IMPARCIALIDAD DEL AUDITOR DE TERCERA PARTE Y CONFLICTO DE INTERESES

Transcripción

1 International Organization for Standardization International Accreditation Forum Fecha: 30 de Julio de 2005 Grupo de Prácticas de Auditoría ISO 9001 Guía sobre: IMPARCIALIDAD DEL AUDITOR DE TERCERA PARTE Y CONFLICTO DE INTERESES La imparcialidad y la objetividad de los auditores son prerrequisitos básicos para una auditoria consistente y eficaz. Este documento ilustra las buenas prácticas de comportamiento para el beneficio de los auditores y de los organismos a cargo de evaluar el comportamiento del auditor, es decir, los organismos de certificación/registro (OC) y los organismos de acreditación. (Consultar también el documento ISO/PAS 17001). 1. Alcance 1.1 La meta global de la certificación es brindar confianza a todas las partes que confían en la certificación. Los principios importantes para inspirar confianza son independencia, imparcialidad y competencia, tanto en acción como en apariencia. 1.2 Este documento solo se interesa en asuntos relacionados con las amenazas y salvaguardas para la independencia e imparcialidad del auditor. 2. Compromiso del organismo de certificación (OC) con la imparcialidad 2.1 La estructura organizacional y los procedimientos del OC que emplea a los auditores deberían poder demostrar cómo se cumple el requisito primario de IMPARCIALIDAD. 2.2 El OC debería demostrar, por medio de políticas, procedimientos y entrenamiento, la manera en que trata las presiones y otros factores que pueden comprometer, o se puede esperar razonablemente que comprometan, la objetividad del auditor y que se pueden originar en una amplia variedad de actividades, relaciones y otras circunstancias, así como en diferentes cualidades y características personales de los auditores, las cuales pueden ser fuente de sesgo. 1

2 3. Amenazas a la imparcialidad del auditor 3.1 Las amenazas a la imparcialidad del auditor son fuentes de sesgo potencial que pueden comprometer, o se puede esperar razonablemente que comprometan, la capacidad de un auditor para hacer observaciones y obtener conclusiones de auditoría sin sesgos. Debido a que las amenazas pueden comprometer, o se puede esperar razonablemente que comprometan, la capacidad de un auditor para hacer observaciones y obtener conclusiones de auditoría sin sesgos, el OC debería identificar y analizar los efectos de las amenazas que son fuente de sesgo potencial. 3.2 Las amenazas son impuestas por diferentes tipos de actividades, relaciones y otras circunstancias. Con el objeto de entender la naturaleza de esas amenazas y su impacto potencial en la imparcialidad del auditor, el OC debería identificar los tipos de amenazas impuestas por actividades específicas, relaciones u otras circunstancias. La siguiente lista brinda ejemplos de los tipos de amenazas que pueden crear presiones, y otros factores que pueden acarrear comportamiento de auditoría sesgado. Aunque la lista no es exhaustiva ni excluyente, ilustra la amplia variedad de tipos de amenazas que el OC necesita tomar en consideración cuando analiza los aspectos de imparcialidad e independencia del auditor. - Amenazas por interés propio amenazas que se originan en auditores que actúan en su propio interés. El interés propio incluye los intereses emocionales, financieros u otros intereses personales. Los auditores pueden favorecer, conciente o subconscientemente, esos intereses propios sobre su interés por realizar una auditoría de un sistema de gestión. Por ejemplo, las relaciones del OC con los clientes crean un interés financiero propio porque los clientes pagan las tarifas del OC. Los auditores también tienen intereses financieros propios, si son socios de un auditado, y pueden tener un interés financiero o emocional propio si existe una relación laboral entre los miembros de la familia del auditor y un auditado. - Amenazas por auto-revisión amenazas que se originan en auditores que revisan el trabajo realizado por ellos mismos o por sus colegas. Puede ser más difícil evaluar sin sesgo el trabajo de la propia organización que el de cualquier otra persona u organización. Por lo tanto, una amenaza por auto-revisión se puede originar cuando los auditores revisan opiniones y decisiones que ellos u otros en su organización han tomado. - Amenazas por familiaridad (o confianza) amenazas que se originan en auditores influidos por una relación estrecha con un auditado. Tal amenaza está presente si los auditores no son suficientemente escépticos de las afirmaciones de un auditado y, como resultado, aceptan muy fácilmente el punto de vista del auditado debido a su familiaridad o confianza con él. Por ejemplo, una amenaza por familiaridad se puede originar cuando un auditor tiene una relación personal o profesional muy estrecha o de larga data con un auditado. - Amenazas por intimidación amenazas que se originan en auditores que están siendo, o se cree que lo están, abierta o secretamente, coaccionados por el auditado o por otras partes interesadas. Dicha amenaza se puede originar, por ejemplo, si un auditor o un OC es amenazado con ser reemplazado por un desacuerdo en la aplicación que hace un auditado de un requisito específico del documento normativo utilizado como referencia para la auditoría. - Amenazas por defensa (por ejemplo un organismo o su personal que actúa en apoyo, o en oposición, a un auditado que a su vez es su cliente, en la solución de una disputa o un litigio). - Amenazas por competición (por ejemplo entre el auditado evaluado y un evaluador técnico contratado). 4 Salvaguardas a la imparcialidad del auditor 4.1 El OC debería instaurar salvaguardas que mitiguen o eliminen las amenazas a la imparcialidad del auditor. Las salvaguardas pueden incluir prohibiciones, restricciones, divulgaciones, 2

