apropiadas, incluso ante dilemas, tratando a las personas con
profesionalismo y respeto. El DAI debe mantener un entorno donde los auditores
se sientan apoyados al expresar observaciones legítimas y basadas en
evidencias. Se recomienda al menos dos horas de educación profesional continua
sobre ética anualmente.
Factores a considerar para una empresa financiera peruana:
Formación en Ética Regulatoria: Programas de capacitación específicos sobre las regulaciones peruanas contra el lavado de activos (SBS), financiamiento del terrorismo (UIF-Perú), y delitos financieros, destacando la importancia de la honestidad en el reporte de hallazgos relacionados.
Canales de Denuncia Protegidos: Establecimiento de canales internos robustos para que los auditores informen, con valentía, sobre irregularidades o presiones indebidas, especialmente en áreas sensibles como créditos, inversiones o tesorería, sin temor a represalias.
Dilemas Éticos en Entornos de Alta Presión: Casos prácticos y simulaciones que aborden situaciones comunes en el sector financiero peruano, como la presión para aprobar créditos a clientes con conexiones políticas, o la minimización de hallazgos en auditorías de áreas de alto desempeño.
Supervisión y Mentoría: Los supervisores deben guiar a los auditores junior en cómo mantener la honestidad y la valentía en un entorno que a menudo puede ser jerárquico y demandante, asegurando que los hallazgos desfavorables sean comunicados de manera clara y precisa.
Norma 1.2 Expectativas éticas de la organización:
Los auditores internos deben respetar y contribuir a las
expectativas legítimas y éticas de la organización. Deben comprender y cumplir
las expectativas éticas y reconocer conductas contrarias, promoviendo una
cultura ética. Evaluarán y recomendarán mejoras en objetivos, políticas y
procesos que promuevan la ética y comunicarán las inconsistencias. El Plan de
Auditoría Interna debería incluir la evaluación de riesgos de ética.
Factores para una empresa financiera peruana:
Alineación con Códigos de Conducta: Asegurar que las
políticas de auditoría interna reflejen y refuercen el código de conducta de la
empresa, especialmente en lo que respecta a la gestión de conflictos de
interés, el uso de información privilegiada y la relación con proveedores y
clientes.
Norma 1.3 Comportamiento legal y profesional:
Los auditores internos no realizarán ni participarán en
actividades ilegales o perjudiciales para la organización o la profesión. Deben
comprender y cumplir las leyes y regulaciones relevantes en el sector y
jurisdicciones donde opera la organización. Si identifican incumplimientos
legales o regulatorios, deben comunicarlos a las personas con autoridad para
tomar acciones apropiadas.
Factors para una empresa financiera peruana:
Conocimiento de Normativas: Capacitación constante sobre la Ley General del Sistema Financiero y del Sistema de Seguros (Ley N° 26702), regulaciones de la SBS (ej. Circular G-140 sobre Gestión Integral de Riesgos), normas de protección al consumidor (INDECOPI), y la Ley de Protección de Datos Personales (Ley N° 29733).
Procesos de Detección de Fraude: Implementar metodologías de auditoría para detectar actividades fraudulentas comunes en el sector financiero peruano, como el fraude con tarjetas de crédito, fraudes en préstamos o malversación de fondos, asegurando que se documenten y reporten adecuadamente.
Reporte de Incumplimientos Regulatorios: Asegurar que los incumplimientos con las normativas de la SBS o de la Superintendencia del Mercado de Valores (SMV) sean comunicados internamente y, cuando sea necesario, a los entes reguladores pertinentes, siguiendo los protocolos establecidos.
Salvaguardas contra Comportamientos Perjudiciales: Establecer políticas claras contra el acoso, la discriminación y la manipulación de informes de auditoría, incluyendo procedimientos para manejar acusaciones y asegurar un ambiente de trabajo profesional.
Principio 2: Mantener la Objetividad
Los auditores internos deben mantener una actitud
imparcial y libre de sesgo al llevar a cabo los servicios de Auditoría
Interna y tomar decisiones. Una Función de Auditoría Interna posicionada de
forma independiente apoya la capacidad de los auditores internos para mantener
la objetividad.
Norma 2.1 Objetividad Individual:
Requiere que los auditores internos mantengan su objetividad
profesional en todos los aspectos de los servicios de Auditoría Interna,
aplicando una actitud mental imparcial y emitiendo juicios basados en una
evaluación equilibrada de todas las circunstancias relevantes Deben conocer y
gestionar potenciales sesgos como la autorrevisión, la familiaridad y el
prejuicio inconsciente. El DAI debe proporcionar políticas, procedimientos y
formación para apoyar y promover la objetividad
Factores para una empresa financiera peruana:
Rotación de Auditores: Implementar políticas de rotación de auditores en áreas de alto riesgo (ej. mesas de dinero, evaluación de créditos, sistemas de pagos) para evitar el sesgo por familiaridad y asegurar una perspectiva fresca y crítica.
Formación en Sesgos Cognitivos: Capacitación sobre sesgos cognitivos comunes en la auditoría (ej. sesgo de confirmación, sesgo de anclaje) y cómo mitigar su impacto al evaluar la información financiera y operativa, especialmente en decisiones subjetivas como la valoración de garantías o la clasificación de riesgos.
Declaraciones de Conflicto de Interés: Requerir declaraciones anuales y ad-hoc de conflictos de interés para todos los auditores, especialmente aquellos que auditan áreas donde tienen relaciones personales o financieras previas.
Norma 2.2 Garantizar la Objetividad:
Los auditores internos deben reconocer y evitar o mitigar
cualquier impedimento real, potencial o aparente a la objetividad. Esto incluye
evitar la aceptación de regalos o favores que puedan influenciar el juicio, y
gestionar conflictos de intereses. No deben proporcionar aseguramiento a
actividades sobre las que tuvieron responsabilidad o influencia significativa
en el último año. Los trabajos deben ser supervisados por un auditor
cualificado e independiente.
Factores para una empresa financiera peruana:
Política Estricta sobre Regalos y Atenciones: Dada la naturaleza del sector financiero y la interacción con clientes y proveedores de gran envergadura, la política sobre la aceptación de regalos debe ser más restrictiva que la general de la organización, para evitar cualquier apariencia de impropiedad.
Restricciones en la Auditoría de Áreas Previamente Gestionadas: Asegurar que los auditores que han trabajado en roles operativos o de gestión (ej. gerencia de productos, riesgos, operaciones) no auditen esas mismas áreas hasta que haya transcurrido un período mínimo (ej. 12 meses).
Supervisión Independiente de Auditorías Sensibles: En el caso de auditorías que involucren áreas de responsabilidad directa del DAI o de la alta gerencia (ej. auditoría de la mesa de dinero, auditoría de la cartera de inversiones del propio banco), la supervisión de la auditoría debe ser realizada por una parte externa o un auditor de un nivel superior con independencia comprobada.
Manejo de Incentivos y Remuneraciones: Diseñar sistemas de evaluación de desempeño y remuneración de la auditoría interna que no creen sesgos, evitando ligar bonos a la cantidad de hallazgos o a la reducción de gastos en las áreas auditadas.
Norma 2.3 Declaración de Impedimentos a la Objetividad:
Si existe un impedimento a la objetividad, real o aparente,
debe declararse a las partes apropiadas antes de realizar los servicios de
auditoría. El DAI o supervisor debe comunicar al auditor interno afectado, y si
el impedimento es significativo, el DAI debe comunicarlo a la dirección de la
actividad bajo revisión, la Alta Dirección y/o el Consejo, y determinar las
acciones apropiadas para resolver la situación.
Factores para una empresa financiera peruana:
Protocolos de Declaración Formal: Establecer un protocolo formal para que los auditores declaren cualquier impedimento potencial o real de objetividad (ej. parentesco con el gerente del área a auditar, inversiones personales significativas en la empresa, participación reciente en proyectos del área).
Mitigación de Impedimentos Inevitables: En casos donde el impedimento no puede evitarse (ej. auditor con conocimiento único requerido para un proyecto crítico), implementar salvaguardas como la reasignación de tareas, la supervisión reforzada por un tercero independiente, o la exclusión de ciertas áreas del alcance del auditor.
Comunicación al Consejo sobre Impedimentos del DAI: Si el propio Director de Auditoría Interna tiene un impedimento de objetividad (ej. asumir una responsabilidad operativa temporal por mandato del Consejo), debe declararlo al Consejo y proponer salvaguardas para mantener la independencia
Principio 3: Demuestra Competencia
Los auditores internos deben aplicar sus conocimientos,
aptitudes y habilidades para cumplir sus roles y responsabilidades de forma
exitosa. Esto incluye mejorar su comprensión del negocio, la gestión y la
tecnología, así como los contextos económicos, medioambientales, legales,
políticos y sociales.
Norma 3.1 Competencia:
Los auditores internos deben reunir u obtener los
conocimientos, aptitudes y habilidades necesarios para cumplir con sus
responsabilidades. Participarán solo en servicios para los cuales tienen o
pueden obtener las competencias. El DAI debe asegurar que la Función de
Auditoría Interna, colectivamente, reúne las competencias necesarias.
Factors para una empresa financiera peruana:
Conocimiento del Negocio Financiero: Capacitación en productos financieros complejos (derivados, fideicomisos, fondos mutuos), modelos de riesgo financiero (credit scoring, VaR), contabilidad bancaria (Normas Contables de la SBS), y sistemas core bancarios.
Habilidades Tecnológicas Específicas: Dominio de herramientas de análisis de datos para grandes volúmenes de transacciones (ej. SQL, ACL, Python, R), conocimiento de ciberseguridad para proteger la información financiera, y comprensión de tecnologías emergentes como blockchain o inteligencia artificial aplicada a servicios financieros.
Certificaciones Relevantes: Fomentar la obtención de certificaciones como el Certified Internal Auditor (CIA), Certified in Risk Management Assurance (CRMA), o certificaciones especializadas en ciberseguridad (ej. CISM, CISSP), análisis financiero (ej. CFA) o prevención de fraude (ej. CFE).
