normas intls auditoriagub
TRANSCRIPT
INTRODUCCIÓN
INTRODUCCIÓN Las normas profesionales son el conjunto de disposiciones que determinan los principios de actuación que rigen a los organismos auditores, los prerrequisitos para el correcto funcionamiento de los organismos auditores, los principios de auditoría fundamentales, las directrices de revisión, y los criterios para la conducta de sus integrantes. Su adopción es necesaria para garantizar que el desempeño y productos de los organismos auditores sean consistentes, de alta calidad y conforme a las mejores prácticas. En este sentido, es importante el trabajo de los organismos internacionales fijadores de normas, cuya labor garantiza la aplicabilidad y revisión periódica de los criterios de auditoría, asegurando que no sean modificados arbitrariamente. A propósito, un organismo emisor de normas para la auditoría del sector público es la Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI), en la cual participa activamente la Auditoría Superior de la Federación. La puesta en marcha del Sistema Nacional de Fiscalización (SNF) es relevante para fortalecer a la auditoría gubernamental, pues contribuye a la consolidación de una sociedad democrática en la que impere la rendición de cuentas, la transparencia, la responsabilidad institucional y la preservación del interés público. En esta aspiración, es clave la coordinación que puede lograrse entre los organismos auditores, en los ámbitos de fiscalización externa y control interno, así como en los tres niveles de gobierno, para potenciar la mejora continua de la Administración Pública. Al respecto, durante la primera reunión de trabajo del Sistema Nacional de Fiscalización, en noviembre de 2010, se presentó un primer diagnóstico sobre el estado que guarda la rendición de cuentas en los tres niveles de gobierno, identificándose como desafíos relevantes para los organismos auditores tanto la falta de homologación de los programas, normas y procedimientos de auditoría gubernamental a nivel nacional, como las brechas en la coordinación entre la auditoría interna y externa dada la inexistencia de un marco con objetivos y métodos comunes. Para abatir este problema, se consideró conveniente la adopción de normas que permitan su homologación con las mejores prácticas internacionales, toda vez que puede aprenderse de la experiencia en otras latitudes para reforzar las propiedades deseadas de la auditoría gubernamental, a saber: transparencia, oportunidad, imparcialidad, rigor técnico, integralidad y confiabilidad. Por lo anterior, durante la segunda reunión de trabajo del SNF, la Auditoría Superior de la Federación ha puesto a consideración de las partes integrantes del Sistema la propuesta para crear un Marco de Normas Profesionales del Sistema Nacional de Fiscalización que se desarrolle a partir de las normas ya emitidas por la INTOSAI. En concreto, se ha sugerido la adopción de las normas de esta Organización en los niveles
1, 2 y 3 de su Marco Normativo2, relativos a los fundamentos de la auditoría gubernamental, los requisitos previos para el adecuado funcionamiento y conducta profesional de los organismos auditores, y los principios fundamentales de la fiscalización, respectivamente. Aquellas normas en la cuarta clasificación –Directrices de Auditoría– se excluyen de esta iniciativa por tratarse de directrices específicas y operaciones de auditoría cuya adopción sería conveniente en el largo plazo, una vez que se haya implementado el marco normativo y los principios fundamentales. Además, dada su especificidad, será responsabilidad de cada organismo auditor la elección de las directrices que más convengan de acuerdo a sus mandatos, intereses y programas de auditoría. Por otra parte, se recomienda la inclusión de INTOSAI GOVs selectas, específicamente aquellas relativas al control interno. Precisamente por tratarse de orientaciones, mas no de normas profesionales, su inclusión sólo es sugerida. Con el Marco propuesto, los organismos auditores verían facilitados sus esfuerzos por identificar las brechas existentes respecto a las líneas básicas de fiscalización, las mejores prácticas de auditoría gubernamental, y mandatos y marcos técnicos idóneos, a fin de generar las condiciones para un mayor alcance y efectividad en las revisiones. Conviene aclarar que la aplicación de las normas de INTOSAI, en su esencia, no se restringe a las Entidades Fiscalizadoras Superiores. Al colaborar conjuntamente con otros cuerpos emisores de normas, como la Federación Internacional de Contadores, IFAC, y con el Instituto de Auditores Internos, IIA, las normas profesionales de la INTOSAI pueden ser aprovechadas por los entes responsables del control interno. En caso de que esta iniciativa tenga el consenso del Sistema Nacional de Fiscalización, será necesario llegar a un acuerdo sobre el establecimiento de mecanismos de coordinación, difusión y adecuación convenientes, lo que favorecerá la homologación de las normas en los tres niveles de gobierno. Asimismo, ha de considerarse la instrumentación de los mecanismos para garantizar su adecuación y utilidad, constante revisión y perfeccionamiento. Naturalmente que este esfuerzo requiere la participación no sólo de la Auditoría Superior de la Federación y de las Entidades de Fiscalización Superior de las Entidades Federativas, en el ámbito de control externo; se requiere, además, de la participación de todas aquellas instancias de control interno, es decir, la Secretaría de la Función Pública, las Secretarías de las Contralorías estatales, y las Contralorías de los organismos autónomos a nivel federal y de los cabildos. Esta iniciativa se apoya en una teoría causal sólida, pues a través de la fijación de un marco normativo común fortalecido con la adopción de normas de la INTOSAI, se favorece la homologación de programas, normas y procedimientos de auditoría
2 Para mayor información, véase la sección correspondiente al Marco Normativo de la INTOSAI y los Principios de Clasificación.
gubernamental. Esto implica la eventual estandarización de criterios, métodos, prácticas y procesos empleados en la implementación de los controles internos y en la conducción de auditorías externas al ejercicio de los recursos públicos. En consecuencia, se impulsaría una actuación coordinada por parte de los órganos de control interno y de fiscalización externa en los tres niveles de gobierno, coadyuvándose así a la optimización de la rendición de cuentas en nuestro país, que no se limitaría al ámbito federal, pues su impacto permearía en la esfera estatal y particularmente en la municipal. Cabe recalcar que la propuesta tiene por meta encuadrar la actuación de las distintas partes integrantes del sistema en torno a principios o elementos de observación general. No se pretende de ninguna forma violentar los procesos, mandato o normativa de los organismos auditores integrantes del Sistema Nacional de Fiscalización. Cada organismo auditor podrá aplicar las normas profesionales de conformidad con el mandato y legislación que le regule, pero es tarea del SNF el proponer un Marco Normativo adecuado que sirva también para compartir la experiencia, las buenas prácticas y retos en la implementación de estas normas. Para concluir, es menester mencionar que para la implementación exitosa del Sistema Nacional de Fiscalización se requiere la consideración de cuatro condiciones necesarias:
1. La implementación y seguimiento de acciones en torno a metas de corto, mediano y largo plazo,
2. Un compromiso firme de las partes por cumplir con los deberes derivados del Sistema Nacional de Fiscalización,
3. El intercambio efectivo de información y coordinación eficaz entre las instancias de los tres niveles de gobierno, y
4. La promoción y realización eventual de las adecuaciones legales necesarias. Es muy importante una coordinación eficaz, pues esto dotará al Sistema Nacional Fiscalizador de una certidumbre razonable respecto a los méritos, adecuación y vigencia permanente de las normas, tras asegurarse la implementación y observancia de un proceso exitoso de fijación de normas riguroso, transparente, objetivo y participativo. Para mejor comprensión de esta iniciativa, a continuación se presenta información general sobre la INTOSAI, así como de su Marco Normativo y los Principios de Clasificación antes señalados. Este documento contiene, además, una sección sobre la relevancia de las Normas Internacionales propuestas para el Sistema Nacional de Fiscalización, donde se sintetiza la relevancia y aportación de cada norma sugerida. Para finalizar, se incluye el texto original, en español, de las Normas Profesionales y Directrices para la Buena Gobernanza propuestas por la Auditoría Superior de la Federación.
INFORMACIÓN SOBRE LA INTOSAI
INFORMACIÓN SOBRE LA INTOSAI La Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI), es una entidad autónoma, independiente y apolítica, creada como una institución permanente para fomentar el intercambio de ideas y experiencias entre las Entidades Fiscalizadoras Superiores (EFS) de los 189 países miembros, en lo que se refiere a la auditoría gubernamental. Desde hace más de 50 años, la INTOSAI ofrece a las EFS, pero también a otros órganos auditores, incluyendo a los responsables del control interno, un marco institucional para poder enfrentar las crecientes demandas de la fiscalización pública. Constituye, asimismo, un foro para que los auditores gubernamentales de todo el mundo puedan debatir los temas de interés recíproco y mantenerse al tanto de los últimos avances en la fiscalización y de las otras normas profesionales y mejores prácticas que sean aplicables. De conformidad con estos objetivos, el lema de la INTOSAI es "La experiencia mutua beneficia a todos". Su misión es proporcionar apoyo mutuo, fomentar el intercambio de ideas, conocimientos y experiencias, actuar como portavoz oficial de los organismos auditores en la comunidad internacional, y promover la mejora continua en la diversificada gama de entidades que la integran. Así, en aras de promover el buen gobierno, habilitando a los organismos auditores para que ayuden a sus respectivos gobiernos a mejorar su desempeño, perfeccionar la transparencia, garantizar la obligación de rendir cuentas, mantener la credibilidad, luchar contra la corrupción, promover la confianza pública, y fomentar el uso de los recursos públicos en beneficio de sus pueblos, la INTOSAI opera en torno a su Plan Estratégico 2011-2016 que abarca cuatro metas, a saber: 1. Rendición de Cuentas y Normas Profesionales, 2. Creación de Competencias Institucionales, 3. Compartir Conocimientos y 4. Organización Internacional Modelo Mayor información sobre la INTOSAI puede ser consultada en el sitio Web: http://www.intosai.org/
MARCO NORMATIVO DE LA INTOSAI
Y PRINCIPIOS DE CLASIFICACIÓN
MARCO NORMATIVO DE LA INTOSAI Y PRINCIPIOS DE CLASIFICACIÓN Dentro del ámbito de la Meta 1, la INTOSAI se ocupa de las Normas Internacionales de las Entidades Fiscalizadoras Superiores. Las también llamadas ISSAIs, por su acrónimo en inglés, son normas profesionales emitidas con la aprobación del Congreso de la INTOSAI, su máxima autoridad. Contienen los prerrequisitos básicos para el funcionamiento adecuado de los organismos auditores y los principios fundamentales de auditorías de entidades públicas. Incluyen, además, recomendaciones sobre los requisitos previos legales, de organización y de índole profesional, así como sobre la conducta de la auditoría, además de ejemplos o descripciones de mejores prácticas. Las normas que emite INTOSAI se estructuran en torno al Marco de Normas Profesionales (también llamado Marco de ISSAIs), que permite categorizarlas, según ciertos principios de clasificación, en cuatro niveles jerárquicos, obteniendo un código específico de uno a cuatro dígitos según el nivel de que se trate3.
• El nivel 1 se ocupa de los fundamentos de la auditoría gubernamental.
• El nivel 2 cubre los requisitos previos para el adecuado funcionamiento y conducta profesional de los organismos auditores.
• El nivel 3 incluye todos aquellos principios fundamentales para la realización de las auditorías.
• Finalmente, el nivel 4 se refiere a las directrices de auditoría, es decir, todos los principios traducidos a directrices específicas, detalladas y operacionales.
Adicionalmente, el Marco de ISSAIs incluye una quinta categoría, dentro de la cual se incluyen las INTOSAI GOV, esto es, las Directrices para la Buena Gobernanza, cuyo objetivo es brindar orientación a las autoridades sobre la adecuada administración de los fondos públicos. Para ello, guían sobre aspectos de control interno, normas de contabilidad y otras materias dentro de la esfera de responsabilidad administrativa. Esto incluye documentos de orientación de los organismos auditores en su evaluación profesional de medidas adoptadas por autoridades administrativas o que orientan a autoridades administrativas e incentivan la buena gobernanza. En el contexto de la fiscalización externa a nivel mundial, en noviembre de 2010 todos los miembros de la INTOSAI acordaron la Declaración de Sudáfrica4, que convoca a los organismos auditores a utilizar este Marco de Normas Profesionales como un ámbito de referencia común para la auditoría del sector público, así como para medir el propio desempeño y orientación auditora contra las ISSAIs. El propósito del Marco es brindar un fácil acceso a una colección completa y actualizada de normas profesionales apropiadas y efectivas, así como directrices de buenas prácticas para los auditores del sector público. El valor agregado de este Marco es la certeza para el auditor gubernamental de que el desarrollo y actualización de las normas de INTOSAI siguen un Debido Proceso, que considera procedimientos de revisión técnica rigurosos y sistematizados. Esto contribuye a lograr la meta ulterior del Marco: promover organismos auditores fuertes, independientes y multidisciplinarios. Mayor información sobre el Marco Normativo de la INTOSAI puede ser consultada en el sitio Web: http://www.issai.org/
3 Para mejor referencia sobre los Principios de Clasificación del Marco Normativo de la INTOSAI, se sugiere consultar la página Web: http://www.issai.org/composite‐336.htm 4 Documento disponible en inglés en: http://www.issai.org/media(1054,1033)/South_Africa_Declaration.pdf
RELEVANCIA DE LAS NORMAS
INTERNACIONALES PROPUESTAS PARA EL SISTEMA NACIONAL DE
FISCALIZACIÓN
RELEVANCIA DE LAS NORMAS INTERNACIONALES PROPUESTAS PARA EL SISTEMA NACIONAL DE FISCALIZACIÓN
Para mejor comprensión del Marco de Normas Profesionales de la INTOSAI y para mostrar su validez en el ámbito de control interno, a continuación se presenta de forma sucinta las Normas Profesionales (ISSAIs), y Directrices para la Buena Governanza (INTOSAI GOVs), relevantes para los organismos auditores integrantes del Sistema Nacional de Fiscalización.
A. Nivel 1: Principios Fundamentales de la Auditoría Gubernamental Actualmente, en este nivel se incluye un solo documento: Declaración de Lima (ISSAI 1)5, que articula el enfoque filosófico y conceptual de la INTOSAI. Dado que este documento aplica a todo organismo auditor gubernamental con independencia de la región de pertenencia, modelo organizacional, desarrollo obtenido e inserción en el sistema de la administración pública, se considera a nivel mundial como la Carta Magna de la auditoría de la Administración Pública. Su trascendencia se debe a que establece las líneas básicas de la fiscalización y los postulados fundamentales para el correcto funcionamiento de las entidades responsables de la vigilancia del uso y aplicación de los recursos públicos. Además, porque presenta una lista importante de metas y aspectos relacionados con la fiscalización del sector público, teniendo como objetivo principal el demandar una auditoría gubernamental que sea independiente. Dentro del Marco de Normas Profesionales de la INTOSAI, este documento es el rector, pues destaca la relevancia de la fiscalización y define sus objetivos, a saber:
• La apropiada y eficaz utilización de los recursos públicos,
• La búsqueda de una gestión pública rigurosa,
• La regularidad en la acción administrativa y
• La existencia de información objetiva a los poderes públicos y al país.
Asimismo, la Declaración de Lima justifica la existencia de los organismos auditores, que contribuyen a la eficacia de las decisiones gubernamentales, particularmente ante la necesaria intervención estatal en los sectores socioeconómicos, y a la estabilidad y al desarrollo de los Estados. Además, señala la finalidad y beneficios tanto de los controles previo y posterior, como de la auditoría interna y externa. Los ocho postulados referidos en la Declaración de Lima abordan los siguientes temas:
1. La importancia de la independencia de los organismos auditores y de sus titulares, destacando al respecto la protección a nivel constitucional o legal requerida para garantizar su independencia funcional, organizativa y financiera ante influencias exteriores;
5 Documento disponible en español en: http://www.issai.org/media(356,1033)/ISSAI_1S.pdf
2. Las premisas para la adecuada relación con los Poderes Legislativo, Gobierno y Administración;
3. La descripción de las facultades elementales de los organismos auditores, incluidas las de investigación, verificación de control y actividad pericial, entre otras formas de cooperación;
4. Las competencias de control fundamentales de los organismos auditores, incluyendo el control sobre gasto público, ingresos fiscales, contratos y obras públicas, tecnologías de la información, empresas estatales e instituciones subvencionadas;
5. La autonomía necesaria para el establecimiento de su metodología de trabajo e integración de personal;
6. Los requerimientos esenciales para el personal que sea contratado, destacando entre éstos la calificación profesional e integridad moral, así como su debido desarrollo continuo;
7. La relevancia de la cooperación interinstitucional en el nivel estatal y municipal, así como en el ámbito internacional, y
8. El derecho y obligación para rendir informes objetivos y oportunos al Poder Legislativo y partes interesadas.
B. Nivel 2: Requisitos Previos para el Funcionamiento de las EFS El segundo nivel del Marco de ISSAIs se refiere a los Requisitos Previos para el Adecuado Funcionamiento y Conducta Profesional de los organismos auditores. En esta categoría se incluyen las siguientes Normas Profesionales:
• ISSAI 10: Declaración de México sobre Independencia. • ISSAI 11: Pautas Básicas y Buenas Prácticas de la INTOSAI relacionadas con la
Independencia de las EFS.
• ISSAI 20: Principios de Transparencia y Rendición de Cuentas. • ISSAI 21: Principios de Transparencia y Responsabilidad – Principios y Buenas
Prácticas. • ISSAI 30: Código de Ética. • ISSAI 40: Control de Calidad para las EFS.
La primera de ellas, la ISSAI 10: Declaración de México sobre Independencia6, es la más relevante. Este documento parte de la premisa que los organismos auditores sólo pueden llevar a cabo sus cometidos si son independientes de las instituciones fiscalizadas y si están protegidos contra influencias externas. Al respecto, la independencia sólo puede ser válida si está garantizada por la ley, lo cual es a su vez un requisito para constituir un país democrático. En suma, el documento establece ocho principios básicos que se consideran como ideales para todo organismo auditor independiente:
6 Documento disponible en español en: http://www.issai.org/media%28459,1033%29/ISSAI_10_S.pdf
1. Existencia de un marco constitucional, reglamentario o legal apropiado y eficaz, incluyendo disposiciones para la aplicación de facto de dicho marco;
2. Independencia del titular, incluyendo seguridad en el cargo e inmunidad en el cumplimiento de sus obligaciones;
3. Mandato amplio y facultades discrecionales en el cumplimiento de sus funciones; 4. Acceso irrestricto a la información. 5. Derecho y obligación de informar sobre su trabajo. 6. Libertad para decidir el contenido y oportunidad de sus informes de auditoría, así
como su publicación y divulgación. 7. Existencia de mecanismos eficaces de seguimiento de las recomendaciones
emitidas. 8. Autonomía financiera y administrativa, y disponibilidad de recursos humanos,
materiales y económicos apropiados.
La ISSAI 11: Pautas Básicas y Buenas Prácticas de la INTOSAI relacionadas con la Independencia de las Entidades Fiscalizadoras Superiores7, es un documento vinculado con la ISSAI 10: Declaración de México sobre Independencia, pues para cada uno de los ocho principios para lograr una entidad independiente señala pautas y las mejores prácticas identificadas al interior de la INTOSAI. Es, por tanto, un documento actualizable que debe servir como referencia de las buenas prácticas a ser adoptadas para compartir medios para incrementar, mejorar y preservar la independencia de los organismos auditores. La ISSAI 20: Principios de Transparencia y Rendición de Cuentas8 parte de la premisa de que los organismos auditores deben rendir cuentas. Tiene por finalidad sentar un conjunto de principios para ayudarles a dar ejemplo a través de sus propias prácticas, estándares éticos y gobierno responsable; promover sus tareas y funciones; proporcionar información accesible y pertinente sobre su funcionamiento, metodologías y resultados; operar con procesos transparentes; mantener una comunicación abierta y visibilidad en el ámbito público, e implementar medidas tendientes al perfeccionamiento de su calidad y credibilidad. Cabe señalar que este documento tiene una aplicación extensible a las instancias que ejecuten facultades de los organismos auditores, pues son corresponsables y deben igualmente ser transparentes en casos, por ejemplo, de subcontratación de actividades de peritaje y auditorías externas. La ISSAI 21: Principios de Transparencia y Responsabilidad – Principios y Buenas Prácticas9, está vinculada con la norma profesional antes descrita, pues presenta ejemplos de mejores prácticas relacionadas con la transparencia y la responsabilidad.
7 Documento disponible en español en: http://www.issai.org/media(460,1033)/ISSAI_11_S.pdf 8 Documento disponible en español en: http://www.issai.org/media(818,1033)/ISSAI_20_S_endorsement_version.pdf 9 Documento disponible en español en: http://www.issai.org/media(819,1033)/ISSAI_21_S_endorsement_version.pdf
La ISSAI 30: Código de Ética10 sirve como fundamento a los códigos que cada organismo auditor elabore de acuerdo al entorno cultural, jurídico y social que le corresponda. Constituye una exposición de los valores y principios que deben guiar la labor de los funcionarios públicos asociados a la auditoría gubernamental. Esta ISSAI postula que cada organismo auditor es responsable de elaborar un código de ética propio, mismo que debe cubrir principios clave mínimos, así como de garantizar que su personal esté familiarizado con los valores y principios éticos. En este sentido, señala que la conducta del personal debe:
• ser irreprochable e íntegra en todo momento,
• no debe perjudicar la imagen de su entidad,
• debe ser congruente con la calidad y validez esperada de su labor, y
• no debe plantear dudas de su fiabilidad y competencia profesional. Como se observa, la ISSAI 30 tiene una aplicación que no se limita a las Entidades Fiscalizadoras Superiores, pues bien puede ser observada por los órganos internos de control, particularmente al promover el desarrollo de códigos que acaten principios en torno a temas integrales como seguridad, confianza y credibilidad; integridad; independencia, objetividad e imparcialidad; neutralidad política; conflicto de intereses; secreto profesional; competencia profesional, y desarrollo profesional. Finalmente, la ISSAI 40: Control de Calidad de las Entidades Fiscalizadoras Superiores11 reconoce que las auditorías de alta calidad favorecen la reputación, credibilidad y habilidad para ejercer el mandato. Su finalidad es asistir en el diseño, establecimiento y mantenimiento de un sistema efectivo de control de calidad que cubra todo el trabajo de los organismos auditores, y que se asuma como parte de sus estrategias, cultura, políticas y procedimientos.
C. Nivel 3: Principios Fundamentales para la Realización de Auditorías En el Nivel 3 del Marco de ISSAIs se encuentran los Principios Fundamentales para la Realización de Auditorías. En este nivel se encuentran las siguientes normas profesionales:
• ISSAI 100: Postulados Básicos de la Fiscalización Pública. • ISSAI 200: Normas Generales de Fiscalización Pública, y Normas sobre los
Derechos y el Comportamiento de los Auditores. • ISSAI 300: Normas de Procedimiento en la Fiscalización Pública. • ISSAI 400: Normas para la Elaboración de los Informes en la Fiscalización
Pública.
10 Documento disponible en español en: http://www.issai.org/media(357,1033)/ISSAI_30S.pdf 11 Documento disponible en español en: http://www.issai.org/media(919,1033)/ISSAI_40_S_endorsement_version.pdf
Cabe señalar que actualmente el Comité de Normas Profesionales de la INTOSAI trabaja no en su actualización, sino de hecho en su reformulación completa, a grado tal que se prevé su sustitución por las siguientes normas profesionales:
• ISSAI 100: Principios Fundamentales de la Fiscalización del Sector Público,
• ISSAI 200: Principios Fundamentales de las Auditorías Financieras,
• ISSAI 300: Principios Fundamentales de las Auditorías de Desempeño e
• ISSAI 400: Principios Fundamentales de las Auditorías de Cumplimiento. Con esta reforma, el Nivel 3 establecerá el marco de referencia básico para la fiscalización del sector público a partir de requerimientos fundamentales y principios de auditoría que tienen por objeto expresar la esencia de la auditoría gubernamental. La modificación principal consiste en que los postulados básicos; las normas generales sobre fiscalización pública, derechos y comportamiento de los auditores; las normas de procedimiento en la fiscalización pública, y las normas sobre elaboración de informes, que antes eran temas desagregados en las ISSAI 100, 200, 300 y 400, respectivamente, ahora conforman el núcleo central de la ISSAI 100. Esto implica que el documento clave en el Nivel 3 será la ISSAI 100, puesto que establecerá un marco de referencia de alto nivel sobre principios fundamentales de auditoría, mismos que pueden ser aplicados por los organismos auditores en cualquier trabajo que realicen. Esto es factible porque establece cuáles son los principios comunes del proceso de todo tipo de auditoría al sector público en dos vertientes:
• Por una parte, informa sobre los principios clave para auditar el sector público, especificando elementos sobre la planeación, el desarrollo y la generación de informes.
• Por otra parte, aborda generalidades en la conducción de auditorías, lo que incluye aspectos éticos, de independencia, control de la calidad, administración del riesgo, criterios, creación de capacidades, documentación y comportamiento profesional.
Además, la ISSAI 100 hace referencia a la aplicabilidad de las ISSAI en la auditoría del sector público, haciendo una primera distinción en el Marco de Normas Profesionales de INTOSAI sobre la viabilidad de realizar auditorías financieras, de desempeño y de cumplimiento con apoyo en las ISSAIs. De esta forma, la ISSAI 200, 300 y 400 serán presentadas como la adaptación de los principios fundamentales, pero aplicable a los ámbitos específicos de auditoría financiera, de desempeño y de cumplimiento, respectivamente, a la luz de las consideraciones particulares sobre sus objetivos, metodología y alcances. Debido al proceso de revisión al que están sujetos los Principios Fundamentales para la Realización de Auditorías (Nivel 3), las Normas Profesionales correspondientes no se incluyen en este compendio. La ASF hará el seguimiento correspondiente para su difusión, una vez que las modificaciones sean aprobadas por el Congreso de INTOSAI.
D. Nivel 4: Directrices de Auditoría Por otra parte, en el Nivel 4 de Normas Profesionales se hallan las llamadas Directrices de Auditoría, es decir, principios traducidos a directrices específicas, detalladas y mayormente operacionales. Se trata de directrices en dos vertientes: por una parte del ámbito general, es decir, aplicables a la operatividad de auditorías financieras, de desempeño y de cumplimiento y, por otra parte, del ámbito específico, lo que incluye directrices meramente orientadoras en temas muy particulares, como la fiscalización a instituciones internacionales, a la privatización, a la gestión de la deuda pública, a la auditoría medioambiental, a la revisión a las tecnologías de la información, y a la fiscalización de la ayuda en casos de desastre. En suma, el Nivel 4 integra alrededor de 60 directrices sujetas actualmente a un proceso de revisión exhaustivo, cuya aprobación tendrá efectos en noviembre de 2013. Como se mencionó anteriormente, estos documentos están excluidos de esta iniciativa por tratarse de directrices específicas y operacionales de auditoría cuya adopción sería conveniente en el largo plazo, una vez que se haya implementado el marco normativo y los principios fundamentales. De hecho, dada su especificidad, será responsabilidad de cada organismo auditor la elección de las directrices que más convengan de acuerdo a sus mandatos, intereses y programas de auditoría. Por esta razón, estos documentos no se incluyen en este compendio. La ASF hará el seguimiento correspondiente para su difusión, una vez que su revisión haya sido efectuada y aprobada por el Congreso de la INTOSAI.
E. Directrices para la Buena Governanza Finalmente, cabe recordar que existe una quinta clasificación dentro del Marco de las Normas Profesionales de la INTOSAI que se refiere a las Directrices para la Buena Governanza, INTOSAI GOVs, que se definen como orientaciones sobre control interno, normas de contabilidad y materias de responsabilidad administrativa. Estos documentos se subdividen en directrices sobre normas de control interno y directrices sobre normas de contabilidad. De las once INTOSAI GOVs existentes, cabe destacar la serie 9100 a 9150, mostradas a continuación, cuyo tema de análisis son las normas de control interno.
• INTOSAI GOV 9100: Guía para las Normas de Control Interno del Sector Público,
• INTOSAI GOV 9110: Directrices referentes a los Informes sobre la Eficacia de los Controles Internos: Experiencias de las EFS en la implantación y la evaluación de los controles internos,
• INTOSAI GOV 9120: Control Interno: Provisión de Bases para la Rendición de Cuentas Gubernamental,
• INTOSAI GOV 9130: Información Adicional sobre la Administración de Riesgos de la Entidad,
• INTOSAI GOV 9140: Independencia de la Auditoría Interna en el Sector Público, e
• INTOSAI GOV 9150: Coordinación y Cooperación entre las Entidades Fiscalizadoras Superiores y los Auditores Internos en el Sector Público.
Desde la perspectiva de las Entidades Fiscalizadoras Superiores, y como sugerencia para posible análisis y adopción por parte de los órganos de control interno, estas INTOSAI GOV se presentaron ante el Sistema Nacional de Fiscalización para consideración. Asimismo, los contenidos de estas Directrices12 se incluyen en este compendio13, a excepción de la INTOSAI GOV 9120, disponible sólo en inglés y actualmente en proceso de actualización.
12 Directrices disponibles en español en: http://www.issai.org/composite‐332.htm 13 Exclusivamente en el compendio electrónico.
CATÁLOGO DE NORMAS INTERNACIONALES APLICABLES AL
SISTEMA NACIONAL DE FISCALIZACIÓN
ISSAI 1 Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
I N T O S A I La Declaración de
Lima
INTOSAI General Secretariat - RECHNUNGSHOF
(Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2
A-1033 VIENNA
AUSTRIA
Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark
Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
Indice Prólogo........................................................................................ 4
I. Generalidades .......................................................................... 5
II. Independencia..........................................................................7
III. Relación con Parlamento, Gobierno y Administración..........................................................8
IV. Facultades de las Entidades Fiscalizadoras Superiores.............................................................8
V. Métodos de control, personal de control, intercambio internacional de experiencias.................................. 9
VI. Rendición de informes ........................................................ 10
VII. Competencias de control de las Entidades Fiscalizadoras Superiores ................................... 11
3
Prólogo Cuando hace más de dos decenios, en octubre de 1977, los delegados al IX INCOSAI de Lima (Perú) aprobaron por aclamación la Declaración de Lima de Criterios sobre las Normas de Auditoría, surgieron grandes esperanzas de que llegarían a aplicarse en todo el mundo, pero no se tenía ninguna certidumbre a ese respecto.
Las experiencias que se han llevado a cabo desde entonces en relación con la Declaración de Lima han superado incluso las expectativas más elevadas, y han puesto de manifiesto que su influjo decisivo sobre el desarrollo de la auditoría pública en todos los países. La Declaración de Lima es importante para todas las Entidades Fiscalizadoras Superiores de la INTOSAI, sea cual fuere la región a la que pertenezcan, el desarrollo que hayan tenido, el modo en que se integren dentro del sistema de la Administración pública, o la forma en que estén organizadas.
El éxito de la Declaración se debe sobre todo al hecho de que, por una parte, abarca una amplia lista de todos los objetivos y temas relacionados con la auditoría de la Administración pública, y que, al mismo tiempo, son notablemente significativos y concisos, lo cual facilita su utilización, mientras que la claridad de su lenguaje garantiza que la atención se centre en los elementos principales.
El propósito esencial de la Declaración de Lima consiste en defender la independencia en la auditoría de la Administración pública. Una Entidad Fiscalizadora Superior que no pueda cumplir esta exigencia no se ajusta a las normas. Por consiguiente, no llama la atención que el tema de la independencia de las Entidades Fiscalizadoras Superiores continúe siendo una cuestión que se debate de forma reiterada en el ámbito de la INTOSAI. Sin embargo, es preciso señalar que la Declaración no se aplica por el mero hecho de que se logre la independencia, sino que también se requiere que esta independencia esté sancionada por la legislación. Esto, no obstante, exige que las instituciones funcionen correctamente para que haya una seguridad jurídica, lo cual sólo podrá darse en una democracia que se rija por el imperio de la ley.
En consecuencia, el imperio de la ley y la democracia constituyen las premisas esenciales para una auditoría realmente independiente de la Administración pública, y al mismo tiempo, son los pilares en los que se basa la Declaración de Lima. Los conceptos que aparecen en la Declaración son valores esenciales e intemporales que continúan siendo del todo pertinentes a lo largo de los años, desde que fueron aprobados por primera vez. El hecho de que se haya decidido publicarlos de nuevo, más de veinte años después, constituye una prueba de la calidad y de la amplitud de espíritu de sus autores.
Hacemos llegar nuestro agradecimiento a la Revista Internacional de Auditoría Gubernamental por la publicación de esta nueva edición de la Declaración de Lima, debido a la importancia de este documento básico, que puede considerarse con toda justicia como la Carta Magna de la auditoría de la Administración pública. Por lo tanto, queda garantizado que la Declaración de Lima continuará divulgándose en el futuro. Nuestra tarea sigue siendo la puesta en práctica de sus elevados ideales.
Viena, finales de 1998
Dr. Franz Fiedler
Secretario General del INTOSAI
Declaración de Lima sobre las Líneas Básicas de la Fiscalización
Preámbulo
El IX Congreso de INTOSAI reunido en Lima:
4
• Considerando que la utilización regular y racional de los fondos públicos constituye una de las condiciones esenciales para garantizar el buen manejo de las finanzas públicas y la eficacia de las decisiones adoptadas por la autoridad competente;
• que, para lograr este objetivo, es indispensable que cada Estado cuente con una Entidad Fiscalizadora Superior eficaz, cuya independencia esté garantizada por la ley;
• que la existencia de dicha Entidad es aún más necesaria por el hecho de que el Estado ha extendido sus actividades a los sectores socioeconómicos, saliéndose del estricto marco financiero tradicional;
• que los objetivos específicos de la fiscalización, a saber, la apropiada y eficaz utilización de los fondos públicos, la búsqueda de una gestión rigurosa, la regularidad en la acción administrativa y la información, tanto a los poderes públicos como al país, mediante la publicación de informes objetivos, son necesarios para la estabilidad y el desarrollo de los Estados, en el sentido de los postulados de las Naciones Unidas;
• que durante los anteriores congresos internacionales de la INTOSAI las Asambleas Plenarias adoptaron resoluciones cuya difusión ha sido aprobada por todos los países miembros;
Acuerda:
Publicar y difundir el documento titulado "Declaración de Lima sobre las Líneas Básicas de la Fiscalización".
I. Generalidades Art. 1 Finalidad del control
La institución del control es inmanente a la economía financiera pública. El control no representa una finalidad en sí mismo, sino una parte imprescindible de un mecanismo regulador que debe señalar, oportunamente, las desviaciones normativas y las infracciones de los principios de legalidad, rentabilidad, utilidad y racionalidad de las operaciones financieras, de tal modo que puedan adoptarse las medidas correctivas convenientes en cada caso, determinarse la responsabilidad del órgano culpable, exigirse la indemnización correspondiente o adoptarse las determinaciones que impidan o, por lo menos, dificulten, la repetición de tales infracciones en el futuro.
Art. 2 Control previo y control posterior
1. Si el control se lleva a cabo antes de la realización de las operaciones financieras o administrativas, se trata de un control previo; de lo contrario, de un control posterior.
2. Un control previo eficaz resulta imprescindible para una sana economía financiera pública. Puede ser ejercido por una Entidad Fiscalizadora Superior, pero también por otras instituciones de control.
3. El control previo ejercido por una Entidad Fiscalizadora Superior, implica la ventaja de poder impedir un perjuicio antes de producirse éste, pero la desventaja de comportar un trabajo excesivo y de que la responsabilidad basada en el derecho público no esté claramente definida. El control posterior ejercido por una
5
Entidad Fiscalizadora Superior, reclama la responsabilidad del órgano culpable, puede llevar a la indemnización del perjuicio producido y es apropiado para impedir, en el futuro, la repetición de infracciones.
4. La situación legal, las circunstancias y necesidades de cada país determinan si una Entidad Fiscalizadora Superior ejerce un control previo. El control posterior es una función inalienable de cada Entidad Fiscalizadora Superior, independientemente de un control previo ejercido.
Art. 3 Control interno y externo
1. Los órganos de control interno pueden establecerse en el seno de los diferentes departamentos e instituciones; los órganos de control externo no pertenecen a la organización de la institución que debe ser controlada. Las Entidades Fiscalizadoras Superiores son órganos del control externo.
2. Los órganos de control interno dependen necesariamente del director del departamento en cuya organización se crearon. No obstante, deben gozar de independencia funcional y organizativa en cuanto sea posible a tenor de la estructura constitucional correspondiente.
3. Incumbe a la Entidad Fiscalizadora Superior, como órgano de control externo, controlar la eficacia de los órganos de control interno. Asegurada la eficacia del órgano de control interno, ha de aspirarse a la delimitación de las respectivas funciones, a la delegación de las funciones oportunas y a la cooperación entre la Entidad Fiscalizadora Superior y el órgano de control interno, independientemente del derecho de la Entidad Fiscalizador Superior a un control total.
Art. 4 Control formal y control de las realizaciones
1. La tarea tradicional de las Entidades Fiscalizadoras Superiores es el control de la legalidad y regularidad de las operaciones.
2. A este tipo de control, que sigue manteniendo su importancia y transcendencia, se una un control orientado hacia la rentabilidad, utilidad, economicidad y eficiencia de las operaciones estatales, que no sólo abarca a cada operación sino a la actividad total de la administración, incluyendo su organización y los sistemas administrativos.
3. Los objetivos de control a que tienen que aspirar las Entidades Fiscalizadoras Superiores, legalidad, regularidad, rentabilidad, utilidad y racionalidad de las Operaciones, tienen básicamente la misma importancia; no obstante, la Entidad Fiscalizadora Superior tiene la facultad de determinar, en cada caso concreto, a cual de estos aspectos debe darse prioridad.
6
II. Independencia Art. 5 Independencia de las Entidades Fiscalizadoras Superiores
1. Las Entidades Fiscalizadoras Superiores sólo pueden cumplir eficazmente sus funciones si son independientes de la institución controlada y se hallan protegidas contra influencias exteriores.
2. Aunque una independencia absoluta respecto de los demás órganos estatales es imposible, por estar ella misma inserta en la totalidad estatal, las Entidades Fiscalizadoras Superiores deben gozar de la independencia funcional y organizativa necesaria para el cumplimiento de sus funciones.
3. Las Entidades Fiscalizadoras Superiores y el grado de su independencia deben regularse en la Constitución; los aspectos concretos podrán ser regulados por medio de Leyes. Especialmente deben gozar de una protección legal suficiente, garantizada por un Tribunal Supremo, contra cualquier injerencia en su independencia y sus competencias de control.
Art. 6 Independencia de los miembros y funcionarios de las Entidades Fiscalizadoras Superiores
1. La independencia de las Entidades Fiscalizadoras Superiores está inseparablemente unida a la independencia de sus miembros. Por miembros hay que entender aquellas personas a quienes corresponde tomar las decisiones propias de las Entidades Fiscalizadoras Superiores y representarais, bajo su responsabilidad, en el exterior, es decir, los miembros de un colegio facultado para tomar decisiones o el Director de una Entidad Fiscalizadora Superior organizada monocráticamente.
2. La Constitución tiene que garantizar también la independencia de los miembros. En especial no debe verse afectada su independencia por los sistemas establecidos para su sustitución y que tienen que determinarse también en la Constitución.
3. Los funcionarios de control de las Entidades Fiscalizadoras Superiores deben ser absolutamente independientes, en su carrera profesional, de los organismos controlados y sus influencias.
Art. 7 Independencia financiera de las Entidades Fiscalizadoras Superiores
1. Hay que poner a disposición de las Entidades Fiscalizadoras Superiores los medios financieros necesarios para el cumplimiento de las funciones que les incumben.
2. Las Entidades Fiscalizadoras Superiores tienen que poseer la facultad, llegado el caso, de solicitar directamente del organismo encargado del presupuesto estatal los medios financieros que estimen necesarios.
3. Los medios financieros puestos a disposición de las Entidades Fiscalizadoras Superiores en una sección especial del presupuesto tienen que ser administrados por ellas bajo su propia responsabilidad.
7
III. Relación con Parlamento, Gobierno y Administración Art. 8 Relación con el Parlamento
La independencia otorgada a las Entidades Fiscalizadoras Superiores por la Constitución y la Ley, les garantiza un máximo de iniciativa y responsabilidad, aun cuando actúen como órganos del Parlamento y ejerzan el control por encargo de éste. La Constitución debe regular las relaciones entre la Entidad Fiscalizadora Superior y el Parlamento, de acuerdo con las circunstancias y necesidades de cada país.
Art. 9 Relación con el Gobierno y la Administración
La actividad del Gobierno, de las Autoridades Administrativas subordinadas y las demás instituciones dependientes, es objeto de control por parte de la Entidad Fiscalizadoras Superior. De ello no se deduce ninguna subordinación del Gobierno a la Entidad Fiscalizadora Superior. En particular, el Gobierno asume la plena y exclusiva responsabilidad de las operaciones realizadas por él y de sus omisiones y no puede remitirse a operaciones de control y dictámenes de la Entidad Fiscalizador Superior para su descargo - siempre que no se hayan dictado en forma de resoluciones judiciales ejecutables y firmes.
IV. Facultades de las Entidades Fiscalizadoras Superiores Art. 10 Facultad de investigación
1. Las Entidades Fiscalizadoras Superiores deben tener acceso a todos los documentos relacionados con las operaciones y el derecho a pedir de los órganos del departamento controlado todos los informes, de forma oral o escrita, que les parezcan necesarios.
2. La Entidad Fiscalizadora Superior tiene que decidir, en cada caso, si es conveniente realizar el control en la sede de la institución controlada o en la sede de la Entidad Fiscalizadora Superior.
3. Los plazos para la presentación de informes y documentos, incluidos los balances, han de determinarse por Ley o, según los casos, por la propia Entidad Fiscalizadora Superior.
Art. 11 Ejecución de las verificaciones de control de las Entidades Fiscalizadoras Superiores
1. Los órganos controlados tienen que responder a las verificaciones de control de la Entidad Fiscalizadora Superior, dentro de los plazos determinados generalmente por Ley o, en casos especiales, por la Entidad Fiscalizadora Superior, y dar a conocer las medidas adoptadas en base a dichas verificaciones de control.
2. Siempre que las verificaciones de control de la Entidad Fiscalizadora Superior no se dicten en forma de una resolución judicial firme y ejecutable, la Entidad Fiscalizadora Superior tiene que tener la facultad de dirigirse a la autoridad competente para que adopte las medidas necesarias y exija las correspondientes responsabilidades.
Art. 12 Actividad pericial y otras formas de cooperación
1. Las Entidades Fiscalizadoras Superiores pueden, en asuntos importantes, poner a disposición del Parlamento y de la Administración sus conocimientos técnicos en forma de
8
dictámenes, incluso su opinión sobre proyectos de ley y otras disposiciones sobre cuestiones financieras. La Administración asume toda la responsabilidad respecto a la aceptación o rechazo del dictamen.
2. Prescripciones para un procedimiento de compensación conveniente y lo más uniforme posible, empero, sólo deben dictarse de acuerdo con la Entidad Fiscalizadora Superior.
V. Métodos de control, personal de control, intercambio internacional de experiencias Art. 13 Métodos de control y procedimientos
1. Las Entidades Fiscalizadoras Superiores deben realizar su actividad de control de acuerdo con un programa previo trazado por ellas mismas. El derecho de ciertos órganos estatales de exigir, en casos especiales, la realización de determinadas verificaciones, no se verá afectado por aquella norma.
2. Dado que el control en muy pocos casos puede ser realizado exhaustivamente, las Entidades Fiscalizadoras Superiores tendrán que limitarse, en general, al procedimiento de muestreo. Este, sin embargo, debe realizarse en base a un programa dado y en tal número que resulte posible formarse un juicio sobre la calidad y la regularidad de las operaciones.
3. Los métodos de control deben adaptarse continuamente a los progresos de las ciencias y técnicas relacionadas con las operaciones.
4. Es conveniente la elaboración de manuales de control como medio de trabajo para los funcionarios de control.
Art. 14 Personal de control
1. Los miembros y los funcionarios de control de la Entidad Fiscalizadora Superior tienen que tener la calificación e integridad moral necesarias para el perfecto cumplimiento de su tarea.
2. En el momento de la selección del personal de una Entidad Fiscalizadora Superior, tienen especial importancia una formación y una capacidad superiores al promedio, así como una experiencia profesional adecuada.
3. Especial atención requiere el perfeccionamiento teórico y práctico de todos los miembros y funcionarios de control de la Entidad Fiscalizadora Superior a nivel interno, universitario e internacional, fomentándolo por todos los medios posibles, tanto económicos como de organización. El perfeccionamiento tiene que exceder de los conocimientos de contabilidad y de los tradicionales jurídico-económicos y abarcar también empresariales, inclusive la elaboración electrónica de datos.
4. Para garantizar una alta cualificación del personal controlador, debe aspirarse a una remuneración concorde con las especiales exigencias profesionales.
5. Si, en determinadas circunstancias, por la necesidad de conocimientos técnicos específicos, no fuese suficiente el propio
9
personal de control, convendría consultar peritos ajenos a la Entidad Fiscalizadora Superior.
Art. 15 Intercambio internacional de experiencias
1. El cumplimiento de las funciones de las Entidades Fiscalizadoras Superiores se favorece eficazmente mediante el intercambio internacional de ideas y experiencias dentro de la Organización Internacional de las Entidades Fiscalizadoras Superiores.
2. A este objetivo han servido hasta ahora los Congresos, los seminarios de formación que se han organizado en colaboración con las Naciones Unidas y otras instituciones, los grupos de trabajos regionales y la edición de publicaciones técnicas.
3. Sería deseable ampliar y profundizar estos esfuerzos y actividades. Tarea primordial es la elaboración de una terminología uniforme del control financiero público sobre la base del derecho comparado.
VI. Rendición de informes Art. 16 Rendición de informes al Parlamento y al público
1. La Entidad Fiscalizadora Superior debe tener, según la Constitución, el derecho y la obligación de rendir informe anualmente al Parlamento o al órgano estatal correspondiente, sobre los resultados de su actividad, y publicarlo. Así se garantizan una información y discusión amplias, a la vez que se incrementa la posibilidad de ejecutar las verificaciones realizadas por la Entidad Fiscalizadora Superior.
2. La Entidad Fiscalizadora Superior debe tener la posibilidad de rendir informe sobre hechos de especial importancia y transcendencia entre dos informes anuales.
3. El informe anual tiene que abarcar principalmente la actividad total de la Entidad Fiscalizadora Superior; no obstante, en el supuesto de que existan intereses especialmente dignos de ser protegidos o que estén protegidos por Ley, la Entidad Fiscalizadora Superior debe considerarlos cuidadosamente, así como la conveniencia de su publicación.
Art. 17 Redacción de los informes
1. Los hechos enumerados en los informes tienen que representarse de forma objetiva y clara, limitándose a lo esencial. Deberán redactarse de manera precisa y comprensible.
2. La opinión de los departamentos e instituciones controlados respecto a las verificaciones de control de la Entidad Fiscalizadora Superior debe reflejarse de forma adecuada.
10
VII. Competencias de control de las Entidades Fiscalizadoras Superiores Art. 18 Base constitucional de las competencias de control; control de las operaciones estatales
1. Las competencias de control de las Entidades Fiscalizadoras Superiores tienen que ser especificadas en la Constitución, al menos en sus rasgos fundamentales, los detalles pueden regularse por Ley.
2. La formulación concreta de las competencias de control de las Entidades Fiscalizadoras Superiores depende de las circunstancias y necesidades de cada país.
3. Toda la actividad estatal estará sometida al control de la Entidad Fiscalizadora Superior, independientemente de que se refleje, o no, en el presupuesto general del Estado. Una exclusión del presupuesto no debe convertirse en una exclusión del control.
4. Las Entidades Fiscalizadoras Superiores deben orientar su control hacia una clasificación presupuestaria adecuada y una sistema de cálculo lo más simple y claro posible.
Art. 19 Control de las autoridades e instituciones en el extranjero
Las autoridades estatales y las instituciones establecidas en el extranjero deben ser controladas generalmente por la Entidad Fiscalizadora Superior. Al realizar el control en la sede de dichas instituciones, deben tenerse presentes los límites fijados por el Derecho Internacional; sin embargo, en casos justificados, tales límites deben ser reducidos de acuerdo con la evolución dinámica del Derecho Internacional.
Art. 20 Control de los ingresos fiscales
1. Las Entidades Fiscalizadoras Superiores deben ejercer un control, lo más amplio posible, de la recaudación de los ingresos fiscales, incluyendo las declaraciones individuales de los contribuyentes.
2. El control de los ingresos fiscales es, en primer lugar, un control de legalidad y regularidad; sin embargo, las Entidades Fiscalizadoras Superiores tienen que controlar también la rentabilidad de la recaudación de impuestos y el cumplimiento de los presupuestos de ingresos así como, en caso necesario, proponer al organismo legislativo medidas de reforma.
Art. 21 Contratos públicos y obras públicas
1. Los recursos considerables que el Estado emplea para contratos públicos y obras públicas justifican un control especialmente escrupuloso de los recursos empleados.
2. La subasta pública es el procedimiento más recomendable para obtener la oferta más favorable en precio y calidad. De no convocarse una pública subasta, la Entidad Fiscalizadora Superior debe investigar las razones de ello.
3. En el control de las obras públicas, la Entidad Fiscalizadora Superior debe procurar que existan normas apropiadas que regulen la actividad de la administración de dichas obras.
4. El control de las obras públicas no sólo abarca la regularidad de los pagos, sino también la rentabilidad de la obra y la calidad de su ejecución.
11
Art. 22 Control de las instalaciones de elaboración electrónica de datos
También los recursos considerables empleados para instalaciones de elaboración electrónica de datos justifican un control adecuado. Hay que realizar un control sistemático del uso rentable de las instalaciones del proceso de datos, de la contratación del personal técnico cualificado que debe proceder, a ser posible, de la administración del organismo controlado, de la evitación de abusos y de la utilización de los resultados.
Art. 23 Empresas económicas con participación del Estado
1. La expansión de la actividad económica del Estado se realiza con frecuencia a través de empresas establecidas a tenor del Derecho Privado. Estas empresas deberán estar sometidas al control de la Entidad Fiscalizadora Superior, siempre que el Estado disponga de una participación sustancial - que se da en el supuesto de participación mayoritaria - o ejerza una influencia decisiva.
2. Es conveniente que este control se ejerza a posteriori y que abarque también la rentabilidad, utilidad y racionalidad.
3. En el informe al Parlamento y a la opinión pública sobre estas empresas deben tenerse en cuenta las limitaciones debidas a la necesaria protección del secreto comercial e industrial.
Art. 24 Control de instituciones subvencionadas
1. Las Entidades Fiscalizadoras Superiores deben disponer de una autorización lo más amplia posible, para controlar el empleo de las subvenciones realizados con fondos públicos.
2. Si la finalidad del control lo exige, éste debe extenderse a la totalidad de las operaciones de la institución subvencionada, especialmente, si la subvención en sí o en proporción a los ingresos o a la situación financiera de la institución beneficiaria, es considerablemente elevada.
3. El empleo abusivo de los fondos de subvención debe comportar la obligación de reintegro.
Art. 25 Control de Organismos Internacionales y Supranacionales
1. Los organismos internacionales y supranacionales cuyos gastos son sufragados con las cuotas de los países miembros, precisan, como cada Estado, de un control externo e independiente.
2. Si bien el control debe adaptarse a la estructura y las funciones del correspondiente organismo, sin embargo, tendrá que establecerse en base a principios semejantes a los que rigen el control superior de los países miembros.
3. Es necesario, para garantizar un control independiente, que los miembros de la institución, de control externo se elijan, primordialmente, entre los de la Entidad Fiscalizadora Superior.
12
ISSAI 10 Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
Declaración de México sobre Independencia
I N T O S A I
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI General Secretariat - RECHNUNGSHOF (Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2 A-1033 VIENNA
AUSTRIA Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
Declaración de México sobre Independencia
Preámbulo El XIX Congreso de la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) reunido en México, considerando: Que la apropiada y eficaz utilización de los fondos y recursos públicos constituye uno de los requisitos esenciales para el adecuado manejo de las finanzas públicas y la eficacia de las decisiones de las autoridades responsables; Que la Declaración de Lima sobre las Líneas Básicas de Fiscalización (en lo sucesivo Declaración de Lima) establece que las Entidades Fiscalizadoras Superiores (EFS) sólo pueden llevar a cabo sus cometidos si son independientes de la institución fiscalizada y están protegidas contra influencias externas; Que, para lograr ese objetivo, es indispensable para una democracia saludable que cada país cuente con una EFS, cuya independencia esté garantizada por ley; Que aunque la Declaración de Lima reconoce que las Instituciones Estatales no pueden ser absolutamente independientes, también reconoce que las EFS deben tener la independencia funcional y organizativa requerida para el cumplimiento de su mandato; Que, a través de la aplicación de los principios sobre independencia, las EFS pueden lograr su independencia por diferentes medios, utilizando diversas salvaguardas para alcanzarla; Que las disposiciones para la aplicación de los principios que aquí se incluyen sirven para ilustrarlos y se consideran el ideal para una EFS independiente. Se reconoce que actualmente ninguna EFS cumple con todas estas disposiciones para la aplicación y, por tanto, las pautas básicas adjuntas presentan otras buenas prácticas para lograr independencia. RESUELVE: Adoptar, publicar y distribuir el documento titulado "Declaración de México sobre Independencia”. Generalidades Las Entidades Fiscalizadoras Superiores generalmente reconocen ocho principios básicos, derivados de la Declaración de Lima y de las decisiones adoptadas en el XVII Congreso de la INTOSAI (en Seúl, Corea), como requisitos esenciales para la correcta fiscalización del sector público.
Principio No 1 La existencia de un marco constitucional, reglamentario o legal apropiado y eficaz, así como de disposiciones para la aplicación de facto de dicho marco. Se requiere legislación que establezca, de manera detallada, el alcance de la independencia de la EFS. Principio No 2 La independencia de la Autoridad Superior de la EFS, y de los “miembros” (para el caso de instituciones colegiadas), incluyendo la seguridad en el cargo y la inmunidad legal en el cumplimiento normal de sus obligaciones. La legislación aplicable especifica las condiciones para las designaciones, reelecciones, contratación, destitución y retiro de la autoridad superior de la EFS y de los "miembros" en las instituciones colegiadas, quienes son:
• designados, reelectos o destituidos mediante un proceso que asegure su independencia del Poder Ejecutivo. (ver ISSAI-11 Pautas Básicas y Buenas Prácticas Relacionadas con la Independencia de las EFS);
• designados por períodos lo suficientemente prolongados y fijos como para permitirles llevar a cabo su mandato sin temor a represalias; e
• inmunes frente a cualquier proceso por cualquier acto, pasado o presente, que
resulte del normal cumplimiento de sus obligaciones según el caso.
Principio No 3 Un mandato suficientemente amplio y facultades plenamente discrecionales en el cumplimiento de las funciones de la EFS. Las EFS deben tener atribuciones para auditar:
• la utilización de los dineros, recursos o activos públicos por parte de un receptor o beneficiario, cualquiera sea su naturaleza jurídica;
• la recaudación de ingresos (rentas) adeudadas al gobierno o a instituciones públicas;
• la legalidad y la regularidad de la contabilidad del gobierno o de las instituciones públicas;
• la calidad de la administración e información financiera; y • la economía, eficiencia y eficacia de las operaciones del gobierno o de las
instituciones públicas. Excepto cuando la ley requiera específicamente que lo haga, las EFS no auditan la política del gobierno o la de las instituciones públicas, sino que se limitan a auditar la implementación de la política. Si bien las EFS deben respetar aquellas leyes aprobadas por el Poder Legislativo que les sean aplicables, mantienen su independencia frente a toda directiva o interferencia de los Poderes Legislativo o Ejecutivo en lo que concierne a:
• la selección de los asuntos que serán auditados; • la planificación, programación, ejecución, presentación de informes y seguimiento
de sus auditorías; • la organización y administración de sus oficinas; y • el cumplimiento de aquellas decisiones que, de acuerdo a lo dispuesto en su
mandato, conlleven la aplicación de sanciones.
