AUDITORÍA DE CUMPLIMIENTO

Transcripción

1 Curso de capacitación virtual de la IDI para la MANUAL DE IMPLEMENTACIÓN DE LAS ISSAI AUDITORÍA DE CUMPLIMIENTO Versión preliminar 1. 0 Programa de Certificación en las ISSAI Página 1

2 Índice Acerca de este manual 4 Capítulo 1: Introducción y elementos básicos de las auditorías de cumplimiento Introducción Elementos de la auditoría de cumplimiento Qué es lo que el auditor busca en las diferentes auditorías? Diferentes formas de llevar a cabo una auditoría de cumplimiento Cómo ayudan las ISSAI a realizar una auditoría de cumplimiento de calidad Principios de la auditoría de cumplimiento Proceso de la auditoría de cumplimiento Conclusión 18 Capítulo 2: Principales conceptos de las auditorías de cumplimiento Introducción Definición de auditoría y de auditoría de cumplimiento Objeto de la revisión e información del objeto de la revisión Disposiciones legales y normativas y criterios Las tres partes Aseguramiento Compromisos de atestiguamiento y compromiso de elaboración de informes directos Aseveraciones y la auditoría Juicio profesional y escepticismo Conclusión 34 Capítulo 3: Planificación y diseño de una auditoría de cumplimiento Introducción Consideraciones iniciales para la planificación Proceso de planificación Determinando la importancia relativa en la fase de planificación Estrategia de auditoría y plan de auditoría Conclusión 55 Capítulo 4: Obtención de la evidencia de auditoría Introducción Evidencia de auditoría Técnicas para la recopilación de evidencia Consideración de incumplimiento que pueda indicar la existencia de fraude o actos ilícitos Conclusión 66 Capítulo 5: Evaluación de la evidencia y formación de conclusiones Introducción Evaluación de la evidencia y formación de conclusiones Conclusión 69 Capítulo 6: Documentación y comunicación Introducción Documentación Comunicación Conclusión 76 Página 2

3 Capítulo 7: Informes de una auditoría de cumplimiento Introducción Informes de una auditoría de cumplimiento Tipos de informes de una auditoría de cumplimiento Contenido de un informe de auditoría de cumplimiento Conclusiones/opiniones de una auditoría de cumplimiento Ejemplo de un informe breve de una auditoría de cumplimiento Seguimiento de la auditoría Conclusión 90 Capítulo 8: Estrategias de implementación de las ISSAI para auditorías de cumplimiento Introducción Proceso de formulación de la estrategia de implementación de las ISSAI Formulación de un plan de acción Compromiso de la alta dirección en la implementación del plan de acción Lineamientos para la preparación del plan de acción Conclusión 108 Lista de tablas Tabla 2.1: Niveles de aseguramiento y tipos de auditoría de cumplimiento Tabla 4.1: Técnicas de recopilación de evidencia Tabla 8.1: icat de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con estatus "Cumplido" Tabla 8.2: icat de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con estatus "No Cumplido / Parcialmente Cumplido" Tabla 8.3: Análisis FODA de la EFS X Tabla 8.4: Ejemplo y formato de preparación de un plan de acción Lista de figuras Figura 1.1: Disposiciones legales y normativas relacionadas con un acuerdo constitucional específico de la EFS Figura 1.2: Las disposiciones legales y normativas son la fuente de los criterios de auditoría Figura 1.3: Las tres partes de la auditoría Figura 1.4: Principios generales de las auditorías de cumplimiento Figura 1.5: Juicio profesional y escepticismo Figura 1.6: Proceso de la auditoría de cumplimiento Figura 3.1: Relación entre el objeto de la revisión, el alcance y los criterios Figura 4.1: Proceso de toma de decisiones Figura 8.1: Proceso de toma de decisiones para la implementación de las ISSAI de auditoría de cumplimiento Figura 8.2 Marco de referencia para la estrategia de implementación de las ISSAI de auditoría de cumplimiento Figura 8.3: Los cuatro dominios principales conforme a las ISSAI de Nivel 2 Figura 8.4: Factores que determinan la selección de las opciones estratégicas para la implementación de las ISSAI Lista de Referencias ISSAI 100 ISSAI 400 ISSAI 4000 ISSAI 4100 ISSAI 4200 ISSAI Normas Internacionales sobre Compromiso de Aseguramiento (ISAE) 3000 (Versión revisada) Página 3

