Página 1
Curso de capacitación virtual de la IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
MANUAL DE IMPLEMENTACIÓN DE LAS ISSAI
AUDITORÍA DE CUMPLIMIENTO
Versión preliminar 1. 0
Índice
Acerca de este manual 4
Capítulo 1: Introducción y elementos básicos de las auditorías de
cumplimiento 6
1.1 Introducción 7
1.2 Elementos de la auditoría de cumplimiento 8
1.3 ¿Qué es lo que el auditor busca en las diferentes auditorías? 10 1.4 Diferentes formas de llevar a cabo una auditoría de cumplimiento 11 1.5 Cómo ayudan las ISSAI a realizar una auditoría de cumplimiento de calidad 13
1.6 Principios de la auditoría de cumplimiento 14
1.7 Proceso de la auditoría de cumplimiento 17
1.8 Conclusión 18
Capítulo 2: Principales conceptos de las auditorías de cumplimiento 19
2.1 Introducción 20
2.2 Definición de auditoría y de auditoría de cumplimiento 20 2.3 Objeto de la revisión e información del objeto de la revisión 20
2.4 Disposiciones legales y normativas y criterios 22
2.5 Las tres partes 24
2.6 Aseguramiento 24
2.7 Compromisos de atestiguamiento y compromiso de elaboración de informes directos 27
2.8 Aseveraciones y la auditoría 32
2.9 Juicio profesional y escepticismo 33
2.10 Conclusión 34
Capítulo 3: Planificación y diseño de una auditoría de cumplimiento 35
3.1 Introducción 36
3.2 Consideraciones iniciales para la planificación 36
3.3 Proceso de planificación 39
3.4 Determinando la importancia relativa en la fase de planificación 50
3.5 Estrategia de auditoría y plan de auditoría 53
3.6 Conclusión 55
Capítulo 4: Obtención de la evidencia de auditoría 56
4.1 Introducción 57
4.2 Evidencia de auditoría 57
4.3 Técnicas para la recopilación de evidencia 60
4.4 Consideración de incumplimiento que pueda indicar la existencia de fraude o actos ilícitos 64
4.5 Conclusión 66
Capítulo 5: Evaluación de la evidencia y formación de conclusiones 66
5.1 Introducción 67
5.2 Evaluación de la evidencia y formación de conclusiones 67
5.3 Conclusión 69
Capítulo 6: Documentación y comunicación 70
6.1 Introducción 71
6.2 Documentación 71
6.3 Comunicación 74
Capítulo 7: Informes de una auditoría de cumplimiento 77
7.1 Introducción 78
7.2 Informes de una auditoría de cumplimiento 78
7.3 Tipos de informes de una auditoría de cumplimiento 79 7.4 Contenido de un informe de auditoría de cumplimiento 79 7.5 Conclusiones/opiniones de una auditoría de cumplimiento 82 7.6 Ejemplo de un informe breve de una auditoría de cumplimiento 87
7.7 Seguimiento de la auditoría 88
7.8 Conclusión 90
Capítulo 8: Estrategias de implementación de las ISSAI para auditorías de
cumplimiento 91
8.1 Introducción 92
8.2 Proceso de formulación de la estrategia de implementación de las ISSAI 96
8.3 Formulación de un plan de acción 106
8.4 Compromiso de la alta dirección en la implementación del plan de acción 107 8.5 Lineamientos para la preparación del plan de acción 107
8.6 Conclusión 108
Lista de tablas
Tabla 2.1: Niveles de aseguramiento y tipos de auditoría de cumplimiento Tabla 4.1: Técnicas de recopilación de evidencia
Tabla 8.1: iCAT de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con estatus "Cumplido"
Tabla 8.2: iCAT de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con estatus "No Cumplido / Parcialmente Cumplido"
Tabla 8.3: Análisis FODA de la EFS X
Tabla 8.4: Ejemplo y formato de preparación de un plan de acción
Lista de figuras
Figura 1.1: Disposiciones legales y normativas relacionadas con un acuerdo constitucional específico de la EFS
Figura 1.2: Las disposiciones legales y normativas son la fuente de los criterios de auditoría Figura 1.3: Las tres partes de la auditoría
Figura 1.4: Principios generales de las auditorías de cumplimiento Figura 1.5: Juicio profesional y escepticismo
Figura 1.6: Proceso de la auditoría de cumplimiento
Figura 3.1: Relación entre el objeto de la revisión, el alcance y los criterios Figura 4.1: Proceso de toma de decisiones
Figura 8.1: Proceso de toma de decisiones para la implementación de las ISSAI de auditoría de cumplimiento
Figura 8.2 Marco de referencia para la estrategia de implementación de las ISSAI de auditoría de cumplimiento
Figura 8.3: Los cuatro dominios principales conforme a las ISSAI de Nivel 2
Figura 8.4: Factores que determinan la selección de las opciones estratégicas para la implementación de las ISSAI
Lista de Referencias ISSAI 100 ISSAI 400 ISSAI 4000 ISSAI 4100 ISSAI 4200 ISSAI 1000-1999
Acerca de este
manual
1.1 Introducción
La Fase 1 del Programa 3i facilita la implementación de las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) por parte de las Entidades Fiscalizadoras Superiores (EFS) con un programa integral de creación de capacidades para las ISSAI de Nivel 2 (Requisitos Previos para el Funcionamiento de las Entidades Fiscalizadoras Superiores) y las ISSAI de auditoría financiera, auditoría de cumplimiento y auditoría de desempeño de Nivel 4. Este manual sobre la auditoría de cumplimiento es parte de la fase 1 del Programa 3i para el proceso de implementación de las ISSAI 400/4100/42001.
1.2 Objetivos
Este manual se ha escrito con el fin de facilitar la implementación de las ISSAI para auditorías de cumplimiento a los nivel 2, 3 y 4 en las EFS. En este sentido, el manual busca lograr dos objetivos:
1. Explicar la naturaleza de las auditorías de cumplimiento en el sector público y servir de guía a través de consideraciones estratégicas para la implementación de las normas de auditoría de cumplimiento en las EFS.
2. Proporcionar una guía y ejemplos sobre el proceso, las herramientas y los documentos de trabajo que pueden usarse en la ejecución de una auditoría de cumplimiento con base en las ISSAI. El objetivo de este documento no es servir como un manual de auditoría de cumplimiento. Por lo tanto, no sustituye a las políticas, estrategias y manuales de auditoría. Cada EFS será responsable de describir su propia metodología tomando en cuenta su mandato, sus recursos, las necesidades de los usuarios y el ambiente regulatorio.
El objetivo de este manual es explicar los conceptos de la auditoría de cumplimiento relacionándolos con la
1ISSAI 400, Principios Fundamentales de las Auditorías
de Cumplimiento
ISSAI 4000-4200, Directrices Generales para las Auditorías de Cumplimiento
práctica de campo. Con ello los usuarios serán capaces de reconocer los elementos y conceptos elaborados en el manual con sus prácticas de auditoría. También podrán apreciar el grado de alineamiento de sus prácticas actuales con los requisitos de las ISSAI para auditoría de cumplimiento.
