Story Transcript
Resumen adaptado al idioma español
Comité de Supervisión Bancaria de Basilea
La función de Auditoría Interna en los bancos Junio 2012
Esta publicación está disponible en la página web del BPI (www.bis.org).
© Banco de Pagos Internacionales 2012. Todos los derechos reservados. Pueden reproducirse o traducirse extractos breves siempre y cuando se cite la fuente.
ISBN 92-9131- 140-5 (versión impresa) ISBN 92-9197- 140-5 (versión en línea)
Índice Introducción……………………………………………………………………………………… 1 Descripción general de los principios………………………………………………………… 2 A.
Expectativas de supervisión inherentes a la función de auditoría interna……… 4 1. La función de auditoría interna………………………………………………. 4 2. Principales características de la función de auditoría interna……………. 4 3. Estatuto de auditoría interna………………………………………………….. 7 4. Ámbito de actividad…………………………………………………………….. 7 5. Consideraciones sobre gobierno corporativo……………………………… 10 6. La auditoría interna dentro de la estructura de un grupo o una sociedad holding…………………………………………………………………………….13 7. Outsourcing de las actividades de auditoría interna……………………… 14
B.
La relación de la autoridad supervisora con la función de auditoría interna…… 15 1. Beneficios de una mejor comunicación entre la autoridad supervisora y la función de auditoría interna………………………………………………..15 2. Posibles temas para el debate entre los supervisores y los auditores internos……………………………………………………………………………16
C.
Evaluación supervisora de la función de auditoría interna………………………….17 1. Evaluación de la función de auditoría interna………………………………..17 2. Acciones a tomar por la autoridad supervisora………………………………18
Anexo 1: Canales de comunicación de la función de auditoría interna…………………….20 Anexo 2: Responsabilidades del comité de auditoría de un banco…………………………22
La función de auditoría interna en los bancos
i
Miembros del Subgrupo de Auditoría del Grupo de Trabajo sobre Contabilidad del Comité de Supervisión Bancaria de Basilea Presidente Marc Pickeur Banco Nacional de Bélgica Representantes en cursiva colaboraron en la redacción
Oficina de Superintendencia de Instituciones Bancarias de Canadá, Toronto
Laural Ross Ruby Garg
Banco de Francia Autoridad de Supervisión Prudencial, Francia Deutsche Bundesbank, Alemania Bundesanstalt für Finanzdienstleistungsaufsicht, Alemania Banco de Italia Banco de Japón
Nathalie Boutin Sylvie Marchal Dragomira Berberova Stefanie Jessen Lidja Schiavo Hiroyuki Yoshida Keiko Sumida Tadashi Tsumori Martine Wagner Nic van der Ende Barbara Olivares Patricia Sucher Robert Konowalchuk Veenu Mittal Mr Terrill Garrison
Agencia de Servicios Financieros, Japón Comisión de Vigilancia del Sector Financiero, Luxemburgo Banco de Los Países Bajos Banco de España Autoridad de Servicios Financieros, Reino Unido
Junta de Gobernadores del Sistema de la Reserva Federal, Estados Unidos Office of the Comptroller of the Currency, Estados Unidos Federal Deposit Insurance Corporation, Estados Unidos Secretaría Secretaría del Comité de Supervisión Bancaria de Basilea
La función de auditoría interna en los bancos
Mr Robert Riordan Mr Harrison Greene
Mr Xavier-Yves Zanota
ii
Introducción 1. El Comité de Supervisión Bancaria de Basilea (El Comité) emite esta guía revisada de supervisión a fin de evaluar la eficacia de la función de auditoría en los bancos, la cual forma parte de los esfuerzos continuos del Comité en abordar los temas de supervisión bancaria y mejorar la supervisión a través de directrices que fomenten las buenas prácticas dentro de los bancos. Este documento reemplaza el documento del año 2001 “Auditoría Interna en los bancos y las relaciones del supervisor con los auditores”, toma en cuenta los avances en las prácticas de supervisión y en las organizaciones bancarias e incorpora las lecciones aprendidas con la reciente crisis financiera. 1
2. Los Principios para mejorar el Gobierno Corporativo del Comité establecen que los bancos deben tener funciones de auditoría interna con suficiente autoridad, estatura, independencia, recursos y acceso a la junta directiva. Los auditores internos independientes, competentes y calificados son vitales para el buen gobierno corporativo. 3. Un sistema de control interno robusto, que incluya una función de auditoría independiente y efectiva, es parte del buen gobierno corporativo. Los supervisores bancarios deben sentirse satisfechos de la eficiencia de la función de auditoría de un banco, de que se siguen las políticas y las prácticas y de que la gerencia toma los correctivos apropiados y puntuales en respuesta a las debilidades de control interno identificadas por los auditores internos. La función de auditoría interna proporciona seguridad vital a la junta directiva y alta gerencia (y a los supervisores bancarios) en cuanto a la calidad del sistema de control interno del banco. Al hacer esto, la función ayuda a mitigar el riesgo de pérdidas y daño a la reputación al banco. 4. El documento aborda las expectativas de supervisión de la función de auditoría interna en las instituciones bancarias, la relación de la autoridad supervisora con la función de auditoría interna y la evaluación supervisora de dicha función. El documento busca promover una función de auditoría interna robusta dentro de las organizaciones bancarias y proveer orientaciones para la evaluación supervisora de dicha función. 5. Este documento también alienta a los auditores internos de los bancos a cumplir y contribuir con el desarrollo de las normas profesionales a nivel nacional e internacional, como por ejemplo aquellas emitidas por el Instituto de Auditores Internos, y promueve la debida consideración de temas prudenciales en el desarrollo de las normas y prácticas de auditoría interna. 6. Este documento hace referencia a una estructura de gestión compuesta por la junta directiva2 y la alta gerencia. El Comité reconoce que existen diferencias significativas en el marco legislativo y regulador entre los países. Estos marcos reguladores moldean el papel y la función de la estructura de gerencia y gobierno. En algunos países, la junta directiva tiene la función principal, si no exclusiva, de supervisar al órgano gerencial, a menudo referido como alta gerencia, asegurándose que cumpla con sus responsabilidades. Por esta razón, a menudo es conocida como una junta supervisora sin funciones ejecutivas. En contraste, en otros países, la junta posee un mandato más amplio en el que se establece el marco general para la gerencia del banco. Debido a estas diferencias, los conceptos de junta directiva y alta gerencia no son utilizados en este documento con la finalidad de identificar contenidos legales sino más bien a fin de etiquetar dos funciones que toman decisiones dentro de un banco. 1 2
BCBS website: http://www.bis.org/publ/bcbs176.pdf En este documento, los términos “junta directiva” y “junta” son utilizados indistintamente ya que tienen el mismo significado
La función de auditoría interna en los bancos
1
7. Los principios establecidos en este documento deben ser aplicados de acuerdo con la legislación nacional y las estructuras de gobierno corporativo aplicables a cada país. 8. En el caso de los grandes bancos y bancos con actividad internacional, un comité de auditoría (o su equivalente) es generalmente el responsable de supervisar a los auditores internos. Dicho comité es nombrado por la junta directiva del banco. El anexo 2 de este documento ofrece más detalles acerca de las responsabilidades de los comités de auditoría. En el documento, las referencias a la junta directiva presuponen una participación adecuada de su comité de auditoría, cuando éste exista. Alineado con los Principios Generales del Comité para el mejoramiento del Gobierno Corporativo, este documento asume que los bancos grandes y con actividad internacional tienen un comité de auditoría o su equivalente. Se alienta vigorosamente a otros bancos a crear dicho comité. 9. Las pautas o directrices en este documento aplican a todos los bancos, incluyendo aquellos que forman parte de un grupo bancario, a sociedades holding cuyas subsidiarias son predominantemente bancos y a aquellas holding sujetas a supervisión prudencial cuyas subsidiarias son también predominantemente bancos. En este documento, todas estas estructuras son referidas como bancos o como organizaciones bancarias. El alcance de aplicación de estas directrices debe ser proporcional a la importancia, complejidad y presencia internacional del banco (principio de proporcionalidad).
