El estatuto de auditoría interna es un documento formal que define el propósito, la autoridad, la responsabilidad y la posición de la auditoría interna dentro de una organización. Esencialmente, es la carta magna que rige la función de auditoría interna.
Propósito, autoridad y responsabilidad
El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben estar formalmente definidos en un estatuto, de conformidad con la definición de auditoría interna, el Código de Ética y las Normas. El director ejecutivo de auditoría debe revisar periódicamente el Estatuto de auditoría interna y presentarlo a la alta dirección y al Consejo para su aprobación.
Interpretación del estatuto
El estatuto de auditoría interna establece la posición de la actividad de auditoría interna dentro de la organización, incluyendo la naturaleza de la relación funcional del Director ejecutivo de auditoría con el Consejo. Autoriza su acceso a los registros, al personal y a los bienes relevantes para el desempeño de los trabajos; y define el alcance de las actividades de auditoría interna. La aprobación final del Estatuto de auditoría interna corresponde al Consejo.
La naturaleza de los servicios de aseguramiento proporcionados a la Organización debe estar definida en el estatuto de auditoría interna. Si los servicios de Aseguramiento fueran proporcionados a terceros ajenos a la organización, la naturaleza de los servicios de consultoría debe estar definida en el estatuto de auditoría interna.
Riesgos y mitigación
La falta de un estatuto de auditoría interna puede acarrear serios problemas para una organización. Entre ellos:
Lea también: Más sobre el Estatuto Tributario Nacional
- La función de auditoría interna puede no ser capaz de llevar a cabo con eficacia sus funciones.
- Es posible que la organización no pueda obtener la seguridad de que sus sistemas y procesos son efectivos.
- La organización puede estar expuesta a un mayor riesgo.
Para mitigar este riesgo, la organización debe desarrollar e implementar un estatuto de auditoría interna. El estatuto debe ser un documento formal que defina lo siguiente:
- El objeto de la función de auditoría interna.
- El alcance de la función de auditoría interna.
- La autoridad de la función de auditoría interna.
- La responsabilidad de la función de auditoría interna.
El estatuto debe ser firmado por el auditor líder del proceso de auditoría y la alta dirección. Debe ser revisado, actualizado y comunicado periódicamente.
Independencia y objetividad
La actividad de auditoría interna debe ser independiente, y los auditores internos deben ser objetivos en el cumplimiento de su trabajo. La independencia es la libertad de condicionamientos que amenazan la capacidad de la actividad de auditoría interna o del director ejecutivo de auditoría de llevar a cabo las responsabilidades de la actividad de auditoría interna de forma neutral. Con el fin de lograr el grado de independencia necesario para cumplir eficazmente las responsabilidades de la actividad de auditoría interna, el Director ejecutivo de auditoría debe tener acceso directo e irrestricto a la alta dirección y al Consejo. Esto puede lograrse mediante una relación de doble dependencia. Las amenazas a la independencia deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.
La objetividad es una actitud mental neutral, que permite a los auditores internos desempeñar su trabajo con honesta confianza en el producto de su labor y sin comprometer su calidad. La objetividad requiere que los auditores internos no subordinen su juicio sobre asuntos de auditoría a otras personas. Las amenazas a la objetividad deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.
Independencia dentro de la organización
El director ejecutivo de auditoría debe responder ante un nivel jerárquico tal dentro de la Organización, que permita a la actividad de auditoría interna cumplir con sus responsabilidades. El director ejecutivo de auditoría debe ratificar ante el Consejo, al menos anualmente, la Independencia, que tiene la actividad de auditoría interna dentro de la organización.
Lea también: Estatuto Tributario: Parágrafo 3 del Artículo 437
La Independencia dentro de la organización se alcanza de forma efectiva cuando el Director ejecutivo de auditoría depende funcionalmente del Consejo. Algunos ejemplos de dependencia funcional del Consejo implican que éste:
- Apruebe el estatuto de auditoría interna;
- Apruebe el plan de auditoría basado en riesgos;
- Reciba comunicaciones periódicas del Director ejecutivo de auditoría sobre desarrollo del plan de auditoría interna y otros asuntos;
- Apruebe las decisiones referentes al nombramiento y cese del Director ejecutivo de auditoría; y
- Formule las preguntas adecuadas a la dirección y al Director ejecutivo de auditoría para determinar si existen alcances inadecuados o limitaciones de recursos.
La actividad de auditoría interna debe estar libre de injerencias al determinar el alcance de la auditoría interna, al desempeñar su trabajo y al comunicar sus resultados.
