Consulta: Riesgo que un auditor invitado tenga acceso a información sensible

Cada vez es más común y popular que muchos departamentos de auditoría interna implementen un programa de auditor invitado. Pero esta práctica trae consigo sus propios riesgos. 

Por tal razón, la semana pasada recibí a través de mi cuenta en LinkedIn la siguiente consulta de un alto ejecutivo de auditoría interna peruano.

Consulta:

Por lo general, auditoría interna maneja información sensible. 

¿Cómo gestionar el riesgo para el personal temporal (auditores invitados) tenga acceso a información sensible, si se abre el abanico de trabajos?

Repuesta:

Recuerde que el cumplimiento del Marco Internacional para la Práctica Profesional de la Auditoría Interna del Instituto de Auditores Internos es esencial para el ejercicio de las responsabilidades de los auditores internos. Esta afirmación es aplicable para los auditores internos de su propio departamento, para cuando se utilizan “auditores invitados" internos, hasta cuando se obtienen recursos totalmente fuera de la organización o cualquiera combinación de estos. 

En el Marco Internacional para la Práctica Profesional de la Auditoría Interna existen elementos obligatorios que todos los que ejercen el trabajo de auditor interno deben cumplir:

Principios fundamentales para la Practica Profesional de la Auditoría Interna

Definición de Auditoría Interna

Código de Ética

Normas Internacionales para la Práctica Profesional de la Auditoría Interna

Aplicación Código de Ética 

Los auditores internos invitados deben aplicar y cumplir con el Código de Ética del Instituto de Auditores Internos, el cual establece las reglas de conducta que describen las normas de comportamiento que se espera sean observadas por todos los auditores internos del departamento; incluyendo a los auditores invitados. 

El Principio aplicable del Código de Ética para este caso es el de “Confidencialidad”.

Confidencialidad 

Los auditores internos respetan el valor y la propiedad de la información que reciben y no divulgan información sin la debida autorización a menos que exista una obligación legal o profesional para hacerlo.

Los auditores internos: 

Serán prudentes en el uso y protección de la información adquirida en el transcurso de su trabajo. 

No utilizarán información para lucro personal o que de alguna manera fuera contraria a la ley o en detrimento de los objetivos legítimos y éticos de la organización.

Otras medidas:

Implementar acuerdo de no divulgación para que sea firmado por el auditor invitado. 

Separar la información confidencial de la que no lo es y que los miembros del equipo tengan esquema de acceso a la información need-to-know basis. 

Incluir en el manual párrafos que enfaticen respecto al debido cuidado que se debe ejercitar en el empleo, acceso y protección de la información confidencial o privilegiada; e informar estos requerimientos al auditor invitado.

Llevar a cabo programas de orientación y educación sobre la importancia de la confidencialidad para los auditores invitados. 

Divulgar las medidas de protección de información cuando el nuevo personal ingrese al departamento.

Efectuar una entrevista cuando los auditores invitados se retiran del departamento, a fin de determinar qué tipo de información confidencial o privilegiada de la empresa conocieron durante el tiempo de duración de su estadía en el departamento.

Esperamos que estas reflexiones y consejos sean de utilidad en el proceso de implementación de un programa de auditor invitado.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

¿Por qué te copian?

 

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

10 Factores que definen el salario emocional

     

     ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

La esencia de la Auditoría Interna: Comportamiento ético, liderazgo y comunicación - Silvia Ortíz Carranco - IIA Ecuador

 

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Curso Taller Presencial On-Line Metamorfosis Esencial del Proceso de Auditoría Operativa con un Enfoque Ágil

Del 22 al 24 de febrero del 2021, desarrollamos con extraordinario éxito a través de la prestigiosa organización Auditool, este magnífico Curso Taller Presencial On-line, con la participación de auditores internos de Brasil, México, Costa Rica, Nicaragua, Honduras, Colombia, Ecuador, Perú, Bolivia y Argentina.