Las EFS no deben participar, ni dar la impresión de participar, en ningún aspecto, de la gestión de las organizaciones que auditan. Las EFS deben asegurar que su personal no desarrolle una relación demasiado estrecha con las organizaciones que audita, de modo de ser y parecer objetivas. Las EFS deben tener plenas facultades discrecionales para cumplir con sus responsabilidades, deben cooperar con los gobiernos o instituciones públicas que procuran mejorar la utilización y la gestión de los fondos públicos. Las EFS deben utilizar normas de trabajo y de auditoría apropiadas, y un código de ética, basados en los documentos oficiales de la INTOSAI, la “International Federation of Accountants” u otras entidades reguladoras reconocidas. Las EFS deben presentar un informe anual de actividades al Poder Legislativo y a otros órganos del Estado según lo establezca la Constitución, los reglamentos, o la legislación, el cual debe ser puesto a disposición del público. Principio No 4 Acceso irrestricto a la información. Las EFS deben disponer de las potestades adecuadas para tener acceso oportuno, ilimitado, directo y libre, a toda la documentación y la información necesaria para el apropiado cumplimiento de sus responsabilidades reglamentarias.
Principio No 5 El derecho y la obligación de informar sobre su trabajo. Las EFS no deben estar impedidas de informar sobre los resultados de su trabajo de auditoría. Deben estar obligadas por ley a informar por lo menos una vez al año sobre los resultados de su trabajo de auditoría. Principio No 6 Libertad de decidir el contenido y la oportunidad (momento) de sus informes de auditoría, al igual que sobre su publicación y divulgación. Las EFS tienen libertad para decidir el contenido de sus informes de auditoría. Las EFS tienen libertad para formular observaciones y recomendaciones en sus informes de auditoría, tomando en consideración, según sea apropiado, la opinión de la entidad auditada. La legislación especifica los requisitos mínimos de los informes de auditoría de las EFS y, cuando procede, los asuntos específicos que deben ser objeto de una opinión formal o certificación de auditoría. Las EFS tienen libertad para decidir sobre la oportunidad de sus informes de auditoría, salvo cuando la ley establece requisitos específicos al respecto. Las EFS pueden aceptar solicitudes específicas de investigación o auditoría emanadas del Poder Legislativo en pleno, o de una comisión del mismo, o del gobierno. Las EFS tienen libertad para publicar y divulgar sus informes una vez que dichos informes han sido formalmente presentados o remitidos a la autoridad respectiva como lo exige la ley. Principio No 7 La existencia de mecanismos eficaces de seguimiento de las recomendaciones de la EFS. Las EFS presentan sus informes de auditoría al Poder Legislativo, a una de sus comisiones, o al directorio de la entidad auditada, según corresponda, para la revisión y el seguimiento de las recomendaciones específicas sobre adopción de medidas correctivas. Las EFS tienen su propio sistema interno de seguimiento para asegurar que las entidades auditadas sigan adecuadamente sus observaciones y recomendaciones, así como las del Poder Legislativo, una de sus comisiones, o las del directorio, según corresponda. Las EFS remiten sus informes de seguimiento al Poder Legislativo, una de sus comisiones, o al directorio de la entidad auditada, según corresponda, para su
consideración y para que adopten las medidas pertinentes; incluso cuando las EFS tienen su propio poder legal para el seguimiento y aplicación de sanciones. Principio No 8 Autonomía financiera y gerencial/administrativa, al igual que disponibilidad de recursos humanos, materiales y económicos apropiados. Las EFS deben disponer de los recursos humanos, materiales y económicos necesarios y razonables; el Poder Ejecutivo no debe controlar ni supeditar el acceso a esos recursos. Las EFS administran su propio presupuesto y lo asignan de modo apropiado. El Poder Legislativo o una de sus comisiones es responsable de asegurar que las EFS tengan los recursos adecuados para cumplir con su mandato. Las EFS tienen derecho a apelar directamente ante el Poder Legislativo si los recursos que les fueron asignados resultan insuficientes para permitirles cumplir con su mandato.
ISSAI 11
Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
Pautas Básicas y Buenas Prácticas de la INTOSAI relacionadas con la Independencia de las EFS
I N T O S A I
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI General Secretariat - RECHNUNGSHOF (Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2 A-1033 VIENNA
AUSTRIA Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
Apéndice ISSAI 11
I N T O S A I
Resultados de los Estudios de Caso
1
2
3
4
5
6
7
8
9
ISSAI 20 Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
I N T O S A I
Principios de
transparencia y
rendición de
cuentas
INTOSAI General Secretariat - RECHNUNGSHOF
(Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2
A-1033 VIENNA
AUSTRIA
Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark
Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
1
Introducción
Finalidad y objetivos
La finalidad de este documento es proponer principios de transparencia y rendición de cuentas para
ayudar a las EFS a dar ejemplo a través de sus propias prácticas y gobierno. Las EFS forman parte
de un sistema jurídico y constitucional general dentro de sus respectivos países y tienen la
obligación de rendir cuentas a diversosdestinatarios, incluyendo a los órganos legislativos y al
público. Las EFS son también responsables de planificar y dirigir el alcance de su trabajo y de
utilizar metodologías y normas adecuadas para asegurar que se fomenten tanto la rendición de
cuentas como la transparencia en el marco de las actividades públicas, así como el cumplimiento de
su mandato jurídico y de sus responsabilidades de forma plena y objetiva.
Uno de los principales desafíos a los que se enfrentan las EFS es promover entre el público y la
administración una mejor comprensión de cuáles son sus funciones y tareas en la sociedad.
La información sobre las EFS, además de ser coherente con los mandatos y marcos jurídicos que las
rigen, debe ser de fácil acceso y pertinente. Sus procesos de trabajo, actividades y productos deben
ser transparentes. Además deben mantener una comunicación abierta con los medios y otras partes
interesadas y ser visibles en el ámbito público.
Este documento forma parte integrante de las otras Normas Internacionales de las Entidades
Fiscalizadoras Superiores (ISSAIs), y los principios deben aplicarse de conformidad con dichas
normas.
Las EFS actúan bajo diferentes mandatos y modelos. Estos principios tal vez no sean aplicables a
todas las EFS por igual, pero su objetivo es conducirlas hacia una meta común de transparencia
yresponsabilidad.
2 06-01-2010
Conceptos de rendición de cuentas y transparencia
El estado de derecho y la democracia son las bases esenciales para una auditoría pública
independiente y responsable, y representan los pilares sobre los que descansa la Declaración de
Lima. La independencia, la rendición de cuentas y la transparencia son las condiciones previas de
una democracia basada en el estado de derecho y hacen que las EFS sirvan de guía dando ejemplo y
fortaleciendo su credibilidad.
Rendición de cuentas y transparencia son dos elementos importantes para el buen gobierno. La
transparencia es una fuerza poderosa que, cuando se aplica de manera coherente, puede ayudar a
combatir la corrupción, mejorar el gobierno y promover la obligación de rendir cuentas.
La obligación de rendir cuentas y la transparencia no se pueden separar fácilmente: ambas abarcan a
las mismas acciones, por ejemplo, la presentación de informes al público.
El concepto de rendición de cuentas se refiere al marco jurídico y de presentación de informes, a la
estructura organizativa, la estrategia, los procedimientos y las acciones que contribuyan a garantizar
que:
- las EFS desarrollen sus obligaciones legales conforme a sus competencias de auditoría y
presenten informes, en el marco de su presupuesto.
- las EFS evalúen y hagan un seguimiento de su propia gestión así como del impacto de
sufunción fiscalizadora.
- las EFS presenten informes sobre la regularidad y la eficiencia en el uso de fondos públicos,
incluso sobre sus propias acciones y actividades y el uso de los recursos de las EFS.
- el Auditor General/Presidente, los miembros (en las instituciones colegiadas) y el personal de
la EFSsean responsables de su actuación.
La noción de transparencia se refiere a la información pública por la EFS, de manera oportuna,
fidedigna, clara y pertinente, sobre su situación, competencia, estrategia, actividades, gestión
financiera, actuaciones yrendimiento. Además, incluye la obligación de informar sobre los
resultados y conclusiones de las auditorías, y hacer accesible al público la información relativa a la
EFS.
3 06-01-2010
Principio 1
Las EFS cumplen con sus deberes en un marco jurídico que prevé la obligación de
responsabilidad y transparencia.
- Las EFS deben disponer de leyes y reglamentos orientativos conforme a los cuales serán
responsables y rendirán cuentas.
- Dichas leyes y reglamentos por lo general hacen referencia a: (1) la autoridad fiscalizadora,
mandato y responsabilidades, (2) las condiciones que rigen el nombramiento y el cese del
Auditor General/Presidente de la EFS y de los miembros en las instituciones colegiadas (3)
los requisitos relativos a la gestión operativa y financiera de las EFS, (4) la publicación
oportuna de los informes de auditoría en los plazos prescritos , (5) la supervisión de las
actividades de las EFS, y (6) el equilibrio entre el acceso del público a la información y la
confidencialidad de las evidencias de la auditoría así como de otra información de la EFS.
Principio 2:
Las EFS hacenpúblico su mandato, responsabilidades, misión y estrategia
- Las EFS hacen público su mandato, sus misiones, su organización, su estrategia y sus
relaciones con las diferentes partes interesadas, incluyendo a los órganos legislativos y las
autoridades del poder ejecutivo.
- Se hacen públicas las condiciones para el nombramiento, la reelección, la jubilación o el cese
delAuditor General/Presidente de la EFS y de los miembros de las instituciones colegiadas.
- Se anima a las EFS a que hagan públicas las informaciones básicas sobre sus mandatos,
responsabilidades, misiones, estrategias y actividades en uno de los idiomas oficiales del
INTOSAI, además de en los idiomas de su país.
4 06-01-2010
Principio 3:
Las EFS aprueban normas deauditoría, procedimientos y metodologías, objetivos y
transparentes.
- Las EFS adoptan normas y metodologías de acuerdo con los principios fundamentales de auditoría
de la INTOSAI elaborados por las Normas Internacionales de las Entidades Fiscalizadoras
Superiores.
- Las EFS comunican cómo son dichas normas y metodologías y la manera en la que se cumplen.
- Las EFS comunican el alcance de las actividades de auditoría que emprenden en el ámbito de su
competencia, sobre la base de la evaluación de riesgos y como resulado de los procesos de
planificación.
- Las EFS informan a la entidad fiscalizada sobre los criterios que servirán de fundamento a sus
opiniones.
- Las EFS mantienen al órgano fiscalizado informado acerca de los objetivos, la metodología y los
resultados de su auditoría.
- Los resultados de las auditorías efectuadas por las EFS están sujetos a procedimientos de
alegaciones y las recomendaciones a debates y respuestas de la entidad fiscalizada.
- Las EFS poseen eficaces mecanismos de seguimiento e informan sobre sus recomendaciones para
asegurarse de que las entidades fiscalizadas toman en cuenta adecuadamente sus observaciones y
recomendaciones, así como aquéllas formuladas por el Parlamento (ISSAI 10 sobre la
Independencia – Principio 7).
- Los procedimientos de seguimiento de las EFS permiten a la entidad fiscalizada facilitar
información sobre las medidas correctivas adoptadas o la razón por la cual no se tomaron en cuenta.
- Las EFS deben poner en práctica un sistema adecuado de garantía de calidad sobre sus actividades
de auditoría e informes, y someten dicho sistema a una evaluación periódica independiente.
Principio 4:
Las EFS aplican altos estándares de integridad y ética en todos los niveles del personal.
- Las EFS tienen reglas o códigos, políticas y prácticas deontológicas conformes a la ISSAI 30,
Código de Deontología, elaborado en las Normas Internacionales de las Entidades Fiscalizadoras
Superiores.
- Las EFS evitan conflictos de interés y corrupción internos, y garantizan la transparencia y la
legalidad de sus propias operaciones.
5 06-01-2010
- Las EFS promueven activamente la conducta ética del conjunto de la organización.
- Se hacen públicos los requisitosy las obligaciones deontológicas de los auditores, miembros
(modelo Tribunal), funcionarios públicos y otros.
Principio 5:
Las EFS velan por el respeto de los principios de responsabilidad y de transparencia cuando
externalizan sus actividades.
- Las EFS deben garantizar que los contratos de actividades externalizadas no pongan en peligro
estos principios de responsabilidad y transparencia.
- La subcontratación de actividades de peritaje y auditorías a entidades externas, ya sean públicas o
privadas, es responsabilidad de la EFS y está sujeta a políticas deontológicas (en especial a
conflictos de interés) y políticas que aseguren la integridad y la independencia.
Principio 6:
Las EFS gestionan sus operaciones con economía, eficiencia y eficacia y de conformidad con
las leyes y reglamentos, e informan públicamente sobre estas cuestiones.
- Las EFS emplean prácticas adecuadas de gestión, particularmente controles internos adecuados de
su administración y sus operaciones financieras; lo cual puede incluir auditorías internas y otras
medidas descritas en el documento INTOSAI GOV 9100.
- Los informes financieros de las EFS se dan a conocer al público y están sujetos a una auditoría
externa independiente o a la revisión parlamentaria.
- Las EFS evalúan e informan sobre sus actividades y gestión en todas las áreas, tales como las
auditorías financieras, las auditorías de legalidad, las actividades jurisdiccionales (EFS constituidas
como Tribunales), las auditorías operativas, las evaluaciones de programas y las conclusiones con
respecto a lasactuaciones de gobierno.
- Las EFS mantienen y desarrollan las técnicas y competencias necesarias para cumplir su misión y
asumir sus responsabilidades.
6 06-01-2010
- Las EFS hacen público su presupuesto total y tienen la obligación de rendir cuentas sobre el
origen de sus recursos financieros (asignación parlamentaria, presupuesto general, ministerio de
finanzas, organismos, honorarios) y de la utilización de dichos recursos.
- Las EFS evalúan y publican informes sobre la eficiencia y eficacia de la utilización de sus fondos.
- Las EFS también pueden recurrir a las comisiones de control de cuentas, compuestas por una
mayoría de miembros independientes, para que se examine su gestión financiera y su proceso de
rendición de cuentas.
- Las EFS pueden utilizar indicadores de rendimiento para evaluar el valor del trabajo de auditoría
para el Parlamento, los ciudadanos y otras partes interesadas.
- Las EFS hacen un seguimiento de su visibilidad pública, resultados e impacto a través de la
rendición externa.
Principio 7:
Las EFS informan públicamente de los resultados de sus auditorías y de sus conclusiones
acerca del conjunto de las actividades gubernamentales.
- Las EFS dan a conocer al público sus conclusiones y las recomendaciones que emanan de las
auditorías, a menos que éstas sean consideradas confidenciales conforme a las leyes y
reglamentaciones especiales.
- Las EFS informan sobre las medidas de seguimiento adoptadas con respecto a sus
recomendaciones.
- Las EFS constituidas como Tribunales informan sobre las sanciones y castigos impuestos a los
responsables o directores de contabilidad.
- Las EFS también informan públicamente acerca de los resultados generales de las auditorías, por
ejemplo: la ejecución de los presupuestos generales del estado, la situación y operaciones
financieras, el progreso en la gestión financiera global así como la capacitación profesional, si sus
marcos legales lo contemplan.
- Las EFS mantienen estrechas relaciones con los comités parlamentarios competentes con el fin de
ayudarlos a comprender mejor los informes de auditoría y las conclusiones, y a tomar las medidas
adecuadas.
7 06-01-2010
Principio 8:
Las EFS comunican sus actividades y los resultados de las auditorías ampliamente y de
manera oportuna a través de los medios de comunicación, sitios Internet u otros medios.
- Las EFS se comunican abiertamente con los medios de comunicación u otras partes interesadas
acerca de sus actuaciones y resultados de auditoría y son visibles en el ámbito público.
- Las EFS alientan el interés público y académico en sus conclusiones más importantes.
- Resúmenes de los informes de auditoría y fallos judiciales están disponibles en uno de los idiomas
oficiales de la INTOSAI, además de los idiomas del país.
- Las EFS inician y llevan a cabo auditorías y emiten los informes correspondientes en los plazos
prescritos. La transparencia y la responsabilidad se verán reforzadas si el trabajo de auditoría y la
información correspondiente facilitada no están obsoletos.
- Los informes de las EFS son ampliamente accesibles y comprensibles a todo el público a través de
diversos medios de comunicación (por ejemplo, resúmenes, gráficos, presentaciones en video,
comunicados de prensa).
Principio 9:
Las EFS hacen uso del asesoramiento externo e independiente para perfeccionar la calidad y
la credibilidad de su trabajo.
- Las EFS cumplen con las Normas Internacionales de las Entidades Fiscalizadoras Superiores y se
esmeran por continuar su aprendizaje recurriendo a la orientación o peritaje de socios externos.
- Las EFS pueden solicitar una evaluación externa e independiente de sus operaciones y la
aplicación de sus normas. A fin de lograr este objetivo, pueden recurrir a una evaluación por sus
pares.
- Las EFS pueden hacer uso de expertos externos para que aporten asesoramiento independiente y
especializado, incluso sobre cuestiones técnicas relacionadas con las auditorías.
- Las EFS informan públicamente de los resultados de las revisiones entre pares y las evaluaciones
externas independientes.
- Las EFS pueden beneficiarse de auditorías conjuntas o paralelas.
- Al perfeccionar la calidad de su trabajo, las EFS pueden contribuir a la mejora de la capacidad
profesional en materia de gestión financiera.
ISSAI 21 Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
I N T O S A I
Principios de
transparencia y
responsabilidad
PRINCIPIOS Y
BUENAS
PRÁCTICAS
INTOSAI General Secretariat - RECHNUNGSHOF
(Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2
A-1033 VIENNA
AUSTRIA
Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark
Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
1
Introducción
Finalidad y objetivos
ISSAI 20 propone principios de transparencia y de responsabilidad para las Entidades
Fiscalizadoras Superiores (EFS) con el fin de tomar el liderazgo con el ejemplo en sus propias
prácticas y gobierno.
Las Buenas Prácticas que se presentan en este documento son algunos ejemplos de actuaciones de
las EFS relacionadas con la transparencia y la responsabilidad. Con objeto de facilitar la lectura,
este documento también reproduce principios del documento ISSAI 20 en letra cursiva.
Éste es un documento vivo. Como las prácticas de las EFS evolucionan y se desarrollan nuevos
métodos, se anima a las EFS a que compartan su experiencia.
Principios
Principio 1
Las EFS cumplen con sus deberes en un marco jurídico que prevé la obligación de
responsabilidad y transparencia.
- Las EFS deben disponer de leyes y reglamentos orientativos conforme a los cuales serán
responsables y rendirán cuentas.
- Dichas leyes y reglamentos por lo general hacen referencia a: (1) la autoridad
fiscalizadora, mandato y responsabilidades, (2) las condiciones que rigen el nombramiento
y el cese del Auditor General/Presidente de la EFS y de los miembros en las instituciones
colegiadas (3) los requisitos relativos a la gestión operativa y financiera de las EFS, (4) la
publicación oportuna de los informes de auditoría en los plazos prescritos , (5) la
supervisión de las actividades de las EFS, y (6) el equilibrio entre el acceso del público a la
información y la confidencialidad de las evidencias de la auditoría así como de otra
información de la EFS.
2 06-01-2010
Buenas prácticas
La mayoría de los sitios web contienen una sección titulada “Legislación” o “Mandato legal”,
que expone detalladamente el marco dentro del que opera la EFS, y en algunos casos presenta
vínculos directos con los documentos correspondientes.
En la fiscalización de algunas EFSse detallan los principios de transparencia y responsabilidad.
Otras EFS hacen referencia a las reglas que rigen la responsabilidad y la transparencia aplicables a
su Auditor General/Presidente.
Cierta legislación adoptada por EFS dispone el acceso a los documentos de las EFS por parte del
Parlamento o el público. La legislación de una EFS incluye una lista exhaustiva de los ámbitos en
los que el derecho de acceso queda excluido.
Algunas EFS se inspiran en el “Código de buenas prácticas de Transparencia en las políticas
monetarias y financieras” del FMI, aprobado en 1999.
Principio 2:
Las EFS hacenpúblico su mandato, responsabilidades, misión y estrategia
- Las EFS hacen público su mandato, sus misiones, su organización, su estrategia y sus
relaciones con las diferentes partes interesadas, incluyendo a los órganos legislativos y las
autoridades del poder ejecutivo.
- Se hacen públicas las condiciones para el nombramiento, la reelección, la jubilación o el
cese delAuditor General/Presidente de la EFS y de los miembros de las instituciones
colegiadas.
- Se anima a las EFS a que hagan públicas las informaciones básicas sobre sus mandatos,
responsabilidades, misiones, estrategias y actividades en uno de los idiomas oficiales del
INTOSAI, además de en los idiomas de su país.
Buenas prácticas
La mayoría de las EFS publican información detallada sobre su mandato, sus responsabilidades,
misión y estrategia.
Ciertas EFS declaran si poseen o no plena facultad para decidir sobre las auditorías a realizar
(Ej.: cuando son otros los órganos que están a cargo de las mismas, por ejemplo, sobre fondos extra
presupuestarios y en el sector de la seguridad).
3 06-01-2010
Una EFS dispone de una serie de “folletos descriptivos” formulados para ayudar a los
parlamentarios y a otras partes interesadas a comprender su trabajo desde la práctica (por ejemplo:
cómo la Oficina del Auditor General lleva a cabo una auditoría operativa).
La información de varias EFS está disponible en sus respectivos sitios web, junto con folletos
informativos sobre sus misiones y su funcionamiento en dos o más idiomas oficiales de INTOSAI.
Algunas EFS publican informaciones en otros idiomas además de en su(s) idioma(s) oficial(es).
Principio 3:
Las EFS aprueban normas deauditoría, procedimientos y metodologías, objetivos y
transparentes.
- Las EFS adoptan normas y metodologías de acuerdo con los principios fundamentales de
auditoría de la INTOSAI elaborados por las Normas Internacionales de las Entidades
Fiscalizadoras Superiores.
- Las EFS comunican cómo son dichas normas y metodologías y la manera en la que se cumplen.
- Las EFS comunican el alcance de las actividades de auditoría que emprenden en el ámbito de su
competencia, sobre la base de la evaluación de riesgos y como resulado de los procesos de
planificación.
- Las EFS informan a la entidad fiscalizada sobre los criterios que servirán de fundamento a sus
opiniones.
- Las EFS mantienen al órgano fiscalizado informado acerca de los objetivos, la metodología y los
resultados de su auditoría.
- Los resultados de las auditorías efectuadas por las EFS están sujetos a procedimientos de
alegaciones y las recomendaciones a debates y respuestas de la entidad fiscalizada.
- Las EFS poseen eficaces mecanismos de seguimiento e informan sobre sus recomendaciones para
asegurarse de que las entidades fiscalizadas toman en cuenta adecuadamente sus observaciones y
recomendaciones, así como aquéllas formuladas por el Parlamento (ISSAI 10 sobre la
Independencia – Principio 7).
- Los procedimientos de seguimiento de las EFS permiten a la entidad fiscalizada facilitar
información sobre las medidas correctivas adoptadas o la razón por la cual no se tomaron en
cuenta.
- Las EFS deben poner en práctica un sistema adecuado de garantía de calidad sobre sus
actividades de auditoría e informes, y someten dicho sistema a una evaluación periódica
independiente.
4 06-01-2010
Buenas prácticas
Todas las EFS encuestadas aplican este principio. No obstante, además de las normas ISSAI,
algunas EFS han publicado manuales, directivas de funcionamiento, herramientas y guías.
Con respecto al seguimiento preciso de las recomendaciones por las EFS, se pueden citar tres
ejemplos:
- Una EFS introdujo un “Informe de Situación” en su informe periódico al Parlamento, donde
evalúa las medidas tomadas por el gobierno para abordar las recomendaciones formuladas en
auditorías operativas precedentes;
- Otra EFS dedica la segunda parte de su informe anual al “Seguimiento de las observaciones de
la EFS” y emite indicadores de rendimiento que miden la cantidad de recomendaciones
adoptadas.
- Una tercera EFS hace referencia en el informe anual sobre las finanzas públicas sometido al
Parlamento, a las recomendaciones más importantes formuladas en el conjunto de los
informes de auditoría del año.
Cierto número de EFS:
- publican en los sitios web su metodología de auditoría.Ésto incluye sus manuales de auditoría
operativa y financiera, así como guías y herramientas funcionales de auditoría.
- publican en sus sitios Internet la lista de auditorías de gestión planificadas.
- incluyen la respuesta de la entidad fiscalizada en los informes de auditoría que publican.
- se someten a revisiones periódicas externas por pares para asegurar que el marco de la gestión
de calidad está adecuadamente diseñado y operan con eficacia. Ciertas EFS también llevan a
cabo revisiones de la práctica de sus auditorías. Los resultados de las evaluaciones entre pares
y los resúmenes de las revisiones de sus prácticas son publicados en sus sitios web, en sus
informes anuales o de cualquier otra forma impresa.
Una EFS ha llevado a cabo una comparación sistemática para garantizar que las pautas básicas
de auditoría interna reflejen adecuadamente las normas ISSAI. La EFS ha incluido la actualización
de la guía de auditoría interna como objetivo de rendimiento, como máximo 12 meses después de la
publicación de nuevas ISSAI en su “versión para obtener aprobación”.
5 06-01-2010
Principio 4:
Las EFS aplican altos estándares de integridad y ética en todos los niveles del personal.
- Las EFS tienen reglas o códigos, políticas y prácticas deontológicas conformes a la ISSAI 30,
Código de Deontología, elaborado en las Normas Internacionales de las Entidades Fiscalizadoras
Superiores.
- Las EFS evitan conflictos de interés y corrupción internos, y garantizan la transparencia y la
legalidad de sus propias operaciones.
- Las EFS promueven activamente la conducta ética del conjunto de la organización.
- Se hacen públicos los requisitosy las obligaciones deontológicas de los auditores, miembros
(modelo Tribunal), funcionarios públicos y otros.
Buenas prácticas
La EFS prueba un conjunto de valores y un código de deontología y conducta profesional que
guía su trabajo.
La EFS está comprometida con la economía, la transparencia y los más altos estándares éticos de
la administración financiera. Una EFS da a conocer públicamente en su sitio Internet los gastos de
viajes y otros gastos incurridos en el desarrollo de sus funciones por el Auditor General/Presidente
de la EFS y miembros.
En dos EFS, el auditor, al inicio de cada auditoría, firma una declaración de ausencia de
conflicto potencial de intereses que puede ser evaluada y abordada por los directores.
De la misma manera, algunas EFS han adoptado una carta deontológica para sus miembros y han
creado una comisión de ética.
Algunas EFS tienen la obligación de retirar a sus miembros de aquellas actividades en las que
tengan algún vínculo personal.
Una EFS divulgó en su informe de auditoría una situación en lo que existía un conflicto de
interés y las medidas que tomó la EFS para asegurarse de que el director en cuestión no tuviera
ninguna participación ni acceso a los documentos o actividades relacionadas con la auditoría.
En algunos casos, las obligaciones éticas incluyen la prestación de juramento por parte del
miembro y el registro de las declaraciones del patrimonio propio.
6 06-01-2010
Principio 5:
Las EFS velan por el respeto de los principios de responsabilidad y de transparencia cuando
externalizan sus actividades.
- Las EFS deben garantizar que los contratos de actividades externalizadas no pongan en peligro
estos principios de responsabilidad y transparencia.
- La subcontratación de actividades de peritaje y auditorías a entidades externas, ya sean públicas
o privadas, es responsabilidad de la EFS y está sujeta a políticas deontológicas (en especial a
conflictos de interés) y políticas que aseguren la integridad y la independencia.
Buenas prácticas
Algunas EFS definen con precisión las reglas de subcontratación, incluyendo la obligación para
el subcontratista de firmar una declaración de posibles conflictos de intereses.
Una EFS ha publicado en su sitio Internet todos los contratos firmados cuyo valor supera los
10.000 dólares.
Principio 6:
Las EFS gestionan sus operaciones con economía, eficiencia y eficacia y de conformidad con
las leyes y reglamentos, e informan públicamente sobre estas cuestiones.
- Las EFS emplean prácticas adecuadas de gestión, particularmente controles internos adecuados
de su administración y sus operaciones financieras; lo cual puede incluir auditorías internas y
otras medidas descritas en el documento INTOSAI GOV 9100.
- Los informes financieros de las EFS se dan a conocer al público y están sujetos a una auditoría
externa independiente o a la revisión parlamentaria.
- Las EFS evalúan e informan sobre sus actividades y gestión en todas las áreas, tales como las
auditorías financieras, las auditorías de legalidad, las actividades jurisdiccionales (EFS
constituidas como Tribunales), las auditorías operativas, las evaluaciones de programas y las
conclusiones con respecto a lasactuaciones de gobierno.
- Las EFS mantienen y desarrollan las técnicas y competencias necesarias para cumplir su misión y
asumir sus responsabilidades.
7 06-01-2010
- Las EFS hacen público su presupuesto total y tienen la obligación de rendir cuentas sobre el
origen de sus recursos financieros (asignación parlamentaria, presupuesto general, ministerio de
finanzas, organismos, honorarios) y de la utilización de dichos recursos.
- Las EFS evalúan y publican informes sobre la eficiencia y eficacia de la utilización de sus fondos.
- Las EFS también pueden recurrir a las comisiones de control de cuentas, compuestas por una
mayoría de miembros independientes, para que se examine su gestión financiera y su proceso de
rendición de cuentas.
- Las EFS pueden utilizar indicadores de rendimiento para evaluar el valor del trabajo de auditoría
para el Parlamento, los ciudadanos y otras partes interesadas.
- Las EFS hacen un seguimiento de su visibilidad pública, resultados e impacto a través de la
rendición externa.
Buenas prácticas
Cierto número de EFS dan muchos ejemplos de sus indicadores de rendimiento.
Algunas EFS tienen informes públicos especialmente dedicados a este tema.
Algunos indicadores de rendimiento utilizados son los siguientes:
- Cantidad de informes de rendimiento (actividad)
- Índice de ejecución de los planes de auditoría de las EFS
- Índice de ejecución de las recomendaciones
- Beneficios financieros y no financieros resultantes de las recomendaciones de las
EFS que se han puesto en práctica
- Cantidad de comparecencias / presentaciones ante el Parlamento / Congreso
- Puntualidad en la finalización de los informes de auditoría
Algunas EFS utilizan fuentes externas tal como las consultas realizadas en su web, las encuestas
de satisfacción efectuadas entre las partes interesadas o la cobertura en los medios de
comunicación.
Determinadas EFS:
- han instalado un programa de formación obligatorio para asegurarse de que el
personal cuente con la formación y los conocimientos adecuados para llevar a cabo su
trabajo de auditoría.
- tienen acuerdos formales de formación con instituciones profesionales.
- publican un informe anual sobre sus actividades que incluyeindicadores de
rendimiento y resultados, con una página que establece los logros alcanzados durante
8 06-01-2010
el año así como las áreas a mejorar. Dicho informe contiene un gráfico recapitulativo
en el que se comparan los objetivos y los resultados reales obtenidos en el año.
Algunos ejemplos de indicadores de rendimiento son el porcentaje de ejecución de las
recomendaciones y la cantidad de audiencias y de sesiones informativas en el
Parlamento. Este informe contiene otra información adicional, como los resultados de
las encuestas de satisfacción realizadas a las partes interesadas (parlamentarios,
departamentos gubernamentales y empresas estatales), la gestión financiera indicando
el coste de las operaciones, compensaciones y beneficios, y estados financieros
auditados.
Algunas EFS han constituido una Comisión de Control y de Gestión de Riesgos.
Una EFS ha definido objetivos de rendimiento basados en el resultado de la evaluación externa
de una muestra de informes. Estos informes de las EFS presentados al Parlamento sobre las
reclamaciones y resultados de auditorías de gestión son evaluados por expertos académicos de
renombre. Especialistas externos en comunicación evalúan la calidad de la presentación de los
informes. La EFS presenta sus objetivos de gestión en su informe anual.
Principio 7:
Las EFS informan públicamente de los resultados de sus auditorías y de sus conclusiones
acerca del conjunto de las actividades gubernamentales.
- Las EFS dan a conocer al público sus conclusiones y las recomendaciones que emanan de las
auditorías, a menos que éstas sean consideradas confidenciales conforme a las leyes y
reglamentaciones especiales.
- Las EFS informan sobre las medidas de seguimiento adoptadas con respecto a sus
recomendaciones.
- Las EFS constituidas como Tribunales informan sobre las sanciones y castigos impuestos a los
responsables o directores de contabilidad.
- Las EFS también informan públicamente acerca de los resultados generales de las auditorías, por
ejemplo: la ejecución de los presupuestos generales del estado, la situación y operaciones
financieras, el progreso en la gestión financiera global así como la capacitación profesional, si sus
marcos legales lo contemplan.
9 06-01-2010
- Las EFS mantienen estrechas relaciones con los comités parlamentarios competentes con el fin de
ayudarlos a comprender mejor los informes de auditoría y las conclusiones, y a tomar las medidas
adecuadas.
Buenas prácticas.
Las EFS (ya sean Tribunales u otros modelos) informan sobre los posibles delitos que resultan
de sus auditorías.
La mayoría de las EFS controladas reconocen la necesidad de informar públicamente sobre los
resultados de sus auditorías así como de dar acceso a otras publicaciones. Se puede realizar una
búsqueda de estas publicaciones según diferentes criterios: años, organismos / instituciones, temas,
etc.
Algunas EFS ofrecen informes de síntesis. El sitio web de una EFS ofrece “actualizaciones por
correo electrónico”, lo que permite, tras la suscripción correspondiente, acceder a las últimas
publicaciones de la EFS por correo electrónico.
En la mayor parte de los países, el Auditor General/Presidente de la EFS somete los resultados
de sus informes (ya sea de todos o de una selección) a los comités parlamentarios y en algunos
países, al rey o al presidente.
En una EFS, el Auditor General/Presidente se compromete cada año personalmente ante grupos
de partes interesadas externas de manera colectiva (parlamento, representantes del ejecutivo,
concejales y alcaldes) presentando sus conclusiones y el análisis de los resultados que emanan de
las auditorías. Además, esta misma EFS también brinda orientaciones y una capacitación sobre
gestión financiera a los comités de cuentas públicas para facilitarles la comprensión de los informes
de auditoría y ayudarles a que mejoren su probidad con respecto a las entidades controladas.
Algunas EFS envían correos electrónicos a los nuevos miembros de los comités parlamentarios
destacando los ámbitos en los que el gobierno no tomó las medidas recomendadas en los informes
de auditoría precedentes. Esta acción se realiza posteriormente a cada elección, siendo así que hay
muchos miembros nuevos en el parlamento.
El Auditor General/Presidente de la EFS mantiene periódicamente reuniones formales e
informales con los presidentes y miembros de los comités parlamentarios, así como con los adjuntos
de los ministros de las entidades fiscalizadas. Estas reuniones ofrecen al Auditor
General/Presidente de la EFS la oportunidad de explicar la función y el mandato de la EFS y
obtener una mayor comprensión de las necesidades de los diversos comités, y de los problemas y
riesgos a los que se enfrentan las entidades fiscalizadas.
10 06-01-2010
Una EFS ha facilitado a los parlamentarios una guía titulada “Análisis del Gasto Público” con el fin
de ayudarles a examinar el presupuesto estatal. Esta guía intenta desmitificar el proceso y plantea a
los parlamentarios una serie de preguntas que pueden formular a los ministerios y organismos.
Algunas EFS tienen una competencia para hacer comentarios sobre el proyecto de presupuesto.
Algunas EFS hacen comentarios sobre proyectos de infraestructura de gran envergadura.
Un cierto número de EFS entra en comunicación con instituciones públicas de lucha contra la
corrupción.
Principio 8:
Las EFS comunican sus actividades y los resultados de las auditorías ampliamente y de
manera oportuna a través de los medios de comunicación, sitios Internet u otros medios.
- Las EFS se comunican abiertamente con los medios de comunicación u otras partes interesadas
acerca de sus actuaciones y resultados de auditoría y son visibles en el ámbito público.
- Las EFS alientan el interés público y académico en sus conclusiones más importantes.
- Resúmenes de los informes de auditoría y fallos judiciales están disponibles en uno de los idiomas
oficiales de la INTOSAI, además de los idiomas del país.
- Las EFS inician y llevan a cabo auditorías y emiten los informes correspondientes en los plazos
prescritos. La transparencia y la responsabilidad se verán reforzadas si el trabajo de auditoría y la
información correspondiente facilitada no están obsoletos.
- Los informes de las EFS son ampliamente accesibles y comprensibles a todo el público a través de
diversos medios de comunicación (por ejemplo, resúmenes, gráficos, presentaciones en video,
comunicados de prensa).
Buenas prácticas
Los informes de las EFS están disponibles en sus sitios web.
Las EFS dan conferencias de prensa tras la publicación del informe de auditoría para explicar su
contenido.
Las EFS adoptan una actitud proactiva hacia la sociedad civil. Determinadas EFS contratan a
especialistas de la comunicación para que hagan una reseña de sus informes a fin de garantizar que
estén escritos en un lenguaje simple y comprensible.
11 06-01-2010
Una EFS ofrece un portal central de medios de comunicación puesto a disposición de los
periodistas y otras personas que buscan informaciones sobre la EFS, destacando especialmente los
comunicados de prensa, las declaraciones, los discursos y las informaciones de base disponibles.
Una EFS presenta una sección similar. Para cada publicación de la EFS, hay disponibles
comunicados de prensa, discursos, resúmenes y artículos.
Una EFS dispone de un encargado de relaciones con los medios de comunicación con quien
éstos pueden ponerse en contacto. Además, la EFS mantiene regularmente sesiones con los
principales medios de comunicación con el fin de ayudarlos a comprender los informes de auditoría
de manera que puedan publicar artículos precisos y en el contexto adecuado.
El jefe de una EFS concede regularmente entrevistas individuales a los periodistas en el
momento de la rueda de prensa organizada después de la publicación del informe de auditoría. El
Auditor General/Presidente de la EFS también se reúne con los parlamentarios para explicarles el
presupuesto de la EFS y hablar de su informe sobre los planes y las prioridades, su informe de
rendimiento y sus prácticas de gestión.
Principio 9:
Las EFS hacen uso del asesoramiento externo e independiente para perfeccionar la calidad y
la credibilidad de su trabajo.
- Las EFS cumplen con las Normas Internacionales de las Entidades Fiscalizadoras Superiores y se
esmeran por continuar su aprendizaje recurriendo a la orientación o peritaje de socios externos.
- Las EFS pueden solicitar una evaluación externa e independiente de sus operaciones y la
aplicación de sus normas. A fin de lograr este objetivo, pueden recurrir a una evaluación por sus
pares.
- Las EFS pueden hacer uso de expertos externos para que aporten asesoramiento independiente y
especializado, incluso sobre cuestiones técnicas relacionadas con las auditorías.
- Las EFS informan públicamente de los resultados de las revisiones entre pares y las evaluaciones
externas independientes.
- Las EFS pueden beneficiarse de auditorías conjuntas o paralelas.
- Al perfeccionar la calidad de su trabajo, las EFS pueden contribuir a la mejora de la capacidad
profesional en materia de gestión financiera.
12 06-01-2010
Buenas prácticas
Algunas EFS han estado sujetas a revisiones por sus pares y los resultados fueron publicados en
sus sitios web.
Las EFS reciben el asesoramiento de comités con miembros externos. Dichos miembros son
expertos con la debida experiencia, tales como destacados representantes de gruposdel entorno, la
comunidad académica, ex-funcionarios públicos yfirmas de auditoría privadas.
Las EFS hacen uso de la evaluación de los especialistas (en áreas que incluyen asuntos técnicos
relativos a las auditorías); de la retroalimentación académica. y las evaluaciones comparativas:
sistemas de información y cálculos actuariales.
Varias EFS participan en auditorías conjuntas sobre cuestiones ambientales.
Otra EFS somete sus auditorías de regularidad a una evaluación independiente y técnica
realizada por la Junta Reguladora Independiente de Auditores a nivel nacional, y sus auditorías de
gestión a evaluaciones realizadas por un equipo internacional de EFS.
Algunas EFS realizan auditorías en colaboración con EFS de diferentes jurisdicciones en las que
comparten objetivos, criterios y programas de auditoría. Las oficinas de auditoría informan
individualmente a sus respectivos parlamentos. Algunos ejemplos de auditorías en colaboración
incluyen cuestiones sobre los indígenas, tales como servicios para los niños de las reservas, y en el
sector de la salud, sobre los indicadores de rendimiento.
Una EFS estableció un panel independiente para estudiar prácticas del entorno y de desarrollo
sostenible y recomendar de qué manera se podrían fortalecer dichas prácticas.
Una EFS recurre a un consultor externo para llevar a cabo la “gestión de calidad total” o a
críticas de “clientes” con entrevistas a ejecutivos de alto nivel y contactos clave en los ministerios y
entidades públicas fiscalizadas así como otras partes interesadas.
Algunas EFS están vinculadas con universidades para mejorar la calidad de su trabajo.
Algunas EFS mantienen mecanismos formales a través de los cuales el público puede comunicar
quejas y sugerencias relacionadas con las auditorías.
ISSAI 30 The International Standards of Supreme Audit Institutions, ISSAI, are issued by the International Organization of Supreme Audit Institutions, INTOSAI. For more information visit www.issai.org
Código de Ética I N T O S A I
1
INTOSAI’s Professional Standards Committee (PSC) is in the process of organising INTOSAI’s professional Standards into a comprehensive framework using the names and abbreviations International Standards of Supreme Audit Institutions (ISSAI) and INTOSAI Guidelines on Good Governance (INTOSAI GOV). These names as well as the
numbering of documents are provisional and subject to approval by the 19th INTOSAI congress in 2007.
The proposed framework implies that INTOSAI’s Codes of Ethics and Auditing Standards approved in 2001 is issued as 5 separate documents each containing a part of the document from 2001 and maintaining the integrity of the original text. The present document therefore contains one such part of the 2001 document.
The following number and statement is proposed for the present document: ISSAI 30
INTOSAI Professional Standards Committee
PSC-Secretariat:
The National Audit Office of Denmark • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen • Denmark Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI General Secretariat - RECHNUNGSHOF (Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2 A-1033 VIENNA
AUSTRIA Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
2
Indice
Capítulo 1.................................................................................... 4 Introducción .................................................................................... 4
Capítulo 2.................................................................................... 5 Integridad ........................................................................................ 5
Capítulo 3.................................................................................... 5 Independencia, objetividad e imparcialidad ................................... 5
Capítulo 4.................................................................................... 6 Secreto profesional.......................................................................... 6
Capítulo 5.................................................................................... 6 Competencia profesional................................................................. 6
Glosario....................................................................................... 7
3
Capítulo 1 Introducción
Noción, antecedentes y propósito del Código de Etica
1. La INTOSAI ha considerado que es esencial instaurar un Código de Ética internacional para los auditores pertenecientes al sector público.
2. Un Código de Ética constituye una exposición que abarque los valores y principios que guían la labor cotidiana de los auditores. La independencia, las facultades y las responsabilidades del auditor en el sector público plantean elevadas exigencias éticas a la EFS y al personal que emplean o contratan para la labor de auditoría. El código deontológico de los auditores pertenecientes al sector público debe tener en cuenta tanto las exigencias éticas de los funcionarios públicos en general como las exigencias específicas de los auditores en particular, incluidas las obligaciones profesionales de éstos.
3. Tomando como fundamento la Declaración de Lima de Directrices sobre Preceptos de la Auditoría1, el Código de Ética de la INTOSAI deberá constituir un complemento necesario que fortalezca aún más las Normas de Auditoría de la INTOSAI emitidas en junio de 1992 por la Comisión de Normas de Auditoría de la INTOSAI.
4. El Código de Ética de la INTOSAI está dirigido al auditor individual, al director de la EFS, a los responsables ejecutivos y a todas las personas que trabajen al servicio de la EFS o en representación de ésta y que intervengan en la labor de auditoría. Sin embargo, no hay que considerar que el Código deba influir sobre la estructura organizativa de la EFS.
Debido a las diferencias nacionales de cultura, idioma y sistemas jurídicos y sociales, es responsabilidad de cada EFS la elaboración de un Código de Ética propio que se ajuste de manera óptima a su propio entorno. Conviene que estos Códigos de Ética nacionales especifiquen con claridad los conceptos éticos. El Código de Ética de la INTOSAI se propone servir de fundamento a los Códigos de Ética nacionales. Cada EFS tiene que garantizar que todos sus auditores estén familiarizados con los valores y principios que figuran en el Código de Ética nacional y actúen de acuerdo con ellos.
5. La conducta de los auditores debe ser irreprochable en todos los momentos y todas las circunstancias. Cualquier deficiencia en su conducta profesional o cualquier conducta inadecuada en su vida personal perjudica la imagen de integridad de los auditores, la EFS que representan, y la calidad y la validez de su labor de auditoría, y puede plantear dudas acerca de la fiabilidad y la competencia profesional de la propia EFS. La adopción y la aplicación de un código de ética para los auditores del sector público promueven la confianza en los auditores y en su labor.
6. Tiene una importancia fundamental que la EFS suscite credibilidad y confianza. El auditor logra tal cosa mediante la adopción y la aplicación de las exigencias éticas de las nociones encarnadas en los siguientes conceptos claves: integridad, independencia y objetividad, confidencialidad y competencia profesional.
Seguridad, confianza y credibilidad
7. El poder legislativo y/o ejecutivo, el público en general y las entidades fiscalizadas tienen derecho a esperar que la conducta y el enfoque de la EFS sean irreprochables, no susciten sospechas y sean dignos de respeto y confianza.
8. Los auditores deben conducirse de un modo que promueva la cooperación y las buenas relaciones entre los auditores y dentro de la profesión. El apoyo de la profesión por parte de sus miembros y su cooperación recíproca constituyen elementos esenciales de la profesionalidad. La confianza y el respecto público que suscita un auditor es consecuencia, básicamente, de la suma de logros de todos los auditores, anteriores y actuales. Por consiguiente, tanto a
1 Correspondiente al IX Congreso de la INTOSAI celebrado en Lima. Puede solicitarse a la Secretaría General de la INTOSAI en Austria.
4
los auditores como al público en general les interesa que el auditor trate a sus colegas auditores de una forma justa y equilibrada.
9. El poder legislativo y/o ejecutivo, el público en general y las entidades fiscalizadas deberán tener una plena garantía de la justicia y la imparcialidad de toda la labor de la EFS. Por consiguiente, es esencial que exista un Código de Ética nacional o un documento semejante que rija la prestación de servicios.
10. En todos los sectores de la sociedad existe la necesidad de credibilidad. Por consiguiente, resulta esencial que terceras personas expertas en la materia consideren que los informes y dictámenes de la EFS son minuciosamente precisos y fiables.
11. Toda la labor realizada por la EFS debe contrastarse mediante la inspección realizada por el poder legislativo y/o ejecutivo, la evaluación pública acerca de su corrección, y el examen comparativo con un Código de Ética nacional.
Capítulo 2 Integridad 12. La integridad constituye el valor central de un Código de Ética. Los auditores están obligados a cumplir normas elevadas de conducta (p. ej. honradez e imparcialidad) durante su trabajo y en sus relaciones con el personal de las entidades fiscalizadas. Para preservar la confianza de la sociedad, la conducta de los auditores deben ser irreprochables y estar por encima de toda sospecha.
13. La integridad puede medirse en función de lo que es correcto y justo. La integridad exige que los auditores se ajusten tanto a la forma como al espíritu de las normas de auditoría y de ética. La integridad también exige que los auditores se ajusten a los principios de objetividad e independencia, mantengan normas irreprochables de conducta profesional, tomen decisiones acordes con el interés público, y apliquen un criterio de honradez absoluta en la realización de su trabajo y el empleo de los recursos de la EFS.
Capítulo 3 Independencia, objetividad e imparcialidad 14. Para los auditores es indispensable la independencia con respecto a la entidad fiscalizada y otros grupos de intereses externos. Esto implica que los auditores actúen de un modo que aumente su independencia, o que no la disminuya por ningún concepto.
15. Los auditores no sólo deben esforzarse por ser independientes de las entidades fiscalizadas y de otros grupos interesados, sino que también deber ser objetivos al tratar las cuestiones los temas sometidos a revisión.
16. Es esencial que los auditores no sólo sean independientes e imparciales de hecho, sino que también lo parezcan.
17. En todas las cuestiones relacionadas con la labor de auditoría, la independencia de los auditores no debe verse afectada por intereses personales o externos. Por ejemplo, la independencia podría verse afectada por las presiones o los influjos externos sobre los auditores; por los prejuicios de los auditores acerca de las personas, las entidades fiscalizadas, los proyectos o los programas; por haber trabajado recientemente en la entidad fiscalizada; o por relaciones personales o financieras que provoquen conflictos de lealtades o de intereses. Los auditores están obligados a no intervenir en ningún asunto en el cual tengan algún interés personal.
18. Se requiere objetividad e imparcialidad en toda la labor efectuada por los auditores, y en particular en sus informes, que deberán ser exactos y objetivos. Las conclusiones de los dictámenes e informes, por consiguiente, deben basarse exclusivamente en las pruebas obtenidas y unificadas de acuerdo con las normas de auditoría de la EFS.
19. Los auditores deberán utilizar la información aportada por la entidad fiscalizada y por terceros. Esta información deberá tenerse en cuenta de modo imparcial en los dictámenes expresados por los auditores. El auditor también deberá recoger información acerca de los enfoques de la entidad fiscalizada y de terceros. Sin embargo, estos enfoques no deberán condicionar las conclusiones propias de los auditores.
5
Neutralidad política
20. Es importante mantener la neutralidad política -tanto la real como la percibida- de la EFS. Por lo tanto, es importante que los auditores conserven su independencia con respecto a las influencias políticas para desempeñar con imparcialidad sus responsabilidades de fiscalización. Esto es relevante para los auditores porque las EFS trabajan en estrecho contacto con los órganos legislativos, el poder ejecutivo u otros órganos de la Administración facultados por la ley para tomar en consideración los informes de las EFS.
21. Es importante que, cuando los auditores se dediquen, o estudien la posibilidad de dedicarse, a actividades políticas, tengan en cuenta la forma en que tal dedicación podría afectar –o parecer que afecta- su capacidad de desempeñar con imparcialidad sus obligaciones profesionales. Si los auditores están autorizados a participar en actividades políticas, tienen que ser conscientes de que tales actividades pueden provocar conflictos profesionales.
Conflictos de intereses
22. Cuando los auditores están autorizados a asesorar o a prestar servicios distintos de la auditoría a una entidad fiscalizada, hay que procurar que estos servicios no lleven a un conflicto de intereses. En particular, los auditores deben garantizar que dichos servicios o asesoramiento no incluyan responsabilidades o facultades de gestión, que deben continuar desempeñando con claridad los directivos de la entidad fiscalizada.
23. Los auditores deberán proteger su independencia y evitar cualquier posible conflicto de intereses rechazando regalos o gratificaciones que puedan interpretarse como intentos de influir sobre la independencia y la integridad del auditor.
24. Los auditores deben evitar toda clase de relaciones con los directivos y el personal de la entidad fiscalizada y otras personas que puedan influir sobre, comprometer o amenazar la capacidad de los auditores para actuar y parecer que actúan con independencia.
25. Los auditores no deberán utilizar su cargo oficial con propósitos privados y deberán evitar relaciones que impliquen un riesgo de corrupción o que puedan suscitar dudas acerca de su objetividad e independencia.
26. Los auditores no deberán utilizar información recibida en el desempeño de sus obligaciones como medio de obtener beneficios personales para ellos o para otros. Tampoco deberán divulgar informaciones que otorguen ventajas injustas o injustificadas a otras personas u organizaciones, ni deberán utilizar dicha información en perjuicio de terceros.
Capítulo 4 Secreto profesional 27. La información obtenida por los auditores en el proceso de auditoría no deberá revelarse a terceros, ni oralmente ni por escrito, salvo a los efectos de cumplir las responsabilidades legales o de otra clase que correspondan a la EFS, como parte de los procedimientos normales de ésta, o de conformidad con las leyes pertinentes.
Capítulo 5 Competencia profesional 28. Los auditores tienen la obligación de actuar en todo momento de manera profesional y de aplicar elevados niveles profesionales en la realización de su trabajo con objeto de desempeñar sus responsabilidades de manera competente y con imparcialidad.
29. Los auditores no deben llevar a cabo trabajos para los que no posean la competencia profesional necesaria.
30. Los auditores deben conocer y cumplir las normas, las políticas, los procedimientos y las prácticas aplicables de auditoría, contabilidad y gestión financiera. De igual modo, deben entender adecuadamente los principios y normas constitucionales, legales e institucionales que rigen el funcionamiento de la entidad fiscalizada.
6
Desarrollo profesional
31. Los auditores deben ejercer la profesionalidad debida en la realización y supervisión de la auditoría y en la preparación de los informes correspondientes.
32. Los auditores deben emplear métodos y prácticas de la máxima calidad posible en sus auditorías. En la realización de la auditoría y la emisión de informes, los auditores tienen la obligación de ajustarse a los postulados básicos y a las normas de auditoría generalmente aceptadas.
33. Los auditores tienen la obligación continuada de actualizar y mejorar las capacidades requeridas para el desempeño de sus responsabilidades profesionales.
Glosario A los términos empleados en este Código de Ética les corresponde la misma interpretación o definición que en las
Normas de Auditoría de la INTOSAI.
7
Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
En 2001 fue decidido que el Código ético deberia incluir
también las normas profesionales, que ahora conocen
como ISSAI 100, ISSAI 200, ISSAI 300 y ISSAI 400. El
Código ético fue emitido por el Comité de Auditoria al
XVI Congreso de la INTOSAI en 1998 en Montevido,
Uruguay.
Cuando el XIX Congreso de la INTOSAI en la Ciudad de
México, adoptó el marco de normas profesionales del
INTOSAI, el Código ético fue dividido en cinco
documentos separados; ISSAI 30 (Código ético) y los
cuatro documentos (ISSAI) mencionados anteriormente
en acuerdo adjunto.
En el siguiente, usted encontrará presentaciónes y otra
información relevante al Código ético.
