Guía de auditoría interna de 2010 (6)
El encargo de confirmación se refiere al trabajo en el que los auditores internos evalúan objetivamente la evidencia y proporcionan opiniones o conclusiones independientes sobre procedimientos, sistemas u otros asuntos de rutina. La naturaleza y el alcance del encargo de confirmación los determina el auditor interno. El negocio de confirmación incluye principalmente investigación de fraude, autoevaluación de riesgos y controles, auditoría de terceros y auditoría de contratos, auditoría de calidad, auditoría de diligencia debida, auditoría de seguridad, auditoría de confidencialidad, auditoría de desempeño, auditoría comercial, auditoría financiera, auditoría de tecnología de la información (TI) y auditoría de cumplimiento.
La consultoría empresarial tiene varios contenidos. Capacitación en control interno, inspección de procesos comerciales, comparación de puntos de referencia, desarrollo de sistemas y tecnologías de la información, diseño de sistemas de evaluación del desempeño, etc. Todos son empresas de consultoría.
El riesgo y la autoevaluación se tratan en los exámenes de la primera, segunda y tercera materia, y también aparecen en la quinta parte de las herramientas comerciales de auditoría de la segunda materia, por lo que espero que la mayoría de los candidatos lo hagan. presta atención a esta pregunta. Este tipo de autoevaluación del control es una autoevaluación del control interno, que se diferencia del trabajo de auditoría tradicional porque este trabajo requiere empleados de base, niveles ejecutivos y gerencia para realizarlo. Por tanto, todos los empleados de la organización pueden participar en el proceso de evaluación. Hasta cierto punto, la autoevaluación del control transfiere algunas de las responsabilidades de los auditores internos a otros. La autoevaluación de riesgos y controles a menudo puede identificar riesgos y factores adversos y el impacto de posibles crisis porque puede evaluar aquellos procedimientos de control que reducen o gestionan los riesgos, desarrollan planes de acción para la aceptabilidad de la reducción de riesgos e involucran a los empleados en los controles; El proceso de evaluación ayuda a mejorar el sentido de identidad de los empleados con el trabajo que realizan, mejorando así el sentido de autosatisfacción de los empleados y motivándolos a completar mejor su trabajo.
La implementación de este tipo de autoevaluación de control tiene un contenido muy importante que es la formación. A través de la capacitación, es más fácil descubrir las debilidades en los controles internos del departamento; por otro lado, los auditores internos pueden obtener más información sobre el proceso de control, por lo que pueden concentrarse en los departamentos comerciales con debilidades de control importantes o mayores riesgos residuales, y apuntar a ellos. Estos establecen más procedimientos para enlaces débiles, realizan más pruebas y recopilan más evidencia para mejorar la eficacia de nuestra auditoría.
Nótese que controlar la autoevaluación está relacionado con los diferentes métodos utilizados, el grado de empoderamiento cultural de la organización y la forma en que se desarrollan la estrategia y la política. Por lo tanto, el éxito de un programa de autoevaluación de control en una organización no significa necesariamente que el mismo programa tendrá éxito en otra organización.
Existen tres métodos de autoevaluación de riesgos y control de uso común: seminarios grupales de promoción, encuestas y análisis de gestión.
Las discusiones grupales facilitadas implican la recopilación de información a través de grupos que representan diferentes niveles de unidades de negocios o funciones. El grupo de trabajo se enfoca en objetivos, riesgos, controles y procesos. En las discusiones grupales, es necesario asegurarse de que la información en la discusión fluya sin problemas y que todos puedan expresar diversas opiniones libremente. Para resolver diferencias entre distintos puntos de vista y grupos de interés, también se podrá recurrir al voto secreto. Después de la evaluación, debemos preparar un informe que documente el consenso alcanzado por el grupo durante la discusión, y los miembros del grupo tendrán acceso al informe final que se publicará pronto.
Las discusiones en grupo se dividen en cuatro formas según diferentes propósitos. Los grupos de trabajo basados en objetivos se centran en los medios para lograr los objetivos operativos; el taller comienza identificando los controles existentes que respaldan los objetivos como punto de partida y luego identifica los riesgos restantes, los grupos de trabajo basados en riesgos se centran en desarrollar una lista de riesgos que impactan el logro; de objetivos; se hace hincapié en enumerar todos los riesgos que afectan el logro de los objetivos y luego examinar los controles para determinar si son adecuados para gestionar los riesgos clave. Los grupos de trabajo basados en control evalúan los riesgos y métodos de control para facilitar el logro de los objetivos, con el objetivo de analizar las brechas entre el proceso de control y las expectativas de la administración con base en la aplicación actual. Los grupos de trabajo basados en procesos se centran en seleccionar las actividades que forman los componentes de una cadena de procesos de principio a fin.
La encuesta es un método de autoevaluación que recopila información de los participantes del proceso y controla los riesgos a través de cuestionarios cuidadosamente elaborados. Los cuestionarios deben consistir en preguntas simples de sí o no, o de sí o no. Los auditores internos también pueden utilizar cuestionarios para identificar muchos de los riesgos y controles dentro de los grupos de trabajo que promueven el enfoque de taller grupal.
Los métodos de análisis de gestión incluyen muchos otros métodos. Estos métodos son utilizados por los equipos de gestión para obtener información sobre procesos de negocio, actividades de gestión de riesgos y procedimientos de control.
La autoevaluación de riesgos y controles se puede utilizar para examinar los riesgos en las actividades comerciales y las condiciones financieras, evaluar las actividades de control, los valores éticos y los efectos del control, y también se puede utilizar para examinar y comprender la implementación de diversas actividades y políticas de control. Este trabajo se puede realizar de forma independiente o simultáneamente con otras empresas. Sin embargo, algunas empresas, como las investigaciones de fraude y las empresas con objetivos complejos o poco claros, no son adecuadas para este enfoque.
La auditoría de terceros es un negocio de auditoría realizado por un tercero independiente que proporciona servicios o productos a la organización y tiene un interés en la organización, especialmente cuando existen sistemas de control importantes que afectan asuntos de transacciones fuera de la organización. La auditoría de terceros es muy necesaria. Una organización de auditoría que proporciona servicios de subcontratación o un socio comercial involucrado en la auditoría de un sistema de intercambio electrónico de datos es una auditoría típica de terceros.
Las auditorías de terceros implican principalmente dos tipos: una es la auditoría por contrato. El otro tipo es la auditoría, que evalúa la propia implementación por parte de la organización de algunos estándares reconocidos por la industria.
Estas auditorías las realizan auditores registrados, cuya tarea principal es garantizar que la organización cumpla con las normas pertinentes, como ISO9000 o ISO14000.
Las auditorías de contratos generalmente se centran en la auditoría de algunos contratos de construcción y contratos comerciales importantes (como contratos de fabricación de maquinaria y equipos especiales y desarrollo de software), con el propósito de supervisar y evaluar los contratos.
Las auditorías de calidad se centran principalmente en la calidad de la gestión, en la que los auditores utilizan un conjunto de estándares o controles para medir las actividades comerciales actuales de una organización. Cuando sea necesario, los auditores también deben evaluar la calidad de los controles de la organización y rastrear si los controles se actualizan, mejoran y fortalecen continuamente a medida que cambian las actividades de la organización, las reglas de la industria y la tecnología. Un sistema de calidad eficaz consta de inspección, pruebas y las correspondientes acciones y métodos correctivos.
La auditoría de calidad implica el concepto de control de calidad total. La gestión de la calidad total es un enfoque integrado para mejorar la calidad total en una organización (desde los proveedores hasta los clientes) y es un proceso de seguimiento continuo. El concepto de TQM enfatiza los esfuerzos de la alta dirección como un factor clave en el éxito de la TQM. En las organizaciones que implementan la gestión de la calidad total, los auditores internos deben evaluar todo el proceso de gestión de la calidad, especialmente en la evaluación de riesgos y la promoción de la mejora continua del sistema de control. Al mismo tiempo, el concepto de gestión de calidad total también se aplica a las actividades de auditoría interna para mejorar la calidad de su propio trabajo.
La auditoría de debida diligencia, también conocida como auditoría de diligencia, se refiere a una auditoría limitada y especializada de terceros con intereses en la organización. Se utiliza principalmente para decisiones de transacciones financieras que involucran empresas conjuntas, fusiones, alianzas y otras. fusiones y adquisiciones. Además de las transacciones financieras, la apertura de cuentas bancarias y las transacciones de valores, las auditorías de diligencia debida también se suelen implementar en el sector inmobiliario, la construcción de ingeniería y otros proyectos inmobiliarios. En términos generales, la diligencia debida debe ser realizada por un equipo, normalmente formado por auditores internos, abogados y auditores externos, quienes deben asumir la responsabilidad de la revisión en sus respectivas áreas de especialización.
El informe de auditoría de diligencia debida debe centrarse en cuestiones fácticas, mantener una postura objetiva e imparcial e incluir un resumen concluyente de algunas cuestiones clave. La estructura del informe debe describirse por etapas del proceso relevantes para el negocio, y todos los documentos y documentos que respalden los puntos de vista y conclusiones del informe deben numerarse simplemente para facilitar su consulta.
Auditoría de seguridad empresarial, el propósito de esta auditoría de seguridad es evaluar la efectividad de los controles de seguridad actuales y supervisar si existe abuso y mal uso de los procedimientos del sistema. Los controles de seguridad incluyen controles ambientales y de acceso físico, controles de acceso lógico y controles de respaldo. El contacto físico y el control ambiental significan principalmente que no se puede tener acceso no autorizado a los recursos y la información de la organización. Tales como cerraduras electrónicas, cerraduras con llave metálica, cerraduras biológicas, sistemas de alarma, video electrónico, seguridad, códigos de barras de identidad, sistemas de alarma contra incendios (alarmas contra incendios manuales, generadores de humo), sistemas de extinción de incendios (extintores, fuentes de agua), a prueba de fuego. Materiales de oficina, detectores de fuentes de agua, sistemas de inspección periódica, etc. En términos generales, el control de conexión lógica protege los recursos del sistema de información, el software de aplicación y los datos estableciendo varias contraseñas para evitar cambios no autorizados. Por ejemplo, contraseña de inicio de sesión y número de identificación, escaneo de retina, reconocimiento de huellas dactilares, grabación de actividades en línea, configuración de permisos de visualización de datos, etc. El control de copia de seguridad consiste en realizar copias de seguridad de archivos o archivos de datos con regularidad. Tenga en cuenta que la copia de seguridad debe estar alejada de la ubicación del archivo original. Por ejemplo, la copia de seguridad de los datos del ordenador se puede sellar por separado mediante grabado.
Para estos sistemas relacionados con controles de seguridad, la gerencia es principalmente responsable de formularlos e implementarlos, mientras que los auditores internos son responsables de aprender más sobre estas medidas, evaluar la efectividad de estos controles y monitorear continuamente estas medidas de control. implementación, haciendo así sugerencias de mejoras al sistema o al sistema mismo.
Auditoría de confidencialidad, el objetivo principal de los auditores internos al realizar una auditoría de confidencialidad es evaluar el sistema de confidencialidad establecido por su organización e identificar riesgos importantes. Para lograr un equilibrio entre la protección de la privacidad personal y el uso legítimo, no sólo debemos evitar el uso no autorizado de la información, sino también protegernos contra las graves consecuencias del uso indebido de esta información por parte de usuarios autorizados, y también prestar atención a la rentabilidad de medidas de confidencialidad. Otro punto a tener en cuenta es que los auditores internos también deben ser estrictos consigo mismos. No deben buscar ganancias personales a partir de la información recopilada en el desempeño de sus funciones y deben comunicarse rápidamente con el director de auditoría cuando anticipen que la implementación de medidas de confidencialidad afectará su independencia.