4 Acerca de este manual 1.1 Introducción La Fase 1 del Programa 3i facilita la implementación de las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) por parte de las Entidades Fiscalizadoras Superiores (EFS) con un programa integral de creación de capacidades para las ISSAI de Nivel 2 (Requisitos Previos para el Funcionamiento de las Entidades Fiscalizadoras Superiores) y las ISSAI de auditoría financiera, auditoría de cumplimiento y auditoría de desempeño de Nivel 4. Este manual sobre la auditoría de cumplimiento es parte de la fase 1 del Programa 3i para el proceso de implementación de las ISSAI 400/4100/ Objetivos Este manual se ha escrito con el fin de facilitar la implementación de las ISSAI para auditorías de cumplimiento a los nivel 2, 3 y 4 en las EFS. En este sentido, el manual busca lograr dos objetivos: 1. Explicar la naturaleza de las auditorías de cumplimiento en el sector público y servir de guía a través de consideraciones estratégicas para la implementación de las normas de auditoría de cumplimiento en las EFS. 2. Proporcionar una guía y ejemplos sobre el proceso, las herramientas y los documentos de trabajo que pueden usarse en la ejecución de una auditoría de cumplimiento con base en las ISSAI. El objetivo de este documento no es servir como un manual de auditoría de cumplimiento. Por lo tanto, no sustituye a las políticas, estrategias y manuales de auditoría. Cada EFS será responsable de describir su propia metodología tomando en cuenta su mandato, sus recursos, las necesidades de los usuarios y el ambiente regulatorio. práctica de campo. Con ello los usuarios serán capaces de reconocer los elementos y conceptos elaborados en el manual con sus prácticas de auditoría. También podrán apreciar el grado de alineamiento de sus prácticas actuales con los requisitos de las ISSAI para auditoría de cumplimiento. Los usuarios de este manual deberán tomar en consideración los siguientes puntos. En primer lugar, las explicaciones proporcionadas sólo son una forma de interpretar las normas de las auditorías de cumplimiento. En segundo lugar, las normas de las auditorías de cumplimiento representan un trabajo en desarrollo, por lo que el proceso completo aún necesitará explicarse con otras normas. Las interpretaciones del manual representan un intento preliminar de elaborar el proceso de auditoría de cumplimiento basado en la ISSAI 400: Principios Fundamentales de las Auditorías de Cumplimiento, y las ISSAI Usuarios Este manual está dirigido a las EFS que han decidido iniciar la implementación de las ISSAI a nivel 3 y 4, así como las EFS que ya están en camino de implementarlas y desean seguir mejorando sus procesos de auditoría de cumplimiento con base en las ISSAI. Dentro de una EFS el manual está dirigido tanto al personal de nivel ejecutivo (dirección) como a los profesionales en ejercicio de las auditorías de cumplimiento (auditores y especialistas en metodología). 1.4 Enfoque Este manual utiliza un estudio de caso que cubre todos los aspectos de las auditorías de cumplimiento (planificación, recopilación de evidencia, evaluación de la evidencia, formación de conclusiones y elaboración de informes) para ilustrar los conceptos descritos en los capítulos. Asimismo, se describen las ISSAI correspondientes al proceso de auditoría, así como éstas pueden ser usadas en la auditoría descrita en el estudio de caso. El objetivo de este manual es explicar los conceptos de la auditoría de cumplimiento relacionándolos con la 1 ISSAI 400, Principios Fundamentales de las Auditorías de Cumplimiento ISSAI , Directrices Generales para las Auditorías de Cumplimiento Página 4

5 1.5 Contenido El manual se divide en ocho capítulos: Capítulo 1: Introducción y elementos básicos de las auditorías de cumplimiento Capítulo 2: Conceptos fundamentales de las auditorías de cumplimiento Capítulo 3: Planificación y diseño de una auditoría de cumplimiento Capítulo 4: Recopilación de la evidencia de auditoría Capítulo 5: Evaluación de la evidencia y formación de conclusiones Capítulo 6: Documentación y comunicación Capítulo 7: Elaboración de informes Capítulo 8: Estrategias de implementación de las ISSAI para auditorías de cumplimiento 1.6 Vínculo entre el manual y la icat de auditoría de cumplimiento Para ayudar a las EFS a integrar las ISSAI en sus procesos de auditoría de cumplimiento, este manual proporciona un proceso paso a paso que requiere que cada EFS adopte diferentes estrategias y planes de acción de acuerdo a su mandato, necesidades de los usuarios, leyes nacionales, reglamentos, etc. El primer paso para una EFS es tener un panorama completo de su mandato, las necesidades de los usuarios y su entorno. Si la EFS decide referirse a las ISSAI de Nivel 4, entonces el primer paso será determinar los requisitos de las ISSAI y evaluar el estado de la EFS con respecto a los requisitos de las normas para las auditorías de cumplimiento. A continuación la EFS debe identificar las causas o razones del incumplimiento y lo que necesita para cumplir con dichos requisitos. La Herramienta para el Diagnóstico del Cumplimiento de las ISSAI (icat), desarrollada bajo la Fase 1 del Programa 3i, ayuda a las EFS a mapear su práctica actual con respecto a los requisitos de las Directrices para Auditorías de Cumplimiento, es decir, las ISSAI de Nivel 4. El Capítulo 8 del manual muestra la forma de pasar de la identificación de las brechas en las prácticas actuales al proceso de implementación, determinando las prioridades, continuando con la elaboración de una estrategia y plan de acción, y superando algunas de las dificultades que las EFS pudieran encontrar en la fase inicial. Página 5

6 Capítulo 1: Introducción y Elementos Básicos de la Auditoría de Cumplimiento Página 6

7 1.1 INTRODUCCIÓN El propósito de este capítulo introductorio es ayudar a los lectores a familiarizarse con los conceptos básicos de las auditorías de cumplimiento, de manera que puedan pasar a un nivel más avanzado en los siguientes capítulos. Este capítulo explica brevemente: (a) la auditoría de cumplimiento, sus elementos, sus principios y su importancia en el sector público; (b) el objetivo y propósito de las ISSAI en lo que respecta a la forma en que ayudan a conducir auditorías de cumplimiento de calidad; c) formas en las que las EFS pueden adoptar las ISSAI para las auditorías de cumplimiento; (d) diferencias entre la auditoría de cumplimiento y otros tipos de auditorías, así como la manera en que pueden combinarse en la práctica; y (e) el proceso de la auditoría de cumplimiento. Como se señaló arriba, los conceptos descritos en este capítulo se describen con mayor detalle por medio de ejemplos en los siguientes capítulos Las auditorías de cumplimiento en el sector público Para definir lo que es una auditoría de cumplimiento necesitamos considerar primero lo que es la auditoría de sector público, ya que en ella se basa la auditoría de cumplimiento. Las auditorías del sector público pueden describirse como un proceso sistemático para obtener y evaluar de manera objetiva evidencia que permita determinar si la información o las condiciones actuales se ajustan a los criterios establecidos 1. La auditoría de cumplimiento se basa en esta definición con un enfoque específico en el cumplimiento de los criterios derivados de las disposiciones legales y normativas. La auditoría de cumplimiento es una evaluación independiente para determinar si un asunto dado cumple con las disposiciones legales y normativas aplicables identificadas como criterios. Como auditores, debemos evaluar si las actividades, las operaciones financieras y la información cumplen, 1 ISSAI en todos los aspectos importantes, con las disposiciones legales y normativas que regulan a la entidad auditada 2. Los auditores de las auditorías de cumplimiento buscan desviaciones sustantivas de los criterios establecidos con base en leyes y reglamentos, en principios para una sólida administración financiera o en el comportamiento de los funcionarios públicos. Como auditores necesitamos entender el contexto de las auditorías de cumplimiento. Los conceptos y el establecimiento de la auditoría son inherentes a la administración de las finanzas públicas, ya que el manejo de los fondos públicos representa una responsabilidad. La auditoría no es un fin en sí mismo, sino una parte indispensable del sistema regulador cuyo objetivo es señalar oportunamente las desviaciones de las normas aceptadas y las infracciones a los principios de legalidad, eficiencia, eficacia y economía de la administración financiera con tiempo suficiente para tomar acciones correctivas en casos individuales, hacer que los responsables acepten su parte de responsabilidad, obtener una compensación o tomar los pasos necesarios para prevenir o al menos hacer que sean más difíciles dichas infracciones 3. La auditoría del sector público es esencial para su administración, ya que el manejo de los fondos públicos está al cuidado de funcionarios gubernamentales y su uso está regulado por principios, reglas y normas que en conjunto constituyen las disposiciones legales y normativas. Se espera por lo tanto que los funcionarios actúen en interés de la sociedad aplicando los fondos para los fines propuestos y en línea con las disposiciones legales y normativas. Es responsabilidad de los organismos del sector público y de sus funcionarios actuar de forma transparente y rendir cuentas ante los ciudadanos por los fondos que se les confiaron, así como ejercer una gestión adecuada de dichos fondos 4. La forma y el modo en que los administradores del sector público cumplen con sus responsabilidades no es un asunto de confianza absoluta. Las auditorías de cumplimiento desempeñan un papel importante al asegurar que los principios de 2 ISSAI ISSAI 4100, Sección 1. 4 ISSAI Página 7