Descripción General de los Principios Principios relativos a las expectativas de supervisión inherentes a la función de auditoría interna. Principio 1: Una función de auditoria interna eficiente proporciona a la junta directiva y alta gerencia de un banco seguridad independiente en la calidad y eficiencia de los procesos y sistemas de control interno, gestión del riesgo y gobierno corporativo, ayudando de esta forma a la junta directiva y la alta gerencia a proteger la organización y su reputación. Principio 2: La función de auditoria interna del banco debe ser independiente de las actividades auditadas, lo cual requiere que esta función cuente con el prestigio y la autoridad suficientes dentro del banco, permitiendo así que los auditores lleven a cabo sus tareas objetivamente. Principio 3: La competencia profesional, incluyendo el conocimiento y la experiencia de cada auditor interno y de todos de manera colectiva, es esencial para la eficacia de la función de auditoría interna del banco. Principio 4: Los auditores internos deben actuar con integridad. Principio 5: Cada banco debe contar con un estatuto de auditoría interna que articule el propósito, la posición y autoridad de la función de auditoría interna dentro del banco, a fin de promover una función de auditoría interna eficaz, tal como se describe en el Principio 1. Principio 6: Cada actividad (incluyendo las actividades realizadas por un agente externo) y entidad del banco deben incluirse dentro del alcance global de la función de auditoría interna. Principio 7: El alcance de las actividades de la función de auditoría interna debe garantizar una cobertura adecuada de todas las cuestiones de interés en materia de regulación dentro del plan de auditoría.
La función de auditoría interna en los bancos
2
Principio 8: Cada banco debe contar con una función de auditoría permanente, la cual deberá estructurarse de conformidad con el Principio 14 cuando el banco pertenezca a un grupo bancario o a una sociedad holding. Principio 9: La junta directiva del banco tiene la responsabilidad última de asegurar que la alta gerencia establezca y mantenga un sistema de control interno efectivo y eficaz y, en consecuencia, la junta debe apoyar la función de auditoría interna en el desempeño eficiente de sus actividades. Principio 10: El comité de auditoría, o su equivalente, debe supervisar la función de auditoría interna del banco. Principio 11: El director del departamento de auditoría interna será responsable de garantizar que su departamento cumpla con las normas de auditoría interna y su correspondiente código de ética. Principio 12: La función de auditoria interna debe ser responsable ante la junta directiva o su comité de auditoría de todos los asuntos relacionados a la ejecución de su mandato, tal como se describe en el estatuto de auditoria interna. Principio 13: La función de auditoria interna debe evaluar de manera independiente la eficiencia y la eficacia de los sistemas y procesos de control interno, gestión del riesgo y gobierno corporativo creados por las unidades de negocios y funciones de soporte, y proporcionar seguridad en estos sistemas y procesos. Principio 14: A fin de facilitar un enfoque coherente de auditoria interna a todos los bancos dentro de un grupo bancario, la junta directiva de cada banco dentro de un grupo bancario o una holding debe asegurar que: (i)
el banco tenga su propia función de auditoría interna, la cual deberá rendir cuentas ante la junta directiva del banco y mantener informado al director de auditoría interna del grupo bancario o de la holding; o
(ii)
la función de auditoria del grupo bancario o de la sociedad holding realice actividades de auditoría interna que otorguen un margen suficiente a la junta directiva de satisfacer sus responsabilidades legales y fiduciarias.
Principio 15: Independientemente de que las actividades de auditoría interna sean tercerizadas, la junta directiva sigue siendo el responsable último de la función de auditoría interna.
Principios relativos a la relación entre la autoridad supervisora y la función de auditoría interna Principio 16: Los supervisores deben tener una comunicación regular con los auditores internos del banco a fin de (i) discutir los ámbitos de riesgo identificados por ambas partes, (ii) comprender las medidas de mitigación de riesgos adoptadas por el banco, y (iii) comprender las deficiencias identificadas y monitorear las respuestas del banco ante las mismas.
Principios relativos a la evaluación supervisora de la función de auditoría interna Principio 17: Los supervisores del banco deben evaluar con regularidad si la función de auditoría interna tiene el suficiente prestigio y autoridad dentro del banco y opera de acuerdo a principios sólidos. Principio 18: Los supervisores deben notificar a la junta directiva todas las debilidades que hayan identificado en la función de auditoría interna, y requerir acciones correctivas oportunas.
La función de auditoría interna en los bancos
3
Principio 19: La autoridad supervisora debe considerar el impacto de la evaluación de la función de auditoría interna en su evaluación del perfil de riesgo del banco y en su propio trabajo de supervisión. Principio 20: La autoridad supervisora debe estar preparada para tomar acciones de supervisión formales o informales, solicitando a la junta directiva y alta gerencia remediar cualquier deficiencia identificada en la operación de la función de auditoría interna dentro de un lapso de tiempo especifico, y para suministrar al supervisor informes periódicos por escrito acerca del progreso.
A.
Expectativas de supervisión inherentes a la función de auditoría interna
Principio 1: Una función de auditoria interna eficaz proporciona a la junta directiva y alta gerencia seguridad independiente en la calidad y eficiencia de los sistemas y procesos de control interno, gestión del riesgo y gobierno corporativo del banco, ayudando de esta manera a la junta directiva y alta gerencia a proteger la organización y su reputación.
1.
La función de auditoria interna
10. La función de auditoria interna juega un papel crucial en el mantenimiento y la evaluación continuos de los sistemas y procesos de control interno, gestión del riesgo y gobierno corporativo del banco, áreas en las cuales las autoridades de supervisión tienen un gran interés. Además, tanto los auditores internos como los supervisores utilizan enfoques basados en la medición del riesgo a fin de determinar sus respectivos planes de trabajo y acciones. Mientras que los auditores internos y los supervisores tengan cada uno un mandato distinto y sean responsables de sus propios juicios y valoraciones, podrán identificar riesgos iguales o similares 11. La función de auditoria interna debe desarrollar una visión independiente e informada del riesgo que enfrenta el banco en base a su acceso a los registros y datos del banco, sus consultas y su profesionalidad. La función de auditoría interna debe ser capaz de discutir sus puntos de vista, hallazgos y conclusiones directamente con el comité de auditoría y la junta directiva, ayudando de esta manera a la junta directiva a supervisar a la alta gerencia.
2.
Principales características de la función de auditoría interna
12. Las características principales descritas a continuación son esenciales para la operación efectiva de una función de auditoría interna.
(a)
Independencia y objetividad 3
Principio 2: La función de auditoria interna debe ser independiente de las actividades auditadas, para lo cual esta función debe tener el suficiente prestigio y autoridad dentro del banco, permitiendo a los auditores internos llevar a cabo sus tareas con objetividad.
3
Los términos “independencia” y “objetividad” tienen un significado específico en el ámbito de la auditoría interna. El Glosario del Instituto de Auditores Internos se refiere a independencia como la ausencia de condiciones que ponen en peligro la actividad de auditoría interna en el cumplimiento de sus responsabilidades de una manera imparcial. Objetividad es referida en el Glosario como una actitud mental imparcial que permite a los auditores internos llevar a cabo sus compromisos de forma tal que estos crean en el producto de su trabajo y que la calidad no se vea comprometida. La Objetividad requiere que los auditores internos no subordinen su juicio a otros en los asuntos de auditoría.
La función de auditoría interna en los bancos
4
13. En base al plan de auditoría establecido por el director de auditoría interna y aprobado por la junta directiva, la función de auditoría interna debe ser capaz de desempeñar sus tareas por iniciativa propia en todas las áreas y funciones del banco. Debe ser libre de informar sus resultados y evaluaciones internamente a través de líneas claras de autoridad ante quien responder. El director de auditoria interna debe demostrar un liderazgo adecuado y tener las habilidades suficientes para cumplir con las responsabilidades de mantener la independencia y objetividad de la función. 14. La función de auditoria interna no debe participar en el diseño, la selección, la implementación o la operación de medidas específicas de control interno. Sin embargo, la independencia de la función de auditoría interna no debe impedir que la alta gerencia solicite la participación de la función auditora en asuntos relativos al riesgo y a los controles internos, a pesar de lo cual el desarrollo y la implementación de controles internos debe permanecer siendo responsabilidad de la gerencia. 15. El desempeño continuo de tareas similares o trabajos rutinarios puede afectar de manera negativa la capacidad de un auditor interno de emitir un juicio crítico, debido a una posible pérdida de objetividad. Es por lo tanto una buena práctica, siempre que sea posible y sin poner en peligro la competencia y pericia, hacer una rotación periódica del personal de auditoría interna dentro de la función auditora. Además, un banco puede rotar su personal desde otras áreas funcionales hacia el departamento de auditoría interna, o viceversa. Las rotaciones de personal dentro de la función de auditoría interna y las rotaciones de personal hacia y desde la función de auditoría interna deberán regirse y realizarse de conformidad con una política adecuada por escrito. La política debe ser diseñada para evitar conflictos de interés; deberá incluir el cumplimiento apropiado de un periodo de “enfriamiento” tras el retorno de un individuo al equipo de auditoría interna antes de que ese individuo audite actividades en el área funcional del banco a la cual o desde la cual fue transferido. 16. La independencia y objetividad de la función de la auditoría interna podrían ser socavadas si la remuneración del personal de auditoría interna está ligada al desempeño financiero de las líneas de negocios para las cuales este ejerce responsabilidades de auditoría interna. La remuneración del director de auditoría interna se debe determinar de acuerdo a las políticas y prácticas de remuneración del banco. La remuneración para retribuir el rendimiento del director o de los miembros del personal de auditoría interna debe ser estructurada de tal manera que evite la aparición de conflictos de interés y no ponga en peligro la independencia y objetividad.
(b)
Competencia y debido cuidado profesional
Principio 3: La aptitud profesional, que abarca el conocimiento y la experiencia de cada auditor interno y de la colectividad de auditores internos, es esencial para la eficacia de la función de auditoría interna del banco. 17. La aptitud profesional, o profesionalidad, depende de la capacidad de los auditores de recopilar y comprender la información, examinar y evaluar las pruebas o evidencias de auditoría y comunicarse con los afectados de la función de auditoría interna. Todo esto debe combinarse con metodologías y herramientas adecuadas y con conocimientos suficientes de las técnicas de auditoría. 18. El director de auditoría interna debe ser responsable de contratar recursos humanos que dispongan de calificaciones y habilidades suficientes para cumplir de manera eficaz con el mandato de aptitud profesional, y para auditar hasta el nivel requerido. El/Ella deberá evaluar y hacer seguimiento continuo de las habilidades necesarias para lograrlo. Entre las destrezas o habilidades de los auditores internos de alto nivel (senior) se deberá incluir la capacidad para evaluar los resultados e impactar en el más alto nivel de la organización.
La función de auditoría interna en los bancos
5
19. El director de auditoria interna debe garantizar que su personal adquiera la capacitación continua a fin de satisfacer la creciente complejidad técnica de las actividades de los bancos y la creciente diversidad de tareas que deben emprenderse como resultado de la introducción de nuevos productos y procesos dentro de los bancos y de otros desarrollos en el sector financiero. 20. Los auditores internos, de manera colectiva, deben ser capaces de examinar todas las áreas en las cuales el banco opera. Por otra parte, cuando se estén realizando trámites de outsourcing4, el director de auditoría interna será el responsable de mantener una adecuada vigilancia y garantizar que los expertos externos transfieran sus conocimientos de manera idónea al personal de auditoría interna del banco. El director de auditoría interna debe garantizar que el uso de dichos expertos no comprometa la independencia y objetividad de la función de auditoría 5 interna. 21. Los auditores internos deben poner en práctica los cuidados y las destrezas que se esperan de un profesional razonablemente prudente y competente. El debido cuidado profesional no implica infalibilidad; sin embargo, los auditores internos que no dispongan de suficiente competencia y experiencia en un área específica, deberán ser supervisados por auditores internos más experimentados.
(c)
Ética Profesional
Principio 4: Los auditores internos deben actuar con integridad 22. La integridad genera confianza, ya que requiere que un auditor interno sea honesto, veraz y directo. Estas características establecen las bases para confiar en el juicio profesional del auditor interno. 23. Los auditores internos deben respetar la confidencialidad de la información obtenida en el ejercicio de sus tareas. Estos no deben utilizar dicha información para beneficio personal o para acciones maliciosas, y deben ser diligentes en la protección de la información obtenida. 24. El director de la función de auditoría interna y todos los auditores internos deben evitar los conflictos de interés. Los auditores contratados internamente no deben participar en actividades de auditoría sobre las cuales hayan tenido responsabilidades previas, antes de que haya transcurrido un periodo de “enfriamiento” suficientemente largo. Por otra parte, los convenios de compensación o retribución no deben incluir incentivos para que los auditores internos actúen contrariamente a las atribuciones y objetivos de la función de auditoría interna. 25. Los auditores internos deben aplicar el código de ética del banco (cuando exista) o deben adherirse a un código de ética internacional establecido para auditores internos, como el del 6 Instituto de Auditores Internos. Un código de ética debe, como mínimo, establecer los principios de objetividad, competencia o aptitud, confidencialidad e integridad.
4
Outsourcing es la contratación de expertos externos a la organización del banco para que ejecuten actividades de auditoría interna que brinden soporte a la función auditora interna. 5 Si expertos internos (denominados auditores huéspedes) se utilizan dentro del banco en lugar de o adicionalmente a expertos externos, el director de auditoría interna tendrá las mismas responsabilidades de supervisión, transferencia de conocimiento, independencia y objetividad. 6 El Instituto de Auditores Internos (IIA) y el Consejo de Normas Internacionales de Ética para los Contadores (IESBA por sus siglas en inglés) han publicado cada uno un código de ética. Ambos códigos enfatizan la importancia de los principios de integridad.
La función de auditoría interna en los bancos
6
3.
Estatuto de Auditoría Interna
Principio 5: Cada banco debe contar con un estatuto de auditoría interna que articule el propósito, la posición y autoridad de la función de auditoría interna dentro del banco, a fin de promover una función de auditoría interna eficaz, tal como se describe en el Principio 1. 26. El estatuto debe ser elaborado y revisado periódicamente por el director de auditoría interna, y aprobado por la junta directiva. Debe estar disponible a todos los afectados internos de la organización y, en algunas circunstancias, como en el caso de las entidades enumeradas, a los afectados externos. 27.
Un estatuto de auditoría interna debe establecer, como mínimo:
•
La posición de la función de auditoría interna dentro del banco, su autoridad, sus responsabilidades y sus relaciones con otras funciones de control, a fin de promover la eficiencia de la función como se describe en el Principio 1 de este documento guía; El propósito y ámbito de la función de auditoria interna; Las características principales de la función de auditoría interna descritas anteriormente en la Sección A.2; La obligación de los auditores internos de comunicar los resultados de sus actividades, y una descripción de cómo y a quién deben comunicarse (línea de negocios ante la cual responda); El criterio para saber cuándo y cómo la función de auditoría interna puede subcontratar a expertos externos para la realización de algunas de sus responsabilidades; Los términos y condiciones bajo los cuales pueda solicitársele a la función de auditoría interna la prestación de servicios de consultoría o asesoramiento, o el desempeño de otras tareas especiales; La responsabilidad y rendición de cuentas del director de auditoría interna; Un requisito para cumplir con estándares sólidos de auditoría interna; Procedimientos para la coordinación de la función de auditoría interna con el auditor legal o el externo;
• • •
• •
• • •
28. El estatuto debe facultar a la función de auditoría interna, cuando sea pertinente al desempeño de sus tareas, para iniciar la comunicación con cualquier miembro del personal, examinar cualquier actividad o entidad del banco y tener acceso total e incondicional a cualquier registro, archivo, dato y propiedad física del banco. Se incluye el acceso a los sistemas de administración de la información y a los registros y las minutas de todos los órganos consultivos y de toma de decisiones.
4.
Ámbito de Actividad
Principio 6: Cada actividad, incluyendo las actividades realizadas por expertos externos, y cada entidad del banco debe insertarse en el ámbito de la función de auditoría interna. 29. El ámbito de las actividades de auditoría interna debe abarcar la inspección y evaluación de la eficacia de los sistemas y procesos de control interno, gestión del riesgo y gobierno corporativo de todo el banco, incluyendo las actividades de la organización realizadas por expertos externos así como sus filiales y sucursales. 30.