Apuntes ISSAI 30 I N T O S A I
Préambulo- 2001 En ocasión del XVI INCOSAI en Montevideo en el año 1998, el Congreso aprobó y despidió de forma unánime el Código de Etica de la INTOSAI. El mismo Congreso decidió, además, que el Comité de Normas de Auditoría debería reestructurar las Normas de Auditoría para poder actualizarlos y añadir puntos en el futuro sin tener que cambiar el contenido. El Comité, por lo tanto, acaba de elaborar una versión reestructurada de las Normas de Auditoría. Por razones prácticas se propuso publicar el Código de Ética y las Normas de Auditoría en una edición conjunta. Sin embargo es de gran importancia ver la relación entre los distintos documentos relevantes de la INTOSAI. Tomando la Declaración de Lima sobre las Líneas Básicas de la Fiscalización como base, el Código de Ética de la INTOSAI debería verse como complemento necesario para reforzar las Normas de Auditoría de la INTOSAI publicados por el Comité de Normas de Auditoría de la INTOSAI en junio del año 1992. Las Actas del XVI INCOSAI del año 1998 establecieron lo siguiente: Los distintos documentos se pueden considerar como marco global con los siguientes elementos. • La Declaración de Lima representa el fundamento con sus conceptos generales sobre la auditoria del sector público. • El Código de Ética forma el siguiente nivel con su declaración de los valores y principios apoyando a los auditores en llevar a cabo su labor diaria. Uno de los principios establecidos en el Código de Etica es la obligación del auditor de aplicar normas de auditoria aceptados por lo general. • Las Normas de Auditoria, el siguiente nivel, contienen postulados y principios para la realización de las auditorias • Distintas Directrices, representando el cuarto nivel, ofrecen asistencia práctica para las EFS en implentar y adaptar las Normas a las respectivas normas de sus instituciones. Esta edición abarca por lo tanto el Código de Etica y las Normas de Auditoría reestructurados que fueron aprobadas por el XVII Congreso de la INTOSAI en Seúl, 2001. Inga-Britt Ahlenius Presidenta del Comité de Normas de Auditoría
Prólogo- 1998 Tengo la satisfacción de presentar a los miembros de la Organización
Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) este Código
de Ética para los auditores del sector público, que fue aprobado por el
Comité Directivo en su 44a reunión celebrada en Montevideo en noviembre de
1998.
Este Código constituye un paso adelante significativo en el proceso de
armonización de los conceptos éticos dentro de la INTOSAI. Consta
únicamente de postulados éticos básicos, dado que las diferencias nacionales
de cultura, idioma y sistemas jurídicos y sociales hacen necesario adaptar
dichos postulados al entorno de cada país. Por consiguiente, el presente
Código debe considerarse como un fundamento para los códigos de ética
nacionales que deberá desarrollar cada Entidad Fiscalizadora Superior.
Finalmente, deseo expresar, en nombre de la Comisión de Normas de
Auditoría, mi profundo aprecio y gratitud por la colaboración de todos los
miembros de la INTOSAI en nuestro esfuerzo por elaborar este Código de
Ética. Agradezco asimismo a mis compañeros de la Comisión su puntual
apoyo y su aportación positiva a esta actividad.
Inga-Britt Ahlenius
Presidenta de la Comisión de Normas de Auditoría
Preámbulo- 1998 Este anteproyecto de Código de Ética es resultado de la labor conjunta de los miembros de la Comisión de Normas de Auditoría de la INTOSAI, del que forman parte las Entidades Fiscalizadoras Superiores de: Arabia Saudí Argentina Australia Austria Brasil Costa Rica Estados Unidos Filipinas Japón Portugal Reino Unido Suecia; Presidente En la 42a reunión del Comité Directivo, celebrada en Viena el 24 de junio de 1996, se presentó el plan de trabajo de la Comisión, que fue aprobado. La elaboración de este Código de Ética fue una de las tareas que figuraban en dicho plan. La primera de las actividades que debían realizarse consistió en reunir los Códigos de Ética de todos los miembros de la INTOSAI, para estudiar sus semejanzas y diferencias. Esto dio origen a un primer anteproyecto que se debatió en una reunión de la Comisión, celebrada en Suecia en enero de 1997. Después de esta reunión de la Comisión, se elaboró un nuevo anteproyecto y se envió a todos los miembros de la INTOSAI para recibir los pertinentes comentarios. Una vez tomados en consideración estos comentarios, se elaboró este anteproyecto definitivo. El Comité Directivo ha sido informado acerca del avance de los trabajos en su 43a reunión celebrada en Montevideo, en noviembre de 1997. Quisiera agradecer a todos los miembros de la Comisión de Normas de Auditoría de la INTOSAI su dedicación y colaboración en la realización de este proyecto. Inga-Britt Ahlenius Auditor General, Oficina Nacional de Auditoría de Suecia Presidenta, Comisión de Normas de Auditoría de la INTOSAI
ISSAI 40 Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
I N T O S A I Control de
Calidad para la
EFS
INTOSAI General Secretariat - RECHNUNGSHOF
(Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2
A-1033 VIENNA
AUSTRIA
Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
Esta Norma Internacional sobre Instituciones Fiscalizadoras Superiores está basada en el ISQC
1, desarrollado por el Consejo de Normas Internacionales de Auditoría y Aseguramiento,
IAASB (por sus siglas en inglés) y publicado por la Federación Internacional de Contadores,
IFAC (por sus siglas en inglés) en diciembre de 2008. Es utilizada bajo la autorización del IFAC.
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark
Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
3
1 Introducción
El propósito de este documento es asistir a las Entidades Fiscalizadoras Superiores (EFS) a
establecer y mantener un sistema apropiado de control de calidad que cubra todo el trabajo
que estas entidades realizan. Este documento debe ayudar a las EFS a diseñar un sistema
de control de calidad apropiado a su mandato y circunstancias y que responde a sus
riesgos de calidad.
El mayor desafío que enfrentan todas las EFS es realizar auditorías y otros trabajos de alta
calidad de manera consistente. La calidad del trabajo que realizan las EFS afecta su
reputación, credibilidad, y ultimadamente su habilidad para ejercer su mandato.
Para que un sistema de control de calidad sea efectivo, necesita ser parte de la estrategia,
cultura, políticas y procedimientos de cada EFS como se resume en esta guía. De esta
manera, la calidad es incluida en el desempeño del trabajo y los reportes de cada EFS, en
vez de ser un proceso adicional una vez que el reporte es producido.
Este documento es una parte integral del marco estructural de las Estándares
Internacionales de las Entidades Fiscalizadoras Superiores (ISSAISs). Esta guía se debe usar
en conjunto con otras ISSAIs.
Cada EFS debe decidir como implementar esta guía conforme a su mandato, estructura,
riesgos y el tipo de trabajo que realiza.
2 Alcance de la ISSAI 40
La ISSAI 40 esta basada en los principios claves de las Norma Internacionales de Control de
Calidad, ISQC11, adaptado para las EFS. Aunque ISQC-1 incluye algunos aspectos
específicos a las organizaciones auditoras del sector público, y en muchos aspectos es
apropiado para las EFS, los principios claves requieren de interpretación para que sean
aplicados a las EFS. La ISSA 40 sirve de guía a las EFS en la aplicación de los principios
claves de la ISQC-1 para la amplia gama de trabajos que realizan las EFS, adecuada a su
mandato y circunstancias. Este documento resume las medidas de control de calidad que
son relevantes para alcanzar alta calidad en el ambiente del sector público.
Aunque el propósito general y principios claves de la ISSAI 40 son consistentes con la ISQC-
1, los requerimientos de esta ISSAI han sido adaptados para asegurar que son revelantes a
las EFS. Por esto, los requerimientos no son idénticos a los requerimientos de la ISQC-1.
1 ISQC 1, Control de calidad en las firmas de auditoría que realizan auditorías y revisiones de estados financieros,
así como otros encargos que proporcionan un nivel de seguridad y servicios relacionados, Federación Internacional
de Contadores (IFAC).
4
Estableciendo y reconociendo los principios claves de la ISQC-1, la ISSAI 40 establece un
marco general para el control de calidad en las EFS. Este marco esta diseñado para ser
aplicado al sistema de control de calidad de todo el trabajo que realizan las EFS (por
ejemplo, auditorías financiaras, auditorías de cumplimiento, auditorías de desempeño y
otros trabajos que realizan las EFS).
La ISSAI 40 se enfoca en los aspectos organizacionales de la calidad en las auditorías de las
EFS. ISSAI 40 también provee un marco que complementa otras guías emitidas por la
Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), incluyendo las
guías sobre el control de calidad a nivel individual (por ejemplo, auditoría de estados
financieros individuales, auditoría de cumplimiento, auditorías de desempeño y otros
trabajos que realizan las EFS).
Las guías sobre el control de calidad de los trabajos que son a nivel de individual se pueden
encontrar en:
ISSAI 1000 – 2999 (guía para auditorías financiaras);
[ISSAI 1000, ISSAI 1220 y ISSAI 1620 proveen guías para las auditorías del control de
calidad].
ISSAI 3000 – 3999 (Guía para las auditorías de desempeño);
[ISSAI 3100, sección 2.5 provee guía en respecto del control de calidad para las
auditorías de desempeño].
ISSAI 4000 – 4999 (Guía para las auditorías de cumplimiento)
[ISSAI 4100, sección 5.2 y ISSAI 4200, sección 5.2 provee una guía con respecto al
control de calidad para las auditorías de cumplimiento].
Si una EFS desea confirmar su cumplimiento con la ISQC-1 (y con las ISAs), necesitará
considerar los requerimientos de la ISQC-1. Los requerimientos para aplicar las ISAs están
descritas en la guía para auditorías financiaras.
ISQC-1 está disponible en:
http://web.ifac.org/download/2009_Auditing_Handbook_A007_ISQC_1.pdf
Algunos de los términos usados en ISQC-1 necesitan de interpretación para ser aplicados a
las EFS. Estas interpretaciones están descritas en la sección siete de este documento.
3 Aspectos generales de la ISQC-1
La ISQC-1 trata las responsabilidades de las entidades en relación a los sistemas de control
de calidad para las auditorías y las revisiones de los estados financieros y otros
compromisos de garantías y servicios similares.
5
La ISQC-1 cita lo siguiente: “el objetivo de la entidad es establecer y mantener un sistema
de control de calidad que pueda proveer garantía razonable que:
(a) la entidad y su personal cumple con los estándares profesionales y los
requerimientos legales y regulatorios que aplican; y
(b) los reportes emitidos por la entidad o por los directores del trabajo, son apropiados
a las circunstancias”2.
El marco estructural de la ISSAI 40 intenta cumplir el mismo propósito en relación al
mandato y circunstancias de cada EFS.
4 ¿Qué es un sistema de control de calidad?
La ISSAI 40 usa elementos del marco estructural del control de calidad establecidos en la
ISQC-1. La ISSAI 40 también considera los asuntos de particular relevancia en el ambiente
de auditoría en el sector público que afectan los sistemas de control calidad de las EFS.
ISAQC-1 resume los elementos del control de calidad de la siguiente manera:
(a) responsabilidad de los líderes de la entidad para la calidad de la misma;
(b) requerimientos éticos relevantes;
(c) aceptación y continuación de las relaciones con el cliente y trabajos específicos;
(d) recursos humanos;
(e) trabajos de desempeño; y
(f) monitoreo.
Además de los elementos mencionados, la ISQC-1 comenta sobre la necesidad de
documentar las políticas y procedimientos de control de calidad y comunicarlas al personal
de la entidad.
Los elementos de sistema de control de calidad contenidos en la ISQC-1 se pueden aplicar
a la variedad de trabajos que realizan las EFS (los cuales pueden ser más amplios que los
compromisos a los que se refiere la ISQC-1). Por lo cuál, los principios principales de la
ISQC-1 deben ser considerados por las EFS al diseñar el sistema de control de calidad.
Como objetivo primordial, cada EFS debe considerar los riesgos a la calidad de su trabajo y
establecer un sistema de control de calidad que esta adecuadamente diseñado para
responder a estos riesgos. Los riesgos de calidad dependerán del mandato y funciones de
cada EFS, las condiciones y el ambiente en el que opera. Estos riesgos pueden surgir en
muchas áreas en el trabajo de las EFS. Por ejemplo, riesgos a la calidad pueden surgir en la
aplicación del juicio profesional, en el diseño e implementación de políticas y
2 ISQC-1, páarrafo 11.
6
procedimientos, o en los métodos usados por las EFS para comunicar los resultados de su
trabajo.
Para mantener un sistema de control de calidad se requiere de constante monitoreo y un
compromiso a mejoras continuas.
5 Estructura de la ISSAI 40
La sección seis de la ISSAI 40 está presentada en la misma manera que cada elemento
identificado en la ISQC-1 de la siguiente manera:
los principios claves en la ISQC-1;
los principios claves adaptados a las EFS;
la guía para la aplicación de las EFS.
6 Marco de referencia para un sistema de control de calidad para las
EFS
(a) Elemento 1: Responsabilidad de los líderes de la EFS sobre la calidad dentro de la
misma
ISQC-1 Principio clave:
“La entidad debe establecer políticas y procedimientos diseñados a promover una cultura
interna reconociendo que la calidad es esencial en el desempeño de los trabajos. Estas
políticas y procedimientos requieren que el director general (o su equivalente) o, si es
apropiado, la junta directiva de la entidad (o su equivalente); asuma la crucial
responsabilidad del sistema de control de calidad de la entidad”3.
Principio clave adaptado a la EFS:
La EFS debe establecer políticas y procedimientos diseñados a promover una cultura interna
reconociendo que la calidad es esencial en el desempeño de los trabajos. Estas políticas y
procedimientos deben ser establecidas por el jefe de la EFS, quién retiene la
responsabilidad total del sistema de control de calidad.
Este principio tiene la siguiente aplicación en el contexto de las EFS:
El jefe de la EFS puede ser un individuo o grupo que dependen del mandato y
circunstancias de la EFS.
3 ISQC-1, párrafo 18.
7
El jefe de la EFS debe tomar responsabilidad total de la calidad de todo el trabajo
realizado por la EFS4.
El jefe de la EFS puede delegar la responsabilidad de administrar el sistema de control
de calidad a una persona o personas con experiencia suficiente y apropiada para
asumir esa responsabilidad.
La EFS debe esforzarse por lograr una cultura que reconozca y recompense el trabajo
de alta calidad en la EFS. Esto requiere que la EFS "tonifique desde las más altas
posiciones en la entidad”5 la importancia de la calidad en todo el trabajo de la EFS,
inclusive el trabajo que es externalizado. Esta cultura también depende de acciones
claras, consistentes y frecuentes, en todos los niveles gerenciales de las EFS, que
enfaticen la importancia de la calidad.
La estrategia de cada una de las EFS debe reconocer el primordial requerimiento de
alcanzar calidad en todo su trabajo, para que las consideraciones políticas,
económicas y otras consideraciones no comprometan la calidad del trabajo realizado.
La EFS debe asegurarse que las políticas y procedimientos del control de calidad son
claramente comunicadas a todo el personal de la EFS y a todos los que realizan
trabajos para la EFS.
Las EFS deben asegurarse que tienen los suficientes recursos disponibles para
mantener el sistema de control de calidad en la EFS.
(b) Elemento 2: Requerimientos éticos relevantes
ISQC-1 Principio clave:
“La firma debe establecer políticas y procedimientos diseñados a dar garantía razonable
de que la firma y su personal cumplen con los requerimientos éticos relevantes6.”
Principio clave adaptados a la EFS:
La EFS debe establecer políticas y procedimientos diseñados a dar garantía razonable de
que la EFS, incluyendo todo su personal y el personal contratado para realizar trabajos
para la EFS, cumple con los requerimientos éticos relevantes.
Este principio tiene la siguiente aplicación en el contexto de las EFS:
La EFS debe enfatizar la importancia de cumplir los requisitos éticos en el trabajo.
4 Consistente con ISSAI 20, Principios de transparencia y responsabilidad, Principio 5.
5 Tono desde las más altas posiciones y calidad de auditoría – Comité Transnacional de Auditores, Foro de Firmas,
Federación Internacional De Contadores (Diciembre 2007) - www.ifac.org
6 ISQC-1, párrafo 20.
8
Todo el personal de la EFS y todos los que realizan trabajos para la EFS deben
demostrar un apropiado comportamiento ético.
El jefe de la EFS y su personal gerencial deben dar el ejemplo de un apropiado
comportamiento ético.
Los requerimientos éticos relevantes deben incluir los requerimientos estipulados en
el marco legal y regulatorio que gobierna las operaciones de la EFS.
Los requerimientos éticos para las EFS pueden incluir o estar basados en el código de
ética de la INTOSAI (ISSAI 30) y en os requerimientos éticos de la Federación
Internacional de Contadores (IFAC), apropiados a su mandato, circunstancias y las
circunstancias de su personal profesional.
Las EFS deben asegurarse que existen políticas y procedimientos que refuercen los
principios fundamentales de ética profesional como esta definida en la ISSAI 30, por
ejemplo:
- integridad;
- independencia, objetividad e imparcialidad;
- secreto profesional; y
- competencia.
Las EFS deben asegurarse que todos los contratados a realizar trabajos para las EFS
están sujetos a los apropiados acuerdos confidenciales.
Las EFS deben considerar el uso de declaraciones escritas de su personal para
confirmar el cumplimiento de los requerimientos éticos.
Las EFS deben asegurarse que existen políticas y procedimientos para notificar
oportunamente al jefe de la EFS de incumplimientos de los requerimientos éticos y
permitir al jefe de la EFS tomar las acciones apropiadas para resolver estos asuntos.
Las EFS deben asegurarse existen políticas y procedimientos para mantener la
independencia del jefe de la EFS, todo su personal y cualquier personal contratado
para realizar trabajos para la EFS.
(Para más información sobre independencia de las EFS, refiérase a la ISSAI 10 México
Declaración de Independencia a de la EFS y la ISSAI 11 Guía y buenas prácticas sobre
la independencia de la EFS).
La EFS debe asegurarse que existen políticas y procedimientos que refuercen la
importancia de rotar al personal clave en las auditorías, cuando sea apropiado, para
reducir el riesgo de familiarizarse con la organización que está siendo auditada. Las
EFS pueden también considerar otras medidas para reducir este riesgo.
9
(c) Elemento 3: Aceptación y continuación
ISQC-1 Principios claves:
“La entidad debe establecer políticas y procedimientos de aceptación y continuación
de las relaciones con el cliente y trabajos específicos, diseñados para dar a la firma
una garantía razonable de que sólo se emprenderán o continuarán relaciones y
compromisos cuando la firma:
Tiene las competencias para realizar el trabajo y las capacidades, incluyendo tiempo y
recursos; para realizarlo;
Puede cumplir con los requerimientos éticos relevantes; y
Ha considerado la integridad del cliente y no tiene información que lo lleve a concluir
que al cliente le falta integridad”7.
Principio clave adaptado a la EFS:
La EFS debe establecer políticas y procedimientos diseñados a dar garantía razonable de
que la EFS solo emprenderán auditorías y otros trabajos cuando la EFS:
(a) Tiene las competencias para realizar el trabajo y las capacidades, incluyendo tiempo y
recursos; para realizarlo;
(b) Puede cumplir con los requerimientos éticos relevantes; y
(c) Ha considerado la integridad del cliente que esta siendo auditado y como tratar los
riesgos a la calidad que surgen.
Las políticas y procedimientos deben reflejar la gama de trabajos realizados por la EFS. En
muchos casos las EFS tienen poca discreción acerca del trabajo que se va a realizar. Las EFS
realizan trabajos en tres amplias categorías:
Trabajo que requieren realizar debido a su mandato y estatuto y de los cuáles no
tiene otra opción más que realizarlo;
Trabajo que requieren realizar debido a su mandato, pero donde ellos pueden tener
discreción acerca del programa, alcance y tipo de trabajo;
Trabajo que ellos pueden escoger realizar.
7 ISQC-1, párrafo 26.
10
Este principio tiene la siguiente aplicación en el contexto de las EFS:
Para todas las auditorías y otros trabajos, las EFS deben establecer sistemas para
considerar los riesgos a la calidad que surgen al realizar el trabajo. Estos variarán,
dependiendo en el tipo de trabajo en consideración.
Las EFS normalmente operan con recursos limitados. Las EFS deben considerar el
programa de trabajo y si cuenta con los recursos necesarios para realizar la gama de
trabajos al nivel de calidad deseado. Para alcanzar esto, la EFS debe establecer un
sistema que priorice los trabajos tomando en cuenta la necesidad de mantener la
calidad. Si los recursos no son suficientes y existe un riesgo a la calidad, la EFS debe
tener procedimientos para asegurarse que la falta de recursos es traído a la atención
del jefe de la EFS y, cuando sea apropiado, a la legislatura o autoridad presupuestaria.
Las EFS deben valorar si existe un riesgo material a la independencia, en conformidad
con la ISSAI 10. Cuando este riesgo es identificado, la EFS debe determinar y
documentar como planea enfrentar este riesgo y asegurarse que existe un proceso de
aprobación y que está apropiadamente documentado.
Donde la integridad de la organización que esta siendo auditada esta en duda, la EFS
debe considerar y enfrentar los riesgos que surgan sobre la capacidad del personal, el
nivel de los recursos, y cualquier problema ético que se puede presentar en la
organización que está siendo auditada.
Las EFS deben considerar procedimientos para aceptar y continuar trabajos de
discreción, incluyendo trabajo externalizado. Si la EFS decide realizar este trabajo, la
EFS debe asegurarse que la decisión este debidamente aprobada y que los riesgos
involucrados son valorados y enfrentados.
Las EFS deben asegurarse que los procedimientos para enfrentar los riesgos son
adecuados para mitigar estos riesgos al realizar el trabajo. La respuesta a los riesgos
puede incluir:
- determinar cuidadosamente el alcance del trabajo que se
realizará;
- asignar personal más experimentado al que usualmente se
asignaría; y
- realizar una revisión de la calidad del trabajo de una manera más
meticulosa antes de que el reporte sea emitido.
Las EFS deben considerar reportar cualquier asunto específico que ordinariamente
podría resultar en la EFS no aceptando la auditoría u otro trabajo.
11
(d) Elemento 4: Recursos humanos
ISQC-1 Principios claves:
“La entidad debe establecer políticas y procedimientos diseñados a dar a la firma una
garantía razonable de que tiene suficiente personal competente, capaz y comprometido a
los principios éticos necesarios para:
(a) realizar trabajos en conformidad con los estándares profesionales, la ley y los
requerimientos regulatorios correspondientes; y
(b) permitir a la firma o socio emitir reportes apropiados a las circunstancias”8.
Principio clave adaptado a la EFS:
La EFS debe establecer políticas y procedimientos diseñados a dar a la firma una garantía
razonable de que tiene suficientes recursos (personal, y cuando sea relevante, cualquier
personal contratado para realizar trabajos para la EFS) competentes, capaz y
comprometidos a los principios éticos necesarios para:
(a) Realizar trabajos en conformidad con los estándares profesionales, la ley y los
requerimientos regulatorios correspondientes; y
(b) Permitir a la EFS emitir reportes apropiados a las circunstancias.
Este principio tiene la siguiente aplicación en el contexto de las EFS:
Las EFS pueden utilizar diferentes fuentes para asegurarse que su personal tiene las
habilidades y experiencia necesaria para realizar la gama de trabajo, sea este trabajo
realizado por el personal de la EFS o externalizado.
Las EFS deben asegurarse que las responsabilidades son claramente asignadas en
todos los trabajos que realiza la EFS.
Las EFS deben asegurarse que el personal, y el personal contratado para realizar
trabajos para la EFS (por ejemplo, de empresas de contabilidad o firmas de
consultoría), tiene las competencias colectivas necesarias para realizar el trabajo.
Las EFS deben reconocer que en ciertas circunstancias, su personal, y cuando sea
apropiado, el personal contratado para realizar trabajos para la EFS, puede tener
obligaciones personales de cumplir con los requisitos de los cuerpos profesionales
además de los requisitos de las EFS.
8 ISQC-1, párrafo 29.
12
Las EFS deben asegurarse que las políticas y procedimientos de los recursos humanos
dan el énfasis apropiado a la calidad y al compromiso de la EFS a los principios éticos.
Estas políticas y procedimientos relacionados a los recursos humanos incluyen:
- reclutamiento (y las competencias del personal reclutado);
- evaluación del desempeño;
- desarrollo Professional;
- capacidades (incluyendo suficiente tiempo para realizar tareas
con el estándar de calidad requerido);
- competencias (incluyendo ambos, éticas y competencias
técnicas);
- desarrollo en la carrera;
- promoción;
- compensación; y
- la estimación de las necesidades del personal.
Las EFS deben promover el aprendizaje y el entrenamiento de todo el personal para
favorecer el desarrollo profesional y ayudar a asegurar que el personal está entrenado
en los desarrollos actuales en la profesión.
Las EFS deben asegurar que el personal, y el personal contratado para realizar los
trabajos para la EFS, tienen el apropiado conocimiento del ambiente del sector
público en que las EFS opera, y un buen entendimiento del trabajo que requiere
realizar.
Las EFS deben asegurarse que la calidad y los principios éticos de las EFS son los
conductores claves de las evaluaciones de desempeño del personal y de cualquier
personal contratado para realizar los trabajos para la EFS.
(e) Elemento 5: Realización de auditorías y otros trabajos
ISQC-1 Principios claves:
“La entidad debe establecer políticas y procedimientos diseñados a dar una garantía
razonable de que el trabajo es realizado en conformidad con los estándares profesionales y
los correspondientes requisitos legales y regulatorios, y que la entidad o el socio emita
reportes que son apropiados a las circunstancias. Estas políticas y procedimientos deben
incluir:
(a) asuntos relevantes que promuevan consistencia en la calidad de los trabajos de
desempeño;
13
(b) responsabilidades de supervisión; y
(c) responsabilidades de revisión”9.
Principio clave adaptado a la EFS:
La EFS debe establecer políticas y procedimientos diseñados a dar a la firma una
garantía razonable que sus auditorías y otros trabajos son realizados en
conformidad con los estándares profesionales y los correspondientes requisitos
legales y regulatorios, y que la EFS emita un reporte apropiado a las circunstancias.
Estas políticas y procedimientos deben incluir:
(a) Asuntos relevantes que promuevan consistencia en la calidad del trabajo
realizado;
(b) Responsabilidades de supervisión; y
(c) Responsabilidades de revisión”.
Este principio tiene la siguiente aplicación en el contexto de las EFS:
Las EFS deben asegurarse que existen políticas, procedimientos y herramientas, como
las metodologías de auditoría, para realizar la gama de trabajos que la EFS es
responsable, incluyendo el trabajo externalizado10.
Las EFS debe establecer políticas y procedimientos que incentiven alta calidad y
desincentiven o prevengan la baja calidad. Esto incluye crear un ambiente que
incentive el correcto uso del juicio profesional y promuevan mejoras a la calidad. Todo
el trabajo realizado debe estar sujeto a revisiones como medio para contribuir a la
calidad y promover el aprendizaje y el desarrollo del personal.
Cuando surjan asuntos difíciles o controversiales, las EFS deben asegurarse que los
recursos apropiados (como expertos técnicos) son usados para resolver estos
asuntos.
Las EFS deben asegurarse que se sigan todos los estándares relevantes en todos los
trabajos que se realizan, y si hay algún estándar que no es seguido, las EFS deben
asegurarse que las razones por las cuales el estándar no se siguió estén debidamente
documentadas y aprobadas.
Las EFS deben asegurarse que cualquier diferencia de opinión en la EFS este
claramente documentada y que se resuelva antes que el reporte sea emitido por la
EFS.
9 ISQC-1, párrafo 32.
10 Consistente con la ISSAI 20, Principio 3.
14
Las EFS deben asegurarse que existen políticas y procedimientos (como la supervisión
y revisión de responsabilidades y revisiones de control de calidad en los
compromisos) en todo el trabajo que realizan (incluyendo auditorías financieras,
auditorías de desempeño, y auditorías de cumplimiento). Las EFS deben de reconocer
la importancia de las revisiones de control de calidad en los compromisos y, cuando
se realicen revisiones de control de calidad, cualquier asunto reportado debe estar
satisfactoriamente resuelto antes que se emita el reporte de la EFS.
Las EFS deben asegurarse que existen procedimientos para la autorización de la
emisión de reportes. Algunos trabajos de las EFS pueden ser muy complejos y de
mucha importancia y que requieren un intensivo control de calidad antes de que el
reporte sea emitido.
Si las EFS están sujetas a procedimientos específicos en relación a reglas de evidencia
(como las EFS que tienen role judicial), deben asegurarse que esos procedimientos
son seguidos consistentemente.
Las EFS deben de tener como objetivo el tratar de completar las auditorías y todos sus
otros trabajos a tiempo, reconociendo que el valor del trabajo de la EFS disminuye si
el trabajo no se realiza a tiempo.
Las EFS deben asegurarse que todo el trabajo realizado es documentado a tiempo (por
ejemplo, los papeles de trabajo de auditoría).
Las EFS deben asegurarse que toda la documentación (por ejemplo, los papeles de
trabajo de auditoría), es propiedad de la EFS, sin importar si el trabajo fue realizado
por personal de la EFS o personal externalizado.
Las EFS deben asegurarse que se han seguido los apropiados procedimientos para
verificar los resultados de la auditoría para asegurarse que los que están directamente
afectados por el trabajo de la EFS tengan la oportunidad de comentar sobre los
resultados antes de que el trabajo se finalice; sin importar si el trabajo fue realizado
por personal de la EFS o personal externalizado.
Las EFS deben asegurarse que toda la documentación es retenida por los períodos
especificados en las leyes, las regulaciones, los estándares y pautas profesionales.
Las EFS deben buscar un balance entre la confidencialidad de la documentación y la
necesidad de ser transparente y de rendir cuentas. Las EFS deben establecer
procedimientos transparentes para tratar con peticiones de información en
conformidad con la legislación en su jurisdicción.
(f) Elemento 6: Monitoreo
ISQC-1 Principios claves:
“La entidad debe establecer un proceso de monitoreo diseñados a proveer garantía
razonable que las políticas y procedimientos relacionados con el sistema de control de
calidad son relevantes, adecuados y están operando efectivamente. Este proceso:
15
(a) Deber incluir una consideración y la evaluación progresivas del sistema de control
de calidad de la empresa incluyendo, en una manera cíclica, la inspección de por lo
menos un compromiso completado por cada socio;
(b) Requiere que el proceso de monitoreo sea asignado a un socio o socios o a otras
personas con experiencia y autoridad suficientes y apropiadas en la empresa para
asumir esta responsabilidad; y
(c) Requiere que los involucrados en el compromiso o en la revisión del control de
calidad del compromiso se involucren en la inspección del compromiso11.
Principio clave adaptado a la EFS:
La EFS debe establecer un proceso de monitoreo diseñados a proveer garantía razonable
que las políticas y procedimientos relacionados con el sistema de control de calidad son
relevantes, adecuados y están operando efectivamente. Este proceso:
(a) Deber incluir una consideración y la evaluación progresiva del sistema de
control de calidad de la EFS, incluyendo la revisión de una muestra de trabajo
completado a través de la gama de trabajos realizados por la EFS.
(b) Requiere que el proceso de monitoreo sea asignado a un individuo o
individuos con experiencia y autoridad suficientes y apropiadas a la empresa para
asumir esta responsabilidad; y
(c) Requiere que los involucrados en la revisión sean independientes (por
ejemplo, que ellos no hayan participado en el trabajo ni cualquier revisión de
control de calidad del trabajo).
Este principio tiene la siguiente aplicación en el contexto de las EFS:
Las EFS deben asegurarse que el sistema de control de calidad incluya un monitoreo
independiente de la gama de controles en la EFS (usando personal que no este
involucrado en realizar el trabajo).
Si el trabajo es externalizado, la EFS debe buscar confirmación que las empresas
contratadas tengan sistemas de control de calidad efectivos.
Las EFS deben asegurarse que los resultados del monitoreo del control de calidad son
reportados al jefe de la EFS en una manera oportuna, para permitir al jefe de la EFS
tomar las debidas acciones.
11 ISQC-1, párrafo 48.
16
Cuando sea apropiado, la EFS debe considerar comprometerse con otra EFS, u otra
entidad a como sea conveniente, para realizar una revisión independiente del sistema
de control de calidad en general (como la revisión de un colega)12.
Cuando se apropiado, las EFS pueden considerar otros medios para monitorear el
sistema del control de calidad, los cuales pueden incluir, pero no estar limitados a:
- revisión académica independiente;
- revisiones de seguimiento de las recomendaciones; o
- comentarios de las organizaciones auditadas (por ejemplo,
cuestionarios contestados por el cliente).
Las EFS deben asegurarse que existen procedimientos para tratar con quejas y
alegaciones sobre la calidad del trabajo realizado por la EFS.
Las EFS deben considerar si hay requerimientos legislativos u otros requerimientos
para publicar los reportes de monitoreo o para responder a quejas o alegaciones
públicas relacionadas con el trabajo realizado por la EFS13.
7 Interpretación de términos
Si una EFS quiere asegurarse que cumple con la ISQC-1 (y con la ISAs) debe
considerar los requerimientos de la ISQC-1. La ISQC-1 incluye definiciones de
diferentes términos. En la aplicación de la ISSAI 40, los siguientes términos usados
en la ISQC-1 pueden ser interpretados de la siguiente manera:
“Firma” El término firma se refiere a toda la EFS. Dónde el jefe de la EFS
designa a un empleado, un contador certificado, una firma de
auditoría, u otra persona calificada y conveniente para llevar a
cabo auditorías u otro trabajo, la “firma” se refiere a la
combinación del jefe de la EFS, la persona asignada a realizar
las auditorías u otros trabajos, y cuando sea apropiado, la
firma de la cual la persona asignada es un socio, miembro o
empleado.
“Compromiso” El término “compromiso” se refiere al trabajo llevado acabo al
ejercitar las funciones de la EFS (por ejemplo, la auditoría
financiera bajo la jurisdicción relevante de cada una de las
EFS).
“Socio del
compromiso”
El término “socio del compromiso” se refiere al empleado,
contador certificado, u otra persona certificada y conveniente
que es responsable por el trabajo, y por el reporte que es
12 En conformidad con ISSAI 20, Principio 9.
13 En conformidad con ISSAI 30, Código de Ética, párrafo 11.
17
emitido a nombre del jefe de la EFS. In conformidad con las
políticas y procedimientos de la EFS.
“Cliente” El término “cliente” se refiere al la entidad pública o entidades
sujetas a la auditoría o auditorías de la EFS (por ejemplo, la
organización auditada).
La guía en esta ISSAI es consistente con estos términos.
INTOSAI GOV 9100Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
Guía para las normas de control interno del sector público
I N T O S A I
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI General Secretariat - RECHNUNGSHOF (Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2 A-1033 VIENNA
AUSTRIA Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
Guía paralas normas de control internodel sector público
iii
iv
Secretariado general de INTOSAI - RECHNUNGSHOF(Tribunal de Cuentas de Austria)
DAMPFSCHIFFSTRASSE 2A-1033 VIENA
AUSTRIATel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-mail: [email protected]:http://www.intosai.org
ContenidoPrefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1 Control Interno . . . . . . . . . . . . . . . . . . . . . . . . . . 61.1 Definición . . . . . . . . . . . . . . . . . . . . . . . . . . . 61.2 Limitaciones de la efectividad del control interno . . . . . . 12
2 Componentes del control interno . . . . . . . . . . . . . . . . . 132.1 Entorno de control . . . . . . . . . . . . . . . . . . . . . . 182.2 Evaluación del riesgo . . . . . . . . . . . . . . . . . . . . . 222.3 Actividades de control . . . . . . . . . . . . . . . . . . . . 29
2.3.1 Actividades de control de información tecnológica . . 342.4 Información y comunicación . . . . . . . . . . . . . . . . . 392.5 Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3 Roles y Responsabilidades . . . . . . . . . . . . . . . . . . . . 49
Anexo 1 Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . 55Anexo 2 Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . 63
v
vi
Guía paralas normas de control internodel sector públicoPrefacio
La Guía de INTOSAI de 1992 para las normas de control interno fueconcebida como un documento vital que refleja la visión de que sedeben promover las normas para el diseño, implantación y evaluacióndel control interno. Esta visión involucra un esfuerzo continuo por man-tener esta guía actualizada.
En la 17 reunión INCOSAI (Seúl 2001) se reconoció la existencia deuna fuerte necesidad de actualizar la guía de 1992 y se acordó que debíaser considerado para esta tarea el marco integrado para control internodel Committee on Sponsoring Organisations of the Treadway Commis-sion’s (COSO). Los esfuerzos de reuniones subsecuentes resultaron enrecomendaciones adicionales cuyas directrices se dirigen a valores éticosy dan más información sobre los principios generales de las actividadesde control relacionadas con el procesamiento de la información. La guíarevisada toma en cuenta estas recomendaciones y debe facilitar la com-prensión de nuevos conceptos relacionados con el control interno.
Esta guía revisada también debe ser considerada como un documentovital que deberá ser actualizada y perfeccionada suficientemente parainvolucrar el impacto de los nuevos avances, como el marco COSO Ges-tión de Riesgo de Empresa1.
Esta actualización es el resultado del esfuerzo conjunto de los miembrosdel Comité de INTOSAI para las normas de control interno. La actualiza-ción ha sido coordinada por un grupo de trabajo conformado por los miem-bros del comité y por los representantes de las instituciones fiscalizadoras
1
1 Coso, Enterprise Risk Management Integrated Framework, www.coso.org, 2004.
superiores de Bolivia, Francia, Hungría, Lituania, Holanda, Rumania, GranBretaña, Estados Unidos y Bélgica.
Un plan de acción para la actualización de la Guía fue entregado parasu aprobación por el directorio actual en la 50° versión de su reunión(Viena, octubre 2002). El directorio actual fue informado del progresode este trabajo en la reunión 51° (Budapest, octubre 2003). El borradorfue discutido y aceptado en general por la reunión del comité en Bruse-las en febrero del 2004. Después de la reunión del comité el mencionadoborrador fue enviado a todos los miembros de la INTOSAI para sucomentario final.
Los comentarios recibidos fueron analizados y se han aportado los cam-bios estimados necesarios.
Quisiera agradecer a todos los miembros del Comité de INTOSAI paralas normas de control interno sus esfuerzos y su cooperación para reali-zar este proyecto. Se agredezca especialmente a los miembros del grupode trabajo.
La Guía para las normas de control interno del sector público serásometida a la aprobación del XVIII INCOSAI a Budapest 2004.
Franki VANSTAPELPrimer Presidente del Tribunal de Cuentas de BélgicaPresidente del Comité de INTOSAI para las normas de control interno.
2
Introducción
En 2001 la INCOSAI decidió actualizar la guía de la INTOSAI de 1992sobre las Normas de Control Interno para tomar en cuenta todos losavances significativos y recientes en control interno y para incorporarconceptualmente en el documento de la INTOSAI al Informe COSOtitulado Control Interno – marco integrado en el documento de laINTOSAI.
Implementando el modelo COSO a las directrices, el comité no sólobusca actualizar el concepto de control interno, sino que trata de contri-buir a la comprensión común del control interno en las EFS. Queda claroque este documento toma en cuenta las características del sector público.Esto motivó al comité a considerar algunos cambios y temas adicionales.
Comparado con la definición del informe COSO y con la guía de 1992,el aspecto ético de las operaciones ha sido adicionado. Su inclusión enlos objetivos del control interno está justificada, al igual que la impor-tancia de la conducta ética y la prevención y detección del fraude y lacorrupción en el sector público que han tenido mayor énfasis desde los902. Las expectativas generales son que los servidores públicos debenservir los intereses públicos con cuidado y administrar los recursospúblicos apropiadamente. Los ciudadanos deben recibir tratamientoimparcial sobre la base de la legalidad y la justicia. Por lo tanto la éticapública es un prerequisito y un soporte para la confianza pública y unaclave para el buen gobierno.
Dado que los recursos en el sector público generalmente involucrandinero público y su utilización en el interés público generalmenterequiere un cuidado especial, la importancia de la salvaguarda de losrecursos en el sector público necesita ser fortalecida.
Además, la contabilidad del presupuesto sobre la base del efectivo siguesiendo una práctica común en el sector público pero no provee la sufi-ciente seguridad relacionada con la adquisición, uso y disposición de losrecursos. Como resultado, muchas organizaciones del sector público nosiempre tienen un inventario de sus bienes, lo cual las hace más vulne-rables. Por lo tanto, la salvaguarda de los recursos ha sido juzgada comoun objetivo importante del control interno.
2 XVI INCOSAI, Montevideo, Uruguay, 1998.
3
Así como el control interno en 1992 no estaba limitado a la visión tradi-cional del control administrativo financiero e incluía un concepto másamplio del control de la administración, este documento también resaltala importancia de la información no financiera.
Dado el extensivo uso de los sistemas de información en todas las orga-nizaciones públicas, los controles de la tecnología de la información (TI)han ido logrando cada vez mayor importancia, lo que justifica un párrafoseparado en esta guía. Los controles de la tecnología de la informaciónse relacionan con cada uno de los componentes del proceso de controlinterno de la entidad incluyendo al entorno de control, la evaluación delriesgo, las actividades de control, la información y comunicación, aligual que el seguimiento. De cualquier modo, para propósitos de presen-tación, éstos se discuten en el capítulo “actividades de control”.
El objetivo del comité es desarrollar directrices para establecer y mante-ner una control interno efectivo en el sector público. La administracióngubernamental es por lo tanto un importante destinatario de esta guía. Laadministración gubernamental puede utilizar esta guía como base para laimplantación y la ejecución del control interno en sus organizaciones.
Dado que la evaluación del control interno está generalmente aceptadacomo una norma de campo en la auditoría pública3, los auditores puedenusar las directrices como una herramienta de auditoría. La guía para lasNormas de Control Interno que comprenden el modelo COSO puede porlo tanto ser utilizada tanto por la administración gubernamental4 comoejemplo de un marco sólido de control interno para las organizaciones, ypor los auditores como herramienta para alcanzar el control interno. Decualquier modo, estas directrices no tienen la intención de sustituir a lasNormas de Auditoría del INTOSAI o cualquier otra norma relevante deauditoría.
Este documento define un marco recomendado para el control interno enel sector público y presenta una base para que el control interno puedaser evaluado. El anticipo puede ser aplicado a todos los aspectos opera-cionales de una organización. De todas maneras, no intenta limitar o
3 Normas de Fiscalización de INTOSAI.4 Personal operativo que no está específicamente mencionado como grupo clave. Pese aque son afectados por el control interno y toman acciones que juegan un papel importantedentro del control, ellos, a diferencia de la gerencia, no son los últimos responsables portodas las actividades de la organización relacionadas con el sistema de control interno. Elcapítulo 3 de esta guía describe roles y responsabilidades individuales.
4
interferir el trabajo de las autoridades relacionadas con el desarrollo dela legislación, de quiénes hacen las reglas o de quiénes tienen la potes-tad de establecer políticas en una organización.
El control interno en las organizaciones del sector público debería serentendido dentro del contexto de las características específicas de estasorganizaciones, es decir su enfoque para lograr objetivos sociales o polí-ticos; la utilización de los fondos públicos; la importancia del ciclo pre-supuestario; la complejidad de su funcionamiento (esto llama a hacer unbalance entre los valores tradicionales como la legalidad, integridad y transparencia, y los modernos valores gerenciales como eficiencia y eficacia) y el gran espectro correspondiente de su responsabilidadpública.
En conclusión, debe quedar claramente establecido que este documentoincluye directrices para las normas. La guía no provee políticas detalla-das, procedimientos o prácticas para implementar el control interno, sinoque dan un amplio marco dentro del cual las entidades pueden desarro-llar controles detallados. El comité obviamente no está en la posición defortalecer las normas.
¿Cómo se ha estructurado este documento?
En el primer capítulo, se define el concepto de control interno y sedefine su alcance. También se establecen las limitaciones del controlinterno. En el segundo capítulo, los componentes del control interno sonpresentados y discutidos. El documento termina con un tercer capítulode roles y responsabilidades.
En cada sección, los principios más importantes son presentados resumi-damente en un cuadro azulado. Informes más detallados siguen. Tam-bién se hace referencia a ejemplos concretos, que pueden encontrarse enlos anexos. Además, al final del documento hay un glosario que contienelos términos técnicos más importantes.
5
1 Control Interno1.1 Definición
6
El control interno es un proceso integral efectuado por la gerencia y elpersonal, y está diseñado para enfrentarse a los riesgos y para dar unaseguridad razonable de que en la consecución de la misión de la enti-dad, se alcanzarán los siguientes objetivos gerenciales:
• Ejecución ordenada, ética, económica, eficiente y efectiva de lasoperaciones
• Cumplimiento de las obligaciones de respondabilidad• Cumplimiento de las leyes y regulaciones aplicables• Salvaguarda de los recursos para evitar pérdidas, mal uso y daño.
El control interno es un proceso integral dinámico que se adapta con-stantemente a los cambios que enfrenta la organización. La gerencia y elpersonal de todo nivel tienen que estar involucrados en este proceso paraenfrentarse a los riesgos y para dar seguridad razonable del logro de lamisión de la institución y de los objetivos generales.
Un proceso integral
El control interno no es un hecho o circunstancia, sino una serie deacciones que están relacionadas con las actividades de la entidad. Estasacciones se dan en todas las operaciones de la entidad continuamente.Estas acciones son inherentes a la manera en la que la gerencia adminis-tra la organización. El control interno por lo tanto es diferente a la pers-pectiva que tienen algunos de él, quienes lo ven como un hecho adicio-nado a las actividades de la entidad, o como una obligación. El controlinterno debe ser incorporado a las actividades de la entidad y es másefectivo cuando se lo construye dentro de la estructura organizativa de laentidad y es parte integral de la esencia de la organización.
El control interno debe ser diseñado desde adentro, no por encima de lasactividades. Al diseñar el control interno desde adentro, éste se vuelve
parte integrada de los procesos de planificación, ejecución y seguimientode la gerencia.
Además su concepción desde adentro tiene importantes implicacionesdesde la perspectiva del costo, añadir procedimientos de control queestán separados de los procedimientos existentes aumenta los costos.Enfocándose en las operaciones existentes y en su contribución al con-trol interno efectivo e integrando los diferentes controles en las activida-des operativas básicas, la organización puede evitar procedimientos ycostos innecesarios.
Efectuado por la gerencia y el resto del personal
La gente es la que realiza el trabajo de control interno. Éste se logra porlos individuos dentro de una organización, con lo que ellos hacen ydicen. Consecuentemente el control interno es ejecutado por la gente. Lagente debe conocer su rol, sus responsabilidades, y los límites de auto-ridad. Dada la importancia de este concepto, un capítulo completo (3) está dedicado a él.
La gente de una organización incluye a la gerencia y al resto del perso-nal. Pese a que el primer objetivo de la gerencia es la supervisión, tam-bién establece los objetivos de la entidad, y tiene la responsabilidad delconjunto del sistema de control interno. Dado que el control interno pro-vee los mecanismos necesarios para ayudar a comprender el riesgo en elcontexto de los objetivos de la entidad, la gerencia debe implementaractividades de control, realizar su seguimiento y evaluarlas. La implan-tación de estas actividades requiere de mucha iniciativa de la gerencia ycomunicación intensiva entre la gerencia y el personal. Por lo tanto, elcontrol interno es una herramienta utilizada por la gerencia y directa-mente relacionada con los objetivos de la entidad como tal, la mismagerencia es un elemento importante del control interno. De todas mane-ras, todo el personal en la organización juega un papel importante en lle-varlo a cabo.
Del mismo modo, el control interno es efectuado por la naturalezahumana. La guía reconoce que la gente no siempre comprende, comu-nica y actúa consistentemente. Cada individuo lleva a su lugar de trabajouna historia única y sus propias habilidades técnicas, teniendo así dife-rentes necesidades y prioridades. Estas realidades afectan, y son afec-tadas, por el control interno.
7
En consecución de la misión de la Institución
Cualquier organización está en primer lugar preocupada por la con-secución de su misión. Las instituciones existen para un fin – el sec-tor público se encuentra generalmente preocupado con la prestaciónde un servicio y por unos resultados beneficiosos para el interéspúblico.
Dar respuesta a los riesgos
Cualquiera que sea la misión, su consecución se enfrentará a toda clasede riesgos. La tarea de la gerencia es identificar y dar respuesta a estosriesgos cara a maximizar la posibilidad de alcanzar la consecución de lamisión. El control interno puede ayudar a enfrentarse a estos riesgos, sinembargo sólo puede proporcionar una garantía razonable sobre el logrode la misión y de los objetivos generales.
Provee seguridad razonable
No importa cuan bien diseñado y ejecutado esté, el control interno nopuede dar a la gerencia seguridad completa en relación al logro de losobjetivos generales. En su lugar, las directrices dicen que se puede espe-rar un nivel “razonable” de seguridad.
La seguridad razonable equivale a un nivel satisfactorio de confianzabajo ciertas consideraciones dadas de costo, beneficio y riesgo. Deter-minar cuanta seguridad es razonable requiere de juicio. Al ejercitar lacapacidad de juicio, los ejecutivos deben identificar los riesgos inheren-tes de operaciones y los niveles aceptables de riesgo bajo diversas cir-cunstancias, además de fijar el riesgo tanto cuantitativa como cualitati-vamente.
La seguridad razonable refleja la noción sobre la incertidumbre y riesgosfuturos, mismos que nadie puede predecir con total certeza. Ademásexisten factores que están fuera de control o de la influencia de la orga-nización y pueden afectar la habilidad para lograr los objetivos. Laslimitaciones también son resultado de las siguientes realidades: el juiciohumano al tomar las decisiones puede ser erróneo; las crisis puedendarse por pequeños errores; los controles pueden ser eludidos si dos o
8
más miembros así lo deciden, o la gerencia puede eludir el sistema decontrol interno. Además, los compromisos en el sistema de controlinterno reflejan el hecho de que los controles tienen un costo. Estas limi-taciones hacen que la gerencia no pueda tener seguridad absoluta de quelos objetivos sean alcanzados.
La seguridad razonable reconoce que el costo del control interno nodebe exceder los beneficios que de él deriven. Las decisiones sobre larespuesta al riesgo y la implantación de controles necesitan considerarlos costos y los beneficios relativos. El costo se refiere a la medidafinanciera de recursos consumidos para lograr un propósito específicoy a la medida económica de una oportunidad perdida, como ser elretraso en las operaciones, una disminución en los niveles de servicioo productividad, o el bajo nivel moral de los empleados. Un beneficioes medido por el grado en el que el riesgo de no alcanzar un objetivodeterminado es eliminado. Los ejemplos incluyen un incremento en laprobabilidad de detectar el fraude, desperdicio, abuso, o error, previ-niendo una actividad inapropiada, o aumentando el cumplimiento delas regulaciones.
El diseño de los controles internos que son benéficos respecto de suscostos al reducir el riesgo hasta un nivel aceptable, requiere que losgerentes entiendan claramente el conjunto de los objetivos a ser alcan-zados. Si esto no es así, los gerentes gubernamentales pueden diseñarsistemas con excesivos controles en un área operativa que pueden afec-tar negativamente otras operaciones. Por ejemplo, los empleados pue-den tratar de evadir los procedimientos, las operaciones ineficientespueden causar retrasos, el exceso de procedimientos puede anquilosarla creatividad de los empleados o la capacidad de solucionar problemasy perjudicar la calidad de los servicios que se presta a los beneficia-rios. Por ello, los beneficios derivados de los excesivos controles en unárea pueden ser anulados por el incremento de costos en otras activi-dades.
Sin embargo, también se deben hacer consideraciones cuantitativas,puede por ejemplo ser importante el tener los controles adecuados sobrelas transacciones en unidades monetarias de alto o bajo riesgo, talescomo los salarios, viajes y gastos de representación. Los costes de loscontroles correspondientes pueden parecer excesivos en relación a lascantidades de dinero que se manejan en el conjunto de los gastos guber-namentales, pero pueden ser críticos a la hora de la confianza de los ciu-dadanos en los gobiernos y su administración.
9
Logro de objetivos
El control interno está dirigido hacia el logro de una serie de objetivosgenerales, objetivos separados pero al mismo tiempo integrados. Estosobjetivos generales están implantados a través de numerosos sub-objeti-vos específicos, funciones, procesos y actividades.
Los objetivos generales son:
• Ejecutar las operaciones de manera ordenada, ética, económica, efi-ciente y efectiva
Las operaciones de una entidad deben ser ordenadas, éticas, económicas,eficientes y efectivas. Tienen que ser consistentes con la misión de laorganización.
Ordenadamente significa que las operaciones están bien organizadas, esdecir, metódicamente.
La ética se refiere a los principios morales. La importancia de la con-ducta ética y la prevención y detección de fraude y corrupción en elsector público ha tenido más énfasis desde los noventa. Generalmentese espera que los servidores públicos deban servir a los intereses públi-cos con justicia y que administren adecuadamente los recursos públi-cos. Los ciudadanos deberán recibir tratamiento imparcial basado en lalegalidad y la justicia. Por tal motivo la ética pública es un prerrequi-sito y un soporte para los dineros públicos y una clave para su buengobierno.
Tratamiento económico sin desperdicio ni extravagancia. Significa uti-lizar una correcta cantidad de recursos, de la calidad correcta, entregadaen el lugar y el momento precisos al costo mas bajo.
La eficiencia se refiere a los recursos utilizados para lograr los objetivos.Significa poner el mínimo de recursos para lograr una cantidad y calidadde resultados, o lograr los máximos resultados con una determinada cali-dad y cantidad de recursos.
La eficacia se refiere al logro de los objetivos o al grado en el que losresultados de una actividad cumplen con el objetivo o los efectos previs-tos de dicha actividad.
10
• Satisfacer las obligaciones de respondabilidad
Respondabilidad es el proceso en el que las organizaciones públicas ylos individuos que las integran se hacen responsables por sus decisionesy acciones, incluyendo su salvaguarda de recursos públicos, imparciali-dad, y todos los aspectos de su desempeño.
El proceso se ejecuta desarrollando, manteniendo, y facilitando informa-ción financiera y no financiera de confianza e importancia, y a través dela presentación de esta información en informes hechos oportunamentedestinados a interesados internos y externos.
La información no financiera puede estar relacionada con la economía,eficiencia y eficacia de las políticas y operaciones (información sobre laactuación), y el control interno y su efectividad.
• Cumplir con las leyes y regulaciones
Las organizaciones requieren el cumplimiento de muchas leyes y regu-laciones. En las organizaciones públicas las leyes y regulaciones orde-nan la obtención y gasto del dinero público y la manera de operar. Losejemplos incluyen la ley de presupuesto, tratados internacionales, leyessobre la correcta administración, ley de contabilidad, ley de derechosciviles y protección del medio ambiente, regulaciones sobre los ingre-sos por impuestos y acciones que evitan el fraude y corrupción.
• Salvaguarda de recursos contra pérdida por desperdicio, abuso, malaadministración, errores, fraude e irregularidades.
Si bien el cuarto objetivo puede ser visto como una subcategoría del pri-mero (operaciones ordenadas, éticas, económicas, eficientes y efectivas),la importancia de la salvaguarda de los recursos del sector público nece-sita ser fortalecida. Esto se debe a que los recursos en el sector públicogeneralmente involucran dinero público y su utilización en el interéspúblico generalmente requiere cuidado especial. Además, la contabilidaddel presupuesto en base de efectivo, práctica que sigue siendo muycomún en el sector público, no provee suficiente seguridad relacionadacon la adquisición, utilización y disposición de los recursos. Como resul-tado, las organizaciones en el sector público no siempre tienen registrosde sus activos, lo que las hace más vulnerables. Por tal motivo, se debeadoptar controles en cada una de las actividades relacionadas con laadministración de los recursos de la entidad, desde la adquisición hastala disposición.