8 transparencia, rendición de cuentas y gestión se cumplan adecuadamente. Las auditorías de cumplimiento promueven la transparencia al proporcionar informes confiables respecto a si los fondos públicos se utilizaron en línea con las disposiciones legales y normativas aplicables. Promueven asimismo la rendición de cuentas al informar sobre posibles desviaciones e infracciones a las disposiciones legales y normativas. Esta información permite tomar acciones correctivas y hacer responsables a los funcionarios públicos por sus actividades. Finalmente las auditorías de cumplimiento promueven una gestión adecuada al identificar los puntos débiles y las desviaciones de las leyes y reglamentos, así como al evaluar el comportamiento de los funcionarios. Las auditorías de cumplimiento pueden tratar sobre la regularidad (cumplimiento con los criterios formales tales como leyes, reglamentos y convenios) o sobre la gestión o comportamiento (observancia de los principios generales que rigen una administración financiera sólida y el comportamiento de los funcionarios públicos). Mientras que la regularidad es el punto focal de las auditorías de cumplimiento, la gestión o comportamiento también puede ser pertinente dado el contexto del sector público, en el que existen ciertas expectativas relacionadas con la administración financiera y el comportamiento de los funcionarios. Dependiendo del mandato de la EFS y de la naturaleza de las leyes y reglamentos, el alcance de la auditoría puede, por lo tanto, incluir aspectos relativos a la gestión o comportamiento. 1.2 ELEMENTOS DE LA AUDITORÍA DE CUMPLIMIENTO La ISSAI 100 describe los elementos de las auditorías del sector público. Todas ellas tienen los mismos elementos básicos: el auditor, la parte responsable y los usuarios previstos, es decir, las tres partes de la auditoría, los criterios para evaluar el objeto de la revisión y la información resultante sobre la materia. Las auditorías del sector público pueden clasificarse en dos tipos diferentes: trabajos de certificación (compromisos de atestiguamiento) y trabajos de información directa (compromiso de elaboración de informes directos). Ambos se describen en capítulos posteriores. Por lo pronto, en esta sección se describen los aspectos adicionales de los elementos relevantes para las auditorías de cumplimiento que el auditor debe identificar antes de comenzar la auditoría Disposiciones legales y normativas (autoridades) Las disposiciones legales y normativas o normas jurídicas (autoridades) son leyes o resoluciones del poder legislativo u otros instrumentos, instrucciones y directrices emitidas por organismos del sector público con poderes estatutarios y con las cuales se espera que cumpla la entidad auditada. Estas disposiciones legales y normativas pueden incluir leyes, políticas, reglas, reglamentos y otros instrumentos que deben seguir los funcionarios o las organizaciones para las cuales se establecieron. En ocasiones estos elementos se refieren en conjunto como normas legislativas o disposiciones legales y normativas. Por otra parte, no deben confundirse con las autoridades en el sentido de órganos o personas que ejercen algún poder o mando, como por ejemplo las disposiciones legales y normativas encargadas de hacer cumplir la ley o las disposiciones legales y normativas regulatorias. Por ejemplo, los gobiernos de muchos países cuentan con leyes que le proporcionan ayuda económica a personas que cumplen con ciertos requisitos de elegibilidad. Estas leyes sirven como disposiciones legales y normativas en el caso de las auditorías de cumplimiento de los programas de ayuda económica. DISPOSICIONES LEGALES Y NORMATIVAS EL EJECUTIVO DISPOSICIONES LEGALES Y NORMATIVAS LA ENTIDAD 0 DISPOSICIONES LEGALES Y NORMATIVAS AUDITORÍA DE CUMPLIMIENTO Figura 1.1: Disposiciones legales y normativas relacionadas con un acuerdo constitucional específico de la EFS. Página 8

