Boletín de la Comisión de Normas y Asuntos Profesionales del Instituto de Auditores Internos de Argentina - Nº 7 - Julio de 2003 CONTENIDO El Auditor Interno y los Procesos de Calidad Normas: El Desempeño del Trabajo de Auditoría Interna Nuevo Marco de Gestión de Riesgo Empresario Contáctenos La Comisión de Normas y Asuntos Profesionales del Instituto de Auditores Internos de Argentina tiene como Misión promover el conocimiento y uso de las Normas para el Ejercicio Profesional de la Auditoría Interna por parte de los socios del Instituto y de las auditorías internas, proporcionar consejos oportunos a los socios sobre conceptos, metodologías y técnicas incluidas en el marco para la práctica profesional, y hacer comentarios o elaborar opiniones sobre otros asuntos que directa o indirectamente influyan sobre la profesión de auditoría interna. Los miembros de la Comisión son: Enrique Gonzalvo, CIA, CISA; Gustavo Rios (Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones); Guillermo Bilick, CIA (Organismo Nacional de Administración de Bienes); Adriana Fernández Menta, CIA. Puede contactarse con nosotros o hacernos llegar sus comentarios a la dirección de correo electrónico: direccion@iaia.org.ar. Aseguramiento de calidad El Auditor Interno y los Procesos de Calidad Por Daniel Lescano, CIA En el presente artículo se parte de la consideración tradicional de la Calidad, su evolución, la presencia de las Normas ISO y los requerimientos de auditorias internas de calidad, y se plantea un rol para el auditor interno participando como auditor del sistema de calidad y "gestando" el aseguramiento de calidad de su propia actividad. El Concepto de Calidad en la Gestión de Negocios El fenómeno de la globalización contribuyó a la gestación de un escenario de creciente competencia entre los oferentes de bienes y servicios, y también de mayores exigencias por parte de los consumidores. Las organizaciones también se han centrando en las necesidades del cliente. Ello implicó el desarrollo y entrega de productos y servicios de una calidad que considerara las expectativas del consumidor. De esta forma, se rediseñaron las estructuras de los procesos tradicionales de operación y control para adecuarlos a las nuevas circunstancias. Las organizaciones han sufrido cambios, tanto en su faz económica como cultural. En forma exógena, se recibieron señales que impusieron modificaciones en procesos, y se incorporaron prácticas operativas y de gestión de cuya correcta implementación dependió en algunos casos la subsistencia misma de la empresa. Tradicionalmente el concepto de calidad consistió en la inspección física del producto terminado, que culminaba con la aceptación o el rechazo de una porción de la producción. La inspección fue el primer mecanismo de control de la calidad, sirviendo para separar las piezas buenas de las malas pero no pudiendo por sí misma mejorar la calidad de un producto manufacturado. Para que resultara eficaz el control de calidad tenía que armonizar las operaciones de todos los departamentos, incluyendo marketing, diseño, ingeniería, compras, producción, expedición y transporte. Las Normas de Calidad A partir de las transformaciones operadas en el contexto de negocios, diversos sectores industriales desarrollaron normas que establecían pautas de actuación en materia de Aseguramiento de la Calidad. Fue el caso de las industrias militar, eléctrica y automotriz. Esta diversidad de normas solucionaba algunos problemas puntuales pero, en general, acarreaba excesiva burocracia, sobre todo cuando una determinada Organización debía cumplir con varias disposiciones en forma simultánea. Por esa razón, en los últimos años fueron apareciendo claras tendencias de unificación, basadas en la imperiosa necesidad de simplificar y abaratar procesos evitando duplicidades. Es así como los distintos sectores empresariales (en principio los industriales y más tarde los de servicios) comenzaron a prestar atención a una familia de normas sobre Aseguramiento de la Calidad emitidas por el Organismo Internacional de Estandarización, conocido comúnmente como ISO, International Standard Organization (de allí las siglas), que describen un conjunto básico de elementos a partir del cual puede desarrollarse un Sistema de la Calidad como herramienta para la gestión, no sólo de la calidad del producto sino también de todas las transacciones vinculadas. Página 1