11
Otros recursos tales como la información, fuentes de documentación yarchivos de contabilidad también están en peligro de ser robados, malutilizados o destruidos. La salvaguarda de ciertos recursos y archivos seha vuelto cada vez más importante desde la llegada de los sistemas decomputación. La información sensible almacenada en medios de compu-tación puede ser destruida o copiada, distribuida y mal usada, si no setiene el suficiente cuidado como para protegerla.
12
1.2 Limitaciones de la efectividad del control interno5
Un sistema de control interno efectivo, sin importar cuan bien concebidoy administrado pueda ser, puede dar sólo una seguridad razonable –noasí absoluta– a la gerencia sobre el logro de los objetivos de la entidad osobre su supervivencia. Puede dar información gerencial sobre los pro-gresos de la entidad, o la ausencia de los mismos, hacia el logro de losobjetivos. Pero el control interno no puede cambiar una gerencia inhe-rentemente mala por una buena. Es más, los cambios en las políticas oprogramas gubernamentales, las condiciones demográficas o económicasestán típicamente fuera del control de la gerencia.
Un efectivo sistema de control interno reduce la probabilidad de noalcanzar los objetivos. De cualquier manera, siempre habrá riesgo de queel control interno sea diseñado de manera deficiente o falle en operarcomo se espera.
Dado que el control interno depende del factor humano, es sujeto a lasdebilidades en el diseño, errores de juicio o interpretación, mala com-prensión, descuido, fatiga, distracción, colusión, abuso o excesos.
Otro factor limitante es que el diseño del sistema de control interno seenfrente a la disminución de recursos. Los beneficios de los controlesdeben ser considerados consecuentemente en relación a su costo. Mante-ner un sistema de control interno que elimine el riesgo de pérdida no esrealista y probablemente costaría mas que los beneficios derivados. Aldeterminar si un control particular debe o no ser diseñado, la probabili-dad de que exista un riesgo y el efecto potencial de éste en la entidaddeben ser considerados junto con los costos relacionados a la implanta-ción del nuevo control.
Los cambios organizacionales y la actitud gerencial tienen un profundoimpacto en la eficacia del control interno y el sistema en el que opera el
5 Las limitaciones en la efectividad del control interno tienen que ser establecidas paraevitar expectativas exageradas debido a la mala comprensión de su alcance.
13
El control interno no puede por sí mismo asegurar el logro de los obje-tivos generales definidos anteriormente.
personal. Por ello, la gerencia necesita revisar y actualizar los controlescontinuamente, comunicar los cambios al personal, y dar el ejemplo conla adhesión a estos controles.
14
2 Componentes del controlinterno
15
El control interno comprende cinco componentes interrelacionados:
• Entorno de control• Evaluación del riesgo• Actividades de control• Información y comunicación• Seguimiento
El control interno está diseñado para proveer seguridad razonable de quelos objetivos generales de la entidad están siendo alcanzados. Por ello laexistencia de objetivos claros son un prerrequisito para un proceso efec-tivo de control interno.
El entorno de control es la base para el sistema de control interno en suconjunto. Da la disciplina y la estructura además de un clima que influyeen la calidad del control interno en su conjunto. Tiene una influenciageneral en la manera en la que se establecen las estrategias y objetivos yen la manera en que las actividades de control son diseñadas.
Habiendo establecido objetivos claros y un entorno de control efectivo,una evaluación de los riesgos que enfrenta la entidad en la búsqueda delograr su misión y sus objetivos determina una base para desarrollar unaapropiada respuesta al riesgo.
La mejor manera de mitigar el riesgo es a través de actividades de con-trol interno. Las actividades de control pueden ser preventivas y/o detec-tivas. Las acciones correctivas son necesarias para complementar lasactividades de control interno con la intención de lograr los objetivos.Las actividades de control y las acciones correctivas deben proveer valorpor dinero. Su costo no debe exceder el beneficio que de ellas resulte(costo efectividad).
Información y comunicación efectivas son vitales para que una entidadconduzca y controle sus operaciones. La gerencia de una entidad
requiere comunicación relevante, confiable, correcta y oportuna relacio-nada con los eventos internos, así como con los externos. Además, lainformación es necesaria en toda la entidad para que ésta logre sus obje-tivos.
Finalmente, dado que el control interno es una actividad dinámica quetiene que ser adaptada continuamente según los cambios y riesgos que laentidad tenga que enfrentar, el seguimiento del sistema de controlinterno es necesario para procurar a asegurar que el control interno estéa tono con los objetivos, el entorno, los recursos y el riesgo.
Estos componentes definen un enfoque recomendable para el controlinterno en el gobierno y dan las bases sobre las cuales se puede evaluarel control interno. Estos componentes aplican a todos los aspectos de lasoperaciones de una organización.
Esta guía provee un marco general. Cuando sea implementada, la geren-cia será responsable de desarrollar las políticas más detalladas y las prác-ticas y procedimientos para satisfacer las operaciones de su organiza-ción, para asegurar que éstas sean hechas como parte integral de esasoperaciones.
Relación entre objetivos y componentes
Existe una relación directa entre los objetivos que representan lo que unaentidad está tratando de conseguir y los componentes del control internoque representan cómo se pueden alcanzar esos objetivos. Esta relaciónestá representada en una matriz tridimensional que tiene la forma de uncubo.
Los cuatro objetivos – respondabilidad (e información), cumplimiento(con las leyes y regulaciones), operaciones (ordenadas, éticas, económi-cas eficientes y efectivas) y salvaguarda de recursos, están representadospor las columnas verticales, los cinco componentes están representadospor las filas horizontales y la organización o entidad y sus departamen-tos están representados por la tercera dimensión de la matriz.
16
Cada fila de los componentes “hace un corte transversal” y aplica a cadauno de los cuatro objetivos. Por ejemplo, la información financiera y nofinanciera generada de fuentes internas y externas, que pertenece al com-ponente de información y comunicación, son necesarias para manejar lasoperaciones, emitir informes y cumplir con los propósitos de responda-bilidad y para cumplir con las leyes aplicables.
Del mismo modo, si vemos los objetivos, cada uno de los cinco compo-nentes es relevante a cada objetivo. Tomando un objetivo, como laeficiencia y eficacia de las operaciones, queda claro que cada uno de loscomponentes es aplicable e importante para su logro.
El control interno no sólo es relevante para toda la entidad, sino para susunidades individuales. Esta relación está representada por la terceradimensión, misma que representa organizaciones, áreas y unidades. Porello uno puede enfocarse hacia cualquiera de las celdas de la matriz.
17
Mientras el marco del control interno es relevante y aplicable a todas lasorganizaciones, la manera en la que la gerencia lo aplica variará amplia-mente de acuerdo con la naturaleza de la entidad, y depende de ciertonúmero de factores específicos. Estos factores incluyen la estructuraorganizacional, el perfil del riesgo, el ambiente operativo, el tamaño, lacomplejidad, las actividades y grado de regulación, entre otros. Conside-rando la situación específica de cada entidad, la gerencia deberá formu-lar una serie de alternativas relacionadas con la complejidad de los pro-cesos y las metodologías desplegadas para aplicar los componentes delmarco del control interno.
A continuación, cada uno de los componentes antes mencionados estápresentado de manera concisa con comentarios adicionales.
18
2.1 Entorno de control
Integridad personal y profesional, y valores éticos de la gerencia ydel personal
La integridad personal y profesional y los valores éticos de la gerencia ydel personal determinan sus preferencias y sus juicios de valor, mismosque se traducen en las normas de conducta. Deben observar una actitudde apoyo hacia el control interno todo el tiempo en la organización.
Cada persona involucrada con la organización – entre los gerentes ylos empleados – tiene que mantener y demostrar integridad personal y
19
El entorno de control establece el tono de una organización, teniendoinfluencia en la conciencia que tenga el personal sobre el control. Es elfundamento para todos los componentes de control interno, dando dis-ciplina y estructura.
Los elementos del entorno de control son:
(1) La integridad personal y profesional y los valores éticos de lagerencia y el resto del personal, incluyendo una actitud de apoyohacia el control interno todo el tiempo a través de la organización;
(2) Competencia;
(3) El “tono de los superiores” (es decir la filosofía de la dirección yel estilo gerencial);
(4) Estructura organizacional;
(5) Políticas y prácticas de recursos humanos.
profesional y valores éticos, y tiene que cumplir todo el tiempo con loscódigos de conducta aplicables. Esto podría incluir la declaración deintereses financieros personales, cargos externos o regalos (por ejem-plo ser electos como oficiales o servidores públicos de mayor rango),y reportar conflictos de intereses.
Además, las entidades públicas tienen que mantener y demostrar integri-dad y valores éticos y tienen que hacerlos visibles al público en sumisión y valores centrales. Además, sus operaciones tienen que ser éti-cas, ordenadas, económicas, eficientes y efectivas. Tienen que ser con-sistentes con la misión.
Competencia
La competencia incluye el nivel de conocimiento y habilidades necesa-rias para ayudar a asegurar una actuación ordenada, ética, económica,eficaz y eficiente, al igual que un buen entendimiento de las responsabi-lidades individuales relacionadas con el control interno.
La gerencia y los empleados deben mantener un nivel de competenciaque les permita comprender la importancia del desarrollo, implantacióny mantenimiento de un buen control interno y practicar sus deberes parapoder alcanzar los objetivos generales de control interno y la misión dela entidad. Cada uno en la organización está involucrado con el controlinterno con sus responsabilidades propias y específicas.
La gerencia y su personal deben, por lo tanto, mantener y demostrar unnivel de habilidades necesarias para ayudar a asegurar un desempeñoefectivo y eficiente; y una suficiente comprensión del control interno,para efectivamente descargar sus responsabilidades.
La capacitación, por ejemplo, puede aumentar la conciencia de losservidores públicos sobre temas de control interno y ética, y ayudar adesarrollar las capacidades del servidor público para manejar dilemaséticos.
El tono de los superiores
El “tono de los superiores” (es decir la filosofía de la dirección y suestilo gerencial) refleja:
20
• Una actitud de apoyo permanente hacia el control interno, laindependencia, la competencia y de liderazgo con el ejemplo.
• Un código de conducta establecido por la gerencia y evaluacióndel asesoramiento y del desempeño que apoyen los objetivos decontrol interno y, en particular, de las operaciones de signo ético.
La actitud establecida por la alta gerencia está reflejada en todos losaspectos de las acciones de la gerencia. La entrega, el involucra-miento y el apoyo de los directores establecen “el tono de los supe-riores” que debe generar una actitud positiva y son cruciales paramantener una actitud de apoyo positiva hacia el control interno de unaorganización.
Si la alta gerencia cree que el control interno es importante, los demásmiembros de la organización sentirán esta actitud y responderán obser-vando concientemente los controles establecidos. Por ejemplo, la crea-ción de una unidad de control interno como parte del sistema de controlinterno es un signo importante por parte de la gerencia de que el controlinterno es importante.
Por otra parte, si los miembros de la organización sienten que el controlinterno no es una preocupación importante para la alta gerencia y se leda la atención a medias en vez de otorgarle un soporte profundo, es casiseguro que los objetivos de control de la gerencia no sean efectivamentealcanzados.
Consecuentemente, la demostración y la insistencia en una conductaética por parte de los ejecutivos es de vital importancia para el objetivode control interno y en particular para el objetivo de “operaciones éti-cas”. Al llevar a cabo este papel, la gerencia pondrá buen ejemplo a tra-vés de sus propias acciones y su conducta deberá reflejar lo que es ade-cuado y lo que no es aceptable. En particular, las políticas gerenciales,los procedimientos y prácticas deben promover la conducta ordenada,ética, económica, eficiente y eficaz.
La integridad de la gerencia y de su personal es, de cualquier modo,influenciada por muchos elementos. Por tal motivo, se deberá recordar alpersonal periódicamente sus obligaciones bajo un código operativo deconducta emitido por la alta gerencia. Las evaluaciones de asesoría ydesempeño también son importantes. Las evaluaciones de desempeñodeben estar basadas en una evaluación de muchos factores críticos,incluyendo el papel del empleado que efectua el control interno.
21
Estructura organizacional
La estructura organizacional de una entidad provee:
• Asignación de autoridad y respondabilidad;• Delegación de autoridad y respondabilidad • Líneas apropiadas de rendición de cuentas.
La estructura organizacional define las áreas claves de la entidad res-pecto de la autoridad y responsabilidad. La delegación de autoridad yla responsabilidad se relacionan con la manera en la que la autoridady la responsabilidad son delegadas a través de la entidad. Puede nohaber asignación de autoridad o una responsabilidad que no sea repor-tada. Por tal motivo, deben ser definidas líneas apropiadas de rendi-ción de cuentas. En circunstancias excepcionales, otras líneas de ren-dición de cuentas tienen que ser posibles además de las normales,como en aquellos casos en que la gerencia está involucrada en irregu-laridades.
La estructura organizacional puede incluir una unidad de control internoque debe ser independiente de la gerencia y que informará directamentea la autoridad de máximo nivel dentro de la organización.
La estructura organizacional también es tratada en el capítulo 3 de rolesy responsabilidades.
Políticas y prácticas de recursos humanos
Las políticas y prácticas de los recursos humanos incluyen contratación,orientación, capacitación (formal y en el sitio de trabajo), así como edu-cación, asesoramiento y evaluación, consultoría, promoción, compensa-ción y acciones correctivas.
El personal es un aspecto importante del control interno. Personal com-petente y confiable es necesario para un control efectivo. Por lo tanto,los métodos a través de los cuales se contrata a la gente, se hacen lasevaluaciones, la capacitación, la promoción y la remuneración son unaparte importante del entorno de control. Las decisiones de contratacióndeben por lo tanto contar con la seguridad de que los individuos tenganla integridad, la educación y la experiencia necesarias para llevar a cabosus tareas y de que se provea la capacitación formal, en el trabajo ysobre la ética. Los ejecutivos y los empleados que tengan una buena
22
comprensión del control interno y que tengan las intenciones de asumirresponsabilidades, son vitales para un control interno efectivo.
La administración de los recursos humanos también tiene un papel esen-cial en promover un ambiente ético desarrollando el profesionalismo yfortaleciendo la transparencia en las prácticas diarias. Esto se hace visi-ble en los procesos de reclutamiento, evaluación, y promoción, mismosque deben estar basados en méritos. Asegurarse de una apertura en losprocesos de selección publicando tanto las reglas de reclutamiento y loscargos vacantes también ayuda a tener una administración ética de losrecursos humanos.
Ejemplos
El lector se referirá a los anexos para ejemplos integrados en cada unode los objetivos y los componentes del control interno.
23
2.2 Evaluación del riesgo
24
La evaluación de riesgo es el proceso de identificación y análisis de losriesgos relevantes para el logro de los objetivos de la entidad y paradeterminar una respuesta apropiada
Implica:
(1) Identificación del riesgo:
• Relacionado con los objetivos de la entidad;• Comprensión• Incluye riesgos debidos a factores externos e internos, tanto a
nivel de la entidad como de sus actividades;
(2) Valoración del riesgo
• Estimación de la importancia del riesgo• Valoración de la probabilidad de que el riesgo ocurra
(3) Evaluación de la tolerancia al riesgo de la organización;
(4) Desarrollo de respuestas:
• Cuatro tipos de respuesta al riesgo deben ser considerados: trans-ferencia, tolerancia, tratamiento o eliminación. Entre ellos, eltratamiento del riesgo es el más relevante para esta guía porque uncontrol interno efectivo es el mejor mecanismo para tratar el riesgo.
• Los controles apropiados involucrados pueden ser de deteccióno de prevención.
Dado que las condiciones gubernamentales, económicas, industriales,regulatorias y operacionales están en constante cambio, la evaluaciónde riesgo debe ser un proceso constante. Implica la identificación yanálisis de condiciones modificadas y oportunidades y riesgos (ciclo deevaluación del riesgo) y la adaptación del control interno para dirigirlohacia los riesgos cambiantes.
Como se enfatizó en la definición, el control interno puede dar sólo unaseguridad razonable de que los objetivos de una organización sean cum-plidos. La evaluación del riesgo es un componente del control interno,juega un papel esencial en la selección de las actividades apropiadas decontrol que se deben llevar a cabo. Es el proceso de identificar y anali-zar los riesgos relevantes para la consecución de los objetivos de la enti-dad y determinar una respuesta apropiada.
Consecuentemente, establecer los objetivos institucionales es una condi-ción para la evaluación del riesgo. Los objetivos deben estar definidosantes de que la gerencia identifique los riesgos que pudieran afectar suconsecución y ejecute las acciones para administrar esos riesgos. Estosignifica tener en marcha un proceso para evaluar y dirigir el impactodel riesgo de forma que el costo sea razonable y tener personal con lashabilidades necesarias para identificar y valorar los riesgos potenciales.Las actividades de control interno son una respuesta al riesgo en tantoque están diseñadas para limitar la incertidumbre del resultado que hasido identificado.
Las entidades gubernamentales deben administrar los riesgos con mayorprobabilidad de tener impacto en la prestación de servicios y en el logrode los resultados deseados.
Identificación de riesgo
Un acercamiento estratégico a la identificación de riesgo depende de laidentificación de los riesgos que amenazan los objetivos clave organiza-cionales. Los riesgos relevantes a estos objetivos deben ser consideradosy evaluados, resultando en una pequeña cantidad de riesgos clave.
La identificación de los riesgos clave no es importante sólo para identi-ficar las áreas más importantes a las que se deben dirigir los esfuerzos devaloración, sino también para asignar responsabilidades para el manejode dichos riesgos.
El desempeño de una entidad puede estar en riesgo debido a factoresinternos o externos a nivel tanto de la entidad como de sus actividades.La evaluación de riesgos debe considerar todos los riesgos que puedandarse (incluyendo el riesgo de fraude y corrupción), por ello es im-portante que la identificación del riesgo sea muy amplia. La identifica-ción del riesgo debe ser un proceso permanente y muchas veces está
25
integrada al proceso de planificación. Es muchas veces útil considerarel riesgo con la perspectiva de una “hoja blanca de papel”, y no siem-pre relacionarlo con una visión previa. Este tipo de acercamiento faci-lita la identificación de los cambios en el mapa de riesgo6 de una orga-nización que resulte de los cambios en el entorno económico yregulatorio, condiciones internas y externas, y de la introducción deobjetivos nuevos o modificados.
Es necesario adoptar herramientas apropiadas para la identificación delriesgo. Dos de las herramientas más comúnmente utilizadas son propi-ciar una revisión de riesgos y una autoevaluación de riesgos.7
Valoración del riesgo
Para decidir cómo administrar el riesgo, es necesario no sólo identificarque un cierto tipo de riesgo existe en principio, sino valuar su impor-tancia y valorar la probabilidad de que este riesgo se dé. La metodolo-gía para analizar riesgos puede variar, en gran parte porque muchos riesgos son difíciles de cuantificar (ejemplo: riesgos de prestigio), mien-tras que otros se prestan para un diagnóstico numérico (especialmente
6 Una visión general o matriz de los riesgos clave que enfrenta una entidad o una unidadincluye el nivel de impacto (ejemplo: alto, medio, bajo) junto con la probabilidad de laocurrencia del hecho.7 Gestionar una revisión de riesgoEste es un procedimiento que va de arriba hacia abajo. Se establece un equipo para con-siderar todas las operaciones y actividades de una organización en relación con sus obje-tivos, e identificar los riesgos asociados. El equipo conduce una serie de entrevistas conmiembros clave de todos los niveles de la organización para diseñar un mapa de riesgopara toda la gama de actividades en las que se identifican los campos de las políticas,actividades y funciones que pueden ser especialmente vulnerables a riesgo, (incluyendo elriesgo de fraude y corrupción).
Autoevaluación de riesgoEste es un enfoque que va de abajo hacia arriba. Cada nivel y parte de la organizaciónestá invitada a revisar sus actividades y alimentar un diagnóstico de riesgos hacia arribade la entidad. Esto puede hacerse a través de un enfoque de documentación (con unmarco de diagnóstico establecido con cuestionarios) o a través de talleres.
Estos dos enfoques no se excluyen mutuamente y una combinación de enfoques dearriba hacia a bajo, y de abajo hacia arriba es recomendable para el proceso devaloración de riesgo y para facilitar la identificación de riesgos tanto de toda la entidad,como de cada actividad.
26
riesgos financieros). En el primer caso, una visión mucho más subjetivaes la única posibilidad, y en este caso la valoración del riesgo se acercamás a un arte que a una ciencia. Sin embargo, el uso de criterios de eva-luación de riesgos de forma sistemática disminuirá la subjetividad delproceso, ofreciendo un marco que permitirá hacer juicios de formacoherente.
Uno de los propósitos clave de la evaluación del riesgo es informar a lagerencia sobre las áreas de riesgo donde se necesita tomar una acción ysus prioridades relativas. Por tal motivo, usualmente será necesario des-arrollar algún marco de categorización para todos los riesgos, por ejem-plo, dividirlos entre alto, mediano y bajo. Generalmente es mejor mini-mizar las categorías, ya que un refinamiento exagerado puede llevar auna separación innecesaria de niveles que en verdad no puedan ser sepa-rados con claridad.
A través de tal evaluación, los riesgos pueden tener rangos para estable-cer prioridades para la gerencia y presentar información para las deci-siones gerenciales sobre los riesgos que necesitan mayor atención (porejemplo aquellos que tengan un mayor potencial de impacto y una pro-babilidad más alta de ocurrir).
Valoración de la “tolerancia” de riesgo de una organización
Un tema importante al considerar la respuesta al riesgo es la identifica-ción de la “tolerancia de riesgo” de una entidad. La tolerancia de riesgoes la cantidad de riesgos a la que una entidad está preparada a exponerseantes de juzgar que una acción deba ser tomada. Las decisiones sobre lasrespuestas al riesgo tienen que ser tomadas en forma conjunta con laidentificación de la cantidad de riesgos que pueden ser tolerados.
Tanto los riesgos inherentes como los riesgos residuales necesitan sertomados en consideración para determinar la tolerancia al riesgo. Elriesgo inherente es el riesgo en una entidad en que la ausencia de accio-nes por parte de la dirección pueda conducir a alterar la posibilidad deriesgo o su impacto. El riesgo residual es el riesgo que permanece unavez que la la gerencia responde al riesgo.
La tolerancia de riesgo de una entidad varía de acuerdo a la importanciapercibida de los riesgos. Por ejemplo, la tolerancia a la pérdida finan-ciera puede variar de acuerdo al rango de factores, incluyendo el tamañodel presupuesto relevante, la fuente de la posible pérdida, o algunos
27
otros riesgos asociados tales como la publicidad adversa. La identifica-ción de la tolerancia de riesgo es un tema subjetivo, sin embargo es unaetapa importante en la formulación de la estrategia global de riesgo.
Desarrollo de las respuestas
El resultado de las acciones arriba mencionadas puede resultar en unmapa de riesgo para la organización. Habiendo desarrollado un mapa deriesgo, la organización puede entonces considerar las respuestas apro-piadas.
Las respuestas al riesgo pueden ser divididas en cuatro categorías. Enalgunos casos, el riesgo puede ser transferido, tolerado o eliminado.8 Decualquier modo, en la mayor parte de los casos, el riesgo tendrá que seradministrado y la entidad necesitará implantar y mantener un sistemaefectivo de control interno para mantener el riesgo en un nivel aceptable.
El propósito del tratamiento no es necesariamente obviar el riesgo, sinomantenerlo bajo control. Los procedimientos que una organización esta-blece para tratar el riesgo se llaman actividades de control. La valoracióndel riesgo deberá jugar un rol central en la selección apropiada de acti-vidades de control a llevarse a cabo. Una vez más, es importante repetirque no es posible eliminar los riesgos y que el control interno puedesolamente dar seguridad razonable de que los objetivos de la organiza-ción sean cumplidos. De cualquier modo, las entidades que activamenteidentifican y manejan los riesgos tienen mejores probabilidades de estarbien preparadas para responder rápidamente cuando las cosas salen maly responder a cualquier cambio en general.
8 En el caso de algunos riesgos, la mejor respuesta puede ser transferirlos. Esto se puedehacer por seguros convencionales, dándole a una tercera parte la tarea de tomar el riesgoen una forma diferente, o puede hacerse a través de estipulaciones contractuales.
La habilidad para hacer algo para evitar los riesgos puede ser limitada, o el costo de tomaralgunas acciones puede ser desproporcionado con relación al potencial beneficio. En estoscasos, la respuesta puede ser tolerar los riesgos.
Algunos riesgos sólo serán tratados o detenidos en niveles aceptables eliminando la acti-vidad. En el sector público, la opción de eliminar las actividades puede ser severamentelimitada comparando con el sector privado. Ciertas actividades son llevadas a acabo en elsector gubernamental porque los riesgos asociados son tan grandes, que no existe otramanera en la que el resultado, que es requerido para beneficio público, sea logrado.
28
Al diseñar un sistema de control interno, es importante que las activida-des de control establecidas sean proporcionales al riesgo. Aparte delresultado extremo indeseable, normalmente es suficiente diseñar un con-trol que dé una seguridad razonable de poder limitar las pérdidas alriesgo aceptable de la entidad. Cada control tiene un costo asociado y laactividad de control debe ofrecer valor por su costo en relación al riesgoal que se está dirigiendo.
Dado que las condiciones gubernamentales, económicas, industriales,regulatorias y operativas cambian continuamente, el entorno de controlde cualquier organización también está en constante cambio, y las prio-ridades de los objetivos y la consecuente importancia de riesgos debenadaptarse y cambiar. Algo fundamental para la evaluación de riesgos esla existencia de un proceso permanente para identificar el cambio decondiciones y tomar las acciones necesarias. Los perfiles de riesgo ycontroles relacionados tienen que ser regularmente revisados y reconsi-derados para asegurar que el mapa del riesgo sigue siendo válido, que lasrespuestas al riesgo siguen siendo apropiadamente escogidas y propor-cionadas, y que los controles para mitigarlos siguen siendo efectivos enla medida en la que los riesgos cambian con el tiempo.
Ejemplos
El lector se referirá a los anexos para obtener ejemplos de cada uno delos objetivos y de los componentes.
29
2.3 Actividades decontrol
30
Las actividades de control son políticas y procedimientos establecidospara disminuir los riesgos y lograr los objetivos de la entidad.
Para ser efectivas, las actividades de control deben ser apropiadas, fun-cionar consistentemente de acuerdo a un plan a lo largo de un período,y tener un costo adecuado, que comprenda muchos aspectos, ser razo-nables y estar relacionadas directamente con los objetivos de control.
Las actividades de control se dan en toda la organización, en todos losniveles y en todas las funciones. Incluyen una gama de actividades decontrol de detección y prevención tan diversas como por ejemplo:
1. Procedimientos de autorización y aprobación;2. Segregación de funciones (autorización, procesamiento, archivo,
revisión); 3. Controles sobre el acceso a recursos y archivos;4. Verificaciones;5. Conciliaciones;6. Revisión de desempeño operativo;7. Revisión de operaciones, procesos y actividades;8. Supervisión (asignaciones, revisiones y aprobaciones, dirección y
capacitación).
Las entidades deben alcanzar un balance adecuado entre la detección yla prevención en las actividades de control.
Las acciones correctivas son un complemento necesario para las acti-vidades de control en la búsqueda del logro de los objetivos.
Las actividades de control son las políticas y procedimientos estableci-dos y ejecutados en dirección a los riesgos y para lograr los objetivos dela entidad.
Para ser efectivas las actividades de control necesitan:
• Ser apropiadas (esto significa el control correcto en el lugar correcto yproporcional al riesgo involucrado);
• Funcionar consistentemente de acuerdo a un plan a lo largo de unperíodo (esto significa que deben haber sido cumplidas cuidadosa-mente por todos los empleados involucrados en el proceso y nohechas apresuradamente cuando el personal clave esté ausente o estécon sobrecarga de trabajo);
• Tener un costo adecuado (es decir, el costo de la implantación delcontrol no debe exceder los beneficios que del proceso puedanderivarse);
• Ser entendibles y razonables y estar relacionadas directamente con losobjetivos de control.
Las actividades de control incluyen un rango de políticas y procedi-mientos tan diversos como:
1. Procedimientos de autorización y aprobación
La autorización y ejecución de transacciones y eventos deben serhechas sólo por personas que estén dentro del rango de autoridad. Laautorización es el principal medio para asegurar que sólo transaccio-nes y eventos válidos sean iniciados según las intenciones de la geren-cia. Los procedimientos de autorización, que tienen que ser documen-tados y claramente comunicados a los gerentes y empleados, debenincluir condiciones específicas y términos bajo los cuales se puedanhacer las autorizaciones. Conformidad con los términos de autoriza-ción significa que los empleados actúan en concordancia con lasdirectivas y dentro de las limitaciones establecidas por la gerencia o lalegislación.
2. Segregación de funciones (autorización, procesamiento, archivo yrevisión)
Para reducir el riesgo de error, el desperdicio o las actividades incorrec-tas y el riesgo de no detectar tales problemas, no debe haber un soloindividuo o equipo que controle todas las etapas clave de una transac-ción o evento. Mas bien, los deberes y responsabilidades deben estar
31
asignados sistemáticamente a un cierto número de individuos para ase-gurar la existencia de revisiones efectivas. Las funciones clave incluyenautorización y archivo de transacciones, procesamiento y revisión oauditoría de las transacciones. La colusión entre personas, sin embargo,puede reducir o destruir la efectividad de esta actividad de controlinterno. Una organización pequeña probablemente tiene muy pocosempleados como para llevar a cabo satisfactoriamente esta actividad decontrol. En tales casos, la gerencia debe ser consciente de este riesgo ycompensarlo con otras actividades de control. La rotación de empleadospuede ayudar a asegurar que una sola persona no sea responsable detodos los aspectos clave de las transacciones o eventos por un excesivoperíodo de tiempo. También es aconsejable que se propicien o pidanvacaciones anuales, eso ayudará a reducir el riesgo porque significa unarotación temporal de funciones.
3. Controles sobre el acceso a los recursos y archivos
El acceso a recursos o archivos debe ser limitado a individuos autoriza-dos que sean responsables por la custodia y/o utilización de los mismos.La respondabilidad en cuanto a la custodia se pone en evidencia por laexistencia de recibos, inventarios y otros registros otorgando la custodiay registrando las transferencia de la custodia. La restricción de acceso alos recursos reduce el riesgo de la utilización no autorizada o la pérdiday ayuda a lograr las directivas gerenciales. El grado de restriccióndepende de la vulnerabilidad de los recursos y el riesgo que se percibede pérdida o utilización incorrecta, y debe ser periódicamente valorado.Cuando se determina la vulnerabilidad de un bien, deben ser conside-rados su costo, portabilidad y posibilidades de cambios.
4. Verificaciones
Las transacciones y eventos significativos deben ser verificados antes ydespués de ser procesados, ejemplo: cuando los bienes son entregados,el número de bienes provistos es verificado con el número de bienespedidos. Después, el número de bienes facturados es verificado con elnúmero de bienes recibidos. El inventario es verificado también reali-zando revisiones al almacén.
5. Conciliaciones
Los archivos son conciliados con los documentos apropiados sobre unabase regular, ejemplo: los archivos de contabilidad relacionados con lascuentas bancarias son conciliados con los estados bancarios correspon-dientes.
32
6. Revisión de desempeño operativo
El desempeño de las operaciones es revisado a la luz de las normas sobreuna base regular, valorando la efectividad y eficiencia. Si los análisis degestión determinan que las acciones existentes no alcanzan los objetivoso normas establecidas, los procesos y las actividades establecidas paraalcanzar los objetivos deberían ser objeto de análisis para determinar sison necesarias mejoras.
7. Revisión de operaciones, procesos y actividades
Las operaciones, los procesos y las actividades deben ser periódicamenterevisadas para asegurar que cumplen con los reglamentos, políticas, pro-cedimientos en vigor y con el resto de lso requisitos. Este tipo de revi-sión de las operaciones actuales de una organización debe ser claramentedistinguido del seguimiento del control interno que se discute por sepa-rado en la sección 2.5.
8. Supervisión (valoración, revisión y aprobación, dirección ycapacitación)
La supervisión competente ayuda a asegurar que los objetivos de controlinterno sean alcanzados. La asignación, revisión y aprobación del trabajode un empleado comprende:
• La comunicación clara de las funciones, responsabilidades y respond-abilidad asignada a cada miembro del personal;
• La revisión sistemática del trabajo de cada miembro hasta donde seanecesario:
• La aprobación del trabajo en puntos críticos para asegurarse de quemarcha como se quiere.
La delegación de trabajo de un supervisor no debe disminuir la respon-sabilidad del supervisor por estas responsabilidades y funciones. Lossupervisores además deberán dar a los empleados la suficiente guía ycapacitación para ayudar a asegurarse de que los errores, desperdicio yactividades incorrectas sean minimizados y que las directivas de lagerencia sean entendidas y cumplidas.
La lista antes mencionada no es exhaustiva pero enumera las actividadesmás comunes de control preventivo y de detección. Las actividades decontrol 1-3 son preventivas, 4-6 son de detección, mientras que 7-8 sontanto preventivas como de detección. Las entidades deben alcanzar unbalance adecuado entre la detección y la prevención en las actividades
33
de control; por esta razón frecuentemente se utiliza una mezcla de estoscontroles para compensar desventajas particulares de controles indivi-duales.
Una vez que una actividad de control es implantada, es esencial que seobtenga seguridad sobre su efectividad. Consecuentemente, las accionescorrectivas son un complemento necesario para las actividades de con-trol. Más aún, debe quedar claro que las actividades de control formansólo un componente del control interno. Deben estar integradas a losotros cuatro componentes.
Ejemplos
El lector se referirá a los anexos para ejemplos integrados de cada unode los objetivos y sus componentes.
34
2.3.1 Actividades de control de información tecnológica
35
Los sistemas de información implican actividades de control de tipoespecífico. Por tal motivo, los controles de información tecnológicaconsisten en dos grandes grupos:
(1) Controles generalesControles generales son la estructura, políticas y procedimientosque aplican a todo un gran segmento de la información de la enti-dad y ayudan a asegurar su correcta operatividad. Estos crean elmedio en el que operan los sistemas de aplicación y los controles.
Las más grandes categorías de controles generales son: (1) progra-mas de seguridad de planificación y gerencia, (2) controles deacceso, (3) controles de desarrollo, mantenimiento y cambio en laaplicación del software, (4) controles en el sistema de software,segregación de funciones, y (6) continuidad en el servicio.
(2) Aplicación de controlesLa aplicación de controles son la estructura, políticas y procedi-mientos que aplican por separado a los sistemas de aplicación indi-vidual, y están directamente relacionados a las aplicaciones indivi-duales computarizadas. Estos controles están generalmentediseñados para prevenir, detectar y corregir errores e irregularida-des mientras la información fluye a través de los sistemas de infor-mación.
Los controles generales y de aplicación están interrelacionados yambos son necesarios para ayudar a un procesamiento adecuado ycompleto de la información. Dado que la tecnología de la informacióncambia muy rápidamente, los controles relacionados deben evolucionarconstantemente para seguir siendo efectivos.
Conforme la tecnología de la información ha ido avanzando, las organi-zaciones se han vuelto cada vez más dependientes de los sistemas com-putarizados de información para llevar a cabo sus operaciones y paraprocesar, mantener y reportar información esencial. Como resultado, laconfiabilidad y seguridad de información computarizada y la de los sis-temas que procesan, mantienen y reportan esta información son unaimportante preocupación tanto de la gerencia como de los auditores de
las organizaciones. Aunque los sistemas informáticos implican tiposespecíficos de actividades de control, la informática no es un tema decontrol independiente. Es una parte integral de la mayor parte de lasactividades de control.
La utilización de sistemas automatizados para procesar la informaciónimplica varios riesgos que necesitan ser considerados por la organización.Estos riesgos van desde, entre otras cosas, uniformar el procesamiento delas transacciones, sistemas de información que inicien las transaccionesautomáticamente, incremento potencial de errores no detectados; existen-cia, integridad y volumen de pistas de auditorías; la naturaleza del hard-ware y software utilizados y archivo de transacciones inusuales o no ruti-narias. Por ejemplo, un riesgo inherente al uniformar los procesos detransacciones es que cualquier error emergente de la programación decomputación ocurrirá consistentemente en transacciones similares. Contro-les tecnológicos efectivos de información pueden dar a la gerencia seguri-dad razonable de que la información procesada por el sistema cumple conlos objetivos de control deseados, tales como asegurar que la informaciónsea completa, ordenada en el tiempo, válida y que preserva la integridad.
Los controles tecnológicos de información consisten en dos grandesgrupos: controles generales y controles de aplicación.
Controles generales
Los controles generales están constituidos por la estructura, políticas yprocedimientos que se aplican a todos o a una gran cantidad de los sis-temas de información de una entidad, tales como minicomputadoras yredes y ayudan a asegurar su correcta operación. Crean el medio en elcual los sistemas de aplicación y controles operan.
Las categorías más importantes de los controles generales son:
(1) El programa de planificación y gerencia de seguridad de toda laentidad provee un marco y ciclo continuo de actividad para el riesgogerencial, desarrollando políticas de seguridad, asignando responsa-bilidades y realizando el seguimiento de la correcta operación de loscontroles relacionados con las computadoras.
(2) Los controles de acceso limitan o detectan el acceso a los recursosde las computadoras (información, programas, equipos y facilida-des), protegiendo así estos recursos contra modificaciones no autori-zadas, pérdida y exposición no deseada.
36
(3) Los controles de desarrollo, mantenimiento y cambio de la aplica-ción del software previenen la utilización de programas no autoriza-dos y/o modificaciones a los programas existentes.
(4) Los controles de sistema de software limitan y realizan el segui-miento del acceso a programas potentes y archivos sensibles quecontrolan el hardware de las computadoras y aseguran las aplicacio-nes apoyadas por el sistema.
(5) La segregación de funciones implica que las políticas, procedimien-tos y estructura organizacional están establecidos para prevenir queun individuo controle los aspectos clave de las operaciones de lascomputadoras y pueda así conducir acciones no autorizadas uobtenga acceso no autorizado a los bienes o los archivos.
(6) La continuidad en el servicio sirve para asegurar que cuando ocu-rren eventos inesperados, las operaciones críticas continúen sin inte-rrupción o sean reemprendidas rápidamente y la información críticao sensible sea protegida.
Controles de aplicación
Los controles de aplicación son la estructura, políticas, y procedimientosque aplican a sistemas de aplicación individual separados – tales comocuentas por pagar, inventarios, rol de pagos, garantías o préstamos – yestán diseñados para cubrir el procesamiento de información dentro deaplicaciones específicas de software.
Estos controles son generalmente diseñados para prevenir, detectar ycorregir errores e irregularidades mientras la información fluye a travésde los sistemas de información.
Los controles de aplicación y la manera en la que la información fluye através de los sistemas de información pueden ser categorizados en tresfases de un ciclo del proceso:
• Entradas: la información es autorizada, convertida a una formaautomática e introducida a la aplicación de manera exacta, completa ypuntual;
• Procesamiento: la información es correctamente procesada por lacomputadora y los archivos son actualizados de manera apropiada, y
• Salidas: los archivos y reportes generados por la aplicación reflejantransacciones y eventos que han ocurrido y reflejan los resultados delprocesamiento. Sus reportes son controlados y distribuidos a usuariosautorizados.
37
Los controles de aplicación también pueden ser categorizados por losobjetivos de tipos de control a los que se relacionan, incluyendo si lastransacciones y la información es autorizada, completa, exacta y válida.Los controles de autorización conciernen a la validez de las transac-ciones y ayudan a asegurar que las transacciones representen eventosque hayan ocurrido durante un determinado período. Los controles queindican que los eventos o transacciones están completos, se relacionancon el control de si todas las transacciones válidas son archivadas y cla-sificadas adecuadamente. Los controles de exactitud tienen que ver conel hecho de que las transacciones sean archivadas correctamente y todoslos elementos de la información sean exactos. Los controles sobre laintegridad del procesamiento de los archivos de información, si son defi-cientes, pueden anular cada uno de los antes mencionados controles deaplicación y permitir la ocurrencia de transacciones no autorizadas, ade-más de contribuir para que la información sea incompleta e inadecuada.
Los controles de aplicación incluyen actividades de control programa-das, tales como emisiones automáticas y seguimiento manual de las sali-das generadas por la computadora, tales como revisiones de reportes queidentifiquen ítems rechazados o inusuales.
Los controles generales o de aplicación sobre los sistemas de compu-tación están interrelacionados
La efectividad de los controles generales es un factor significativo aldeterminar la efectividad de los controles de aplicación. Si los controlesgenerales son débiles, entonces disminuye notoriamente la confiabilidadde los controles asociados con las aplicaciones individuales. Cuando nohay controles generales efectivos, la aplicación de controles puede vol-verse poco efectiva por exageración, confusión o modificación. Porejemplo las revisiones diseñadas para evitar que los usuarios ingresenhoras de trabajo irrazonablemente grandes a un sistema de procesos depago de nóminas pueden ser una aplicación efectiva de control. De cual-quier modo, no se puede confiar en este control si los controles genera-les permiten modificaciones no autorizadas al programa que puedan per-mitir algunas transacciones excepcionales que salgan de este marco.
Mientras los objetivos básicos de control no cambien, los cambios rápi-dos en la tecnología de la información requieren que los controles evo-lucionen para seguir siendo efectivos. Cambios como un incremento enla confiabilidad de las redes, computadoras con mayor potencia que
38
ponen responsabilidad del procesamiento de información en las manosdel usuario, comercio electrónico y el internet pueden afectar la natura-leza y la implantación de actividades específicas de control.
Más información sobre las actividades de control informático puede serencontrado en la Asociación para el control y la auditoría de los sistemasinformáticos (ISACA, en sus siglas inglesas), especialmente en el marcode referencia de los Objetivos de control para la informática y tecnolo-gías conexas (COBIT, en sus siglas inglesas) y las actas del Comité parala Auditoría de los sistemas informáticos de INTOSAI.
Ejemplos
El lector puede referirse a los anexos para obtener ejemplos integradosde cada uno de los objetivos y sus componentes del control interno.
39
2.4 Información ycomunicación
40
La información y la comunicación son esenciales para ejecutar todoslos objetivos de control interno.
Información
Una precondición para que la información de transacciones y hechossea confiable y relevante, es archivarla rápidamente y clasificarlacorrectamente. La información pertinente debe ser identificada, captu-rada y comunicada de una manera y en cierto límite de tiempo que per-mita que el personal lleve a cabo su control interno y sus otras respon-sabilidades (comunicación puntual a la gente adecuada). Por talmotivo, el sistema de control interno como tal y todas las transaccionesy eventos significativos deben estar apropiadamente documentados.
Los sistemas de información producen reportes que contienen informa-ción operacional, financiera y no financiera, información relacionadacon el cumplimiento y que hace posible que las operaciones se llevena cabo y se controlen. La misma no sólo tiene que ver con datos gene-rados internamente, sino con información sobre eventos externos, acti-vidades y condiciones necesarias que permite la toma de decisiones yel reporte.
La habilidad de la gerencia para tomar decisiones apropiadas es afec-tada por la calidad de la información, lo que implica que ésta deberíaser apropiada, puntual, actual, exacta y asequible.
La información y la comunicación son esenciales para la realización detodos los objetivos de control interno. Por ejemplo, uno de los objetivosde control interno es cumplir con las obligaciones de respondabilidadpública. Esto puede lograrse desarrollando y manteniendo informaciónfinanciera y no financiera confiable y relevante, y comunicando estainformación a través de la exposición de reportes puntuales. La infor-mación y comunicación relacionada con el trabajo de la organizacióncreará la posibilidad de evaluar orden, ética, economía, eficiencia y efi-cacia de las operaciones. En muchos casos, cierta información tiene queser emitida, o el proceso de la comunicación tiene que llevarse a cabopara cumplir con las leyes y regulaciones.
La información se necesita a todos los niveles de la organización paratener un control interno efectivo y lograr los objetivos de la entidad. Portal motivo un conjunto de información pertinente, confiable y relevantedebe ser identificado, capturado y comunicado en la forma y período detiempo que permita que la gente lleve a cabo su control interno y susotras responsabilidades. Una precondición para que la información seaconfiable y relevante es el archivo oportuno y correcta clasificación delos hechos y las transacciones.
Las transacciones y hechos deben ser archivados oportunamente cuandohayan ocurrido, si la información es relevante y valiosa para la gerenciaal momento de controlar las operaciones y tomar decisiones. Esto aplicaal proceso completo o al ciclo de vida de una transacción o evento,incluyendo la iniciación y autorización, todas las etapas mientras dure elproceso, y su clasificación final en los archivos. También aplica a laactualización oportuna de toda la documentación para que siga siendorelevante.
La clasificación correcta de las transacciones y hechos es también nece-saria para asegurar que la información confiable sea asequible a la geren-cia. Esto significa organizar, categorizar y formatear la información conla que se preparan reportes, planes de trabajo y estados financieros.
Los sistemas de información generan reportes que contienen informa-ción operacional, financiera y no financiera, información relacionadacon el cumplimiento y que hace posible que se lleve a cabo y controleuna operación. Los sistemas no sólo tienen que ver con formas cualitati-vas o cuantitativas de datos generados internamente, sino con informa-ción sobre hechos externos, actividades y condiciones necesarias para latoma de decisiones y su reporte.
41
La habilidad de la gerencia para tomar decisiones apropiadas está afec-tada por la calidad de información, lo que implica que la informaciónsea:
• apropiada (¿está toda la información necesaria?);• oportuna (¿está ahí cuando se la necesita?)• actualizada (¿se tiene lo producido más recientemente?)• exacta (¿es correcta?)• accesible (¿puede ser obtenida fácilmente por las partes relevantes?)
Para ayudar a asegurar la cualidad de la información y la rendición decuentas, llevar a cabo las actividades de control interno y las responsa-bilidades, y hacer que el seguimiento sea más efectivo y eficiente, el sis-tema de control interno, al igual que todas las transacciones y eventossignificativos deben ser correctos y claramente documentados (ejemplo:diagramas de flujo y narrativos). Esta información además debe estarlista y asequible para ser examinada).
La documentación del sistema de control interno debe incluir la identifi-cación de la estructura de una organización, sus políticas, sus categoríasoperacionales, sus objetivos relacionados y sus procedimientos de con-trol. Una organización debe haber evidenciado por escrito los compo-nentes del proceso de control interno, incluyendo sus objetivos y activi-dades de control.
La extensión de la documentación del control interno de una entidad varíade acuerdo al tamaño de la entidad, complejidad y factores similares.
42
Comunicación
La comunicación efectiva debe fluir hacia abajo, a través de y haciaarriba de la organización, tocando todos los componentes y la estruc-tura entera.
Todo el personal debe recibir un mensaje claro de la gerencia superiorsobre la seriedad con la que deben tomarse las responsabilidades. Esnecesario que entiendan su propio rol en el sistema de control interno,al igual que la manera en la que sus actividades individuales se rela-cionan con el trabajo de los demás.
También se necesita que haya comunicación efectiva con las partesexternas.
La información es la base de la comunicación, misma que debe cumplircon las expectativas de grupos e individuos, permitiéndoles llevar a cabosus responsabilidades de forma efectiva. La comunicación efectiva debedarse en todas las direcciones, fluir hacia abajo, a través y hacia arribaen la organización, tocando todos los componentes de la estructuraentera.
Uno de los canales de comunicación más críticos es aquel entre la geren-cia y el personal. La gerencia debe estar bien actualizada en cuanto a laactuación, desarrollo, riesgos y funcionamiento del control interno yotros temas y eventos relevantes. Del mismo modo, la gerencia debecomunicar a su personal la información que requiere retroalimentación ydirección. La gerencia también debe proveer comunicación específica ydirigida, relacionada con las expectativas de conducta. Esto incluye afir-maciones claras de la filosofía de control interno de la entidad, relacio-namiento y delegación de autoridad.
La comunicación debe elevar la conciencia sobre la importancia y larelevancia de un control interno efectivo, comunicar la tolerancia alriesgo de la entidad, y hacer que el personal esté consciente de su rol yresponsabilidades al efectuar y apoyar los componentes del controlinterno.
Además de las comunicaciones internas, la gerencia debe asegurar queexistan medios adecuados de comunicarse y obtener información de par-tes externas, dado que las comunicaciones externas pueden servir comoentradas que tengan un alto impacto de significado en la medida en laque la organización logre sus objetivos.
Basándose en las comunicaciones internas y externas recibidas, la geren-cia debe dar los pasos necesarios para realizar acciones puntuales deseguimiento.
Ejemplos:
El lector puede referirse a los anexos para obtener ejemplos integradosde cada uno de los objetivos y los componentes del control interno.
43
44
2.5 Seguimiento
Los sistemas de control interno deben ser objeto de seguimiento paravalorar la calidad de la actuación del sistema en el tiempo. El segui-miento se logra a través de actividades rutinarias, evaluaciones puntua-les o la combinación de ambas.
(1) Seguimiento continuoEl seguimiento continuo de control interno está construido dentrode las operaciones normales y recurrentes de la entidad. Incluye laadministración y actividades de supervisión y otras acciones que elpersonal ejecuta al cumplir con sus obligaciones.
Las actividades de seguimiento continuo cubren cada uno de loscomponentes de control interno e involucran acciones contra lossistemas de control interno irregulares, antiéticos, antieconómicos,ineficientes e ineficaces.
(2) Evaluaciones puntualesEl rango y frecuencia de las evaluaciones puntuales dependerá enprimer lugar de la valoración de riesgos y de la efectividad de losprocedimientos permanentes de seguimiento.
Las evaluaciones puntuales cubren la evaluación de la efectividaddel sistema de control interno y aseguran que el control internologre los resultados deseados basándose en métodos predefinidos yprocedimientos. Las deficiencias de control interno deben serreportadas al nivel adecuado de la gerencia.
El seguimiento debe asegurar que los hallazgos de auditoría y las reco-mendaciones sean adecuados y oportunamente resueltos.
45
El seguimiento del control interno busca asegurar que los controles ope-ren como se requiere y que sean modificados apropiadamente deacuerdo a los cambios en las condiciones. El seguimiento también debe-ría valorar si, en cumplimiento de la misión de la entidad, se alcanzanlos objetivos generales expuesto en la definición de control interno. Estose puede lograr a través de las actividades de seguimiento continuo, eva-luaciones puntuales, o una combinación de ambas, para poder ayudar aasegurar que el control interno siga siendo aplicable a todos los nivelesy a través de toda la entidad, y que el control interno logre los resultadosdeseados. El seguimiento de las actividades de control interno como tal,debe distinguirse claramente de la revisión de las operaciones de la orga-nización, misma que es una actividad de control interno como se descri-bió previamente en la sección 2.3.
El seguimiento continuo de control interno ocurre en el curso normal delas operaciones recurrentes de una organización. Se ejecuta continua-mente y sobre la base del tiempo real, reacciona dinámicamente al cam-bio de condiciones y forma parte del engranaje de las operaciones de unaentidad. Como resultado, es más efectivo que las evaluaciones puntualesy las acciones correctivas son potencialmente menos costosas. Dado quelas evaluaciones puntuales toman lugar después de los hechos, muchasveces los problemas son más fácilmente identificables a través de lasrutinas del seguimiento continuo.
El rango y la frecuencia de las evaluaciones puntuales dependen en pri-mer lugar de la evaluación del riesgo y de la efectividad de las activida-des del seguimiento continuo. Al tomar esta determinación, la organiza-ción debe considerar la naturaleza y el grado de los cambios, tanto desdehechos internos, como desde hechos externos y los riesgos asociados, lacompetencia y experiencia del personal que implanta las respuestas alriesgo, los controles relacionados, y los resultados del seguimiento con-tinuo. Las evaluaciones puntuales de control también pueden ser útilespara enfocar directamente la efectividad de los controles en un tiempoespecífico. Las evaluaciones puntuales pueden tomar la forma de auto-evaluación al igual que de una revisión del diseño de control de pruebassobre el control interno. Las evaluaciones puntuales también pueden serejecutadas por las instituciones fiscalizadoras superiores o los auditoresexternos o internos.
Usualmente, alguna combinación del seguimiento permanente y de lasevaluaciones puntuales ayudará a asegurar que el control interno man-tenga su efectividad a través del tiempo.
46
Todas las deficiencias encontradas durante el seguimiento continuo o a través de evaluaciones puntuales deben ser comunicadas a aquellaspersonas que puedan tomar las acciones necesarias. El término “defi-ciencia” se refiere a la condición que afecta la habilidad de la entidadpara lograr sus objetivos generales. Una deficiencia, por lo tanto, puederepresentar un defecto percibido, potencial o real, o una oportunidadpara fortalecer el control interno con la idea de aumentar las probabili-dades de que la entidad logre sus objetivos generales.
Proveer la información necesaria sobre las deficiencias de controlinterno a la parte responsable es difícil. Deben establecerse por ellorequerimientos para identificar qué información es necesaria en unnivel particular para tomar decisiones de modo efectivo. Estos requeri-mientos reflejan la regla general que una gerencia debe recibir lainformación que afecta las acciones o conductas del personal bajo suresponsabilidad, al igual que la información necesaria para lograr obje-tivos específicos.
La información generada en el curso de las operaciones es usualmentereportada a través de canales normales, lo que significa al individuo res-ponsable por el funcionamiento y también al último nivel de la gerenciaque esté sobre dicho individuo. De cualquier modo, los canales alterna-tivos de comunicación deben existir para reportar información delicadacomo ser actos ilegales o incorrectos.
El seguimiento del control interno debe incluir políticas y procedi-mientos que buscan asegurar que los hallazgos de auditoría y otrasrevisiones sean adecuados y oportunamente resueltos. Los gerentesdeben (1) evaluar oportunamente los hallazgos de auditoría y otrasrevisiones, incluyendo aquellos que muestren deficiencias y recomen-daciones reportadas por los auditores y otros que evalúen las operacio-nes de los departamentos, (2) determinar las acciones correctivas enrespuesta a los hallazgos y recomendaciones de las auditorías y revi-siones, y (3) completar, dentro de los marcos establecidos, todas lasacciones que corrijan o resuelvan de cualquier otra manera los asuntosque han llamado su atención.
El proceso de resolución empieza cuando los resultados de la auditoría ode otra revisión son reportados a la gerencia y se termina sólo cuando setoma una acción que (1) corrija las deficiencias identificadas, (2) pro-duzca mejoras, o (3) demuestre que los hallazgos y las recomendacionesno garanticen la acción gerencial.
Ejemplos
El lector puede referirse a los anexos para ejemplos integrados de cadauno de los objetivos y componentes.
47
48
3 Roles y ResponsabilidadesTodos en una organización tienen responsabilidad por el controlinterno:
Gerentes Son los responsables directos por todas las actividadesde una organización, incluyendo el diseño, la implanta-ción, la supervisión del funcionamiento correcto, elmantenimiento y la documentación del sistema de con-trol interno. Sus responsabilidades varían de acuerdo asu función en la organización y las características de laorganización.
Auditores Examinan y contribuyen a la continua efectividad del Internos sistema de control interno a través de sus evaluaciones
y recomendaciones y por lo tanto desempenan un papelimportante en un control interno efectivo . Sin embargo,no tienen una responsabilidad general primaria sobre eldiseño, puesta en marcha, mantenimiento y documenta-ción del control interno.
Miembros del También contribuyen al control interno. El controlpersonal: interno es parte implícita y explícita de las funciones de
cada uno. Todos los miembros del personal juegan unrol al efectuar el control y deben ser responsables porreportar problemas de operaciones, de no cumplimientoal código de conducta o de violaciones a la política.