9 Los criterios son los parámetros o puntos de referencia utilizados para evaluar o medir el asunto de manera consistente y razonable. Las disposiciones legales y normativas son la fuente de dichos criterios, los cuales pueden derivarse de leyes, políticas, reglas, reglamentos y otros instrumentos, y usarse para evaluar su cumplimiento o falta de cumplimiento. Por ejemplo, en el caso del programa de ayuda económica mencionado arriba, una condición para la elegibilidad podría ser que sólo aquellos que ganan menos de $800 dólares al mes y mantienen a cuatro personas recibirán $500 dólares al mes como ayuda económica. Disposiciones legales y normativas Criterios Figura 1.2: Las disposiciones legales y normativas son la fuente de los criterios de auditoría Objeto (materia o asunto) El objeto (materia o asunto) se refiere a la información, situación o actividad que se mide o evalúa de acuerdo con determinados criterios. Pueden ser actividades, operaciones financieras o información. Por ejemplo, dentro del contexto del programa de ayuda económica el objeto, asunto o materia podría ser: Las tres partes Las auditorías de cumplimiento se basan en una relación de tres partes, en la que el auditor trata de obtener evidencia de auditoría suficiente y apropiada con el fin de expresar una conclusión que permita aumentar el grado de confianza de los usuarios previstos, diferentes a la parte responsable, en la medición o evaluación del objeto de la revisión conforme a los criterios establecidos. En todas las auditorías de cumplimiento tenemos: Una parte responsable/entidad auditada (normalmente una agencia gubernamental) que recibe fondos para actividades específicas, Los usuarios previstos (Parlamento/Congreso) que asignan los fondos a las agencias gubernamentales y esperan que dichos fondos se usen conforme a las disposiciones legales y normativas establecidas y con estricta observancia de los principios generales que rigen una administración financiera sólida y el comportamiento de los funcionarios públicos, y Las EFS que llevan a cabo la auditoría en representación del Parlamento/Congreso y que determinan si los fondos se usaron o no conforme a los criterios. En el caso de nuestro ejemplo, la Oficina del Programa de Ayuda Económica es la parte responsable, mientras que el presunto usuario es el Parlamento/Congreso. Parlamento/Congreso a. La actividad, que sería el propio programa de ayuda económica y sus operaciones, o b. Las operaciones financieras del programa, o c. Información, como los estados financieros, o los informes y cuentas anuales del programa de ayuda económica que la dirección pone a disposición de los auditores. La EFS AUDITOR USUARIO PREVISTO ELEMENTOS DE UNA AUDITORÍA El Gobierno PARTE RESPONSABLE Figura 1.3: Las tres partes de una auditoría Página 9

10 1.2.4 Nivel de seguridad Los usuarios previstos desean tener la seguridad de que la información que se les proporciona es lo suficientemente confiable y relevante como para tomar decisiones. Por lo tanto, las auditorías deben proporcionarles información basada en evidencia suficiente y apropiada. Es por eso que los auditores necesitan llevar a cabo procedimientos que les permitan reducir o administrar el riesgo de llegar a conclusiones inadecuadas y proporcionar información confiable a los usuarios previstos de manera que éstos puedan tomar decisiones informadas, de lo contrario podría confundirlos y hacer que tomaran decisiones equivocadas. Por ejemplo, el presunto usuario (Parlamento/Congreso) autoriza al gobierno a cobrar y usar los impuestos con el objetivo de proporcionar servicios básicos. El (Parlamento/Congreso) desea saber si la parte responsable (la agencia gubernamental) ha usado los fondos que le han sido asignados conforme a las disposiciones legales y normativas aplicables (leyes, reglamentos, etc.). Para ello el Parlamento/Congreso desea que una tercera parte le dé la seguridad de que dichos fondos se han usado de esta manera. En este caso, las EFS de todo el mundo son las más capacitadas para proporcionar esta seguridad con base en su trabajo. En el ejemplo del programa de ayuda económica, la EFS puede dar la seguridad de que el dinero asignado a la agencia se ha empleado conforme a las disposiciones legales y normativas aplicables. El nivel de seguridad que se puede dar al presunto usuario debe comunicarse de manera transparente. Sin embargo, debido a las limitaciones inherentes, las auditorías nunca pueden dar una seguridad absoluta. En una auditoría la seguridad puede ser razonable o limitada. Asimismo, la seguridad razonable es alta pero no absoluta. Estos elementos se explican con detalle en el siguiente capítulo que trata sobre los principales conceptos de las auditorías de cumplimiento. 1.3 QUÉ ES LO QUE EL AUDITOR BUSCA EN LAS DIFERENTES AUDITORÍAS? Normalmente las EFS llevan a cabo tres tipos de auditoría: auditorías financieras, auditorías de cumplimiento y auditorías de desempeño. La definición y contexto de la auditoría de cumplimiento ya se ha dado arriba. Aquí es importante entender las auditorías financieras y de desempeño, así como la forma en que son diferentes de las auditorías de cumplimiento y lo que los auditores buscan en particular en cada una ellas. Auditoría financiera La auditoría financiera (financial audit en inglés) trata de determinar si la información financiera de una entidad se presenta en conformidad con el marco regulatorio y de información financiera aplicable 5. Para ello los auditores buscan irregularidades y representaciones erróneas que pudieran tener un impacto significativo en la información presentada en los estados financieros. Una irregularidad o representación errónea de importancia relativa es algo que pudiera forzar a los individuos con un conocimiento promedio del objeto de la revisión a cambiar sus puntos de vista sobre las aseveraciones hechas en los estados financieros. Auditoría de desempeño La auditoría de desempeño o rendimiento (performance audit en inglés) es un análisis independiente, objetivo y confiable que permite determinar si los proyectos, sistemas, operaciones, programas, actividades u organizaciones del gobierno están operando en conformidad con los principios de economía, eficiencia y eficacia, y si hay lugar para mejoras 6. Aquí los auditores revisan cualquier objeto, materia o asunto desde el punto de vista de la economía, 5 ISSAI ISSAI Página 10