La función de auditoria interna debe evaluar de forma independiente:
•
La eficiencia y eficacia de los sistemas de control interno, gestión del riesgo y gobierno
La función de auditoría interna en los bancos
7
•
• •
corporativo del banco dentro del contexto de riesgos tanto actuales como potenciales; La confiabilidad, eficacia e integridad de los sistemas y procesos de administración de la información (incluyendo la pertinencia, exactitud, integridad, disponibilidad, confidencialidad y lo exhaustivo de los datos); La supervisión del cumplimiento de leyes y reglamentos, incluyendo cualquier requerimiento de los supervisores (ver la siguiente sub-sección para mayores detalles); y La protección de activos.
31. El director de auditoría interna es responsable de establecer un plan anual de auditoría que forme parte de un plan creado para varios años. El plan debe estar basado en una sólida evaluación del riesgo (incluyendo el aporte de la alta gerencia y junta directiva), y debe ser actualizado por lo menos una vez al año (o con mayor frecuencia a fin de permitir la evaluación continua y en tiempo real de donde se encuentren los riesgos significativos). La aprobación por parte de la junta directiva del plan de auditoría implica que habrá un presupuesto adecuado disponible para apoyar las actividades de la función de auditoría interna. El presupuesto debe ser suficientemente flexible para lograr adaptarse a las modificaciones del plan interno de auditoría en respuesta a los cambios en el perfil de riesgo del banco. Principio 7: el ámbito de las actividades de la función de auditoría interna debe garantizar la cobertura adecuada de los asuntos de interés en materia de regulación dentro del plan de auditoría. 32. El departamento de auditoría interna debe disponer de las habilidades apropiadas con respecto a los asuntos de interés en materia de regulación, y llevar a cabo revisiones regulares de dichas áreas en función de los resultados arrojados por una sólida evaluación del riesgo. Para ello es necesario que se establezcan políticas, procesos y medidas de gobierno corporativo como respuesta a los diversos principios reguladores, reglas y directrices establecidos por las autoridades competentes. En particular, la función de auditoria interna de un banco debe tener la capacidad de revisar las funciones clave de gestión del riesgo, las funciones reguladoras de suficiencia de capital y control de liquidez, las funciones de regulación y notificación a través de informes, la función de cumplimiento regulatorio y la función financiera.
(a)
Gestión del riesgo
33. Los procesos de gestión del riesgo de un banco apoyan y reflejan la adhesión a disposiciones regulatorias y prácticas bancarias sólidas y seguras. En consecuencia, la auditoría interna debe incluir dentro de su ámbito los siguientes aspectos de gestión del riesgo: • • •
• •
La organización y los mandatos de la función de gestión del riesgo, incluyendo riesgos de mercado, crédito, liquidez, tasas de interés, operacionales y legales; Evaluación de la propensión al riesgo, la escalada y la notificación de problemas y decisiones tomadas por la función de gestión del riesgo; La adecuación de sistemas y procesos de gestión del riesgo en la identificación, medición, evaluación, control, notificación de y respuesta ante todos los riesgos resultantes de la actividad del banco; La integridad de los sistemas de información de la gestión del riesgo, incluyendo la precisión, fiabilidad y lo exhaustivo de los datos utilizados; y La aprobación y el mantenimiento de modelos de riesgo que incluyan la verificación de la consistencia, puntualidad, independencia y confiabilidad de las fuentes de datos utilizadas en dichos modelos.
La función de auditoría interna en los bancos
8
Cuando la función de gestión de riesgos no haya informado a la junta directiva sobre la existencia de una divergencia significativa de puntos de vista entre ambas en cuanto al nivel de riesgo que enfrenta el banco, será necesario que el director de auditoría interna informe a la junta sobre esta divergencia.
(b)
Suficiencia de capital y liquidez
34. Los bancos están sujetos al marco regulatorio global de capital y liquidez, tal como fuera aprobado por el Comité y aplicado en la reglamentación nacional, que incluye medidas para fortalecer el capital regulatorio y la liquidez global. El ámbito de la auditoría interna debe abarcar todas las disposiciones de este marco normativo y, en particular, el sistema utilizado por el banco para identificar y medir su capital regulatorio y evaluar la suficiencia de sus recursos de capital en relación con su exposición al riesgo y a las razones (ratios) mínimas establecidos. 35. El departamento de auditoría interna debe examinar el proceso de la gestión del banco en la aplicación de pruebas de tensión de sus niveles de capital, teniendo en cuenta la frecuencia de este tipo de prácticas, su propósito (por ejemplo, monitoreo interno vs. regulador impuesto), lo razonable de los escenarios y las premisas subyacentes empleadas, y la fiabilidad de los procesos utilizados. 36. Además, en el universo de la auditoría deben entrar los sistemas y procesos del banco para la medición y el seguimiento de sus posiciones de liquidez en relación con su perfil de riesgo, el ambiente externo, y los requisitos reglamentarios mínimos.
(c) Informes regulatorios internos 37. Además de los asuntos señalados anteriormente, los auditores internos deben evaluar periódicamente la eficacia del proceso mediante el cual las funciones de riesgo y de reporte interactúan a fin de producir informes puntuales y oportunos, precisos, fiables y relevantes tanto para la gerencia interna como para el supervisor.
38. Esto presupone la elaboración de informes estandarizados que registren los cálculos del banco de sus recursos, requerimientos y ratios de capital. También puede presuponer divulgaciones públicas destinadas a facilitar la transparencia y disciplina de mercado, (como las divulgaciones de Pilar 3) y la notificación de asuntos en materia de regulación en los informes públicos del banco. (d)
Cumplimiento
7
39. El ámbito de las actividades de la función de cumplimiento debe estar sujeto a revisiones periódicas por parte de la función de auditoría interna. 40. Las leyes, los reglamentos y las normas de cumplimiento incluyen legislaciones, reglas y normas primarias emitidas por legisladores y supervisores, convenciones del mercado, códigos de práctica promovidos por asociaciones de la industria y códigos de conducta internos aplicables a los miembros del personal del banco. 41. La auditoría de la función de cumplimiento debe incluir una evaluación de la eficacia con que esta función cumple con sus responsabilidades.
7
A ser leído conjuntamente con Committee's Compliance and the compliance function in banks, Abril 2005.
La función de auditoría interna en los bancos
9
(e)
Finanzas 8
42. La función de finanzas de un banco es responsable de la integridad y exactitud de los datos e informes financieros. Los aspectos clave de las actividades de Finanzas (por ejemplo, los cálculos, las valoraciones y reservas de las ganancias y pérdidas) tienen un impacto en el nivel de recursos de capital de un banco y, por tanto, los controles asociados deben ser robustos y aplicados de manera consistente a través de riesgos y negocios similares. Como tal, es importante que estos controles sean sometidos a revisiones periódicas de auditoría interna, utilizando para ello los recursos y la pericia que permitan proporcionar una evaluación efectiva de las prácticas del banco. 43. El departamento de auditoría interna debe destinar los recursos suficientes para evaluar el entorno de control de valoración, la disponibilidad y fiabilidad de la información o evidencia utilizada en el proceso de valoración y la fiabilidad de los valores razonables estimados. Esto se logra a través de la revisión de los procesos independientes de comprobación de precios y de las pruebas de valoración de transacciones significativas. 44. La auditoría interna también debería incluir en su ámbito de aplicación (la lista no pretende ser exhaustiva): • •
•
• •
5.
La organización y los mandatos de la función de Finanzas; La idoneidad e integridad de los datos financieros subyacentes y de los sistemas y procesos financieros para identificar, capturar, medir y presentar informes de datos clave de forma integral, tales como ganancias o pérdidas, valoraciones de los instrumentos financieros y fondos de deterioro; La aprobación y el mantenimiento de modelos de precios que incluyan la verificación de la consistencia, puntualidad, independencia y fiabilidad de las fuentes de datos utilizadas en este tipo de modelos; Controles utilizados para prevenir y detectar irregularidades comerciales; Controles del balance general que incluyan conciliaciones clave realizadas y medidas adoptadas (por ejemplo, ajustes).
Consideraciones sobre gobierno corporativo
45. El anexo 1 ofrece una perspectiva general que ilustra los principios y normas relevantes a la función de auditoría interna, la estructura de gobierno corporativo y los canales de comunicación dentro de un modelo genérico de gobierno de un banco.