Otros riesgos y mitigaciones en la auditoría interna
Además de la falta de un estatuto de auditoría interna, existen otros riesgos que pueden afectar la eficacia de la función de auditoría interna. La siguiente tabla resume algunos de estos riesgos, sus posibles causas y las medidas de mitigación correspondientes:
| Riesgo | Descripción y posible causa | Mitigación |
|---|---|---|
| Falta de independencia y objetividad | Los auditores internos pueden estar sujetos a la presión de la dirección u otras partes interesadas para influir en el resultado de las auditorías. | Garantizar la independencia y objetividad de los auditores internos al establecer políticas y procedimientos que eviten cualquier conflicto de interés. |
| Planificación y recursos inadecuados | Es posible que las auditorías internas no se planifiquen o cuenten con los recursos adecuados, lo que puede generar ineficiencias y oportunidades perdidas. | La organización debe desarrollar un plan claro para cada auditoría, incluidos el propósito, el alcance, los objetivos y los recursos necesarios. |
| Falta de competencia y experiencia | Es posible que los auditores internos no tengan la competencia y la experiencia necesarias para realizar auditorías eficaces. | La organización debe desarrollar una comprensión clara de las habilidades y la experiencia requeridas para los auditores internos. |
| Comunicación e informes inadecuados | Es posible que los hallazgos y recomendaciones de la auditoría interna no se comuniquen de manera efectiva a la gerencia y otras partes interesadas. | Desarrolle un plan de comunicación que identifique a las partes interesadas clave, sus necesidades y los mejores canales de comunicación para cada uno. |
| Garantía inadecuada de logro de los objetivos | Es posible que las auditorías internas no brinden una garantía adecuada a la dirección y otras partes interesadas de que se están cumpliendo los objetivos de la organización. | Asegúrese de que el equipo de auditoría sea competente y tenga experiencia en la realización de auditorías ISO 19011:2018. |
| Seguimiento inadecuado | Es posible que la dirección no haga un seguimiento adecuado de los hallazgos y recomendaciones de la auditoría interna. | Asegúrese de que exista un proceso claro para implementar los hallazgos y recomendaciones de la auditoría. |
| Falta de compromiso de la alta dirección | Es posible que la alta dirección no esté comprometida con la función de auditoría interna, lo que puede dar lugar a una falta de recursos y apoyo. | Educar a la alta dirección sobre la importancia de la auditoría interna. |
| Falta de un manual de auditoría interna | Es posible que la organización no tenga un manual de auditoría interna que brinde orientación sobre la realización de auditorías internas. | Brindar capacitación a los auditores internos sobre la norma ISO 19011:2018. |
| Documentación inadecuada | El trabajo de auditoría interna puede no estar adecuadamente documentado, lo que puede dificultar el seguimiento del progreso y la identificación de problemas. | Desarrollar e implementar un plan de documentación integral que describa el propósito, el alcance y el formato de toda la documentación de auditoría. |
| Garantía de calidad inadecuada | La organización puede no tener un programa efectivo de garantía de calidad para las auditorías internas. | Realizar revisiones periódicas de las auditorías internas para evaluar su cumplimiento con los requisitos de la norma ISO 19011:2018 y con los procedimientos internos establecidos. |
| Falta de mejora continua | La organización puede no tener un proceso para mejorar continuamente la función de auditoría interna. | Identificar áreas de mejora. |
| Uso inadecuado de la tecnología | Es posible que la organización no esté utilizando la tecnología de manera efectiva para respaldar el proceso de auditoría interna. | La organización debe identificar la tecnología que se necesita para respaldar la función de auditoría interna. |
| Evaluación de riesgo inadecuada | Es posible que los auditores internos no evalúen adecuadamente los riesgos para los objetivos de la organización. | Hay que asegurar que los auditores internos tengan el conocimiento y la experiencia necesarios en la evaluación de riesgos. |
| Inadecuada selección de áreas de auditoría | Los auditores internos no pueden seleccionar áreas de auditoría que estén alineadas con el perfil de riesgo de la organización. | Realizar una evaluación exhaustiva del perfil de riesgo de la organización: Es importante comprender los riesgos significativos a los que se enfrenta la organización y cómo pueden afectar su desempeño. |
| Inadecuada planificación de las auditorías | Es posible que los planes de auditoría interna no se adapten adecuadamente a las necesidades específicas del área de auditoría. | Asignar tiempo y recursos suficientes para planificar las auditorías. |
Lea también: Estatuto Tributario: Artículo 369