Es impresionante el tener la posibilidad de estar en contacto de forma directa con un selecto grupo de profesionales que ejercen la función de auditoría interna de diversos países en un mismo evento de forma directa cómo si el entrenamiento lo estuviéramos realizando de manera presencial, esta es sin lugar a dudas, una de las ventajas que ofrece el desarrollo de capacitaciones virtuales.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Cs para enfrentar el fraude

Marta Cadavid, CAMS, CFE, AML

Cs para enfrentar el fraude Cultura, compromiso, consistencia, congruencia, curiosidad, conocimiento de las modalidades de fraude y abuso corporativo, conocimiento de las contrapartes, colaboración, comunidad, comportamiento.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Conferencia Virtual Gratuita: Experiencias sobre un Análisis de Brechas e Implementación del Modelo de Madurez en Auditoría Interna

 

Debilidades del departamento de Auditoría Interna y de gobierno corporativo que deben ser identificadas a tiempo.

🎯 Conferencia Virtual Gratuita

Experiencias sobre un Análisis de Brechas e Implementación del Modelo de Madurez en Auditoría Interna

🗓 Jueves 25 de febrero

⏰ 18h00 a 19h00 (Ecuador)

📜 Certificado 1 horas CPE

👨🏻‍🏫 Facilitador: Gerardo Carstens

✒️ Inscríbete: https://lnkd.in/gxiR9i3

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Enfoque de valor: Supervisión integrada

 Juan Villanueva Chang

El reto de adoptar el enfoque de valor en auditoría interna, vislumbra la necesidad de un mayor acercamiento entre las funciones auditoría, riesgos y cumplimiento, sin perjuicio de exponer su independencia.

Entre los elementos básicos que distinguen el enfoque de valor, según la publicación Factsheet: Value-Based Internal Audit – IIA Australia (2020), podemos enfatizar los siguientes:

Adoptar un modelo de asociación: Auditoría interna debe tener asociación con la Gerencia, fomentar la colaboración y construir una mejor relación con la Organización

Ser agente clave del cambio: Ofreciendo servicios de aseguramiento y asesoría, buscando activamente la innovación

Enfoque de auditoría ágil: Ser flexible para responder a lo que realmente importa en la Organización. Esto incluye servicios breves de auditoría interna 

En la práctica, consiste en que auditoría interna, como 3° Línea de Defensa, debe avanzar y colaborar con las unidades de la 1° y 2° Línea de Defensa, sin perder su independencia funcional.

Es indudable que este acercamiento de auditoría, tiende a fortalecer la cultura de control, en especial en el seguimiento y validación del componente de supervisión del sistema de control interno.

Al respecto, no podemos dejar de reconocer las bondades del uso del modelo de supervisión propuesto en la “Guía para la Supervisión de Sistemas de Control Interno”, emitido por la Organización COSO el 2009.

Los aspectos que podrían fortalecer este modelo de supervisión, descansan en   mayor efectividad en la aplicación de los principios 16 y 17 del Marco de Control Interno COSO 2013, los que forman parte de la fase de análisis y comunicación que se describe a continuación:  

En la práctica, aún se percibe la necesidad de mejorar las actividades de supervisión del sistema de control interno, y dejar de estar soportada sólo en el resultado de las auditorías internas y externas del control posterior. Estas, por la reducida frecuencia debido a limitaciones en su capacidad operativa, minimizan la importancia de la supervisión del sistema de control interno. 

Algunas ideas puntuales para fortalecer y adoptar una supervisión integrada sobre la base de los elementos del enfoque de valor antes mencionados, pudría ser: 

Colaborar con el Comité de Auditoría y/o Comité de Control Interno para propiciar frecuentes sesiones de talleres de autoevaluación del control interno en las unidades de la 1° Línea de Defensa. Estas actividades deben estar bajo responsabilidad de ellos mismos

Actuar como facilitador para difundir el resultado del aseguramiento de la supervisión del sistema de control interno a través de mapas de aseguramiento

Realiza permanente coordinación e intercambio de información con la Gerencia de Riesgos y Cumplimiento. Ejemplo, para formular planes anuales de trabajo, cronogramas, etc

Priorizar e incorpora el análisis causa raíz en las observaciones o debilidades de control, así como realizar el esquema de auditoría ágil 

Participa activamente en los diversos comités gerenciales proponiendo mejoras de control interno y riesgos, entre otros