Los usuarios de este manual deberán tomar en consideración los siguientes puntos. En primer lugar, las explicaciones proporcionadas sólo son una forma de interpretar las normas de las auditorías de cumplimiento. En segundo lugar, las normas de las auditorías de cumplimiento representan un trabajo en desarrollo, por lo que el proceso completo aún necesitará explicarse con otras normas. Las interpretaciones del manual representan un intento preliminar de elaborar el proceso de auditoría de cumplimiento basado en la ISSAI 400:
Principios Fundamentales de las Auditorías de Cumplimiento, y las ISSAI 4000-4200.
1.3 Usuarios
Este manual está dirigido a las EFS que han decidido iniciar la implementación de las ISSAI a nivel 3 y 4, así como las EFS que ya están en camino de implementarlas y desean seguir mejorando sus procesos de auditoría de cumplimiento con base en las ISSAI.
Dentro de una EFS el manual está dirigido tanto al personal de nivel ejecutivo (dirección) como a los profesionales en ejercicio de las auditorías de cumplimiento (auditores y especialistas en metodología).
1.4 Enfoque
Este manual utiliza un estudio de caso que cubre todos los aspectos de las auditorías de cumplimiento (planificación, recopilación de evidencia, evaluación de la evidencia, formación de conclusiones y elaboración de informes) para ilustrar los conceptos descritos en los capítulos. Asimismo, se describen las ISSAI correspondientes al proceso de auditoría, así como éstas pueden ser usadas en la auditoría descrita en el estudio de caso.
1.5 Contenido
El manual se divide en ocho capítulos:
Capítulo 1: Introducción y elementos básicos de las auditorías de cumplimiento
Capítulo 2: Conceptos fundamentales de las auditorías de cumplimiento
Capítulo 3: Planificación y diseño de una auditoría de cumplimiento
Capítulo 4: Recopilación de la evidencia de auditoría Capítulo 5: Evaluación de la evidencia y formación de
conclusiones
Capítulo 6: Documentación y comunicación Capítulo 7: Elaboración de informes
Capítulo 8: Estrategias de implementación de las ISSAI para auditorías de cumplimiento
1.6 Vínculo entre el manual y la
iCAT de auditoría de
cumplimiento
Para ayudar a las EFS a integrar las ISSAI en sus procesos de auditoría de cumplimiento, este manual proporciona un proceso paso a paso que requiere que cada EFS adopte diferentes estrategias y planes de acción de acuerdo a su mandato, necesidades de los usuarios, leyes nacionales, reglamentos, etc.
El primer paso para una EFS es tener un panorama completo de su mandato, las necesidades de los usuarios y su entorno. Si la EFS decide referirse a las ISSAI de Nivel 4, entonces el primer paso será determinar los requisitos de las ISSAI y evaluar el estado de la EFS con respecto a los requisitos de las normas para las auditorías de cumplimiento. A continuación la EFS debe identificar las causas o razones del incumplimiento y lo que necesita para cumplir con dichos requisitos.
La Herramienta para el Diagnóstico del Cumplimiento de las ISSAI (iCAT), desarrollada bajo la Fase 1 del Programa 3i, ayuda a las EFS a mapear su práctica actual con respecto a los requisitos de las Directrices para Auditorías de Cumplimiento, es decir, las ISSAI de Nivel 4. El Capítulo 8 del manual muestra la forma de pasar de la identificación de las brechas en las prácticas actuales al proceso de implementación, determinando las prioridades, continuando con la elaboración de una estrategia y plan de acción, y superando algunas de las dificultades que las EFS pudieran encontrar en la fase inicial.
Capítulo 1:
Introducción y Elementos Básicos de
la Auditoría de Cumplimiento
1.1 INTRODUCCIÓN
El propósito de este capítulo introductorio es ayudar a los lectores a familiarizarse con los conceptos básicos de las auditorías de cumplimiento, de manera que puedan pasar a un nivel más avanzado en los siguientes capítulos. Este capítulo explica brevemente: (a) la auditoría de cumplimiento, sus elementos, sus principios y su importancia en el sector público; (b) el objetivo y propósito de las ISSAI en lo que respecta a la forma en que ayudan a conducir auditorías de cumplimiento de calidad; c) formas en las que las EFS pueden adoptar las ISSAI para las auditorías de cumplimiento; (d) diferencias entre la auditoría de cumplimiento y otros tipos de auditorías, así como la manera en que pueden combinarse en la práctica; y (e) el proceso de la auditoría de cumplimiento. Como se señaló arriba, los conceptos descritos en este capítulo se describen con mayor detalle por medio de ejemplos en los siguientes capítulos.
1.1.1 Las auditorías de
cumplimiento en el sector
público
Para definir lo que es una auditoría de cumplimiento necesitamos considerar primero lo que es la auditoría de sector público, ya que en ella se basa la auditoría de cumplimiento.
Las auditorías del sector público pueden describirse como un proceso sistemático para obtener y evaluar de manera objetiva evidencia que permita determinar si la información o las condiciones actuales se ajustan a los criterios establecidos1. La auditoría de cumplimiento se
basa en esta definición con un enfoque específico en el cumplimiento de los criterios derivados de las disposiciones legales y normativas.
La auditoría de cumplimiento es una evaluación independiente para determinar si un asunto dado cumple con las disposiciones legales y normativas aplicables identificadas como criterios. Como auditores, debemos evaluar si las actividades, las operaciones financieras y la información cumplen,
1 ISSAI 100.18.
en todos los aspectos importantes, con las disposiciones legales y normativas que regulan a la entidad auditada2. Los auditores de las auditorías
de cumplimiento buscan desviaciones sustantivas de los criterios establecidos con base en leyes y reglamentos, en principios para una sólida administración financiera o en el comportamiento de los funcionarios públicos.
Como auditores necesitamos entender el contexto de las auditorías de cumplimiento. Los conceptos y el establecimiento de la auditoría son inherentes a la administración de las finanzas públicas, ya que el manejo de los fondos públicos representa una responsabilidad. La auditoría no es un fin en sí mismo, sino una parte indispensable del sistema regulador cuyo objetivo es señalar oportunamente las desviaciones de las normas aceptadas y las infracciones a los principios de legalidad, eficiencia, eficacia y economía de la administración financiera con tiempo suficiente para tomar acciones correctivas en casos individuales, hacer que los responsables acepten su parte de responsabilidad, obtener una compensación o tomar los pasos necesarios para prevenir – o al menos hacer que sean más difíciles – dichas infracciones3.
La auditoría del sector público es esencial para su administración, ya que el manejo de los fondos públicos está al cuidado de funcionarios gubernamentales y su uso está regulado por principios, reglas y normas que en conjunto constituyen las disposiciones legales y normativas. Se espera por lo tanto que los funcionarios actúen en interés de la sociedad aplicando los fondos para los fines propuestos y en línea con las disposiciones legales y normativas.
Es responsabilidad de los organismos del sector público y de sus funcionarios actuar de forma transparente y rendir cuentas ante los ciudadanos por los fondos que se les confiaron, así como ejercer una gestión adecuada de dichos fondos4.
La forma y el modo en que los administradores del sector público cumplen con sus responsabilidades no es un asunto de confianza absoluta. Las auditorías de cumplimiento desempeñan un papel importante al asegurar que los principios de
2 ISSAI 400.12
3 ISSAI 4100, Sección 1. 4 ISSAI 400.16.
transparencia, rendición de cuentas y gestión se cumplan adecuadamente.
