1000 - Propósito, Autoridad y Responsabilidad
El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben estar formalmente definidos en un estatuto, de conformidad con las Normas, y estar aprobados por el Consejo.
1000.A1 - La naturaleza de los servicios de aseguramiento proporcionados a la
organización debe estar definida en el estatuto de auditoría. Si los servicios de
aseguramiento fueran proporcionados a terceros ajenos a la organización, la naturaleza de esos servicios también deberá estar definida en el estatuto.
1000.C1 - La naturaleza de los servicios de consultoría debe estar definida en el estatuto de
auditoría.
1100 - Independencia y Objetividad
La actividad de auditoría interna debe ser independiente, y los auditores internos deben ser objetivos en el cumplimiento de su trabajo.
1110 - Independencia de la Organización
El director ejecutivo de auditoría debe responder ante un nivel jerárquico tal dentro de la organización que permita a la actividad de auditoría interna cumplir con sus responsabilidades.
1110.A1 - La actividad de auditoría interna debe estar libre de injerencias al determinar el alcance de auditoría interna, al desempeñar su trabajo y al comunicar sus resultados.
1120 - Objetividad Individual
Los auditores internos deben tener una actitud imparcial y neutral, y evitar conflictos de intereses.
1130 - Impedimentos a la Independencia u Objetividad
Si la independencia u objetividad se viese comprometida de hecho o en apariencia los detalles del impedimento deben darse a conocer a las partes correspondientes. La naturaleza de esta comunicación dependerá del impedimento.
1130.A1 - Los auditores internos deben abstenerse de evaluar operaciones específicas de las cuales hayan sido previamente responsables. Se presume que hay impedimento de objetividad si un auditor interno provee servicios de aseguramiento para una ctividad de la cual el mismo haya tenido responsabilidades en el año inmediato anterior.
1130.A2 - Los trabajos de aseguramiento para funciones por las cuales el director ejecutivo de auditoría tiene responsabilidades deben ser supervisadas por algo fuera de la actividad de auditoría interna.
1130.C1 - Los auditores internos pueden proporcionar servicios de consultoría relacionados a operaciones de las cuales hayan sido previamente responsables.
1130.C2 - Si los auditores internos tuvieran impedimentos potenciales a la independencia u objetividad relacionados con la proposición de servicios de consultoría, deberá declararse esta situación al cliente antes de aceptar el trabajo.
1200 - Pericia y Debido Cuidado Profesional
Los trabajos deben cumplirse con pericia y con el debido cuidado profesional.
1210 – Pericia
Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades individuales. La actividad de auditoría interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades.
1210.A1 - El director ejecutivo de auditoría debe obtener asesoramiento competente y asistencia si el personal de auditoría interna carece de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la totalidad o parte del trabajo.
1210.A2 - El auditor interno debe tener suficientes conocimientos para identificar los indicadores de fraude, pero no es de esperar que tenga conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.
1210.A3 - Los auditores internos deben tener conocimiento de los riesgos y controles clave en tecnología informática y de las técnicas de auditoría disponibles basadas en tecnología que le permitan desempeñar el trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología informática.
1210.C1 - El director ejecutivo de auditoría no debe aceptar un servicio de consultoría, o bien debe obtener asesoramiento y ayuda competente, en caso de que el personal de auditoría carezca de los conocimientos, las aptitudes y otras competencias necesarias para desempeñar la totalidad o parte del trabajo.
1220 - Debido Cuidado Profesional
Los auditores internos deben cumplir su trabajo con el cuidado y la pericia que se esperan de un auditor interno razonablemente prudente y competente. El debido cuidado profesional no implica infalibilidad.
1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar:
• El alcance necesario para alcanzar los objetivos del trabajo.
• La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento.
• La adecuación y eficacia de los procesos de gestión de riesgos, control y gobierno.
• La probabilidad de errores materiales, irregularidades o incumplimientos.
• El costo de aseguramiento en relación con los potenciales beneficios.
1220.A2 - Al ejercer el debido cuidado profesional el auditor interno debe considerar la utilización de herramientas de auditoría asistida por computador y otras técnicas de análisis de datos.
1220.A3 - El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos, las operaciones o los recursos. Sin embargo, los procedimientos de aseguramiento por sí solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no garantizan que todos los riesgos materiales sean identificados.
1220.C1 - El auditor interno debe ejercer el debido cuidado profesional durante un trabajo de consultoría, teniendo en cuenta lo siguiente:
Las necesidades y expectativas de los clientes, incluyendo la naturaleza, oportunidad y comunicación de los resultados del trabajo.
La complejidad relativa y la extensión de la tarea necesaria para cumplir los objetivos del trabajo. El costo del trabajo de consultoría en relación con los beneficios potenciales.
1230 - Desarrollo Profesional Continuado
Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras competencias mediante la capacitación profesional continua.
1300 - Programa de Aseguramiento de Calidad y Cumplimiento
El director ejecutivo de auditoría debe desarrollar y mantener un programa de aseguramiento de calidad y mejora que cubra todos los aspectos de la actividad de auditoría interna y revise continuamente su eficacia. Este programa incluye evaluaciones de calidad externas e internas periódicas y supervisión interna continua. Cada parte del programa debe estar diseñada para ayudar a la actividad de auditoría interna a añadir valor y a mejorar las operaciones de la organización y a proporcionar aseguramiento de que la actividad de auditoría interna cumple con las Normas y el Código de Ética.
1310 - Evaluaciones del Programa de Calidad
La actividad de auditoría interna debe adoptar un proceso para supervisar y evaluar la eficacia general del programa de calidad. Este proceso debe incluir tanto evaluaciones internas como externas.
1311 - Evaluaciones Internas
Las evaluaciones internas deben incluir:
• Revisiones continuas del desempeño de la actividad de auditoría interna, y
• Revisiones periódicas mediante autoevaluación o mediante otras personas dentro de la organización, con conocimiento de las prácticas de auditoría interna y de las Normas.
1312 - Evaluaciones Externas
Deben realizarse evaluaciones externas, tales como revisiones de aseguramiento de calidad, al menos una vez cada cinco años por un revisor o equipo de revisión calificado e independiente, proveniente de fuera de la organización.
1320 - Reporte sobre el Programa de Calidad
El director ejecutivo de auditoría debe comunicar los resultados de las evaluaciones
externas al Consejo.
1330 -Utilización de Realizado de Acuerdo con las Normas
Se anima a los auditores internos a informar que sus actividades son "realizadas de acuerdo con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna". Sin embargo, los auditores internos podrán utilizar esta declaración sólo si las evaluaciones del programa de mejoramiento de calidad demuestran que la actividad de auditoría interna cumple con las Normas.
1340 - Declaración de Incumplimiento
Si bien la actividad de auditoría interna debe lograr el cumplimiento total de las Normas y los auditores internos deben lograr el cumplimiento total del Código de Ética, puede haber casos en los cuales no se logre el cumplimiento total. Cuando el incumplimiento afecte el alcance general o el funcionamiento de la actividad de auditoría interna, debe declararse esta situación a la dirección superior y al Consejo.
2000 - Administración de la Actividad de Auditoría Interna
El director ejecutivo de auditoría debe gestionar efectivamente la actividad de auditoría interna para asegurar que añada valor a la organización.
2010 – Planificación
El director ejecutivo de auditoría debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización.
2010.A1 - El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo.
2010.C1 - El director ejecutivo de auditoría debe considerar la aceptación de trabajos de consultoría que le sean propuestos, basado en el potencial del trabajo para mejorar la gestión de riesgos, añadir valor, y mejorar las operaciones de la organización. Aquellos trabajos que hayan sido aceptados deben ser incluidos en el plan.
