El reglamento de la auditoría interna aprobado por la junta directiva y el criterio profesional del director ejecutivo de auditoría determinaran las directrices respecto a los casos en los cuales los informes se presentan a la Junta Directiva y/o Comité de Auditoría y los casos en los cuales se presentan al representante legal.
«(…) comunicación radicada con el numero citado, a través de la cual, luego de citar algunos numerales de la Circular Externa 038 de 2009 y de referirse a las normas para el Ejercicio Profesional de la Auditoría Interna, formula las siguientes inquietudes, las cuales serán atendidas en el orden en que fueron presentadas, señalando previamente, que si bien las entidades pueden implementar buenas practicas, estas no sustituyen el cumplimiento de lo establecido por esta Superintendencia en la circular citada.
1. Cuando el DEA (Director Ejecutivo de Auditoria-llámese Contralor, Auditor Interno, Jefe de Control y/o similares) de una entidad supervisada por la Superintendencia Financiera de Colombia, considera y aplica en sus informes de auditoría los criterios para la comunicación de resultados conforme el Consejo para la practica 2410-1 y 2420-1, Anexos, debe entenderse que da estricto cumplimiento a lo establecido por la Superintendencia Financiera de Colombia en el numeral 7.7.1.4.2.2.1 Administración de la Actividad de Auditoría Interna Literal –VI- Informes?
El literal vi del numeral 7.7.1.4.2.2.1 de la Circular Externa 038 de 2009 en relación con los informes que debe emitir el auditor interno o quien haga sus veces, establece que los mismos deben ser precisos, objetivos, claros, constructivos y oportunos. Así mismo, exige que estén debidamente soportados en evidencias suficientes y que realicen seguimiento a las acciones tomadas por la administración frente a estas comunicaciones.
Por su parte, los Consejos para la Practica 2410-1 y 2420-1, señalan en su orden aspectos relacionados con la calidad de las comunicaciones que debe emitir el auditor interno y los criterios que las mismas deben atender. Sin embargo, observamos que la mención de los resultados del seguimiento a las acciones tomadas por la administración frente a las observaciones formuladas es facultativo, en cuanto señalan que “…las comunicaciones finales del trabajo pueden incluir antecedentes y resúmenes. (…) También pueden incluir la situación de las observaciones, conclusiones y recomendaciones anteriores…”. No obstante lo anterior, cabe recordar que según el numeral 4 del Consejo para la practica 2410-1 el auditor debe reportar los resultados de su trabajo a la gerencia de la actividad auditada y a aquellos miembros de la organización que pueden asegurar que se prestara la debida atención a los mismos, que se adoptaran las acciones correctivas a que haya lugar o que se asegurarán que se sigan las mismas, situación que debe ser verificada por el auditor.
En este orden de ideas, el hecho de que el auditor interno considere y aplique en sus informes de auditoría los Consejos para la Practica citados, por si solo no permite entender que se esté dando estricto cumplimiento a lo dispuesto en el literal vi del numeral 7.7.1.4.2.2.1. El cumplimiento de esta previsión solo puede establecerse en cada caso en particular, a partir de la evaluación del contenido de los informes que presente el auditor y de las evidencias que lo soporten y del seguimiento que en los mismos se haga a las recomendaciones formuladas por el citado órgano de control.
2. Cuando el DEA (Director Ejecutivo de Auditoria-llámese Contralor, Auditor Interno, Jefe de Control y/o similares) de una entidad supervisada por la Superintendencia Financiera de Colombia, considera y aplica en sus informes de auditoría los criterios para la comunicación de resultados conforme el Consejo para la practica 2410-1 Anexo, específicamente el numeral 4, debe entenderse que está dando cumplimiento a lo establecido por la SFC en el numeral 7.7.1.4.2.2.7 Funciones-Literal IX que textualmente indica: “IX, Presentar comunicaciones e informes periódicos al comité de auditoría o a la junta directiva o a la administración cuando lo estime conveniente, sobre el resultado del ejercicio de sus funciones.”
El citado numeral 4 del Consejo para la Practica 2410-1 señala que “El DEA distribuye las comunicaciones finales del trabajo a la gerencia de la actividad auditada y a aquellos miembros de la organización que pueden asegurar que se presentara debida atención a los resultados del trabajo y seguirán las acciones correctivas o aseguraran que se sigan las mismas. Cuando sea apropiado, el DEA puede enviar una comunicación resumida a miembros de más alto nivel en la organización. Cuando lo exige el estatuto de auditoría interna o la política de la organización, el DEA también envía las comunicaciones a otros interesados o partes afectadas, tales como los auditores externos y el consejo de administración.”
Sobre el particular, observamos que el mencionado numeral 4 se refiere a las comunicaciones finales del trabajo del auditor interno, mientras que el literal ix del numeral 7.7.1.4.2.2.7 de la Circular Externa 038 de 2009 hace alusión a las comunicaciones e informes periódicos, lo cual incluye además del informe final, los informes intermedios a que haya lugar.