Las partes externas también juegan un rol importante en el proceso decontrol interno. Pueden contribuir a que la organización alcance susobjetivos, o pueden proveer información útil para efectuar el controlinterno. De cualquier modo, no son responsables del diseño, puesta enmarcha, funcionamiento adecuado, mantenimiento o documentacióndel sistema de control interno.
Entidades Fortalecen y apoyan la implantación de control interno Fiscalizadoras efectivo en el gobierno. La evaluación del control Superiores interno es esencial para el cumplimiento de las EFSs, (EFSs) las auditorías financieras y operativas, mismas que
comunican sus hallazgos y recomendaciones a los inte-resados.
49
El control interno está primeramente efectuado por los interesados inter-nos de la entidad, incluyendo la gerencia, auditores internos y otrosmiembros del personal. De todas maneras, las acciones de interesadosexternos también tienen impacto en el sistema de control interno.
Ejecutivos
Todo el personal de una organización juega roles importantes en la eje-cución del control interno. De cualquier manera, la gerencia tiene laresponsabilidad global del diseño, implantación, supervisión del funcio-namiento correcto, mantenimiento y documentación del sistema de con-trol interno. La estructura gerencial de la organización puede incluirdirectorios y comités de auditoría, mismos que tienen roles diferentes ycomposiciones diferentes, y son sujetos a diferentes legislaciones encada país.
Auditores Internos
La gerencia muchas veces establece unidades de auditoría interna comoparte del sistema de control interno y las utiliza para ayudar a monitorearla efectividad del sistema de control interno. Los auditores internos pro-porcionan información regular sobre el funcionamiento del controlinterno, poniendo especial atención en la evaluación del diseño y opera-ción del control interno. Estos facilitan información sobre los puntosfuertes y los puntos débiles así como recomendaciones para mejorar elcontrol interno. Sin embargo, debería estar garantizada la independenciay la objetividad.
Auditores Auditan algunas organizaciones gubernamentales en Externos: algunos países. Ellos y sus cuerpos de profesionales
deben asesorar y dar recomendaciones de controlinterno.
Legisladores Establecen las reglas y directivas relacionadas con el y reguladores: control interno. Deben contribuir a la comprensión
común del control interno.
Otras partes Interactúan con la organización (beneficiarios, provee-dores, etc.) y proveen información relacionada con ellogro de los objetivos.
50
Por lo tanto, el control interno debería ser una actividad independiente,de garantía objetiva y carácter consultivo que añada valor y mejore elfuncionamiento de la organización. Ayuda a la organización a cumplirsus objetivos mediante un enfoque sistemático y disciplinado para eva-luar y mejorar la eficacia de los procesos de gestión de riesgos, controly administración.
Pese a que los auditores internos pueden ser una fuente valiosa de capa-citación y consejo sobre el control interno, los mismos no deben sustituira un sólido sistema de control interno.
Para que la función de auditoría interna sea efectiva, es esencial que el personal de auditoría interna sea independiente de la gerencia,trabaje de modo imparcial, correcto y honesto y que reporte direc-tamente al más alto nivel de autoridad dentro de la organización.Esto permite que los auditores internos presenten opiniones impar-ciales en su valoración sobre el control interno y presenten pro-puestas objetivas de control interno que busquen corregir los obstá-culos revelados. Para las directrices profesionales, los auditoresinternos pueden utilizar el Marco de Prácticas Profesionales (PPF)del Instituto de Auditores Internos (IIA) que comprende la Defi-nición, el Código Ético, las Normas y los Consejos Prácticos. Adicionalmente los auditores deberían seguir el código de ética deINTOSAI .
Además de cumplir su rol de monitorear el control interno, personaladecuado de auditoría interna puede contribuir a la eficiencia de losesfuerzos de auditoría externa dando asistencia al auditor externo. Lanaturaleza, rango o límites de tiempo de los procedimientos del auditorpueden ser modificados si el auditor externo confía en el trabajo delauditor interno.
Miembros del personal
Los miembros dependientes y todo el resto del personal también tie-nen un efecto en el control interno. Muchas veces son los individuosde primera línea los que aplican los controles, revisan los controles,corrigen los controles mal aplicados e identifican qué aspectos puedenser atacados a través de los controles al conducir sus actividades dia-rias.
51
Agentes externos
El segundo más importante grupo de interesados en el control internoson agentes externos tales como auditores externos (incluyendo las enti-dades fiscalizadoras superiores (EFSs) legisladores, reguladores y otraspartes. Pueden contribuir a la consecución de objetivos de la entidad, opueden proveer información útil para efectuar el control interno. Decualquier manera, no son responsables por la implantación ni operacióndel sistema de control interno de la entidad.
Las tareas de las partes externas, en particular auditoría externa e instituciones fiscalizadoras superiores incluyen la evaluación del fun-cionamiento del sistema de control interno y la información a lagerencia sobre sus hallazgos. Sin embargo, la consideración del sis-tema de control interno como parte externa está determinada por sumandato.
La evaluación del auditor del control interno implica:
• Determinar la importancia y el grado de sensibilidad del riesgo al quelos controles están siendo dirigidos;
• Valorar la susceptibilidad del mal uso de recursos, las fallas rela-cionadas con los objetivos de ética, economía, eficiencia o eficacia olos errores al cumplir con las obligaciones de contabilidad, y el nocumplimiento de las leyes y regulaciones;
• Identificar y comprender los controles relevantes;• Determinar lo que ya se conoce sobre la efectividad del control;• Evaluar si el diseño de control es adecuado;• Determinar, a través de pruebas, si los controles son efectivos;• Reportar sobre la evaluación del control interno y discutir las acciones
correctivas necesarias.
La Entidad Fiscalizadora Superior también tiene interés en asegurar queexistan sólidas unidades de auditoría interna donde se las necesite. Estasunidades de auditoría constituyen un elemento importante de controlinterno al proveer métodos continuos para mejorar las operaciones deuna organización. En algunos países, de cualquier manera, las unidadesde auditoría interna pueden no tener independencia, ser débiles, o noexistir. En esos casos, la Entidad Fiscalizadora Superior debe, siempreque sea posible, ofrecer asistencia y directrices para establecer y desarro-llar esas capacidades y para asegurar la independencia de las actividadesdel auditor interno. Esta asistencia puede incluir asesoramiento o prés-tamo de personal, dar conferencias, compartir material de capacitación y
52
desarrollar metodologías y programas de trabajo. Esto debería hacersesin amenazar la independencia de la EFS o del auditor externo.
La Entidad Fiscalizadora Superior también necesita desarrollar unabuena relación de trabajo con las unidades de auditoría interna para quela experiencia y el conocimiento puedan ser compartidos y el trabajomutuo pueda ser suplementado y complementado. Incluir las observa-ciones de auditoría interna y reconocer sus contribuciones en el informede auditoría externa cuando sea posible, puede también fortalecer estarelación. La Entidad Fiscalizadora Superior también debe desarrollarprocedimientos de evaluación del trabajo de la unidad de auditoríainterna para determinar hasta que grado de confiabilidad una sólida uni-dad de auditoría interna podría reducir el trabajo de auditoría de la Enti-dad Fiscalizadora Superior y evitar la no necesaria duplicación de tra-bajo. La Entidad Fiscalizadora Superior puede tener acceso a losinformes de auditoría interna, los papeles de trabajo relacionados y lainformación del dictamen de auditoría.
Las EFS también juega un papel de liderazgo para el resto del sectorpúblico mediante el establecimiento de su propio marco de controlinterno en la organización de una forma coherente y en base a los prin-cipios expuestos en esta guía.
No sólo las EFS sino también los auditores externos juegan un papelrelevante en su contribución al logro de los objetivos de control interno,en particular “ en el cumplimiento de sus obligaciones de respondabili-dad” y de “salvaguarda de recursos”. Esto se debe a que los controlesexternos de los informes financieros y de la información son una parteintegral de la respondabilidad y de la buena administración. Todavía lasauditorías externas son el mecanismo esencial que los participantesexternos utilizan para analizar la gestión, junto con la información nofinanciera.
Legisladores y reguladores
La legislación puede proveer un entendimiento común sobre la defini-ción de control interno para que los objetivos sean alcanzados. Tambiénpuede prescribir las políticas que los interesados internos y externosdeban seguir al ejecutar sus roles respectivos y responsabilidades para elcontrol interno.
Anexo 1 Ejemplos
53
54
Eje
mpl
o (1
) de
cum
plim
ient
o de
las
oblig
acio
nes
de r
espo
ndab
ilida
d: U
n de
part
amen
to q
ue e
s re
spon
sabl
e po
r el
man
ejo
del
tran
s-po
rte
segu
ro p
or r
ío y
mar
ha
sido
org
aniz
ado
por
los
dife
rent
es d
epar
tam
ento
s de
ser
vici
os r
espo
nsab
les
por
pilo
taje
, fl
otac
ión,
in-
spec
ción
de
la c
alid
ad d
el a
gua,
pro
moc
ión
de u
tiliz
ació
n de
med
ios
acuá
ticos
de
tran
spor
te, i
nver
sión
y m
ante
nim
ient
o de
inf
raes
truc
-tu
ra (
puen
tes,
diq
ues,
can
ales
y e
sclu
sas)
Ent
orno
de
cont
rol
Para
cad
a un
o de
los
depa
rtam
ento
s de
serv
icio
se
desi
gna
unge
rent
e op
erac
iona
l qu
ere
port
e al
ger
ente
gene
ral
del
depa
rta-
men
to. L
os g
eren
tes
oper
acio
nale
s tie
nen
que
tene
r la
s ha
bilid
ades
nece
sari
as y
la
auto
rida
dpa
ra t
omar
alg
unas
deci
sion
es. T
odos
ello
sta
mbi
én f
irm
an u
ncó
digo
de
cond
ucta
corr
ecta
.
Eva
luac
ión
de r
iesg
o
Los
pos
ible
s ri
esgo
s so
nch
oque
de
barc
os,
derr
ame
de m
ater
iató
xica
o c
ombu
stib
le y
expl
osió
n de
diq
ues.
Si
los
prob
lem
as e
stuv
iera
nre
laci
onad
os c
onne
glig
enci
a po
r pa
rte
del
depa
rtam
ento
de
gobi
erno
, ést
e po
dría
sufr
ir u
na s
ever
asa
nció
n.
Act
ivid
ades
de
cont
rol
Las
act
ivid
ades
de
cont
rol
que
pued
en s
eror
gani
zada
s so
n el
pilo
taje
de
barc
os p
orpi
loto
s co
mpe
tent
es,
colo
caci
ón d
e bo
yas,
faro
s y
mar
cas;
insp
ecci
ón v
isua
l po
rai
re, y
tom
a de
eje
mpl
osde
agu
a.
Info
rmac
ión
yco
mun
icac
ión
La
info
rmac
ión
yco
mun
icac
ión
rela
cion
adas
con
est
asi
tuac
ión
pued
en r
epor
tar
colis
ione
s pa
ra p
reve
nir
a ot
ros
barc
os, i
nfor
mar
a lo
s ba
rcos
sob
reco
ndic
ione
s cl
imát
icas
, ypu
blic
ar l
os n
ombr
es d
esu
stan
cias
con
tam
inan
-te
s, l
as s
anci
ones
que
tiene
n qu
e en
fren
tar,
yla
s ac
cion
es c
orre
ctiv
asto
mad
as.
Segu
imie
nto
Un
segu
imie
nto
de l
osnú
mer
os d
e co
alic
ione
s,vi
olac
ione
s al
med
ioam
bien
te, r
esul
tado
s de
mue
stra
s y
una
com
para
ción
con
las
de
otro
s pa
íses
, con
sus
dato
s hi
stór
icos
, pue
den
ayud
ar a
mon
itore
ar l
aef
ectiv
idad
y l
a ef
icie
ncia
del
pilo
taje
de
barc
os, l
aco
loca
ción
de
faro
s y
mar
cas,
las
ins
pecc
ione
sy
las
mue
stra
s de
agu
a.
55
Eje
mpl
o (2
) de
cum
plim
ient
o de
las
obl
igac
ione
s de
res
pond
abili
dad:
El
gere
nte
del
depa
rtam
ento
de
depo
rtes
est
ipul
ó el
año
pasa
do u
n ob
jetiv
o se
gún
el c
ual
la p
ráct
ica
de d
epor
tes
debí
a au
men
tar
en u
n 15
% l
os a
ños
sigu
ient
es:
Ent
orno
de
cont
rol
Dad
o el
bue
n pr
estig
iode
l ge
rent
e, e
l co
mité
ejec
utiv
o co
nfió
plen
amen
te e
n él
y n
olle
vó a
cab
o la
sre
unio
nes
para
rev
isar
el
prog
reso
de
su t
raba
jo.
(Est
o no
es
un e
jem
plo
de b
uena
s pr
áctic
as)
Eva
luac
ión
de r
iesg
o
Al
no e
spec
ific
ar l
osob
jetiv
os, e
l ri
esgo
se
dapo
r no
alc
anza
rlos
.T
ambi
én e
xist
e pe
ligro
de q
ue l
os r
epor
tes
no s
eha
gan
a tie
mpo
por
que
el g
eren
te q
uier
e es
pera
rco
n el
rep
orte
has
tapo
der
deci
r qu
e ha
cum
plid
o el
obj
etiv
o de
l15
% d
e cr
ecim
ient
o.A
dem
ás, n
o se
espe
cifi
có c
ómo
med
ir e
l15
%, o
sea
que
el
mae
stro
pue
de d
ecir
que
el n
úmer
o de
gen
te q
ueha
ce d
epor
te s
ein
crem
entó
, o q
ue e
lnú
mer
o de
hor
asau
men
tó, o
inc
lusi
ve q
ueel
núm
ero
de c
entr
os d
ede
port
es o
clu
bes
aum
entó
en
un 1
5%. D
ees
ta m
aner
a la
cal
idad
de
la i
nfor
mac
ión
repo
rtad
ade
crec
e su
stan
cial
men
te.
Act
ivid
ades
de
cont
rol
El
ries
go p
uede
dism
inui
r in
stal
ando
línea
s ap
ropi
adas
de
repo
rte
y un
mod
elo
dere
port
e qu
e de
fina
la
info
rmac
ión
que
tiene
que
tran
smiti
rse.
Info
rmac
ión
yco
mun
icac
ión
El
repo
rte
debe
ser
envi
ado
a tie
mpo
y d
eac
uerd
o al
mod
elo
espe
cífi
co. T
iene
que
espe
cifi
car
los
obje
tivos
del
crec
imie
nto,
cóm
oso
n m
edid
os y
por
qué
selo
s m
ide
de e
sa m
aner
a.T
oda
la i
nfor
mac
ión
dere
spal
do t
iene
que
ser
acce
sibl
e.
Segu
imie
nto
La
veri
fica
ción
de
si e
lre
port
e es
o n
osa
tisfa
ctor
io, d
e cu
al e
sla
inf
orm
ació
n qu
e se
prov
ee y
cua
l es
la
info
rmac
ión
que
falta
,pu
ede
ser
una
form
a de
segu
imie
nto.
56
Eje
mpl
o de
l cum
plim
ient
o de
leye
s y
regu
laci
ones
apl
icab
les:
el M
inis
teri
o de
Def
ensa
qui
ere
com
prar
nue
vos
avio
nes
de c
omba
tea
trav
és d
e un
con
trat
o pú
blic
o y
publ
ica
toda
s la
s es
tipul
acio
nes
y pr
oced
imie
ntos
par
a es
ta l
icita
ción
gub
erna
men
tal.
Tod
as l
as l
icita
-ci
ones
que
lle
gan
se m
antie
nen
cerr
adas
has
ta q
ue t
erm
ine
el p
lazo
est
able
cido
. C
uand
o el
pla
zo c
oncl
uye
toda
s la
s lic
itaci
ones
son
abie
rtas
en
pres
enci
a de
los
ger
ente
s re
spon
sabl
es y
alg
unos
ofi
cial
es. S
ólo
las
licita
cion
es r
ecib
idas
en
este
per
íodo
ser
án i
nves
tigad
asy
com
para
das
para
dec
idir
cua
l de
tod
as e
s la
mej
or.
Ent
orno
de
cont
rol
El
equi
po q
ue e
jecu
tará
esta
tra
nsac
ción
est
áco
mpu
esto
por
gen
teco
mpe
tent
e qu
e fi
rmó
un d
ocum
ento
aseg
uran
do n
o te
ner
rela
cion
es f
inan
cier
as o
de n
ingu
na o
tra
índo
leco
n ni
ngun
o de
los
licita
ntes
. Los
ger
ente
sre
spon
sabl
es y
ofic
iale
s ta
mbi
énfi
rmar
on e
l do
cum
ento
.
Eva
luac
ión
de r
iesg
o
Uno
de
los
ries
gos
rela
cion
a-do
s co
n la
s lic
itaci
ones
gube
rnam
enta
les
y co
ntra
tos
públ
icos
son
las
rela
cion
esin
tern
as. U
no d
e lo
s lic
itant
espu
ede
tene
r co
noci
mie
nto
prev
io s
obre
la o
fert
a de
otr
osde
los
licita
ntes
y p
uede
for
-m
ular
una
lici
taci
ón u
tili-
zand
o es
ta in
form
ació
n, q
uere
sulte
gan
ador
a, p
ero
que
nose
a la
mej
or o
pció
n en
tre
toda
s la
s de
más
lici
taci
ones
.O
tro
ries
go c
onsi
ste
enes
coge
r la
lici
taci
ón e
rrón
eaqu
e pu
ede
resu
ltar
en u
nnu
evo
cont
rato
púb
lico,
si e
squ
e el
otr
o no
hub
iera
cum
plid
o co
n la
s ex
pect
a-ci
ones
. Ade
más
alg
unos
otr
oslic
itado
res
que
sint
iera
n qu
eno
fue
ron
trat
ados
just
amen
te,
podr
ían
hace
r de
man
das.
Act
ivid
ades
de
cont
rol
Para
miti
gar
los
ries
gos,
los
proc
edim
ient
os d
eben
ser
desa
rrol
lado
s y
aplic
ados
en
conc
orda
ncia
con
tod
asla
s le
yes
yre
gula
cion
es r
elev
ante
sco
ncer
nien
tes
a lo
sco
ntra
tos
públ
icos
.
Info
rmac
ión
yco
mun
icac
ión
En
los
proc
edim
ient
osre
laci
onad
os c
on l
apu
blic
ació
n de
las
estip
ulac
ione
s pa
ra e
sta
licita
ción
púb
lica,
la
valo
raci
ón d
e la
slic
itaci
ones
rec
ibid
as y
el
anun
cio
de l
a lic
itaci
ónes
cogi
da d
eben
est
ardo
cum
enta
dos
por
escr
ito y
se
debe
nde
talla
r to
das
las
acci
ones
tom
adas
. Al
valo
rar
las
licita
cion
es,
toda
s la
s ra
zone
s po
r la
squ
e un
a lic
itaci
ón f
ue o
no f
ue e
scog
ida
debe
nes
tar
docu
men
tada
s.
Segu
imie
nto
La
audi
torí
a in
tern
apu
ede
hace
r re
visi
ones
de
docu
men
taci
ón y
segu
imie
nto
de l
osju
icio
s o
dem
anda
s.
57
Eje
mpl
o (1
) de
ope
raci
ones
ord
enad
as, é
ticas
, eco
nóm
icas
, efic
ient
es y
efec
tivas
: E
l de
part
amen
to d
e cu
ltura
qui
ere
aum
enta
r la
svi
sita
s qu
e el
púb
lico
hace
al
mus
eo.
Para
log
rar
este
com
etid
o, p
ropo
ne c
onst
ruir
nue
vos
mus
eos,
dar
le a
cad
a ci
udad
ano
un c
hequ
ecu
ltura
l y
dism
inui
r el
cos
to d
e la
s en
trad
as.
Para
ser
eco
nóm
ica,
efi
cien
te y
efe
ctiv
a, l
a ge
renc
ia t
iene
que
con
side
rar
y ev
alua
r si
los
obje
tivos
pue
den
logr
arse
tal
y c
omo
han
sido
con
cebi
dos
a tr
avés
de
las
prop
uest
as,
y cu
anto
cos
tará
cad
a un
a de
est
as p
ropu
esta
s.
Ent
orno
de
cont
rol
El
depa
rtam
ento
de
cultu
ra n
eces
itaas
egur
arse
de
que
laes
truc
tura
de
laor
gani
zaci
ón s
eaad
ecua
da p
ara
lasu
perv
isió
n, d
iseñ
o y
cons
truc
ción
de
las
obra
spr
opue
stas
, así
com
opa
ra l
a pl
anif
icac
ión
yop
erac
ione
s de
los
nuev
os m
useo
s.
Eva
luac
ión
de r
iesg
o
El
hech
o de
que
las
visi
tas
al m
useo
no
aum
ente
n es
un
posi
ble
ries
go. T
ambi
én e
xist
e el
ries
go d
e qu
e al
guna
s de
las
prop
uest
as e
xced
ansu
pre
supu
esto
. Por
ejem
plo,
si
reba
jar
elpr
ecio
de
las
entr
adas
no
aum
enta
las
vis
itas
alm
useo
, ent
once
s ba
jan
los
ingr
esos
del
gobi
erno
. Ade
más
cons
trui
r nu
evos
mus
eos
sin
la p
lani
fica
ción
nece
sari
a y
cons
ider
a-ci
ón d
e re
quer
imie
ntos
com
o se
r ilu
min
ació
n,te
mpe
ratu
ra y
seg
urid
ad,
pued
e re
sulta
r en
aju
stes
muy
car
os d
uran
te o
desp
ués
de l
aco
nstr
ucci
ón.
Act
ivid
ades
de
cont
rol
Las
act
ivid
ades
de
cont
rol
rela
cion
adas
alo
s ri
esgo
s an
teri
orm
ente
men
cion
ados
pue
den
ser
un c
ontr
ol p
resu
pues
tari
oqu
e co
mpa
re e
lpr
esup
uest
o ac
tual
,ob
serv
acio
nes
del
prog
reso
de
laco
nstr
ucci
ón, y
sol
icitu
dde
jus
tific
acio
nes
si e
lpr
esup
uest
o se
extr
alim
ita.
Info
rmac
ión
yco
mun
icac
ión
La
info
rmac
ión
yco
mun
icac
ión
rela
cion
adas
con
est
eej
empl
o pu
eden
con
sist
iren
la
docu
men
taci
ón d
ela
s re
unio
nes
con
arqu
itect
os, b
ombe
ros
(par
a re
gula
cion
es d
ese
guri
dad)
, art
ista
s y
otro
s. T
ambi
én p
uede
cont
ener
dif
eren
tes
info
rmes
rel
acio
nado
s al
segu
imie
nto
del
pres
upue
sto
y de
los
prog
reso
s en
el
trab
ajo
de c
onst
rucc
ión.
Segu
imie
nto
El
anál
isis
de
las
just
ific
acio
nes
de l
asex
tral
imita
cion
es e
n el
pres
upue
sto
y lo
s co
stos
de i
nter
eses
rel
acio
nado
sde
bido
a a
tras
os e
n el
trab
ajo
o en
los
pag
osso
n pa
rte
del
segu
imie
nto.
58
Eje
mpl
o (2
) de
ope
raci
ones
ord
enad
as,
étic
as,
econ
ómic
as,
efic
ient
es y
efec
tivas
: E
l go
bier
no q
uier
e de
sarr
olla
r la
agr
icul
tura
ym
ejor
ar l
a ca
lidad
de
vida
en
el c
ampo
. Pro
veer
án f
ondo
s pa
ra s
ubsi
diar
la
cons
truc
ción
de
pozo
s de
irr
igac
ión
y dr
enaj
e.
Ent
orno
de
cont
rol
El
gobi
erno
deb
e es
tar
segu
ro d
e te
ner
unde
part
amen
to a
prop
iado
para
im
plan
tar
yco
nduc
ir u
na o
pera
ción
de s
ubsi
dio,
y c
rear
los
mec
anis
mos
apr
opia
dos
para
ter
min
ar e
l pr
oyec
topu
ntua
l y
efic
ient
emen
te.
Eva
luac
ión
de r
iesg
o
Los
rie
sgos
son
que
asoc
iaci
ones
ines
crup
ulos
as c
alif
ique
npa
ra o
bten
er e
l pr
ésta
mo
pero
no
usen
ese
din
ero
para
lo
que
fue
dest
inad
o.
Act
ivid
ades
de
cont
rol
Las
act
ivid
ades
de
cont
rol
pued
en s
er:
Rev
isar
las
car
acte
ríst
i-ca
s de
las
aso
ciac
ione
squ
e ap
lican
par
a el
prés
tam
o.R
evis
ar in
situ
elpr
ogre
so y
los
inf
orm
esso
bre
el p
rogr
eso
de l
ostr
abaj
os d
e co
nstr
ucci
ón.
Rev
isar
los
gas
tos
de l
asas
ocia
cion
es a
tra
vés
desu
s fa
ctur
as, y
pos
pone
rel
pag
o (o
par
te d
e él
) y
los
subs
idio
s ha
sta
que
la r
evis
ión
esté
term
inad
a.
Info
rmac
ión
yco
mun
icac
ión
Rep
orte
s de
l pr
ogre
sode
talla
ndo
los
cost
os y
el
núm
ero
de p
ozos
que
fuer
on d
rena
dos
y el
núm
ero
de a
cres
que
fuer
on i
rrig
ados
.(c
opia
de)
fac
tura
sre
quer
idas
com
oju
stif
icat
ivos
de
los
gast
os s
ubsi
diad
os.
Segu
imie
nto
El
segu
imie
nto
pued
eco
nsis
tir e
n el
segu
imie
nto
del
dren
aje
de l
os p
ozos
y l
aco
nstr
ucci
ón d
el s
iste
ma
de i
rrig
ació
n, y
una
com
para
ción
con
otr
ospr
oyec
tos
sim
ilare
s.T
ambi
én u
n se
guim
ient
ode
los
trá
mite
s de
la
tierr
a ir
riga
da p
uede
ser
cons
ider
ado.
59
Eje
mpl
o (1
) de
sal
vagu
arda
de
recu
rsos
:E
l M
inis
teri
o de
Def
ensa
ha
cons
trui
do d
epós
itos,
tie
ndas
mili
tare
s y
esta
cion
es d
e co
m-
bust
ible
. E
l co
man
do m
ilita
r tie
ne l
a po
lític
a de
que
est
os s
umin
istr
os s
ean
sólo
par
a el
uso
pro
fesi
onal
de
los
mili
tare
s, y
no
así
para
su u
so p
erso
nal.
Ent
orno
de
cont
rol
Polít
icas
ade
cuad
asso
bre
el c
apita
l hu
man
ose
rían
efe
ctiv
as p
ara
recl
utar
y m
ante
ner
elpe
rson
al a
decu
ado
para
diri
gir
y op
erar
los
depó
sito
s.
Eva
luac
ión
de r
iesg
o
Los
rie
sgos
que
exi
sten
son
que
la g
ente
qui
era
trat
ar d
e ro
bar
arm
aspa
ra u
sarl
asin
apro
piad
amen
te o
vend
erla
s. A
dem
ás l
osot
ros
impl
emen
tos
com
oel
com
bust
ible
pue
den
ser
vuln
erab
les
al r
obo.
Act
ivid
ades
de
cont
rol
Las
act
ivid
ades
de
cont
rol
que
tiene
n qu
eve
r co
n es
tos
ries
gos
son
pone
r va
llas
y pa
rede
sal
rede
dor
de l
osde
pósi
tos
y es
taci
ones
, opo
ner
guar
dias
arm
ados
con
perr
os e
n la
spu
erta
s. R
evis
arre
gula
rmen
te l
osin
vent
ario
s co
n el
mat
eria
l y
unpr
oced
imie
nto
que
esta
blez
ca q
ue l
osim
plem
ento
s só
lopu
eden
ser
ent
rega
dos
con
la a
prob
ació
n de
un
ofic
ial
supe
rior
tam
bién
ayud
ará
a sa
lvag
uard
arlo
s bi
enes
.
Info
rmac
ión
yco
mun
icac
ión
Rep
orte
s so
bre
valla
sda
ñada
s y
dife
renc
ias
enco
ntra
das
en l
a en
treg
ade
los
im
plem
ento
s.A
prob
acio
nes
para
las
entr
egas
y p
roce
dim
ien-
tos
tam
bién
dan
info
rmac
ión
yco
mun
icac
ión
rela
cion
adas
con
est
ete
ma.
Segu
imie
nto
El
segu
imie
nto
pued
e se
run
a in
spec
ción
a l
asva
llas,
ent
rega
s no
anun
ciad
as d
e m
ater
ial,
segu
imie
nto
de l
osm
ovim
ient
os d
e lo
sbi
enes
o i
nclu
sive
una
prue
ba s
ecre
ta d
ese
guri
dad.
60
Eje
mpl
o (2
) de
sal
vagu
arda
de
recu
rsos
: G
rand
esca
ntid
ades
de
info
rmac
ión
sens
ible
son
alm
acen
adas
en
los
sist
emas
de
com
puta
-ci
ón e
n un
a ag
enci
a de
l M
inis
teri
o de
Jus
ticia
. De
cual
quie
r m
odo,
la
impo
rtan
cia
de l
os c
ontr
oles
IT
es
redu
cida
por
neg
ligen
cia
y po
rel
lo e
stos
con
trol
es t
iene
n nu
mer
osas
def
icie
ncia
s.
Ent
orno
de
cont
rol
La
gere
ncia
deb
eco
mpr
omet
erse
a l
aco
mpe
tenc
ia y
bue
nco
mpo
rtam
ient
ore
laci
onad
o co
n el
IT
,y
a da
r bu
ena
capa
cita
ción
en
esta
área
. Las
pol
ítica
s de
capi
tal
hum
ano
tam
bién
jue
gan
unpa
pel
impo
rtan
te a
les
tabl
ecer
un
ento
rno
de c
ontr
ol p
ositi
vopa
ra l
os t
emas
del
IT
.
(Est
o no
es
un e
jem
plo
de b
uena
s pr
áctic
as)
Eva
luac
ión
de r
iesg
o
A n
ivel
de
los
cont
role
sge
nera
les
la a
genc
ia n
oha
:lim
itado
el a
cces
o de
lus
uari
o a
sólo
aqu
ello
que
se n
eces
ita p
ara
cum
plir
con
sus
activ
idad
es;
desa
rrol
lado
un
sist
ema
adec
uado
de
soft
war
epa
ra p
rote
ger
los
prog
ram
as y
lain
form
ació
n se
nsib
le;
Doc
umen
tado
los
cam
bios
en
el s
oftw
are;
Segr
egan
do la
sac
tivid
ades
inco
mpa
ti-bl
es;
Dir
igie
ndo
la c
ontin
uida
dde
l ser
vici
o;Pr
oteg
iend
o la
red
del
tráf
ico
no a
utor
izad
o.A
l niv
el d
e ap
licac
ión
deco
ntro
les,
la a
genc
ia n
oha
man
teni
do la
sau
tori
zaci
ones
de
acce
so
Act
ivid
ades
de
cont
rol
La
agen
cia
pued
e:Im
plem
enta
r ac
ceso
s ló
gico
s(e
jem
plo:
Pas
swor
d) y
con
trol
esde
acc
eso
físi
co (
ejem
plo:
segu
ros,
tarj
etas
de
iden
tifi-
caci
ón, a
larm
as).
Neg
ar a
alg
unos
usu
ario
s la
habi
lidad
de
ingr
esar
al s
iste
ma
oper
ativ
o.L
imita
r el
acc
eso
del a
mbi
ente
de p
rodu
cció
n al
per
sona
l del
desa
rrol
lo d
e la
apl
icac
ión.
U
tiliz
ar c
lave
s de
aud
itorí
a pa
rare
gist
rar
todo
s lo
s ac
ceso
s(i
nten
tos
de a
cces
o) y
com
ando
spa
ra d
etec
tar
viol
acio
nes
a la
segu
rida
d.T
ener
un
plan
de
cont
inge
ncia
yde
rec
uper
ació
n de
alg
ún d
e-sa
stre
par
a as
egur
ar a
cces
ibili
dad
a re
curs
os c
rític
os y
fac
ilita
r la
cont
inui
dad
de la
s op
erac
ione
s.T
ener
pro
tecc
ión
y m
onito
rear
laac
tivid
ad d
el s
ervi
dor
de la
pági
na w
eb p
ara
aseg
urar
el
tráf
ico
por
la r
ed.
Info
rmac
ión
yco
mun
icac
ión
Los
pro
cedi
mie
ntos
sobr
e el
con
trol
IT
debe
n se
r ac
cesi
bles
ylo
s ca
mbi
os a
l so
ftw
are
debe
n es
tar
docu
men
tado
s an
tes
dequ
e el
sof
twar
eem
piec
e a
oper
ar.
Las
pol
ítica
s y
las
desc
ripc
ione
s de
los
pues
tos
de t
raba
jo q
ueap
oyen
la
segr
egac
ión
de o
blig
acio
nes
debe
nse
r pr
omov
idas
.
Las
cla
ves
de a
cces
o(i
nten
tos)
, y l
osco
man
dos
(no
auto
riza
dos)
deb
en s
erpe
riód
icam
ente
repo
rtad
os y
rev
isad
os.
Segu
imie
nto
Eje
cuta
r un
a au
dito
ría
IT, h
acer
un
sim
ulac
rode
des
astr
e, y
mon
itore
ar l
a ac
tivid
adde
l si
tio w
eb, p
uede
nse
r pa
rte
del
med
io I
Tde
seg
uim
ient
o.
Anexo 2 Glosario
61
Este glosario está realizado con la intención de proveer un entendimiento comúnde los términos más importantes utilizados en esta guía respecto de las defini-ciones y prácticas del control interno. Además de algunas definiciones queintrodujimos en este documento, también utilizamos definiciones existentes,tomadas de diversas fuentes citadas.
• Código de ética y Normas de Auditoría, INTOSAI, 2001. (Normas de Audi-toría INTOSAI).
• Control Interno. Marco integrado, COSO 1992 (COSO 1992).• Glosario, Oficina para las publicaciones oficiales de las comunidades euro-
peas, P. Everard y D. Wolter, 1989 (glosario).• Servicios de auditoría y seguros, un acercamiento integral, A.A. Arens, R.J.
Elder and M.S. Beasley, Edición Internacional Prentice Hall, novena edición,2003. (Arens, Elder & Beasley).
• Borrador de exposición COSO “Marco del riesgo gerencial de una empresa”,COSO, 2003. (COSO ERM).
• Manual de auditoría internacional, seguros y pronunciamientos sobre ética,IFAC, 203. (IFAC).
• Libro fuente de Transparencia Internacional 2000 (Transparencia Internacional).• INCOSAI XVI, Montevideo, Uruguay, 1998, Informe Principal 1 A (Preven-
ción y detección de fraude y corrupción), febrero 1997, (XVI INCOSAI, Uru-guay, 1998).
A
Acceso físicoEn el control de acceso, tener acceso hacia áreas físicas o entidades (ver accesológico).
Acceso lógicoEl acto de ganar acceso hacia la información de la computadora. El accesopuede estar limitado a “sólo leer”, pero derechos de acceso más extensivosincluyen la habilidad de arreglar los datos, crear nuevos archivos, y borrar archi-vos existentes. (ver acceso físico).
Actividad de controlLas actividades de control son políticas y procedimientos establecidos para enfren-tar los riesgos y lograr los objetivos de la entidad. Los procedimientos que una orga-nización ejecuta para tratar el riesgo se llaman actividades de control interno. Lasactividades de control interno son una respuesta al riesgo en tanto que son diseña-das para contener la parte poco certera del resultado que ha sido identificado.
AplicaciónUn programa de computación diseñado para ayudar a la gente a realizar ciertotipo de trabajo, incluyendo funciones especiales, tales como roles de pago,
62
control de inventario, contabilidad y misión de apoyo. Dependiendo de latarea para la que haya sido diseñada, la aplicación puede manipular texto,números, gráficas o una combinación de estos elementos.
AuditoríaRevisión de las actividades de una organización y de las operaciones para ase-gurar que éstas están siendo ejecutadas o están funcionando de acuerdo con losobjetivos, el presupuesto, las reglas y normas. El objetivo de esta revisión esidentificar, en intervalos regulares, desviaciones que pudieran necesitar unaacción correctiva. (glosario).
Auditoría interna• Los medios funcionales a través de los cuales los gerentes de una entidad reci-ben de fuentes internas la seguridad de que todos los procesos contables estánoperando de manera en la que puedan minimizar la probabilidad de la ocurrenciade un fraude, error o prácticas ineficientes o antieconómicas. Tiene muchas de lascaracterísticas de la auditoría externa, pero puede llevar a cabo las directivas pro-venientes de la gerencia a la que reporta. (Normas de auditoría INTOSAI).• Una actividad independiente y objectiva que da a una organización una seguri-dad sobre el grado de dominio de sus operaciones, que da sus consejos paramejorarlas y que contribuye a crear valor anadido. Ayuda esta organización aalcanzar sus objectivos, evaluando, con un enfoque sistemático y metódico, susprocedimientos de gestión de riesgos, de control y de dirección de empresa, yhaciendo propuestas fara reforzar su eficacia. (IIA, IFACI)• La auditoría interna es una actividad de avalúo establecida dentro de una enti-dad como servicio para la misma. Sus funciones incluyen, entre otras cosas, exa-minar, evaluar y monitorear cuan adecuada y efectiva es la contabilidad de lossistemas de control interno (IFAC).
Auditores internosExaminan la efectividad del sistema de control interno y recomiendan mejorías,pero no tienen responsabilidad primaria por implantarlo o mantenerlo.
Auditoría externaUna auditoría llevada a cabo por un cuerpo que es externo e independiente delauditado, siendo el propósito dar una opinión o un informe sobre las cuentas delos estados financieros, la regularidad y legalidad de las operaciones, y/o elmanejo financiero (glosario).
C
Ciclo de valoración del riesgo
Es un proceso continuo e interactivo para identificar y analizar cambios en lascondiciones, oportunidades y riesgos y realizar las acciones necesarias al respecto,
63
en particular, modificar el control interno para dar respuesta a un riesgo cam-biante. Los perfiles de riesgo y los controles asociados a este tienen que ser revi-sados y reconsiderados con regularidad cara a garantizar que el perfil de riesgocontinua siendo válido, que las respuestas al riesgo continúan ofreciéndose de unamanera adecuada y proporcionada, y que los controles para mitigarlo continúansiendo efectivos en la medida en que los riesgos cambian con el tiempo.
Colusión Un esfuerzo corporativo entre los empleados para defraudar efectivo, inventa-rios u otros bienes (Arens, Elder & Beasley).
Comité de auditoríaEs un comité de la mesa directiva cuyo rol típico se centra en aspectos de infor-mación financiera y en los procesos gerenciales de la entidad para administrar elriesgo del negocio y el riesgo financiero, y para cumplir con todos los reque-rimientos significativos ya sea de orden legal, ético o regulatorio. El comiténormalmente asiste al directorio con una mirada global sobre: (a) la integridadde los estados financieros de la entidad, (b) el cumplimiento de la entidad conrequerimientos legales y regulatorios, (c) las calificaciones e independencia delos auditores, (d) el funcionamiento del auditor interno de la entidad y el de los auditores independientes, y (e) las remuneraciones de los ejecutivos de laentidad.
Componente de control internoUno de los cinco elementos del control interno. Los componentes del controlinterno de una entidad son: entorno de control, evaluación de riesgo, actividadesde control, información y comunicación, y seguimiento. (COSO 1992).
Control• 1. Un sustantivo, utilizado como sujeto, ejemplo: existencia de un control,una política o procedimiento que sea parte del control interno. Un control puedeexistir dentro de estos cinco componentes 2. Un sustantivo, utilizado comoobjeto, ejemplo efectuar control- el resultado de políticas y procedimientos dise-ñados para controlar; este resultado puede o puede no ser un control internoefectivo. 3. Un verbo, ejemplo: controlar, regular, establecer o implantar unapolítica que afecte el control (COSO 1992). • Cualquier acción tomada por la gerencia, el consejo y otras partes para ges-tionar el riesgo y aumentar las posibilidades de que los objetivos y metas sealcancen. La gerencia planifica, organiza y dirige la gestión con suficientesacciones para proporcionar una garantía razonable de que los objetivos y metasse alcanzan (IIA)
Control internoEl control interno es un proceso integrado que afecta a la gerencia y al perso-nal de la entidad y está diseñado para dar seguridad razonable de que en labúsqueda de su misión, los siguientes objetivos generales serán conseguidos:
64
ejecutar las operaciones de forma ordenada, ética, económica, eficiente y efectiva, cumpliendo con las obligaciones de contabilidad y todas las leyesaplicables, así como las regulaciones y la salvaguarda de los recursos contra lapérdida.
Una garantía independiente y objetiva y una actividad consultora diseñada paraproporcionar valor añadido y mejorar la operativa de la organización. Ayuda ala organización a cumplir sus objetivos mediante el uso de un enfoque sistemá-tico y disciplinado para evaluar y mejorar la eficacia en los procesos de gestióndel riesgo, control y administración (IIA).
Control de accesoEn tecnología de la información los controles diseñados para proteger los recur-sos de modificaciones no autorizadas, pérdida o exposición.
Control de detecciónUn control diseñado para descubrir un hecho o un resultado no intencionado (encontraste con el control preventivo) (COSO 1992).
Control preventivoUn control diseñado para evitar hechos o resultados no intencionados (contras-tar con control de detección) (COSO 1992).
Control continuo de servicio Este tipo de control involucra asegurar que cuando ocurran eventos inesperados,las operaciones críticas continúen sin interrupción o sean rápidamente reasumi-das y la información crítica y sensible sea protegida.
Control presupuestarioEs el control por el que una autoridad puede asegurar que el presupuesto ha sidobien diseñado e implementado de acuerdo a sus estimados, autorizaciones yregulaciones. (glosario)
Controles generales • Los controles generales son la estructura, políticas y procedimientos que apli-can a todos o a un gran segmento de los sistemas de información de una entidady ayudan a asegurar su correcta operación. Crean el entorno en el que operan lossistemas de aplicación y controles.• Políticas y procedimientos que ayudan a asegurar la continuidad y operaciónapropiada de los sistemas de información. Incluyen controles sobre el manejo dela información tecnológica, la infraestructura de la tecnología de la información,seguridad gerencial, adquisición de software, desarrollo y mantenimiento. Loscontroles generales apoyan el funcionamiento de los controles de aplicaciónprogramados. Otros términos que se utilizan a veces para describir los controlesgenerales son: controles generales de computación y controles de tecnología dela información (COSO ERM).
65
Controles de aplicación• La estructura, políticas y procedimientos que se aplican a los sistemas separa-dos o individuales de aplicaciones y que están diseñados para cubrir el procesa-miento de datos dentro de aplicaciones específicas del software.• Procedimientos programados en la aplicación del software, y un manual deprocedimientos relacionados, diseñados para ayudar a asegurar la integridad yexactitud de la información que se procesa. Los ejemplos incluyen revisionescomputarizados de entradas a los datos, secuencia numérica de revisiones y pro-cedimientos manuales para dar seguimiento a los ítems listados en informes deexcepción. (COSO 1992).
Controles manualesSon los controles que se ejecutan manualmente, no a través de la computadora(contrastar con controles computacionales) (COSO 1992).
Controles computarizados1. Los controles ejecutados por computadora, ejemplo: los controles programa-dos en el software de la computadora (en oposición a los controles manuales). 2. Los controles que se ejecutan al procesar la información y que son controlesgenerales o controles de aplicación (tanto programados como manuales) (COSO1992).
Controles del sistema de softwareLos controles sobre los programas de computadoras y rutinas relacionadas dise-ñadas para operar y controlar las actividades de procesamiento del equipo de lacomputadora.
Corrupción• Cualquier forma de utilización no ética de la autoridad pública para ventajapersonal o privada (INTOSAI XVI, Uruguay, 1998).• El mal uso del poder que se tiene, para el beneficio privado (TransparenciaInternacional).
COSOComité de organizaciones patrocinadas, un grupo de varias organizaciones decontabilidad. En 1992 publicó un estudio significativo sobre el control internollamado Control Interno- un marco integrado. El informe es muchas veces lla-mado Informe COSO.
Cumplimiento• Todo lo que tenga que ver con estar conforme con las leyes y regulacionesaplicables a la entidad. (COSO 1992).• Conformidad con y adhesión a las orientaciones, los planes, los procedimien-tos, las leyes, las regulaciones, los contratos o otras exigencias. (IIA)
66
D
DatosHechos e información que pueden ser comunicados o manipulados.
DeficienciaUna falla percibida, potencial o real de control interno, o una oportunidad parafortalecer el control interno para dar una mayor probabilidad de que los objeti-vos de la entidad son alcanzados. (COSO 1992).
Diagrama de flujoUna representación gráfica de los documentos y archivos del cliente, y lasecuencia con la que son procesados. (Arens, Elder & Beasley).
Diagramación de flujoIlustra un flujo de procedimientos, información y documentos. La técnica haceposible que se dé una descripción sintética de circuitos complejos o procedi-mientos. (glosario).
Diseño1.Intención. Como se lo utiliza en la definición, el control interno está creadopara dar seguridad razonable en términos de logros y objetivos; cuando la inten-ción se hace realidad, el sistema puede ser considerado efectivo. 2. Plan. lamanera en la que un sistema debería trabajar, en contraste con la manera en laque lo hace (COSO 1992).
DocumentaciónLa documentación de la estructura de control interno es la prueba material yescrita de los componentes del proceso de control interno que incluye la identi-ficación de la estructura de una organización, las políticas y las categorías ope-racionales, los objetivos relacionados y las actividades de control. Esta debeaparecer en documentos como ser las directivas gerenciales, políticas adminis-trativas, manuales de procedimiento y manuales de contabilidad.
El examen del auditor de los documentos del cliente y los archivos para sub-stanciar la información que está o debe estar incluida en los estados financieros,(Arens, Elder& Beasley).
E
Economía• Minimizar el costo de los recursos utilizados para una actividad, poniendocuidado en la calidad apropiada. (Normas de auditoría INTOSAI).
67
• Adquisición en el momento correcto al costo financiero, humano y materialmás bajo de los recursos que sean más apropiados en términos de calidad y can-tidad (glosario).
EconómicoQue no implique desperdicio ni extravagancia. Significa tener la cantidadcorrecta de recursos, de la calidad correcta, entregados al momento correcto, allugar correcto, al precio más bajo.
EfectivoSe refiere al cumplimiento de los objetivos o al grado al que los resultados deuna actividad cumplen con los objetivos o con los efectos para los que se realizóuna actividad.
Efectividad• El grado al que los objetivos son logrados, y la relación entre el impacto deseadoy el impacto verdadero que recibe la entidad. (Normas de auditoría INTOSAI).• El grado en el que los objetivos establecidos han sido logrados bajo la ópticade costo-efectividad. (glosario).
EficienteSe refiere a los recursos utilizados para lograr los objetivos. Significa que elmínimo de recursos como entradas deben ser utilizados para obtener una deter-minada cantidad y calidad de salidas, o el máximo producto con una cantidad ycalidad determinadas utilizadas como entradas.
Eficiencia• La relación entre la salida, en términos de bienes, servicios y otros resultadosy los recursos utilizados para producirlos. (Normas de auditoría INTOSAI).• Utilización de los recursos financieros, humanos y materiales de manera quese puedan maximizar las salidas por un determinado número de recursos, ominimizar los recursos invertidos para determinada cantidad y calidad de salidas(glosario).
EnteUna organización de cualquier tamaño establecida con un propósito particular.Una entidad, por ejemplo, puede ser una empresa de negocios, una organizaciónsin fines de lucro, una organización gubernamental o institución académica.Otros términos usados como sinónimos son organización o departamento.(COSO 1992).
Entorno de controlEl entorno de control establece el tono de una organización, influyendo en laconciencia de control de su personal. Es el fundamento para todos los compo-nentes del control interno, el que da disciplina y estructura.
68
Entrada Cualquier información introducida a una computadora o el proceso de ingresardatos a la computadora.
ÉticoRelacionado con principios morales.
Evaluación de riesgoLa evaluación de riesgo es el proceso de identificación y análisis de los riesgosrelevantes al alcanzar los objetivos de la entidad y determinar una respuestaapropiada.
F
FraudeInteracción fuera de la ley entre dos entidades, donde una de las partes inten-cionalmente defrauda a la otra a través de representaciones falsas para ganarventajas ilícitas o injustas. Involucra actos de engaño, conciliación falsa, utili-zados para ganar alguna ventaja injusta o deshonesta. (INCOSAI XVI, Uru-guay 1998).
G
GerenciaComprende a los gerentes y otros que realizan funciones superiores de la geren-cia. La gerencia incluye directores y al comité de auditoría sólo en los casos enlos que éstos cumplen tales funciones. (IFAC).
I
IncertidumbreLa falta de habilidad para saber de antemano la exacta probabilidad o impactode eventos futuros. (COSO ERM)
Independencia• La libertad que se le da a un cuerpo de auditoría y a sus auditores para actuaren concordancia con los poderes de auditoría conferidos a ellos, sin ningunainterferencia externa (glosario).• La libertad que tiene una Institución Suprema de Auditoría en temas de audi-toría, para actuar de acuerdo a sus mandatos sin dirección externa o interferen-cia de cualquier clase. (Normas de auditoría INTOSAI).• La libertad no condicionada que amenaza la objetividad o la apariencia deobjetividad. Tales amenazas a la objetividad deben ser gestionadas a nivel deauditor individual, de compromiso, funcional y organizativo (IIA).
69
• La habilidad de un auditor para mantener un punto de vista imparcial en elcumplimiento de servicios profesionales (independencia de hecho). (Arens, Elder& Beasley).• La habilidad de un auditor para mantener un punto de vista imparcial ante losojos de los demás (independencia en apariencia). (Arens, Elder & Beasley).
Institución de auditoría Organización que, sea cual fuere su designación, composición u organizaciónlleva a cabo obligaciones de auditoría externa en concordancia con la ley (glo-sario).
Intervención gerencialLas acciones de la gerencia sobre la reglamentación de las políticas prescritaso los propósitos legítimos; la intervención gerencial generalmente es necesa-ria para tratar con transacciones no recurrentes o que no hayan sido normadaso eventos que de otra manera serían manejados por el sistema en forma noapropiada (contrastar este término con el de regulación gerencial) (COSO1992).
Instituto de auditores internos (IAI)Esta es una organización que establece normas éticas y de práctica, provee capa-citación y fortalece el profesionalismo entre sus miembros.
Entidad Fiscalizadora Superior (EFS)La organización pública de un Estado que, sin importar su diseño, constituciónu organización, ejerce por ley, la más alta función pública de auditoría de eseEstado. (Normas de auditoría INTOSAI & IFAC).
IntegridadLa calidad o el estado de un importante principio moral; rectitud, honestidad ysinceridad; el deseo de hacer las cosas correctamente, profesar y vivir deacuerdo con ciertos valores y expectaciones. (COSO 1992).
L
Legislatura La autoridad que hace las leyes en un país, por ejemplo el Parlamento. (Normasde auditoría INTOSAI)
Limitaciones inherentesLas limitaciones de todos los sistemas de control interno. Las limitaciones serelacionan a los límites del juicio humano; problemas de los recursos y la nece-sidad de considerar el costo de los controles en relación con los beneficios quese esperan. Puede ocurrir una caída del sistema, y la posibilidad de que la geren-cia exagere sus controles o incurra en colusiones. (COSO 1992).
70
M
Mapa de riesgoUna mirada conjunta o matriz de los riesgos clave que enfrenta una entidad ouna unidad que incluye el nivel de impacto (ejemplo: alto, medio, bajo) juntocon la probabilidad de que el evento ocurra.
Marco central Una computadora de alto nivel diseñada para las tareas computacionales másintensivas. Las computadoras de marco central son compartidas muchas vecespor múltiples usuarios conectados a la computadora por terminales.
SeguimientoEl seguimiento es un componente del control interno y es el proceso que valorala calidad del sistema de control interno a través del tiempo.
O
Objetividad
Es una actitud mental que permite que los auditores externos e internos de lasEFS realcen su actividad de tal manera que crean de honesta en su trabajo y quetengan compromisos con otros en detrimento de la calidad del mismo. La obje-tividad requiere que los auditores no subordinen su juicio sobre temas de audi-toría a la de otros.
Operaciones• La palabra usada con “objetivos” o “controles” tiene que ver con la efectivi-dad o la eficiencia de las actividades de una entidad, incluyendo la actuación ybeneficio de los objetivos, y salvo guardando los recursos. (COSO 1992).• Las funciones, procesos, y actividades con los que los objetivos de una enti-dad son alcanzados.
OrdenadamenteSignifica en forma ordenada, metódicamente.
Organización Internacional de Instituciones fiscalizadoras superiores(INTOSAI)INTOSAI es la organización profesional de las instituciones fiscalizadoras supe-riores (EFS’s) en los países que pertenecen a las Naciones Unidas o a sus agen-cias especializadas. Las EFS’s juegan un rol central en la auditoría de cuentasgubernamentales y operaciones, y en la promoción de gerencias financierassólidas y respondabilidad en los gobiernos. INTOSAI se fundó en 1953 y hacrecido de los 34 países que eran miembros al inicio, a tener más de 1870miembros en el presente.
71
P
Partes en juegoLas partes que son afectadas por la entidad, tales como los involucrados, lascomunidades en las que la entidad opera, empleados, clientes y proveedores.(COSO ERM).
PolíticaInstrucción gerencial sobre lo que se debe hacer para efectuar un control. Unapolítica sirve de base para la implantación de los procedimientos. (COSO1992).
PresupuestoCuantitativamente, es la expresión financiera de un programa de medidas plani-ficadas para un determinado período. El presupuesto se diseña con una visión deplanificar operaciones futuras y de hacer revisiones ex post sobre los resultadosobtenidos. (glosario)
ProcedimientoEn tecnología de la información, la ejecución de las instrucciones de un pro-grama por la unidad central de procesamiento de la computadora.
Proceso gerencialLa serie de acciones tomadas por la gerencia para manejar una entidad. Elcontrol interno es parte de un proceso integrado con la gerencia (COSO1992).
Programa de seguridadUn programa de toda una organización para la seguridad de planificación ygerencia que forma el fundamento de la estructura de control de seguridad deuna organización y refleja la entrega de la gerencia superior a la atención de losriesgos de seguridad. El programa debería establecer un marco y un ciclo decontinuidad de la valoración de riesgo, desarrollando e implementando procedi-mientos efectivos de seguridad, y realizando el seguimiento de la efectividad deesos procedimientos.
R
RedEn tecnología de la información, un grupo de computadoras y los accesoriosnecesarios comunicados por equipos de información. Una red puede invo-lucrar conexiones permanentes, tales como cables, o conexiones tempora-les hechas a través del teléfono o de otros vínculos comunicacionales. Unared puede ser tan pequeña como una red local que consista en unas cuantascomputadoras, impresoras u otros accesorios, o puede consistir en muchas
72
computadoras grandes y pequeñas distribuidas en una vasta área geográ-fica.
Respondabilidad• El proceso en el que las organizaciones de servicio público y los individuosque las conforman son responsables por sus decisiones y acciones, incluyendosu salvaguarda de fondos públicos y su desempeño.• Obligación impuesta a una persona o entidad auditadas de presentar que haadministrado o controlado los fondos que le fueron confiados conforme a lostérminos en los que le fueron entregados.