Las auditorías de cumplimiento promueven la transparencia al proporcionar informes confiables respecto a si los fondos públicos se utilizaron en línea con las disposiciones legales y normativas aplicables. Promueven asimismo la rendición de cuentas al informar sobre posibles desviaciones e infracciones a las disposiciones legales y normativas. Esta información permite tomar acciones correctivas y hacer responsables a los funcionarios públicos por sus actividades. Finalmente las auditorías de cumplimiento promueven una gestión adecuada al identificar los puntos débiles y las desviaciones de las leyes y reglamentos, así como al evaluar el comportamiento de los funcionarios.
Las auditorías de cumplimiento pueden tratar sobre la regularidad (cumplimiento con los criterios formales tales como leyes, reglamentos y convenios) o sobre la gestión o comportamiento (observancia de los principios generales que rigen una administración financiera sólida y el comportamiento de los funcionarios públicos). Mientras que la regularidad es el punto focal de las auditorías de cumplimiento, la gestión o comportamiento también puede ser pertinente dado el contexto del sector público, en el que existen ciertas expectativas relacionadas con la administración financiera y el comportamiento de los funcionarios. Dependiendo del mandato de la EFS y de la naturaleza de las leyes y reglamentos, el alcance de la auditoría puede, por lo tanto, incluir aspectos relativos a la gestión o comportamiento.
1.2 ELEMENTOS DE LA
AUDITORÍA DE CUMPLIMIENTO
La ISSAI 100 describe los elementos de las auditorías del sector público. Todas ellas tienen los mismos elementos básicos: el auditor, la parte responsable y los usuarios previstos, es decir, las tres partes de la auditoría, los criterios para evaluar el objeto de la revisión y la información resultante sobre la materia. Las auditorías del sector público pueden clasificarse en dos tipos diferentes: trabajos de certificación (compromisos de atestiguamiento) y trabajos de información directa
(compromiso de elaboración de informes directos). Ambos se describen en capítulos posteriores. Por lo pronto, en esta sección se describen los aspectos adicionales de los elementos relevantes para las auditorías de cumplimiento que el auditor debe identificar antes de comenzar la auditoría.
1.2.1 Disposiciones legales y
normativas (autoridades)
Las disposiciones legales y normativas o normas jurídicas (autoridades) son leyes o resoluciones del poder legislativo u otros instrumentos, instrucciones y directrices emitidas por organismos del sector público con poderes estatutarios y con las cuales se espera que cumpla la entidad auditada. Estas disposiciones legales y normativas pueden incluir leyes, políticas, reglas, reglamentos y otros instrumentos que deben seguir los funcionarios o las organizaciones para las cuales se establecieron. En ocasiones estos elementos se refieren en conjunto como normas legislativas o disposiciones legales y normativas. Por otra parte, no deben confundirse con las autoridades en el sentido de órganos o personas que ejercen algún poder o mando, como por ejemplo las disposiciones legales y normativas encargadas de hacer cumplir la ley o las disposiciones legales y normativas regulatorias.
Por ejemplo, los gobiernos de muchos países cuentan con leyes que le proporcionan ayuda económica a personas que cumplen con ciertos requisitos de elegibilidad. Estas leyes sirven como disposiciones legales y normativas en el caso de las auditorías de cumplimiento de los programas de ayuda económica. DISPOSICIONES LEGALES Y NORMATIVAS EL EJECUTIVO DISPOSICIONES LEGALES Y NORMATIVAS LA ENTIDAD 0 DISPOSICIONES LEGALES Y NORMATIVAS AUDITORÍA DE CUMPLIMIENTO
Figura 1.1: Disposiciones legales y normativas relacionadas con un acuerdo constitucional específico de la EFS.
Los criterios son los parámetros o puntos de referencia utilizados para evaluar o medir el asunto de manera consistente y razonable. Las disposiciones legales y normativas son la fuente de dichos criterios, los cuales pueden derivarse de leyes, políticas, reglas, reglamentos y otros instrumentos, y usarse para evaluar su cumplimiento o falta de cumplimiento.
Por ejemplo, en el caso del programa de ayuda económica mencionado arriba, una condición para la elegibilidad podría ser que sólo aquellos que ganan menos de $800 dólares al mes y mantienen a cuatro personas recibirán $500 dólares al mes como ayuda económica.
Disposiciones legales y normativas
Criterios
Figura 1.2: Las disposiciones legales y normativas son la fuente de los criterios de auditoría.
1.2.2 Objeto (materia o asunto)
El objeto (materia o asunto) se refiere a la información, situación o actividad que se mide o evalúa de acuerdo con determinados criterios. Pueden ser actividades, operaciones financieras o información.
Por ejemplo, dentro del contexto del programa de ayuda económica el objeto, asunto o materia podría ser:
a. La actividad, que sería el propio programa de ayuda económica y sus operaciones, o
b. Las operaciones financieras del programa, o c. Información, como los estados financieros, o
los informes y cuentas anuales del programa de ayuda económica que la dirección pone a disposición de los auditores.
1.2.3 Las tres partes
Las auditorías de cumplimiento se basan en una relación de tres partes, en la que el auditor trata de obtener evidencia de auditoría suficiente y apropiada con el fin de expresar una conclusión que permita aumentar el grado de confianza de los usuarios previstos, diferentes a la parte responsable, en la medición o evaluación del objeto de la revisión conforme a los criterios establecidos. En todas las auditorías de cumplimiento tenemos:
• Una parte responsable/entidad auditada (normalmente una agencia gubernamental) que recibe fondos para actividades específicas,
• Los usuarios previstos (Parlamento/Congreso) que asignan los fondos a las agencias gubernamentales y esperan que dichos fondos se usen conforme a las disposiciones legales y normativas establecidas y con estricta observancia de los principios generales que rigen una administración financiera sólida y el comportamiento de los funcionarios públicos, y
• Las EFS que llevan a cabo la auditoría en representación del Parlamento/Congreso y que determinan si los fondos se usaron o no conforme a los criterios.
En el caso de nuestro ejemplo, la Oficina del Programa de Ayuda Económica es la parte responsable, mientras que el presunto usuario es el Parlamento/Congreso.
Parlamento/Congreso
USUARIO PREVISTO La
EFS ELEMENTOS DE UNA AUDITORÍA
El Gobierno
AUDITOR PARTE
RESPONSABLE
1.2.4 Nivel de seguridad
Los usuarios previstos desean tener la seguridad de que la información que se les proporciona es lo suficientemente confiable y relevante como para tomar decisiones. Por lo tanto, las auditorías deben proporcionarles información basada en evidencia suficiente y apropiada. Es por eso que los auditores necesitan llevar a cabo procedimientos que les permitan reducir o administrar el riesgo de llegar a conclusiones inadecuadas y proporcionar información confiable a los usuarios previstos de manera que éstos puedan tomar decisiones informadas, de lo contrario podría confundirlos y hacer que tomaran decisiones equivocadas. Por
ejemplo, el presunto usuario
(Parlamento/Congreso) autoriza al gobierno a cobrar y usar los impuestos con el objetivo de
proporcionar servicios básicos. El
(Parlamento/Congreso) desea saber si la parte responsable (la agencia gubernamental) ha usado los fondos que le han sido asignados conforme a las disposiciones legales y normativas aplicables (leyes, reglamentos, etc.). Para ello el Parlamento/Congreso desea que una tercera parte le dé la seguridad de que dichos fondos se han usado de esta manera. En este caso, las EFS de todo el mundo son las más capacitadas para proporcionar esta seguridad con base en su trabajo.