11 eficiencia y eficacia. El gobierno está usando los recursos de manera económica al manejar un asunto? La relación de entradas y salidas en las operaciones cubiertas por la auditoría es óptima? La entidad gubernamental es capaz de alcanzar los resultados y efectos esperados? Auditoría de cumplimiento La auditoría de cumplimiento (compliance audit en inglés) es una evaluación independiente para determinar si un asunto dado cumple con las disposiciones legales y normativas aplicables identificadas como criterios. Esto se hace evaluando si las actividades, operaciones financieras e información cumplen, en todos los aspectos importantes, con las disposiciones legales y normativas que regulan a la entidad auditada 7. Así pues, qué es lo que el auditor busca en una auditoría de cumplimiento? Trata de saber si el objeto de la revisión cumple con las disposiciones legales y normativas que rigen una administración financiera sólida y el comportamiento de los funcionarios públicos? 1.4 DIFERENTES FORMAS DE LLEVAR A CABO UNA AUDITORÍA DE CUMPLIMIENTO En la práctica muchas EFS hacen su auditoría anual incluyendo diferentes tipos de auditorías o combinando auditorías financieras, de cumplimiento o de desempeño. De este modo, la auditoría de cumplimiento también puede combinarse con la auditoría financiera y de desempeño. La ISSAI 100 señala que las EFS pueden conducir auditorías combinadas incorporando aspectos financieros, de desempeño y/o cumplimiento. A continuación se describen diferentes formas en que se puede conducir una auditoría de cumplimiento: La auditoría de cumplimiento como una actividad independiente Algunas EFS llevan a cabo auditorías de cumplimiento como un trabajo independiente. Esto significa que la auditoría de cumplimiento se hace sola sin estar en combinación con una auditoría financiera o de desempeño. Las ISSAI estipulan que las auditorías de cumplimiento llevadas a cabo de forma separada pueden planearse, realizarse y reportarse independientemente de las auditorías de estados financieros y de las auditorías de desempeño. Asimismo pueden realizarse de manera regular o sobre una base ad-hoc como auditorías distintas y claramente definidas, cada una relacionada con un asunto específico 8. La ISSAI 4100 describe las consideraciones clave aplicables a auditorías de cumplimiento realizadas por las EFS como un trabajo independiente, lo cual se explicará con mayor detalle en los siguientes capítulos La auditoría de cumplimiento junto con otros tipos de auditorías Las auditorías de cumplimiento pueden realizarse no sólo de forma separada sino también en combinación con otros tipos de auditorías, por ejemplo, en conjunto con una auditoría de estados financieros o con una auditoría de desempeño. Diferentes EFS pueden usar distintos enfoques para llevar a cabo auditorías combinadas. Puede ser relevante ver cómo las ISSAI tratan el combinar auditorías de cumplimiento con los otros dos tipos de auditoría. Las auditorías de cumplimiento en relación con la auditoría de estados financieros Muchas EFS siguen la práctica de combinar sus auditorías de estados financieros con aspectos de 7 ISSAI ISSAI Página 11

12 cumplimiento dentro de un solo proceso. Las auditorías de cumplimiento abarcan mucho más que las auditorías financieras y le permiten al auditor tener una imagen más amplia. El poder legislativo, como parte del proceso democrático, establece las prioridades para los ingresos y egresos del sector público, así como para el cálculo y asignación de los mismos. Las premisas de los órganos legislativos y las decisiones que toman son la fuente de las disposiciones legales y normativas que regulan los flujos de efectivo en el sector público. El cumplimiento de dichas disposiciones legales y normativas constituye una perspectiva más amplia junto con la auditoría de estados financieros en la ejecución presupuestaria. Combinar las auditorías financieras y de cumplimiento le permite al auditor tener la seguridad de que no sólo los estados financieros están libres de representaciones erróneas de importancia relativa, sino también de que las actividades, operaciones financieras e información cumplen, en todos los aspectos importantes, con las disposiciones legales y normativas o leyes que rigen a la entidad auditada. Las leyes y reglamentos son importantes tanto en las auditorías de cumplimiento como en las auditorías financieras. Sin embargo, mientras que en una auditoría de estados financieros, son relevantes sólo aquellas leyes y reglamentos que tienen un efecto directo e importante en los estados financieros, en las auditorías de cumplimiento puede aplicarse cualquier ley y reglamento relevante para el objeto de la revisión 9. La ISSAI 4200 señala que el auditor debe considerar todos los asuntos que se incluyen en una auditoría combinada del sector público. Es importante que esta norma se lea y comprenda junto con las ISSAI de auditoría financiera. Cuando se aplica en combinación con las Directrices de Auditoría Financiera, la ISSAI 4200 le proporciona a los auditores un conjunto completo de lineamientos para las auditorías de los estados financieros del sector público. Auditorías de cumplimiento en combinación con auditorías de desempeño Cuando las auditorías de cumplimiento son parte de una auditoría de desempeño, el cumplimiento se ve como uno de los aspectos de la economía, eficiencia y eficacia 10. En las auditorías combinadas de este tipo, los auditores deben hacer uso de su juicio profesional para decidir si el desempeño o el cumplimiento son el objetivo principal de la auditoría y determinar el alcance y los criterios de la misma. Las siguientes son algunas de las diferencias que hay entre las auditorías de desempeño y las auditorías de cumplimiento que nos pueden ayudar a entender mejor al momento de decidir el enfoque primario de una auditoría: En una auditoría de desempeño un incumplimiento puede ser la causa, explicación o consecuencia del estado de las actividades sujetas a auditoría, mientras que en una auditoría de cumplimiento el auditor evalúa el grado con el que la entidad auditada (a través de sus funcionarios) sigue las reglas, leyes y reglamentos, políticas, códigos o términos acordados que regulan dicha entidad. En una auditoría de desempeño los auditores buscan saber si la entidad auditada está operando o no de manera económica, eficiente y eficaz. Estos parámetros son una parte integral de la definición de las auditorías de desempeño. El concepto básico es que si una entidad auditada utiliza los recursos de manera económica genera más valor para los insumos que recibe y logra el impacto deseado. En las auditorías de desempeño el principal enfoque está en lograr resultados, aunque los aspectos de economía y eficiencia también son relevantes. Por lo tanto, los criterios de desempeño normalmente se basan en consideraciones económicas, de eficiencia y eficacia. 9 ISSAI ISSAI Página 12