Es importante señalar que como respalda a estas prácticas, se puede consultar las Normas del IIA 2320: Análisis y evaluación; 2410: Criterios para la comunicación. Además, la Guía para la Práctica IIA: Coordinando la gestión de riesgos y el aseguramiento (2012)  

En líneas generales, al fortalecer las actividades de supervisión en el corto y largo plazo, permitirá una oportuna evaluación del sistema de control interno y mejorar la toma de decisiones.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

 

Lección de la serie "La Casa de Papel"

           ¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

15 Principales habilidades para el 2025

 

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Parte final de un proceso de auditoría ágil

Javier Fernando Klus, MBA, CIA

Pastillas Sobre Auditoría Ágil (Parte 9)

Tomando lo visto en el artículo anterior, veremos la parte final de un proceso de auditoría ágil, el cual implica la presentación de informes finales y el cierre del proyecto.

Dado la metodología que estamos implementando que es básicamente incremental, el informe final de auditoría será una acumulación de todos los incrementales de informe que se entregaron a lo largo del trabajo en las ceremonias de sprint realizadas.

Como vemos tanto sea en una revisión tradicional de auditoría como una dentro del marco de una auditoría ágil, existe un proceso formal de entrega de un informe por escrito, así como existirá un proceso formal de cierre.

A continuación, se adjunta una tabla de los pasos de finalización seguidos:

Paso 1 Prepare el borrador del informa final. El informe final debería ser un incremento de informes previamente desarrollados y comunicados durante las ceremonias de revisión de Sprint 

Paso 2 Revisar y distribuir el informe final con los clientes de la auditoría, a diferencia de una auditoría tradicional, este proceso debería llevar poco tiempo dado que el cliente ha recibido los informes incrementales previamente

Paso 3 Incorporar los planes de respuesta de los clientes de auditoría si no se obtuvo previamente

Paso 4 Emisión del informe final de auditoría

Paso 5 Realizar las actividades de cierre de auditoría

Como se ha visto a lo largo de los dos artículos sobre el paso a paso de una auditoría ágil, la tarea de una AI ágil es muy diferente a una auditoría en cascada, uno de los aspectos importantes de este paso a paso es que las tareas finales de la auditoría como ser la presentación del informa final se terminan convirtiendo en un acontecimiento rutinario y no en un evento relevante, básicamente porque parte las conclusiones se fueron acumulando a lo largo de todos los sprint.  Esto significa que el cliente de auditoría ya conoce básicamente los resultados de la misma.  En un proceso de auditoría ágil el cliente no debería sorprenderse de las conclusiones informadas en la etapa final y esto es una de las grandes ventajas de la implementación de auditoría ágil en los departamentos de auditoría y en las empresas.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Nahun Frett - Actividades 2020

 ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Nuevo fascículo de la Biblioteca Compliance de la WORLD COMPLIANCE ASSOCIATION

Albert Salvador Lafuente

El documento ya está disponible para su descarga gratuita

Me complace compartir con todos los seguidores de este blog mi último trabajo. Se trata de un fascículo elaborado para la Biblioteca Compliance, donde explico los conceptos básicos, el perfil y motivaciones del defraudador, la prevención la detección y el tratamiento del fraude interno. Espero que resulte de vuestro interés.

Acceder a la descarga del fascículo

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Nota de Prensa: IAIRD aboga porque miembros de la Cámara de Cuentas tengan base profesional en auditoría interna

      

    ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

12 Beneficios de la función de auditoría interna

    ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Ser mejores

 

              ¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

12 Cosas que NO arregla la digitalización

¿Te ha gustado la información? ¡Compártela con otro auditor interno! 

Etapas de un proceso de auditoría ágil

 Javier Fernando Klus, MBA, CIA

Aplicación del Marco de Auditoría Ágil utilizando Scrum

Dentro de un proceso de auditoría ágil podemos encontrar las siguientes etapas:

1. Inicio del proyecto
2. Etapa media
3. Finalización

A continuación, se exponen las etapas correspondientes a un inicio y etapa media de un proyecto:

Inicio del Proyecto

Paso 1	Identificar al cliente de auditoría y las partes interesadas
Paso 2	Reunirse con el cliente de auditoría y las partes interesadas claves para identificar el alcance del proyecto y los objetivos, los cuales deben estar alineados con la estrategia y los objetivos del negocio
Paso 3	Identificar las preocupaciones y problemas clave desde la perspectiva del cliente de auditoría y las partes interesadas
Paso 4	Colaborar con el cliente de auditoría y las partes interesadas para crear una propuesta de valor
Paso 5	Identifica las áreas críticas y concluyentes en las que se centrará el trabajo de auditoría
Paso 6	Documentar el plan inicial del trabajo de auditoría, esperando que al plan de auditoría cambie a medidas que el trabajo progresa y se obtienen nuevas ideas
Paso 7	Crear un inventario de proyectos que serán probados durante la etapa intermedia, los temas claves deberán ser priorizados

 

Etapa Media

En esta etapa se desarrollan ciclos secuenciales de trabajo comúnmente conocidos como “sprints”.  Cada sprint tiene una duración establecida, con una fecha de inicio y otra de finalización.  Para cada día, se realiza una reunión de actualización en la que los miembros del equipo revisan las tareas realizadas el día anterior, el trabajo planificado para el día actual y cualquier situación que haya impedido cumplir con el progreso.

PASO 1	Ceremonia de planificación del sprint, en los cuales se identifican los objetivos, identificar los entregables del sprint que aportarán valor a los objetivos del sprint e identificar que el sprint esté hecho
PASO 2	Reunión diaria con los miembros del equipo para discutir el trabajo realizado el día anterior, así como el trabajo planificado y los problemas que pudieran haber surgido
PASO 3	Ejecutar las pruebas
PASO 4	Ceremonia de revisión del sprint: se revisan las pruebas y cualquier elemento que no cumpla las especificaciones del trabajo deben ser revisadas y agregarse al trabajo acumulado
PASO 5	Ceremonia post sprint en el cual el equipo una vez finalizado el mismo procede a revisarlo para determinar las cosas que salieron bien, las cosas que no salieron bien y las áreas de mejora para el futuro
PASO 6	En esta etapa se comienza el nuevo sprint repitiendo los pasos de 1 a 5

 

En la próxima pastilla de Auditoría Ágil estaremos viendo los pasos relacionados con la finalización del proceso de auditoría ágil.

*Basado en el libro "Auditoría Ágil - Transformando el proceso de Auditoría Interna"

  ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Cómo está cambiando el mundo Elon Musk

 

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Cuentos de scammers y perpetradores seriales: Faustino y sus desatinos

 ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

¿Cómo identificar una fuga de información? Monitoriza y analiza el tráfico

 

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Programa capacitación virtual in-company año 2021 - Nahun Frett

 ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Forma de pago

 

            ¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

J. F. Kennedy - Líder Carismático

 

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

La declaración del apetito de riesgo

 Iván Rodríguez

Un tema que es motivo de recurrente revisión por parte de los auditores es el de apetito de riesgo. De acuerdo con COSO, es la cantidad de riesgo, a un amplio nivel, que una organización está dispuesta a aceptar en busca de valor.  Para que esta definición se concrete, normalmente se efectúa una declaración de apetito de riesgo.

Ahora bien, los reguladores y los miembros de la junta procuran evitar que la administración de las empresas asuma demasiado riesgo en el logro de sus objetivos. Esto es, actuar o no actuar de una manera que ponga en peligro el éxito, incluso la viabilidad de la organización sin una buena razón y sin la aprobación de los accionistas o propietarios de la empresa. Sumado a ello, si la empresa sufre dificultades, puede afectar a otros terceros, incluidos los clientes, los acreedores y la comunidad. En ese sentido, el concepto de apetito de riesgo ha sido ampliamente aceptado en el sector de los servicios financieros y es requerido por los reguladores bancarios y de seguros.

De ahí la necesidad de definir límites a la toma de riesgos. Esta es una sana práctica que siempre ha existido en las empresas con una buena administración. Antes de que se hablara del apetito por el riesgo y que existieran declaraciones de apetito de riesgo se tomaban medidas administrativas al respecto. No resulta razonable dejar a la administración sin control y permitir que asuman todo el riesgo, mientras pone a la organización en peligro.