En el ejemplo del programa de ayuda económica, la EFS puede dar la seguridad de que el dinero asignado a la agencia se ha empleado conforme a las disposiciones legales y normativas aplicables. El nivel de seguridad que se puede dar al presunto usuario debe comunicarse de manera transparente. Sin embargo, debido a las limitaciones inherentes, las auditorías nunca pueden dar una seguridad absoluta. En una auditoría la seguridad puede ser razonable o limitada. Asimismo, la seguridad razonable es alta pero no absoluta. Estos elementos se explican con detalle en el siguiente capítulo que trata sobre los principales conceptos de las auditorías de cumplimiento.
1.3 ¿QUÉ ES LO QUE EL
AUDITOR BUSCA EN LAS
DIFERENTES AUDITORÍAS?
Normalmente las EFS llevan a cabo tres tipos de auditoría: auditorías financieras, auditorías de cumplimiento y auditorías de desempeño. La definición y contexto de la auditoría de cumplimiento ya se ha dado arriba. Aquí es importante entender las auditorías financieras y de desempeño, así como la forma en que son diferentes de las auditorías de cumplimiento y lo que los auditores buscan en particular en cada una ellas.
Auditoría financiera
La auditoría financiera (financial audit en inglés) trata de determinar si la información financiera de una entidad se presenta en conformidad con el marco regulatorio y de información financiera aplicable5.
Para ello los auditores buscan irregularidades y representaciones erróneas que pudieran tener un impacto significativo en la información presentada en los estados financieros. Una irregularidad o representación errónea de importancia relativa es algo que pudiera forzar a los individuos con un conocimiento promedio del objeto de la revisión a cambiar sus puntos de vista sobre las aseveraciones hechas en los estados financieros.
Auditoría de desempeño
La auditoría de desempeño o rendimiento (performance audit en inglés) es un análisis independiente, objetivo y confiable que permite determinar si los proyectos, sistemas, operaciones, programas, actividades u organizaciones del gobierno están operando en conformidad con los principios de economía, eficiencia y eficacia, y si hay lugar para mejoras6.
Aquí los auditores revisan cualquier objeto, materia o asunto desde el punto de vista de la economía,
5 ISSAI 100.22
eficiencia y eficacia. ¿El gobierno está usando los recursos de manera económica al manejar un asunto? ¿La relación de entradas y salidas en las operaciones cubiertas por la auditoría es óptima? ¿La entidad gubernamental es capaz de alcanzar los resultados y efectos esperados?
Auditoría de cumplimiento
La auditoría de cumplimiento (compliance audit en inglés) es una evaluación independiente para determinar si un asunto dado cumple con las disposiciones legales y normativas aplicables identificadas como criterios. Esto se hace evaluando si las actividades, operaciones financieras e información cumplen, en todos los aspectos importantes, con las disposiciones legales y normativas que regulan a la entidad auditada7.
Así pues, ¿qué es lo que el auditor busca en una auditoría de cumplimiento? ¿Trata de saber si el objeto de la revisión cumple con las disposiciones legales y normativas que rigen una administración financiera sólida y el comportamiento de los funcionarios públicos?
1.4 DIFERENTES FORMAS DE
LLEVAR A CABO UNA
AUDITORÍA DE CUMPLIMIENTO
En la práctica muchas EFS hacen su auditoría anual incluyendo diferentes tipos de auditorías o combinando auditorías financieras, de cumplimiento o de desempeño. De este modo, la auditoría de cumplimiento también puede combinarse con la auditoría financiera y de desempeño. La ISSAI 100 señala que las EFS pueden conducir auditorías combinadas incorporando aspectos financieros, de desempeño y/o cumplimiento. A continuación se describen diferentes formas en que se puede conducir una auditoría de cumplimiento:
7 ISSAI 400.12
1.4.1 La auditoría de
cumplimiento como una
actividad independiente
Algunas EFS llevan a cabo auditorías de cumplimiento como un trabajo independiente. Esto significa que la auditoría de cumplimiento se hace sola sin estar en combinación con una auditoría financiera o de desempeño. Las ISSAI estipulan que las auditorías de cumplimiento llevadas a cabo de forma separada pueden planearse, realizarse y reportarse independientemente de las auditorías de estados financieros y de las auditorías de desempeño. Asimismo pueden realizarse de manera regular o sobre una base ad-hoc como auditorías distintas y claramente definidas, cada una relacionada con un asunto específico8.
La ISSAI 4100 describe las consideraciones clave aplicables a auditorías de cumplimiento realizadas por las EFS como un trabajo independiente, lo cual se explicará con mayor detalle en los siguientes capítulos.
1.4.2 La auditoría de
cumplimiento junto con otros
tipos de auditorías
Las auditorías de cumplimiento pueden realizarse no sólo de forma separada sino también en combinación con otros tipos de auditorías, por ejemplo, en conjunto con una auditoría de estados financieros o con una auditoría de desempeño. Diferentes EFS pueden usar distintos enfoques para llevar a cabo auditorías combinadas. Puede ser relevante ver cómo las ISSAI tratan el combinar auditorías de cumplimiento con los otros dos tipos de auditoría.
Las auditorías de cumplimiento
en relación con la auditoría de
estados financieros
Muchas EFS siguen la práctica de combinar sus auditorías de estados financieros con aspectos de
8 ISSAI 400.25
cumplimiento dentro de un solo proceso. Las auditorías de cumplimiento abarcan mucho más que las auditorías financieras y le permiten al auditor tener una imagen más amplia. El poder legislativo, como parte del proceso democrático, establece las prioridades para los ingresos y egresos del sector público, así como para el cálculo y asignación de los mismos. Las premisas de los órganos legislativos y las decisiones que toman son la fuente de las disposiciones legales y normativas que regulan los flujos de efectivo en el sector público. El cumplimiento de dichas disposiciones legales y normativas constituye una perspectiva más amplia junto con la auditoría de estados financieros en la ejecución presupuestaria. Combinar las auditorías financieras y de cumplimiento le permite al auditor tener la seguridad de que no sólo los estados financieros están libres de representaciones erróneas de importancia relativa, sino también de que las actividades, operaciones financieras e información cumplen, en todos los aspectos importantes, con las disposiciones legales y normativas o leyes que rigen a la entidad auditada.
Las leyes y reglamentos son importantes tanto en las auditorías de cumplimiento como en las auditorías financieras. Sin embargo, mientras que en una auditoría de estados financieros, son relevantes sólo aquellas leyes y reglamentos que tienen un efecto directo e importante en los estados financieros, en las auditorías de cumplimiento puede aplicarse cualquier ley y reglamento relevante para el objeto de la revisión9.
