domingo, 28 de febrero de 2021

Consulta: Riesgo que un auditor invitado tenga acceso a información sensible


Cada vez es más común y popular que muchos departamentos de auditoría interna implementen un programa de auditor invitado. Pero esta práctica trae consigo sus propios riesgos. 

Por tal razón, la semana pasada recibí a través de mi cuenta en LinkedIn la siguiente consulta de un alto ejecutivo de auditoría interna peruano.

Consulta:

Por lo general, auditoría interna maneja información sensible. 

¿Cómo gestionar el riesgo para el personal temporal (auditores invitados) tenga acceso a información sensible, si se abre el abanico de trabajos?

Repuesta:

Recuerde que el cumplimiento del Marco Internacional para la Práctica Profesional de la Auditoría Interna del Instituto de Auditores Internos es esencial para el ejercicio de las responsabilidades de los auditores internos. Esta afirmación es aplicable para los auditores internos de su propio departamento, para cuando se utilizan “auditores invitados" internos, hasta cuando se obtienen recursos totalmente fuera de la organización o cualquiera combinación de estos. 

En el Marco Internacional para la Práctica Profesional de la Auditoría Interna existen elementos obligatorios que todos los que ejercen el trabajo de auditor interno deben cumplir:

Principios fundamentales para la Practica Profesional de la Auditoría Interna
Definición de Auditoría Interna
Código de Ética
Normas Internacionales para la Práctica Profesional de la Auditoría Interna

Aplicación Código de Ética 

Los auditores internos invitados deben aplicar y cumplir con el Código de Ética del Instituto de Auditores Internos, el cual establece las reglas de conducta que describen las normas de comportamiento que se espera sean observadas por todos los auditores internos del departamento; incluyendo a los auditores invitados. 

El Principio aplicable del Código de Ética para este caso es el de “Confidencialidad”.

Confidencialidad 

Los auditores internos respetan el valor y la propiedad de la información que reciben y no divulgan información sin la debida autorización a menos que exista una obligación legal o profesional para hacerlo.

Los auditores internos: 

Serán prudentes en el uso y protección de la información adquirida en el transcurso de su trabajo. 
No utilizarán información para lucro personal o que de alguna manera fuera contraria a la ley o en detrimento de los objetivos legítimos y éticos de la organización.

Otras medidas:

Implementar acuerdo de no divulgación para que sea firmado por el auditor invitado. 
Separar la información confidencial de la que no lo es y que los miembros del equipo tengan esquema de acceso a la información need-to-know basis. 
Incluir en el manual párrafos que enfaticen respecto al debido cuidado que se debe ejercitar en el empleo, acceso y protección de la información confidencial o privilegiada; e informar estos requerimientos al auditor invitado.
Llevar a cabo programas de orientación y educación sobre la importancia de la confidencialidad para los auditores invitados. 
Divulgar las medidas de protección de información cuando el nuevo personal ingrese al departamento.
Efectuar una entrevista cuando los auditores invitados se retiran del departamento, a fin de determinar qué tipo de información confidencial o privilegiada de la empresa conocieron durante el tiempo de duración de su estadía en el departamento.

Esperamos que estas reflexiones y consejos sean de utilidad en el proceso de implementación de un programa de auditor invitado.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

1 comentario: