Norma Legal Oficial del día 30 de noviembre del año 2008 (30/11/2008)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 33
El Peruano MORDAZA, MORDAZA 30 de noviembre de 2008
NORMAS LEGALES
Descargado desde www.elperuano.com.pe
384279
agregar valor y mejorar las operaciones de las empresas, al ayudarlas a cumplir sus objetivos aportando un enfoque sistematico y disciplinado en la evaluacion y mejora de la eficacia de la gestion de riesgos y del gobierno corporativo.
Auditor (CISA), emitido por la Asociacion de Auditores en Sistemas de Informacion (ISACA). Subcontratacion significativa La subcontratacion significativa se define como aquella subcontratacion que tiene por objeto reemplazar la mayor parte de las funciones que se le asignan a la UAI, de manera no eventual y con la finalidad de acceder a ventajas de indole tecnica, de recursos, metodologia, entre otras. Este MORDAZA de subcontratacion requiere la autorizacion previa de la Superintendencia, segun se indica en la Primera Disposicion Final. Cualquiera sea el nivel de subcontratacion, el jefe de auditoria continua siendo responsable de asegurar que la auditoria interna funcione de manera adecuada y eficaz, y de acuerdo a lo previsto en la normatividad vigente y segun el acuerdo de nivel de servicio o equivalente. La contratacion de servicios especificos a proveedores de servicios profesionales para el mejor desarrollo de las funciones de la UAI, que no implique una subcontratacion significativa, no requiere de autorizacion previa por esta Superintendencia, debiendo ser informada a este organismo supervisor. El Jefe de Auditoria Interna es responsable de supervisar el cumplimiento del contrato de servicios, asegurar la calidad general de las actividades, informar al Comite de Auditoria, asi como efectuar el seguimiento de los resultados del trabajo contratado. Articulo 8º.- Infraestructura y otros recursos La UAI debera contar con una infraestructura apropiada y con los recursos humanos, tecnicos y logisticos, adecuados a la magnitud y complejidad de las operaciones de la empresa, asi como a los riesgos que esta enfrenta. El Directorio es responsable de asegurar las condiciones apropiadas para el desarrollo de la funcion de auditoria interna. El jefe de auditoria interna y demas auditores internos deben recibir capacitacion permanente en materias relacionadas a sus funciones, para lo cual corresponde al jefe de auditoria interna presentar las necesidades de capacitacion con relacion a los miembros de la UAI, indicando las principales areas de capacitacion y el numero de horas requeridas anualmente. Articulo 9°.- Normas y estandares para la practica de la auditoria interna En lo que no se oponga a lo previsto en la normatividad de la Superintendencia, seran de aplicacion las Normas Internacionales para el Ejercicio Profesional de la Auditoria Interna, asi como el Codigo de Etica emitidos por The Institute of Internal Auditors (IIA). En el caso de los auditores de sistemas, se tomaran en consideracion las directrices de auditoria previstas por el Information Systems Audit and Control Association (ISACA). Articulo 10°.- Auditoria basada en Riesgos (ABR) La Auditoria basada en Riesgos consiste en un conjunto de procesos mediante los cuales la auditoria provee aseguramiento independiente al Directorio acerca de: - Si los procesos y medidas de gestion del riesgo que se encuentran implementadas estan funcionando de acuerdo a lo esperado; - Si los procesos de gestion de riesgos son apropiados y estan bien disenados; y, - Si las medidas de control de riesgos que la Gerencia ha implementado son adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el Directorio. La ABR depende del nivel de desarrollo que la propia empresa ha alcanzado en la gestion de riesgos en el area objeto de examen, y el grado en que han sido definidos objetivos apropiados por la Gerencia contra los cuales pueden medirse los riesgos asociados. Cuando la empresa cuenta con un sistema de gestion del riesgo adecuado en el (las) area(s) bajo examen, sin perjuicio de la necesidad de verificaciones adicionales propias del debido cuidado profesional, la ABR puede confiar en mayor grado en la evaluacion del riesgo que la propia empresa ha realizado, y desarrollar un Plan basado en Riesgos (PBR) que complemente las acciones realizadas por la empresa y aumente el valor de las actividades de la Auditoria Interna. Cuando la empresa cuenta con un sistema de gestion del riesgo