Inventario de Competencias: El DAI debe mantener un registro detallado de las competencias individuales del equipo para asegurar una asignación de tareas efectiva y planificar las necesidades de capacitación.
Norma 3.2 Desarrollo Profesional Continuo:
Los auditores internos deben mantener y desarrollar
continuamente sus competencias, completando un mínimo de 20 horas de
educación profesional continua anualmente. Los certificados deben cumplir
requisitos adicionales para mantener sus credenciales.
Factores para una empresa financiera peruana:
Programas de CPE Dirigidos: Diseñar programas de Educación Profesional Continua (CPE) que incluyan seminarios sobre nuevas regulaciones de la SBS, talleres sobre ciberseguridad financiera, cursos sobre tendencias en fintech y banca digital, y conferencias sobre riesgos emergentes en el mercado peruano.
Mentoría y Rotación Interna: Fomentar programas de mentoría con auditores experimentados y oportunidades de rotación entre diferentes áreas (ej. auditoría de créditos, auditoría de operaciones, auditoría de tecnología) para ampliar el conocimiento y la experiencia de los auditores.
Participación en Foros del Sector: Incentivar la participación en asociaciones profesionales locales (ej. Instituto de Auditores Internos de España, que traduce guías globales, o capítulos locales del IIA en Perú) y foros del sector financiero para mantenerse al día con las mejores prácticas y tendencias.
Principio 4: Ejercer el Debido Cuidado Profesional
Los auditores internos deben aplicar el debido cuidado
profesional al planificar y desempeñar los Servicios de Auditoría Interna.
Esto requiere conformidad con las NGAI, considerar la naturaleza del trabajo y
aplicar escepticismo profesional. Implica diligencia, juicio y escepticismo de
auditores prudentes y competentes, actuando en el mayor interés de quienes
reciben los servicios.
Norma 4.1 Conformidad con las Normas Globales de Auditoría Interna:
Los auditores internos deben planificar y proporcionar
servicios de Auditoría Interna de conformidad con las NGAI. Las metodologías
deben estar alineadas con las Normas. Si existen impedimentos legales o
regulatorios que impidan el cumplimiento de ciertas partes de las Normas, se
deben declarar y cumplir con todas las demás partes.
Factores para una empresa financiera peruana:
Manual de Auditoría Interna Detallado: Un manual de auditoría interna que incorpore las NGAI y las regulaciones específicas de la SBS para la auditoría interna de entidades financieras, asegurando que los procedimientos estén alineados con ambos marcos.
Declaración de Conformidad: Incluir en los informes de auditoría una declaración de que el trabajo se realizó de acuerdo con las NGAI, a menos que existan impedimentos legales o regulatorios específicos del Perú que lo impidan.
Aseguramiento de Calidad Interno: Realizar
revisiones internas de calidad periódicas para verificar la adherencia a las
NGAI y a las metodologías internas, documentando cualquier desviación y sus
impactos.
Norma 4.2 Debido Cuidado Profesional:
Los auditores internos deben aplicar el debido cuidado
profesional considerando la estrategia y objetivos de la organización, el mayor
interés de las partes interesadas, la idoneidad y eficacia de los procesos de
gobierno, gestión de riesgos y control, y la relación coste-beneficio de los
servicios. También deben considerar la magnitud y oportunidad del trabajo, la
complejidad e importancia de los riesgos y la probabilidad de errores
significativos o fraudes.
Factores para una empresa financiera peruana:
Enfoque Basado en Riesgos: Priorizar las auditorías en función de los riesgos más significativos para la entidad financiera (ej. riesgo de ciberseguridad en banca digital, riesgo de fraude en transacciones electrónicas, riesgo crediticio en segmentos específicos).
Análisis Costo-Beneficio: Evaluar si el costo de una
auditoría profunda en un área particular se justifica por los beneficios
esperados en la mitigación de riesgos o la mejora de procesos, especialmente en
un entorno donde los recursos pueden ser limitados.
Impacto en Partes Interesadas: Considerar el impacto de los hallazgos y recomendaciones no solo en la eficiencia interna, sino también en la confianza de los clientes, la reputación de la entidad y la relación con los reguladores peruanos.
Uso de Tecnología para Eficiencia: Implementar el
uso de herramientas de análisis de datos o software de gestión de auditorías
para optimizar el tiempo y los recursos invertidos en cada trabajo, mejorando
la eficiencia y la cobertura del riesgo.
Norma 4.3 Escepticismo Profesional:
Los auditores internos deben aplicar el escepticismo
profesional al planificar y proporcionar los servicios. Esto implica mantener
una mente inquisitiva, evaluar críticamente la fiabilidad de la información,
ser directos al plantear inquietudes y buscar evidencias adicionales para
validar información inconsistente o engañosa.
Factores para una empresa financiera peruana:
Verificación de Datos Financieros: No aceptar la información financiera o de gestión sin una verificación cruzada, especialmente en áreas con alta materialidad o susceptibilidad a fraude (ej. datos de morosidad, valoraciones de activos, cumplimiento de ratios regulatorios).
Cuestionamiento de Supuestos de Gestión: Evaluar críticamente los supuestos subyacentes a las decisiones de la alta gerencia, como las proyecciones de crecimiento de cartera, los modelos de riesgo o las estrategias de mitigación de ciberataques.
Detección de Manipulación o Sesgo: Entrenar a los auditores para identificar señales de manipulación en la información o sesgos en los procesos (ej. favoritismo en la aprobación de créditos, ocultamiento de operaciones no autorizadas), especialmente en una cultura donde el cumplimiento puede ser interpretado de forma flexible.
Entrevistas y Corroboración: Realizar entrevistas estructuradas y corroborar las respuestas con documentación independiente, observando el lenguaje corporal y las inconsistencias, especialmente en áreas de alto riesgo reputacional o de fraude.
Principio 5: Mantener la Confidencialidad
Los auditores internos deben utilizar y proteger la
información de manera adecuada. Deben respetar el valor y la titularidad de
la información que reciben, empleándola solo para la finalidad aprobada y
protegiéndola del acceso o divulgación no intencionada.
Norma 5.1 Uso de Información:
Los auditores internos deben seguir las políticas de la
organización y de la Función de Auditoría Interna al emplear la información.
Solo deben recopilar y documentar la información necesaria para el trabajo y
usarla para finalidades aprobadas. No deben utilizar información para lucro
personal ni de forma contraria a la ley o en detrimento de la organización.
Factores para una empresa financiera peruana:
Manejo de Datos Sensibles de Clientes: Implementar controles estrictos para el acceso y uso de datos personales y financieros de clientes, cumpliendo con la Ley de Protección de Datos Personales de Perú (Ley N° 29733) y las regulaciones de la SBS sobre privacidad y seguridad de la información.
Prevención de Uso Indebido de Información Privilegiada: Establecer políticas claras sobre el uso de información financiera o estratégica obtenida durante las auditorías, prohibiendo su uso para transacciones bursátiles personales o para beneficio de terceros.
Acceso Justificado a Sistemas: Asegurar que los
auditores solo tengan acceso a la información y sistemas que sean estrictamente
necesarios para el desarrollo de su trabajo, con un registro de auditoría de
dicho acceso.
Norma 5.2 Protección de Información:
Los auditores internos deben conocer sus responsabilidades
sobre la protección de la información y respetar la confidencialidad,
privacidad y titularidad de la información obtenida. Deben adherirse a las
leyes y regulaciones de confidencialidad y seguridad de la información en las
jurisdicciones donde opera la organización. No deben divulgar información
confidencial a partes no autorizadas, a menos que exista una responsabilidad
legal o profesional, incluso después de cambiar de rol o dejar la organización.
Factores para una empresa financiera peruana:
Seguridad Física y Digital de Papeles de Trabajo: Implementar políticas para la custodia, retención y disposición de los papeles de trabajo y la información digital, asegurando su protección contra accesos no autorizados, especialmente en un entorno de trabajo híbrido o remoto.
Divulgación Restringida a Terceros: Establecer procedimientos para la divulgación de información de auditoría a terceros (ej. reguladores, auditores externos), requiriendo autorizaciones formales y asegurando que la información sea anonimizada cuando sea posible y legal.
Conciencia sobre Riesgos de Divulgación No Intencionada: Capacitar a los auditores sobre los riesgos de divulgación no intencionada de información, incluso en entornos sociales o informales, y sobre la importancia de la discreción fuera del horario laboral.
Cumplimiento con Regulaciones de Ciberseguridad: Asegurar que las prácticas de protección de información de la auditoría interna estén alineadas con las normativas de ciberseguridad específicas del sector financiero peruano, incluyendo medidas de encriptación y control de acceso a sistemas críticos.
Dominio III: Gobierno de la Función de Auditoría Interna
Este dominio aborda los aspectos esenciales de gobierno
que permiten que la Función de Auditoría Interna sea eficaz. Describe las
responsabilidades del Consejo con respecto a autorizar la Función de Auditoría
Interna, asegurar su posicionamiento independiente y supervisar su desempeño.
El Consejo es el órgano de gobierno de más alto nivel de una organización. El
Director de Auditoría Interna (DAI) es responsable de comunicarse eficazmente
con el Consejo y de proporcionarle información, pero el Consejo también tiene
un papel clave para cumplir con el Propósito de Auditoría Interna. Las
responsabilidades del Consejo aplican independientemente de si la Función de
Auditoría Interna está compuesta por empleados o subcontratada.
Principio 6: Autorización del Consejo
El Consejo establece, aprueba y apoya la autoridad, el
papel y las responsabilidades de la Función de Auditoría Interna. El
Mandato de Auditoría Interna faculta a la Función para mejorar el éxito de la
organización mediante el aseguramiento objetivo y el asesoramiento.
Norma 6.1 Mandato de Auditoría Interna:
El Consejo debe aprobar el Mandato de Auditoría Interna que
define su autoridad, rol, responsabilidades, alcance y tipos de servicios. El
Consejo debe considerar la información del DAI y revisar el Mandato al menos
anualmente para tener en cuenta cambios organizacionales. El DAI debe
proporcionar la información necesaria al Consejo para establecer el Mandato. El
Consejo y el DAI deben debatir y acordar el Mandato, documentándolo en el
Estatuto de Auditoría Interna, que debe ser aprobado por el Consejo.