En este sentido, no puede perderse de vista que el numeral 7.7.1.4.2.2.5 de la Circular Externa 038 de 2009, establece que por lo menos al cierre de cada ejercicio, el auditor interno o quien haga sus veces deberá presentar un informe de su gestión y su evaluación sobre la eficacia del sistema de control, incluyendo todos los elementos, el cual debe contener los aspectos enunciados en el mismo numeral.
De otra parte, de acuerdo con lo previsto en el literal xii del numeral 7.7.1.4.2.2.7 es una función del auditor interno o quien haga sus veces, presentar a la junta directiva, por lo menos al cierre de cada ejercicio, un informe acerca de los resultados de su labor incluyendo, entre otros aspectos, las deficiencias detectadas en el SCI. En tal sentido, si durante el transcurso del ejercicio se presentan circunstancias que así lo ameritan, el referido auditor debe presentar ante los órganos competentes el informe correspondiente, sin esperar al cierre del periodo.
Así las cosas, consideramos que además del informe final de cada ejercicio al que se refiere el numeral 4 del Consejo para la Practica 2440-1, para atender adecuadamente lo establecido en el numeral 7.7.1.4.2.2.7 de la mencionada Circular Externa 038, al auditor debe presentar los informes intermedios que resulten pertinentes.
3. Cuando el DEA (Director Ejecutivo de Auditoria-llámese Contralor, Auditor Interno, Jefe de Control y/o similares) en aplicación del contenido del Consejo para la practica 2440-1 (Adjunto) y en consideración al tamaño de la Unidad de Auditoría Interna, designa a los auditores jefes a cargo de cada una de las áreas en que este subdividida la Unidad, como responsables del proceso de auditoría y por ende encargados de suscribir los informes de auditoría dirigidos a las gerencias de línea y/o responsables de las unidades auditadas, quienes en cumplimiento de sus funciones serian los encargados de acoger y subsanar las deficiencias y/o hallazgos de la auditoría, debe entenderse que esta (sic) dando cumplimiento a lo establecido por la Superintendencia Financiera de Colombia en el numeral 7.7.1.4.2.2.7 Funciones -Literal IX, que textualmente indica “IX. Presentar comunicaciones e informes periódicos al comité de auditoría o a la junta directiva o a la administración cuando lo estime conveniente, sobre el resultado del ejercicio de sus funciones”.
En relación con la previsión contenida en el literal ix del numeral 7.7.1.4.2.2.7 de la Circular Externa 038 de 2009, debemos precisar, que los destinatarios de los informes del auditor interno pueden ser, según resulte pertinente según el caso, el comité de auditoría o la junta directiva o el representante legal principal, sin perjuicio de los informes que se entreguen a los responsables de las unidades auditadas.
En tal sentido, los informes que los auditores a cargo de la s aéreas presenten a los responsables de las unidades de negocio auditadas no sustituyen los informes que el director ejecutivo del área de auditoría interna debe presentar al comité de auditoría o la junta directiva o la administración de la entidad, según corresponda, en aquellos aspectos que resulten relevantes o materiales para la organización.
4. Bajo la aplicación de la Norma 2440- Difusión de resultados- El director ejecutivo de auditoría debe difundir los resultados a las partes apropiadas. Es necesario que el DEA (Director Ejecutivo de Auditoria-llámese Contralor, Auditor Interno, Jefe de Control y/o similares) remita todas las comunicaciones o informes periodos a las gerencias de línea, ya sea por medio físico o electrónico, los cuales con base en lo indicado en la pregunta anterior estarían firmados por los auditores responsables de área o debería el DEA firmar todos los informes elaborados y remitidos, sin importar el destinatario.
Para atender esta inquietud, debe recordarse que el auditor interno o quien haga sus veces es el responsable de las comunicaciones o informes que deben ser presentados en desarrollo de la gestión que corresponde a la auditoría interna.
En este punto, consideramos pertinente reiterar que el propósito, la autoridad, la responsabilidad y funciones de la auditoría interna deben estar formalmente definidos en un estatuto o documento debidamente aprobado por la junta directiva u órgano equivalente, incluyendo entre otros aspectos lo relativo a la presentación de informes y los destinatarios de los mismos, y por lo tanto, para el adecuado cumplimiento de sus funciones el auditor debe consultar las previsiones contempladas en dicho estatuto.
En todo caso, independientemente de la forma como se estructure la operación del área de auditoría interna para hacer mas eficiente su labor, no puede perderse de vista que la responsabilidad del auditor interno es indelegable.