3 políticas, procedimientos, prácticas, normas, reglas, acuerdos institucionales y condiciones ambientales. Éstas se deberían revisar con regularidad para garantizar la continuidad de su aplicabilidad. NOTA 1. Las salvaguardas existen en el entorno en el cual se conducen las auditorías o pueden ser ordenadas por quienes toman decisiones independientes como respuesta a las amenazas impuestas por diferentes actividades, relaciones u otras circunstancias. Una forma en la cual se pueden describir las salvaguardas es mediante el sitio donde residen. 4.2 Ejemplos de salvaguardas que existen en el entorno en el cual se conducen las auditorías incluyen: - el valor que el OC y los auditores individuales dan a su reputación; - programas de acreditación para los OC que evalúan el cumplimiento de toda la organización con las normas profesionales y los requisitos reglamentarios con relación a la imparcialidad; - supervisión general por parte de los comités y las estructuras de gobierno del OC (por ejemplo juntas directivas) con respecto al cumplimiento de los criterios de imparcialidad; - otros aspectos del gobierno corporativo, incluyendo la cultural del OC que da soporte al proceso de certificación y a la imparcialidad del auditor; - reglas, normas y códigos de conducta profesional que rigen el comportamiento de los auditores; - la creación de sanciones, y la posibilidad de tales acciones, por parte de organismos de acreditación/iaf y otros; y - la responsabilidad legal que enfrenta el OC. 4.3 Ejemplos de salvaguardas que existen en los organismos de certificación como parte del sistema de gestión de un OC incluyen: - mantenimiento de una cultura en el OC que enfatice la expectativa de que los auditores actuarán según el interés más amplio, y la importancia de las buenas auditorías y de la imparcialidad del auditor; - mantenimiento de un entorno y una cultura profesionales en el OC que apoyen el comportamiento, que sea consistente con la imparcialidad del auditor, de todo el personal; - sistemas de gestión que incluyan políticas, procedimientos y prácticas relacionadas directamente con el mantenimiento de la imparcialidad del auditor; - otras políticas, procedimientos y prácticas como aquellas relacionadas con rotación del personal, auditorías interna y requisitos de consultoría interna sobre asuntos técnicos; y - contratación de personal, entrenamiento, promoción, retención, y políticas, procedimientos y prácticas de recompense que enfaticen la importancia de la imparcialidad del auditor, las amenazas potenciales impuestas por diversas circunstancias que pueden enfrentar los auditores en el OC, y la necesidad de que los auditores evalúen su imparcialidad con respecto a un cliente específico después de considerar las salvaguardas instauradas para mitigar o eliminar tales amenazas. Otra forma de describir las salvaguardas es por su naturaleza. Los ejemplos incluyen: - salvaguardas preventivas por ejemplo, un programa de inducción para auditores contratados recientemente que haga énfasis en la importancia de la imparcialidad; - salvaguardas que se relacionan con amenazas que se originan en circunstancias específicas - por ejemplo, prohibiciones de algunas relaciones laborales entre los miembros de la familia del auditor y los clientes del OC, y - salvaguardas cuyos efectos son disuadir las violaciones de otras salvaguardas castigando a los infractores - por ejemplo, una política de tolerancia cero que permita a los organismos de acreditación suspender o retirar inmediatamente la acreditación. 3