2020 - Comunicación y Aprobación
El director ejecutivo de auditoría debe comunicar los planes y requerimientos de recursos de la actividad de auditoría interna, incluyendo los cambios provisorios significativos, a la alta dirección y al Consejo para la adecuada revisión y aprobación. El director ejecutivo de auditoría también debe comunicar el impacto de cualquier limitación de recursos.
2030 - Administración de Recursos
El director ejecutivo de auditoría debe asegurar que los recursos de auditoría interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado.
2040 - Políticas y Procedimientos
El director ejecutivo de auditoría debe establecer políticas y procedimientos para guiar la actividad de auditoría interna.
2050 – Coordinación
El director ejecutivo de auditoría debe compartir información y coordinar Actividades con otros proveedores internos y externos de aseguramiento y servicios de consultoría relevantes para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos.
2060 - Informe al Consejo y a la Dirección Superior
El director ejecutivo de auditoría debe informar periódicamente al Consejo y a la alta dirección sobre la actividad de auditoría interna en lo referido a propósito, autoridad, responsabilidad y desempeño de su plan. El informe también debe incluir exposiciones de riesgo relevantes y cuestiones de control, cuestiones de gobierno corporativo y otras cuestiones necesarias o requeridas por el Consejo y la alta dirección.
2100 - Naturaleza del Trabajo
La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno, utilizando un enfoque sistemático y disciplinado.
2110 - Gestión de Riesgos
La actividad de auditoría interna debe asistir a la organización mediante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control.
2110.A1 - La actividad de auditoría interna debe supervisar y evaluar la eficacia del sistema de gestión de riesgos de la organización.
2110.A2 - La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente:
• Confiabilidad e integridad de la información financiera y operativa,
• Eficacia y eficiencia de las operaciones,
• Protección de activos, y
• Cumplimiento de leyes, regulaciones y contratos.
2110.C1 - Durante los trabajos de consultoría, los auditores internos deben considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.
2110.C2 - Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones de riesgo significativas en la organización.
El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben estar formalmente definidos en un estatuto, de conformidad con las Normas, y estar aprobados por el Consejo.
1000.A1 - La naturaleza de los servicios de aseguramiento proporcionados a la
organización debe estar definida en el estatuto de auditoría. Si los servicios de
aseguramiento fueran proporcionados a terceros ajenos a la organización, la naturaleza de esos servicios también deberá estar definida en el estatuto.
1000.C1 - La naturaleza de los servicios de consultoría debe estar definida en el estatuto de
auditoría.
1100 - Independencia y Objetividad
La actividad de auditoría interna debe ser independiente, y los auditores internos deben ser objetivos en el cumplimiento de su trabajo.
1110 - Independencia de la Organización
El director ejecutivo de auditoría debe responder ante un nivel jerárquico tal dentro de la organización que permita a la actividad de auditoría interna cumplir con sus responsabilidades.
1110.A1 - La actividad de auditoría interna debe estar libre de injerencias al determinar el alcance de auditoría interna, al desempeñar su trabajo y al comunicar sus resultados.
1120 - Objetividad Individual
Los auditores internos deben tener una actitud imparcial y neutral, y evitar conflictos de intereses.
1130 - Impedimentos a la Independencia u Objetividad
Si la independencia u objetividad se viese comprometida de hecho o en apariencia los detalles del impedimento deben darse a conocer a las partes correspondientes. La naturaleza de esta comunicación dependerá del impedimento.
1130.A1 - Los auditores internos deben abstenerse de evaluar operaciones específicas de las cuales hayan sido previamente responsables. Se presume que hay impedimento de objetividad si un auditor interno provee servicios de aseguramiento para una ctividad de la cual el mismo haya tenido responsabilidades en el año inmediato anterior.
1130.A2 - Los trabajos de aseguramiento para funciones por las cuales el director ejecutivo de auditoría tiene responsabilidades deben ser supervisadas por algo fuera de la actividad de auditoría interna.