La ISSAI 4200 señala que el auditor debe considerar todos los asuntos que se incluyen en una auditoría combinada del sector público. Es importante que esta norma se lea y comprenda junto con las ISSAI 1000-2999 de auditoría financiera. Cuando se aplica en combinación con las Directrices de Auditoría Financiera, la ISSAI 4200 le proporciona a los auditores un conjunto completo de lineamientos para las auditorías de los estados financieros del sector público.
9 ISSAI 400.23
Auditorías de cumplimiento en
combinación con auditorías de
desempeño
Cuando las auditorías de cumplimiento son parte de una auditoría de desempeño, el cumplimiento se ve como uno de los aspectos de la economía, eficiencia y eficacia10. En las auditorías
combinadas de este tipo, los auditores deben hacer uso de su juicio profesional para decidir si el desempeño o el cumplimiento son el objetivo principal de la auditoría y determinar el alcance y los criterios de la misma.
Las siguientes son algunas de las diferencias que hay entre las auditorías de desempeño y las auditorías de cumplimiento que nos pueden ayudar a entender mejor al momento de decidir el enfoque primario de una auditoría:
• En una auditoría de desempeño un incumplimiento puede ser la causa, explicación o consecuencia del estado de las actividades sujetas a auditoría, mientras que en una auditoría de cumplimiento el auditor evalúa el grado con el que la entidad auditada (a través de sus funcionarios) sigue las reglas, leyes y reglamentos, políticas, códigos o términos acordados que regulan dicha entidad.
• En una auditoría de desempeño los auditores buscan saber si la entidad auditada está operando o no de manera económica, eficiente y eficaz. Estos parámetros son una parte integral de la definición de las auditorías de desempeño. El concepto básico es que si una entidad auditada utiliza los recursos de manera económica genera más valor para los insumos que recibe y logra el impacto deseado. En las auditorías de desempeño el principal enfoque está en lograr resultados, aunque los aspectos de economía y eficiencia también son relevantes. Por lo tanto, los criterios de desempeño normalmente se basan en consideraciones económicas, de eficiencia y eficacia.
10 ISSAI 400.26
• En las auditorías de cumplimiento los auditores buscan casos de incumplimiento con las disposiciones legales y normativas definidas (es decir, las leyes, políticas, reglas, reglamentos, procedimientos, términos contractuales o acuerdos aplicables) que pudieran tener un efecto importante en los objetivos de la entidad auditada.
1. 5 CÓMO AYUDAN LAS ISSAI
A REALIZAR UNA AUDITORÍA
DE CUMPLIMIENTO
Dentro del contexto anterior no resulta difícil ver que las auditorías de cumplimiento no son algo nuevo en el campo de la fiscalización. Sin embargo, podemos ver grandes variaciones en la práctica de las diferentes EFS. Las Normas Internacionales de Entidades Fiscalizadoras Superiores (ISSAI, por sus siglas en inglés) para las auditorías de cumplimiento11 son principios,
normas y lineamientos generales que proporcionan un marco común de referencia para las EFS y facilitan la convergencia hacia normas y prácticas comunes. Las ISSAI se basan en la experiencia histórica de las EFS y muchas EFS han dado pasos significativos para adoptarlas. A continuación se explican algunas de las formas en que las ISSAI pueden ayudar a las EFS a mejorar la calidad de su trabajo.
• Como base para el desarrollo de normas Algunas EFS llevan a cabo auditorías de cumplimiento de acuerdo con su mandato, pero no cuentan con un marco de referencia que las rija y apoye su trabajo. Estas EFS pueden revisar las ISSAI y desarrollar normas y directrices de acuerdo con ellas para las auditorías de cumplimiento. En estos casos las EFS necesitan tomar en consideración la ISSAI 400: Principios Fundamentales de las Auditorías de Cumplimiento. Es importante que las EFS recuerden que sólo deberá hacerse referencia a los Principios Fundamentales de las Auditorías de Cumplimiento en los informes de auditoría si las normas que han
11 ISSAI 400.4
desarrollado cumplen plenamente con todos los principios relevantes de las auditorías de cumplimiento. Las ISSAI son flexibles en el sentido de que destacan la necesidad de que las EFS tomen en consideración sus mandatos, leyes y reglamentos respectivos al adoptarlas. Por consiguiente, estos principios no están por encima de los mandatos, leyes y reglamentos existentes que rigen las prácticas de auditoría de las EFS.
• Como base para la adopción de normas internas consistentes
Es probable que algunas EFS ya cuenten con normas para realizar sus auditorías de cumplimiento. En estos casos las ISSAI proporcionan un marco de referencia para las EFS, las cuales pueden analizar sus prácticas actuales con respecto a dichas ISSAI, identificar deficiencias y modificar su marco de auditoría de acuerdo con sus circunstancias particulares. Conforme pase el tiempo, las EFS podrán seguir mejorando su marco de auditoría y cumplir eventualmente con las ISSAI.
• Como marco de referencia para la adopción de las Directrices de las Auditorías de Cumplimiento
Otra opción para las EFS es considerar la posibilidad de adoptar las directrices para las auditorías de cumplimiento (ISSAI 4000-4200) como marco de referencia. En algunos ambientes esto puede no ser posible debido a las estructuras administrativas o las leyes y reglamentos que no prestan su apoyo en este sentido. También es importante recordar que las EFS pueden seguir diferentes enfoques para alcanzar estos principios y que estos enfoques pueden incluirse en las políticas, manuales, etc. de la EFS. Actualmente las ISSAI serie 4000 están siendo revisadas y se espera que estén completamente desarrolladas como normas reguladoras para 2016. Sin embargo, esto no impide que las EFS recurran a ellas en busca de orientación en su forma actual, requiriendo la atención de la alta dirección de la EFS en tales casos.
También es probable que algunas EFS conduzcan auditorías de cumplimiento junto con auditorías financieras o de desempeño de acuerdo con sus respectivos mandatos. En este caso, se deberá
cumplir con las ISSAI correspondientes a cada tipo de auditoría adoptadas por las EFS y se deberán hacer las referencias respectivas.
1. 6 PRINCIPIOS DE LA
AUDITORÍA DE CUMPLIMIENTO
La ISSAI 400 describe los principios de las auditorías de cumplimiento, los cuales son fundamentales para su ejecución. Debido a que la naturaleza de la auditoría es iterativa y acumulativa, el auditor deberá considerar estos principios antes de comenzar cualquier auditoría, así como en más de un punto durante el proceso, es decir, durante la planificación y diseño, obtención y evaluación de evidencia, y elaboración y presentación de informes.
Los principios fundamentales se agrupan de acuerdo a principios relacionados con los requisitos organizativos de la EFS, los cuales son los Principios Generales12, y principios relacionados
con pasos específicos del proceso de auditoría, como la planificación, ejecución y presentación de informes.
12 ISSAI 400.4
Los Principios Generales de las auditorías de cumplimiento se describen brevemente en este capítulo, ya que se explicarán con mayor detalle en los siguientes capítulos del manual. Como se puede ver en la Figura 1.4, el auditor deberá ejercer su juicio profesional y su escepticismo a lo largo de todo el trabajo, al mismo tiempo que toma en consideración los otros elementos de los principios generales. Estos elementos deberán estar al nivel de la EFS para garantizar que la auditoría de cumplimiento se realice de conformidad con las normas.