13 En las auditorías de cumplimiento los auditores buscan casos de incumplimiento con las disposiciones legales y normativas definidas (es decir, las leyes, políticas, reglas, reglamentos, procedimientos, términos contractuales o acuerdos aplicables) que pudieran tener un efecto importante en los objetivos de la entidad auditada CÓMO AYUDAN LAS ISSAI A REALIZAR UNA AUDITORÍA DE CUMPLIMIENTO Dentro del contexto anterior no resulta difícil ver que las auditorías de cumplimiento no son algo nuevo en el campo de la fiscalización. Sin embargo, podemos ver grandes variaciones en la práctica de las diferentes EFS. Las Normas Internacionales de Entidades Fiscalizadoras Superiores (ISSAI, por sus siglas en inglés) para las auditorías de cumplimiento 11 son principios, normas y lineamientos generales que proporcionan un marco común de referencia para las EFS y facilitan la convergencia hacia normas y prácticas comunes. Las ISSAI se basan en la experiencia histórica de las EFS y muchas EFS han dado pasos significativos para adoptarlas. A continuación se explican algunas de las formas en que las ISSAI pueden ayudar a las EFS a mejorar la calidad de su trabajo. Como base para el desarrollo de normas Algunas EFS llevan a cabo auditorías de cumplimiento de acuerdo con su mandato, pero no cuentan con un marco de referencia que las rija y apoye su trabajo. Estas EFS pueden revisar las ISSAI y desarrollar normas y directrices de acuerdo con ellas para las auditorías de cumplimiento. En estos casos las EFS necesitan tomar en consideración la ISSAI 400: Principios Fundamentales de las Auditorías de Cumplimiento. Es importante que las EFS recuerden que sólo deberá hacerse referencia a los Principios Fundamentales de las Auditorías de Cumplimiento en los informes de auditoría si las normas que han 11 ISSAI desarrollado cumplen plenamente con todos los principios relevantes de las auditorías de cumplimiento. Las ISSAI son flexibles en el sentido de que destacan la necesidad de que las EFS tomen en consideración sus mandatos, leyes y reglamentos respectivos al adoptarlas. Por consiguiente, estos principios no están por encima de los mandatos, leyes y reglamentos existentes que rigen las prácticas de auditoría de las EFS. Como base para la adopción de normas internas consistentes Es probable que algunas EFS ya cuenten con normas para realizar sus auditorías de cumplimiento. En estos casos las ISSAI proporcionan un marco de referencia para las EFS, las cuales pueden analizar sus prácticas actuales con respecto a dichas ISSAI, identificar deficiencias y modificar su marco de auditoría de acuerdo con sus circunstancias particulares. Conforme pase el tiempo, las EFS podrán seguir mejorando su marco de auditoría y cumplir eventualmente con las ISSAI. Como marco de referencia para la adopción de las Directrices de las Auditorías de Cumplimiento Otra opción para las EFS es considerar la posibilidad de adoptar las directrices para las auditorías de cumplimiento (ISSAI ) como marco de referencia. En algunos ambientes esto puede no ser posible debido a las estructuras administrativas o las leyes y reglamentos que no prestan su apoyo en este sentido. También es importante recordar que las EFS pueden seguir diferentes enfoques para alcanzar estos principios y que estos enfoques pueden incluirse en las políticas, manuales, etc. de la EFS. Actualmente las ISSAI serie 4000 están siendo revisadas y se espera que estén completamente desarrolladas como normas reguladoras para Sin embargo, esto no impide que las EFS recurran a ellas en busca de orientación en su forma actual, requiriendo la atención de la alta dirección de la EFS en tales casos. También es probable que algunas EFS conduzcan auditorías de cumplimiento junto con auditorías financieras o de desempeño de acuerdo con sus respectivos mandatos. En este caso, se deberá Página 13

14 cumplir con las ISSAI correspondientes a cada tipo de auditoría adoptadas por las EFS y se deberán hacer las referencias respectivas PRINCIPIOS DE LA AUDITORÍA DE CUMPLIMIENTO La ISSAI 400 describe los principios de las auditorías de cumplimiento, los cuales son fundamentales para su ejecución. Debido a que la naturaleza de la auditoría es iterativa y acumulativa, el auditor deberá considerar estos principios antes de comenzar cualquier auditoría, así como en más de un punto durante el proceso, es decir, durante la planificación y diseño, obtención y evaluación de evidencia, y elaboración y presentación de informes. Los Principios Generales de las auditorías de cumplimiento se describen brevemente en este capítulo, ya que se explicarán con mayor detalle en los siguientes capítulos del manual. Como se puede ver en la Figura 1.4, el auditor deberá ejercer su juicio profesional y su escepticismo a lo largo de todo el trabajo, al mismo tiempo que toma en consideración los otros elementos de los principios generales. Estos elementos deberán estar al nivel de la EFS para garantizar que la auditoría de cumplimiento se realice de conformidad con las normas. Los principios fundamentales se agrupan de acuerdo a principios relacionados con los requisitos organizativos de la EFS, los cuales son los Principios Generales 12, y principios relacionados con pasos específicos del proceso de auditoría, como la planificación, ejecución y presentación de informes. Juicio y escepticismo Control de calidad Habilidades, capacidad y experiencia del equipo de auditoría Riesgo de auditoría Importancia relativa Documentación Comunicación Figura 1.4: Principios generales de las auditorías de cumplimiento 12 ISSAI Página 14