4 4.5 Una forma alterna en la cual se pueden describir las salvaguardas es por la medida en que éstas restringen las actividades o relaciones que se consideran amenazas para la imparcialidad del auditor, como prohibir a los auditores brindar consultoría a los clientes que ellos auditan. 4.6 Al evaluar la imparcialidad de sus auditores un OC debería tomar en consideración los siguientes aspectos: - las presiones y otros factores que pueden resultar en, o se espera razonablemente que resulten, en un comportamiento de auditoria sesgado - descrito aquí como amenazas a la imparcialidad del auditor; - los controles que pueden eliminar o reducir los efectos de esas presiones y otros factores - aquí descritos como salvaguardas para la imparcialidad del auditor; - la importancia de dichas presiones y otros factores y la eficacia de tales controles; y - la probabilidad de que las presiones y otros factores, después de considerar la eficacia de los controles, alcancen un nivel en el que comprometan, o se pueda esperar razonablemente que comprometan, la capacidad de un auditor para mantener un comportamiento de auditoría sin sesgo. 5. Evaluación del nivel del riesgo de imparcialidad Los OC deberían evaluar el nivel del riego de imparcialidad teniendo en cuenta los tipos y la importancia de las amenazas a la imparcialidad del auditor y los tipos y eficacia de las salvaguardas. Este principio básico describe un proceso mediante el cual los OC deberían identificar y evaluar el nivel del riesgo de imparcialidad que se origina en diferentes actividades, relaciones u otras circunstancias. NOTA 1. El nivel del riesgo de imparcialidad se puede expresar como un punto en una cadena que va desde ningún riesgo hasta riesgo máximo. Una forma de describir estos puntos extremos, los segmentos de la cadena de imparcialidad que están entre estos puntos extremos y la probabilidad de comprometer la objetividad que corresponde a los puntos extremos y a los segmentos es la siguiente: Tabla 1 Nivel del riesgo de imparcialidad. Ningún riesgo Riesgo remoto Algún riesgo Riesgo alto Riesgo máximo El compromiso de la objetividad es virtualmente imposible. El compromiso de la objetividad es improbable. El compromiso de la objetividad es posible. Probabilidad creciente de comprometer la objetividad? El compromiso de la objetividad es probable. El compromiso de la objetividad es virtualmente seguro. NOTA 2. Aunque no se puede medir con precisión el nivel de riesgo de cualquier actividad específica, relación u otra circunstancia que puede imponer una amenaza a la imparcialidad del auditor, se puede describir como perteneciente a uno de los segmentos o a uno de los puntos extremos de la cadena del riego de imparcialidad. 6. Determinación de la aceptabilidad del nivel del riesgo de imparcialidad 6.1 Los OC deberían determinar si el nivel del riesgo de imparcialidad está en una posición aceptable en la cadena del riesgo de imparcialidad. Los OC también deberían evaluar la aceptabilidad del nivel del riesgo de imparcialidad que se origina en actividades espec íficas, relaciones u otras circunstancias. Esta evaluación requiere que ellos juzguen si las salvaguardas eliminan o mitigan adecuadamente las amenazas a la imparcialidad del auditor impuestas por dichas actividades, relaciones u otras circunstancias. Si no lo hacen, los OC deberían decidir qué salvaguardas 4

