Evaluaciones Externas Norma principalmente relacionada 1312 Evaluaciones externas Deben realizarse evaluaciones externas al menos una vez cada cinco años por un evaluador o equipo de evaluación cualificado e independiente, proveniente de fuera de la organización. El director ejecutivo de auditoría debe tratar con el Consejo: La forma y frecuencia de las evaluaciones externas; y Las cualificaciones e independencia del evaluador o equipo de evaluación externo, incluyendo cualquier conflicto de intereses potencial. Interpretación: Las evaluaciones externas pueden realizarse como una evaluación externa completa o una autoevaluación con validación externa independiente. Un evaluador o equipo de evaluación cualificado demuestra su competencia en dos áreas: la práctica profesional de la auditoría interna y el proceso de evaluación externa. La competencia puede demostrarse a través de un equilibrio de experiencia y conocimiento teórico. La experiencia obtenida en organizaciones de tamaño similar, complejidad, sector o industria y de similar contenido técnico es más valiosa que la experiencia en otras áreas menos relevantes. En el caso de un equipo de evaluación, no es necesario que todos los miembros cuenten con todas las competencias; es el equipo en su conjunto el que está cualificado. El Director ejecutivo de auditoría utilizará su juicio profesional para valorar si un evaluador o equipo de evaluación demuestra la competencia suficiente para considerarse cualificado. Un evaluador o equipo de evaluación independiente es aquél que no tiene conflictos de intereses reales o aparentes, y no forma parte ni está bajo el control de la organización a la cual pertenece la actividad de auditoría interna. Consejo para la Práctica 1312-1: 1. Las evaluaciones externas cubren el espectro completo del trabajo de auditoría y consultoría llevado a cabo por la actividad de auditoría interna y no deben estar limitadas a la evaluación de su programa de aseguramiento y mejora de la calidad (PAMC). Para obtener el mayor beneficio de una evaluación externa, el alcance del trabajo también debería incluir una comparación con la mejor referencia (benchmarking), identificación e información de las prácticas líderes que puedan ayudar a la actividad de auditoría interna a ser más eficiente y eficaz. Esto puede lograrse mediante una evaluación externa completa realizada por un revisor o equipo de revisión externo cualificado e independiente, o bien mediante una autoevaluación interna integral con validación independiente realizada por un revisor o equipo de revisión externo cualificado e independiente. No obstante, el DEA debe asegurarse de que el alcance establezca claramente los resultados esperados de la evaluación externa en cada caso.
2. Las evaluaciones externas de una actividad de auditoría interna contienen una opinión expresa respecto del espectro completo del trabajo de aseguramiento y consultoría que realiza (o que debería haber realizado según el estatuto de auditoría interna) la actividad de auditoría interna, incluyendo su cumplimiento de la Definición de Auditoría Interna, el Código de Ética y las Normas, y, si resulta apropiado, incluye recomendaciones de mejora. Además del cumplimiento de la Definición, el Código de Ética y las Normas, el alcance de la evaluación se ajusta según lo crea conveniente el DEA, la alta dirección o el consejo de administración. Estas evaluaciones pueden tener un valor considerable para el DEA y otros miembros de la actividad de auditoría interna, especialmente cuando se comparten mejores prácticas y comparación con la mejor referencia (benchmarking). 3. Al terminar la revisión se envía una comunicación formal a la alta dirección y al consejo de administración. 4. Hay dos enfoques para las evaluaciones externas. El primer enfoque es una evaluación externa completa realizada por un revisor o equipo de revisión cualificado e independiente. Este enfoque implica un equipo externo de profesionales competentes bajo el liderazgo de un gerente de proyecto profesional y experimentado. El segundo enfoque implica el uso de un revisor o equipo de revisión cualificado e independiente que realice una validación independiente de la autoevaluación interna y de un informe elaborado por la actividad de auditoría interna. Los revisores externos independientes deben ser muy versados en la conducción de prácticas de auditoría interna. 5. Las personas que realizan la evaluación externa se encontrarán libres de obligaciones o intereses respecto de la organización cuya actividad de auditoría interna está siendo sujeta a una evaluación externa, o de su personal. El DEA, en consulta con el consejo de administración, tendrá en cuenta los siguientes aspectos referidos a la independencia cuando seleccione al revisor o equipo de revisión externo cualificado e independiente: Cualquier conflicto de intereses real o aparente de las firmas que proporcionan: La auditoría externa de los estados contables. Servicios de consultoría significativos en las áreas de gobierno, gestión de riesgos, información financiera, control interno y otras áreas relacionadas. Asistencia a la actividad de auditoría interna. La significatividad y cantidad de trabajo desempeñado por el proveedor de servicios profesionales debe tenerse en cuenta en la deliberación. Cualquier conflicto de intereses real o aparente de anteriores empleados de la organización que pudieran desempeñar la evaluación. Se tendrá en cuenta la cantidad de tiempo que la persona ha sido independiente de la organización.