Factores para una empresa financiera peruana:
Aprobación Formal del Mandato: El Consejo de Administración de la entidad financiera debe aprobar formalmente el Mandato de Auditoría Interna, incluyendo la mención explícita de su alcance para cubrir todas las líneas de negocio, filiales y operaciones, incluyendo las transacciones en el exterior y las nuevas tecnologías financieras.
Alcance Regulatorio del Mandato: Asegurar que el mandato incluya la evaluación del cumplimiento de las normativas de la SBS, la SMV y otras entidades reguladoras peruanas, así como las prácticas internacionales para instituciones financieras.
Revisión Anual y Adaptación: La revisión anual del mandato debe considerar los cambios en el entorno regulatorio peruano, la introducción de nuevos productos financieros (ej. banca digital, criptomonedas), la evolución del perfil de riesgos de la entidad y los cambios en la estructura organizacional.
Estatuto de Auditoría Interna Detallado: El Estatuto
debe especificar la relación de la auditoría interna con otras funciones de
control y aseguramiento (ej. cumplimiento normativo, gestión de riesgos,
auditoría externa), garantizando la complementariedad y evitando duplicidades.
Norma 6.2 Apoyo del Consejo:
El Consejo debe apoyar a la Función de Auditoría Interna,
asegurando su reconocimiento en toda la organización. Esto incluye asegurar
acceso irrestricto a datos, registros, información, personal y propiedad
física. El Consejo debe apoyar al DAI a través de comunicaciones directas y
periódicas, incluyendo reuniones sin la presencia de la Alta Dirección.
Factores para una empresa financiera peruana:
Acceso a Información Crítica: El Consejo debe garantizar que la Auditoría Interna tenga acceso pleno e irrestricto a todos los sistemas de información bancaria (ej. transacciones, clientes, créditos, inversiones), bases de datos de clientes, contratos, comunicaciones de la SBS y cualquier otra información necesaria para sus auditorías, sin necesidad de autorizaciones ad-hoc que puedan generar retrasos.
Comunicación Directa con el Consejo: Establecer
reuniones periódicas (ej. trimestrales) entre el DAI y la Comisión de Auditoría
del Consejo, y al menos una vez al año, una reunión del DAI solo con los
miembros del Consejo sin la presencia de la alta dirección, para discutir temas
sensibles, riesgos emergentes o cualquier limitación que la función de
auditoría interna pueda enfrentar.
Resolución de Restricciones: Si la auditoría interna informa de restricciones de alcance, acceso o recursos, el Consejo debe intervenir para resolverlas, comunicándose con la alta dirección y abogando por la autonomía y capacidad de la función.
Apoyo en Temas Regulatorios: El Consejo debe respaldar las recomendaciones de auditoría interna relacionadas con el cumplimiento regulatorio, incluso si implican inversiones significativas o cambios operativos disruptivos, reconociendo la importancia de la estabilidad y la reputación ante la SBS.
Principio 7: Posicionarse de Manera Independiente
El Consejo establece y protege la independencia de la
Función de Auditoría Interna. La independencia es la ausencia de
limitaciones que impidan la capacidad de la función para llevar a cabo sus
responsabilidades de manera imparcial. Se logra a través de la responsabilidad
ante el Consejo, el acceso a recursos relevantes y la ausencia de
interferencias.
Norma 7.1 Independencia dentro de la Organización:
El Consejo debe establecer una relación de dependencia
directa con el DAI y la Función de Auditoría Interna para permitir el
cumplimiento de su mandato. Esto incluye aprobar el nombramiento, cese,
evaluación de desempeño y remuneración del DAI, ofrecer oportunidades de debate
con el Consejo sin la presencia de la Alta Dirección, y asegurar un
posicionamiento que permita el desempeño sin interferencias y con autoridad
para llevar cuestiones directamente a la Alta Dirección. El DAI debe ratificar
su independencia anualmente ante el Consejo.
Factores para una empresa financiera peruana:
Dependencia Funcional al Consejo: El DAI debe reportar funcionalmente directamente al Consejo de Administración (o a su Comisión de Auditoría) y administrativamente al CEO o un nivel similar de la alta dirección, para asegurar la independencia y el estatus necesario para operar sin injerencias en el día a día.
Control del Nombramiento y Remuneración del DAI: El
Consejo debe tener la autoridad final para el nombramiento, cese, evaluación y
determinación de la remuneración del DAI, asegurando que estas decisiones no
estén sujetas a la influencia de la gerencia operativa.
Protección contra Interferencias: Establecer mecanismos para proteger la auditoría interna de presiones para cambiar hallazgos o conclusiones, o de restricciones al alcance o al acceso a la información, comunes en entornos donde hay intereses creados en la información auditada.
Ratificación Anual de Independencia: El DAI debe presentar un informe anual al Consejo que confirme la independencia de la función de auditoría interna, detallando cualquier incidente o desafío a la independencia y las acciones tomadas para mitigarlos.
Norma 7.2 Roles, Responsabilidades y Cualificaciones:
El Consejo debe aprobar los roles y responsabilidades del
DAI e identificar las cualificaciones y competencias necesarias. Debe asegurar
que el DAI tenga las cualificaciones para gestionar la función eficazmente y
asegurar la calidad de los servicios. Si se asignan al DAI roles adicionales,
el Consejo debe comprender los impedimentos a la independencia y asegurar
salvaguardas adecuadas.
Factores para una empresa financiera peruana:
Descripción de Puesto del DAI: La descripción de puesto del DAI debe ser aprobada por el Consejo, detallando las competencias requeridas en gestión de riesgos financieros, cumplimiento normativo, ciberseguridad, y liderazgo de equipos multidisciplinarios.
Roles Adicionales del DAI: En empresas financieras, el DAI puede asumir roles temporales en comités de implementación de nuevas regulaciones (ej. Basilea III, IFRS 9) o en proyectos de transformación digital. El Consejo debe evaluar cuidadosamente si estos roles generan conflictos de interés y si se aplican salvaguardas (ej. no auditar esos proyectos posteriormente, supervisión externa).
Desarrollo Continuo del DAI: El Consejo debe fomentar el desarrollo profesional continuo del DAI en áreas como el riesgo de fraude en el sector financiero, tecnologías disruptivas o nuevas regulaciones globales que puedan afectar a la industria peruana.
Norma 7.3 Salvaguardas para la Independencia:
Se deben aplicar salvaguardas para gestionar los
impedimentos a la independencia de la Función de Auditoría Interna. El Consejo
debe proteger la independencia, asegurando que las salvaguardas estén bien
diseñadas y operen eficazmente. El DAI debe tratar los roles y
responsabilidades que pudieran causar impedimento y asesorar al Consejo sobre
salvaguardas. Si el DAI tiene responsabilidades distintas a la auditoría de
manera continuada, deben documentarse en el Estatuto y establecerse procesos
alternativos de aseguramiento.
Factores para una empresa financiera peruana:
Registro de Impedimentos y Salvaguardas: Mantener un registro formal de todos los impedimentos potenciales o reales a la independencia identificados en la función de auditoría interna y las salvaguardas específicas aplicadas (ej. exclusión de un auditor de un trabajo, supervisión de un tercero independiente).
Auditoría Externa o Co-sourcing para Conflictos: En casos de conflictos de interés significativos (ej. si el DAI tuviera responsabilidades temporales en un proyecto clave), considerar el uso de auditores externos especializados o un modelo de co-sourcing para asegurar la revisión independiente de esa área, reportando directamente al Consejo.
Evaluación Periódica de Salvaguardas: El Consejo
debe revisar anualmente la efectividad de las salvaguardas implementadas,
especialmente aquellas relacionadas con la independencia del DAI o de auditores
que hayan tenido roles previos en áreas auditadas.
Educación sobre Amenazas a la Independencia: Capacitar a todo el personal de auditoría interna sobre las amenazas a la independencia (ej. presiones de la gerencia, regalos, relaciones personales) y los protocolos para reportarlas.
Principio 8: Supervisión del Consejo
El Consejo supervisa la Función de Auditoría Interna para
asegurar su eficacia. Para lograr este principio, se requiere una
comunicación colaborativa e interactiva entre el Consejo y el DAI, así como el
apoyo del Consejo para asegurar recursos suficientes. El Consejo recibe
aseguramiento sobre la calidad del desempeño a través del Programa de
Aseguramiento y Mejora de la Calidad (PAMEC).
Norma 8.1 Interacción con el Consejo:
El Consejo debe interactuar con la Función de Auditoría
Interna para comprender la eficacia de los procesos de gobierno, gestión de
riesgos y control. La supervisión del Consejo debe incluir comunicación
continua con el DAI. El Consejo debe comunicar su perspectiva sobre
estrategias, objetivos y riesgos para asistir al DAI en la definición de
prioridades.
Factores para una empresa financiera peruana:
Temas de Comunicación Formal: El DAI debe presentar regularmente al Consejo (ej. trimestralmente) los resultados de las auditorías clave, el estado de implementación de las recomendaciones, los riesgos emergentes (ej. nuevas amenazas cibernéticas, cambios en el mercado de crédito) y las opiniones de la función de auditoría interna sobre la efectividad del control interno en la entidad financiera.
Criterios de Escalamiento: Establecer criterios claros con el Consejo sobre qué hallazgos o riesgos deben ser escalados de inmediato, especialmente aquellos que excedan la tolerancia al riesgo de la entidad o que impliquen incumplimientos regulatorios significativos.
Diálogo Estratégico: El Consejo debe involucrar al DAI en discusiones estratégicas para entender el perfil de riesgos de la entidad y asegurar que el plan de auditoría interna esté alineado con la estrategia de negocio (ej. expansión digital, fusiones y adquisiciones en el sector).
Norma 8.2 Recursos:
El Consejo debe asegurar que la Función de Auditoría Interna
cuenta con suficientes recursos para cumplir su Mandato y lograr el
plan. Debe preguntar al DAI anualmente sobre la suficiencia de recursos y
considerar el impacto de limitaciones, abogando por los recursos necesarios. El
DAI debe proponer una estrategia para obtener recursos y comunicar
insuficiencias.