Articulo 5º.- Independencia de la Unidad de Auditoria Interna Las empresas deberan contar con una unidad de auditoria interna, en adelante UAI, que informara al Comite de Auditoria, cuando exista, y a quien presentara los informes que elabore, salvo que a criterio del auditor deban ser informados tambien al Directorio La UAI debera tener la independencia suficiente para cumplir sus funciones de manera efectiva, eficiente y oportuna, contando para ello con todas las facultades y mecanismos para el logro de sus objetivos. La UAI debe tener acceso a la informacion que requiera para el cumplimiento de sus funciones y el desarrollo de sus examenes, sin limitacion que pueda afectar sus conclusiones, incluyendo aquella que se derive de actas del directorio y de sus Comites, y de cualquier otro organo de direccion, gerencia o nivel administrativo.
Articulo 6º.- Funciones de la Unidad de Auditoria Interna Las funciones que debe desempenar la UAI incluyen, entre otras, las siguientes: a) Evaluar el diseno, alcance y funcionamiento del control interno. b) Disenar el Plan y someterlo a consideracion del directorio para su aprobacion, asi como cumplir con las actividades programadas y elaborar los informes que se deriven de las mismas; c) Evaluar el cumplimiento de las disposiciones legales que rigen a las empresas, en el curso de sus examenes, en particular de la Ley General y las disposiciones emitidas por la Superintendencia; d) Evaluar continuamente la calidad y adecuacion de los sistemas informaticos y los mecanismos establecidos por la empresa para garantizar la seguridad de la informacion; e) Evaluar continuamente el cumplimiento de los manuales de politicas y procedimientos y demas normas internas de la empresa, asi como proponer modificaciones a los mismos; f) Evaluar la implementacion oportuna y adecuada de las recomendaciones y medidas para superar las observaciones y recomendaciones formuladas por esta Superintendencia, los auditores externos, asi como las realizadas por la propia UAI y, en el caso de las MORDAZA municipales de ahorro y credito, por la Federacion Peruana de MORDAZA Municipales de Ahorro y Credito (FEPCMAC); g) Verificar el cumplimiento del sistema de prevencion del MORDAZA de activos y financiamiento del terrorismo. h) Evaluar el cumplimiento de aquellos aspectos que determine esta Superintendencia; y, i) Otras actividades de aseguramiento o consulta que la misma empresa senale. Articulo 7º.- Competencia de la auditoria interna y subcontratacion significativa La UAI, cuando es considerada en conjunto, debe reunir u obtener los conocimientos, aptitudes tecnicas y otras competencias requeridas para cumplir con sus responsabilidades, de acuerdo a la complejidad y tamano de la empresa. Competencia de la auditoria interna La UAI y los auditores internos que la conforman deben reunir los conocimientos, las aptitudes tecnicas, la experiencia y otras competencias requeridas para el cumplimiento de sus responsabilidades. Toda UAI debe contar con un servicio de auditoria de sistemas de informacion, que colabore en el logro de sus funciones y objetivos. Este servicio debe contar con personal competente y experiencia especifica en auditoria de sistemas, apropiado en competencias a la complejidad y tamano de las operaciones que realiza la empresa, el que podra ser tambien subcontratado. La experiencia y especializacion requeridos para la practica profesional de la auditoria interna podran acreditarse entre otros, mediante certificaciones profesionales vigentes de prestigio internacional como el Certified Internal Auditor (CIA), emitido por el Instituto de Auditores Internos (IIA) y el Certified Information Systems