Fundamentalmente, ISO 9000 requiere lo siguiente de las organizaciones: Documentar sus actividades y operaciones de acuerdo a los estándares ISO 9000. Trabajar en concordancia con esos documentos. Conservar registros que demuestren la implementación de un sistema de calidad. Auditorias Internas de Calidad Las Normas ISO 9000 hacen especial hincapié en la planificación y organización para asegurar la calidad en todas las áreas de actividad de la Organización, con objetivos específicos que se definen en los distintos documentos de trabajo desarrollados (procedimientos e instructivos) cuya evolución debe ser controlada. Se impone en consecuencia, la necesidad de MEDIR Y EVALUAR DE MANERA OBJE- TIVA el grado de adecuación del Sistema de Calidad en relación con dichas Normas. De esta manera, se pueden conocer las desviaciones existentes permitiendo definir y aplicar las acciones necesarias. Ante esta realidad, se necesitan planificar y desarrollar procesos de Auditoría Interna con el objeto de: Determinar el grado de cumplimiento del Sistema de Calidad de acuerdo con lo establecido en la documentación de referencia Identificar los incumplimientos de normas existentes en el Sistema Dar al Auditado la oportunidad de mejorar su Sistema de Calidad. Cumplir los requisitos exigidos por la Norma ISO 9000 de referencia. Informar a la Dirección de la Empresa acerca del estado en que se encuentra el Sistema de Calidad, con el objeto de que se pueda evaluar la eficacia de dicho sistema para alcanzar los objetivos especificados. El Rol el Auditor Interno A lo largo de este trabajo se formularon apreciaciones sobre los cambios vertiginosos que operan en el contexto de negocios frente al concepto de Calidad. Este desafiante contexto lo es también para el auditor interno, quien puede y debería asumir un rol destacado. Más aún, la participación de la auditoría interna en la calidad es factible plantearla en dos dimensiones: a) participando en los procesos de calidad de la organización b) desarrollando un proceso de calidad dentro de la auditoría interna En la primera de las alternativas, el auditor interno puede brindar su asesoramiento y experiencia, conformando un servicio de alto valor agregado a partir de: Su ubicación jerárquica dentro de la organización Su visión global. Su comprensión sobre las variables potenciales de distorsión y conflicto. Su actitud juiciosa y metodológica. Su habilidad de integración a grupos o equipos de trabajo de conformación habitual en este tipo de proyectos. Y en ese rol, la posibilidad de brindar una evaluación independiente respecto de si el Sistema de Calidad implementado por la organización, se encuentra adecuadamente descrito, documentado e implementado. Página 2
Si consideramos la segunda alternativa, nos encontramos frente a un nuevo desafío: Desarrollar un proceso de aseguramiento de calidad dentro de la actividad de Auditoría Interna. La nueva definición de Auditoría Interna habla sobre los riesgos, los controles y el gobierno. De todos los cambios en las Normas, probablemente la sección sobre aseguramiento de calidad muestre con mayor claridad el nuevo enfoque de las Normas, existen siete Normas específicas sobre aseguramiento de calidad y programas de mejoramiento: 1300 Programa de Aseguramiento de Calidad y Mejoramiento 1310 Evaluaciones del Programa de Calidad 1311 Evaluaciones Internas 1312 Evaluaciones Externas 1320 Reporte sobre el Programa de Calidad 1330 Utilización de Realizado de Acuerdo con las Normas 1340 Declaración de Incumplimiento Las nuevas Normas requieren del establecimiento de un programa de aseguramiento de calidad y de mejoramiento para la actividad de AI. Los objetivos de este programa son asegurar que la actividad AI agrega valor y mejora las operaciones de su organización y para asegurar el cumplimiento con las Normas y el Código de Ética del IIA. El propósito del programa de Aseguramiento de Calidad Quality Assurance (QA) abarca el rol y las relaciones de la actividad de AI en el proceso de gobierno de la entidad y en aquellos adoptados para administrar los recursos de la auditoría interna. El alcance incluye: 1. Las expectativas de la actividad expresados por la organización en sus distintos niveles. 2. El contexto de control de la entidad y el ambiente para el desarrollo de la auditoría interna. 3. El enfoque en la evaluación del riesgo de la empresa, la evaluación de controles organizacionales, y la inclusión de aspectos del proceso de gobierno en los planes de auditoría para asegurar que las actividades de auditoría agregan valor a la empresa. 4. La integración de la auditoría interna en el proceso de gobierno de la organización, incluyendo las comunicaciones entre y con los grupos clave involucrados en ese proceso y la alineación de planes y objetivos de auditoría con los objetivos estratégicos de la entidad como un todo. 5. Las Normas, incluyendo las cinco categorías principales del IIA de objetivos del control interno. 6. La combinación de conocimiento, experiencia y disciplinas dentro del personal, incluyendo el enfoque del personal sobre el mejoramiento del proceso y actividades de valor agregado. 7. Las herramientas y técnicas empleadas por la unidad de auditoría, con énfasis en el uso de tecnología. Consideraciones Finales La calidad como estrategia de negocios superó los límites del producto o servicio como tradicionalmente lo conocíamos. Se incorporó como concepto dentro de la organización en su conjunto y ha sido un factor de cambios en las industrias, los ambientes operativos, las culturas y las estrategias comerciales. Página 3