15 Juicio profesional y escepticismo Juicio profesional es la aplicación de la capacitación, conocimiento y experiencia necesarias dentro del contexto previsto por las normas de auditoría, de manera que puedan tomarse decisiones informadas acerca del curso de acción más adecuado dadas las circunstancias de la auditoría 13. Es la forma en que un auditor ve los diferentes contextos o situaciones desde diferentes ángulos y perspectivas con base en su conocimiento y experiencia profesional. Competencia Actitud Juicio Profesional Figura 1.5: Juicio profesional y escepticismo El escepticismo se refiere a mantener una distancia profesional y una actitud alerta e inquisitiva al evaluar la suficiencia y pertinencia de la evidencia obtenida a lo largo de la auditoría. Por ejemplo, un auditor no debe creer en lo que se da hasta haber obtenido cierta seguridad de que lo dicho es correcto. Control de calidad Esto se refiere a que los procesos con los que se cuenta para revisar la calidad general de la auditoría de cumplimiento con el fin de asegurar que la auditoría cumple con las normas aplicables y que el informe, la conclusión o la opinión de la auditoría son apropiados conforme a las circunstancias. Algunas EFS ya han establecido unidades de control de calidad para este propósito. Los informes de auditoría se emiten únicamente 13 ISSAI después de que las EFS han hecho esta evaluación. Mayor información sobre el control de calidad se da en la ISSAI 40: Control de Calidad para la EFS. Habilidades, capacidad y experiencia del equipo de auditoría El equipo de auditoría deberá poseer en conjunto el conocimiento, las habilidades y la experiencia necesarias para completar con éxito la auditoría. Esto incluye un buen conocimiento y experiencia práctica del tipo de auditoría que se está llevando a cabo, así como estar familiarizados con las disposiciones legales y normativas y reglamentos aplicables, comprender las operaciones de la entidad auditada y tener la capacidad y experiencia para emitir un juicio profesional. En todas las auditorías es común la necesidad de contratar personal calificado, ofrecerle oportunidades de desarrollo profesional y capacitación, elaborar manuales y otras guías e instrucciones escritas relativas a la conducción de las auditorías y asignar suficientes recursos para la auditoría. Los auditores deben mantener su nivel de competencia profesional a través de un continuo desarrollo profesional 14. Riesgo de auditoría El riesgo de auditoría es el riesgo de que el informe, la conclusión o la opinión del auditor sean inapropiados. La auditoría de cumplimiento deberá realizarse para reducir el riesgo de auditoría a un nivel aceptablemente bajo de acuerdo con las circunstancias. Los diferentes componentes del riesgo de auditoría incluyen el riesgo inherente, el riesgo de control y el riesgo de detección. Importancia relativa Un objeto de la revisión puede considerarse de importancia relativa si el conocimiento que se tiene de él puede influir en las decisiones de los usuarios previstos. Por ejemplo, el incumplimiento con los términos y condiciones de un contrato de financiamiento se considerará importante si dicho 14 ISSAI Página 15

16 incumplimiento pudiera hacer que las instituciones que dan el financiamiento dejaran de hacerlo o impusieran controles más estrictos como una condición previa para seguir haciéndolo. La materialidad o importancia relativa (materiality en inglés) se puede relacionar con una partida individual o con un grupo de partidas tomadas en conjunto. La importancia relativa se considera a menudo en términos de valor, pero también tiene otros aspectos cuantitativos y cualitativos. Las características inherentes de una partida o un grupo de partidas pueden hacer que un objeto de la revisión sea de importancia relativa por su propia naturaleza. Un asunto también puede ser de importancia relativa por el contexto en el que ocurre. Documentación y comunicación Contar con suficiente documentación de auditoría es importante en todos los pasos de la auditoría de cumplimiento. Esto es para asegurar que todos los pasos y decisiones tomadas durante la auditoría estén debidamente justificados y documentados de manera que, si un auditor experimentado que no ha tenido conocimiento previo o relación con la auditoría la revisa, entonces la documentación de auditoría le permitirá comprenderla. Mayor información al respecto se dará en el Capítulo 5 de este manual relativo a la Documentación y Comunicación en las auditorías de cumplimiento. al interior del equipo de auditoría. También ayudará a mantener a todas las partes informadas acerca del progreso de la auditoría y ayudar de manera efectiva a resolver cualquier asunto que pudiera obstruir la conducción de la auditoría y causar demoras. La comunicación incluye obtener datos relevantes para la auditoría y proporcionarle a la dirección y los encargados de la administración observaciones oportunas e información sobre los resultados a lo largo de todo el proceso. Cualquier dificultad significativa que se encuentre durante la auditoría, así como los casos importantes de incumplimiento deberán comunicarse al nivel de dirección adecuado o a los encargados de la administración 15. Esto ayudará a rectificar cualquier desviación o hallazgo que el auditor encuentre inmediatamente o en una etapa temprana, en vez de más tarde cuando el impacto del hallazgo pudiera ser importante y difícil de resolver. El auditor también puede tener la responsabilidad de comunicar los objetos de la revisión relacionados con la auditoría a otros usuarios, como los órganos legislativos o de supervisión. Por su parte, la comunicación tiene lugar en todas las etapas de la auditoría: antes de que empiece, durante la fase de planificación inicial, durante la obtención y evaluación de evidencia y en la fase de elaboración y presentación de informes. Es esencial que la entidad auditada junto con la EFS se mantengan informados acerca de todos los asuntos relacionados con la auditoría. Esto resulta clave para desarrollar una relación de trabajo constructiva entre el auditor y la entidad, así como 15 ISSAI Página 16

17 1.7 PROCESO DE LA AUDITORÍA DE CUMPLIMIENTO El siguiente diagrama describe los pasos de una auditoría de cumplimiento. Documentación, Comunicación, Control de Calidad Consideraciones iniciales Planificación de la auditoría Ejecución de la auditoría y recopilación de evidencia Evaluación de la evidencia y formación de conclusiones Determinar el alcance de la auditoría de cumplimiento Considerar los principios que son éticamente significativos (p. ej. independencia y objetividad) Asegurar que se cuenta con procedimientos de control de calidad Determinar los elementos de la auditoría Identificar el objeto de la revisión y los criterios Tener un conocimiento adecuado de la entidad y su entorno Desarrollar una estrategia y plan de auditoría Conocer el sistema de control interno Establecer la importancia relativa con fines de planificación Evaluar los riesgos Planear los procedimientos de auditoría para obtener una seguridad razonable Considerar incumplimientos que pudieran revelar posibles actos irregulares Reunir evidencia a través de varios medios Actualizar continuamente la planificación y evaluación de riesgos Evaluar si se ha obtenido evidencia suficiente y pertinente Considerar la importancia relativa para la elaboración y presentación de los informes Sacar conclusiones Obtener declaraciones por escrito según sea necesario Abordar hechos posteriores según sea necesario Elaboración de informes Preparar el informe Incluir recomendaciones y respuestas de la entidad según corresponda Dar seguimiento a informes previos según sea necesario Figura 1.6: Proceso de la auditoría de cumplimiento Página 17