Responsabilidad públicaLas obligaciones de personas y entidades, incluyendo a empresas públicas y cor-poraciones, a las que se les confían los recursos públicos para que éstos respon-dan a las responsabilidades fiscales, gerenciales y programadas que les hayansido conferidas, y para reportar ante quienes les han conferido estas responsabi-lidades. (Normas de Auditoría INTOSAI).
Revisiones editadas (información por excepción)Controles programados concebidos en las primeras fases del proceso de las entradas para identificar campos erróneos de información. Por ejemplo,los caracteres alfanuméricos que son introducidos hacia los campos nu-méricos, pueden ser rechazados por este control. Los controles editados programados también pueden ser aplicados, por ejemplo, cuando la infor-mación de las transacciones ingresa a un ciclo de proceso desde otra aplica-ción
RiesgoLa posibilidad de que ocurra un evento adverso que afecte el logro de los obje-tivos. (COSO ERM)
Riesgo inherenteEl riesgo que tiene una entidad de que en la ausencia de acciones gerencialespueda mitigar la probabilidad del riesgo o su impacto. (COSO ERM)
Riesgo aceptableLa cantidad de riesgo a la que una entidad está preparada para exponerse antesde que una acción se juzgue necesaria.
Una base amplia de riesgo que una compañía o entidad está dispuesta a aceptaren la búsqueda de su misión o su visión. (COSO. ERM).
Riesgo residual
El riesgo que permanece después de que la gerencia dé respuesta al riesgo.
73
S
SalidasEn tecnología de la información, los datos/información producidos por el proce-sador de una computadora, tal como un gráfico en una terminal, o una copiaimpresa.
Sector públicoEl término “sector público” se refiere a los gobiernos nacionales, regionales(por ejemplo: estatal, provincial, territorial), a los gobiernos locales (por ejem-plo: ciudad, pueblo) y entidades gubernamentales relacionadas (por ejemplo:agencias, directorios, comisiones y empresas). (IFAC).
Seguridad razonable• Es igual a un nivel satisfactorio de confianza bajo consideraciones dadas decostos, beneficios y riesgos.• El concepto de que el control interno, sin importar su buen diseño y opera-ción, no puede garantizar que los objetivos de la entidad sean alcanzados. Estose debe a limitaciones inherentes de todos los sistemas de control interno(COSO 1992).
Sistema de control interno (o proceso, o arquitectura)Un sinónimo de control interno, aplicado en una entidad. (COSO 1992).
Sistemas computarizados de información Un ambiente de sistemas de información por computadora existe cuando unacomputadora de cualquier tipo o tamaño está involucrada en el procesamientode información financiera que tenga significado para la auditoría, sea esta com-putadora operada por la entidad o por una tercera parte. (IFAC).
Segregación (o separación) de funcionesPara reducir el riesgo de error, desperdicios, acciones equivocadas y el riesgoque conlleva no detectar estos problemas, un solo individuo o equipo no debencontrolar todas las fases clave (autorización, procesamiento, archivo y revisión)de una transacción o evento.
Sistema de softwareEs el software que primeramente está relacionado con el control del hardware ylas fuentes de comunicación, acceso a carpetas y archivos y el control y progra-mación de aplicaciones.
Sobre-regulación gerencialLa sobre-regulación gerencial de políticas prescritas o procedimientos para pro-pósitos ilegítimos con la intención de obtener ganancias personales o permitir lapresentación errónea de la condición financiera de una entidad (contrastar estetérmino con el de intervención gerencial) (COSO 1992).
74
T
Tolerancia al riesgoEs la variación relativa aceptable en la consecución de los objetivos. (COSO:ERM).
U
Últimos operadores Se refiere a la utilización de procesamientos de información no centralizados(ejemplo: que no sean del departamento IT) que utiliza procedimientos automa-tizados desarrollados por los últimos usuarios, generalmente con la ayuda depaquetes de software (ejemplo: bases de datos). Los procesos de los últimosoperadores pueden ser sofisticados y convertirse en una fuente extremadamenteimportante de la información de la gerencia. Si están adecuadamente probados ydocumentados puede ser un hecho a cuestionar.
Unidad de control interno• Departamento (o actividad) dentro de una entidad, a la que se le confía revi-siones y valoraciones de los sistemas de la entidad y procedimientos para mini-mizar la probabilidad de un fraude, errores y prácticas ineficientes. La auditoríainterna debe ser independiente dentro de una organización y reportar directo a lagerencia (glosario).• Un departamento, división o equipo de consultores u otros profesionales queproporciona una garantía independiente y objetiva así como servicios de consul-toría diseñados para añadir valor y mejorar la operativa de la organización. ElControl Interno ayuda a la organización a cumplir sus objetivos mediante el usode un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia enlos procesos de gestión del riesgo, control y administración (IIA).
V
Valores éticosLos valores éticos son los que permiten que quien toma una decisión determineun curso apropiado de conducta, estos valores deben estar basados en lo que es“correcto”, que puede ir más allá de lo que es legalmente requerido. (COSO1992).
Valor por dineroVer economía, efectividad y eficiencia.
Valoración de riesgoSignifica estimar el significado de un riesgo y valorar la probabilidad de la ocu-rrencia de éste.
75
INTOSAI GOV 9110Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
Directrices referentes a los informes sobre la eficacia de los controles internos: Experiencias de las EFS en la implantación y la evaluación de los controles internos
I N T O S A I
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI General Secretariat - RECHNUNGSHOF (Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2 A-1033 VIENNA
AUSTRIA Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
INTOSAI
Directrices referentes a los informes sobre la eficacia de los controles internos: Experiencias de las EFS en la implantación y la evaluación de los controles internos
Publicado por la Comisión de Normas de Control Interno
PRÓLOGO
Capítulo I INTRODUCCIÓN
Capítulo II IMPLANTACIÓN EFICAZ DE NORMAS GENERALES GARANTÍA RAZONABLE RESPALDO INTEGRIDAD Y COMPETENCIA OBJETIVOS DE CONTROL VIGILANCIA DE LOS CONTROLES
Capítulo III EL LOGRO DE OBJETIVOS DE CONTROL MEDIANTE NORMAS ESPECÍFICAS LA DOCUMENTACIÓN REGISTRO OPORTUNO Y ADECUADO DE LAS TRANSACCIONES Y HECHOS AUTORIZACIÓN Y EJECUCIÓN DE LAS TRANSACCIONES Y HECHOS DIVISIÓN DE LAS TAREAS SUPERVISIÓN ACCESO A LOS RECURSOS Y REGISTROS Y RESPONSABILIDAD ANTE LOS MISMOS
Capítulo IV LA CONSECUCIÓN DE ESTRUCTURAS EFICACES DE CONTROL INTERNO EL APOYO LEGISLATIVO LAS NORMAS DE CONTROL INTERNO LA RESPONSABILIDAD DE LA DIRECCIÓN AUTOEVALUACIONES AUDITORÍAS INTERNAS LA RESPONSABILIDAD DE LA EFS CONCLUSIONES
APÉNDICE I ENTIDADES FISCALIZADORAS SUPERIORES PARTICIPANTES EN EL ESTUDIO
PRÓLOGO
En junio de 1992 la Comisión de Normas de Control Interno de la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) publicó unas Directrices para las Normas de Control Interno. Las normas expuestas en estas directrices estaban destinadas a que los responsables de la Administración pública las utilizasen para implantar una estructura eficaz de control interno, y a que los auditores oficiales las empleasen para evaluar dicha estructura.
Cinco años después, la comisión invitó a los miembros de la INTOSAI a comunicar las experiencias de sus países en el desarrollo, mantenimiento y evaluación de las estructuras de control interno basadas en los criterios. En este documento se ofrece una visión general de las respuestas recibidas de
- Bolivia, Oficina del Contralor General;
- China, Oficina Nacional de Auditoría;
- Costa Rica, Oficina del Contralor General;
- Egipto, Organización Central de Auditoría;
- Estados Unidos, Oficina General de Auditoría de Cuentas;
- Islandia, Oficina Nacional de Auditoría;
- Japón, Consejo de Auditoría;
- Nueva Zelandia, Oficina de Auditoría;
- Países Bajos, Tribunal de Auditoría de los Países Bajos;
- Reino Unido, Oficina Nacional de Auditoría;
- Sudáfrica, Auditor General, y
- Tonga, Oficina de Auditoría.
La Comisión agradece a estos miembros de la INTOSAI su participación en este proyecto. Sus experiencias en la utilización de las normas de control interno de la INTOSAI pueden servir de ayuda a todos los miembros de la INTOSAI en la consecución o el mejoramiento de su capacidad para diseñar estructuras de control interno de alta calidad y para evaluarlas adecuadamente, fortaleciendo así la gestión financiera y la obligación de rendir cuentas del sector público.
Arpad Kovacs
Oficina de Auditoría del Estado de Hungría
Presidente, Comisión de Normas de Control Interno
Capítulo I
INTRODUCCIÓN
Las Directrices para las Normas de Control Interno de la INTOSAI, de junio de 1992, definen una estructura de control interno con respecto a los planes de una organización, lo cual abarca la actitud, los métodos, los procedimientos y otras medidas de gestión, que proporcionen una garantía razonable de que van a lograrse los siguientes objetivos de carácter general:
- promover las operaciones metódicas, económicas, eficientes y eficaces y los productos y servicios de calidad, acorde con la misión que la institución debe cumplir;
- preservar los recursos frente a cualquier pérdida por despilfarro, abuso, mala gestión, errores, fraude e irregularidades;
- respetar las leyes, reglamentaciones y directivas de la dirección; y
- elaborar y mantener datos financieros y de gestión fiables y presentarlos correctamente en los informes oportunos.
Las normas de control interno prescritas por la INTOSAI constituyen el marco para una estructura de control interno que cumpla estos objetivos. Las normas generales y específicas de la INTOSAI se hacen constar de nuevo en los capítulos II y III, respectivamente. Estos capítulos destacan asimismo los puntos de vista que han sido transmitidos por los miembros de la INTOSAI. Sus elocuentes perspectivas se exponen en el contexto de las prácticas de control que han funcionado correctamente, y de los ejemplos de deficiencias en el control que han sido descubiertas.
La información proporcionada por los miembros de la INTOSAI para este estudio también ha sido valiosa para identificar aquellas prácticas que las Entidades Fiscalizadoras Superiores han considerado más útiles para la creación y supervisión de un marco sólido de control interno. Estas prácticas comunes son las siguientes:
- disponer de una norma constitucional o legislativa que establezca jurídicamente una base global (o un requisito y unos objetivos) para el mantenimiento de controles internos eficaces;
- estipular el cumplimiento de determinadas normas al diseñar una estructura de control interno, y que se ajusten al modelo de las normas de la INTOSAI, o se deriven de éstas;
- centrar la atención de la dirección en sus responsabilidades con respecto a la implantación de controles internos eficaces, y mantener de manera continuada un entorno positivo de control interno;
- esforzarse por evitar los fallos del control interno - en lugar de limitarse a detectarlos y corregirlos - a través de medios como la obligación de que los directivos realicen con periodicidad autoevaluaciones de las actividades de control interno;
- acentuar la función de los auditores internos como parte decisiva de la estructura de control interno de una organización; y
- garantizar que las Entidades Fiscalizadoras Superiores desempeñen un papel clave en (1) el establecimiento de normas de control interno, (2) la creación de un marco sólido de control interno, (3) el trabajo conjunto con los auditores internos, y (4) la evaluación de los controles
internos como parte integrante de las auditorías financieras y de las auditorías del rendimiento.
Estos elementos característicos de una adecuada estructura de control interno se exponen con más detenimiento en el capítulo IV. Otorgan aún más fuerza a las directrices que la Comisión de Controles Internos de la INTOSAI promulgó en junio de 1992 acerca de estos aspectos.
Capítulo II
IMPLANTACIÓN EFICAZ DE NORMAS GENERALES
Para facilitar el adecuado entorno de control dentro de una organización, la INTOSAI ha establecido normas generales de control interno en las áreas siguientes: (1) garantía razonable, (2) respaldo, (3) integridad y competencia, (4) objetivos de control, y (5) vigilancia de los controles.
GARANTÍA RAZONABLE
La primera norma general de control interno de la INTOSAI afirma que las estructuras de control interno deben proporcionar una garantía razonable de que van a cumplan los objetivos generales. La garantía razonable equivale a un nivel satisfactorio de confianza, dentro de determinadas condiciones de costes, beneficios y riesgos. Esto significa que el coste del control interno no deberá exceder del beneficio obtenido. Los países miembros de la INTOSAI han experimentado la aplicación de esta norma.
Nueva Zelandia, por ejemplo, informa que cada director general de un departamento de la Administración pública, como directivo responsable, está obligado a establecer y mantener un sistema de procedimientos de control interno que proporcione una garantía razonable acerca de la integridad y la fiabilidad de la información financiera. Si bien esta responsabilidad normalmente se delega al director financiero de la organización, tanto el director general como el director financiero suscriben una Declaración de Responsabilidad, que se incluye como parte del informe anual de la organización junto con los estados financieros auditados y las mediciones del rendimiento de los servicios.
En el Japón la garantía razonable de que los controles internos se realizan con eficacia se ve afectada por actividades del sector público que en los últimos decenios se han vuelto cada vez más complicadas y diversificadas, y por la creciente delegación de autoridad a los niveles inferiores. Sin embargo, la Constitución del Japón proporciona el fundamento global necesario para crear un entorno de control eficaz a través de requisitos tales como (1) que el Consejo de Ministros presente cada año al Parlamento las cuentas definitivas de los ingresos y gastos del Estado, y (2) el Consejo de Auditoría verifique dichas cuentas todos los años.
En cambio, se indica que en la República de Sudáfrica los controles internos de la Administración pública aún no poseen un nivel satisfactorio ni eficaz. Ello se debe a los importantes cambios que se han producido en la estructura de la Administración a lo largo de los últimos años, por ejemplo la fusión entre las Administraciones de los anteriores territorios independientes y autosuficientes de cada etnia y la Administración de la República de Sudáfrica. Además, las provincias aumentaron de cuatro a nueve, lo cual implica cinco nuevas administraciones provinciales. Debido al establecimiento del nuevo ámbito provincial, se redujo el ámbito nacional, con objeto de permitir la transferencia de determinados poderes al legislador provincial. A nivel local, la estructura se modificó en el sentido de que los
anteriores Consejos Municipales fueron sustituidos por los Consejos Municipales Transitorios. Además de esta situación, la dirección no siempre posee los conocimientos necesarios para implantar los controles internos apropiados y mantenerlos en funcionamiento.
Aunque el entorno de control interno de la República de Sudáfrica no proporciona en la actualidad una garantía razonable de que se han instaurado y funcionan en la forma esperada los adecuados controles internos, la Administración es consciente de este problema y lo afronta, por ejemplo, implantando una función de auditoría interna en todas las entidades públicas. Asimismo, la Administración ha designado consultores locales e internacionales para facilitar la creación de un instituto profesional de finanzas y auditoría públicas.
RESPALDO
Otra norma general de control estipula que los directivos y los empleados habrán de mostrar y mantener en todo momento una actitud positiva y de apoyo frente a los controles internos. Los países miembros de la INTOSAI han aprendido de primera mano el papel central que desempeña esta norma dentro de la creación de un entorno de control interno eficaz.
Por ejemplo, a principios del decenio de 1990, la Oficina Nacional de Auditoría de Islandia llevó a cabo varias auditorías en las principales entidades crediticias de la Administración pública que mostraban graves deficiencias en toda una serie de aspectos relacionados con el control, la supervisión, y la información sobre créditos morosos. En muchos casos, la actitud despreocupada de los directivos de la Administración pública en relación con los controles adecuados de los préstamos, los cobros, la gestión del riesgo y la aplicación de las reservas destinadas a los préstamos no devueltos constituía un factor que contribuía a las deficiencias advertidas. Como consecuencia, a finales de 1991 el Fondo de Desarrollo de Islandia dejó de funcionar porque sus directivos no habían tenido en cuenta la importancia de los préstamos no recuperados. Se han logrado mejoras en algunos aspectos, por ejemplo la adecuada contabilización de las reservas correspondientes a préstamos fallidos, que ahora todos los fondos principales de la Administración llevan a cabo de manera periódica.
Otro ejemplo de este tipo fue la quiebra -durante los decenios de 1980 y 1990- de importantes entidades bancarias y de crédito y ahorro de los Estados Unidos, que costaron a la Administración federal cientos de miles de millones de dólares. Una de las causas principales de dichas quiebras fue la deficiencia en el control; un factor clave en la aparición de esas deficiencias estuvo constituido por un error fundamental en la filosofía y el estilo operativo de la dirección con respecto a los controles internos. Por ejemplo, en algunas entidades de crédito y ahorro la inadecuada supervisión del consejo de administración y la existencia de una figura predominante ejerció un efecto perjudicial sobre la viabilidad de la entidad. Esto permitió actividades de alto riesgo, tales como un exceso de prácticas orientadas al crecimiento, concentraciones de créditos no garantizados y un exceso de confianza en fuentes crediticias poco sólidas.
Sin embargo, los países miembros de la INTOSAI, incluidos Islandia y los Estados Unidos, consideran que el control interno constituye una parte básica y de gran importancia para sus actividades financieras. Por ejemplo, como reacción ante las quiebras de entidades bancarias y de crédito y ahorro, el Congreso de los EE.UU. promulgó la Ley de Mejora de las Entidades de Depósito Federales de 1991, con objeto de hacer frente a las graves deficiencias que contribuyeron a las anteriores quiebras bancarias, y exigir datos acerca de la eficacia de los controles internos sobre la información financiera. En otro caso, el gobierno del Reino de Tonga ha demostrado una actitud de apoyo a los controles internos mediante la aprobación de
leyes y el establecimiento de las correspondientes reglamentaciones y políticas. Esto abarca (1) leyes que crean un marco de control interno con respecto al desembolso de fondos públicos y la elaboración de cuentas, y (2) reglamentaciones que establecen los puntos de control interno con respecto a la recepción, el gasto, la custodia y la concesión de fondos públicos. Además, el Departamento de Auditoría pone de relieve ante los distintos departamentos de la Administración la importancia de mejorar los controles internos sobre la gestión y los programas financieros.
INTEGRIDAD Y COMPETENCIA
Con respecto a la integridad y la competencia, las normas generales de control de la INTOSAI prescriben lo siguiente. Los directivos y los empleados deben caracterizarse por su integridad personal y profesional y poseer un nivel de competencia que les permita comprender la importancia del desarrollo, la aplicación y el mantenimiento de controles internos apropiados y alcanzar los objetivos generales de dichos controles. Varios países de la INTOSAI han comprobado que, cuando no se cumple esta norma general, se produce un deficiente control interno sobre situaciones en las que intervienen grandes sumas de dinero.
En una situación de esta clase, durante una inspección de la adquisición de bienes y servicios por parte del conjunto de la Administración, lo cual representa una proporción significativa del gasto público de Nueva Zelandia, la Oficina de Auditoría descubrió un conjunto de deficiencias que se atribuyeron, en parte, a la falta de integridad y competencia de los responsables de compras. Las deficiencias iban desde la no documentación de los procesos de toma de decisiones acerca de las necesidades de compra y la no especificación de delegaciones de autoridad, hasta la no realización de una inspección y aprobación adecuadas de las compras específicas. La Oficina de Auditoría de Nueva Zelandia también informa que una reciente atención a los aspectos más delicados de los gastos discrecionales, por ejemplo la utilización de tarjetas de crédito, ha puesto en tela de juicio la integridad de altos funcionarios.
Otro caso a este respecto es el Departamento de Vivienda y Urbanismo (DVU) de los Estados Unidos, que constituye el principal órgano de la Administración encargado de la vivienda, el desarrollo comunitario y la igualdad de oportunidades de vivienda. El DVU ha tomado medidas para modificar la forma de gestionar este organismo, pero en 1989 se descubrieron importantes casos de fraude, abusos y gestión errónea del DVU, que fueron atribuidos a deficiencias en el control interno, junto con la carencia de personal dotado de las capacidades técnicas adecuadas.
Por otra parte, los países miembros de la INTOSAI también señalan que han diseñado sistemas de control interno que ayudan a evitar situaciones como las que se acaban de exponer. Por ejemplo, la Oficina Nacional de Auditoría de la República Popular de China indica que se han implantado controles internos sobre las necesidades de personal. Los solicitantes de un puesto de trabajo se someten a exámenes estrictos, son evaluados de forma pública e imparcial, y se da formación a los nuevos miembros. No se les permite ocupar sus nuevos puestos hasta que estén en condiciones de obtener el "Certificado para el Puesto". De este modo se les reconoce de conformidad con las capacidades que posean. Además, los miembros son examinados con periodicidad, y se les premia o se les castiga según su rendimiento laboral y la contribución que realizan a su organización. En caso necesario, se les traslada a otros puestos.
OBJETIVOS DE CONTROL
Las normas de control interno de la INTOSAI también indican que los objectivos del control deben identificarse o elaborarse para las actividades de cualquier ministerio/dependencia/entidad pública y deben ser apropiados, completos, razonables y estar integrados en los objetivos generales de la institución. Los casos siguientes ilustran las experiencias de los países miembros de la INTOSAI en el establecimiento de objetivos de control, que en algunos casos, sin embargo, aún no han ido más allá del establecimiento de objetivos globales de la organización.
El Auditor General de la República de Sudáfrica indica que uno de los objetivos primordiales de la Administración consiste en evitar errores o irregularidades en la gestión o en la información financiera, y si se producen, detectarlos. Se ha establecido una gama de objetivos específicos de control global, consistentes en (1) registrar y contabilizar adecuadamente las transacciones y actividades empresariales, (2) proteger los activos y la información con respecto a la apropiación y el uso indebidos, y (3) fijar limitaciones con respecto a las obligaciones que los diversos funcionarios estén autorizados a contraer en representación de una entidad.
Asimismo, el Auditor General del Reino de Tonga informa que ha tomado la iniciativa de establecer y desarrollar objetivos de control específicos para cada actividad de los Ministerios y departamentos de la Administración. El Auditor General está poniendo en práctica un proceso que garantiza que los objetivos son apropriados, completos y razonables, y se integran dentro de la estructura general de la organización existente. Como fundamento de este proceso se utilizan las directrices de control interno de la INTOSAI.
A la inversa, cuando los controles internos y sus objetivos no se establecen ni se comprenden con claridad, pueden producirse fracturas en el control interno. Por ejemplo, el Consejo de Auditoría del Japón descubrió que los municipios, de forma inadecuada, incluían los costes médicos de muchos jubilados en los costes del Seguro Nacional de Salud subvencionado por el Estado. Esto provocaba un exceso significativo en el coste de las subvenciones. En parte, el problema surgió porque los municipios no comprendían el sistema y los requisitos de las subvenciones oficiales a los costes médicos.
VIGILANCIA DE LOS CONTROLES
Además, las normas de la INTOSAI especifican que los directivos deben vigilar continuamente sus operaciones y adoptar inmediatamente las medidas oportunas ante cualquier evidencia de irregularidad o de actuación contraria a los principios de economía, eficiencia o eficacia. Los ejemplos siguientes muestran la importancia de supervisar las operaciones con objeto de garantizar que los controles logran los resultados deseados, e incorporar esta norma a los métodos y procedimientos utilizados para controlar las operaciones.
En determinado caso, la Oficina Nacional de Auditoría islandesa señala que una de las deficiencias principales del control interno consistía en que los directivos de los distintos organismos no comprendían la importancia de los controles internos. Junto con otros problemas, esta deficiencia se podía apreciar en la no aplicación de la estructura de control interno que se había establecido. La Oficina Nacional de Auditoría afirmó que, si bien un organismo de la Administración islandesa podía tener controles internos perfectamente definidos sobre el papel, la realidad es muy diferente. La Oficina de Auditoría ha descubierto que, sin la necesaria comprensión y supervisión, a las personas les resulta más cómodo no cumplir las prácticas de control que se hayan establecido.
Otro caso afecta a la Administración pública de Nueva Zelandia, que suele emplear consultores que representan un gasto importante. La Oficina de Auditoría de Nueva Zelandia informa acerca de las operaciones irregulares, antieconómicas, ineficientes e ineficaces vinculadas con la utilización de consultores. Además, la Oficina ha comprobado que los organismos no actuaban con rapidez y sensibilidad ante estos descubrimientos, y por lo tanto, se incumplía la norma que exigía la existencia de controles de supervisión.
En una comunicación más positiva, la Oficina Nacional de Auditoría del Reino Unido informa que, cuando se identifican y se hacen públicas las deficiencias en los controles internos, la dirección se muestra sensible a los puntos planteados, y normalmente se toman medidas correctoras con rapidez. El objetivo de la Oficina consiste en supervisar la actividad de seguimiento, y en caso necesario, proporcionar un asesoramiento adicional a la dirección. En la planificación posterior de las verificaciones se reflejarán las nuevas áreas de riesgo que haya descubierto la auditoría.
Capítulo III
EL LOGRO DE OBJETIVOS DE CONTROL MEDIANTE NORMAS ESPECÍFICAS
Para lograr los objetivos de control y una estructura de control interno ordenado y eficaz, las directrices de control interno de la INTOSAI estipulan normas detalladas referentes a los siguientes elementos: (1) documentación, (2) registro oportuno y adecuado de las transacciones y hechos, (3) autorización y ejecución de las transacciones y hechos, (4) división de las tareas, (5) supervisión, y (6) acceso a los recursos y responsabilidad ante los mismos.
LA DOCUMENTACIÓN
Con relación a la documentación adecuada, las normas específicas de la INTOSAI indican lo siguiente. La estructura de control interno y todas las transacciones y hechos significativos deben estar claramente documentadas y la documentación debe estar disponible para su verificación. La documentación de las transacciones o de los sucesos significativos tiene que ser completa y exacta, y debe permitir que cada transacción o suceso (y la información correspondiente) se rastree desde su inicio, durante toda su duración, y hasta su finalización. Diversos países miembros de la INTOSAI informan que se han hecho conscientes de las consecuencias perjudiciales de no disponer de la documentación adecuada, como ilustran las tres situaciones siguientes.
En primer lugar, la Oficina Nacional de Auditoría del Reino Unido ha informado sobre casos de inexistencia o inadecuación de la documentación que sirva de apoyo a las transacciones financieras que se han descubierto como consecuencia de auditorías financieras. Por ejemplo, la Oficina de Auditoría informó sobre casos de
- inexistencia de documentación aportada por los empleados que sirva de apoyo a los pagos realizados en concepto de gastos efectuados con tarjetas de crédito de la Administración pública;
- inexistencia de documentación adecuada que sirva de apoyo a las solicitudes de ayuda fundadas jurídicamente, lo cual provoca una insuficiencia de pruebas que confirmen la titularidad y la adecuación de los pagos, en la forma autorizada por el Parlamento; e
- incapacidad de un organismo de la Administración para presentar documentación en apoyo de la decisión de su consejo de dirección que desestima una oferta competitiva en relación con un contrato.
En segundo lugar, los departamentos, Ministerios y organismos oficiales de la Administración pública de Tonga también han descubierto casos de documentación y registros inexistentes e incompletos. Por ejemplo, en un departamento se perdieron recibos, pero el jefe de contabilidad y la sección de contabilidad no consideraron que este hecho fuese grave o contrario a las leyes y reglamentaciones.
En tercer lugar, como consecuencia del examen de la documentación que sirve de apoyo a las transacciones, el Auditor General de la República de Sudáfrica descubrió e informó al Parlamento sobre una notable cantidad de pagos del Ministerio de Trabajo en los que se había abonado a los beneficiarios una misma suma por duplicado, tomando como base el mismo documento de origen. En otros casos, se había pagado de nuevo la misma suma, basándose en el mismo documento de origen, aunque los nombres de los beneficiarios no fuesen idénticos. La cuantía de estos pagos dobles o múltiples era muy importante.
Para ayudar a superar este tipo de deficiencias, las normas de control interno de la INTOSAI disponen que la documentación de las transacciones o los sucesos significativos tiene que ser completa y exacta. Esto permitirá que cada transacción o suceso (y la información correspondiente) se rastree desde su inicio, a lo largo de toda su duración, y hasta su finalización.
REGISTRO OPORTUNO Y ADECUADO DE LAS TRANSACCIONES Y HECHOS
Las normas específicas de la INTOSAI también estipulan que las transacciones y hechos importantes deben registrarse immediatamente y ser debidamente clasificados. Esto se aplica a todo el proceso o ciclo vital de una transacción o suceso, que abarca (1) el inicio y la autorización, (2) todas los aspectos de la transacción, y (3) su anotación final en los registros sumarios. Al igual que ocurre con la documentación, los miembros de la INTOSAI también han informado sobre los desafíos que implica el cumplimiento de esta norma.
Por ejemplo, debido a los errores en el control interno del sistema utilizado para abonar los salarios del personal del Ejército de los Estados Unidos, a algunas personas se les pagaron sumas que no deberían habérseles abonado, porque ya no pertenecían al Ejército. Además, estos pagos erróneos no fueron detectados por el sistema de nóminas. Durante un período de un mes sometido a revisión por la Oficina de Contabilidad General de los EE.UU., se descubrió que se realizaban pagos excesivos a unos 2.200 soldados del Ejército. Muchas de estas personas recibieron pagos no autorizados durante varios meses, con un exceso total de 7,8 millones de dólares. Los pagos inadecuados se produjeron primordialmente porque el personal del Ministerio de Defensa de los EE.UU. no se ajustaba a los procedimientos estipulados. Por ejemplo, las oficinas contables de primer nivel no siempre hacían constar con puntualidad en el sistema de nóminas las bajas del servicio activo de los soldados y otras transacciones relacionadas con el personal, y los empleados de nóminas no disponían del soporte adecuado para la realización de determinados pagos.
La Oficina Nacional de Auditoría del Reino Unido también ha informado acerca de casos que ha calificado como puntos débiles del control, correspondientes a transacciones no registradas de manera rápida y apropiada. En determinado caso no se habían establecido procedimientos que garantizasen el manejo y registro rápido y seguro de los recibos de sumas de dinero en
efectivo. Por ejemplo, la Oficina descubrió retrasos de más de dos semanas en el depósito de cheques, lo cual aumentaba el riesgo de apropiación indebida. En otro caso la Oficina informó sobre deficiencias en el control financiero de las compras, que abarcaba la inexistencia de registros acerca de transacciones tales como los pedidos de compras, una prueba inadecuada de la entrega, y una comprobación inadecuada de los artículos recibidos.
Además, numerosos organismos de la Administración pública de Nueva Zelandia han sido sometidos a significativos cambios en su sistema de funcionamiento, que con anterioridad no se habían comprobado íntegramente. Esto ha provocado casos de procesamiento impuntual de transacciones, y de ausencia de conciliaciones; la Oficina Nacional de Auditoría de ese país ha informado sobre frecuentes deficiencias en el control.
Para impedir situaciones como éstas, las normas de control interno de la INTOSAI afirman la importancia esencial de un registro rápido y apropiado de la información. El cumplimiento de esta norma resulta decisivo para garantizar la puntualidad y la fiabilidad - y por consiguiente, el valor y la relevancia para la dirección - de todas las informaciones utilizadas por una organización como soporte de sus operaciones y toma de decisiones.
AUTORIZACIÓN Y EJECUCIÓN DE LAS TRANSACCIONES Y HECHOS
Las normas específicas de la INTOSAI establecen que las transacciones y hechos relevantes sólo podrán ser autorizados y ejecutados por aquellas personas que actúen dentro del ámbito de sus competencias. Actuar dentro del ámbito que corresponda a una autoridad significa que los empleados ejecutan sus tareas de conformidad con las directrices y dentro de los límites que establecen la dirección o la legislación.
Sin embargo, algunos miembros de INTOSAI han informado sobre casos en los que un control más estricto sobre la autorización de las transacciones podía dar como resultado unos controles y unos ahorros más eficaces. Por ejemplo, la Oficina Nacional de Auditoría islandesa realizó una verificación de los gastos en automóviles en numerosos sectores de la Administración pública del país. La auditoría puso de manifiesto diversos puntos débiles en la estructura y el control globales en este campo, incluidos numerosos contratos que fueron efectuados de un modo no estructurado por empleados individuales, con independencia de las necesidades de transporte, limitando así la aprobación de la dirección y otros controles.
Otra perspectiva sobre esta cuestión fue expuesta por el Contralor General de la República de Costa Rica mediante un ejemplo que se refiere a la utilización de vehículos oficiales en ese país. Una auditoría detectó que, si bien el empleo de tales vehículos debía autorizarse en la forma apropiada, éstos se utilizaban (1) con propósitos no autorizados, (2) fuera de la jornada laboral, sin autorización, y (3) de manera inadecuada, por parte de funcionarios, con carácter discrecional.
Basándose en estudios sobre este tipo de problemas de control interno, los auditores de China han manifestado que la noción de control interno debe incluir el control de las autorizaciones. Consideran que este control es necesario para garantizar que el personal trabaja dentro de los límites de la autorización otorgada, y así, ejercer un control sobre las actividades de negocio en el momento en que se inician.
DIVISIÓN DE LAS TAREAS
Como en el caso de las demás normas específicas, los países miembros de la INTOSAI comprenden plenamente el riesgo de error, derroche o de actos ilícitos vinculado con el hecho de que una única persona controle todas las fases decisivas de una transacción o un suceso. A este respecto, las directrices de control interno de la INTOSAI estipulan que las tareas y responsabilidades principales ligadas a la autorización, tratamiento, registro y revisión de las transacciones y hechos deben ser asignadas a personas diferentes. El adecuado cumplimiento de esta norma ayuda en gran medida a evitar situaciones como los siguientes episodios dados a conocer por miembros de la INTOSAI, por ejemplo Tonga, que descubrió que la separación de funciones constituye un punto débil importante en los departamentos y Ministerios de su Administración pública.
En ejemplos más específicos, la Oficina de Auditoría de Nueva Zelandia ha descubierto que han surgido riesgos como consecuencia de la utilización de un número elevado de personas encargadas de efectuar contrataciones en determinados organismos de la Administración. Aunque los organismos hayan cumplido su objetivo de reducir gastos, a veces la separación de funciones ha creado un riesgo de otra clase.
Para afrontar este tipo de problemas, Japón indica que el sistema de control que aplica ese país para impedir errores contables y fraudes incluye una separación de funciones entre responsables de la contratación y responsables de los pagos. Por ejemplo, (1) los Ministerios notifican a su responsable de pagos cuando el Ministerio de Hacienda aprueba los programas de pago,(2) los responsables de pagos presentan de forma periódica informes sobre los pagos a los distintos Ministerios, (3) los responsables de contratación notifican a los responsables de los pagos la cuantía/el contenido de los contratos, para su aprobación, (4) los responsables de los pagos aprueban la cuantía/el contenido de los contratos, después de comprobar - por ejemplo - si los contratos se corresponden con las cantidades presupuestadas.
Sin embargo, como informa la Oficina Nacional de Auditoría del Reino Unido, a menudo resulta difícil que las pequeñas organizaciones mantengan la adecuada segregación de funciones. La Oficina ha descubierto casos en que (1) una misma persona podía autorizar y, asimismo, comprobar los pagos, (2) el personal podía solicitar, autorizar y recibir artículos, y (3) existían pocas pruebas, o ninguna, de que se efectuasen comprobaciones de supervisión.
En los casos en que resulta difícil que las pequeñas organizaciones separen adecuadamente las funciones, las directrices de la INTOSAI indican que la dirección debe ser consciente de los riesgos existentes, y afrontarlos mediante otro tipo de controles. Por ejemplo, el cambio periódico de los responsables ayuda a garantizar que no sea una única persona la que se encargue de los aspectos clave de las transacciones o los sucesos durante demasiado tiempo.
SUPERVISIÓN
Las directrices de control interno de la INTOSAI prescriben que debe existar una supervisión competente para garantizar el logro de los objetivos de control interno. Las actividades de los miembros de la INTOSAI en la implantación y verificación de los controles internos han subrayado la importancia de una adecuada supervisión de los encargos y de los empleados como mecanismo fundamental de control interno.
El Contralor General de la República de Costa Rica ha aportado dos excelentes estudios de caso en los que se ha incumplido la norma de supervisión de la INTOSAI. El primer caso está relacionado con un sistema informatizado que utilizan los bancos encargados del cobro de aranceles aduaneros para su transferencia electrónica a las oficinas de Aduanas de todo el
territorio de Costa Rica. Los auditores descubrieron que el proceso establecido por el servicio de Aduanas para confirmar, registrar y revisar esta información permitía una modificación no supervisada de los datos transmitidos electrónicamente, sin ningún soporte ni verificación documental de su validez y fiabilidad.
El segundo caso hace referencia a una evaluación de los recursos de la Administración costarricense empleados para prestar servicios de sanidad, en particular el servicio de consulta ambulatoria que prestaba uno de los mayores hospitales públicos del país. Los auditores informaron que los recursos médicos se encontraban significativamente infrautilizados porque no se cumplía el programa de trabajo establecido, lo cual provocaba un uso inadecuado del equipo y las instalaciones disponibles, y un retraso en la atención a los pacientes en espera. Se consideró que la causa de ello consistía en la ausencia de supervisión y del correspondiente control de los horarios de trabajo por parte de los responsables de cada especialidad médica.
Otro país, el Reino de Tonga, también ha descubierto que la supervisión, junto con la falta de formación, constituye una deficiencia de control interno que afecta a la mayoría de organismos de la Administración. El Auditor General ha ayudado a afrontar estas deficiencias instaurando programas de formación, nombrando supervisores para cada nivel de personal, y acentuando la importancia de estos aspectos de los sistemas de control interno.
Un tercer miembro de la INTOSAI, la Oficina Nacional de Auditoría del Reino Unido, ha comprobado que la adecuada supervisión es esencial en operaciones como, por ejemplo, las relacionadas con los contratos. Se descubrió que la supervisión del funcionamiento de los contratos era clave para garantizar que los proveedores cumplen los términos y condiciones del contrato en lo referente a los precios, la calidad y la fecha de entrega, y que el contrato continúa siendo competitivo. La Oficina descubrió, por ejemplo, que una deficiente supervisión de un contrato provocaba un coste final de £180.000 en un contrato valorado inicialmente en £25.000, sin la preceptiva aprobación de dicho incremento. En otro caso, un contrato estipulaba una devolución, pero debido a la deficiente supervisión, la Administración no se dio cuenta de la potencial devolución, y por consiguiente, no la reclamó.
Para garantizar una supervisión adecuada, las normas de control interno de la INTOSAI afirman que los supervisores deben inspeccionar y aprobar, en su caso, el trabajo asignado a sus empleados. También deben aportar a sus empleados la orientación y la formación necesarias para garantizar que se reduzcan al mínimo los errores, el derroche y los actos ilícitos, y que se comprenden y se ponen en práctica las directrices específicas de los responsables.
ACCESO A LOS RECURSOS Y REGISTROS Y RESPONSABILIDAD ANTE LOS MISMOS
La última norma específica de la INTOSAI dispone que el acceso a los recursos y registros debe limitarse a las personas autorizadas para ello, quienes están obligadas a rendir cuentas de la custodia o utilización de los mismos. Para garantizar dicha responsabilidad, se cotejarán periódicamente los recursos con los registros contables y se verificará si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad de los activos. La labor de los miembros de la INTOSAI ha puesto de manifiesto las consecuencias de no implantar eficazmente esta norma que sirve para reducir el riesgo de uso inadecuado o de pérdidas en la Administración pública, y que ayuda a poner en práctica las directrices de los responsables.
En un caso relacionado con el acceso a los registros, el órgano recaudador de impuestos de los Estados Unidos - el Servicio del Impuesto sobre la Renta [Internal Revenue Service (IRS)] - se ha visto afectado por un deficiente control interno sobre sus sistemas informáticos. Las auditorías de estados financieros de la Oficina de Contabilidad General de los EE.UU. han puesto de manifiesto que el IRS no disponía de los adecuados mecanismos de protección para detectar o impedir el acceso no autorizado de los empleados a la información sobre los contribuyentes, o para impedir que los empleados modificasen determinados programas informáticos con objeto de realizar transacciones no autorizadas sin ser detectados. Los problemas fundamentales del control consistían en que éste no impedía adecuadamente a los usuarios el acceso a programas y archivos de datos de carácter confidencial. Asimismo, a muchos usuarios se les había autorizado el acceso a potentes privilegios que permitían saltarse los controles de seguridad del sistema informático.
En una situación que implicaba una comparación entre recursos y registros, el Auditor General de la República de Sudáfrica informó que no podía comprobarse la integridad y la corrección de los saldos bancarios del Ministerio de Asuntos Territoriales porque éste no los había verificado durante más de un año. Apareció una diferencia notable entre el saldo de acuerdo con los registros contables del Ministerio, y los correspondientes estados bancarios.
Las normas de control interno de la INTOSAI señalan que la restricción del acceso a los recursos y una conciliación periódica de los registros reduce el riesgo de usos no autorizados o pérdidas en la Administración pública, y ayuda a poner en práctica las directrices de gestión.
Capítulo IV
LA CONSECUCIÓN DE ESTRUCTURAS EFICACES DE CONTROL INTERNO
De forma coherente con las directrices de la INTOSAI, los países miembros han puesto de relieve que la consecución de estructuras eficaces de control interno requiere los siguientes elementos decisivos: (1) apoyo legislativo, (2) normas de control interno, (3) directivos que acepten la responsabilidad principal de la realización de controles eficaces, (4) autoevaluaciones periódicas del control interno realizadas por los directivos, (5) verificaciones internas de los controles, y (6) una organización de fiscalización superior comprometida con el establecimiento y la inspección de sistemas de control interno.
EL APOYO LEGISLATIVO
Tal como se expuso al referirse a las directrices de control interno de la INTOSAI, en algunos países los legisladores establecen los objetivos globales de las estructuras de control interno, dejando que una organización central responsable se encargue de establecer las oportunas normas de control interno. En otros países los legisladores, mediante las leyes que promulgan, son los que implantan controles específicos de determinadas operaciones.
De hecho, los miembros de la INTOSAI han considerado que es útil disponer de una legislación que establezca unos requisitos y objetivos globales para el mantenimiento de controles internos eficaces. Por ejemplo, la Ley de Gestión y Control de la Administración Pública de 1990, en Bolivia, y la Ley de Cuentas de la Administración Pública, en los Países Bajos, constituyen el fundamento legislativo para el control interno del sector público.
En el Japón la comprobación financiera y contable y los sistemas de control se estipulan en la Ley de Hacienda Pública y la Ley de Cuentas Públicas, así como en las reglamentaciones
basadas en dichas leyes. Las actividades financieras y contables de todos los Ministerios y organismos públicos del Japón se rigen por estos sistemas oficiales de comprobación y control.
El Congreso de los Estados Unidos también ha reconocido la importancia del apoyo legislativo para promover unos controles internos eficaces. Por ejemplo, ha promulgado leyes que ordenan a los organismos de la Administración estadounidense (1) realizar una evaluación y un informe anuales sobre el estado de los sistemas de control, (2) disponer de una función de auditoría independiente, y (3) publicar informes anuales sobre su situación financiera, y hacer que ésta se audite.
LAS NORMAS DE CONTROL INTERNO
Las normas de control de la INTOSAI también señalan que, al establecer el marco correspondiente a las estructuras de control interno, deberá asignarse a una autoridad específica la responsabilidad de elaborar y promulgar las normas que deberán cumplirse al diseñar una estructura de control interno. Esta responsabilidad podrá asignarse a través de preceptos constitucionales o de otras normas legales, y se otorgará a un organismo central que tenga autoridad sobre diversos órganos de la Administración pública.
Varios países miembros de la INTOSAI han promulgado normas de control interno que deberán aplicarse al establecer y supervisar una estructura de control interno, y algunos han utilizado como modelo las normas de la INTOSAI, o las han adoptado en su integridad. Por ejemplo, la Contraloría General de la República de Bolivia se inspiró en las directrices de la INTOSAI al elaborar y promulgar las normas de control interno utilizadas en ese país. La Oficina informa que ello ha contribuido al logro de los objetivos de control, y ha facilitado este proceso.
En los Estados Unidos, en virtud de la legislación vigente, el Comptroller General es quien se encarga de crear normas de control interno para su utilización en los órganos de la Administración norteamericana. Dichas normas se publicaron en 1983 por primera vez con el nombre de Normas de control interno de la administración pública federal [Standards for Internal Controls in the Federal Government] con objeto de servir como criterio para el establecimiento y evaluación de los controles internos. En el momento presente dichas normas se están actualizando.
Otro país, la República Popular de China, también ha comprobado que se requiere una norma que evalúe los controles internos de un organismo. La Oficina Nacional de Auditoría informa que los auditores son los que definen la norma, tomando como base las reglamentaciones promulgadas por la Administración china y los organismos correspondientes. La Oficina Nacional de Auditoría de China manifiesta que dicha norma - que suele considerarse como una norma de control ideal - abarca los vínculos y los procedimientos de control esenciales para un sistema de control interno adecuado, y los auditores la emplean para evaluar con imparcialidad el organismo en cuestión, y determinar si sus controles internos son completos y eficaces.
LA RESPONSABILIDAD DE LA DIRECCIÓN
Las directrices de la INTOSAI explican ampliamente las responsabilidades de control interno de la dirección, poniendo de relieve que todos los directivos deben ser conscientes de que una estructura sólida de control interno es fundamental para controlar el organismo, así como sus
propósitos, operaciones y recursos. Los países miembros de la INTOSAI que han proporcionado información para este estudio han experimentado la necesidad de que la atención de los directivos se centre en su responsabilidad de implantar controles internos eficaces y mantener de forma continuada un entorno positivo de control interno.
Por ejemplo, el Tribunal de Cuentas de los Países Bajos informa que el marco de responsabilidad del control interno, que es la piedra angular de la Administración central holandesa, ha sido creado mediante una estrecha colaboración entre el Parlamento, el Ministerio de Hacienda y el Tribunal de Cuentas. También a este respecto, la Ley de Cuentas de la Administración Pública dispone que es el Ministro quien debe responsabilizarse de lograr una correcta gestión financiera y de controlar la eficacia y la eficiencia de la dirección, la organización y las políticas que se apliquen.
Otro caso hace referencia a Islandia, donde la Oficina Nacional de Auditoría informa que la dirección de cada órgano de la Administración islandesa es la responsable de crear e implantar controles internos. Asimismo, los órganos de la Administración central - por ejemplo la Oficina Central de Contabilidad, la Comisión de Información Financiera y, en cierto grado, el Ministerio de Hacienda - son directamente responsables de la implantación de controles financieros.
Otro ejemplo procede de Egipto. La Organización Central de Auditoría de Egipto informa que la alta dirección de las entidades públicas es la responsable de crear e implantar controles internos, por ejemplo, reconsiderando de manera continuada la estructura organizativa que se ha creado para dirigir y controlar sus actividades.
AUTOEVALUACIONES
Los países miembros de la INTOSAI centran su atención en evitar las infracciones de los controles internos antes de que ocurran. Como ilustración de ello, el Auditor Supremo de Sudáfrica informa que uno de los objetivos primordiales consiste en evitar que se produzcan errores o irregularidades en la gestión o la información financiera, o si se han producido, detectarlos. Asimismo, en Egipto los auditores evalúan los sistemas de control interno con objeto de determinar su eficiencia para impedir o detectar los principales errores.
Varios países miembros de la INTOSAI exigen que los directivos realicen con periodicidad autoevaluaciones del funcionamiento de los controles internos. Las directrices de la INTOSAI reconocen la utilidad de esta práctica para garantizar que los controles de los que son responsables los directivos continúan siendo adecuados y actúan en la forma prevista.
En Nueva Zelandia se ponen de relieve los procedimientos de auto-inspección de cada órgano de la Administración pública. Estos procedimientos incluyen un programa de autoevaluación que abarca la auditoría interna y los controles financieros, así como la inspección y la evaluación que hacen los directivos con respecto a la eficacia del desempeño.
En otro caso los órganos de la Administración de los Estados Unidos están legalmente obligados a realizar anualmente autoevaluaciones de control. Estas evaluaciones deben llevarse a cabo de conformidad con las directrices emitidas con carácter central por la Oficina de Gestión y Presupuesto de los EE.UU. Los resultados deberán comunicarse al Presidente y al Congreso de los EE.UU. Estos informes deben manifestar si los sistemas cumplen los objetivos de control interno y se ajustan a las normas establecidas por el Comptroller General de los EE.UU. Asimismo, los órganos de la Administración estadounidense están obligados a
emprender acciones para corregir las deficiencias de control que descubran las autoevaluaciones.
Además, el Contralor General de Bolivia requiere que, en el futuro, las entidades de la Administración programen autoevaluaciones del diseño, funcionamiento y eficacia de sus estructuras de control interno. El Contralor General de Bolivia considera que los funcionarios con la máxima responsabilidad en cada entidad pública deben llevar a cabo tal autoevaluación, y con carácter anual - como mínimo - informar acerca de sus conclusiones a la Oficina del Contralor General, que (1) evaluará el proceso y el resultado, y (2) determinará qué fiabilidad tienen los datos elaborados por la entidad y/o las medidas correctoras propuestas.
AUDITORÍAS INTERNAS
A menudo la dirección crea una unidad de auditoría interna como parte de su marco de control interno y auto-inspección. Siguiendo esta línea, la mayoría de los miembros de la INTOSAI consideran que la función de los auditores internos constituye una parte decisiva de la estructura de control interno de una organización. Por ejemplo, los Auditores Superiores de Bolivia y Egipto manifiestan que los auditores internos deberán evaluar e informar con carácter periódico sobre la eficacia y las deficiencias de las estructuras de control interno, y sobre el riesgo que representan esos puntos débiles para la eficacia de las actividades de la Administración y la protección de sus activos.
Los Países Bajos también ponen de manifiesto un ejemplo a este respecto: los departamentos de auditoría de los distintos Ministerios verifican los estados financieros de cada Ministerio y llevan a cabo auditorías de los sistemas específicos de gestión financiera. El Tribunal de Cuentas de los Países Bajos indica que, al comunicar al Ministro las deficiencias en el control interno que se descubren durante estas auditorías, los auditores internos desempeñan una función importante en la mejora continuada de los controles (financieros) internos. La realización de investigaciones específicas sobre el control interno, a solicitud de los Ministros, consolida este proceso.
En el Reino Unido, los Responsables de Contabilidad dentro de cada órgano de la Administración central, que son los que se encargan de la dirección financiera y de los sistemas de control interno, disponen de la ayuda de los servicios de una función de auditoría interna. La auditoría interna actúa como un servicio para la dirección, y mide, evalúa e informa acerca de la eficacia de los elementos del sistema de control interno.
LA RESPONSABILIDAD DE LA EFS
Los miembros de la INTOSAI han subrayado la función decisiva que desempeñan los Auditores Superiores en (1) la creación de normas de control interno, (2) el establecimiento de un marco sólido de control interno, (3) el trabajo conjunto con los auditores internos, y (4) la consideración de los controles internos como parte integrante de sus auditorías financieras y de conformidad. En suma, la Entidad Fiscalizadora Superior deberá dedicarse a valorar la adecuación y la eficacia en la aplicación de los controles internos existentes en las organizaciones auditadas.
La Entidad Fiscalizadora Superior de una nación describió de este modo sus responsabilidades de control interno. El control efectuado por el Contralor General de la República de Costa Rica consiste esencialmente en el examen financiero, contable,
económico, operativo, administrativo y jurídico de los recursos públicos, y se lleva a cabo básicamente por medio de investigaciones y auditorías que abarcan las áreas financiera, operativa, jurídica e informática, y otras áreas especiales.
Al igual que ocurre en el proceso utilizado por muchos Auditores Superiores de la INTOSAI, el Contralor General de Costa Rica
- evalúa el sistema de control interno de la entidad auditada, que abarca el entorno de control, el sistema de registro e información, y los procedimientos de control;
- verifica la eficacia del sistema de control interno e identifica las áreas decisivas de la actividad examinada;
- elabora informes para la Administración, que resumen las deficiencias y los puntos débiles detectados, y recomiendan la adopción de medidas para solucionarlos y para evitar la aparición de problemas más graves; y
- lleva acabo los pertinentes estudios de seguimiento para determinar si las recomendaciones y medidas acordadas conjuntamente con la Administración se han aplicado en la forma adecuada.
CONCLUSIONES
En 1992, cuando la Comisión de Normas de Control Interno de la INTOSAI publicó sus directrices para las normas de control interno, hizo un llamamiento a los Auditores Superiores para que alentasen y apoyasen la creación de controles internos. Según la Comisión, esto abarcaba (1) formar a los directivos con respecto a sus responsabilidades en la implantación y supervisión de las estructuras de control, y (2) auditar estas estructuras para garantizar que los controles son los adecuados para lograr el resultado deseado.
En los cinco años transcurridos, los países miembros de la INTOSAI han logrado una amplia gama de resultados positivos y están realizando progresos - en algunos casos, notables progresos - en la consecución de esta meta. Las comunicaciones individuales de cada país, elaboradas por los Auditores Superiores, han proporcionado importantes perspectivas nuevas acerca de la utilización y la evaluación de los controles internos por parte de diversos miembros de la INTOSAI.
A través de dichas comunicaciones, la Comisión ha identificado varios elementos comunes que se exponen en este capítulo, y que caracterizan a las adecuadas estructuras de control interno existentes en todos los sistemas de Administración pública. Estos elementos se ajustan a las directrices de la INTOSAI de 1992, que sirven de base a las normas de control prescritas, tanto generales como específicas.
Sin embargo, esta base no se encuentra aún plenamente consolidada y en funcionamiento fluido en todos los países miembros de la INTOSAI. Además, la preservación de la eficacia de estos elementos y el perfeccionamiento de los controles internos - basado en las normas - debe constituir un proceso continuado. De manera acorde con ello, todos los miembros de la INTOSAI pueden aprender de las experiencias y los ejemplos constructivos que los Auditores Superiores han dado a conocer a la Comisión.
Las comunicaciones de cada país, que exponen más extensamente los aspectos que figuran en esta visión general, estarán disponibles en el XVI INCOSAI de Montevideo. Asimismo, podrá obtenerse información adicional poniéndose en contacto directamente con las Entidades Fiscalizadoras Superiores autoras de dichas comunicaciones, que aparecen en el Apéndice I.
APÉNDICE I
ENTIDADES FISCALIZADORAS SUPERIORES PARTICIPANTES EN EL ESTUDIO
A continuación figura la lista de los nombres, teléfonos, direcciones postales y de Internet de las Entidades Fiscalizadoras Superiores que han proporcionado la información que se resume en este documento general y que se expone en las correspondientes comunicaciones de cada país.