(a)
Permanencia de la función de auditoría interna
Principio 8: Cada banco debe contar con una función de auditoría interna permanente, la cual debe estar estructurada en consonancia con el Principio 14 cuando el banco pertenezca a un grupo bancario o a una sociedad holding. 46. En el cumplimiento de sus deberes y responsabilidades, la alta gerencia y junta directiva deben adoptar todas las medidas necesarias para garantizar que el banco cuente con una función de auditoría interna permanente, que sea acorde a su tamaño, a la naturaleza de sus operaciones y a la complejidad de su organización. 8
Las funciones del departamento de finanzas incluyen valoraciones, utilización de modelos, control del producto y control financiero.
La función de auditoría interna en los bancos
10
47. Las actividades de auditoría interna normalmente deberían llevarse a cabo por el propio personal de auditoría interna del banco. Cuando no es el caso y estas actividades son asignadas parcial o totalmente a una entidad externa (outsourcing), la junta directiva sigue siendo el responsable último de estas actividades y del mantenimiento de una función de auditoría interna en el seno del banco. La externalización de actividades de auditoría interna se abordará más adelante en el principio 15 y los párrafos relacionados.
(b)
Responsabilidades de la junta directiva y de la alta gerencia
Principio 9: La junta directiva del banco tiene la responsabilidad última de garantizar que la alta gerencia establezca y mantenga un sistema de control interno adecuado, efectivo y eficiente y, en consecuencia, la junta debe apoyar a la función de auditoría interna en el desempeño eficaz de sus tareas. 48. La junta directiva debería, al menos una vez al año, examinar la eficacia y eficiencia del sistema de control interno en función de, parcialmente, la información proporcionada por los auditores internos. Además, como parte de sus responsabilidades de vigilancia, la junta directiva debe revisar el rendimiento de la función de auditoría interna. En ocasiones, esta junta debe considerar encargar la revisión de un control de calidad externo e independiente de la función de auditoría interna. 49. La alta gerencia es responsable de desarrollar un marco de control interno que ayude a identificar, medir, supervisar y controlar todos los riesgos que enfrenta el banco. Debe mantener una estructura organizacional que asigne claramente las relaciones de responsabilidad, autoridad y presentación de la información, y a la vez garantice que las responsabilidades delegadas se lleven a cabo eficazmente. Es una práctica establecida para la alta gerencia informar a la junta directiva sobre el alcance y rendimiento del marco de control interno. 50. La alta gerencia del banco debe informar a la función de auditoría interna sobre nuevos desarrollos, iniciativas, proyectos, productos y cambios operativos, y asegurar que todos los riesgos asociados, conocidos y previstos, se identifiquen y comuniquen en una etapa temprana. 51. La alta gerencia debe ser responsable de garantizar la toma de medidas oportunas y apropiadas sobre todos los resultados y recomendaciones que arrojó la auditoría interna. 52. La alta gerencia del banco debe garantizar que el director de auditoría interna cuente con los recursos necesarios, financieros y de otro tipo, para desempeñar sus funciones de conformidad con el plan anual de auditoría interna, el alcance y el presupuesto que haya aprobado el comité de auditoría.
(c)
Responsabilidades del comité de auditoría con respecto a la función de auditoría interna
Principio 10: El comité de auditoría, o su equivalente, debe vigilar la función de auditoría interna del banco. 53. Este principio se aplica cuando la junta directiva ha conformado un comité de auditoría. En los casos donde no exista dicho comité, las responsabilidades descritas a continuación deben ser asumidas por la propia junta. Como se explica en el párrafo 50 sobre Principios Generales del Comité para un Mejor Gobierno Corporativo, los grandes bancos y los bancos con actividad internacional deben disponer de un comité de auditoría o su equivalente, y aquellos que no lo tengan son incentivados a conformarlo.
La función de auditoría interna en los bancos
11
54. Dentro de la función de vigilancia del comité de auditoría se incluye garantizar que la función de auditoría interna sea capaz de cumplir con sus responsabilidades de manera independiente, en congruencia con el principio 2. El comité también debe revisar y aprobar el plan de auditoría, su ámbito o alcance y el presupuesto de la función de auditoría interna. Debe revisar igualmente los informes clave de auditoría y garantizar que la alta gerencia esté adoptando las medidas correctivas necesarias y oportunas para hacer frente a las deficiencias de control, los problemas de cumplimiento con políticas, leyes y reglamentos y otras preocupaciones que hayan sido identificadas y notificadas por la función de auditoría interna. 55. El anexo 2 de este documento ofrece una perspectiva general de las responsabilidades de un comité de auditoría.
(d)
Gerencia del departamento de auditoría interna
Principio 11: El director del departamento de auditoría interna debe ser responsable de garantizar que el departamento cumpla con normas consistentes de auditoría interna y con su correspondiente código de ética. 56. El director o jefe del departamento de auditoría interna debe garantizar el cumplimiento de normas sólidas de auditoría interna, tales como las Normas Internacionales para el ejercicio profesional de la auditoría interna del Instituto de Auditores Internos (IIA). Además, los auditores deben adherirse a un código de ética correspondiente (véase el párrafo 25). 57. El comité de auditoría debe garantizar que el director de la función de auditoría interna sea una persona íntegra. Esto significa que él o ella deberá ser capaz de realizar su trabajo con honestidad, diligencia y responsabilidad. También implica que esta persona respeta la ley y no ha participado en ninguna actividad ilegal. A su vez, el director debe garantizar que los miembros de su personal sean personas íntegras.
(e)
Líneas de autoridad ante las cuales responde la función de auditoría interna
Principio 12: La función de auditoría interna debe rendir cuentas ante la junta o su comité de auditoría, de todos los asuntos relativos al desempeño de su mandato como lo describe el estatuto de auditoría interna. 58. La función de auditoría interna debe rendir cuentas ante la junta directiva o su comité de auditoría. Debe también informar o notificar con prontitud a la alta gerencia sobre sus hallazgos o resultados. 59. La alta gerencia del banco es responsable de implementar y mantener sistemas y procesos de control interno adecuados y efectivos. Por lo tanto, la función de auditoría interna debe informar a la alta gerencia de todos los hallazgos o resultados significativos para que se puedan tomar oportunamente las acciones correctivas; posteriormente debe dar seguimiento al resultado de estas medidas correctivas. El director de auditoría interna debe informar a la junta, o a su comité de auditoría, sobre el estatus de aquellos resultados que no hayan sido (aún) rectificados por la alta gerencia.
(f)
La relación entre las funciones de auditoría interna, cumplimiento y gestión del riesgo
Principio 13: La función de auditoría interna debe evaluar de forma independiente la eficacia y eficiencia de los sistemas y procesos de control interno, gestión de riesgos y gobierno corporativo que han sido creados por las unidades de negocio y funciones de apoyo, y
La función de auditoría interna en los bancos
12
proporcionar seguridad en estos sistemas y procesos. 60. La relación entre las unidades de negocio, funciones de apoyo y función de auditoría interna de un banco se puede explicar mediante el modelo de las tres líneas de defensa. Las unidades de negocios constituyen la primera línea de defensa. Asumen los riesgos dentro de los límites asignados de exposición al riesgo y son las responsables de identificar, evaluar y controlar los riesgos de sus actividades. La segunda línea de defensa abarca las funciones de apoyo, tales como gestión de riesgos, cumplimiento, legal, recursos humanos, finanzas, operaciones y tecnología. Cada una de estas funciones, en estrecha relación con las unidades de negocios, garantiza que los riesgos en las unidades de negocio hayan sido identificados y gestionados apropiadamente. Las funciones de apoyo o soporte de negocios trabajan en estrecha colaboración para ayudar a definir estrategias, implementar políticas y procedimientos bancarios y recopilar información con el objeto de crear una amplia visión del riesgo en el seno del banco. La tercera línea de defensa la constituye la función de auditoría interna, la cual evalúa de forma independiente la eficacia de los procesos creados en la primera y segunda líneas de defensa, y proporciona seguridad en estos procesos.
Línea de Defensa Primera línea
Ejemplos Front Office, cualquier actividad
Segunda línea
Tercera línea
Enfoque
de
cara
Basado en las transacciones – continuo
al
público Gestión del Riesgo, Cumplimiento, Legal, Recursos Humanos, Finanzas, Operaciones y Tecnología Auditoría Interna
Basado en el riesgo – continuo o periódico
Basado en el riesgo - periódico
61. La responsabilidad del control interno no se transfiere de una línea de defensa a la línea siguiente.
6.