Factores para una empresa financiera peruana:
Presupuesto Suficiente: El Consejo debe aprobar un presupuesto para la función de auditoría interna que cubra las necesidades de personal especializado (ej. auditores de TI, expertos en fraude), herramientas tecnológicas (software de análisis de datos, GRC) y capacitación continua en las últimas tendencias y regulaciones del sector financiero.
Análisis de Brechas de Recursos: El DAI debe presentar al Consejo un análisis de las brechas entre los recursos actuales de la función y los necesarios para cubrir el universo de auditoría y los riesgos emergentes (ej. incremento de la complejidad de productos, volumen de transacciones digitales).
Consideración de Opciones de Sourcing: Discutir con el Consejo opciones para complementar los recursos internos, como el co-sourcing con firmas especializadas o el uso de auditores invitados, especialmente para auditorías que requieran conocimientos muy específicos (ej. valoración de instrumentos financieros complejos).
Norma 8.3 Calidad:
El Consejo debe asegurar que el DAI desarrolle, implemente y
mantenga un Programa de Aseguramiento y Mejora de la Calidad (PAMEC),
que incluye evaluaciones externas e internas. El Consejo debe aprobar los
objetivos de desempeño de la Función de Auditoría Interna anualmente. El
Consejo debe realizar o participar en la evaluación anual del desempeño del
DAI.
Factores para una empresa financiera peruana:
Alcance del PAMEC: El PAMEC debe incluir la evaluación de la conformidad con las NGAI y las regulaciones específicas de la SBS sobre auditoría interna (ej. periodicidad y alcance de las evaluaciones externas), así como la efectividad en la mitigación de riesgos financieros.
Evaluación del Desempeño del DAI: La evaluación anual del DAI por parte del Consejo debe considerar su contribución a la mejora del gobierno, gestión de riesgos y control en la entidad financiera, su capacidad para atraer y retener talento especializado, y la efectividad de sus comunicaciones con el Consejo y la alta dirección.
Informes de Calidad: El DAI debe comunicar al
Consejo los resultados de las evaluaciones internas de calidad y los planes de
acción para abordar las deficiencias, especialmente si afectan la capacidad de
la función para proporcionar aseguramiento efectivo en áreas críticas del
negocio.
Norma 8.4 Evaluación Externa de Calidad:
El Consejo debe asegurar que se realice una Evaluación
Externa de Calidad (EEC) al menos cada cinco años por un evaluador o equipo
independiente cualificado. La EEC debe revisar la idoneidad del Mandato,
Estatuto, estrategias, metodologías, cumplimiento de Normas, criterios de
desempeño, competencias e integración en los procesos de gobierno. El Consejo
debe aprobar el plan de la EEC y recibir los resultados directamente del
evaluador.
Factores para una empresa financiera peruana:
Selección de Evaluador Cualificado: Asegurarse de que el evaluador externo tenga experiencia comprobada en auditoría interna de instituciones financieras y un profundo conocimiento de las regulaciones peruanas y prácticas bancarias internacionales.
Alcance de la Evaluación Externa: La EEC debe incluir la revisión de la cobertura de riesgos regulatorios, la efectividad de las auditorías de ciberseguridad y tecnologías de información bancaria, y la integración de la función de auditoría interna con la gestión de riesgos y cumplimiento normativo de la entidad.
Validación Independiente: La autoevaluación con
validación independiente (que puede alternar con la EEC una vez cada diez años)
debe incluir una revisión in situ por un evaluador externo cualificado para
determinar la completitud y precisión de la autoevaluación.
Comunicación de Resultados al Consejo: El DAI debe presentar los resultados de la EEC y los planes de acción al Consejo, asegurando que se aborden las oportunidades de mejora y que se implementen las acciones correctivas, lo cual es de gran interés para la SBS.
Dominio IV: Gestión de la Función de Auditoría Interna
El Director de Auditoría Interna (DAI) es responsable de
la gestión de la Función de Auditoría Interna de acuerdo con el Estatuto de
Auditoría Interna y las Normas Globales de Auditoría Interna. Esta
responsabilidad incluye la planificación estratégica, la obtención y asignación
de recursos, el fomento de relaciones y comunicación con las partes interesadas,
y la adecuación y mejora del desempeño de la Función. Se espera que el DAI
cumpla las Normas, incluso si es un proveedor externo. El DAI puede delegar
responsabilidades, pero mantiene la responsabilidad final.
Principio 9: Planificar Estratégicamente
El DAI elabora un plan estratégico para asegurar que la
Función de Auditoría Interna cumple su Mandato y se posiciona con éxito a largo
plazo. La planificación estratégica requiere que el DAI comprenda el
Mandato de Auditoría Interna y los procesos de gobierno, gestión de riesgos y
control.
Norma 9.1 Comprensión de los Procesos de Gobierno, Gestión de Riesgos y Control:
Para desarrollar una Estrategia, Estatuto y Plan de
Auditoría Interna eficaces, el DAI debe comprender los procesos de gobierno,
gestión de riesgos y control de la organización. Esto incluye entender cómo la
organización establece objetivos estratégicos, supervisa la gestión de riesgos
y control, promueve una cultura ética, asegura la gestión del desempeño y la
rendición de cuentas, estructura sus funciones y comunica información de
riesgos. También debe comprender cómo identifica y gestiona riesgos significativos
como la fiabilidad de la información financiera, la eficacia de operaciones, la
salvaguarda de activos y el cumplimiento de leyes.
Factores para una empresa financiera peruana:
Gobierno Corporativo Específico del Sector: El DAI debe comprender el rol del Consejo de Administración, los comités especializados (ej. Comité de Riesgos, Comité de Créditos) y la alta gerencia en la toma de decisiones y la supervisión del cumplimiento normativo y la gestión de riesgos en una entidad financiera peruana.
Marcos de Gestión de Riesgos Financieros: Conocimiento profundo de los marcos de gestión integral de riesgos adoptados por la entidad (ej. COSO ERM, Basilea III) y cómo se aplican a los riesgos crediticios, de mercado, de liquidez, operacionales y de ciberseguridad, así como su alineación con las directrices de la SBS.
Cultura Ética y Cumplimiento: Evaluar cómo la organización promueve una cultura de ética y cumplimiento normativo, crucial para prevenir lavado de activos y fraudes financieros. Esto incluye la revisión de políticas de conducta y la efectividad de los programas de capacitación en ética.
Matriz de Riesgos y Controles: Desarrollar y mantener una matriz de riesgos y controles que refleje los riesgos específicos del sistema financiero peruano (ej. riesgos de mercado por fluctuaciones del tipo de cambio, riesgos operacionales por fallas en sistemas de pago digital) y los controles implementados.
Norma 9.2 Estrategia de Auditoría Interna:
El DAI debe desarrollar e implementar una estrategia para la
Función de Auditoría Interna que respalde los objetivos y el éxito de la
organización, alineada con las expectativas de la Alta Dirección, el Consejo y
otras partes interesadas clave. La estrategia debe incorporar una visión y
objetivos estratégicos, así como iniciativas de apoyo. El DAI debe revisar la
estrategia con la Alta Dirección y el Consejo al menos anualmente.
Factores para una empresa financiera peruana:
Alineación Estratégica con el Negocio: La estrategia de auditoría interna debe estar directamente ligada a los objetivos estratégicos de la entidad financiera (ej. crecimiento en banca digital, penetración en nuevos mercados, optimización de costos operativos), identificando cómo la auditoría contribuirá a mitigar los riesgos asociados a estas iniciativas.
Enfoque en Riesgos Emergentes: La estrategia debe priorizar la evaluación de riesgos emergentes relevantes para el sector financiero peruano, como el ciberfraude, la regulación de criptoactivos, la competencia de las fintech o los riesgos ASG (Ambientales, Sociales y de Gobierno Corporativo).
Desarrollo de Capacidades: Incluir iniciativas para desarrollar las competencias del equipo en áreas como análisis de datos avanzado, auditoría de sistemas de inteligencia artificial y machine learning aplicados en el sector financiero, o nuevas metodologías de auditoría continua.
Revisión Dinámica: La estrategia de auditoría interna debe ser dinámica y revisarse con mayor frecuencia que anualmente si hay cambios significativos en el entorno regulatorio peruano (ej. nuevas circulares de la SBS), la estrategia de la entidad o el panorama de riesgos (ej. crisis económica, inestabilidad política).
Norma 9.3 Estatuto de Auditoría Interna:
El DAI debe desarrollar y mantener un Estatuto de Auditoría
Interna que especifique el Propósito de Auditoría Interna, el compromiso de
adhesión a las Normas, el Mandato y responsabilidades del Consejo de apoyar la
función, la posición organizativa y relaciones de dependencia, las
responsabilidades de la función (incluyendo alcance y tipos de servicios), y el
compromiso con el aseguramiento y mejora de la calidad. Se debe discutir y
obtener la aprobación del Consejo.
Factores para una empresa financiera peruana:
Contenido Específico del Estatuto: El estatuto debe detallar el alcance de la auditoría interna para cubrir todas las unidades de negocio, procesos, sistemas y productos financieros de la entidad en Perú, así como sus operaciones en el exterior (si aplica).
Relación de Dependencia Regulatoria: El estatuto
debe reflejar la relación de dependencia funcional de la auditoría interna con
el Consejo, como lo exigen las mejores prácticas y, en algunos casos, las
regulaciones de la SBS, para asegurar su independencia.
Mención de Leyes y Regulaciones: El estatuto puede hacer referencia explícita a las leyes y regulaciones peruanas que respaldan el Mandato de Auditoría Interna, como la Ley General del Sistema Financiero y del Sistema de Seguros, para fortalecer su autoridad.
Proceso de Aprobación Formal: Asegurar que el
estatuto sea formalmente aprobado por el Consejo y que cualquier modificación
significativa sea también aprobada, con la debida documentación y comunicación
a la alta dirección.