La auditoría de desempeño es una serie de actividades de auditoría llevadas a cabo por auditores internos centrándose en la economía, la eficiencia y la eficacia de los procesos de negocio. Inspección principal: ¿La organización cumple con el principio de rentabilidad en el proceso de adquisición y uso de recursos? Si hay ineficiencia, ¿cuál es el motivo? Si cumple con las leyes y regulaciones en materia de economía y eficiencia en sus operaciones comerciales. Además, en la auditoría de eficiencia de la organización, la evaluación principal es: (1) la consecución de las metas planificadas; (2) si las actividades realizadas por la organización para lograr las metas de producción son efectivas (3) si el departamento auditado; cumple con las normas relacionadas con sus funciones leyes y reglamentos. Esto generalmente se hace mediante el uso de indicadores clave de desempeño (KPI). La tarea de los auditores internos es evaluar si este indicador es apropiado y se utiliza adecuadamente.
El negocio de auditoría empresarial comprueba principalmente si el proceso empresarial es económico y eficiente, si el proceso de logro de objetivos por parte de cada departamento funcional de la organización es eficaz, si puede ayudar a la organización a alcanzar el objetivo general y si los objetivos del departamento son consistentes con los objetivos de la organización.
Una auditoría financiera es una auditoría de la situación financiera de una organización. En países extranjeros, la auditoría financiera suele ser realizada por auditores externos, pero también cae dentro del alcance de las responsabilidades de auditoría interna.
La auditoría financiera realizada por el auditor externo tiene como objetivo verificar si la información contenida en el informe financiero cumple con las normas contables y refleja fielmente la verdadera situación financiera y los resultados operativos de la organización. Los auditores internos se centran principalmente en la supervisión de los procedimientos, verificando si existen defectos y lagunas en los procedimientos y sistemas relacionados con las finanzas, y controlando enlaces clave para hacer sugerencias continuamente para mejorar el sistema y garantizar que los procedimientos relevantes que respaldan la preparación de informes financieros. son efectivos.
Auditoría de cumplimiento. Al realizar una auditoría de cumplimiento, el auditor comprobará si la organización cumple con las leyes y regulaciones, los acuerdos contractuales y las políticas y procedimientos establecidos por la dirección de la organización durante sus operaciones.
La organización debe establecer estándares y sistemas de cumplimiento. Estos estándares y sistemas deben incluir regulaciones escritas que establezcan claramente las actividades prohibidas, así como listas de verificación, preguntas y respuestas, instrucciones de participación, etc. y se debe preparar un diagrama de proceso organizacional para aclarar las responsabilidades de todos al implementar el sistema de cumplimiento.
El contenido de la revisión de cumplimiento incluye: determinar si las regulaciones escritas son efectivas, si los empleados conocen el contenido relevante, si las violaciones descubiertas se controlan adecuadamente, si el castigo es justo, si el denunciante sufrió represalias, y si el departamento legal cumplió con su deber. Finalmente, los auditores también deben identificar áreas de mejora después de la auditoría y trabajar para lograr la aceptación de los empleados.
La organización debe establecer una "línea directa" que pueda conectarse con representantes de directores de departamentos no legales y recibir apoyo político sin temor a represalias. En este momento, la línea directa puede funcionar plena y eficazmente, de modo que las cosas sospechosas puedan exponerse de la manera más oportuna. Alternativamente, puede adoptar la forma de un cuestionario sobre el código de conducta.
La administración debe incluir las cuestiones ambientales en la agenda y promover auditorías del sistema de gestión ambiental para garantizar el funcionamiento efectivo del sistema; realizar auditorías anticontaminación para minimizar la contaminación y los desechos causados por las operaciones; prestar atención a algunos activos de riesgo; , almacenamiento y procesamiento; cuantificar y reportar deudas derivadas de problemas ambientales; evaluar los procesos de producción para verificar el cumplimiento de las normas de seguridad y más.
El Director de Auditoría establecerá enlace con los auditores ambientales y planificará y realizará periódicamente auditorías de seguridad y salud ambiental. También debe garantizar que la información importante sobre los riesgos ambientales llegue al comité de auditoría o a otros miembros de la junta directiva. Para ello, debe evaluar si los auditores ambientales externos a la organización cumplen con las normas de auditoría o la ética aceptada, y evaluar el estado y la independencia del departamento de auditoría ambiental dentro de la organización.