Juicio y escepticismo Control de calidad Habilidades, capacidad y experiencia del equipo de auditoría Riesgo de auditoría Importancia
relativa Documentación Comunicación
Juicio profesional y
escepticismo
Juicio profesional es la aplicación de la capacitación, conocimiento y experiencia necesarias dentro del contexto previsto por las normas de auditoría, de manera que puedan tomarse decisiones informadas acerca del curso de acción más adecuado dadas las circunstancias de la auditoría13. Es la forma en que un auditor ve los
diferentes contextos o situaciones desde diferentes ángulos y perspectivas con base en su conocimiento y experiencia profesional.
Competencia
Juicio Profesional
Actitud
Figura 1.5: Juicio profesional y escepticismo
El escepticismo se refiere a mantener una distancia profesional y una actitud alerta e inquisitiva al evaluar la suficiencia y pertinencia de la evidencia obtenida a lo largo de la auditoría. Por ejemplo, un auditor no debe creer en lo que se da hasta haber obtenido cierta seguridad de que lo dicho es correcto.
Control de calidad
Esto se refiere a que los procesos con los que se cuenta para revisar la calidad general de la auditoría de cumplimiento con el fin de asegurar que la auditoría cumple con las normas aplicables y que el informe, la conclusión o la opinión de la auditoría son apropiados conforme a las circunstancias. Algunas EFS ya han establecido unidades de control de calidad para este propósito. Los informes de auditoría se emiten únicamente
13 ISSAI 400.43
después de que las EFS han hecho esta evaluación. Mayor información sobre el control de calidad se da en la ISSAI 40: Control de Calidad para la EFS.
Habilidades, capacidad y
experiencia del equipo de
auditoría
El equipo de auditoría deberá poseer en conjunto el conocimiento, las habilidades y la experiencia necesarias para completar con éxito la auditoría. Esto incluye un buen conocimiento y experiencia práctica del tipo de auditoría que se está llevando a cabo, así como estar familiarizados con las disposiciones legales y normativas y reglamentos aplicables, comprender las operaciones de la entidad auditada y tener la capacidad y experiencia para emitir un juicio profesional. En todas las auditorías es común la necesidad de contratar personal calificado, ofrecerle oportunidades de desarrollo profesional y capacitación, elaborar manuales y otras guías e instrucciones escritas relativas a la conducción de las auditorías y asignar suficientes recursos para la auditoría. Los auditores deben mantener su nivel de competencia profesional a través de un continuo desarrollo profesional14.
Riesgo de auditoría
El riesgo de auditoría es el riesgo de que el informe, la conclusión o la opinión del auditor sean inapropiados. La auditoría de cumplimiento deberá realizarse para reducir el riesgo de auditoría a un nivel aceptablemente bajo de acuerdo con las circunstancias. Los diferentes componentes del riesgo de auditoría incluyen el riesgo inherente, el riesgo de control y el riesgo de detección.
Importancia relativa
Un objeto de la revisión puede considerarse de importancia relativa si el conocimiento que se tiene de él puede influir en las decisiones de los usuarios previstos. Por ejemplo, el incumplimiento con los términos y condiciones de un contrato de financiamiento se considerará importante si dicho
14 ISSAI 400.45
incumplimiento pudiera hacer que las instituciones que dan el financiamiento dejaran de hacerlo o impusieran controles más estrictos como una condición previa para seguir haciéndolo.
La materialidad o importancia relativa (materiality en inglés) se puede relacionar con una partida individual o con un grupo de partidas tomadas en conjunto. La importancia relativa se considera a menudo en términos de valor, pero también tiene otros aspectos cuantitativos y cualitativos. Las características inherentes de una partida o un grupo de partidas pueden hacer que un objeto de la revisión sea de importancia relativa por su propia naturaleza. Un asunto también puede ser de importancia relativa por el contexto en el que ocurre.
Documentación y comunicación
Contar con suficiente documentación de auditoría es importante en todos los pasos de la auditoría de cumplimiento. Esto es para asegurar que todos los pasos y decisiones tomadas durante la auditoría estén debidamente justificados y documentados de manera que, si un auditor experimentado que no ha tenido conocimiento previo o relación con la auditoría la revisa, entonces la documentación de auditoría le permitirá comprenderla. Mayor información al respecto se dará en el Capítulo 5 de este manual relativo a la Documentación y Comunicación en las auditorías de cumplimiento. Por su parte, la comunicación tiene lugar en todas las etapas de la auditoría: antes de que empiece, durante la fase de planificación inicial, durante la obtención y evaluación de evidencia y en la fase de elaboración y presentación de informes. Es esencial que la entidad auditada junto con la EFS se mantengan informados acerca de todos los asuntos relacionados con la auditoría. Esto resulta clave para desarrollar una relación de trabajo constructiva entre el auditor y la entidad, así como
al interior del equipo de auditoría. También ayudará a mantener a todas las partes informadas acerca del progreso de la auditoría y ayudar de manera efectiva a resolver cualquier asunto que pudiera obstruir la conducción de la auditoría y causar demoras.
La comunicación incluye obtener datos relevantes para la auditoría y proporcionarle a la dirección y los encargados de la administración observaciones oportunas e información sobre los resultados a lo largo de todo el proceso. Cualquier dificultad significativa que se encuentre durante la auditoría, así como los casos importantes de incumplimiento deberán comunicarse al nivel de dirección adecuado o a los encargados de la administración15. Esto ayudará a rectificar cualquier
desviación o hallazgo que el auditor encuentre inmediatamente o en una etapa temprana, en vez de más tarde cuando el impacto del hallazgo pudiera ser importante y difícil de resolver. El auditor también puede tener la responsabilidad de comunicar los objetos de la revisión relacionados con la auditoría a otros usuarios, como los órganos legislativos o de supervisión.
15 ISSAI 400.49
D o c u m e n ta c ió n , C o m u n ic a c ió n , C o n tr o l d e C a li d a d
1.7 PROCESO DE LA AUDITORÍA DE CUMPLIMIENTO
El siguiente diagrama describe los pasos de una auditoría de cumplimiento.