1130.C1 - Los auditores internos pueden proporcionar servicios de consultoría relacionados a operaciones de las cuales hayan sido previamente responsables.
1130.C2 - Si los auditores internos tuvieran impedimentos potenciales a la independencia u objetividad relacionados con la proposición de servicios de consultoría, deberá declararse esta situación al cliente antes de aceptar el trabajo.
1200 - Pericia y Debido Cuidado Profesional
Los trabajos deben cumplirse con pericia y con el debido cuidado profesional.
1210 – Pericia
Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades individuales. La actividad de auditoría interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades.
1210.A1 - El director ejecutivo de auditoría debe obtener asesoramiento competente y asistencia si el personal de auditoría interna carece de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la totalidad o parte del trabajo.
1210.A2 - El auditor interno debe tener suficientes conocimientos para identificar los indicadores de fraude, pero no es de esperar que tenga conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.
1210.A3 - Los auditores internos deben tener conocimiento de los riesgos y controles clave en tecnología informática y de las técnicas de auditoría disponibles basadas en tecnología que le permitan desempeñar el trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología informática.
1210.C1 - El director ejecutivo de auditoría no debe aceptar un servicio de consultoría, o bien debe obtener asesoramiento y ayuda competente, en caso de que el personal de auditoría carezca de los conocimientos, las aptitudes y otras competencias necesarias para desempeñar la totalidad o parte del trabajo.
1220 - Debido Cuidado Profesional
Los auditores internos deben cumplir su trabajo con el cuidado y la pericia que se esperan de un auditor interno razonablemente prudente y competente. El debido cuidado profesional no implica infalibilidad.
1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar:
• El alcance necesario para alcanzar los objetivos del trabajo.
• La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento.
• La adecuación y eficacia de los procesos de gestión de riesgos, control y gobierno.
• La probabilidad de errores materiales, irregularidades o incumplimientos.
• El costo de aseguramiento en relación con los potenciales beneficios.
1220.A2 - Al ejercer el debido cuidado profesional el auditor interno debe considerar la utilización de herramientas de auditoría asistida por computador y otras técnicas de análisis de datos.
1220.A3 - El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos, las operaciones o los recursos. Sin embargo, los procedimientos de aseguramiento por sí solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no garantizan que todos los riesgos materiales sean identificados.
1220.C1 - El auditor interno debe ejercer el debido cuidado profesional durante un trabajo de consultoría, teniendo en cuenta lo siguiente:
Las necesidades y expectativas de los clientes, incluyendo la naturaleza, oportunidad y comunicación de los resultados del trabajo.
La complejidad relativa y la extensión de la tarea necesaria para cumplir los objetivos del trabajo. El costo del trabajo de consultoría en relación con los beneficios potenciales.
1230 - Desarrollo Profesional Continuado
Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras competencias mediante la capacitación profesional continua.
1300 - Programa de Aseguramiento de Calidad y Cumplimiento
El director ejecutivo de auditoría debe desarrollar y mantener un programa de aseguramiento de calidad y mejora que cubra todos los aspectos de la actividad de auditoría interna y revise continuamente su eficacia. Este programa incluye evaluaciones de calidad externas e internas periódicas y supervisión interna continua. Cada parte del programa debe estar diseñada para ayudar a la actividad de auditoría interna a añadir valor y a mejorar las operaciones de la organización y a proporcionar aseguramiento de que la actividad de auditoría interna cumple con las Normas y el Código de Ética.
1310 - Evaluaciones del Programa de Calidad
La actividad de auditoría interna debe adoptar un proceso para supervisar y evaluar la eficacia general del programa de calidad. Este proceso debe incluir tanto evaluaciones internas como externas.
1311 - Evaluaciones Internas
Las evaluaciones internas deben incluir:
• Revisiones continuas del desempeño de la actividad de auditoría interna, y
• Revisiones periódicas mediante autoevaluación o mediante otras personas dentro de la organización, con conocimiento de las prácticas de auditoría interna y de las Normas.