5 adicionales (incluyendo la prohibición) o combinación de salvaguardas reducirían el riesgo, y la probabilidad correspondiente de comprometer la objetividad, hasta un nivel aceptable. 6.2 Dados algunos factores en el entorno en el cual tienen lugar las auditorías - por ejemplo, que el auditor sea pagado por el auditado - el riego de imparcialidad no se puede eliminar totalmente y, por lo tanto, los OC siempre aceptan algún riesgo de que la objetividad del auditor se vea comprometida. No obstante, en presencia de amenazas a la imparcialidad del auditor, los OC únicamente deberían tomar en consideración como aceptable un nivel muy bajo de riesgo. Únicamente una probabilidad pequeña de comprometer la objetividad es consistente tanto con la definición como con la meta de imparcialidad del auditor. 6.3 Algunas amenazas a la imparcialidad del auditor pueden afectar sólo a algunos individuos o grupos dentro de un OC y la importancia de algunas amenazas puede ser diferente para individuos o grupos diferentes. Para garantizar que el riesgo está en un nivel bajo aceptable, es recomendable que los OC identifiquen a los individuos o grupos afectados por las amenazas a la imparcialidad así como la importancia de dichas amenazas. Tipos diferentes de salvaguardas pueden ser adecuados para individuos o grupos diferentes dependiendo de sus funciones en la auditoría. 6.4 Los OC deberían garantizar que los beneficios que resultan de la reducción del riesgo de imparcialidad, imponiendo salvaguardas adicionales, excede los costos de dichas salvaguardas. Aunque los beneficios y los costos son a menudo difíciles de cuantificar e identificar, es conveniente que los OC los tomen en consideración cuando toman decisiones sobre los aspectos de imparcialidad del auditor. NOTA. Diversas partes soportan diferentes costos para mantener la imparcialidad del auditor. Algunos de esos costos se relacionan directamente con el desarrollo, mantenimiento y cumplimiento de las salvaguardas, incluyendo el costo de los controles de calidad del OC relacionados con la imparcialidad y los costos relacionados con los sistemas de acreditación y autorregulación de la imparcialidad del auditor. También pueden existir otros costos indirectos del mantenimiento de la imparcialidad del auditor, algunas veces denominados costos de segundo orden o consecuencias involuntarias. Aquellos costos relacionados con las posibles reducciones en la calidad de la auditoria y con otros resultados negativos pueden originarse en las salvaguardas que prohíben o restringen las actividades y relaciones del auditor. Por ejemplo, las restricciones de las actividades de consultoría/entrenamiento del auditor pueden reducir el atractivo del OC como empleador y resultar en reducciones en la calidad de la auditoria. Los costos directos e indirectos del mantenimiento de la imparcialidad del auditor se pueden ver afectados por muchas variables, incluyendo el número de individuos en una organización que estará afectado por una salvaguarda. Debido a que la imparcialidad de los auditores es importante no sólo por derecho propio, sino que también facilita el aseguramiento de que se cumplen los intereses amplios del público, los OC deberían considerar los efectos de segundo orden o consecuencias involuntarias que van más allá del impacto directo de sus decisiones sobre la imparcialidad de los auditores. 7. Aspectos estructurales y organizacionales 7.1 Además de los aspectos indicados anteriormente, es necesario que la imparcialidad del auditor tenga protección adicional ubicándola dentro de una estructura organizacional que garantice la implementación de las salvaguardas requeridas. La estructura organizacional debería ser tal que el OC pueda demostrar su imparcialidad a una tercera parte informada y desinteresada. 7.2 La estructura y la organización seleccionadas por el OC para cumplir estos objetivos deberían ser transparentes y apoyar el desarrollo y la aplicación de los procesos necesarios para cumplir dichos objetivos. Se recomienda que estos procesos incluyan: - entendimiento de las necesidades y las expectativas de los clientes y otras partes involucradas; - establecimiento de la política y los objetivos de la organización; 5

6 - determinación de los procesos y las responsabilidades necesarios para lograr los objetivos; - determinación y suministro de la infraestructura y los recursos necesarios para lograr los objetivos; - establecimiento y aplicación de los métodos para determinar la eficiencia y eficacia de cada proceso; - identificación de los conflictos de intereses potenciales tanto de la organización como del individuo, y los medios para su identificación y tratamiento; - determinación de los medios para prevenir no conformidades y eliminar sus causas; y - establecimiento y aplicación de un proceso para la mejora continua de los procesos anteriores. Nota: Aunque las directrices de este documento se presentan con énfasis en los auditores del OC, se pueden aplicar consideraciones similares (con la debida adaptación) a los auditores de los organismos de acreditación. Para mayor información sobre el Grupo de Prácticas de Auditoría ISO 9001, por favor consulte el documento: Introducción al Grupo de Prácticas de Auditoría ISO 9001 (Introduction to the ISO 9001 Auditing Practices Group). El Grupo de Prácticas de Auditoría ISO 9001 utilizará la retroalimentación por parte de los usuarios para determinar si es recomendable desarrollar documentos de guía adicionales o si los existentes se deberían revisar. Los comentarios sobre los documentos o las presentaciones se pueden enviar a la siguiente dirección de correo electrónico: charles.corrie@bsi-global.com. Los demás documentos y presentaciones del Grupo de Prácticas de Auditoría ISO 9001 se pueden descargar de los siguientes sitios Web: Exoneración de responsabilidad Este documento no se ha sometido a un proceso de aprobación por parte de la Organización Internacional de Normalización (ISO), el Comité Técnico ISO 176, ni el Foro Internacional de Acreditación (IAF). La información contenida aquí está disponible con propósitos educativos y de comunicación. El Grupo de Prácticas de Auditoría ISO 9001 no es responsable de los errores, omisiones ni otras obligaciones que se puedan originar en el suministro o posterior uso de dicha información. 6