18 i. Consideraciones iniciales y planificación de la auditoría En la fase inicial los auditores determinan el objetivo y alcance de la auditoría, consideran los principios que son éticamente significativos, es decir, independencia y objetividad, y se aseguran de contar con procedimientos de control de calidad. En la fase de planificación el auditor examina la relación entre el objeto de la revisión, los criterios y el alcance de la auditoría de cumplimiento. Para hacer esto los auditores se guían por su juicio profesional y la necesidad de los usuarios previstos. Una vez que determinan el objeto de la revisión, los criterios y el alcance de la auditoría, los auditores trabajan en la estrategia y el plan de auditoría. Para ello necesitan conocer el sistema de control interno, establecer la importancia relativa, evaluar los riesgos de la entidad y planear los procedimientos como parte del diseño de la auditoría de cumplimiento. ii. Ejecución de la auditoría y recopilación de evidencia En esta fase los auditores reúnen y documentan la evidencia para sacar una conclusión o expresar una opinión respecto a si el objeto de la revisión, en todos los aspectos importantes, cumple con los criterios establecidos. En algunos casos es probable que los auditores tengan que cambiar el alcance de la auditoría de cumplimiento cuando encuentren evidencia que sugiera la necesidad de hacerlo. Por ejemplo, mientras están reuniendo evidencia, los auditores pueden encontrar algo que indica la posibilidad de fraude, por lo que quizá deban modificar sus procedimientos. Asimismo, deberán documentar la razón por la que hicieron cambios en el plan de auditoría. iii. Evaluación de la evidencia y formación de conclusiones Al final de la auditoría los auditores examinan la evidencia para saber si es suficiente y apropiada con el objetivo de sacar una conclusión o expresar una opinión respecto a si el objeto de la revisión cumple o no con los criterios establecidos. En esta etapa el auditor debe considerar la importancia relativa para la elaboración y presentación de informes. iv. Elaboración de informes La conclusión u opinión se presenta en forma de informe dirigido al presunto usuario. Aquí el auditor incluye las recomendaciones y respuestas de la entidad. En los siguientes capítulos este manual presenta información adicional sobre los elementos de la auditoría de cumplimiento. También tiene capítulos separados sobre los pasos que debe seguir la auditoría de cumplimiento. Es importante recordar que, como se muestra en la Figura 1.6, la documentación, comunicación y control de calidad corren a lo largo de todo el proceso y son requisitos significativos de las ISSAI, por lo que deben considerarse en todas las etapas de la auditoría. 1.8 CONCLUSIÓN Para muchas EFS la auditoría de cumplimiento es su actividad central. Es distinta de los otros tipos de auditoría ya que se enfoca en asegurar que las entidades auditadas o el objeto, materia o asunto cumplan con las leyes, reglas, reglamentos, procedimientos, términos contractuales y/o acuerdos aplicables. Asimismo, puede realizarse como una actividad independiente o junto con auditorías financieras y de desempeño. Las ISSAI le dan a las EFS la oportunidad de revisar sus prácticas actuales y modificarlas tanto como su mandato, leyes y reglamentos lo permitan. En el siguiente capítulo describiremos con detalle los principales conceptos de la auditoría de cumplimiento. Acto seguido se explicarán las fases de la auditoría de cumplimiento, es decir, la planificación y el diseño de la auditoría, la recopilación de evidencia, la evaluación de la evidencia, la formación de conclusiones, y la elaboración de informes. Página 18

19 Capítulo 2: Principales conceptos de las auditorías de cumplimiento Página 19

20 2.1 INTRODUCCIÓN Este capítulo se basa en los conceptos básicos de la auditoría de cumplimiento proporcionados en el primer capítulo. El capítulo se enfoca en el concepto de seguridad, explicando las similitudes y diferencias que hay entre los diferentes niveles de seguridad que las EFS le dan a los usuarios previstos: seguridad razonable y seguridad limitada. 2.2 DEFINICIÓN DE AUDITORÍA Y DE AUDITORÍA DE CUMPLIMIENTO Como se definió en el Capítulo 1, "las auditorías del sector público pueden describirse como un proceso sistemático para obtener y evaluar de manera objetiva evidencia que permita determinar si la información o las condiciones actuales se ajustan a los criterios establecidos 1. La auditoría de cumplimiento se basa en esta definición con un enfoque específico en los criterios derivados de las normas (para una definición de criterios, véase la sección 2. 4). La auditoría de cumplimiento es una evaluación independiente para determinar si un objeto de revisión dado cumple con las disposiciones legales y normativas aplicables identificadas como criterios. Las auditorías de cumplimiento se llevan a cabo para evaluar si las actividades, las operaciones financieras y la información cumplen, en todos los aspectos importantes, con las disposiciones legales y normativas que regulan a la entidad auditada 2. Las ISSAI también definen las partes de una auditoría de cumplimiento, así como la relación que existe entre ellas: Las auditorías de cumplimiento se basan en una relación de tres partes, en la que el auditor trata de obtener evidencia de auditoría suficiente y apropiada con el fin de expresar una conclusión que permita aumentar el grado de confianza de los usuarios previstos, diferentes a la parte responsable, en la medición o evaluación del objeto de la revisión conforme a los criterios establecidos 3. Con base en las definiciones anteriores, este capítulo examinará los siguientes conceptos: El objeto de la revisión y la información del mismo Las disposiciones legales y normativas, así como los criterios El riesgo de auditoría La importancia relativa La relación de las tres partes el auditor la parte responsable los usuarios previstos El nivel de seguridad trabajos de seguridad razonable trabajos de seguridad limitada Los trabajos de certificación (compromisos de atestiguamiento) y de información directa (compromisos de elaboración de informes directos) El juicio profesional y el escepticismo 2.3 OBJETO DE LA REVISIÓN E INFORMACIÓN DEL OBJETO DE LA REVISIÓN Las ISSAI establecen que " dentro del contexto de las auditorías de cumplimiento, la responsabilidad del auditor incluye determinar si la información relacionada con un objeto de la revisión en particular cumple, en todos los aspectos importantes, con los criterios relevantes, como leyes, reglamentos, directivas, términos contractuales, acuerdos, etc. 4 El objeto de la revisión (subject matter en inglés) depende del mandato de la EFS, las disposiciones legales y normativas relevantes y el alcance de la auditoría. Debido a esto, el contenido y alcance del objeto de la revisión de la auditoría de cumplimiento puede variar ampliamente. Puede 1 ISSAI ISSAI ISSAI ISSAI , ISSAI Página 20