La auditoría interna dentro de la estructura de un grupo o una sociedad holding
Principio 14: A fin de proporcionar un enfoque coherente de auditoría interna a todos los bancos dentro de una organización bancaria, la junta directiva de cada banco dentro de una estructura de grupo bancario o sociedad holding debe garantizar que: (i)
el banco tenga su propia función de auditoría interna, que deberá rendir cuentas ante la junta del banco y mantener informado al director de auditoria interna del grupo bancario o de la holding, o
(ii)
la función de auditoría interna del grupo bancario o holding ejecute actividades de auditoría interna en el seno del banco que tengan el alcance suficiente para permitirle a la junta satisfacer sus responsabilidades fiduciarias y legales.
62. La junta directiva de cada banco perteneciente a un grupo o holding sigue siendo responsable de garantizar que la alta gerencia establezca y mantenga sistemas y procesos
La función de auditoría interna en los bancos
13
adecuados, eficaces y eficientes de control interno. La junta también debe velar por que las actividades de auditoría interna se lleven a cabo de manera efectiva en el seno del banco de acuerdo a los principios de este documento. Los auditores internos que realizan el trabajo de auditoría interna en el banco deben mantener informado al comité de auditoría, o su equivalente, y al director de auditoría interna del grupo o holding. 63. La junta directiva y alta gerencia de la compañía matriz tienen la completa responsabilidad de garantizar que se establezca en toda la organización bancaria una función de auditoría interna adecuada y eficaz, y que las políticas y los mecanismos de auditoría interna sean apropiados a la estructura, actividades comerciales y riesgos de todos los componentes del grupo o holding. 64. El director de auditoría interna a nivel de la compañía matriz debe definir la estrategia de auditoría interna del grupo o holding, determinar la organización de la función de auditoría interna, tanto a nivel de bancos matrices como de filiales (en consulta con las respectivas juntas directivas de estas entidades y de conformidad con las leyes locales) y formular principios de auditoría interna que incluyan la metodología de auditoría y las medidas de garantía de calidad. 65. La función de auditoría interna del grupo o holding debe determinar el alcance de la auditoría en la organización bancaria. Al hacerlo, debe cumplir con las disposiciones legales y reglamentarias locales e incorporar el conocimiento y la experiencia local.
7.
Outsourcing de las labores de auditoría interna
Principio 15: Tanto si las labores de auditoría interna las realiza una entidad ajena al banco como si no, la junta directiva sigue siendo la responsable última de las funciones de auditoría interna. 66. Es recomendable que los grandes bancos y aquellos activos a nivel internacional realicen actividades de auditoría interna utilizando su propio personal. No obstante, la externalización (outsourcing) de las actividades, más no de la función, de auditoría interna de forma limitada y selectiva puede traer beneficios a los bancos, como por ejemplo el acceso a conocimientos y destrezas especializadas en la ejecución del trabajo de auditoría interna cuando no se disponga de estos dentro del propio departamento. La externalización también podría aliviar las limitaciones temporales de recursos que de otro modo podrían poner en peligro la ejecución del plan de auditoría. Los bancos deben ser capaces de explicar las razones de esta externalización de actividades específicas de auditoría interna. 67. El director de auditoría interna debe garantizar que los suplidores de servicios de outsourcing cumplan con los principios del estatuto de auditoría interna del banco. A fin de preservar la independencia, es importante asegurarse de que el suplidor no haya sido contratado previamente para realizar alguna consultoría en la misma área dentro del banco, a menos que haya transcurrido un período considerablemente largo de "enfriamiento". Posteriormente, los expertos que participaron en algún contrato de auditoría interna no deben proporcionar servicios de consultoría a ninguna función del banco que hayan auditado recientemente. Además, como buena práctica, los bancos no deberían externalizar las labores de auditoría interna a su propia firma de 9 auditoría externa. 68. El director de auditoría interna debe velar por que, siempre que sea conveniente, las contribuciones importantes de conocimiento por parte de un experto sean asimiladas en la organización. Esto puede ser posible al hacer participar a uno o más miembros del personal de auditoría interna del banco en el trabajo del experto externo. 9
Cualquier desviación de esta buena práctica deberá limitarse a los bancos pequeños y permanecer dentro de los límites de las normas éticas aplicables al auditor legal o externo.
La función de auditoría interna en los bancos
14
B.
La relación de la autoridad supervisora con la función de auditoría interna
69. La autoridad supervisora se beneficiará de una comunicación efectiva con la función de auditoría interna de un banco sobre temas de interés mutuo. Al entablarse una relación entre ambas, la autoridad supervisora obtendría una mejor comprensión de la organización y operación de la función auditora interna, incluyendo su posición y jurisdicción dentro del banco. 70. Los supervisores y auditores internos deben garantizar que una mejor comunicación no menoscabe su respectiva independencia y estatus tanto real como percibido(a), ya que la autoridad supervisora y la función de auditoría interna tienen cada una diferentes roles y responsabilidades. Independientemente de la evaluación de la función de auditoría interna realizada por el supervisor, este debe ser capaz de retar el trabajo de los auditores internos a través de un proceso de supervisión continua, incluso a través de la supervisión in situ. 71. La relación entre el supervisor y la función de auditoría interna debe establecerse de manera estructurada y transparente. En principio, el supervisor iniciará esta relación.
1.
Beneficios de una mejor comunicación entre la autoridad supervisora y la función de auditoría interna
Principio 16: Los supervisores deben mantener una comunicación regular con los auditores internos del banco para (i) debatir las áreas de riesgo identificadas por ambas partes, (ii) comprender las medidas de mitigación de riesgos adoptadas por el banco y (iii) monitorear la respuesta del banco ante las deficiencias detectadas. 72. La función de auditoría interna es un pilar fundamental clave del sistema de control interno, ya que proporciona una evaluación de carácter independiente de la idoneidad y el cumplimiento de las políticas y procedimientos establecidos por el banco. Por lo tanto, las autoridades supervisoras tienen interés en participar en un diálogo constructivo y formal con la función de auditoría interna. Este diálogo podría ser una valiosa fuente de información sobre la calidad del sistema de control interno. 73. El trabajo de los auditores internos es un factor tomado en cuenta en el curso de acción supervisora de un banco, en la medida en que el enfoque de supervisión, la evaluación del supervisor de la función de auditoría interna y las circunstancias relativas a los asuntos en cuestión dependan de este. 74. Adicionalmente a las reuniones con la alta gerencia, las autoridades supervisoras deben reunirse periódicamente con los auditores internos del banco para discutir sus análisis de riesgos, resultados, recomendaciones y el plan de auditoría. Los supervisores deben decidir, sobre la base de un enfoque caso por caso, si la alta gerencia debe o no estar presente en estas reuniones. Estas reuniones también pueden facilitar la comprensión de cómo y en qué medida las recomendaciones hechas por los supervisores (incluyendo las realizadas durante las revisiones in situ) y auditores internos se han implementado. Estas reuniones deben realizarse con la suficiente frecuencia para permitir que el supervisor pueda garantizar la eficacia de las acciones del banco para poner en práctica estas recomendaciones. La frecuencia de estas reuniones y de otras comunicaciones entre los supervisores y los auditores internos debe ser proporcional al tamaño del banco, la naturaleza y los riesgos de sus operaciones, y la complejidad de su organización. Los supervisores también pueden en ocasiones solicitar la elaboración de informes de auditoría interna. El análisis de estos informes de auditoría interna puede contribuir a la evaluación del supervisor del sistema de control interno del banco.
La función de auditoría interna en los bancos
15
75. La relación entre los supervisores y los auditores internos es también bi-direccional. Las autoridades supervisoras pueden considerar compartir información relevante con los auditores internos cuando exista la posibilidad de que esto aumente la eficacia de su trabajo de auditoría interna. Además, las autoridades supervisoras deben hacer recomendaciones específicas para el fortalecimiento de la función de auditoría interna y el entorno de control.
2.