1312 - Evaluaciones Externas
Deben realizarse evaluaciones externas, tales como revisiones de aseguramiento de calidad, al menos una vez cada cinco años por un revisor o equipo de revisión calificado e independiente, proveniente de fuera de la organización.
1320 - Reporte sobre el Programa de Calidad
El director ejecutivo de auditoría debe comunicar los resultados de las evaluaciones
externas al Consejo.
1330 -Utilización de Realizado de Acuerdo con las Normas
Se anima a los auditores internos a informar que sus actividades son "realizadas de acuerdo con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna". Sin embargo, los auditores internos podrán utilizar esta declaración sólo si las evaluaciones del programa de mejoramiento de calidad demuestran que la actividad de auditoría interna cumple con las Normas.
1340 - Declaración de Incumplimiento
Si bien la actividad de auditoría interna debe lograr el cumplimiento total de las Normas y los auditores internos deben lograr el cumplimiento total del Código de Ética, puede haber casos en los cuales no se logre el cumplimiento total. Cuando el incumplimiento afecte el alcance general o el funcionamiento de la actividad de auditoría interna, debe declararse esta situación a la dirección superior y al Consejo.
2000 - Administración de la Actividad de Auditoría Interna
El director ejecutivo de auditoría debe gestionar efectivamente la actividad de auditoría interna para asegurar que añada valor a la organización.
2010 – Planificación
El director ejecutivo de auditoría debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización.
2010.A1 - El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo.
2010.C1 - El director ejecutivo de auditoría debe considerar la aceptación de trabajos de consultoría que le sean propuestos, basado en el potencial del trabajo para mejorar la gestión de riesgos, añadir valor, y mejorar las operaciones de la organización. Aquellos trabajos que hayan sido aceptados deben ser incluidos en el plan.
2020 - Comunicación y Aprobación
El director ejecutivo de auditoría debe comunicar los planes y requerimientos de recursos de la actividad de auditoría interna, incluyendo los cambios provisorios significativos, a la alta dirección y al Consejo para la adecuada revisión y aprobación. El director ejecutivo de auditoría también debe comunicar el impacto de cualquier limitación de recursos.
2030 - Administración de Recursos
El director ejecutivo de auditoría debe asegurar que los recursos de auditoría interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado.
2040 - Políticas y Procedimientos
El director ejecutivo de auditoría debe establecer políticas y procedimientos para guiar la actividad de auditoría interna.
2050 – Coordinación
El director ejecutivo de auditoría debe compartir información y coordinar Actividades con otros proveedores internos y externos de aseguramiento y servicios de consultoría relevantes para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos.
2060 - Informe al Consejo y a la Dirección Superior
El director ejecutivo de auditoría debe informar periódicamente al Consejo y a la alta dirección sobre la actividad de auditoría interna en lo referido a propósito, autoridad, responsabilidad y desempeño de su plan. El informe también debe incluir exposiciones de riesgo relevantes y cuestiones de control, cuestiones de gobierno corporativo y otras cuestiones necesarias o requeridas por el Consejo y la alta dirección.
2100 - Naturaleza del Trabajo
La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno, utilizando un enfoque sistemático y disciplinado.
2110 - Gestión de Riesgos
La actividad de auditoría interna debe asistir a la organización mediante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control.
2110.A1 - La actividad de auditoría interna debe supervisar y evaluar la eficacia del sistema de gestión de riesgos de la organización.
2110.A2 - La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente:
• Confiabilidad e integridad de la información financiera y operativa,
• Eficacia y eficiencia de las operaciones,
• Protección de activos, y
• Cumplimiento de leyes, regulaciones y contratos.
2110.C1 - Durante los trabajos de consultoría, los auditores internos deben considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.
2110.C2 - Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones de riesgo significativas en la organización.