Norma 9.4 Metodologías:
El DAI debe establecer metodologías (políticas, procesos y
procedimientos) para guiar a la Función de Auditoría Interna en el logro de su
Mandato y la conformidad con las Normas. Las metodologías deben guiar la
evaluación de riesgos, el desarrollo del Plan de Auditoría Interna, la
determinación del equilibrio entre trabajos de aseguramiento y asesoramiento,
la coordinación con proveedores, la protección de datos, la ejecución de
trabajos, la comunicación de resultados, la retención de registros y la monitorización
de planes de acción.
Factores para una empresa financiera peruana:
Metodologías de Auditoría Específicas: Desarrollar metodologías para auditar procesos financieros complejos (ej. originación de créditos, gestión de carteras de inversión, operaciones de tesorería, cumplimiento de estándares contables peruanos), incluyendo guías para la evaluación de riesgos inherentes y residuales en estos procesos.
Uso de Marcos de Control para Finanzas: Incorporar marcos de control reconocidos en el sector financiero (ej. COBIT para TI, ISO 27001 para seguridad de la información, guías de la SBS para riesgos operacionales) en las metodologías de auditoría para evaluar la idoneidad y eficacia de los controles.
Rating de Hallazgos y Conclusiones: Establecer una metodología clara y consistente para la calificación o "rating" de hallazgos y conclusiones, que sea comprendida y aceptada por el Consejo y la alta dirección, y que refleje la importancia del riesgo en el contexto de una entidad financiera.
Auditoría de Fraude y LAFT: Metodologías específicas para la realización de investigaciones de fraude, la evaluación de controles contra el lavado de activos y el financiamiento del terrorismo, y la revisión de la gestión de incidencias de ciberseguridad.
Norma 9.5 Plan de Auditoría Interna:
El DAI debe desarrollar un Plan de Auditoría Interna que
apoye el logro de los objetivos de la organización, basado en una evaluación
documentada de las estrategias, objetivos y riesgos de la organización, que se
realice al menos anualmente. El plan debe ser dinámico, considerar la
estrategia de Auditoría Interna, especificar servicios que apoyen la evaluación
de gobierno, gestión de riesgos y control, e identificar recursos necesarios.
El DAI debe comunicar limitaciones y solicitudes contradictorias a la Alta
Dirección y al Consejo.
Factores para una empresa financiera peruana:
Universo Auditable por Riesgo Financiero: Desarrollar un universo auditable que segmente la entidad por líneas de negocio, productos, procesos críticos (ej. crédito, tesorería, banca digital), y sistemas de información clave, priorizando las auditorías en función de los riesgos financieros, operativos, regulatorios y reputacionales más altos.
Evaluación Continua de Riesgos: Más allá de la evaluación anual, el DAI debe implementar un monitoreo continuo de los riesgos (ej. cambios en tasas de interés, nuevos productos de la competencia, evolución de regulaciones de la SBS) para ajustar el plan de auditoría de manera ágil.
Auditoría Basada en Escenarios: Considerar escenarios de riesgo específicos para el sector financiero peruano (ej. inestabilidad política, recesión económica, desastres naturales) y cómo podrían afectar los objetivos de la entidad, para integrar estas consideraciones en el plan de auditoría.
Balance entre Aseguramiento y Asesoramiento: El plan debe reflejar un equilibrio entre los trabajos de aseguramiento (ej. cumplimiento regulatorio, efectividad de controles) y los de asesoramiento (ej. apoyo en la implementación de nuevas tecnologías, optimización de procesos), adaptándose a las necesidades de la dirección y el Consejo.
Norma 9.6 Coordinación y Confianza:
El DAI debe coordinarse con los proveedores internos y
externos de aseguramiento y considerar la posibilidad de confiar en su trabajo
para minimizar duplicaciones y señalar brechas. El DAI debe desarrollar una
metodología para evaluar a otros proveedores, considerando sus roles,
independencia, competencias y objetividad. El DAI sigue siendo responsable de
las conclusiones si confía en el trabajo de otros.
Factores para una empresa financiera peruana:
Coordinación con Reguladores y Auditores Externos: Establecer reuniones periódicas con la SBS y los auditores externos para coordinar los planes de auditoría, compartir información relevante (sin comprometer la confidencialidad) y evitar duplicidades en la revisión de áreas críticas (ej. estados financieros, gestión de riesgos de liquidez).
Mapa de Aseguramiento Integral: Crear un mapa de aseguramiento que identifique todas las funciones de control y aseguramiento en la entidad financiera (ej. cumplimiento, riesgo, seguridad de la información, calidad) y el nivel de cobertura que cada una proporciona sobre los diferentes riesgos, para identificar brechas o solapamientos.
Criterios de Confianza en el Trabajo de Otros:
Desarrollar criterios claros para determinar cuándo la auditoría interna puede
confiar en el trabajo de otras funciones (ej. cumplimiento normativo, gestión
de riesgos), evaluando su independencia, competencia, objetividad y
metodología.
Acuerdos de Nivel de Servicio (SLA): En el caso de co-sourcing o servicios especializados, formalizar acuerdos que definan el alcance del trabajo, los entregables esperados y los mecanismos de comunicación y coordinación.
Principio 10: Gestionar los Recursos
El DAI gestiona los recursos con el fin de implementar la
estrategia de la Función de Auditoría Interna, completar su Plan y lograr su
Mandato. Esto implica la obtención y asignación eficaz de recursos
financieros, humanos y tecnológicos.
Norma 10.1 Gestión de los Recursos Financieros:
El DAI debe gestionar los recursos financieros,
desarrollando un presupuesto que permita el logro del Mandato y el Plan de
Auditoría Interna, incluyendo formación y adquisición de tecnologías. El DAI
debe presentar el presupuesto al Consejo para su aprobación y comunicar el
impacto de recursos insuficientes.
Factores para una empresa financiera peruana:
Presupuesto Basado en Riesgos: Desarrollar un presupuesto detallado que refleje las necesidades de inversión en talento (ej. salarios competitivos para expertos en banca digital), tecnología (ej. licencias de software de auditoría asistida por computadora) y capacitación, justificando las inversiones en función de los riesgos de la entidad financiera y la estrategia de auditoría.
▪Monitoreo del Gasto: Realizar un seguimiento mensual
de los gastos reales frente al presupuesto, identificando desviaciones
significativas y adaptando la asignación de recursos según sea necesario.
Argumentación de Recursos Adicionales: Si surgen riesgos imprevistos (ej. nuevas regulaciones urgentes de la SBS, un ataque cibernético grave), el DAI debe justificar y solicitar proactivamente al Consejo y la alta dirección recursos adicionales para abordarlos.
Norma 10.2 Gestión de los Recursos Humanos:
El DAI debe establecer un programa para la selección,
desarrollo y retención de auditores internos cualificados para cumplir el
Estatuto y el Plan. Debe asegurar que los recursos humanos sean apropiados,
suficientes y eficazmente asignados. Debe informar a la Alta Dirección y al
Consejo sobre la suficiencia de los recursos humanos y obtener su aprobación
del plan de recursos humanos. El DAI debe evaluar las competencias individuales
y fomentar el desarrollo profesional.
Factores para una empresa financiera peruana:
Estrategia de Atracción de Talento: Desarrollar una estrategia para atraer y retener auditores con perfiles especializados en el sector financiero (ej. ingenieros de sistemas con experiencia en banca, expertos en análisis de datos, contadores con conocimientos de IFRS y normas SBS), dada la alta demanda en el mercado laboral.
Desarrollo de Competencias Técnicas y Blandas: Crear planes de desarrollo individual que no solo abarquen conocimientos técnicos (ej. ciberseguridad, gestión de riesgos de mercado) sino también habilidades blandas críticas para la auditoría (ej. comunicación asertiva, pensamiento crítico, negociación).
Modelo de Rotación de Personal: Considerar un modelo
de rotación con otras áreas del banco (ej. riesgos, cumplimiento, tecnología)
para que los auditores internos adquieran experiencia práctica en el negocio y
viceversa, lo que mejora la comprensión mutua y la calidad de la auditoría.
Plan de Sucesión: Establecer un plan de sucesión
para roles clave en la auditoría interna (ej. DAI, Gerentes de Auditoría),
asegurando la continuidad del conocimiento y la experiencia en el sector
financiero.
Norma 10.3 Recursos Tecnológicos:
El DAI debe asegurar que la Función de Auditoría Interna
cuenta con tecnologías apropiadas para apoyar el proceso de auditoría. Debe
evaluar regularmente las tecnologías y buscar oportunidades de mejora en
eficacia y eficiencia. Debe asegurar que los auditores reciban formación
apropiada y colaborar con las funciones de TI y Seguridad de la Información.
Factores para una empresa financiera peruana:
Software de Auditoría Especializado: Adquirir y capacitar en el uso de software de auditoría asistida por computadora (CAATs) para el análisis de grandes volúmenes de transacciones financieras, detección de patrones de fraude y monitoreo continuo de controles.
Herramientas de Ciberseguridad para Auditoría: Implementar herramientas que permitan a los auditores evaluar la seguridad de los sistemas bancarios, las aplicaciones móviles y las plataformas de banca en línea, y detectar vulnerabilidades.
Sistemas de Gestión de Auditoría: Utilizar plataformas integradas para la gestión del ciclo de auditoría, desde la planificación y ejecución hasta el seguimiento de recomendaciones, mejorando la eficiencia y el control de calidad.
Colaboración con TI y Seguridad: Trabajar estrechamente con los equipos de TI y seguridad de la información del banco para entender la arquitectura de sistemas, los controles de ciberseguridad y las innovaciones tecnológicas, asegurando que la auditoría interna esté preparada para evaluar los riesgos asociados a estas tecnologías.
Principio 11: Comunicarse de Manera Eficaz
El DAI asegura que la Función de Auditoría Interna se
comunica con las partes interesadas de forma eficaz. La comunicación eficaz
promueve relaciones, establece confianza y asegura que las partes interesadas
se beneficien de los Servicios de Auditoría Interna.