Sr. Marcelo Zalles Barriga Contralor General de la República Casilla Postal 432 La Paz, BOLIVIA Tel: 591 (2) 37 88 61 Fax: 591 (2) 39 21 87
Sr. Li Jinhua Auditor General Oficina Nacional de Auditoría de la República Popular de China 1 Beiluyuan, Zhanlan Road Xicheng District Beijing 100830, CHINA Tel: 86 (10) 68 30 12 14 Fax: 86 (10) 68 33 09 58 E-mail: [email protected]
Sr. Luis Fernando Vargas Benavides Contralor General de la República Apartado 11-79-1000 San José, COSTA RICA Tel: 506 220 31 20 Fax: 506 220 43 85 E-mail: [email protected]
Dr. Shawky Khater Presidente de la Organización Central de Auditoría Madinet Nassr P. O. Box 11789 Cairo, REPÚBLICA ÁRABE DE EGIPTO Tel: 20 (2) 60 23 00 Fax: 20 (2) 261 58 13
Sr. Sigurdur Thordarson Auditor General
Oficina Nacional de Auditoría Skulagata 57 IS-150 Reykjavik, ISLANDIA Tel: 354 (5) 61 41 21 Fax: 354 (5) 62 45 46
Sr. Shuro Hikita Presidente del Consejo de Auditoría 3-2-1 Kasumigaseki Chiyoda-ku, Tokio, 100 JAPÓN Tel: 81 (3) 35 818125 Fax: 81 (3) 35 921807 E-mail: [email protected]
Sr. Henk E. Koning President, van de Algemene Rekenkamer Postbus 20015 NL-2500 EA LA HAYA PAÍSES BAJOS Tel: 31 (70) 342 43 44 Fax: 31 (70) 342 41 30 E-mail: [email protected]
Sr. David Macdonald Controlador y Auditor General Head Office, Level 7, 48 Mulgrave Street P. O. Box 3928 Wellington 1, NUEVA ZELANDIA Tel: 64 (4) 471 65 00 Fax: 64 (4) 471 65 45 E-mail: [email protected]
Sr. H. E. Kluever Auditor General P. O. Box 446 Pretoria 0001, REPÚBLICA DE SUDÁFRICA Tel: 27 (12) 3242874 Fax: 27 (12) 3237389 E-mail: [email protected]
Sr. Pohiva Tu'i'onetoa Auditor General Oficina de Auditoría P. O. Box 50 Nuku'Alofa TONGA, Pacífico Sudoccidental Tel: 676 216 00 Fax: 676 238 88
Sir John Bourn Comptroller and Auditor General National Audit Office 157-197 Buckingham Palace Road Victoria, London SW1W 9SP Reino Unido Tel: 44 (171) 798-7000 Fax: 44 (171) 828-3774 Email: [email protected]
Sr. James F. Hinchman Acting Comptroller General U. S. General Accounting Office 441 G Street, NW - Room 7806 Washington, DC 20548 Estados Unidos de América Tel: 01 (202) 512-4707 Fax: 01 (202) 512-4021 Email: [email protected]
INTOSAI GOV 9130Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
Guía para las Normas del Control Interno del Sector Público
Información adicional sobre la Administración de Riesgos de la Entidad
I N T O S A I
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI General Secretariat - RECHNUNGSHOF (Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2 A-1033 VIENNA
AUSTRIA Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
3
Sub-Comité de Normas de Control Interno de la INTOSAI
F. VANSTAPEL Primer Presidente del Tribunal de Cuentas de Bélgica
Regentschapsstraat 2 – Rue de la Régence 2
B-1000 BRUSELAS BÉLGICA
Tel : + 32 2 551 8111 Fax : + 32 2 551 8629
E-mail: [email protected]
4
Guía para las Normas
del Control Interno del Sector Público – Información adicional sobre la Administración de Riesgos de la Entidad
Prefacio
La Guía para las Normas de control interno del sector público de 1992 de la INTOSAI, fue concebida como un documento vital reflejando la visión que las normas pueden ser promovidas para el diseño, implementación y la evaluación del control interno. Esta visión implica un esfuerzo continuo para mantener la guía actualizada.
La 17ma Reunión de la INCOSAI (Seúl, 2001) reconoció una fuerte necesidad de actualizar la Guía de 1992 y acordó la utilización del marco integrado de control interno del Comité de Organizaciones que patrocinan la Comisión de Treadway (COSO). Consultas subsecuentes dieron resultados a una mayor extensión para tratar los valores
5
éticos y proporcionar mayor información sobre los principios generales de las actividades del control relativos al tratamiento de la información.
La Guía actualizada para las normas de control interno fue emitida en el 2004, y puede ser considerada como un documento trascendental que debería ser desarrollado y perfeccionado continuamente para incorporar el impacto de nuevos avances como la Estructura de Manejo de Riesgo corporativo del COSO1. Por consiguiente, estas extensiones a la Guía han sido elaboradas para cubrir las tendencias actuales en la Administración de Manejo de Riesgos, según lo precisado en la estructura ERM del COSO. Siendo este documento dirigido principalmente para el sector público, el término "entidad" es utilizado en lugar de "corporación" que fue asociado particularmente al sector privado.
La información adicional proporcionada es el resultado del esfuerzo común de los miembros del Sub-Comité de Normas de Control Interno de la INTOSAI. Esta actualización fue coordinada mediante las tareas impuestas entre los miembros del sub-comité con representantes de las EFS de Francia, Hungría, Bangladesh, Lituania, Los Países Bajos, Omán, Ucrania, Rumania, Reino Unido, Estados Unidos de América y Bélgica (presidente de la sede).
1 Administración de Riesgos Corporativos Marco Integrado (COSO – Septiembre 2004)
6
Franki VANSTAPEL Primer Presidente del Tribunal de Cuentas de Bélgica Presidente del Sub-Comité de Normas de Control Interno de la INTOSAI
7
Introducción
La premisa subyacente de la Administración de riesgos corporativos del COSO es que cada entidad existe para proporcionar valor a sus grupos de interés. En el sector público, las expectativas generales son que los servidores deben satisfacer o servir al interés público siendo justos e imparciales mediante el manejo apropiado de los recursos. Efectivamente los grupos de interés son la sociedad y sus representantes.
Todas las entidades enfrentan incertidumbres y el reto para su administración es el de determinar cuánta incertidumbre se puede aceptar mientras estas se esfuerzan en incrementar el valor para sus grupos de interés. Es importante también observar que la incertidumbre presenta tanto riesgos como oportunidades con el potencial de desgastar o mejorar el valor, en términos del sector público consiste en servir al interés público mejor. El objetivo de la gestión de riesgos de la entidad es el de permitir a la Gerencia el tratamiento efectivo de la incertidumbre y su riesgo - oportunidad asociados, mejorando la capacidad de construir valor proporcionando servicios más efectivos, de mayor eficiencia y más económicos, considerando y tomando en cuenta valores como equidad y justicia.
La Guía para las Normas de control interno del sector público de la INTOSAI ve al control interno como un proveedor de un importante marco conceptual a través del cual una entidad puede manejarse para alcanzar sus objetivos. El marco integrado ERM del COSO y otros modelos similares, toman a este aspecto como un escenario entero en el que la entidad se pueda dirigir en base a la identificación de futuros riesgos y oportunidades para
8
mejorar objetivos y diseñar controles internos que minimicen los riesgos y maximicen las oportunidades.
Tanto como extender la definición de funciones cubiertas por el régimen de gobierno corporativo, la gestión de riesgos de la entidad requiere un cambio en la forma en que la organización piensa a cerca de alcanzar sus objetivos.
Esto se da porque la eficacia en la gestión de riesgos de la entidad es un proceso en curso aplicado al establecimiento de la estrategia desplegado a lo largo y afectado por todas unidades de negocio de una entidad y que se encuentra diseñado para identificar los eventos potenciales que puedan afectar a las organizaciones, facilitando una seguridad razonable respecto al logro de los sus objetivos.
Este documento describe un marco de trabajo recomendado para aplicar los principios de gestión de riesgo en las entidades del sector público y proporciona las bases mediante las cuales una entidad puede evaluar su gestión de riesgos. Sin embargo, no intenta remplazar o suplantar la Guía de control interno para el sector público, más bien, está diseñado para proporcionar información adicional complementaria para ser usada dentro de las normas en que los estados miembros consideren apropiado. No se intenta limitar o interferir con la correcta autoridad garantizada relacionada al desarrollo de la legislación, reglamentos y otras políticas discrecionales en una organización.
En conclusión, debe quedar claramente establecido que este documento incluye directrices adicionales para las normas del gobierno corporativo. La guía no proporciona políticas detalladas, procedimientos y prácticas para implementar la mejor práctica de régimen de gobierno corporativo, tampoco se puede esperar que sea aplicada para todas las
9
organizaciones. Sin embargo, la adenda enriquece el marco del trabajo dentro de la cual las entidades pueden desarrollar regímenes que las ayuden de mejor manera a maximizar los servicios proveídos para los públicos de interés.
10
¿Cómo se estructura este documento?
El suplemento se estructura de una manera similar a la Guía para las Normas de control interno del sector público de la INTOSAI. En el primer capítulo se define el concepto de la gestión de riesgos de la entidad y se delinea el alcance. En el segundo capítulo se presentan los componentes de la gestión de riesgos de la entidad, resaltándose las extensiones a las normas de control interno.
11
Capítulo 1: Qué es la
Gestión de Riesgos de la Entidad
1.1 Definición
1.1.1 Administración de Riesgos del COSO: Marco integrado de trabajo que establece que la gestión de riesgos de la entidad, enfrenta riesgos y oportunidades afectando la creación de valores o la preservación de estos definidos de la siguiente manera:
"Gestión de riesgos de la entidad, es un proceso efectuado por la junta directiva de una entidad, la gerencia y el personal, que aplica en el planteamiento de la estrategia y a lo largo de la Entidad, está diseñado para identificar eventos potenciales que podrían afectar a la entidad y permite administrar el riesgo dentro de los límites aceptados, proveyendo la seguridad razonable para la consecución de objetivos de la entidad" (modelo 2004 de COSO ERM)
12
1.1.2 En el sector público los términos creación y preservación de valor no tienen una directa relevancia como en el sector privado. Sin embargo, la definición es utilizada ampliamente con el propósito de aplicarse a todos los sectores y tipos de organizaciones que sea posible. En la medida de lo posible al sustituir la creación y preservación de servicio por la creación y preservación de valor esta terminología podrá ser plenamente aplicable en las entidades del sector público.
1.2 Identificando la Misión
1.2.1 El punto de partida para la gestión de riesgos de la entidad es la misión y visión establecida por esta. Dentro del contexto de la misión, la gerencia debería establecer los objetivos estratégicos, seleccionar las estrategias para alcanzar dichos objetivos y proponer objetivos de soporte alineados y desplegados en cascada a través de la organización.
1.3 Fijando Objetivos
1.3.1 La Guía para las Normas de control interno de la INTOSAI indica que los objetivos pueden ser subdivididos en cuatro categorías (aunque la mayoría de los objetivos corresponderán a más de una categoría). Éstos son:
• Estratégicos – Metas de alto nivel, alineadas soportando la misión de la entidad.
13
• Operacionales – Orientados a la ejecución ordenada, ética, económica, eficiente y efectivamente de las operaciones; resguardando los recursos en contra de pérdidas, mal uso y daño.
• Información – Referido a que la información reportada incluyendo las obligaciones de contabilidad, la cual sea confiable.
• Cumplimiento – Cumplimiento de leyes y regulaciones aplicables siendo posible actuar de acuerdo con la política gubernamental.
1.3.2 Los objetivos en las dos primeras categorías no están controlados por el control interno de la entidad, por lo que cualquier sistema de administración puede proporcionar solamente una razonable seguridad de que estos riesgos se manejan satisfactoriamente, pero debería permitir a la gerencia estar enterada del grado de cumplimiento oportuno de estos objetivos en un periodo de tiempo óptimo. Sin embargo, los objetivos referentes a la confiabilidad de los reportes y cumplimi8ento están dentro del control de la entidad, por lo que la gestión efectiva de riesgos usualmente dará la seguridad de que estos objetivos serán alcanzados.
1.4 Identificando Eventos - Riesgos y Oportunidades
1.4.1 Una vez fijados los objetivos de la entidad, la gestión de riesgos requiere organizarse para
14
identificar eventos que podrían tener impacto en el logro de los objetivos. Los eventos podrían tener impactos negativos o positivos o ambos a la vez. Los eventos con impacto negativo representan riesgos, los cuales podrían dificultar la habilidad de alcanzar los objetivos de una entidad. Estos riesgos pueden surgir debido a factores internos y externos. La Figura 1, presenta muchos de los riesgos que encaran las entidades gubernamentales – también podrían existir otros riesgos relevantes para entidades privadas.
1.4.2 Los eventos con impacto positivo pueden compensar impactos negativos o representar oportunidades. Las oportunidades son la posibilidad de que la ocurrencia de un evento permita a la entidad alcanzar sus objetivos de manera más eficiente así como ver la posibilidad de mitigar los riesgos, la Gestión de riesgos de la entidad, podría permitir formular planes para identificar oportunidades.
1.5 Comunicación y aprendizaje
1.5.1 Determinar si la gestión de riesgos de la entidad, es “efectiva" es una parte fundamental del proceso. La gerencia necesita emitir un juicio acerca de si los componentes de la gestión de riesgos de la entidad, están presentes y operando efectivamente. Con mayor detalle que no existan debilidades materiales y que todos los riesgos hayan sido llevados dentro de los parámetros aceptables de la entidad. Cuando la gestión de riesgos es efectiva la gerencia comprende la extensión, en la cual los objetivos dentro de las
15
cuatro categorías se han alineado con la misión y están siendo alcanzados. Una comunicación de arriba abajo y de abajo a arriba a través de la entidad es esencial para la facilitación de este proceso.
1.6 Limitaciones
1.6.1 No importa cuan bien se haya diseñado y este operando el sistema, de gestión de riesgos de la entidad, esta no puede proveer a la gerencia seguridad absoluta respecto al logro de los objetivos generales. En lugar de ello, este soporte reconoce que solo puede obtenerse un nivel razonable de seguridad.
1.6.2 La seguridad razonable se compara con un nivel satisfactorio de confianza de que los objetivos podrán ser alcanzados o que la gerencia podrá hacer conocer oportunamente si los objetivos probablemente no serán alcanzados. Determinar cuanta seguridad es requerida para alcanzar un nivel satisfactorio de confianza es tema de criterio. Al ejercitar esta decisión gerencial será necesario considerar los límites de riesgo de la entidad y los eventos que podrían impactar en el logro de los objetivos.
1.6.3 La seguridad razonable refleja la noción de que la incertidumbre y el riesgo se relacionan con el futuro, el cual nadie puede predecir con certeza. Además, los factores fuera del control o de la influencia de una entidad, tal como el factor político, pueden impactar la capacidad de alcanzar estos objetivos. En el sector público, los factores
16
fuera del control de una entidad pueden incluso cambiar los objetivos centrales en un tiempo muy corto para saberlo. Las limitaciones también resultan de las siguientes realidades: el juicio humano en la toma de decisiones puede ser errado; crisis ocurridas debido a fallas humanas tales como errores simples o equivocaciones; que las decisiones en respuesta a un riesgo y controles establecidos necesitan considerar los costos relevantes y beneficios; y que los controles pueden ser vulnerados por colusión entre dos o más personas y la gerencia puede anular el sistema de control. Estas limitaciones impiden a la gerencia tener una seguridad absoluta de que los objetivos serán alcanzados. El cuadro 1 presenta algunos de los riesgos que se podrían enfrentar típicamente. Intenta ser ilustrativo más que exhaustivo.
Cuadro 1: Algunos riesgos típicos que las entidades del
Gobierno enfrentan
Cambios o como un menor
crecimiento económico, reducen
el ingreso por impuestos y la
oportunidad de proporcionar una
gama más amplia de servicios o
Falla en innovación
que conduzca a los
servicios a niveles Pérdida o malversación
de fondos por fraude o
Daños ambientales
causados por la falta
de regulaciones o de
regímenes de
Inconsistencia entre
objetivos y políticas
que generan
resultados no
Los retrasos del
proyecto, sobre
costos (costos
excedidos) e
inadecuados
Habilidades o
recursos
inadecuados
para entregar
Falla de contratistas,
o socios de otras
agencias
gubernamentales
que proporcionen
La falla de evaluación
correcta de los proyectos
piloto antes de que se
introduzca un nuevo
servicio podría dar lugar a
problemas cuando el
Falta de adecuada
medición del
Riesgo técnico - falta
de mantener al día los
progresos técnicos, o
inversión en tecnología
inapropiada o
Planes
inadecuados de
mantenimiento
para mantener la
continuidad en la
Falta de monitoreo
en la
Lograr la
otorgación del
17
18
1.7 Vínculo entre control interno y la gestión de riesgos de la entidad (GRE)
1.7.1 En muchos aspectos la gestión de riesgos de la entidad, puede ser vista como una evolución natural del modelo de control interno. La mayoría de las organizaciones intentarán aplicar completamente el modelo de control interno antes de implementar los conceptos inherentes a la gestión de riesgos de la entidad, el control interno es una parte integral de la gestión de riesgos. El marco integrado de la gestión de riesgos de la entidad, involucra el control interno, formando una conceptualización y herramienta mas robusta para la toma de decisiones respecto a posibles desvíos de su misión fundamental y objetivos asociados brindando una herramienta para la gerencia que le ayude a determinar cual sería la respuesta correcta a un evento particular. El modelo GRE (ERM en ingles) va más allá de las normas de control interno de la INTOSAI en un número de áreas, específicamente:
• Las categorías de objetivos son más amplias, y también incluyen información más completa, información no financiera, objetivos estratégicos;
• Amplía el componente de evaluación de riesgos e introduce diversos conceptos del riesgo, tales como tendencia al riesgo, tolerancia del riesgo, respuesta al riesgo; y
19
• Acentúa la importancia de los directores independientes en el directorio y elabora sus roles y responsabilidades.
20
Capítulo 2:
Componentes de la
Gerencia de riesgos de la entidad (GRE)
La Gerencia de riesgos de la entidad, consta de ocho componentes interrelacionados. Éstos fueron derivados de la manera como la administración lleva a cabo un negocio y fueron integrados con el proceso de gestión. Los componentes son:
• Ambiente interno • Establecimiento de objetivos • Identificación de eventos • Evaluación de riesgos • Respuesta a los riesgos • Actividades de control • Información y comunicación • Monitoreo
21
En la aplicación de los componentes de la gestión de riesgos, de la entidad, ésta debería considerar todos los alcances de sus actividades en todos los niveles de la organización. La administración debería también considerar nuevas iniciativas y proyectos usando el marco de trabajo de la gestión de riesgos de la entidad (GRE).
Aplicando la gestión de riesgos a toda la entidad
La gerencia requiere adoptar una perspectiva según el portafolio de riesgos. En efecto todos los mandos medios de la gerencia necesitarán considerar los eventos que pueden impactar sus áreas de actividad y alimentar con los mismos a la gerencia superior. Esta evaluación puede ser cualitativa o cuantitativa. La gerencia superior debe utilizar estas evaluaciones a través de todos los niveles y áreas de negocios de la entidad para construir un nivel medio para de evaluación general del portafolio de riesgos de la organización.
Importancia de las personas
La gestión de riesgos de la entidad, es implementada y puesta en marcha efectiva por la gerencia y otro personal lograda por las personas dentro de la organización mediante lo que hacen y dicen; de similar forma, afecta a las acciones de las personas debido a que cada empleado es una persona con diferente forma de entender y competencias. Asimismo, la GRE trata de proporcionar los mecanismos necesarios para permitir a los miembros del directorio a entender el riesgo en el contexto de los objetivos de la entidad.
22
Los miembros del directorio deben conocer sus responsabilidades y los límites de su autoridad. Por este motivo deberá existir un vínculo claro y conciso entre los deberes de las personas y el modo de realizarlos. La gerencia superior principalmente proporciona un asesoramiento. Sin embargo, ellos también proporcionan directrices, aprueban estrategias y ciertas transacciones y políticas de forma que desempeñen un papel importante en el fortalecimiento de la cultura organizacional.
23
2.1 Ambiente de Riesgo/Contexto
2.1.1 El riesgo ambiente/contexto abarca el tono de una organización, influenciando la conciencia del riesgo a toda su gente y es la base para todos los componentes de la Gerencia de riesgos de la entidad, proporciona disciplina y estructura. Los factores del ambiente interno influyen en la filosofía de la gestión de riesgos de la entidad; su tendencia al riesgo; el descuido del consejo de administración; integridad y valores éticos, competencia del personal; formas de asignar autoridad y responsabilidad, organización y desarrollando al personal.
2.1.2 La filosofía de la gestión de riesgos de una entidad, es el conjunto de creencias y actitudes compartidas que tienen la intención de determinar cómo la entidad considera el riesgo en todo lo que hace, desde la implementación de la estrategia hasta las actividades funcionales cotidianas. Esto influye a la cultura y estilo de funcionamiento, incluyendo cómo se identifican los riesgos, el tipo de riesgos aceptados y cómo son manejados. La filosofía de la gestión de riesgos de una entidad, debe ser evidente en las declaraciones de política, comunicaciones orales y escritas a los beneficiarios, al personal y en la toma de decisiones. Independiente del método de comunicación es de critica importancia que la gerencia superior refuerce la filosofía, no solamente a través de políticas de comunicación, también con las acciones diarias (dar el ejemplo).
24
2.1.3 La tendencia al riesgo es la suma de riesgos a un nivel amplio, que una entidad está dispuesta a aceptar en la búsqueda de intentar alcanzar sus objetivos. Refleja la filosofía de la gestión de riesgos y conduce la influencia de la cultura y el estilo de funcionamiento de la entidad. El riesgo aceptado puede ser considerado cuantitativa o cualitativamente. Debería ser considerado en la fijación de la estrategia, donde el rendimiento deseado de la estrategia debe estar alineado con la tendencia al riesgo, que es la predisposición de aceptar o tolerar un riesgo.
2.1.4 Además, cuando identifican el ambiente del riesgo y seleccionan un apropiado tendencia al riesgo, las entidades del sector público necesitan considerar la "la entidad en pleno". Las opiniones y expectativas de los patrocinadores y organizaciones patrocinadas, sean ellos de otros Órganos de gobierno o legisladores, y las opiniones de las organizaciones asociadas pueden dar una conducción clara en cuanto a una filosofía apropiada de gestión de riesgos apropiada y tendencia al riesgo.
2.1.5 La gerencia superior de una entidad es parte decisiva del ambiente interno e influye significativamente en sus elementos. Es una verdad que la cultura organizacional puede ser determinada o ser debilitada por el "tono gerencial". La independencia de la gerencia superior, la experiencia de la Gerencia Ejecutiva y jerarquía de sus miembros, el grado de participación e investigación, y la apropiada conveniencia de sus actividades juegan un papel importante. Los miembros de la gerencia ejecutiva
25
pueden ser parte de la gerencia superior, pero para que el ambiente interno sea efectivo es recomendable que el equipo de gerencia superior tenga algunos miembros exteriores independientes. Esto se da porque la gerencia superior debe estar preparada para mantener una gerencia ejecutiva, que pueda responder por opiniones, actividades de preguntas, escrutinio y estar preparada para presentar visiones alternativas.
2.1.6 La integridad y los valores éticos de la gerencia influyen en la manera de implementar la estrategia y los objetivos. Dado que la buena reputación de una entidad es tan valiosa, las normas de conducta deben ir más allá del mero cumplimiento de la ley. La integridad ética del comportamiento de la gerencia deriva de la cultura corporativa, que abarca normas éticas y de conducta y cómo son comunicadas y reforzadas. La gerencia superior desempeña un papel clave en la determinación de la cultura corporativa. Un énfasis indebido sobre los resultados a corto plazo en particular puede impedir el cumplimiento de la misión general y puede fomentar un ambiente interno inadecuado.
2.1.7 Los códigos formales de conducta son importantes como fundamento para la promoción de un tono ético apropiado. También son importantes los canales de comunicaciones ascendentes (o procedimientos formales) donde los empleados se sienten cómodos aportando con información relevante a la dirección. Sin embargo, un código escrito de conducta no asegura por si mismo que los procedimientos se estén cumpliendo, incluso si los empleados tienen que demostrar atención sobre
26
el comportamiento esperado. Igualmente importante para su cumplimiento son las sanciones resultantes para los empleados que violan el código. Los mensajes transmitidos por la gerencia superior se incorporan rápidamente a la cultura corporativa, "por ello hacer las cosas correctamente" cuando se enfrentan arduas decisiones de negocios, difunde un mensaje poderoso por toda la entidad.
2.1.8 La competencia refleja los conocimientos y habilidades necesarias para realizar las tareas asignadas. Esta necesita ser fortalecida por los recursos humanos mediante prácticas de reclutamiento y promoción de individuos apropiados, la inducción, el entrenamiento y enfrentar pobres rendimientos. La gerencia establece los niveles de competencia para trabajos concretos y los transforma en conocimientos y habilidades requeridas para los puestos específicos. Es importante reconocer que puede existir una compensación entre la competencia y el costo.
2.1.9 La estructura organizacional de una entidad proporciona el marco para planificar, ejecutar, controlar y monitorear sus actividades. La estructura organizacional adoptada debe ajustarse a sus necesidades. Algunas son centralizadas y otras descentralizadas, algunas están organizadas por la ubicación geográfica y otras por la funciones. Sea cual sea el tipo de estructura, una entidad se debería organizarse para permitir una efectiva gestión de riesgos, y desarrollar sus actividades para alcanzar sus objetivos.
27
2.1.10 La asignación de autoridad y responsabilidad implica el grado hasta el cual los individuos y equipos están autorizados animados a utilizar su iniciativa para tratar temas y resolver problemas, así como los límites de dicha autoridad. Los desafíos que implican asegurar que todo el personal entiende los objetivos de la entidad y cómo sus acciones contribuyen al logro de esos objetivos y delegar solo la cuantía requerida para alcanzar los objetivos. La responsabilidad es tan importante como la autoridad. El ambiente interno se ve muy influenciado por el grado de responsabilidad reconocido por los individuos. Esto permite al ejecutivo confiar durante todo el proceso.
2.2 Establecimiento de Objetivos
2.2.1 Los objetivos se establecen a nivel estratégico, estableciendo con ellos una base para los objetivos operativos, de reporte y de cumplimiento. Cada entidad enfrenta una variedad de riesgos procedentes de fuentes externas e internas y una condición previa para la identificación efectiva de eventos, la evaluación de sus riesgos y la respuesta a ellos es el establecimiento de los objetivos, que tienen que estar alineados con el tendencia al riesgo por la entidad, orientados a su vez a los niveles de tolerancia al riesgo de la entidad.
2.2.2 La gerencia define objetivos estratégicos, formula
la estrategia y establece operaciones relacionadas. Los objetivos estratégicos son metas de alto nivel alineadas con y soportando la misión de la entidad. La estrategia implementada para alcanzar
28
la misión y los objetivos relacionados tienden a ser más dinámicos que la misión y tienen que ser adecuados a las condiciones cambiantes.
2.2.3 A pesar de la diversidad de objetivos entre
entidades, existen ciertas categorías amplias que pueden ser aplicadas. Todos los objetivos se clasifican en uno o más de las siguientes categorías: • Objetivos operativos - Estos se refieren a la
efectividad y eficiencia de las operaciones de la entidad, incluyendo metas de rendimiento y salvaguarda de recursos frente a perdidas. Cuando este es utilizado conjuntamente con la divulgación pública, una definición ampliada de "salvaguarda de recursos/valores" puede ser utilizada: en la prevención, detección y corrección de malversación de fondos públicos. Los objetivos operativos necesitan reflejar el ambiente particular en el cual la entidad funciona. Los objetivos operativos proporcionan un punto de focalización para orientar la asignación de recursos, si no están bien concebidos, dichos recursos pueden estar mal direccionados.
• Objetivos de información - Estos pertenecen a la confiabilidad de la información y pueden implicar ambos datos financieros y no financieros. A pesar que los objetivos de información, también se relacionan con reportes preparados para difusión externa, el objetivo clave de la información confiable es proporcionar a la gerencia información exacta y completa adecuada para la finalidad
29
pretendida. Sin una información exacta y completa es muy difícil que la gerencia tome buenas decisiones.
• Objetivos de cumplimiento - Estos pertenecen al cumplimiento de leyes y regulaciones relevantes. Este requisito puede referirse al mercado, medioambiente, bienestar de los empleados, etc. Algunas entidades también necesitarán cumplir con objetivos de cumplimiento internacionales.
2.2.4 Una gestión de riesgos efectiva provee una razonable seguridad sobre las operaciones de la entidad, reporte y cumplimiento y la consecución de objetivos de la entidad.
2.2.5 El riesgo aceptado es establecido por la gerencia bajo control de junta directiva, es una orientación para establecer la estrategia y para evaluar la importancia relativa de los objetivos. Efectivamente el riesgo aceptado por la entidad es el nivel del riesgo tolerante que una entidad está preparada para aceptar en la entrega de valor (en la forma de servicios públicos) a los grupos de interés. Normalmente se pueden diseñar muchas estrategias diferentes para conseguir la misión, cada una con riesgos diferentes. La gerencia debe seleccionar la estrategia y los objetivos asociados que mejor se ajuste dentro de la tendencia al riesgo.
2.2.6 Las tolerancias del riesgo son los niveles aceptables de desviación relativos a la consecución de objetivos. Pueden ser medidos a través de objetivos de desempeño. Frecuentemente Las metas de rendimiento se miden mejor si es
30
posible, con las mismas unidades que los objetivos correspondientes. El funcionamiento dentro de la tolerancia del riesgo, proporciona mayor aseguramiento para la gerencia de que la entidad permanezca dentro de su riesgo aceptado y lograr sus objetivos.
2.3 Identificación de eventos
2.3.1 La gerencia identifica los eventos potenciales que, de ocurrir, afectarían la entidad. Los eventos necesitan ser clasificados, si representan oportunidades o al contrario afectarán la capacidad de la entidad para implantar la estrategia y alcanzar los objetivos con éxito (riesgos). Cuando la gerencia identifica los eventos, considera una serie de factores internos y externos que pueden dar lugar a riesgos y oportunidades, en el contexto del alcance pleno de la entidad.
2.3.2 Un evento es un incidente o acontecimiento, derivado de fuentes internas o externas, que afecta a la implantación de la estrategia o la consecución de objetivos. Los eventos pueden tener impactos positivos o negativos o ambos tipos a la vez. Los eventos abarcan desde lo obvio a lo desconocido y los efectos desde lo inconsecuente a lo muy significativo. Sin embargo, para evitar una consideración excesiva de eventos relevantes, procede realizar de forma separada su identificación y la evaluación de su probabilidad de ocurrencia e impacto.
2.3.3 La gerencia necesita entender los tipos de factores clave internos y externos y los eventos que
31
pueden derivarse de ellos. Los factores externos se pueden incluir pero no limita a los cambios que se presentan en el ambiente político, el ambiente social, tecnológico y los problemas económicos que afectan a la entidad misma o a sus proveedores. Los factores internos se derivan de las elecciones de la gerencia respecto a como funcionan. Esto puede incluir la infraestructura de la entidad, cuántas localizaciones funcionan dentro, las habilidades y competencia del personal y cómo funcionan los sistemas de información del negocio.
2.3.4 Las técnicas de identificación de eventos se aplican tanto al pasado como al futuro. Las técnicas que se centran en eventos pasados pueden considerar temas tales como informes y cuentas anuales, historial de cuentas por pagar e informes internos. Las técnicas que se centran en eventos futuros pueden considerar temas tales como cambios demográficos, nuevas condiciones de mercado y cambios futuros en el ambiente político. Las técnicas varían ampliamente en su nivel de sofisticación y automatización y se centran en una perspectiva ascendente o descendente de eventos.
2.3.5 Frecuentemente los eventos no ocurren de forma aislada. Un acontecimiento puede hacer que se desencadene otro, por lo que pueden ocurrir de forma concurrente. La gerencia debería entender cómo estos se relaciona entre si. Evaluando estas relaciones, se puede determinar donde mejor deberían aplicarse los esfuerzos en la gestión de riesgos
32
2.3.6 Puede ser útil agrupar los eventos potenciales en categorías. Al agregarlos horizontalmente en toda la entidad y verticalmente dentro de unidades operativas, la gerencia desarrolla un entendimiento de las relaciones entre eventos. Mediante esta agrupación de eventos similares la dirección puede determinar cuales son las mejoras respuestas en costo y efectividad. Aunque cada entidad desarrollará su propio método de agrupación de eventos existen herramientas estándares tales como estudio de mercado PEST2 que puede servir como base.
2.4 Evaluación de riesgos
2.4.1 La evaluación de riesgos permite a una entidad considerar el grado de amplitud con que eventos potenciales impactaran en el logro de objetivos. La gerencia debe evaluar estos acontecimientos a partir de dos perspectivas – probabilidad e impacto – usando una combinación de técnicas cuantitativas y cualitativas. Los impactos positivos y negativos de los eventos potenciales deben ser
2 El análisis del PEST es una herramienta útil para entender y determinar el impacto de factores externos para el logro de los objetivos de la entidad. El PEST es la sigla de la determinación de factores políticos, económicos, sociales y tecnológicos.
33
evaluados individualmente o por categoría sean su impacto a través de la entidad. Los riesgos se evalúan sobre una base inherente y residual.
2.4.2 Aunque el término "evaluación de riesgo" se aplica a veces en relación con una actividad puntual, en el contexto de la gestión de riesgos de la entidad, su componente con esa misma denominación constituye una continua e iterativa interacción de acciones que ocurren en toda la entidad. El objetivo de la Evaluación de riesgos es identificar eventos suficientemente importantes y significativos que concentren la atención de la gerencia.
2.4.3 La incertidumbre de los eventos potenciales necesitan ser evaluadas desde dos perspectivas - probabilidad e impacto. La probabilidad representa la posibilidad de que un evento determinado ocurra en un período de tiempo dado, mientras que el impacto representa el tamaño y efecto que tendría en la capacidad de la entidad para alcanzar sus objetivos. El período de tiempo usado para evaluar la probabilidad debe ser consistente con el horizonte del tiempo de la estrategia y de los objetivos relacionados. Los riesgos más importantes son aquellos con una alta probabilidad de ocurrencia y de alto impacto. Inversamente los riesgos menos importantes son aquellos con una baja probabilidad de ocurrencia y bajo impacto. La atención de la gerencia debe estar enfocada en los riesgos de alta probabilidad y alto impacto (véase el cuadro 2 en la página siguiente). El resultado final del proceso será el de asignar a cada riesgo una categoría de probabilidad e impacto. Algunas entidades utilizan
un tipo alto-bajo, otros el "sistema de semaforización" rojo, amarillo y verde, otros la medida cuantitativa de acuerdo a porcentajes.
Cuadro 2: Matriz simple de evaluación y respuesta a riesgos
Implica plan de
contingencia baja
probabilidad / alto
Alto impacto / alta
probabilidad,
procedimientos de
Bajo impacto /
probabilidad baja,
tolerancia
Bajo impacto / alta
probabilidad,
procedimientos del
t l
Importancia
Probabilidad
2.4.4 La metodología de evaluación de riesgo puede ser cuantitativa o cualitativa. Puede estar basada en métodos objetivos o subjetivos. Una entidad no necesita emplear técnicas comunes de evaluación a través de todas sus unidades de negocio. Sin embargo, la gerencia necesita estar enterada de las necesidades humanas al determinar riesgos y necesita asegurarse de que todos los miembros relevantes del personal tengan una comprensión común de lo que significa la terminología de la clasificación para determinar el riesgo. Si no se hace esto será difícil que la gerencia superior determine la importancia relevante de lo diversos riesgos.
34
35
2.4.5 Una vez que se hayan evaluado los riesgos, emergerán los riesgos prioritarios que la entidad. Si la exposición del riesgo es inaceptable de acuerdo al nivel del riesgo aceptado por la entidad, debe ser clasificado como un riesgo de alta prioridad o "riesgo clave". Los riesgos dominantes merecen una atención continua en el nivel más alto de la entidad. Las prioridades específicas del riesgo cambiarán en un cierto plazo cuando los objetivos de la entidad cambien, el ambiente del riesgo cambia y se tratan los riesgos clave.
2.4.6 La evaluación del riesgo según lo descrito anteriormente pertenece al riesgo inherente. El riesgo inherente es aquel al que se enfrenta a una entidad en ausencia de acciones de la gerencia para modificar su probabilidad o impacto. El riesgo residual es el que permanece después de la que la gerencia desarrolle sus actividades de respuesta al riesgo, que se resume en el siguiente párrafo. La ventaja de este método es que permite a las entidades identificar los riesgos que consumen el tiempo de la gerencia, tiempo que utilizarse mejor en otro tema (e.g. porque el riesgo inherente tiene una probabilidad baja de ocurrir).
2.5 Respuesta a los Riesgos
2.5.1 Evaluados los riesgos relevantes, la gerencia determina cómo responder a ellos. Las respuestas a los riesgos incluyen la transferencia, tratamiento, interrupción de la actividad y tolerancia del riesgo. Al considerar su respuesta, la gerencia evalúa su efecto sobre la probabilidad e impacto del riesgo, así como los costos y beneficios, de seleccionar
36
aquella que situé el riesgo residual dentro de la tolerancia al riesgo deseado. La gerencia debería identificar también cualquier oportunidad de ampliación que pueda existir y asumir una perspectiva amplia de riesgo de la entidad o bien un portafolio de riesgos.
2.5.2 Las Respuestas al riesgo se encuentran dentro de las siguientes categorías:
• Compartiendo/Transferencia de riesgos – Reducir la probabilidad de impacto del riesgo transfiriendo o de otra forma compartiendo una parte del riesgo. Esto se puede realizar incluyendo la contratación de seguros, la realización de operación de cobertura y la terciarización de una actividad. Esta opción es particularmente útil para mitigar los riesgos financieros, riesgos de los activos y para las actividades subcontratadas. Sin embargo, la mayoría de los riesgos no siempre son transferidos completamente. En detalle, generalmente no es posible transferir el riesgo de reputación aunque podría contratarse externamente la entrega de un servicio.
• Reducción/Tratamiento del Riesgo – Un gran número de riesgos serán tratados bajo esta forma: Se llevarán a cabo acciones para reducir la probabilidad o el impacto del riesgo o ambos a la vez. Esto implica típicamente alguna de las miles de decisiones empresariales cotidianas incluyendo los procedimientos del control discutidos más detalladamente en la sección 2.6 y en los
37
controles internos – marco de trabajo integrado.
• Evitando/interrumpiendo la actividad – Salir de las actividades que generan riesgos. En las entidades del sector público es raramente probable poder evitar el cese de una línea de un producto central, sin embargo puede ser una respuesta útil frenando la expansión a un nuevo mercado apropiado o considerar continuar con un proyecto específico.
• Aceptar/Tolerancia - No se toma ninguna acción que afecte a la probabilidad o el impacto del riesgo. Esta respuesta sugiere que no se identificará ninguna opción de respuesta costo efectiva que sugiera el impacto y probabilidad hasta un nivel aceptable, o que el riesgo inherente está ya dentro de las tolerancias del riesgo. La tolerancia al riesgo se puede complementar por supuesto con la planificación de contingencia para manejar los impactos que se presentarán si se manifiesta el riesgo.
2.5.3 El modelo ERM (GRE) enfatiza la anticipación en el manejo de riesgos, pero también, dentro del mismo un acercamiento, identificando oportunidades. En cualquier situación la gerencia debe observar para identificar oportunidades o acontecimientos con un impacto positivo no solamente, tomando en cuenta el riesgo o eventos con impacto negativo. Existen dos aspectos en esto: en primer lugar atenúa al mismo tiempo las amenazas, las oportunidades que se presenta para
38
aprovechar un impacto positivo; en segundo lugar, considera si las circunstancias que se presentan, mientras no generan amenazas, ofrece oportunidades positivas
2.5.4 La gerencia debe evaluar los efectos de varios métodos para tratar el riesgo, posteriormente decide cómo manejar lo mejor posible el riesgo, seleccionando una respuesta o una combinación de las respuestas diseñadas para controlar probabilidades e impacto del riesgo dentro de tolerancias del mismo. La respuesta hallada no necesariamente resulta en disminución del riesgo residual, sin embargo cuando una respuesta a los riesgos pudiera terminar en un riesgo residual que superare la tolerancia establecida, la gerencia revisará y/o reconsiderara su respuesta o tolerancias del riesgo.
2.5.5 Evaluar las respuestas alternativas a los riesgos inherentes, requiere tener en cuenta los riesgos adicionales que pueden derivarse de cada respuesta, lo que puede iniciar un proceso iterativo. Aquí es provechoso que la gerencia superior antes de tomar una decisión considere un portafolio de perspectivas que les proporcionen una visión general del perfil de la respuesta permitiendo considerar los tipos y la naturaleza del riesgo residual y si encajan con la tendencia al riesgo derivada de la misión.
2.5.6 Una vez que la gerencia seleccione una respuesta preferente, necesita desarrollar un plan de implantación para ejecutarla. Una parte crítica de dicho plan es el establecimiento de las actividades
39
del control para asegurarse que el tratamiento del riesgo se realizada con efectividad.
2.6 Actividades de control
2.6.1 Las actividades del control son las políticas y los procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la gerencia ante los riesgos. Las actividades del control tienen lugar a través de la organización, a todos los niveles en todas las funciones. Las Guías para las normas de control interno para entidades públicas incluyen información detallada sobre controles efectivos, esta adición no intenta nada más que incorporar los controles internos en el contexto de la gestión de riesgos de la entidad.
2.6.2 La Gerencia de riesgo de la entidad observa a las actividades del control como parte importante del proceso con el que una entidad se esfuerza para alcanzar los objetivos de negocio. Las actividades del control no son realizadas simplemente por que si o por que “parezca la actividad correcta o adecuada de hacer”, pero sirven bastante como mecanismos para gestionar la consecución de los objetivos de la entidad.
2.6.3 Aunque las actividades del control generalmente son establecidas generalmente para asegurar que las respuestas a los riesgos se lleven a cabo de modo adecuado, con respecto a ciertos objetivos también constituyen por si mismas una respuesta a los riesgos. La selección o revisión de las actividades debería incluir la consideración sobre
40
su relevancia y adecuación de respuesta al riesgo y a los objetivos relacionados.
2.6.4 Debido a que cada entidad tiene su propio conjunto de objetivos y enfoques de implantaron, existirán diferencias en las respuestas al riesgo y actividades de control relacionadas. Incluso cuando dos entidades tuvieran objetivos idénticos y tomasen decisiones similares respecto a como alcanzarlos las actividades del control probablemente serian distintas. Esto ocurre porque los diferentes equipos de la gerencia tendrán diferentes riesgos aceptados y tolerancias.
2.6.5 Sin embargo, en el contexto de la gestión de riesgos todos los procedimientos quedan en cuatro categorías generales:
• Controles preventivos están diseñados para limitar la posibilidad de materialización de un riesgo y de un evento indeseable observado. Cuanto mayor es el impacto del riesgo en la capacidad de alcanzar los objetivos de la entidad, es más importante la implementación de controles preventivos apropiados.
• Los controles directivos están diseñados para asegurar que un resultado particular está siendo alcanzado, son importantes particularmente cuando un evento es crítico (como brecha de seguridad) generalmente se utiliza para apoyar el logro de los objetivos de la confiabilidad.
41
• Los controles detectivos se diseñan para identificar si resultados indeseables han ocurrido "después de un acontecimiento". Sin embargo, la presencia de controles detectivos apropiados puede también atenuar el riesgo de los resultados indeseables que ocurren creando un efecto disuasivo.
• Los controles correctivos se diseñan para corregir los resultados indeseables que se han observado. Podrían también significar una eventualidad para el logro de recuperación de fondos o de la utilidad contra pérdida o daño.
2.7 Información y comunicación
2.7.1 Existe poca diferencia entre los requisitos de calidad de los datos usados para apoyar objetivos de control interno y los requisitos de calidad de los datos usados para apoyar a la gestión de riesgo de la entidad. Pues las Guías para las normas de control interno para el sector público contienen la información detallada sobre requisitos de la información y de la comunicación, esta adición no propone otra cosa más que aplicar estos requisitos en el contexto de la gerencia de riesgo de la entidad.
Información
2.7.2 La gestión de riesgo de la entidad requiere específicamente que una entidad capture una amplia gama de información para alcanzar los objetivos de control interno, por ejemplo, la focalización en los objetivos estratégicos requiere
42
como resultado amplia información de salida. Además la utilización que se le da estos datos es levemente diferente. Los datos históricos permiten que la entidad mantenga su funcionamiento actual acorde con sus objetivos, planes y expectativas, que faciliten una alerta temprana de eventos potenciales que merecen la atención de la Gerencia. Los datos actuales permiten determinar si se mantiene una perspectiva en tiempo real de lo riesgos existentes en un proceso, función o unidad, e identificar variaciones frente a las expectativas. Esto puede permitir a la entidad determinar si se mantiene operando dentro de la tolerancia del riesgo establecida.
2.7.3 La información pertinente se identifica, captura y comunica de una forma y un margen de tiempo que permiten a las personas llevar a cabo sus responsabilidades. La comunicación efectiva también existe, que fluye hacia abajo, arriba y a través de la entidad. Todo el personal debe recibir un mensaje claro de la alta gerencia el mismo debe considerar seriamente las responsabilidades en la gestión de riesgos de la entidad. Ellos necesitan entender su rol en el proceso de la gestión de riesgo de la entidad y como las actividades individuales se relacionan con el trabajo de otros. Asimismo el personal debe tener medios de comunicar hacia arriba la información significativa. También debe haber una comunicación efectiva con los públicos de interés.
2.7.4 Tener la gente adecuada con la información correcta, en el tiempo y lugar correcto, es esencial para efectuar la gestión de riesgo de la entidad.
43
Comunicación
2.7.5 La comunicación es inherente a los sistemas de información. Como ya se ha comentado antes estos sistemas deben proporcionar información al personal adecuado, para que puedan llevar a cabo sus responsabilidades, de reporte y de cumplimiento, la comunicación también debe tener lugar en un sentido más amplio, diseminando la cultura corporativa, ocupándose de expectativas, cubriendo las responsabilidades de los individuos y grupos, así como otras materias relevantes.
2.7.6 La gerencia proporciona comunicaciones específicas y orientadas que se dirigen a las expectativas de comportamiento y las responsabilidades del personal. Esto incluye una exposición clara de la filosofía y enfoque de la gerencia de riesgos de la entidad. La comunicación sobre procesos y procedimientos debe alinearse con la cultura deseada y reforzarla. La comunicación debe expresar efectivamente:
• La importancia y relevancia de la gestión de riesgos de la entidad.
• Los objetivos de la entidad.
• El riesgo aceptado y las tolerancias al riesgo de la entidad.
• Un lenguaje común para identificar y determinar riesgos.
44
• Los roles y responsabilidades del personal en desarrollar y apoyar los componentes de la gestión de riesgos.
2.7.7 También se necesita de métodos para que los empleados comuniquen la información basada en riesgos a su gerencia de línea, a través de la organización. Los empleados de línea que tratan los temas operativos críticos cada día son a menudo los mejor situados para reconocer los problemas cuando surgen. Para que tal información sea reportada, debe haber canales abiertos de comunicación y una clara disposición de atención. Si la cultura corporativa es una de “matar al mensajero”, el personal no comunicará los problemas a los superiores y los riesgos no serán identificados oportunamente.
2.7.8 En la mayoría de los casos las líneas normales de reporte de una organización son los canales ascendentes de comunicación. Sin embargo, en algunas circunstancias es necesario líneas de comunicación alternativas (como cierta forma de chisme). Debido a su importancia, una gestión efectiva de riesgos requiere la existencia de un canal alternativo de comunicaciones directo a la gerencia superior y disponible para que todo el personal utilice sin el miedo de la repercusión.
2.7.9 Existe la necesidad de una comunicación adecuada no solo dentro de la entidad, si no también con el mundo exterior. Es importante que los canales de comunicación sean externos y abiertos a los beneficiarios que pueden proporcionar entradas muy significativas sobre la manera en la cual la entidad está manejando riesgo para darle
45
seguridad sobre la manera en que se satisfagan sus necesidades. Esto es particularmente importante en lo referente a los riesgos que afectan al público y donde el público depende de su gobierno para que maneje el riesgo, por ello la seriedad en la comunicación con las partes externa se toman en base a la honradez de la comunicación también envía mensajes importantes a través de la entidad y puede tener un impacto significativo en la cultura de organizacional.
2.8 Monitoreo
2.8.1 La gestión de riesgo de la entidad se monitorea cuando el funcionamiento de sus componentes cada cierto tiempo, lo que se puede llevar a cabo con actividades de monitoreo, evaluaciones independientes o combinación de ambas técnicas. Las deficiencias en la gestión de riesgo de la entidad necesitan ser divulgadas a un nivel apropiado reportando los temas más importantes a la gerencia superior y gerencias para que la entidad mejore sus procesos.
2.8.2 Los objetivos de una entidad pueden cambiar en un cierto tiempo, el portafolio de riesgos encarados y su importancia relativa también cambiará en el tiempo, las respuestas efectivas a los riesgos de antaño, pueden llegar a ser irrelevantes o imposibles de poner en ejecución; las actividades del control puede resultar menos efectivas o inexistentes. La gerencia necesita determinar si el funcionamiento de su sistema de gestión de riesgos continua siendo efectivo, para determinar si sigue siendo apropiado y efectivo.
46
2.8.3 Las evaluaciones de la efectividad de la gestión de riesgos variarán en alcance y frecuencia, dependiendo de la significación de los grupos de riesgos y de la importancia de las respuestas del riesgo y de controles relacionados en el manejo de estos. Cuando la gerencia toma la decisión de realizar una evaluación integral de la gestión de riesgos de la entidad, hay que dirigir la atención hacia su aplicación en el establecimiento de la estrategia, así como la relación con las actividades significativas. Sin embargo, las actividades regulares de la gerencia tales como la actualización de los registros del riesgo y de los "cheques de salud de la organización o funcionales", también son parte del monitoreo de la gestión de riesgos.
Bibliografía
Australian Standard® for risk management (Standards Australia, 2004)
Entity Risk Management - Integrated Framework (COSO, 2004)
Integrated Risk Management Framework (Treasury Board of Canada Secretariat, 2001)
Internal Control - Integrated Framework (COSO, 1992)
Risk Management Standard (ARMIC, IRM & ALARM, 2002)
The Orange Book: Management of Risk - Principles and Concepts (HM Treasury, 2004)
47
Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
I N T O S A I Prologo
INTOSAI GOV
9140 y 9150
I
INTOSAI GOV 9150
Prólogo
Dentro del marco de trabajo del plan estratégico INTOSAI 2005-2010 y enfoque dual del
Comité de Normas Profesionales de la INTOSAI (PSC)1, la presidencia del PSC y el
presidente del Instituto de Auditores Internos (IIA)2, firmaron un Memorando de
Entendimiento (julio de 2007) creando así un proceso de cooperación entre ambas
organizaciones. El XIX INCOSAI (México, noviembre de 2009) otorgó al Subcomité de
Normas de Control Interno el mandato de desarrollar, más a fondo, las Directrices de la
INTOSAI para el Buen Gobierno.
Los miembros del Subcomité presentaron dos temas en particular para su futura
elaboración: la relación entre las Entidades Fiscalizadoras Superiores (EFS) y los auditores
internos y la independencia de los auditores internos en el sector público. El plan de acción
del Subcomité se presentó y se aprobó por el Comité Rector del PSC y el Comité Directivo
de la INTOSAI.
Las nuevas directrices de ambos temas son el resultado del esfuerzo conjunto de los
miembros del Subcomité y de la cada vez más amplia comunidad INTOSAI. El trabajo fue
preparado por un Task Force conformado por miembros del Subcomité, con delegados de
las Entidades Fiscalizadoras Superiores de Bangladesh, Hungría, Lituania, Países Bajos,
Rumania, la Federación de Rusia, Sudáfrica, España, el Sultanato de Omán, Ucrania, el
Reino Unido, Estados Unidos de América y Bélgica (presidencia) y del Instituto de
Auditores Internos, quienes se reunieron en Bruselas en abril de 2008. Se presentaron
versiones preliminares a todos los miembros del Subcomité y a los miembros del Comité
Rector del PSC en octubre de 2008, para que se comentaran. El Comité Rector del PSC,
aprobó algunas versiones preliminares para exposición de las INTOSAI GOV 9140 y 9150,
en su reunión en Brasilia en junio de 2009. Posteriormente, estas versiones preliminares se
publicarán para comentarios generales hasta octubre de 2009. El Subcomité discutió la
incorporación de los comentarios recibidos, redacción, precisión técnica, discutió
consistencia de los proyectos en su reunión plenaria, cuya sede fue la Cámara de Cuentas
de la Federación de Rusia en Moscú, en febrero de 2010. El Comité Rector del PSC aprobó
las versiones para aprobación de las versiones preliminares, en su reunión en Copenhague
de mayo de 2010.
1Por sus siglas en inglés: Professional Standards Committee | PSC.
2 Por sus siglas en inglés: Institute of Internal Auditors | IIA.
Quiero agradecer a todos los miembros del Subcomité y especialmente, a los miembros del
Task Force y al anfitrión de la reunión plenaria del Subcomité, por su dedicación y
cooperación para completar este proyecto.
Versiones para aprobación de las INTOSAI GOV 9140 y 9150, serán presentadas para su
aprobación final durante el XX INTOSAI (Johannesburgo, noviembre 2010).
Philippe Roland
Presidente de la Corte de Cuentas de Bélgica
Presidente del Subcomité de Normas de Control Interno del INTOSAI
Ignace Desomer
Vicepresidente de la Corte de Cuentas de Bélgica
Ejecutivo del Subcomité de Normas de Control Interno de la INTOSAI
INTOSAI GOV 9140
Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
I N T O S A I Independencia de
la Auditoría
Interna en el
Sector Público
INTOSAI General Secretariat - RECHNUNGSHOF
(Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2
A-1033 VIENNA
AUSTRIA
Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark
Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
1. INTRODUCCIÓN
1.1 El presente documento sobre la independencia en la auditoría interna en el sector
público responde a las inquietudes relacionadas con la independencia, objetividad y
métodos para alcanzarla.
1.2 La tarea de auditoría interna es desarrollada en diversos medios y dentro de
organizaciones que varían en su propósito, tamaño y estructura. Además, las leyes y reglas
dentro de varios países difieren de uno a otro. Particularmente, los auditores del sector
público se desempeñan dentro de estructuras organizacionales que son tan complejas y
variadas como las muchas formas de gobierno que actualmente existen en todo el mundo.
1.3 Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI, por
sus siglas en inglés) y las Normas Internacionales para la Práctica Profesional de
Auditorías Internas (normas) del Instituto de Auditores Internos (IIA, por sus siglas en
inglés), presentan términos generales que les permiten ser adoptadas en los diferentes
contextos nacionales con el entendimiento que su aplicación se regirá en el sentido de que
la actividad de auditoría interna llevará a cabo sus responsabilidades y estará en línea con
las leyes y regulaciones aplicables. Las Normas de la IIA son universales y están creadas
para ser aplicadas a todos aquellos profesionales dedicados a la auditoría interna.
1.4 La auditoría interna se ha convertido en un factor de la nueva era de rendición de
cuentas y control. La forma en la que las entidades del sector público mantienen el control
interno, y la forma en la que éstas deben rendir cuentas ha evolucionado, requiriéndose
mayor transparencia y una mejor rendición de cuentas por parte de estas organizaciones
que gastan los fondos de los contribuyentes e inversionistas. Esta tendencia ha impactado
significativamente en la forma en la que la gerencia instrumenta, monitorea y el reporta
sobre el control interno.
1.5 A pesar de que los auditores internos pueden ser una fuente valiosa de asesoría sobre
control interno, no deberá fungir como sustituto de un sistema de control interno sólido. Un
sistema de control interno representa la primera línea de respuesta para afrontar riesgos.