Consideraciones iniciales
• Determinar el alcance de la auditoría de cumplimiento
• Considerar los principios que son éticamente significativos
(p. ej. independencia y objetividad)
• Asegurar que se cuenta con procedimientos de control de
calidad
Planificación de la auditoría
• Determinar los elementos de la auditoría
• Identificar el objeto de la revisión y los criterios
• Tener un conocimiento adecuado de la entidad y su entorno
• Desarrollar una estrategia y plan de auditoría
• Conocer el sistema de control interno
• Establecer la importancia relativa con fines de planificación
• Evaluar los riesgos
• Planear los procedimientos de auditoría para obtener una
seguridad razonable
• Considerar incumplimientos que pudieran revelar posibles
actos irregulares
Ejecución de la auditoría y recopilación de
evidencia
• Reunir evidencia a través de varios medios
• Actualizar continuamente la planificación y evaluación de
riesgos
Evaluación de la evidencia y formación de conclusiones
• Evaluar si se ha obtenido evidencia suficiente y pertinente
• Considerar la importancia relativa para la elaboración y
presentación de los informes
• Sacar conclusiones
• Obtener declaraciones por escrito según sea necesario
• Abordar hechos posteriores según sea necesario
Elaboración de informes
• Preparar el informe
• Incluir recomendaciones y respuestas de la entidad según
corresponda
• Dar seguimiento a informes previos según sea necesario
i. Consideraciones iniciales y
planificación de la auditoría
En la fase inicial los auditores determinan el objetivo y alcance de la auditoría, consideran los principios que son éticamente significativos, es decir, independencia y objetividad, y se aseguran de contar con procedimientos de control de calidad. En la fase de planificación el auditor examina la relación entre el objeto de la revisión, los criterios y el alcance de la auditoría de cumplimiento. Para hacer esto los auditores se guían por su juicio profesional y la necesidad de los usuarios previstos. Una vez que determinan el objeto de la revisión, los criterios y el alcance de la auditoría, los auditores trabajan en la estrategia y el plan de auditoría. Para ello necesitan conocer el sistema de control interno, establecer la importancia relativa, evaluar los riesgos de la entidad y planear los procedimientos como parte del diseño de la auditoría de cumplimiento.
ii. Ejecución de la auditoría y
recopilación de evidencia
En esta fase los auditores reúnen y documentan la evidencia para sacar una conclusión o expresar una opinión respecto a si el objeto de la revisión, en todos los aspectos importantes, cumple con los criterios establecidos. En algunos casos es probable que los auditores tengan que cambiar el alcance de la auditoría de cumplimiento cuando encuentren evidencia que sugiera la necesidad de hacerlo. Por ejemplo, mientras están reuniendo evidencia, los auditores pueden encontrar algo que indica la posibilidad de fraude, por lo que quizá deban modificar sus procedimientos. Asimismo, deberán documentar la razón por la que hicieron cambios en el plan de auditoría.
iii. Evaluación de la evidencia y
formación de conclusiones
Al final de la auditoría los auditores examinan la evidencia para saber si es suficiente y apropiada con el objetivo de sacar una conclusión o expresar una opinión respecto a si el objeto de la revisión cumple o no con los criterios establecidos. En esta
etapa el auditor debe considerar la importancia relativa para la elaboración y presentación de informes.
iv. Elaboración de informes
La conclusión u opinión se presenta en forma de informe dirigido al presunto usuario. Aquí el auditor incluye las recomendaciones y respuestas de la entidad.
En los siguientes capítulos este manual presenta información adicional sobre los elementos de la auditoría de cumplimiento. También tiene capítulos separados sobre los pasos que debe seguir la auditoría de cumplimiento. Es importante recordar que, como se muestra en la Figura 1.6, la documentación, comunicación y control de calidad corren a lo largo de todo el proceso y son requisitos significativos de las ISSAI, por lo que deben considerarse en todas las etapas de la auditoría.
1.8 CONCLUSIÓN
Para muchas EFS la auditoría de cumplimiento es su actividad central. Es distinta de los otros tipos de auditoría ya que se enfoca en asegurar que las entidades auditadas o el objeto, materia o asunto cumplan con las leyes, reglas, reglamentos, procedimientos, términos contractuales y/o acuerdos aplicables. Asimismo, puede realizarse como una actividad independiente o junto con auditorías financieras y de desempeño. Las ISSAI le dan a las EFS la oportunidad de revisar sus prácticas actuales y modificarlas tanto como su mandato, leyes y reglamentos lo permitan. En el siguiente capítulo describiremos con detalle los principales conceptos de la auditoría de cumplimiento. Acto seguido se explicarán las fases de la auditoría de cumplimiento, es decir, la planificación y el diseño de la auditoría, la recopilación de evidencia, la evaluación de la evidencia, la formación de conclusiones, y la elaboración de informes.
Capítulo 2:
Principales conceptos de las
auditorías de cumplimiento
2.1 INTRODUCCIÓN
Este capítulo se basa en los conceptos básicos de la auditoría de cumplimiento proporcionados en el primer capítulo. El capítulo se enfoca en el concepto de seguridad, explicando las similitudes y diferencias que hay entre los diferentes niveles de seguridad que las EFS le dan a los usuarios previstos: seguridad razonable y seguridad limitada.
2.2 DEFINICIÓN DE AUDITORÍA
Y DE AUDITORÍA DE
CUMPLIMIENTO
Como se definió en el Capítulo 1, "las auditorías del sector público pueden describirse como un proceso sistemático para obtener y evaluar de manera objetiva evidencia que permita determinar si la información o las condiciones actuales se ajustan a los criterios establecidos”1. La auditoría
de cumplimiento se basa en esta definición con un enfoque específico en los criterios derivados de las normas (para una definición de “criterios”, véase la sección 2. 4).
La auditoría de cumplimiento es una evaluación independiente para determinar si un objeto de revisión dado cumple con las disposiciones legales y normativas aplicables identificadas como criterios. Las auditorías de cumplimiento se llevan a cabo para evaluar si las actividades, las operaciones financieras y la información cumplen, en todos los aspectos importantes, con las disposiciones legales y normativas que regulan a la entidad auditada2.
Las ISSAI también definen las partes de una auditoría de cumplimiento, así como la relación que existe entre ellas:
Las auditorías de cumplimiento se basan en una relación de tres partes, en la que el auditor trata de obtener evidencia de auditoría suficiente y apropiada con el fin de expresar una conclusión que permita aumentar el grado de confianza de los
1 ISSAI 100.18.
2 ISSAI 400.12.
usuarios previstos, diferentes a la parte responsable, en la medición o evaluación del objeto de la revisión conforme a los criterios establecidos3.
Con base en las definiciones anteriores, este capítulo examinará los siguientes conceptos:
• El objeto de la revisión y la información del mismo
• Las disposiciones legales y normativas, así como los criterios
• El riesgo de auditoría
• La importancia relativa
• La relación de las tres partes
→el auditor
→la parte responsable →los usuarios previstos
• El nivel de seguridad
→trabajos de seguridad razonable
→trabajos de seguridad limitada
• Los trabajos de certificación (compromisos de atestiguamiento) y de información directa (compromisos de elaboración de informes directos)
• El juicio profesional y el escepticismo
2.3 OBJETO DE LA REVISIÓN E
INFORMACIÓN DEL OBJETO DE
LA REVISIÓN
Las ISSAI establecen que "… dentro del contexto de las auditorías de cumplimiento, la responsabilidad del auditor incluye determinar si la información relacionada con un objeto de la revisión en particular cumple, en todos los aspectos importantes, con los criterios relevantes, como leyes, reglamentos, directivas, términos contractuales, acuerdos, etc.”4
El objeto de la revisión (subject matter en inglés) depende del mandato de la EFS, las disposiciones legales y normativas relevantes y el alcance de la auditoría. Debido a esto, el contenido y alcance del objeto de la revisión de la auditoría de cumplimiento puede variar ampliamente. Puede
3 ISSAI 400.35.
tomar diversas formas y tener diferentes características dependiendo del objetivo y alcance de la auditoría5. Por ejemplo, puede referirse a la
información, situación o actividad que se está midiendo o evaluando conforme a determinados criterios.