Norma 11.1 Construcción de Relaciones y Comunicación con las Partes Interesadas:
El DAI debe actuar para que la Función de Auditoría Interna
construya relaciones y genere confianza con las principales partes interesadas,
incluyendo el Consejo, la Alta Dirección, la Dirección Operativa, los
reguladores y los proveedores internos y externos. Debe promover comunicaciones
formales e informales que contribuyan a un entendimiento común de intereses,
riesgos, roles y regulaciones.
Factores para una empresa financiera peruana:
Diálogo con la SBS y la SMV: Mantener una comunicación fluida y proactiva con los supervisores peruanos, compartiendo perspectivas sobre riesgos sistémicos, implementación de nuevas regulaciones y avances en la gestión de control interno.
Relación con la Alta Gerencia: Reuniones periódicas con los líderes de las principales líneas de negocio (ej. banca minorista, banca corporativa, inversiones) para entender sus estrategias, objetivos y principales desafíos, y cómo la auditoría interna puede agregar valor.
Participación en Comités Clave: Que el DAI o sus
representantes participen en comités relevantes de la entidad (ej. Comité de
Activos y Pasivos, Comité de Ciberseguridad, Comité de Continuidad de Negocio)
para mantenerse informado y establecer una relación de confianza.
Comunicación con Clientes y Proveedores: Entender las expectativas de los clientes del banco (ej. a través de encuestas, quejas) y la relación con proveedores críticos (ej. proveedores de tecnología, empresas de seguridad), ya que estos pueden ser fuentes de riesgo importantes.
Norma 11.2 Comunicación Eficaz:
El DAI debe asegurar que las comunicaciones de Auditoría
Interna sean precisas, objetivas, claras, concisas, constructivas, completas
y oportunas.
Factores para una empresa financiera peruana:
Informes Adaptados por Audiencia: Preparar informes con diferentes niveles de detalle y terminología según la audiencia (ej. resumidos para el Consejo, técnicos para la gerencia de TI, detallados para los responsables de procesos), asegurando claridad en los hallazgos de riesgos financieros y operacionales.
Uso de Datos y Visualizaciones: Incorporar gráficos,
tablas y análisis de datos en los informes para presentar de manera clara la
materialidad y el impacto de los hallazgos, especialmente en relación con
cifras financieras o volúmenes de transacciones.
Enfoque Constructivo: Formular recomendaciones que sean prácticas y factibles para la entidad financiera, considerando su contexto operativo y regulatorio en Perú, y promoviendo la colaboración para la mejora.
Oportunidad de la Comunicación: Asegurar que los hallazgos críticos (ej. vulnerabilidades de ciberseguridad, fraudes detectados, incumplimientos regulatorios) sean comunicados de inmediato a las partes responsables y al Consejo, sin esperar el informe final.
Norma 11.3 Comunicación de los Resultados:
El DAI debe comunicar periódicamente los resultados de los
Servicios de Auditoría Interna, comprendiendo las expectativas de la Alta
Dirección y del Consejo Los resultados incluyen conclusiones de trabajos, temas
(prácticas eficaces, causas raíz) y conclusiones a nivel de unidad de negocio o
de la organización. El DAI debe aprobar la comunicación final antes de su
emisión.
Variables para una empresa financiera peruana:
Informes Consolidado de Riesgos: Presentar al Consejo informes que consoliden los hallazgos de múltiples auditorías para identificar patrones de riesgo sistémicos o causas raíz recurrentes en la entidad financiera (ej. debilidades en los procesos de KYC, falta de automatización de controles en áreas clave).
Opinión sobre el Control Interno General: Cuando sea
requerido por la SBS o el Consejo, el DAI debe emitir una opinión global sobre
la efectividad del sistema de control interno de la entidad, basada en
evidencia suficiente y fiable de múltiples auditorías.
Comunicación de Buenas Prácticas: Resaltar las prácticas efectivas o los controles robustos identificados en algunas áreas, para que sirvan de ejemplo y se puedan replicar en otras partes de la organización, fomentando una cultura de mejora continua.
Consideración de Perspectivas Externas: Al consolidar los resultados, el DAI debe considerar las observaciones de los reguladores (SBS), auditores externos y otras funciones de control para ofrecer una visión holística del entorno de control.
Norma 11.4 Errores y Omisiones:
Si una comunicación final contiene errores u omisiones
significativas, el DAI debe comunicar la información corregida oportunamente a
todas las partes que recibieron la comunicación original. La importancia se
determina de acuerdo con los criterios acordados con el Consejo.
Factores para una empresa financiera peruana:
Protocolo de Rectificación Urgente: Establecer un protocolo de comunicación urgente para rectificar errores u omisiones que puedan afectar la reputación de la entidad, la relación con los reguladores o la toma de decisiones críticas (ej. un error en el cálculo de un riesgo material que afecta las provisiones).
Análisis de Causa Raíz de Errores: Identificar la causa raíz del error u omisión en la comunicación de auditoría para implementar acciones correctivas y preventivas, como la revisión de procesos internos de control de calidad de informes o la capacitación del personal.
Norma 11.5 Comunicación de la Aceptación de los Riesgos:
El DAI debe comunicar los niveles inaceptables de riesgo.
Cuando el DAI concluya que la Dirección ha aceptado un nivel de riesgo que
excede la tolerancia de riesgo de la organización, debe tratarlo con la Alta
Dirección. Si no se resuelve, debe escalarlo al Consejo. La resolución del
riesgo no es responsabilidad del DAI.
Factores para una empresa financiera peruana:
Identificación de Riesgos Inaceptables: El DAI debe identificar activamente situaciones donde la gerencia de la entidad financiera acepte riesgos que exceden la tolerancia al riesgo aprobada por el Consejo (ej. niveles de exposición crediticia a sectores de alto riesgo, vulnerabilidades de ciberseguridad no mitigadas).
Proceso de Escalamiento Formal: Establecer un proceso formal de escalamiento para cuando la alta dirección no resuelva un riesgo inaceptable, comunicándolo al Consejo con toda la información relevante y las consecuencias potenciales para la entidad (ej. multas de la SBS, impacto en la solvencia).
Impacto Regulatorio: El DAI debe estar especialmente atento a los riesgos aceptados que puedan tener un impacto regulatorio (ej. incumplimiento de límites de exposición, deficiencias en la prevención de lavado de activos), ya que esto puede llevar a sanciones por parte de la SBS..
Principio 12: Mejorar la Calidad
El DAI asegura la conformidad con las Normas Globales de
Auditoría Interna y mejora continuamente el desempeño de la Función de
Auditoría Interna. El Programa de Aseguramiento y Mejora de la Calidad
(PAMEC) se diseña para evaluar y asegurar la conformidad con las Normas, el
logro de objetivos de desempeño y la búsqueda de mejora continua, incorporando
evaluaciones internas y externas.
Norma 12.1 Evaluación Interna de Calidad:
El DAI debe desarrollar y llevar a cabo Evaluaciones
Internas (EI) para medir el avance de la Función de Auditoría Interna en el
logro de objetivos y la conformidad con las Normas. La metodología debe incluir
seguimiento continuo y autoevaluaciones periódicas. Los resultados deben
comunicarse al Consejo anualmente.
Factores para una empresa financiera peruana:
Monitoreo Continuo del Desempeño: Implementar un sistema de monitoreo continuo que evalúe la calidad de los papeles de trabajo, la oportunidad de los informes y la efectividad de las recomendaciones en la mitigación de riesgos financieros y operacionales.
Autoevaluaciones Periódicas Detalladas: Realizar autoevaluaciones periódicas que abarquen todos los aspectos de la función de auditoría interna, incluyendo la adecuación de las metodologías para auditar nuevos productos financieros (ej. billeteras digitales), la capacidad del equipo para evaluar riesgos de ciberseguridad y el cumplimiento de las regulaciones peruanas.
Feedback de los Auditados: Recopilar feedback de la gerencia de las áreas auditadas sobre la calidad, el profesionalismo y el valor agregado de las auditorías internas, especialmente en un sector donde la colaboración es clave para el éxito.
Planes de Acción de Mejora: Desarrollar planes de acción claros para abordar las debilidades identificadas en las evaluaciones internas, con indicadores clave de desempeño (KPIs) específicos para medir la mejora (ej. reducción de tiempo de ciclo de auditoría, aumento en el porcentaje de recomendaciones implementadas).
Norma 12.2 Medición del Desempeño:
El DAI debe desarrollar objetivos para evaluar el desempeño
de la Función de Auditoría Interna, considerando los comentarios de la Alta
Dirección y del Consejo. Debe desarrollar una metodología para la medición del
desempeño que incluya criterios y medidas para evaluar los avances, y solicitar
comentarios de la Alta Dirección y del Consejo.
Factores para una empresa financiera peruana:
KPIs Específicos del Sector Financiero: Establecer KPIs que midan no solo la eficiencia (ej. porcentaje del plan completado, tiempo promedio de auditoría) sino también la efectividad en la mejora del control interno y la mitigación de riesgos financieros (ej. reducción de hallazgos repetitivos en áreas de alto riesgo, valor de los ahorros o recuperaciones generadas por recomendaciones de auditoría).
Métricas de Valor Agregado: Incluir métricas que demuestren el valor agregado de la auditoría interna a la entidad financiera, como la contribución a la mejora de los procesos de gestión de riesgos crediticios, la optimización de los controles de ciberseguridad o el apoyo en la adaptación a nuevas regulaciones.
Encuestas de Satisfacción de Stakeholders: Realizar encuestas periódicas a la alta dirección, al Consejo y a los gerentes de las áreas auditadas para evaluar la satisfacción con los servicios de auditoría interna, la claridad de los informes y la relevancia de las recomendaciones.
Norma 12.3 Verificación y Mejora del Desempeño en los Trabajos:
El DAI debe asegurar que los trabajos de auditoría se
supervisen correctamente, se asegure la calidad y se desarrollen competencias.
Esto implica ofrecer orientación, verificar la completitud de los papeles de
trabajo y asegurar que respaldan hallazgos, conclusiones y recomendaciones.