1.6 El papel de la auditoría interna ha evolucionado, de un procedimiento administrativo
enfocado al cumplimiento, hacia un elemento importante de buen gobierno. En muchos
casos, la existencia de auditoría interna es obligatoria.
1.7 Al describir a la auditoría del sector público, la Declaración de Lima llama a que los
servicios de auditoría interna sean funcionales y organizacionalmente independientes, tan
alejados como sea posible, dentro de sus respectivos marcos constitucionales. (ISSAI 1/3/
párrafo 2).
1.8 Las Normas y el Código de Ética del IIA reconocen la importancia de los auditores
internos al mantener su independencia y objetividad cuando llevan a cabo sus labores,
independientemente de que si estos llevan a cabo las auditorías en el sector público o en el
privado. Además, las Normas del IIA abogan por un sólido sistema de control vigilado por
una actividad de auditoría dotada de fondos suficientes como una característica
fundamental de buen gobierno. En el sector público, un sólido sistema de buen gobierno es
esencial para asegurar una adecuada prestación de servicios al público en general.
1.9 Tanto para las EFS, como para los auditores internos, la necesidad de independencia y
objetividad en los procesos de auditoría es esencial. La independencia de los auditores
internos y su objetividad son un factor importante para lograr la coordinación y
cooperación entre las EFS y los auditores internos (INTOSAI GOV 9150), incluyendo la
determinación de que si, y en qué medida, las EFS pueden utilizar el trabajo de los
auditores internos (ISSAI 1610, ISA 610/9). Es este sentido, es crítico que las actividades
de auditoría interna en el sector público estén configuradas y posicionadas apropiadamente
dentro de la organización.
1.10 Este documento no incluye herramientas o mejores prácticas. Éstas estarán disponibles
en la plataforma electrónica del Subcomité de Normas de Control Interno.
2. EL PAPEL DE LA AUDITORÍA INTERNA
2.1 El IIA define a la auditoría interna como una actividad independiente, objetiva y
consultiva diseñada para agregar valor y mejorar las operaciones de una organización. La
auditoría interna ayuda a una organización a cumplir con sus objetivos ofreciendo un
enfoque sistemático y disciplinado para evaluar y mejorar la eficacia en los procesos de
gestión del riesgo, de control y de gobernabilidad.
2.2 La auditoría interna puede analizar las fortalezas y debilidades del control interno de
una organización, considerando su gobernabilidad, cultura organizacional y las amenazas
relacionadas y oportunidades para el mejoramiento, las cuales pueden determinar si la
organización es capaz de lograr sus objetivos. Este análisis evalúa si la gestión del riesgo es
capaz de identificarlos y si implementa mecanismos de control para la administración de
recursos públicos de forma eficiente y efectiva.
2.3 La auditoría interna trabaja con aquellos encargados del buen gobierno1, tales como el
consejo, comité de auditoría, direcciones de alto nivel o, en su caso, con una entidad
externa de vigilancia, con el fin de asegurar el buen diseño y la implementación de sistemas
adecuados de control interno. Como tal, la auditoría interna puede ofrecer asistencia
relacionada con el cumplimiento de metas y objetivos, el fortalecimiento de controles, y el
mejoramiento de la eficiencia y eficacia de las operaciones y su cumplimiento con las
autoridades. Es importante poner en claro que mientras la auditoría interna puede ofrecer
asistencia sobre control interno, no deberá llevar a cabo tareas operacionales o de gestión.
1 Aquellos encargados del buen gobierno: cf ISSAI 1260
3. AUDITORÍA INTERNA EN EL SECTOR PÚBLICO
3.1 Como ocurre con todos los auditores internos, aquellos del sector público son llamados
para ayudar a las organizaciones en la mejora de sus operaciones. La función de la auditoría
interna en el sector público es un elemento fundamental de buen gobierno en el sector
público. La mayoría de los auditores internos del sector público desempeñan, además, un
papel dentro de sus entidades de rendición de cuentas al público como parte del proceso de
verificación de cuentas.
3.2 La diversidad de la naturaleza del sector público resalta la importancia y el valor de un
entendimiento común de la independencia como elemento fundamental de la credibilidad
para cualquier auditor. Como los auditores internos son una parte integral de la
organización, la búsqueda y el mantener la independencia es un reto aún mayor.
3.3 La función de auditoría interna puede ser organizada y desarrollada a varios niveles
dentro de una entidad, o dentro de un marco de trabajo más amplio que cubra una serie de
entidades similares. Los mismos principios y reglas aplican a esos distintos niveles de
organización de auditoría interna.
4. MODELOS DE RECURSOS PARA LA AUDITORÍA INTERNA
4.1 Existen varios modelos de recursos en una actividad de auditoría interna. Éstos
incluyen:
Internos:
Los servicios de auditoría interna son ofrecidos exclusiva o predominantemente por
empleados internos de la organización. La actividad de auditoría interna es
administrada de manera interna por un empleado de la organización.
Coordinado:
Los servicios de auditoría interna son ofrecidos por la combinación de empleados
internos y proveedores de servicios. La actividad de auditoría interna es administrada
de manera interna por un empleado de la organización.
Terceros con gestoría interna:
Los servicios de auditoría interna son administrados por proveedores contratados por la
organización para este propósito. La actividad de auditoría interna es administrada de
manera interna por un empleado de la organización, y
Completamente ofrecida por terceros
Todos los servicios de auditoría interna son ofrecidos por proveedores de servicios
contratados por la organización para este fin. Además, el proveedor del servicio
gestiona la actividad de auditoría interna. La administración del proyecto del contrato
de prestación del servicio se lleva a cabo dentro de la organización por un empleado de
la organización.
5. DEFINICIÓN DE INDEPENDENCIA Y OBJETIVIDAD
5.1 Independencia se podría definir, en un aspecto general, como la libertad de
dependencia, influencia o control, por parte de otra persona, organización o Estado. Los
auditores internos trabajan e informan principalmente a la entidad auditada. Para los
auditores internos, la independencia es la libertad de condiciones que pudiese menguar la
adecuada actividad de auditoría interna, o afectar la actuación del jefe ejecutivo de auditoría
(JEA)2 para llevar a cabo sus responsabilidades de auditoría interna de manera imparcial.
La independencia permite a los auditores internos pronunciarse con juicios de
imparcialidad necesarios para el buen desarrollo de sus obligaciones.
5.2.1 La Objetividad es definida en las Normas del IIA como una actitud mental imparcial
que permite a los auditores internos cumplir con sus compromisos de tal forma que tengan
una fuerte creencia en la honestidad de su trabajo final y que la calidad de éste no se vea
comprometida de ninguna manera.
5.2.2 Las Normas del IIA también establecen que la objetividad requiere que los auditores
internos no subordinen su juicio sobre cuestiones de auditoría con otros. Algunas amenazas
a la objetividad, tales como posibles conflictos de intereses, deben ser gestionados en la
individualidad del auditor y a niveles de compromiso, funcionalidad y organizacional, y
deben ser divulgadas cuando sea necesario.
6. ¿POR QUÉ LA INDEPENDENCIA Y LA OBJETIVIDAD SON
ESENCIALES?
6.1 Cualquiera que sea la forma de gobierno, la necesidad de independencia y objetividad
en la auditoría es vital (ISSAI 200/2.3.). La independencia y la objetividad son vitales para
asegurar que las partes interesadas vean el trabajo de auditoría desarrollado y sus
resultados, como creíbles, reales e imparciales.
6.2 La naturaleza de la auditoría interna y el rol de ofrecer información precisa e imparcial
sobre el uso de los recursos públicos y los servicios prestados requiere que la actividad de
auditoría sea desarrollada sin restricciones –libre de interferencias o presiones de la
organización que está siendo objeto de revisión o de un área que se encuentre bajo una
auditoría.
6.3 El desempeño de una buena relación laboral con la administración y el personal a
cualquier nivel dentro de la organización es fundamental para la eficacia de la función de
2 CAE: Chief Audit Executive (por sus siglas en inglés).
auditoría interna. El conocimiento de las actividades de auditoría interna y la comprensión
en la organización ayudará a construir relaciones efectivas, asimismo, ayudará a evaluar y
mejorar la eficacia en la gestión de los riesgos, el control interno y los procesos de buen
gobierno. Lo ideal y lo más apropiado sería que los empleados de la organización llevaran
sus dudas, información y aspectos importantes a la atención de la actividad de auditoría
interna. Además, una actividad de auditoría efectiva y bien conducida será requerida por la
calidad en sus servicios, información y lineamientos.
6.4 Al proporcionar evaluaciones objetivas e imparciales sobre si las operaciones del sector
público y sus recursos fueron gestionados de manera eficaz y responsable para lograr los
resultados esperados, el auditor puede ayudar a la organización del sector público a lograr
una buena e íntegra rendición de cuentas, a mejorar las operaciones y a inspirar confianza
entre los ciudadanos y las partes interesadas.
7. CRITERIOS DE INDEPENDENCIA Y OBJETIVIDAD
7.1 La ISSAI 1610 tiene por objeto evaluar si el entorno en el que opera la auditoría interna
permite que el auditor interno sea lo suficientemente autónomo y objetivo en la medida en
que el auditor externo pueda usar el trabajo del auditor interno. Esto equivale a la
evaluación de la independencia de la auditoría interna dentro de la INTOSAI GOV 9140.
7.2 Además de los criterios establecidos en el ISA 610, el ISSAI 1610 ofrece ciertos
criterios para evaluar la objetividad de la función de auditoría interna en el sector público.
La función de auditoría interna:
Es establecida por ley o norma;
Rinde cuentas a la alta dirección; por ejemplo: el titular o titular adjunto de la
entidad de gobierno, y/o aquellos dotados de poder de mando;
Informa los resultados de auditoría tanto a los niveles de alta dirección; por
ejemplo: el titular o titular adjunto de la entidad de gobierno, y/o aquellos dotados
de cargos de mando;
Está ubicada organizacionalmente fuera del personal y de la función administrativa
de la unidad que se encuentre bajo un proceso de auditoría;
Está lo suficientemente alejada de presiones políticas para llevar a cabo auditorías e
informes de resultados, opiniones, y conclusiones objetivas, sin temor a represalias
políticas;
No permite al personal de auditoría interna auditar operaciones por las cuales han
sido previamente responsables, evitando así cualquier conflicto de intereses ; y
Tiene acceso a aquellos dotados de poder de mando.
7.3 Además, los criterios para evaluar la independencia de la función de auditoría interna en
el sector público pueden incluir:
Responsabilidades claras y formalmente definidas, y autoridades de auditoría
interna en una carta de auditoría;
Segregación funcional y personal de la auditoría interna de las responsabilidades
para la gestión de tareas y decisiones (ej. como jefes de grupos de trabajo
operacionales en proyectos de reforma administrativa);
Adecuada libertad para el JEA para establecer planes de auditoría;
Pago y nivel jerárquico adecuado dentro de la escala de salario, de acuerdo a la
responsabilidad y la magnitud de la auditoría interna; y
Implicación y participación del JEA en la contratación del personal de auditoría.
7.4 Además, las Normas del IIA requieren, como lo dictan las prácticas de conducción, que
la actividad de auditoría interna sea independiente, y que los auditores internos sean
objetivos en el desempeño de su trabajo. Para lograr el grado de independencia necesario
para llevar a cabo de forma eficiente las responsabilidades de la actividad de auditoría
interna, el jefe de la actividad de auditoría interna tendrá acceso directo e irrestricto a
aquellos dotados de poder de mando. La independencia es alcanzada a través del estatus
organizacional y la objetividad (IPPF 1100-1130 Independencia y Objetividad).
7.5 Bajo las Normas del IIA, el JEA deberá informar a un cierto nivel dentro de la
organización que permita que la actividad de auditoría interna cumpla cabalmente con sus
responsabilidades. El JEA deberá confirmar a aquellos dotados de poder de mando, al
menos de forma anual, la independencia organizacional de la actividad de auditoría interna.
De acuerdo con el Consejo para la Práctica 1111-1, del IIA, el JEA deberá comunicar e
interactuar directamente con el Consejo. La comunicación directa se presenta cuando el
JEA regularmente asiste y participa en las reuniones de consejo relacionadas con las
facultades de vigilancia de éste para la auditoría, informe financiero, gobernabilidad
organizacional y control. La comunicación y la interacción se produce también cuando el
JEA se reúne con el consejo, por lo menos una vez al año. La actividad de auditoría interna
debe estar libre de interferencias para determinar el alcance de la auditoría interna, el
desempeño del trabajo, y la comunicación de los resultados.
8. CUESTIONES RELACIONADAS CON LA INDEPENDENCIA Y LA
OBJETIVIDAD
8.1 Un auditor interno ocupa una única posición dentro de una organización. El auditor es
contratado por la organización, pero también se espera que revise la forma en la que se
conducen las operaciones. Esto tiene el potencial para crear una tensión significativa ya que
la independencia del auditor interno es necesaria para evaluar objetivamente las acciones de
la administración.
8.2 El conocimiento a fondo de la auditoría interna y el entendimiento de las condiciones
operacionales de la entidad auditada pueden agregar un valor significativo a la
organización. Sin embargo, pudiera verse obstaculizado en la defensa de la confianza
pública si las medidas para proteger la independencia no han sido desarrolladas,
implementadas y mantenidas. Estas medidas incluyen disposiciones para garantizar que la
actividad de auditoría interna esté facultada para informar aspectos significativos a aquellos
dotados de poder de mando; que esté apoyada por una gestión formal y práctica; y que
cuente con los suficientes recursos para el efectivo desempeño de sus funciones.
8.3 La apariencia o percepción de una ausencia de independencia y objetividad pudiera ser
tan dañina como si aquella fuera real. Si los auditores internos están involucrados en el
desarrollo de controles de sistemas de control interno, pudiera llegar a ser difícil mantener
la apariencia de independencia durante la auditoría de estos sistemas.
9. ¿CÓMO LOGRAR LA INDEPENDENCIA Y OBJETIVIDAD?
9.1 Claramente, la independencia y la objetividad son elementos clave de una actividad de
auditoría interna en el sector público. Para cumplir con los criterios de independencia y
objetividad previamente mencionados, se han considerado una serie de medidas, como las
que se recomiendan a continuación:
9.2 Una Colocación Apropiada y un Estatus Organizacional
9.2.1 La habilidad para alcanzar la independencia en la actividad de auditoría interna y su
objetividad depende en gran parte de una apropiada ubicación y/o un estatus organizacional
de la actividad de auditoría interna dentro de la organización.
9.2.2 El estatus organizacional de la actividad de auditoría interna deberá ser bastante para
permitir el cumplimiento de sus actividades tal y como están definidas en la carta de
auditoría. La actividad de auditoría deberá ser posicionada de tal forma que se pueda
obtener la cooperación tanto de la gerencia como del personal del programa o de la entidad
que está siendo auditada, y que se tenga libre e irrestricto acceso a todas sus funciones,
expedientes, propiedades y personal, incluyendo aquellos dotados de poder de mando.
9.2.3 Donde sea posible, aquellos dotados de poder de mando (comisión de vigilancia)
deberán ejercer discrecionalidad y, al menos, ser consultados en relación a las
consideraciones de elección, remoción y compensación del JEA. Es posible, además,
considerar la posibilidad de designar una entidad adecuadamente organizada e
independiente para la designación del JEA.
9.2.4 El JEA deberá tener el mismo rango que un director de alto nivel de la organización.
Para evitar posibles conflictos de interés, el JEA deberá informar a un nivel dentro de la
organización que le permita llevar a cabo su actividad de auditoría de manera eficaz.
9.2.5 El JEA deberá tener comunicación directa con aquellos dotados de poder de mando.
Esta comunicación reforzará el estatus organizacional de auditoría interna, permitirá el
apoyo total y un acceso libre a los documentos, personal, propiedad y bienes; y permitirá
garantizar que no exista impedimento alguno hacia una plena independencia. Lo anterior
permitirá ofrecer autoridad suficiente para asegurar una cobertura más amplia de auditoría,
un examen adecuado de las comunicaciones, así como el empleo de acciones y
recomendaciones apropiadas.
9.3 Relación de Informes
9.3.1 Bajo las Normas del IIA, el JEA deberá informar a un cierto nivel dentro de la
organización que permita a la actividad de auditoría interna cumplir completamente con sus
responsabilidades.
9.3.2 El JEA deberá informar a la dirección ejecutiva para que le sea otorgada asistencia en
el establecimiento de una interfaz de dirección, apoyo y de administración; y para aquellos
dotados de poder de mando, una interfaz de dirección estratégica, rendición de cuentas y de
refuerzo. Los encargados de mando (p. ej., el comité de auditoría), deberán salvaguardar la
independencia a través de la aprobación del estatuto de auditoría interna y, cuando fuera
apropiado, del mandato.
9.3.3 Las Normas del IIA requieren, tal como lo recomiendan otros lineamientos, para
mantener la independencia de la actividad de auditoría interna, que el personal reporte al
JEA, quien a su vez reportará, administrativamente, al oficial ejecutivo en jefe o su
equivalente; y funcionalmente, a aquellos dotados de poder de mando.
9.4 Competencia
9.4.1 El Código de Ética del IIA requiere, tal como lo dictan las prácticas conducentes, que
los auditores internos participen en aquellos servicios para los cuales tengan el
conocimiento, habilidades y experiencia requerida; que desarrollen actividades de
conformidad con las Normas; y que mejoren continuamente sus habilidades y efectividad.
Las Normas requieren que los auditores internos y la actividad de auditoría interna posean o
desarrollen, de manera colectiva, conocimientos, habilidades, y otras competencias
necesarias para el desempeño de sus responsabilidades. Un grupo competente y profesional
de auditoría interna, en particular aquellos que se adhieran a las Normas, pueden ayudar a
garantizar el éxito en la actividad de auditoría interna.
9.5 Requerimientos Legislativos
9.5.1 Los requisitos legislativos para establecer la actividad de auditoría interna ayudan a
proteger los hallazgos y la independencia de la actividad de auditoría interna y reconocer a
la auditoría interna como una función importante en el poder público. Finalmente, una
protección jurídica adecuada de la independencia del auditor interno, en particular, bajo el
servicio civil de carrera, es un elemento importante de un marco legislativo.
REFERENCIAS
INTOSAI
ISSAI 1, La Declaración de Lima, Sección 3. Auditoría interna y auditoría externa
ISSAI 200, Normas Generales en Auditoría Gubernamental y normas con significado ético
ISSAI 1260, Comunicación con los elementos dotados de poder de mando
ISSAI 1610, Lineamiento de Auditoría Financiera - Consideraciones Especiales- Uso del
Trabajo de Auditores Internos
INTOSAI GOV 9100, Lineamientos de Normas de Control Interno para el Sector Público
INTOSAI GOV 9150 Coordinación y Cooperación entre las EFS y los Auditores Internos
en el Sector Público
IFAC
Normas Internacionales de Auditoría 610
Gobernabilidad en el Sector Público: Una Perspectiva del Cuerpo Gubernamental, 2001
IIA
Marco Internacional de Prácticas Profesionales, incluyendo la Definición de Auditoría
Interna, el Código de Ética, las Normas Internacionales para la Práctica Profesional de
Auditorías Internas (Normas), Consejeros Prácticos, Documentos de Posición y Guías
Prácticas
El Papel de la Auditoría en el Sector Público de Gobierno, 2006
Independencia y Objetividad: Un Marco de Trabajo para Auditores Internos, 2001, Asociación de
Contadores Americanos, Fundación de la IIA para la Investigación.
Auditoría Interna: Servicios de Consultoría, 2009, Fundación de la IIA para la Investigación.
Auditoría Interna en el Sector Público, Gansburghe, Revista de Auditoría Interna, Agosto, 2005.
Tendencias de Auditoría Interna en el Sector Público, Sterck y Bouckaert, Revista de Auditoría
Interna, Agosto, 2006.
20 Preguntas que los Directores deberían hacer sobre Auditoría Interna, 2004, Fraser y Lindsay,
Instituto Canadiense de Contadores Certificados.
Las Mejores Prácticas y herramientas serán integradas en la plataforma electrónica (e-platform).
INTOSAI GOV 9150
Las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) son emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Para más información visite www.issai.org
I N T O S A I Coordinación y
Cooperación entre
las EFS y los
Auditores Internos en
el Sector Público
INTOSAI General Secretariat - RECHNUNGSHOF
(Austrian Court of Audit)
DAMPFSCHIFFSTRASSE 2
A-1033 VIENNA
AUSTRIA
Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69
E-MAIL: [email protected];
WORLD WIDE WEB: http://www.intosai.org
I N T O S A I
EXPERIENTIA MUTUA
OMNIBUS PRODEST
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI Professional Standards Committee
PSC-Secretariat
Rigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • Denmark
Tel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: [email protected]
3
1. INTRODUCCIÓN
1.1 Este documento proporciona lineamientos sobre cómo lograr tanto la coordinación y
la cooperación entre las Entidades Fiscalizadoras Superiores (EFS) y los auditores
internos en el sector público respetando las funciones distintivas y los requisitos
profesionales de cada uno.
1.2 Además de las EFS y de los auditores internos, estos lineamientos también podrán
ser útiles para otros auditores que realicen auditorías externas e internas en el sector
público a su nombre.
1.3 Este documento debería leerse en el contexto de las Normas Internacionales de las
Entidades Fiscalizadoras Superiores (ISSAI), Normas Internacionales de
Fiscalización (ISA), establecidas por el Consejo de Normas Internacionales de
Auditoría y Aseguramiento y el Marco para la Práctica Profesional Internacional del
Instituto de Auditores Internos.
1.4 Aunque las EFS y los auditores internos desempeñan papeles diferentes y
claramente definidos, su propósito colectivo es promover la gobernanza a través de
las contribuciones con la transparencia y la rendición de cuentas para el uso de los
recursos públicos, así como promover la administración pública eficiente, efectiva y
económica. Las áreas comunes del trabajo realizado por las EFS y los auditores
internos ofrecen oportunidades para la coordinación y la cooperación. A través de la
coordinación y la cooperación de la EFS y los auditores internos, la eficiencia y la
eficacia del trabajo de ambas partes puede mejorar.
1.5 Al desarrollar la coordinación y la cooperación entre los auditores internos y la EFS,
se debería utilizar el conocimiento para precisar los roles de cada parte.
1.6 Tanto las EFS como los auditores internos pueden realizar toda la variedad de
auditorías gubernamentales1 y pueden ofrecer contribuciones trascendentes e
importantes2. Las EFS tienen la responsabilidad adicional de evaluar la efectividad
de la función de audición interna.
1.7 Si la auditoría interna se considera efectiva, será necesario esforzarse, sin impedir
que las EFS lleven a cabo una auditoría general, con el fin de lograr la división o la
asignación de las tareas más apropiadas y la cooperación entre las EFS y la auditoría
1 Para toda la variedad de auditorías gubernamentales, ver el capítulo 3 (papeles y responsabilidades).
2 El alcance de la coordinación y la cooperación del auditor interno/EFS cubre las auditorías financieras, de
cumplimiento y de desempeño.
4
interna (ISSAI 1/3/parte 3). Probablemente, esto beneficiará a ambas partes en su
continuo esfuerzo de eficiencia y eficacia en los servicios públicos.
1.8 Toda cooperación y coordinación de esfuerzos entre las EFS y los auditores internos
deberá considerar los respectivos marcos o acuerdos constitucionales y legislativos.
Estos marcos podrán definir la colaboración y las responsabilidades de las
diferentes partes. La colaboración deberá ocurrir, en su mayoría, a discreción de las
EFS pero, si es posible, la cooperación y la coordinación entre las EFS y los
auditores internos debería verse como una oportunidad para mejorar la efectividad
de la auditoría.
1.9 La coordinación y la cooperación formales sólo serán posibles en el espacio donde
se reúnen ciertos criterios básicos con respecto a las habilidades y a las
competencias. Este documento no excluye otras formas de enlace, tales como
discusiones informales o revisiones de documentos para ayudar a comprender el
entendimiento de las operaciones de una entidad.
1.10 En el sector público, las EFS y los auditores internos pueden cooperar de
numerosas formas. Dicha cooperación puede maximizar los beneficios obtenidos
del trabajo en conjunto en áreas donde existe una coincidencia ineludible en el
alcance del trabajo que las EFS y los auditores internos llevan a cabo. Este
documento también reconoce la contribución que los auditores internos pueden
hacer a la eficiencia de las auditorías externas.
1.11 Este documento no incluye herramientas o mejores prácticas. Éstas se
pondrán a disposición general en la plataforma del Subcomité de Normas de Control
Interno.
2. RECONOCIMIENTO DE LAS NORMAS RELEVANTES EXISTENTES DE
LA INTOSAI
2.1 Tanto para las EFS como para los auditores internos, la necesidad de independencia
y de objetividad en la auditoría es esencial. La independencia y la objetividad de un
auditor interno son factores importantes para que las EFS consideren cuándo
determinar si serán capaces de coordinar y cooperar con un auditor interno y hasta
qué punto pueden usar el trabajo del auditor interno (ISSAI 1610, isa 610/9;
5
INTOSAI GOV 9140). Tanto las EFS como los auditores internos cuentan con sus
propias normas de independencia3.
2.2 Los servicios de auditoría interna están subordinados al líder de la entidad en la cual
se establecieron. Sin embargo, serán funcional y organizacionalmente
independientes tanto como sea posible en su respectivo marco constitucional (ISSAI
1/3/párrafo 2; ISSAI 1610; INTOSAI GOV 9140). En este documento, hace
referencia a ISSAI 1610 e INTOSAI GOV 9140, especialmente con respecto a los
criterios usados para determinar la independencia de la función de auditoría interna.
2.3 Cuando la EFS utiliza el trabajo de un auditor interno, lleva a cabo procedimientos
para asegurarse de que éste ha sido tan cuidadoso como debía y ha cumplido con las
normas de auditoría relevantes (ISSAI 200/2.45). La EFS podrá revisar el trabajo del
auditor interno para cerciorarse de la calidad del mismo (ISSAI 1610).
2.4 Cuando una EFS ha determinado que un auditor interno de una entidad tiene
probabilidades de ser relevante en su auditoría, la EFS deberá determinar (a) si
utilizar, y hasta qué punto, el trabajo específico de los auditores internos; y (b) de
ser así, si dicho trabajo es adecuado para los propósitos de la auditoría (ISSAI 1610,
ISA 610/ 8-12).
2.5 La EFS tiene la responsabilidad exclusiva de las opiniones de auditoría que exprese
y esa responsabilidad no se reduce por el uso del trabajo de los auditores
internacionales (ISSAI 1610, ISA 610/4).
3 Los auditores internos usan el Marco de Trabajo Internacional de Prácticas Profesionales (IPPF) del
Instituto de Auditores Internos (IIA por sus Siglas en Inglés), incluyendo la Definición de Auditoría Interna, el
Código de Ética y las Normas Internacionales para la Práctica Profesional de la Auditoría Interna (normas) y
Papeles de Posición (position papers), Consultorías de Práctica y Lineamientos de Prácticas. El uso del ISSAI
10 del INTOSAI por parte de la EFS –la Declaración de México sobre la Independencia de las EFS--; ISSAI 11 –
Pautas Básica y Buenas Prácticas de la INTOSAI relacionadas con la Independencia de las EFS--; ISSAI 30 –el
Código de Ética de la INTOSAI--; y ISSAI 200 –Normas generales de la INTOSAI--. Los auditores externos usan
el Código de Ética para Contadores Profesionales de la Federación Internacional de Contadores (IFAC por sus
Siglas en inglés).
6
3. ROLES Y RESPONSABILIDADES
3.1.1 Los roles específicos de ambas partes se reconocen en el desarrollo de la
coordinación y la cooperación entre las EFS y los auditores internos.
3.1.2 Los auditores internos trabajan, y ante todo, presentan los informes a la entidad
auditada (administrativamente a la gerencia y funcionalmente a quienes estén
encargados de la gobernanza4, tales como los consejos, los comités de auditoría,
la gestión o, si fuese apropiado, un organismo supervisor externo) mientras que
las EFS funcionan como auditores externos y difunden sus informes a la
legislatura o al parlamento (e indirectamente al público). La legislatura
específica podría requerir que la auditoría interna también presente los informes
a la EFS.
3.2 Auditoría interna
3.2.1 La INTOSAI define una función de auditoría interna como los medios
funcionales mediante los cuales los administradores de una entidad reciben una
garantía de fuentes internas de que los procesos para los cuales rinden cuentas
funcionan de forma que minimicen la probabilidad de que ocurra un error,
prácticas ineficientes o poco económicas, o fraude (INTOSAI GOV 9100).
3.2.2 El Instituto de Auditores Internos define la auditoría interna como una actividad
independiente, de consulta y de aseguramiento objetivo diseñada para añadir
valor y mejorar las operaciones de una organización. Ayuda a que una
organización cumpla sus objetivos al brindar un enfoque sistemático y
disciplinado para evaluar y mejorar la efectividad del riesgo de gestión, control
y procesos de gobernanza.
3.2.3 Dentro del contexto de los roles y las responsabilidades, pueden aplicarse los
siguientes principios de acuerdo con INTOSAI GOV 9100:
Los auditores internos examinan y contribuyen a la continua eficiencia y
efectividad de la estructura de control interno a través de sus
evaluaciones y recomendaciones y, por lo tanto, desempeñan un rol
significativo en el control interno efectivo.
La administración establece generalmente una función de auditoría
interna como parte de su marco de control interno. En esta tradición, el
4 Ver ISSAI 1260
7
papel de los auditores internos es una parte crítica de la organización de
una estructura de control interno.
Sin embargo, el mandato de una función de auditoría interna no incluye
la implantación de procesos de control internos específicos en la
organización. Lo anterior es responsabilidad de la gestión.
Una función de auditoría interna efectiva podría cubrir la revisión,
evaluación y cobertura acerca de la idoneidad de los controles con el fin
de contribuir a la mejora del sistema de control interno.
La función de auditoría interna deberá utilizar un enfoque continuo y
arriesgado que deberá considerar los criterios de riesgo que el cuerpo de
gobernanza y la administración establecieron.
3.2.4 Aunque los auditores internos forman parte de la organización que auditan5,
pueden ponerse en vigor ciertas garantías para ayudar a proteger la
independencia y la objetividad de la función de auditoría interna. La función de
auditoría interna deberá ser funcional y organizacionalmente independiente
tanto como sea posible en su respectivo marco constitucional (ISSAI /artículo 3/
párrafo 2). El trabajo y las conclusiones de un auditor interno deberán ser
imparciales, neutrales y libres de conflictos o de intereses.
3.3 EFS’
3.3.1 Por lo general, un Órgano Legislador Superior o una disposición constitucional
establecen las EFS. En algunas jurisdicciones, las EFS contratan auditores
privados para desempeñar el trabajo a su nombre o aquellos encomendados a la
gobernanza (tales como los consejos, el comité de auditoría, la gestión senior o,
si fuese apropiado, un organismo supervisor externo) designan un auditor que
no pertenezca a la EFS cuando la legislación aprueba a su auditor externo.
3.3.2 En la mayoría de los países, las EFS tienen una variedad más amplia de
responsabilidades que reportar acerca de las actividades de las entidades
auditadas de la que tienen los auditores del sector privado. El alcance completo
de las auditorías del gobierno incluye la regularidad6 y los resultados de los
5 Sin embargo, un proveedor de servicios también puede llevar a cabo el trabajo de auditoría interna en una
organización. Cada vez es más común tanto en el sector público como en el privado contar con una
organización de auditoría externa que proporcione este servicio (INTOSAI GOV 9140, capítulo 4, modelos
para proporcionar recursos de auditoría interna
6 La regularidad será tanto financiera como de conformidad en el futuro (modelos de 2013 en adelante).
8
reportes de auditoría (consultar también ISSAI 100, párrafos 39-40) así como
revisiones especiales y auditorías forenses.
3.3.3 La regularidad de la auditoría abarca, entre otras cosas, la certificación de la
rendición de cuentas de las entidades y de la administración del gobierno como
un conjunto: la auditoría de transacciones y sistemas financieros; las funciones
de auditoría internas y de control interno; y la probidad y propiedad de las
decisiones administrativas tomadas en la entidad auditada. También incluye
reportar cualquier asunto que surja o se relacione con la auditoría y que la EFS
considere debe darse a conocer (ISSAI 100).
3.3.4 Los resultados de la auditoría se relacionan con la economía, eficiencia y
eficacia (ISSAI 100).
3.3.5 Como auditores externos, las EFS son responsables de evaluar la efectividad de
la función de auditoría interna. Si una función de auditoría interna se considera
efectiva, la cooperación entre la EFS y el auditor interno probablemente
beneficiará a ambas partes (ISSAI 1/secciones 3 y 16).
4. LOS BENEFICIOS DE LA COORDINACIÓN Y COOPERACIÓN
4.1 Se puede obtener una amplia gama de beneficios de la coordinación y la
cooperación entre las EFS y los auditores internos, éstas incluyen:
Un intercambio de ideas y de conocimiento;
Un fortalecimiento de su capacidad mutua de promover la gobernanza y las
prácticas de rendición de cuentas y así mejorar la comprensión, por parte de
la gestión, de la importancia del control interno;
Auditorías más efectivas que se basen en:
○ La promoción de una clara comprensión de los respectivos roles en la
auditoría y sus requerimientos,
○ Un diálogo mejor informado acerca de los riesgos que enfrenta la
organización para así dirigirse hacia una auditoría más enfocada y, por lo
tanto, con recomendaciones más útiles,
○ Una mejor comprensión por parte de ambos de los resultados que surjan
del trabajo del otro, el cual podría tener un impacto en sus respectivos
programas y planes de trabajo futuros;
Auditorías más eficientes que se basen en:
9
○ Una actividad de auditoría interna y externa mejor coordinada que sea el
resultado de la correcta coordinación entre la comunicación y la
planificación,
○ Un alcance de auditoría perfeccionado para las EFS y los auditores
internos;
La reducción de la probable e innecesaria duplicación del trabajo de
auditoría (economía);
Minimizar la interrupción de la entidad auditada;
Mejorar y maximizar la cobertura de la auditoría basada en evaluaciones de
riesgos identificación de riesgos significativos; y
El apoyo mutuo en las recomendaciones de auditoría que puedan mejorar la
efectividad de los servicios de auditoría.
5. RIESGOS POTENCIALES DE LA COORDINACIÓN Y LA
COOPERACIÓN
5.1 Existen ciertos riesgos inherentes a la cooperación y a la coordinación que deberían
administrarse, algunos son:
Cualquier compromiso de confidencialidad, independencia y objetividad;
Posibles conflictos de intereses;
Disolución de las responsabilidades;
Uso de normas profesionales diferentes relacionadas con la independencia o la
auditoría;
Malinterpretación de conclusiones cuando se use el trabajo del otro;
Posible diferencia de conclusiones o de opiniones acerca del asunto en cuestión;
La posibilidad de que los hallazgos potenciales del otro auditor puedan
comunicarse prematuramente a una parte externa antes de que exista evidencia
de auditoría suficiente para respaldar dichos hallazgos; y
No considerar limitaciones o restricciones planteadas por el otro auditor en la
determinación del alcance de la coordinación y la cooperación.
5.2 Un proveedor de servicios también puede llevar a cabo el trabajo de auditoría
interna en una organización. En algunos casos, la misma compañía de auditoría
proporciona los servicios de auditoría tanto internos como externos. El proveedor de
servicios no deberá llevar a cabo el trabajo de auditoría interna si también
desempeña el papel de auditor externo o si proporciona servicios adicionales a los
de consultoría en materia de auditorías, para esa organización ya que hace que la
independencia y la objetividad peligren.
10
6. CAMPOS PARA LA COORDINACIÓN Y COOPERACIÓN
6.1 La coordinación y la cooperación se basan en el compromiso, la comunicación, el
común entendimiento y la confianza.
6.1.1 Compromiso
La cooperación efectiva entre los auditores internos y las EFS puede lograrse
sólo si ambas partes están dispuestas y comprometidas a desarrollar servicios de
auditoría coordinados y efectivos.
El fomento del compromiso de auditoría puede mejorar la probabilidad de éxito
en la coordinación y en la cooperación entre los auditores internos y las EFS.
6.1.2 Comunicación
La comunicación es un proceso bilateral.
La comunicación regular y abierta entre las EFS y los auditores internos es
primordial para el éxito de la coordinación y la cooperación. Los auditores
deberían establecer un común acuerdo acerca de la naturaleza y lo oportuno de
dicha comunicación7.
La comunicación podría incluir:
○ El intercambio de los informes de auditoría y cartas a la gerencia,
○ En algunas circunstancias, garantizar el acceso a los programas y
documentación de auditoría del otro pero también deben establecerse
previsiones para que exista la discreción y confidencialidad suficientes.
6.1.3 Entendimiento común
Los auditores deberían entender los objetivos, el alcance, las técnicas, los
métodos y la terminología de los otros para facilitar la confianza en el
trabajo de los demás.
Podría ser útil para las EFS y los auditores internos usar técnicas, métodos y
terminología similares para facilitar la cooperación y la coordinación
efectivas.
7 La comunicación formal puede incluir reuniones regulares, particularmente analizar los planes futuros para
identificar las oportunidades de cooperación; para evitar la duplicación de esfuerzos; para asegurar que la
cobertura de auditoría está coordinada; y para ponerse de acuerdo acerca de los métodos para compartir
los hallazgos de auditoría y otra información.
11
6.1.3 Confianza
Debe haber confianza mutua basada en el reconocimiento de que las auditorías
internas y externas se guían por normas profesionales relevantes.
Debe haber confianza en cuanto a que toda la información intercambiada se trata
profesionalmente, con integridad y de acuerdo con los lineamientos éticos
profesionales. Este intercambio de información debería incorporarse con
suficientes provisiones discrecionales y confidenciales.
7. TIPOS DE COOPERACIÓN
7.1 Es posible encontrar una amplia variedad de formas para lograr la coordinación y la
cooperación entre las EFS y los auditores internos. El grado de coordinación y
cooperación puede variar dependiendo de las circunstancias, incluyendo las
consideraciones de independencia y las restricciones legislativas. Los modos de
coordinación y cooperación pueden incluir:
La comunicación de la planificación de la auditoría/estrategia de auditoría
(por ejemplo, sesiones de planeación conjuntas);
Reuniones regulares entre las EFS y los auditores internos;
Disposiciones para compartir la información (incluyendo los procesos de
consultoría);
La comunicación de los informes de auditoría entre ellos;
La organización de los cursos y programas de formación común y compartir
materiales de formación;
Desarrollo de metodologías;
Compartir materiales, metodologías de formación y programas de trabajo de
auditoría;
Garantía de acceso a la documentación de auditoría8;
Traslados temporales o intercambios del personal (por ejemplo, formación
en el trabajo);
8 La EFS debe tener acceso a las fuentes de información y los datos del auditor interno para cumplir con las
responsabilidades de auditoría. Las EFS deberían considerar cuidadosamente los asuntos de confidencialidad
cuando revelen documentos de auditoría que podrían contener temas delicados como investigaciones
forenses. Para mantener la independencia de las EFS, los auditores internos no tienen acceso automático a
los derechos de la documentación de auditoría de la EFS o influencia formal sobre el programa de trabajo de
la EFS. Aún así, hay algunas circunstancias en las que compartir documentación de auditoría a discreción de
la EFS puede contribuir al proceso de auditoría.
12
El uso de ciertos aspectos del trabajo de los otros para determinar la
naturaleza, lo oportuno que puede ser y el alcance de los procedimientos de
auditoría que se llevarán a cabo; y
La colaboración en ciertos procedimientos de auditoría, tales como
recolectar evidencia de auditoría o evaluación de datos.
8. FORMAS DE ORGANIZAR LA COORDINACIÓN Y LA COOPERACIÓN
8.1 La coordinación y la cooperación pueden organizarse formal o informalmente.
8.2 La coordinación y la cooperación formales pueden organizarse a través de la
legislación, acuerdos formales o protocolos.
8.3 En ciertos compromisos de bajo riesgo, las EFS y los auditores internos pueden
coordinar y cooperar de manera más informal.
8.4 La coordinación y la cooperación debe de documentarse conforme a las normas de
auditoría aplicables.
8.5 Los comités pueden fomentar la coordinación y la cooperación entre las EFS y los
auditores internos.
9. ÁREAS DE COORDINACIÓN Y COOPERACIÓN
9.1 Las áreas de cooperación y coordinación entre las EFS y los auditores internos
pueden incluir:
Evaluar los siguientes puntos de entidad auditada (ver también INTOSAI GOV
9100):
○ El marco de control interno;
○ Los estados financieros del Cumplimiento con las Leyes y las Regulaciones;
○ Los indicadores de desempeño y estudios de desempeño;
○ La gobernanza pública; y
○ La administración de riesgos (INTOSAI GOV 9130).
La documentación de los sistemas y los procesos operacionales de la entidad
auditada;
El desarrollo de los procedimientos de auditoría;
13
El desempeño de los procedimientos de auditoría (por ejemplo, la auditoría de
entidades de ubicación múltiple); y
La investigación de acusaciones de fraude y corrupción.
10. FASES Y CONTENIDO DE LA COORDINACIÓN Y COOPERACIÓN
10.1.1 La coordinación y la cooperación pueden ocurrir durante el proceso de auditoría
completo:
Preliminar al compromiso;
Durante la etapa de planeamiento;
Al desempeñar procedimientos de auditoría adicionales;
Durante la etapa de conclusión, finalización y de entrega de informes; y
Seguimiento de los hallazgos y las recomendaciones de auditoría.
10.1.2 La continua naturaleza de la evaluación y la comunicación entre las EFS y los
auditores internos deberían documentarse en sus respectivos documentos de
auditoría.
10.1.3 Las EFS se coordinan y cooperan durante el proceso de auditoría de la siguiente
manera:
10.2 Preliminar al compromiso
Obtener un entendimiento de la entidad auditada y de cada función del otro;
Considerar el alcance del trabajo que cada parte lleva a cabo; y
Evaluar el uso del trabajo de auditores internos antes de determinar su impacto
en la naturaleza, lo oportuno y el alcance de los procedimientos de auditoría que
se llevarán a cabo. Lo anterior involucra asegurarse de que el auditor interno que
realizó su trabajo independientemente de la entidad o actividad auditada fue
objetivo en el cumplimiento de dicho trabajo.
10.3 Etapa de planeamiento
10.3.1 Al preparar el plan de auditoría y determinar la estrategia de auditoría, la EFS
puede evaluar el efecto, si existe alguno, que el trabajo del auditor interno
podría tener en los procedimientos de auditoría externa. En esta etapa, el auditor
14
deberá realizar una evaluación de riesgos para identificar las áreas significativas
de riesgo.
10.3.2 Cuando la EFS quiera usar el trabajo de un auditor interno, la EFS debe evaluar:
La independencia de la actividad de auditoría interna;
La objetividad y la competencia técnica y profesional9 del auditor interno;
Si el trabajo del auditor interno se lleva a cabo con el cuidado profesional
debido o no (las conclusiones se basan en los objetivos de auditoría, el alcance
de auditoría, una metodología de auditoría aceptable y suficiente evidencia de
auditoría); y
El efecto de cualquier limitación o restricción de la función de auditoría interna
por parte de cualquier parte o individuo.
10.4 Desempeño de procedimientos de auditoría adicionales
10.4.1 El trabajo de los auditores internos pueden usarse para obtener parte de la
evidencia de auditoría que es necesaria para lograr los objetivos de los
procedimientos de auditoría de la EFS.
10.4.2 La EFS debe de evaluar el trabajo del auditor interno para lo siguiente:
Si el trabajo fue realizado por personas con habilidades y pericia apropiada;
Si el trabajo se supervisó, revisó y documentó adecuadamente;
La idoneidad de los métodos de trabajo que empleó el auditor;
Si se obtuvo evidencia relevante, apropiada y suficiente para sacar conclusiones
razonables;
Si las conclusiones obtenidas son apropiadas en las circunstancias y si todos los
informes son consistentes con los resultados del trabajo realizado; y
Si los hallazgos que el auditor interno reportó han sido tratados propiamente por
la organización auditada.
10.4.3 Si es necesario, la EFS llevará a cabo trabajo de auditoría adicional para obtener
esta garantía.
9 El trabajo tiene que llevarse a cabo por personas que tengas las habilidades, la pericia y experiencia
necesarias.
15
10.4.4 Documentar la evaluación de la decisión para usar el trabajo de los auditores
internos proporcionará evidencia para respaldar los procedimientos, hallazgos y
conclusiones de las EFS.
10.5 Etapa de conclusión, finalización y de entrega de informes
10.5.1 Cuando el trabajo de los auditores internos corroboren los hallazgos obtenidos o
las conclusiones alcanzadas por los auditores externos, entonces la EFS puede
usar el trabajo que el auditor interno realizó. Lo anterior no exenta a la EFS de
obtener evidencia apropiada y suficiente para alcanzar una conclusión basada en
los objetivos de auditoría pero podría reducir el alcance del trabajo del auditor.
10.5.2 Cuando hay una discrepancia entre los hallazgos o conclusiones que surjan de
un auditor y las presentadas en el informe del auditor interno, la EFS y el auditor
interno:
Investigarán la causa de la discrepancia, y
Reconsiderarán y determinarán si el análisis y la interpretación de la evidencia
de auditoría obtenida fue adecuada y razonable.
10.5.3 La EFS puede discutir cualquier discrepancia con el auditor interno y considerar
reportarla a las partes relevantes y apropiadas.
10.6 Seguimiento de los hallazgos y las recomendaciones
10.6.1 Como parte del proceso de auditoría de la EFS, debe emprenderse un
seguimiento de la implantación y del cumplimiento de las recomendaciones de
auditoría de la EFS. En cooperación y entendimiento con la EFS, el auditor
interno puede seguir la implantación y el cumplimiento de las recomendaciones
de auditoría de la EFS como medio de cooperación con los procesos de auditoría
de los EFS.
16
REFERENCIAS
INTOSAI
ISSAI 1. La Declaración de Lima, artículo 3. Control interno y externo.
ISSAI 100 I. Postulados Básicos de la Fiscalización Pública.
ISSAI 300 I. Normas de Procedimiento en la Fiscalización Pública
ISSAI 1260. Comunicación con los encargados de la gobernanza.
ISSAI 1610 I. Lineamientos de Auditoría Financiera – Consideraciones Especiales –
Empleando el Trabajo de los Auditores Internos
INTOSAI GOV 9100. Guía para las normas de control interno del sector público.
INTOSAI GOV 9110. Directrices referentes a los informes sobre la eficacia de los
controles internos: Experiencias de las EFS en la implantación y la evaluación de los
controles internos.
INTOSAI GOV 9120. Control Interno: Proporcionando un Fundamento para la Rendición
de Cuentas en el Gobierno
INTOSAI GOV 9130. Información adicional sobre la Administración de Riesgos de la
Entidad.
INTOSAI GOV 9140. Independencia del Auditor Interno en el Sector Público
Normas de implantación europeas para las normas de auditoría de la INTOSAI
IFAC
Norma Internacional sobre Auditoria 610
Gobernanza en el Sector Público: perspectiva de un Órgano de Gobierno
IIA
Marco de Trabajo Internacional sobre Prácticas Profesionales, incluyendo la Definición de
Auditoría Interna, el Código de Ética, las Normas Internacionales para la Práctica
Profesional de Auditoría Interna (Normas), Consultorías, Position Papers y Guías de
Práctica
Oficina Nacional de Auditoría | NAO y el Ministerio del Tesoro del Reino Unido
Cooperación entre auditores internos y externos, una guía de buenas prácticas
Oficina de Rendición de Cuentas del Gobierno de los Estados Unidos | GAO
Manual de Auditoría Financiera, empleando el trabajo de otros (FAM 650 por sus Siglas en
ingles).
Las Mejores Prácticas y herramientas serán integradas a la plataforma electrónica (e-platform).
GLOSARIO
GLOSARIO Para una referencia más completa sobre términos de auditoría gubernamental, se sugiere consultar el Glosario con Términos de Fiscalización de la Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI), disponible en http://www.intosaiglossary.org/ Comité de Normas Profesionales (PSC): El Comité de Normas Profesionales (PSC, por sus siglas en inglés), tiene por finalidad promover EFS fuertes, independientes y pluridisciplinarios alentando a las EFS a liderar mediante el ejemplo y contribuyendo al desarrollo y la adopción de normas profesionales apropiadas y eficaces. Esta instancia de la INTOSAI es responsable de la Meta Estratégica 1 de la Organización, que tiene por objetivo el garantizar la creación de las condiciones necesarias para que las Normas Profesionales correspondan a las exigencias de sus miembros. Para ello, prevé como tareas cotidianas el desarrollo de principios de rendición de cuentas y de transparencia, así como el desarrollo de asociaciones con otros organismos normativos internacionales. Debido Proceso (Due Process) Procedimientos para desarrollar, revisar y eliminar las Normas Internacionales de Entidades Fiscalizadoras Superiores (ISSAIs) y las Directrices de la INTOSAI para la Buena Governanza (INTOSAI GOVs). El debido proceso define los procedimientos mediante los cuales la INTOSAI emite sus Normas Internacionales. El debido proceso debe seguirse cuando se desarrollen, revisen y eliminen las ISSAIs y las INTOSAI GOVs, como se define en el documento “Normas Internacionales de las Entidades Fiscalizadoras Superiores - Marco de Trabajo de Normas Profesionales de la INTOSAI”, aprobado por el INCOSAI en 2007. El propósito del debido proceso es mantener la integridad y el rigor de las ISSAI y las INTOSAI GOV para así promover la confianza entre las partes interesadas en la auditoría gubernamental. EFS: Siglas correspondientes a las Entidades Fiscalizadoras Superiores, que son aquellas instituciones públicas de un Estado o de una organización supranacional que ejercen, de acuerdo con las leyes u otros actos formales del Estado o de la organización supranacional, de forma independiente –con o sin competencias jurisdiccionales– la máxima función de control financiero de dicho Estado o de dicha organización supranacional, sea cual fuere su denominación, modalidad de constitución u organización.
INCOSAI: Siglas en inglés del Congreso de la Organización Internacional de las Entidades Fiscalizadoras Superiores. El Congreso es el órgano supremo de la INTOSAI que se reúne cada tres años y está compuesto por todos sus miembros. Su tarea más importante consiste en debatir y aprobar recomendaciones sobre temas profesionales y técnicos de interés común. El INCOSAI, presidido y convocado por el titular de la EFS del país en el cual se celebra el Congreso, constituye un valioso foro para debatir las ideas de los Comités con respecto a su labor futura, pone a los miembros al corriente acerca de las principales actividades, y distribuye y aprueba los informes de los Comités y las nuevas publicaciones. INTOSAI: La Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI), es un organismo autónomo, independiente y apolítico, creado como una institución permanente para fomentar el intercambio de ideas y experiencias entre las Entidades Fiscalizadoras Superiores de los países miembros, en lo que se refiere a la auditoría gubernamental. Tiene su sede en Viena, Austria. La INTOSAI ofrece a las Entidades Fiscalizadoras Superiores desde hace más de 50 años un marco institucional para poder enfrentar las crecientes demandas de la fiscalización pública. La INTOSAI constituye un foro para que los auditores gubernamentales de todo el mundo puedan debatir los temas de interés recíproco y mantenerse al tanto de los últimos avances en la fiscalización y de las otras normas profesionales y mejores prácticas que sean aplicables. De conformidad con estos objetivos, el lema de la INTOSAI es "La experiencia mutua beneficia a todos". INTOSAI GOV: Siglas en inglés con que se conoce a las Directrices de la INTOSAI para la Buena Gobernanza. Incluyen los documentos endosados por el INCOSAI y contienen orientaciones sobre control interno, normas de contabilidad y otras materias dentro de la esfera de responsabilidad administrativa. Esto incluye documentos de orientación de las EFS(s) en su evaluación profesional de medidas adoptadas por autoridades administrativas o que orientan a autoridades administrativas e incentivan la buena gobernanza. Los números 9000-9999 están reservados para esta categoría de documentos, y la sigla INTOSAI GOV se utiliza en vez de ISSAI. Con esta enmienda, los principios de clasificación se aplican también a estos documentos.
ISSAI: Siglas en inglés de las Normas Internacionales de Entidades Fiscalizadoras Superiores, que consisten en todos los documentos endosados por el INCOSAI con el propósito de orientar las normas profesionales de EFS(s). Esto incluye recomendaciones sobre los requisitos previos legales, de organización y de índole profesional, así como sobre la conducta de la auditoría y de cualquier otra tarea que se haya delegado a las EFS(s). Cuando sea considerado apropiado, los documentos ISSAI podrán incluir ejemplos o descripciones de buenas prácticas. A cada documento le es dado un número ISSAI de 1 a 4 dígitos. El número de dígitos indica el nivel jerárquico del documento. Meta 1: La Meta Estratégica 1 de la INTOSAI se refiere a la “Rendición de Cuentas y Normas Profesionales”. Su objetivo es promover EFS fuertes, independientes y multidisciplinarias (1) proporcionando y manteniendo Normas Internacionales para las Entidades Fiscalizadoras Superiores (ISSAI), y (2) contribuyendo al desarrollo y adopción de normas profesionales apropiadas y eficaces. Meta 2: La Meta Estratégica 2 de la INTOSAI se refiere a la “Creación de Competencias Institucionales”. Su objetivo es crear las competencias y capacidades profesionales en las EFS mediante la formación, la asistencia técnica, y otras actividades de desarrollo. Meta 3: La Meta Estratégica 3 de la INTOSAI se refiere a “Compartir Conocimientos y Servicios de Conocimiento”. Su objetivo es alentar la cooperación, la colaboración y la mejora continua de las EFS, a través de la comunicación de conocimientos, que incluye las evaluaciones comparativas, los estudios sobre mejores prácticas, y la investigación sobre temas de interés y preocupación mutuos. Meta 4: La Meta Estratégica 4 de la INTOSAI se refiere a la aspiración de constituirla como una “Organización Internacional Modelo”. Tiene por objetivo organizar y gobernar INTOSAI de una forma que promueva prácticas de trabajo económicas, eficientes y eficaces, la toma de decisiones en el momento oportuno y las prácticas eficaces de gobernanza, realizando al mismo tiempo una adecuada defensa de la autonomía y el equilibrio regionales y los diferentes modelos y enfoques en las EFS miembros.
Nivel 1: Dentro del Marco Normativo de la INTOSAI, el Nivel 1 se refiere a los Fundamentos de la Auditoría Gubernamental, contenidos en la Declaración de Lima. Nivel 2: Dentro del Marco Normativo de la INTOSAI, el Nivel 2 se refiere a los Requisitos Previos para el Funcionamiento y la Conducta Profesional de las Entidades Fiscalizadoras Superiores y, en general, de los organismos auditores. Nivel 3: Dentro del Marco Normativo de la INTOSAI, el Nivel 3 se refiere a los Principios Fundamentales de Fiscalización. Contiene los principios fundamentales de la realización de auditorías de entidades públicas. Nivel 4: Dentro del Marco Normativo de la INTOSAI, el Nivel 4 se refiere a las Directrices de Auditoría, que traducen los principios de auditoría fundamentales a directrices más específicas, más detalladas y operacionales que se pueden utilizar diariamente en las tareas de auditoría. Normas Profesionales: Conjunto de disposiciones que determinan los principios de actuación que rigen a los organismos auditores, los prerrequisitos para el correcto funcionamiento de los organismos auditores, los principios de auditoría fundamentales, las directrices de revisión, y los criterios para la conducta de sus miembros.