Algunos controles habituales que se toman, son los siguientes:

• Límites de gasto (presupuestos) y compras (órdenes de compra)
• Límites a la concesión de crédito
• Límites a la aprobación de descuentos
• Límites a la aprobación y firma de contratos y compromisos, tanto de compra como de venta
• Límites comerciales
• Requisitos de aprobación para la concesión de derechos de acceso al sistema
• Políticas de salud y seguridad
• Políticas éticas
• Políticas y estándares de seguridad de la información

Algunas empresas han desarrollado declaraciones de apetito de riesgo que intentan llegar a un solo número o valor para todas las fuentes de riesgo que enfrenta la organización. Aunque no es lógico, tampoco es apropiado agregar fuentes de riesgo dispares, como el riesgo crediticio, el riesgo operativo, el riesgo cibernético, bajo la misma cifra. En otros casos las declaraciones de apetito de riesgo dicen algo como: "la empresa tiene una baja tolerancia al riesgo de cumplimiento" o “aceptaremos un riesgo moderado para la seguridad del personal”, incluso “tenemos un bajo apetito por los riesgos relacionados con el mal uso de los recursos".

La declaración de apetito de riesgo debería explicar cómo se guía a la administración para que tome los riesgos correctos, así como asegurar que haya suficiente orientación para las decisiones tomadas por la administración (y la junta según sea necesario). No se trata de llegar a un solo valor para el apetito de riesgo, ni llegar a números únicos para diferentes tipos de riesgo. Debe evitarse un lenguaje vago como "tenemos un apetito bajo". No parece lógico decir que se tiene un apetito bajo (o sin apetito) por temas de cumplimiento o fallas de seguridad. Es imposible tener una probabilidad cero de un fallo en cualquiera de las áreas.

Una buena práctica es tomar cada área de riesgo y hacer referencia a cómo se guía la gestión cuando se trata de tomarlo. El documento debería explicar qué políticas, procedimientos y normas se aplican y si existen límites específicos. Sería apropiado incluir cómo se manejan las excepciones. En algunos casos, habrá límites específicos, como en la concesión de crédito. En otros casos, como la seguridad de los empleados, el juicio de la dirección se guiará por políticas, procedimientos y estándares relacionados. Es esencial que la administración pueda asumir el riesgo adecuado cuando se justifique, tomando decisiones informadas e inteligentes. Hay casos, (según lo reconoce COSO), en que los límites podrían ser excedidos cuando la necesidad o recompensa del negocio lo justifica. Un límite rígido tiene el efecto de limitar el éxito.

Para que la gestión de riesgos sea significativa, debe proporcionar información procesable para ayudar a las personas a tomar decisiones informadas e inteligentes, y tomar el nivel adecuado de los riesgos adecuados. La declaración de apetito de riesgo no debe hacerse para cumplir con la regulación. Hay que buscar que sea útil y facilite la toma de decisiones correctas.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Junta Internacional Auditoría Interna del Grupo Bimbo

Nuestro propósito fundamental es promover principios, valores,  ideas, técnicas y herramientas, que permitan a los departamentos de auditoría interna alcanzar su máximo potencial. Una de las formas a través de las cuales podemos lograr este objetivo es desarrollando capacitaciones y eventos in-house.

Un ejemplo de esto es que durante la semana pasada desarrollamos de manera virtual la Conferencia Magistral “Antídoto [Antivirus] Antitóxico” en la Junta Internacional Auditoría Interna del Grupo Bimbo.

En este evento participaron más de 100 personas en más de 12 países distintos donde el Grupo Bimbo tiene auditores internos de los 33 países donde opera la organización, incluyendo los equipos de auditoría interna en Canadá, Estados Unidos, México, Brasil, Chile, Colombia, España, China y próximamente tendrán un equipo en la India.

Nos sentimos agradecidos de tener el privilegio de poder llegar a un numeroso grupo de auditores día a día y de diversas formas a pesar de la pandemia.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Cuentos de scammers y perpetradores seriales: Joaquín, el piloto malandrín

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Términos o tipologías de incidente de seguridad

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Conferencia: Gobierno corporativo en tiempos de crisis - Pedro Aguilar - IIA El Salvador - Nicaragua y Guatemala

 

¿Te ha gustado la información? ¡Compártela con otro auditor interno!