También debe asegurar que los trabajos cumplan con las Normas y metodologías y
ofrecer feedback para desarrollar competencias.
Factores para una empresa financiera peruana:
Supervisión Especializada: En auditorías de áreas altamente técnicas (ej. sistemas de trading, modelos de valoración de activos), la supervisión debe ser realizada por auditores con experiencia y conocimiento específico en esas áreas.
Control de Calidad en Papeles de Trabajo: Implementar un sistema de revisión de papeles de trabajo que asegure que la evidencia recopilada es relevante, fiable y suficiente para respaldar los hallazgos y conclusiones sobre riesgos financieros y controles.
Feedback Estructurado y Oportuno: Proporcionar feedback constructivo y oportuno a los auditores sobre su desempeño en la aplicación de las metodologías, la identificación de riesgos en el sector financiero y la comunicación de hallazgos, para fomentar su desarrollo profesional..
Resolución de Diferencias de Juicio: Establecer un proceso para resolver cualquier diferencia de juicio profesional que pueda surgir entre auditores y supervisores, especialmente en temas subjetivos como la materialidad de un riesgo o la viabilidad de una recomendación en el contexto del negocio bancario.
Dominio V: Desempeño de los Servicios de Auditoría Interna
En este dominio, los auditores internos implementan el
programa de trabajo para lograr los objetivos del trabajo. La planificación
del trabajo implica recopilar información y crear un programa de trabajo que
describe las tareas y metodologías. Para implementar el programa, los auditores
recopilan información, realizan análisis y evaluaciones, identifican hallazgos
potenciales, determinan causas, efectos e importancia, y desarrollan
recomendaciones y conclusiones.
Principio 13: Planificar Eficazmente los Trabajos
Los auditores internos planifican cada trabajo utilizando
un enfoque sistemático y disciplinado. La planificación comienza
comprendiendo las expectativas iniciales y los motivos del trabajo, recopilando
información para comprender la organización y la actividad bajo revisión, y
evaluando los riesgos relevantes.
Norma 13.1 Comunicación durante el Trabajo:
Los auditores internos deben comunicarse de forma eficaz a
lo largo del trabajo de Auditoría Interna, incluyendo comunicaciones iniciales,
continuas y de cierre con la Dirección de la actividad bajo revisión. La
comunicación de cierre busca resolver diferencias antes de la emisión del
informe final.
Factores para una empresa financiera peruana:
Reunión de Apertura con la Gerencia: En la reunión de apertura, discutir los objetivos y el alcance de la auditoría con la gerencia del área (ej. gerencia de operaciones, gerencia de riesgos), asegurando su comprensión y colaboración. Esto es crucial en un entorno donde los procesos son interdependientes.
Comunicación Continua de Hallazgos Preliminares: Informar a la gerencia sobre hallazgos preliminares a medida que se descubren, especialmente aquellos que requieren atención inmediata (ej. brechas de seguridad críticas, errores en el cálculo de provisiones que impactan los estados financieros).
Reunión de Cierre Formal: Utilizar la reunión de cierre para discutir los hallazgos, recomendaciones y planes de acción con la gerencia, buscando un consenso. Si no hay acuerdo, la auditoría interna debe documentar ambas posiciones en el informe final.
Norma 13.2 Evaluación de los Riesgos para la Actividad bajo Revisión:
Los auditores internos deben comprender la actividad bajo
revisión, recopilando suficiente información y realizando una evaluación de
riesgos. Deben comprender las estrategias, objetivos y tolerancia al riesgo de
la organización relevantes para la actividad, así como los procesos de
gobierno, gestión de riesgos y control de la actividad. Deben identificar
riesgos significativos, cómo se controlan, evaluar su importancia y la
idoneidad de los procesos de control, incluyendo riesgos de fraude y TI.
Factores para una empresa financiera peruana:
Análisis de Riesgos Específicos por Proceso: Realizar una evaluación de riesgos detallada para cada proceso o producto financiero auditado (ej. desembolso de préstamos, gestión de tarjetas de crédito, operaciones con divisas), identificando los riesgos inherentes (ej. riesgo de impago, riesgo de mercado) y los controles clave.
Riesgos de Fraude Específicos: Identificar y evaluar los riesgos de fraude relacionados con las operaciones financieras, como el fraude interno, el fraude de identidad o el fraude en transacciones electrónicas, utilizando matrices de riesgo y control adaptadas.
Evaluación de Controles Regulatorios: Evaluar la idoneidad del diseño de los controles internos para asegurar el cumplimiento de las normativas de la SBS, la SMV y otras leyes peruanas aplicables a la actividad.
Uso de Información de la Dirección de Riesgos:
Apalancarse en los informes y evaluaciones de riesgo de la función de gestión
de riesgos de la entidad, pero aplicando escepticismo profesional y validando
la información.
Norma 13.3 Objetivos y Alcance del Trabajo:
Los auditores internos deben establecer y documentar los
objetivos y el alcance del trabajo. Los objetivos deben articular el propósito
y considerar la evaluación de riesgos. El alcance establece el enfoque y los
perímetros (actividades, ubicaciones, procesos, sistemas, periodo) y debe ser
suficiente para lograr los objetivos. Las limitaciones al alcance deben
declararse.
Factores para una empresa financiera peruana:
Objetivos Alineados con Estrategia y Riesgos: Establecer objetivos de auditoría que se alineen directamente con los riesgos clave de la entidad financiera (ej. asegurar la integridad de los datos de clientes para cumplir con protección de datos, evaluar la efectividad de los controles de ciberseguridad para proteger activos).
Alcance por Sistema/Proceso: Definir el alcance en función de sistemas (ej. sistema de transferencias interbancarias, sistema de gestión de créditos), productos (ej. microcréditos, factoring) o procesos específicos (ej. apertura de cuentas, gestión de reclamos), crucial en una entidad con múltiples líneas de negocio.
Limitaciones de Alcance Claramente Documentadas: Documentar cualquier limitación de alcance (ej. imposibilidad de acceder a ciertos datos, restricciones regulatorias) y discutirla con la gerencia y el Consejo, especialmente si afecta la capacidad de la auditoría para evaluar riesgos críticos.
Norma 13.4 Criterios de Evaluación:
Los auditores internos deben identificar criterios medibles
que se emplearán para evaluar los aspectos de la actividad bajo revisión. Deben
comprobar el grado en que la Dirección o el Consejo ha establecido criterios
adecuados; si son adecuados, usarlos; si no, identificar criterios apropiados.
Los criterios pueden ser internos (políticas), externos (leyes, regulaciones
peruanas), o prácticas oficiales (marcos, normas, guías específicas del sector
financiero).
Factores para una empresa financiera peruana:
Criterios Regulatorios (SBS, SMV): Utilizar como criterios de evaluación las normas emitidas por la Superintendencia de Banca, Seguros y AFP (SBS) y la Superintendencia del Mercado de Valores (SMV) para evaluar la gestión de riesgos, el cumplimiento y los controles internos.
Políticas y Procedimientos Internos: Referenciarse a
las políticas internas de la entidad financiera (ej. manual de crédito,
política de seguridad de la información) como criterios para evaluar el
cumplimiento y la efectividad de los controles.
Marcos de Control Reconocidos: Adoptar marcos internacionales como COSO (para control interno), COBIT (para TI) o ISO 27001 (para seguridad de la información), adaptándolos a la realidad de la entidad financiera peruana.
Tolerancia al Riesgo de la Entidad: Comprender la tolerancia al riesgo declarada por la entidad financiera y utilizarla como un criterio para evaluar la importancia de los hallazgos y la efectividad de los controles.
Norma 13.5 Recursos para el Trabajo:
Al planificar el trabajo, los auditores internos deben
identificar los recursos necesarios (tipos y cantidad) para lograr los
objetivos. Esto incluye considerar la naturaleza y complejidad del trabajo, los
plazos y la suficiencia de recursos humanos, financieros y tecnológicos
disponibles. Si los recursos son insuficientes, deben debatirlo con el DAI.
Factors para una empresa financiera peruana:
Expertos Especializados: Identificar la necesidad de expertos en temas específicos (ej. peritos forenses para investigaciones de fraude, especialistas en valoración de instrumentos financieros, ingenieros de ciberseguridad).
Herramientas Tecnológicas: Determinar las
herramientas tecnológicas necesarias para la auditoría (ej. software de
análisis de datos para transacciones bancarias, plataformas para la revisión de
código de aplicaciones financieras).
Disponibilidad de Datos: Asegurar que se contará con acceso oportuno a los datos requeridos de los sistemas de la entidad, que pueden ser complejos y de gran volumen.
Plazos y Presupuesto Realistas: Establecer plazos y presupuestos realistas para cada auditoría, considerando la complejidad de los procesos financieros y la disponibilidad del personal auditado.
Norma 13.6 Programa de Trabajo:
Los auditores internos deben desarrollar y documentar un
programa de trabajo que logrará los objetivos. El programa se basa en la
planificación del trabajo y la evaluación de riesgos, identificando tareas,
metodologías, herramientas y auditores asignados. El DAI o persona designada
debe revisar y aprobar el programa y sus modificaciones.
Factores para una empresa financiera peruana:
Procedimientos de Prueba Detallados: El programa de trabajo debe incluir procedimientos de prueba detallados para evaluar la efectividad de los controles en procesos financieros (ej. pruebas de límites de crédito, conciliaciones bancarias, validación de transacciones).
Uso de Metodologías de Muestreo Cuantitativas: Especificar las metodologías de muestreo a utilizar (ej. muestreo estadístico para grandes volúmenes de transacciones, muestreo dirigido para riesgos específicos) y su justificación.
Integración con Matriz de Riesgos y Controles: El programa de trabajo debe estar vinculado a la matriz de riesgos y controles, mostrando cómo cada procedimiento aborda un riesgo específico y evalúa un control particular.
Flexibilidad para Cambios: El programa debe ser lo suficientemente flexible para ajustarse a nuevos hallazgos o cambios en el entorno de riesgo que puedan surgir durante la auditoría, con un proceso claro para su aprobación.
Principio 14: Ejecución de los Trabajos
Los auditores internos implementan el programa de trabajo
para lograr los objetivos del trabajo. Esto implica recopilar información,
llevar a cabo análisis y evaluaciones, identificar hallazgos potenciales,
determinar causas, efectos e importancia, y desarrollar recomendaciones y
conclusiones.
Norma 14.1 Recopilación de Información para el Análisis y Evaluación:
Los auditores internos deben recopilar información
relevante, fiable y suficiente para llevar a cabo los análisis y evaluaciones.
Deben evaluar la relevancia, fiabilidad y suficiencia de la información y, si
no es suficiente, recopilar información adicional.
Factores para una empresa financiera peruana:
Fuentes de Información Diversas: Recopilar información de diversas fuentes, incluyendo sistemas transaccionales (ej. SWIFT, CLABE), bases de datos de clientes, informes de gestión de riesgos, actas de comités, y documentación de cumplimiento, para asegurar la fiabilidad.
Validación de Datos Cuantitativos: Para la
información financiera, la auditoría debe aplicar técnicas de validación de
datos para asegurar su integridad y precisión (ej. conciliaciones con fuentes
externas, confirmaciones bancarias).
Evidencia de Cumplimiento Regulatorio: Recopilar evidencia del cumplimiento de las normativas de la SBS, incluyendo informes de supervisión, respuestas a requerimientos regulatorios y planes de acción implementados.
Entrevistas y Observaciones Directas: Complementar la revisión documental con entrevistas a personal clave en diferentes niveles (operativo, gerencial) y observaciones directas de procesos (ej. procesos de caja, atención al cliente).
Norma 14.2 Análisis y Potenciales Hallazgos de Auditoría:
Los auditores internos deben analizar información relevante,
fiable y suficiente para desarrollar los potenciales hallazgos. Deben
determinar diferencias entre criterios de evaluación y la condición existente
(hallazgos potenciales), que pueden incluir errores, irregularidades, actos
ilegales u oportunidades de mejora. Se debe determinar si se requiere mayor
análisis y ajustar el programa de trabajo si es necesario.
Factores para una empresa financiera peruana:
Análisis de Tendencias Financieras: Realizar
análisis de tendencias en indicadores financieros (ej. morosidad de la cartera,
rentabilidad por producto, eficiencia operativa) para identificar desviaciones
significativas que puedan indicar riesgos o ineficiencias.
Pruebas de Controles Automáticos y Manuales: Realizar
pruebas específicas sobre la efectividad de los controles automáticos en los
sistemas bancarios (ej. límites de transacciones, validaciones de datos) y de
los controles manuales en los procesos financieros (ej. revisiones de
aprobaciones, conciliaciones).
Identificación de Irregularidades y Fraudes: Utilizar técnicas de análisis de datos para identificar patrones de transacciones inusuales o anomalías que puedan indicar actividades fraudulentas o lavado de activos.
Evaluación de la Eficiencia Operativa: Más allá de la detección de errores, el análisis debe buscar oportunidades para mejorar la eficiencia operativa en los procesos financieros, lo cual puede generar ahorros significativos.
Norma 14.3 Evaluación de los Hallazgos:
Los auditores internos evalúan cada potencial hallazgo para
determinar su importancia, identificando la causa fundamental (causa raíz),
determinando los potenciales efectos y evaluando la importancia del riesgo
(probabilidad e impacto). Los hallazgos significativos deben documentarse y
comunicarse. Deben proporcionar una calificación o clasificación de prioridad
de cada hallazgo, en base a su importancia, utilizando metodologías
establecidas.
Factores para una empresa financiera peruana:
Causa Raíz: Utilizar una escala de calificación de hallazgos (ej. "crítico", "alto", "medio", "bajo") que esté alineada con la matriz de riesgos de la entidad y la tolerancia al riesgo del Consejo, lo cual es de gran relevancia para la SBS.
Documentación Detallada del Hallazgo: Asegurar que
cada hallazgo esté documentado de manera clara, concisa y respaldada por
evidencia, incluyendo la condición, el criterio, la causa, el efecto y la
calificación de importancia, para facilitar su comprensión y resolución por
parte de la gerencia.
Norma 14.4 Recomendaciones y Planes de Acción:
Los auditores internos deben formular recomendaciones
(acciones sugeridas para resolver diferencias, mitigar riesgos o mejorar la
actividad) y, si procede, obtener los planes de acción de la Dirección. Las
recomendaciones deben debatirse con la Dirección. Para trabajos de
aseguramiento, se deben obtener planes de acción para abordar la causa raíz. Si
no hay acuerdo, se deben declarar ambas posiciones en la comunicación final.
Factores para una empresa financiera peruana:
Recomendaciones Viables y Específicas: Formular recomendaciones que sean prácticas, medibles y viables para la entidad financiera, considerando la complejidad de sus sistemas y procesos (ej. recomendar la implementación de un control específico en el sistema de onboarding digital en lugar de una revisión manual general).
Planes de Acción con Responsables y Plazos: Obtener planes de acción de la gerencia que incluyan responsables claros y plazos definidos para la implementación, especialmente para hallazgos de alto riesgo o incumplimientos regulatorios.
Análisis Costo-Beneficio de las Recomendaciones: Discutir con la gerencia el costo-beneficio de implementar las recomendaciones, reconociendo que algunas mejoras pueden requerir inversiones significativas.
Mediación en Desacuerdos: Si hay desacuerdos con la
gerencia sobre las recomendaciones, el DAI debe mediar y, si es necesario,
escalar el asunto al Consejo, documentando las razones del desacuerdo.
Norma 14.5 Desarrollo de las Conclusiones del Trabajo:
Los Asignar una calificación global a la auditoría (ej.
"satisfactorio", "parcialmente satisfactorio",
"necesita mejora") que refleje la efectividad general de los
controles y la gestión de riesgos en el área auditada, en línea con el sistema
de calificación de la función.
Impacto en Objetivos Estratégicos: La conclusión debe
vincular los hallazgos con el impacto potencial en los objetivos estratégicos
de la entidad financiera (ej. cómo las debilidades en los controles de crédito
afectan el crecimiento de la cartera, o cómo las vulnerabilidades de TI afectan
la reputación digital).
Perspectiva Holística del Riesgo: Si la auditoría
cubre múltiples procesos o sistemas interconectados, la conclusión debe ofrecer
una perspectiva holística de los riesgos residuales y su impacto agregado en la
entidad financiera.
Norma 14.6 Documentación de los Trabajos:
Los auditores internos deben documentar la información y
evidencias que respalden los hallazgos, recomendaciones y conclusiones. La
documentación debe ser tal que un auditor prudente y competente pueda repetir
el trabajo y obtener los mismos resultados. La documentación incluye la fecha,
programa de trabajo, análisis de riesgos, objetivos y alcance, descripciones de
análisis, hallazgos, recomendaciones, conclusiones, evidencias de
comunicaciones y nombres de los participantes.
Factores para una empresa financiera peruana:
Estandarización de Papeles de Trabajo: Utilizar plantillas estandarizadas o software de auditoría para la documentación de los trabajos, asegurando que se capture toda la información relevante (ej. capturas de pantalla de sistemas bancarios, registros de transacciones, resultados de scripts de análisis de datos).
Trazabilidad de la Evidencia: Asegurar que los papeles de trabajo contengan referencias cruzadas claras que permitan trazar cada hallazgo y conclusión hasta la evidencia de respaldo (ej. extractos bancarios, contratos de crédito, políticas de la SBS).
Respaldo para Revisores Externos: La documentación debe ser lo suficientemente clara y completa para que los auditores externos la Dirección hacia la finalización de los planes de acción.
Norma 15.1 Comunicación Final del Trabajo:
Para cada trabajo, los auditores internos deben desarrollar
una comunicación final que incluya objetivos, alcance y conclusiones, así como
recomendaciones y planes de acción acordados. Para trabajos de aseguramiento,
debe incluir hallazgos con sus calificaciones y limitaciones de alcance. Debe
especificar responsables y plazos. La comunicación debe ser precisa, objetiva,
concisa, constructiva y oportuna, y ser revisada y aprobada por el DAI. Debe
incluir una declaración de conformidad con las Normas Globales de Auditoría
Interna.
Factores para una empresa financiera peruana:
Formato de Informe Consistente: Mantener un formato de informe final consistente que facilite la comprensión por parte de la alta dirección y el Consejo, incluyendo un resumen ejecutivo, los hallazgos clave con su calificación de riesgo, las recomendaciones y los planes de acción de la gerencia.
Clara Articulación del Impacto del Riesgo: Los informes deben articular claramente el impacto de los hallazgos en la entidad financiera (ej. riesgo de pérdidas financieras, riesgo regulatorio, riesgo reputacional), utilizando terminología comprensible para el sector.
Declaración de Cumplimiento Regulatorio: Si aplica, el informe final debe incluir una declaración sobre el cumplimiento con las normativas de la SBS, o las razones de cualquier no conformidad.
Reconocimiento de Acciones de la Gerencia: Reconocer en el informe final cualquier acción correctiva que la gerencia haya iniciado o completado antes de la emisión del informe, fomentando la proactividad.
Norma 15.2 Confirmación de la Implementación de Planes de Acción:
Los auditores internos deben confirmar que la Dirección ha
implementado los planes de acción acordados, siguiendo una metodología que
incluya consultas, evaluaciones de seguimiento y actualización del estado.
Deben solicitar notificación de cambios y verificar los mismos. Si los planes
no se implementan, deben obtener explicaciones y el DAI determinará si se ha
aceptado el riesgo de demora.
Reportes al Consejo sobre el Estado de Implementación:
El DAI debe reportar regularmente al Consejo y a la alta dirección el estado de
implementación de los planes de acción, destacando los hallazgos pendientes y
las explicaciones de la gerencia, lo cual es de gran interés para la SBS.
Escalamiento de Riesgos Remanentes: Si un riesgo
significativo persiste debido a la falta de implementación de las
recomendaciones, el DAI debe escalar la situación al Consejo, como se establece
en la Norma 11.5 sobre Aceptación de Riesgos
Comentarios
Publicar un comentario