Posibles temas para el debate entre los supervisores y los auditores internos
76. Aunque todos los asuntos cubiertos por la función de auditoría interna son potencialmente valiosos para los supervisores, algunos de estos asuntos están estrechamente ligados a los requisitos de supervisión y son por lo tanto de particular interés para los supervisores bancarios. 77. Las posiciones de capital y de liquidez de un banco y sus procesos y métodos para la determinación, el seguimiento, el control y la notificación de riesgos materiales son directamente relevantes e importantes para los supervisores. En consecuencia, los supervisores y los auditores internos deben discutir las áreas descritas en la Sección A - Principio 7 y párrafos relacionados. 78. La auditoría interna está en condiciones de proporcionar al supervisor el conocimiento del modelo de negocios de la entidad, que incluya los riesgos que esta corre en sus actividades comerciales, procesos y funciones, y la suficiencia de control y vigilancia de estos riesgos. Este modelo comercial comprende: (i)
La aplicación y eficacia de los procedimientos de gestión del riesgo y métodos de evaluación del riesgo, tal como se aplican al riesgo de crédito, riesgo de mercado, riesgo de liquidez, riesgo operacional (que abarca las área de tecnología de la información y gestión de la continuidad del negocio), y otros riesgos relacionados con los requerimientos de suficiencia de capital Pilar 2 de Basilea;
(ii)
Planes de contingencia;
(iii)
Convenios de outsourcing, y
(iv)
Riesgo de Fraude.
79. En la medida en que datos contables impulsen ciertas medidas de regulación o se incluyan en los informes regulatorios, los supervisores buscarán comprender y beneficiarse del trabajo realizado por la auditoría interna en cuanto a: (i)
Mediciones (incluyendo valores razonables) y deterioro de los instrumentos financieros;
(ii)
Transacciones significativas en instrumentos financieros con un impacto regulatorio, y
(iii)
Otras áreas de contabilidad críticas, incluyendo los estimados.
80. Los supervisores también pueden tener un interés en asuntos comerciales o de conducta de mercado, como los identificados a través de la auditoría de la función de cumplimiento, por ejemplo: (i)
Elaboración de informes de las transacciones;
(ii)
Cumplimiento de las normas de negociación con los activos de los clientes;
(iii)
Procesos y controles de prevención de legitimación de capitales, y
(iv)
Manejo de conflictos de intereses.
La función de auditoría interna en los bancos
16
81. La junta directiva y alta gerencia son las responsables de establecer los modelos de negocio y estrategia del banco. No obstante, los cambios de junta y/o gerencia pueden tener consecuencias en los sistemas y procesos de control interno, gestión del riesgo y gobierno corporativo del banco. Aunque el departamento de auditoría interna no establece las políticas del banco y no debe interferir en sus decisiones comerciales, sí puede estar en la posición de influir en estas retando a la administración. Tanto la función de auditoría interna como los supervisores bancarios tienen un interés en: (i)
Procedimientos para el establecimiento de objetivos y toma de decisiones estratégicas ; y,
(ii)
La calidad y el contenido de la estructura y los procesos de gestión y gobierno corporativo.
C.
Evaluación supervisora de la función de auditoría interna
82. Los supervisores deben evaluar la función de auditoría interna debido al papel fundamental que esta desempeña en la evaluación de la eficacia de los sistemas y procedimientos generales de control de un banco. Esto influirá en la evaluación general del banco que realizan los supervisores y les permitirá determinar hasta qué grado utilizarán el trabajo de los auditores internos.
1.
Evaluación de la función de auditoría interna
Principio 17: Los supervisores bancarios deben evaluar periódicamente si la función de auditoría interna tiene suficiente prestigio y autoridad dentro del banco y opera de acuerdo con principios sólidos. 83. La autoridad supervisora debe tener en cuenta hasta qué punto la junta directiva, su comité de auditoría y la alta gerencia promueven un ambiente de control interno firme, que cuenta con el apoyo y la evaluación por parte de una sólida función de auditoría interna. 84. La evaluación de la función de auditoría interna debe estar basada en las expectativas de supervisión que figuran en la sección A de este documento guía. Esta evaluación debe incluir: •
Las características básicas de la función de auditoría interna;
•
El prestigio y la autoridad de la función de auditoría interna dentro del banco;
•
La existencia y el contenido del estatuto de auditoría interna;
•
El ámbito de trabajo de la función de auditoría interna y sus resultados;
•
Los acuerdos de gobierno corporativo que se aplican a la función de auditoría interna;
•
La organización de la función dentro de un grupo o holding;
•
La aptitud profesional, experiencia y destrezas encontradas dentro de la función de auditoría interna;
•
La estructura de remuneración del director de auditoría interna y de los auditores internos clave; y
•
Las actividades de auditoría interna realizadas por suplidores de outsourcing, de existir alguna.
La función de auditoría interna en los bancos
17
85. Con el fin de promover la coherencia y comparabilidad en el tiempo y a través de los bancos, y de identificar las mejores prácticas de la industria, la autoridad supervisora puede beneficiarse del uso de un sistema de calificación para realizar su evaluación de la función de auditoría interna. 86. Las debilidades identificadas en la función de auditoría interna pueden afectar la evaluación del supervisor del perfil de riesgo del banco. 87. Aunque la autoridad supervisora debe evaluar de forma independiente la calidad de la función de auditoría interna, el comité de auditoría o su equivalente y la misma función deben desarrollar y mantener sus propias herramientas para evaluar la calidad del desempeño de esta función. 88. El nombramiento y la sustitución del director de auditoría interna es importante en la evaluación supervisora del banco. Por lo tanto, la autoridad supervisora debe ser informada con prontitud por el comité de auditoría (o su equivalente) o la alta gerencia sobre la designación de un nuevo director de auditoría interna, su preparación profesional y experiencia previa. Del mismo modo, cada vez que el director de auditoría interna deje de actuar en esta capacidad, la autoridad supervisora debe ser informada de este hecho y sus circunstancias. La autoridad supervisora deberá considerar reunirse con el director de auditoría interna anterior para discutir las razones de su salida.
2.
Acciones a tomar por la autoridad supervisora
Principio 18: Los supervisores deben notificar formalmente a la junta directiva todas las deficiencias en la función de auditoría interna que se identifiquen y requieran medidas correctivas. 89. Cuando la autoridad supervisora concluye que el rendimiento de la función de auditoría interna del banco es inadecuado o ineficiente, debe requerir a la junta directiva que desarrolle por escrito un plan correctivo apropiado para atacar las deficiencias detectadas en forma oportuna. El plan escrito debe ser presentado a la autoridad supervisora para su revisión. Si el supervisor no está satisfecho, debe exigir que se hagan modificaciones o se incluyan medidas adicionales en el plan. El supervisor debe hacer seguimiento de la aplicación del plan. 90. Además de las medidas relacionadas con el rendimiento y el prestigio de la función de auditoría interna del banco, el supervisor también puede recomendar mejores prácticas de gobierno corporativo que incluyan el funcionamiento del comité de auditoría. 91. El comité de auditoría y la junta directiva no deben concluir que el rendimiento de la función de auditoría interna es adecuado únicamente porque la autoridad supervisora no identificó deficiencias. El proceso de supervisión no es un sustituto de la evaluación que debe hacer el comité de auditoría, ni de una evaluación externa del rendimiento de la función de auditoría interna. Principio 19: La autoridad supervisora debe considerar el impacto de su evaluación de la función de auditoría interna en la evaluación del perfil de riesgo del banco y en su propio trabajo de supervisión. 92. La evaluación de la función de auditoría interna puede tener consecuencias en la evaluación del perfil de riesgo del banco que realiza el supervisor, la asignación de los recursos de supervisión y las actividades previstas por la autoridad. 93. Cuando no exista un acuerdo en cuanto a las acciones correctivas, o cuando el banco enfrente retrasos continuos para remediar las deficiencias identificadas, la autoridad supervisora deberá considerar el impacto de estos hechos en el perfil de riesgo del banco.
La función de auditoría interna en los bancos
18
94. En los casos cuando un banco pertenezca a un grupo internacional, el supervisor deberá considerar compartir sus preocupaciones con las demás autoridades pertinentes, por ejemplo en el colegio de supervisores. Principio 20: La autoridad supervisora debe estar preparada para tomar acciones formales o informales de supervisión que requieran que la junta y alta gerencia corrijan en un plazo determinado las deficiencias identificadas en la función de auditoría interna, y proporcionen periódicamente al supervisor informes escritos del progreso. 95. Aún cuando los supervisores esperan que los bancos cuenten con una sólida y robusta función de auditoría interna, puede haber circunstancias en las que existan deficiencias y se justifiquen acciones específicas de supervisión para subsanar las deficiencias. Las acciones de supervisión podrán ser de carácter público o no público.