Las personas que realizan la evaluación serán independientes de la organización cuya actividad de auditoría interna está sujeta a evaluación y no tendrán ningún conflicto de intereses real o aparente. "Independiente de la organización" significa que no forma parte ni está bajo el control de la organización a la cual pertenece la actividad de auditoría interna. En la selección de un revisor o equipo de revisión externo, cualificado e independiente, se tendrá en cuenta todo conflicto de intereses real o aparente que el revisor pueda tener debido a su relación presente o pasada con la organización o su actividad de auditoría interna, incluyendo la participación del revisor en evaluaciones internas de calidad. Las personas que están en otro departamento de la organización o en una organización relacionada, aunque estén en una organización separada de la actividad de auditoría interna, no son consideradas independientes a los fines de realizar una evaluación externa. Una "organización relacionada" puede ser la casa matriz, una afiliada del mismo grupo de entidades o una entidad con responsabilidades habituales de vigilancia, supervisión o aseguramiento de calidad respecto de la organización sujeta a la evaluación externa. Conflictos reales o aparentes en los acuerdos de revisión entre iguales. Puede establecerse un acuerdo de revisión entre iguales por tres o más organizaciones (por ejemplo, dentro de un sector económico u otro grupo de afinidad, asociación regional, u otro grupo de organizaciones, excepto en el caso de "organizaciones relacionadas" definidas en el punto anterior), estructurados de tal forma de paliar el tema de la independencia, pero deberá tenerse cuidado de asegurar que no surja un problema de independencia. Las revisiones entre pares realizadas por sólo dos organizaciones no superarían la prueba de la independencia. Para superar la cuestión de un menoscabo real o aparente a la independencia en instancias tales como las mencionadas en esta sección, una o más personas independientes podrían formar parte del equipo de evaluación externa con el fin de validar de forma independiente el trabajo del equipo de evaluación externa. 6. La integridad requiere que los revisores sean honestos y francos dentro de los límites de la confidencialidad. El servicio y la confianza pública no deben estar subordinados a la ganancia y ventaja personal. La objetividad es un estado mental y una cualidad que da valor a los servicios de los revisores. El principio de la objetividad impone la obligación de ser imparcial, intelectualmente honesto y estar libre de conflicto de intereses. 7. El desempeño y la comunicación de los resultados de una evaluación externa requieren el ejercicio del juicio profesional. Por consiguiente, una persona que se desempeña como revisor externo debería: Ser auditor interno profesional certificado y competente, que posea conocimientos actualizados y profundos de las Normas. Encontrarse bien familiarizado con las mejores prácticas de la profesión. Tener al menos tres años de experiencia reciente en el ejercicio de auditoría interna o consultoría relacionada, a nivel gerencial.
Los líderes de equipos de revisión independiente y los revisores externos que realizan validación independiente de los resultados de la autoevaluación deberían tener un nivel adicional de competencia y experiencia que hayan obtenido trabajando anteriormente como miembros de equipo en una evaluación externa de calidad, deberían haber realizado un curso de capacitación en evaluación de calidad del Instituto de Auditores Internos o un curso similar, y deberían tener experiencia de nivel superior en la gestión de auditoría interna, como DEA o un nivel comparable. 8. Los revisores deberían tener aptitudes técnicas relevantes y poseer experiencia relevante en el sector económico pertinente. Las personas con experiencia en otras áreas de especialización pueden ayudar al equipo. Por ejemplo, los especialistas en gestión de riesgo empresarial, auditoría de tecnología de la información, muestreo estadístico, sistemas de vigilancia de las operaciones o autoevaluación de control, pueden participar en ciertos segmentos de la evaluación. 9. El DEA hará que la alta dirección y el consejo de administración participen en el proceso de selección del enfoque y del proveedor de la evaluación externa de calidad. 10. La evaluación externa debe consistir en una cobertura de amplio alcance que incluya los siguientes elementos de la actividad de auditoría interna: El cumplimiento de la Definición de Auditoría Interna, el Código de Ética y las Normas; y el estatuto, los planes, políticas, procedimientos, prácticas, requisitos legales y regulaciones aplicables a la actividad de auditoría interna, Las expectativas de la actividad de auditoría interna expresadas por el consejo de administración, la alta dirección y los gerentes operativos, La integración de la actividad de auditoría interna en el proceso de gobierno de la organización, incluyendo las relaciones entre los grupos clave que participan en ese proceso, Las herramientas y técnicas empleadas por la actividad de auditoría interna, La mezcla de conocimientos, experiencia y disciplinas dentro del personal, incluyendo el enfoque del personal en la mejora de los procesos, y Determinar si la actividad de auditoría interna agrega valor y mejora las operaciones de la organización. 11. Los resultados preliminares de la revisión se comentarán con el DEA durante el proceso de evaluación y al concluir el mismo. Los resultados finales se comunicarán al DEA u otra autoridad que haya autorizado la revisión, preferentemente enviando copia directamente a los miembros apropiados de la alta dirección y del consejo de administración.
12. La comunicación incluye lo siguiente: Una opinión respecto del cumplimiento de la Definición, el Código de Ética y las Normas por parte de la actividad de auditoría interna, basada en un proceso estructurado de calificación. El término "cumplimiento" significa que las prácticas de la actividad de auditoría interna, tomadas como un todo, satisfacen los requisitos de la Definición, el Código de Ética y las Normas. De forma similar, la "falta de cumplimiento" significa que el impacto y la gravedad de las deficiencias en las prácticas de la actividad de auditoría interna son tan significativas que menoscaban la capacidad de la actividad de auditoría interna para cumplir con sus responsabilidades. El grado de "cumplimiento parcial" con la Definición, el Código de Ética y ciertas Normas, si es relevante para la opinión general, también debería expresarse en el informe sobre la evaluación independiente. La expresión de una opinión acerca de los resultados de la evaluación externa requiere la aplicación de buen juicio para los negocios, integridad y aptitud profesional. Una evaluación y determinación del uso de las mejores prácticas, tanto las observadas durante la evaluación como aquellas aplicables potencialmente a la actividad. Recomendaciones de mejora, cuando resulten apropiadas. Las respuestas del DEA que incluyan un plan de acción y sus fechas de implementación. 13. Para proporcionar responsabilidad y transparencia, el DEA comunica los resultados de las evaluaciones externas de calidad, así como los detalles del plan de acción para solucionar los problemas significativos y la información posterior respecto del cumplimiento de aquellos planes de acción, a los diversos interesados en la actividad de auditoría interna, tales como la alta dirección, el consejo de administración y los auditores externos.