La nueva auditoría interna requiere de un gran entendimiento de esa transformación, asumiendo un rol de apoyo estratégico y guía para la gerencia. En el plano de la Auditoría Interna como actividad, deben demostrarse conocimientos sobre la manera de identificar las mejoras prácticas no sólo para contribuir a realzar las habilidades de los auditores, sino también para orientar a mejorar sus propios procesos y la relevancia de su función. Es imprescindible reconocer la necesidad de cambio. El entorno lo requiere y el auditor interno debe preparase para esa transformación. El concepto de Mejora Continua en la organización no sólo tiene que encontrar al auditor como un participante activo, sino también comprometido y dispuesto a cambiar en lo interno, mejorando sus propios procesos y desarrollando un programa de aseguramiento de calidad que le permita identificar sus fortalezas y aspectos a mejorar, como punto de partida para jerarquizar y agregar valor a su función. [volver] Normas El Desempeño del Trabajo de Auditoría Interna Por Gustavo Rios Las Normas para el Ejercicio Profesional de la Auditoría Interna indican que los auditores internos para cumplir con los objetivos del trabajo deben identificar, analizar, evaluar y registrar suficientemente la información. Dicha información deberá tener la cualidad de ser la necesaria, suficiente, confiable y útil. Los consejos para la práctica (que son de cumplimiento opcional) expresan, entre otros conceptos, que debe obtenerse información sobre todos los aspectos relacionados con los objetivos y el alcance del trabajo. Asimismo, definen que cuando se habla de información suficiente se quiere indicar que es la información real, adecuada y convincente, de manera que, con esa misma información, una persona prudente e informada pueda llegar a las mismas conclusiones que el auditor. En cuanto al concepto de información competente, se la define como aquella que sea confiable y que sea también la mejor que pueda conseguirse con el uso apropiado de las técnicas de trabajo. Con relación a la información relevante, se establece como aquella que sirve como soporte a las observaciones y las recomendaciones, y que sea coherente con el objetivo del trabajo. Por último, los consejos para la práctica indican, que la información útil es aquella que ayuda a la organización a cumplir sus metas. Las normas expresan también que los auditores internos deben basar sus conclusiones y los resultados del trabajo, en adecuados análisis y evaluaciones. Los consejos para la práctica agregan, entre otros conceptos, que los procedimientos de auditoría analíticos deben proporcionar a los auditores internos medios eficientes y eficaces para evaluar y valorar la información obtenida durante un trabajo, y asimismo que la evaluación tiene lugar cuando se compara dicha información con las expectativas identificadas o desarrolladas por el auditor interno. En cuanto al registro de la información, las normas indican que se debe registrar toda aquella que sea relevante, y que permita sustentar las conclusiones y los resultados del trabajo. Los consejos para la práctica expresan que los papeles de trabajo que registran dicha información, deben servir de base para las observaciones y recomendaciones que se efectúen. Con referencia al acceso a los registros de trabajo, el mismo debe ser controlado por el director ejecutivo de auditoría. Las normas indican que éste debe obtener la aprobación de la dirección superior o de consejeros legales antes de dar a conocer tales registros a Página 4
terceros, según corresponda. Los consejos para la práctica recuerdan que los papeles de trabajo son propiedad de la organización y que la dirección y otros miembros de la organización pueden solicitar los mismos, debiendo el director ejecutivo de auditoría aprobar estas peticiones. Para la custodia de los registros de trabajo, las normas establecen que el director ejecutivo de auditoría debe establecer sus requisitos. Además, indican que deben ser consistentes con las guías de la organización y cualquier regulación pertinente u otros requerimientos. Los consejos para la práctica mencionan que dichos requerimientos de retención deben ser diseñados de manera que incluyan todos los registros. En cuanto a las políticas sobre la custodia y retención de los registros del trabajo, y sobre la posibilidad de darlos a conocer a terceras partes, internas o externas, las normas manifiestan que deben ser establecidas por el director ejecutivo de la auditoría y que estas políticas deben ser consistentes con las guías de la organización y cualquier regulación pertinente. Finalmente, y en cuanto a la supervisión del trabajo, las normas indican que, para asegurar el logro de los objetivos, la calidad de la tarea y el desarrollo