5. En aplicación del numeral 7.7.1.4.2.2.7 Funciones- Literal IX, que textualmente indica “ix. Presentar comunicaciones e informes periódicos al comité de auditoría o a la junta directiva o a la administración cuando lo estime conveniente, sobre el resultado del ejercicio de sus funciones” deben entenderse como comunicaciones o informes periódicos aquellos que se elaboran y emiten en cumplimiento al plan anual de auditoría y algunos extraordinarios, si llegasen a presentarse?
Del texto del literal ix citado, se concluye que las comunicaciones e informes periódicos deben ser emitidas cuando así lo estime conveniente el auditor interno o quien haga sus veces. Así las cosas, al momento de establecer el plan anual de auditoría el auditor interno puede considerar pertinente contemplar, además del informe final, la presentación de comunicaciones e informes intermedios sobre el resultado de sus funciones en determinados periodos o fechas.
La ‘conveniencia’ va en función de una adecuada planeación. Así, si se atienden los atributos de una buena planeación y se generan informes acordes al tamaño, complejidad y riegos de la organización, se cumple con la exigencia de la norma.
Lo anterior, independientemente de los informes extraordinarios que el auditor interno deba presentar cuando detecte irregularidades graves que ameriten la atención inmediata de los órganos competentes, tal como se establece en el inciso final del numeral 7.7.1.4.2.2.6, los cuales dada su calidad de extraordinarios no pueden ser considerados como periódicos.
6. Bajo el numeral 7.7.1.4.2.2.7 Funciones- Literal IX que textualmente indica “ix. Presentar comunicaciones e informes periódicos al comité de auditoría o a la junta directiva o a la administración cuando lo estime conveniente, sobre el resultado de ejercicios de sus funciones” Que (sic) niveles de la organización deben considerarse o estarían cobijados bajo el término “la administración” Ej. Primer nivel – Presidente o representante Legal; Segundo Nivel Vicepresidentes o Gerentes de Línea, etc.?
Para efectos de lo establecido en el numeral 7.7.1.4.2.2.7, literal ix de la Circular Externa 038 de 2009, se aplica la definición contenida en el artículo 22 de la Ley 222 de 1995, según el cual son administradores el representante legal, el liquidador, los miembros de juntas o consejos directivos y quienes de acuerdo con los estatutos ejerzan o detenten estas funciones. En tal sentido, las comunicaciones e informes periódicos deben ser presentados al representante legal principal en cuanto resulten pertinentes o necesarios para su adecuado cumplimiento, estén relacionadas con su gestión o demanden su actuación para la adopción de las recomendaciones formuladas por la auditoría interna, a menos que por su contenido resulte pertinente su presentación exclusivamente ante los miembros de la junta o consejo directivo o el comité de auditoría.
Ahora bien, es de reiterar que la labor del auditor interno está determinada igualmente por las funciones y responsabilidades que se establezcan en el correspondiente estatuto o documento interno aprobado por la junta directiva, por lo tanto, en este podrá determinarse la presentación de comunicaciones e informes a otros niveles de la entidad.
7. En atención al numeral 7.7.1.4.2.2.7 Funciones – Literal IX, que textualmente reza “ix. Presentar comunicaciones e informes periódicos al comité de auditoría o a la Junta directiva o a la administración cuando lo estime conveniente, sobre el resultado del ejercicios de sus funciones.” la opción permitida de cuando lo estime conveniente, facultaría al DEA (Director Ejecutivo de Auditoria-llámese Contralor, Auditor Interno, Jefe de Control y/o similares), para presentar solo los informes a la Junta Directiva y/o Comité de Auditoría sin estar obligado a entregar a la Presidencia / Representante Legal, todos los informes que emita la Unidad de Auditoría Interna o quien haga sus veces?
Como se ha señalado anteriormente, el reglamento de la auditoría interna aprobado por la junta directiva y el criterio profesional del director ejecutivo de auditoría determinaran las directrices respecto a los casos en los cuales los informes se presentan a la Junta Directiva y/o Comité de Auditoría y los casos en los cuales se presentan al representante legal.
En tal sentido, cuando por la especial naturaleza de los hallazgos el director ejecutivo de auditoría considere inconveniente la presentación del informe al representante legal, puede presentarlo exclusivamente a la Junta Directiva y/o Comité de Auditoría.
De otra parte, es de precisar que la expresión ‘en cuanto lo estime conveniente’ contenida en el literal ix del numeral 7.7.1.4.2.2.7. debe ser entendida dentro del ejercicio integro de la función de auditoría, es decir, asociada al cumplimiento de los deberes de planeación adecuada, cobertura y alcance de la auditoria, cumplimiento de normas y prácticas del ejercicio de la auditoría interna como un todo. La representación por lo tanto no es discrecional, debe responder a la ejecución plena de las demás actividades que corresponde desarrollar al auditor interno.
Finalmente, consideramos pertinente reiterar que el apego de la labor del auditor interno a lo previsto en al Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año, es evaluado por esta Superintendencia en cada caso en particular, sin que se resulte viable para esta Superintendencia emitir conceptos que la validen de manera general.