Por su parte, la información del objeto de la revisión (subject matter information en inglés) se refiere al resultado de evaluar o medir el objeto de la revisión de acuerdo a los criterios.
Ejemplo 1: Objeto de la revisión: Desempeño financiero
y uso de los fondos asignados a una entidad del gobierno. Información del objeto: Información financiera, como por ejemplo los estados financieros.
Ejemplo 2: Objeto de la revisión: Gastos relacionados
con las actividades de capacitación de una entidad del gobierno. Información del objeto: Información e informes financieros de las actividades de capacitación.
La auditoría de cumplimiento evalúa el objeto de la revisión o la información del objeto de la revisión, de acuerdo con los criterios relevantes. Mayor información acerca de la distinción entre estos dos conceptos se encuentra en la sección 2.7 relativa a los trabajos de certificación (compromisos de atestiguamiento) y de información directa (compromisos de elaboración de informes directos).
Identificación del objeto de la
revisión
La definición de objeto de la revisión en las normas de auditoría de cumplimiento es flexible. Esta flexibilidad responde a las diversas necesidades de las EFS que pueden ver el concepto de manera diferente y les permite concentrar sus recursos donde más se necesitan.
Por ejemplo, en algunas EFS el objeto de la revisión de una auditoría de cumplimiento consiste en una entidad (o la información del objeto como las "cuentas" de la entidad) sin definir un objetivo más específico. Viendo la definición, es posible
5 ISSAI 100.28 e ISSAI 400.33
tomar a la "entidad" como objeto de la revisión. En este caso el alcance de la auditoría cubrirá todas las actividades de la entidad y las disposiciones legales y normativas que la regula. Sin embargo, dar una conclusión sobre un objetivo tan amplio puede representar un gran reto.
Por esta razón, las ISSAI reconocen la relación entre el objeto de la revisión y el alcance de las auditorías de cumplimiento. La definición dada arriba señala que "el objeto de la revisión depende del mandato de la EFS, las disposiciones legales y normativas relevantes y el alcance de la auditoría." Esto significa que cuando los auditores planean una auditoría de cumplimiento, normalmente empiezan con un objeto de revisión más grande, como la entidad, pero conforme van delimitando el objetivo durante el proceso de planificación modifican el objeto de la revisión y alcance para tener una auditoría más enfocada, cuyos resultados serán más significativos para los usuarios.
Por ejemplo, los auditores pueden empezar la planificación considerando al "sistema de salud" como el objeto de la revisión y eventualmente delimitar su alcance para auditar "el suministro de agua potable":
Ejemplo: Alcance de la auditoría de cumplimiento de
una Iniciativa para el Suministro de Agua Potable.
La EFS de Paquistán incluyó al Sector Salud en su plan de auditoría de 2013 debido a que el sector recibió un considerable apoyo por parte del gobierno y diversas instituciones financieras durante los últimos años. Lo que llamó la atención sobre esta área fue la baja en los indicadores clave de salud a pesar de las grandes inversiones, así como los informes de los medios de comunicación que criticaban el manejo indebido de los problemas de salud pública por parte del gobierno.
Al principio los auditores pensaron en cubrir los mecanismos para la prestación de servicios desde las instituciones de salud primarias hasta las terciarias. El país contaba con un elaborado marco legal que incluía disposiciones constitucionales y otras políticas y procedimientos para darle servicios de salud a todos los ciudadanos. Sin embargo, durante el proceso de planificación los auditores descubrieron que muchos indicadores estaban relacionados con la baja calidad del agua potable. Estos eran entre otros la tasa de mortalidad infantil, la salud materna y la proporción de
niños por debajo de los cinco años con problemas de desnutrición que mostraban una baja en los indicadores. Al mismo tiempo, los auditores notaron que una parte importante del financiamiento del sector salud se usaba para crear instalaciones de agua potable para la gente pobre y vulnerable del país, por lo que decidieron delimitar el alcance de la auditoría únicamente al suministro de agua potable.
La revisión de los auditores del proceso de planificación también indicó que se disponía de parámetros y criterios apropiados para este trabajo.
En algunos países el objeto de la revisión de las auditorías de cumplimiento puede estar indicado por las leyes, mientras que en otros puede estar determinado por la evaluación de riesgos y la aplicación del juicio profesional. Por ejemplo, en algunas EFS las entidades auditables se han clasificado en entidades de alto, mediano y bajo riesgo. De esta manera, las EFS llevan a cabo auditorías de cumplimiento de las entidades de alto riesgo cada año, mientras que las de mediano y bajo riesgo se auditan cada tres años. Las EFS deben desarrollar una forma para determinar el objeto de la revisión de las auditorías de cumplimiento tomando en consideración sus circunstancias particulares y la flexibilidad disponible dentro del marco de las ISSAI.
2.4 DISPOSICIONES LEGALES Y
NORMATIVAS (AUTORIDADES)
Las disposiciones legales y normativas (authorities en inglés) son el elemento fundamental de las auditorías de cumplimiento, ya que su estructura y contenido constituyen los criterios para la auditoría y, por lo tanto, son la base para saber cómo debe proceder la auditoría bajo un acuerdo constitucional específico. Estas disposiciones legales y normativas pueden incluir reglas, leyes y reglamentos, resoluciones presupuestarias, políticas, códigos, términos acordados o los principios generales que rigen una sólida administración financiera del sector público y la conducta de los funcionarios públicos6.
6 ISSAI 400.28 y 29.
La cantidad de trabajo que el auditor debe realizar para obtener un conocimiento suficiente del marco legal y regulatorio dependerá de la naturaleza y complejidad de las leyes y reglamentos. Sin embargo, el auditor sólo necesita comprender las partes de la legislación que son relevantes para la auditoría. En todos los casos, la entidad auditada conserva la responsabilidad final por asegurar el cumplimiento con las leyes y reglamentos aplicables.
Disposiciones legales y
normativas contradictorias
Debido a la gran variedad de posibles disposiciones legales y normativas, puede ser que algunas de sus disposiciones entren en conflicto y estén sujetas a diferentes interpretaciones. Además, las disposiciones legales y normativas subordinadas pueden no ser consistentes con los requerimientos o límites de la legislación aplicable y existir vacíos legislativos. Como resultado, para evaluar el cumplimiento con estas disposiciones legales y normativas en el sector público es necesario contar con un buen conocimiento de la estructura y contenido de las mismas7.
Si el auditor identifica disposiciones legales y normativas contradictorias, es importante que considere su jerarquía: el nivel más alto de disposiciones legales y normativas prevalecerá sobre sus subordinadas. Por ejemplo, si algo se ha definido en la ley acerca del objeto de la revisión, los reglamentos internos de una entidad deberán estar en línea con esta ley. De no ser así, los auditores deberán señalar la contradicción y, si su mandato se los permite, recomendar un cambio en los reglamentos.
De manera similar, en los casos en los que los auditores tengan duda acerca de la correcta interpretación de una norma, deberán revisar la información de respaldo para comprender la intención y las premisas de la ley antes de usar esta norma como parámetro. Cuando enfrenten esta situación, los auditores podrán traerla a la atención de sus superiores de manera que se siga el curso de acción más adecuado durante la auditoría.
7 ISSAI 400.30.