La función de auditoría interna en los bancos
19
Anexo 1 Los canales de comunicación de la función de auditoría interna Las referencias a estos canales de comunicación de la función de auditoría interna pueden encontrarse en los Principios Básicos y otras pautas o directrices emitidas por el Comité, en las Normas Internacionales de Auditoría (ISAs) emitidas por la Junta Internacional de Normas de Auditoría y Aseguramiento (IAASB), y las normas del Instituto de Auditores Internos (IIA) como se indica. El gráfico no refleja todos los canales de comunicación para terceros distintos de la función de auditoría interna.
(Va el GRAFICO)
•
Comité de Supervisión Bancaria de Basilea: -
•
Principios Básicos para una Supervisión Bancaria Efectiva Principios para un Mejor Gobierno Corporativo La Función de Auditoría Interna en los Bancos
IIA: Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna. Las Normas citadas a partir de 1xxx son Normas de Atribución y las Normas citadas a partir de 2xxx son Normas de Desempeño. Véase Marco para la Práctica profesional del IIA (IPPF, pos sus siglas en inglés), Instituto de Auditores Internos, Altamonte Springs, Florida, EE.UU., 2011.
La función de auditoría interna en los bancos
20
•
IIA 1000 - Propósito, Autoridad y Responsabilidad IIA 1100 - Independencia y Objetividad IIA 1110 - Independencia Organizacional IIA 1111 - Interacción directa con la Junta IIA 2440 - Difusión de Resultados
ISA: Normas Internacionales de Auditoría. Las normas citadas a partir de 2xx se refieren a los objetivos generales y las responsabilidades del auditor externo, las normas citadas a partir de 3xx tratan la evaluación del riesgo y la respuesta a los riesgos evaluados por el auditor y las citadas a partir de 6xx al uso que hace el auditor externo del trabajo de otros. Véase el Manual de Control de Calidad Internacional, Auditoría, Revisión, Otras Comprobaciones, y Pronunciamiento de Servicios relacionados, Edición 2010, Parte 1, Federación Internacional de Contadores, Nueva York, EE.UU. – – –
ISA 260 - Comunicación con los encargados del gobierno corporativo ISA 315 - Identificación y evaluación de los riesgos de representaciones erróneas a través del entendimiento de la entidad y su entorno ISA 610 - Uso del trabajo de los auditores internos
La función de auditoría interna en los bancos
21
Anexo 2 Responsabilidades del comité de auditoría de un banco El comité de auditoría es un comité especializado dentro de la junta directiva. Como tal, prepara el trabajo de la junta directiva y le rinde cuentas en áreas específicas para las que haya sido designado con responsabilidades. La junta directiva asume la responsabilidad final. El comité de auditoría podrá invitar al director de auditoría interna, al de cumplimiento, a la alta gerencia, en particular al Director General y otros funcionarios que se consideren relevantes para el propósito de cumplir con su responsabilidad de asistir a las reuniones del comité. Es una buena práctica que el director de auditoría interna y los miembros del comité de auditoría sostengan una sesión privada, es decir, en ausencia de la gerencia, para discutir temas de interés. Las principales áreas de responsabilidad del comité de auditoría se enumeran más abajo por categorías amplias. La lista proporciona un resumen de buenas prácticas para el comité de auditoría de un banco. Esta lista puede variar de acuerdo a reglamentos y prácticas locales. Por ejemplo, las responsabilidades de un comité de auditoría pueden ser asumidas directamente por la junta directiva en algunos bancos y países.
Informes financieros, incluyendo sus divulgaciones (a)
hacer seguimiento del proceso de presentación de informes financieros y de su resultado;
(b)
vigilar que el banco establezca políticas y prácticas de contabilidad y examinar los aspectos cualitativos importantes de sus prácticas contables, incluyendo las estimaciones contables y las divulgaciones de los estados financieros;
(c)
vigilar la integridad de los estados financieros del banco y de cualquier anuncio formal relacionado con su desempeño financiero;
(d)
examinar los criterios significativos de información financiera contenidos en los estados financieros, y
(e)
revisar los acuerdos a través de los cuales el personal del banco pueda comentar de manera confidencial sus preocupaciones sobre posibles irregularidades en la presentación de informes financieros.
Control interno (f)
Garantizar que la alta gerencia establece y mantiene procesos y un sistema de control interno adecuado y efectivo. El sistema y los procesos deben ser diseñados para proporcionar seguridad en áreas que abarcan la presentación de informes (financieros, operativos, de riesgo), el control del cumplimiento de las leyes, reglamentos y políticas internas, la eficiencia y la eficacia de las operaciones y la protección de activos.
La función de auditoría interna en los bancos
22
Auditoría interna (g)
vigilar y examinar la eficacia de la función de auditoría interna del banco;
(h)
aprobar el plan, ámbito y presupuesto de auditoría interna;
(i)
revisar y discutir los informes de auditoría interna;
(j)
garantizar que la función de auditoría interna mantiene una comunicación abierta con la alta gerencia, los auditores externos, la autoridad supervisora y el comité de auditoría;
(k)
examinar los descubrimientos de fraude y las violaciones de leyes y reglamentos planteados por el director de auditoría interna;
(l)
aprobar el estatuto de auditoría y código de ética de la función de auditoría interna;
(m)
aprobar, o recomendar a la junta para su aprobación, las remuneraciones anuales de la función de auditoría interna en conjunto, incluyendo las retribuciones por buen rendimiento;
(n)
evaluar el desempeño del director de auditoría interna, y,
(o) aprobar, o recomendar a la junta para su aprobación, el nombramiento, reelección o destitución del director de auditoría interna y de los auditores internos clave.
El auditor externo Nombramiento, reelección, destitución y remuneración (p)
aprobar un conjunto de criterios objetivos y adecuados para la aprobación del auditor externo o de la firma de auditoría externa del banco;
(q)
aprobar, o recomendar a la junta directiva o accionistas para su aprobación, el nombramiento, reelección y sustitución del auditor externo o la firma de auditoría externa;
(r)
aprobar la remuneración y condiciones de contratación del auditor externo o firma de auditoría externa.
Cumplimiento con los requerimientos independencia y objetividad
éticos
inherentes,
en
particular
(s)
examinar y vigilar la independencia del auditor externo o de la firma de auditoría externa, y en particular la prestación de servicios adicionales al banco, incluyendo las respectivas salvaguardas que se han aplicado para eliminar las amenazas a la independencia identificadas o para reducirlas a un nivel aceptable;
(t)
examinar y vigilar la objetividad del auditor externo y la eficacia del proceso de auditoría;
(u)
desarrollar e implementar una política sobre la participación del auditor externo o de la firma de auditoría externa en la prestación de servicios distintos de la auditoría, teniendo en cuenta las debidas normas éticas en esta prestación de servicios por parte de la firma de auditoría externa y,
La función de auditoría interna en los bancos
23
(v)
Aprobar el total de honorarios facturados por la auditoría de los estados financieros y por servicios distintos de la auditoría prestados por la firma de auditoría externa y firmas de redes de auditoría externa a la entidad y sus componentes, controlados por dicha entidad.
Auditoría externa (w)
vigilar la auditoría externa de las cuentas anuales y consolidadas;
(x)
discutir con el auditor externo o firma de auditoría externa aspectos claves que surjan de la auditoría externa, y en particular cualquier deficiencia material identificada en el control interno en relación con el proceso de presentación de informes financieros y,
(y)
discutir las representaciones escritas que el auditor externo o la firma de auditoría externa solicitan a la alta gerencia y, dado el caso, a los encargados del gobierno corporativo;
Acciones correctivas (z)
garantizar que la alta gerencia está tomando en forma oportuna las medidas correctivas necesarias para abordar las conclusiones y recomendaciones de los auditores internos y auditores externos;
(aa)
abordar las deficiencias de control, el incumplimiento de políticas, leyes y reglamentos y otros problemas identificados por los auditores internos y auditores externos, y
(bb)
garantizar que las deficiencias identificadas por las autoridades supervisoras en la función de auditoría interna se hubieren subsanado en un plazo apropiado, y que el progreso de las acciones correctivas necesarias sea reportado a la junta directiva.
La función de auditoría interna en los bancos
24