profesional del personal, los trabajos deben ser adecuadamente supervisados. Acerca de las normas sobre desempeño del trabajo, se encuentran publicados los siguientes Consejos para la Práctica: Consejo para la Práctica 2310-1: Identificación de la Información Consejo para la Práctica 2320-1: Análisis y Evaluación Consejo para la Práctica 2330-1: Registro de la Información Consejo para la Práctica 2330.A1-1: Control de los Registros del Trabajo Practice Advisory 2330.A1-2: Legal Considerations in Granting Access to Engagement Records Consejo para la Práctica 2330.A2-1: Retención de los Registros Consejo para la Práctica 2340-1: Supervisión del Trabajo Estos Consejos contienen sugerencias que conviene tener en cuenta al planificar el trabajo de auditoría, y pueden ser consultados en la siguiente dirección de Internet: http://www.theiia.org/ecm/guidance.cfm?doc_id=2485. NORMAS SOBRE DESEMPEÑO DEL TRABAJO 2300 Desempeño del Trabajo Los auditores internos deben identificar, analizar, evaluar y registrar suficiente información de manera tal que les permita cumplir con los objetivos del trabajo. 2310 Identificación de la Información Los auditores internos deben identificar información suficiente, confiable, relevante y útil de manera tal que les permita alcanzar los objetivos del trabajo. 2320 Análisis y Evaluación Los auditores internos deben basar sus conclusiones y los resultados del trabajo en adecuados análisis y evaluaciones. 2330 Registro de la Información Los auditores internos deben registrar información relevante que les permita soportar las conclusiones y los resultados del trabajo. 2330.A1 - El director ejecutivo de auditoría debe controlar el acceso a los registros del trabajo. El director ejecutivo de auditoría debe obtener aprobación de la dirección superior o de consejeros legales antes de dar a conocer tales Página 5
registros a terceros, según corresponda. 2330.A2 - El director ejecutivo de auditoría debe establecer requisitos de custodia para los registros del trabajo. Estos requisitos de retención deben ser consistentes con las guías de la organización y cualquier regulación pertinente u otros requerimientos. 2330.C1 El director ejecutivo de auditoría debe establecer políticas sobre la custodia y retención de los registros del trabajo, y sobre la posibilidad de darlos a conocer a terceras partes, internas o externas. Estas políticas deben ser consistentes con las guías de la organización y cualquier regulación pertinente u otros requerimientos sobre este tema. 2340 Supervisión del Trabajo Los trabajos deben ser adecuadamente supervisados para asegurar el logro de sus objetivos, la calidad del trabajo, y el desarrollo profesional del personal. Original Text in English - Copyright 2001 by The Institute of Internal Auditors [volver] Novedades Nuevo Marco de Gestión de Riesgo Empresario El Committee of Sponsoring Organizations of the Treadway Commission (COSO) ha elaborado un documento diseñado para aumentar la conciencia de riesgo y control en las empresas, con la intención de que se constituya en un modelo comúnmente aceptado para el análisis y evaluación de los procesos de gestión de riesgo. El borrador del documento, titulado Enterprise Risk Management Framework, está disponible para su revisión por quienes deseen hacerlo, y se recibirán comentarios sobre el mismo hasta el próximo 14 de octubre. La publicación del documento definitivo está prevista para principios de 2004. El trabajo consta de 152 páginas en las que se detallan los componentes esenciales de la gestión de riesgo empresario y el contexto en que son implementados. Asimismo se resumen conceptos claves que relacionan la eficaz aplicación de los principios y componentes. Además, se identifican las relaciones entre riesgo y gestión de riesgo empresario, y a su vez con el informe COSO (Internal Control - Integrated Framework) publicado en 1992. Quienes deseen consultar el borrador del nuevo documento o aportar sugerencias pueden hacerlo a través de Internet, en la dirección www.erm.coso.org. [volver] Federación Latinoamericana de Auditores Internos Instituto de Auditores Internos de Argentina The Institute of Internal Auditors Normaria es un boletín electrónico editado en Buenos Aires por el Instituto de Auditores Internos de Argentina, de distribución gratuita para los socios del Instituto. Se prohíbe la reproducción total o parcial de los contenidos de Normaria sin la autorización previa del Instituto de Auditores Internos de Argentina. Las opiniones expresadas en Normaria representan los puntos de vista de los autores, y pueden diferir de las políticas y declaraciones oficiales del Instituto de Auditores Internos de Argentina, de sus Comités o de sus autoridades, o de las opiniones autorizadas por los empleadores de los autores. El editor no garantiza que los textos presentados por los autores para su publicación sean originales o inéditos. Página 6
Página 7