TEXTO PAGINA: 33
NORMAS LEGALES El Peruano Lima, domingo 30 de noviembre de 2008 384279 agregar valor y mejorar las operaciones de las empresas, al ayudarlas a cumplir sus objetivos aportando un enfoque sistemático y disciplinado en la evaluación y mejora de la efi cacia de la gestión de riesgos y del gobierno corporativo. Artículo 5º.- Independencia de la Unidad de Auditoría Interna Las empresas deberán contar con una unidad de auditoría interna, en adelante UAI, que informará al Comité de Auditoría, cuando exista, y a quien presentará los informes que elabore, salvo que a criterio del auditor deban ser informados también al Directorio La UAI deberá tener la independencia sufi ciente para cumplir sus funciones de manera efectiva, efi ciente y oportuna, contando para ello con todas las facultades y mecanismos para el logro de sus objetivos. La UAI debe tener acceso a la información que requiera para el cumplimiento de sus funciones y el desarrollo de sus exámenes, sin limitación que pueda afectar sus conclusiones, incluyendo aquella que se derive de actas del directorio y de sus Comités, y de cualquier otro órgano de dirección, gerencia o nivel administrativo. Artículo 6º.- Funciones de la Unidad de Auditoría Interna Las funciones que debe desempeñar la UAI incluyen, entre otras, las siguientes: a) Evaluar el diseño, alcance y funcionamiento del control interno. b) Diseñar el Plan y someterlo a consideración del directorio para su aprobación, así como cumplir con las actividades programadas y elaborar los informes que se deriven de las mismas; c) Evaluar el cumplimiento de las disposiciones legales que rigen a las empresas, en el curso de sus exámenes, en particular de la Ley General y las disposiciones emitidas por la Superintendencia; d) Evaluar continuamente la calidad y adecuación de los sistemas informáticos y los mecanismos establecidos por la empresa para garantizar la seguridad de la información; e) Evaluar continuamente el cumplimiento de los manuales de políticas y procedimientos y demás normas internas de la empresa, así como proponer modifi caciones a los mismos; f) Evaluar la implementación oportuna y adecuada de las recomendaciones y medidas para superar las observaciones y recomendaciones formuladas por esta Superintendencia, los auditores externos, así como las realizadas por la propia UAI y, en el caso de las cajas municipales de ahorro y crédito, por la Federación Peruana de Cajas Municipales de Ahorro y Crédito (FEPCMAC); g) Verifi car el cumplimiento del sistema de prevención del lavado de activos y fi nanciamiento del terrorismo. h) Evaluar el cumplimiento de aquellos aspectos que determine esta Superintendencia; y, i) Otras actividades de aseguramiento o consulta que la misma empresa señale. Artículo 7º.- Competencia de la auditoría interna y subcontratación signifi cativa La UAI, cuando es considerada en conjunto, debe reunir u obtener los conocimientos, aptitudes técnicas y otras competencias requeridas para cumplir con sus responsabilidades, de acuerdo a la complejidad y tamaño de la empresa. Competencia de la auditoría interna La UAI y los auditores internos que la conforman deben reunir los conocimientos, las aptitudes técnicas, la experiencia y otras competencias requeridas para el cumplimiento de sus responsabilidades. Toda UAI debe contar con un servicio de auditoría de sistemas de información, que colabore en el logro de sus funciones y objetivos. Este servicio debe contar con personal competente y experiencia específi ca en auditoría de sistemas, apropiado en competencias a la complejidad y tamaño de las operaciones que realiza la empresa, el que podrá ser también subcontratado. La experiencia y especialización requeridos para la práctica profesional de la auditoría interna podrán acreditarse entre otros, mediante certifi caciones profesionales vigentes de prestigio internacional como el Certifi ed Internal Auditor (CIA ), emitido por el Instituto de Auditores Internos (IIA) y el Certifi ed Information Systems Auditor (CISA ), emitido por la Asociación de Auditores en Sistemas de Información ( ISACA ). Subcontratación signifi cativa La subcontratación signifi cativa se defi ne como aquella subcontratación que tiene por objeto reemplazar la mayor parte de las funciones que se le asignan a la UAI, de manera no eventual y con la fi nalidad de acceder a ventajas de índole técnica, de recursos, metodología, entre otras. Este tipo de subcontratación requiere la autorización previa de la Superintendencia, según se indica en la Primera Disposición Final. Cualquiera sea el nivel de subcontratación, el jefe de auditoría continúa siendo responsable de asegurar que la auditoría interna funcione de manera adecuada y efi caz, y de acuerdo a lo previsto en la normatividad vigente y según el acuerdo de nivel de servicio o equivalente. La contratación de servicios específi cos a proveedores de servicios profesionales para el mejor desarrollo de las funciones de la UAI, que no implique una subcontratación signifi cativa, no requiere de autorización previa por esta Superintendencia, debiendo ser informada a este organismo supervisor. El Jefe de Auditoría Interna es responsable de supervisar el cumplimiento del contrato de servicios, asegurar la calidad general de las actividades, informar al Comité de Auditoría, así como efectuar el seguimiento de los resultados del trabajo contratado. Artículo 8º.- Infraestructura y otros recursos La UAI deberá contar con una infraestructura apropiada y con los recursos humanos, técnicos y logísticos, adecuados a la magnitud y complejidad de las operaciones de la empresa, así como a los riesgos que ésta enfrenta. El Directorio es responsable de asegurar las condiciones apropiadas para el desarrollo de la función de auditoría interna. El jefe de auditoría interna y demás auditores internos deben recibir capacitación permanente en materias relacionadas a sus funciones, para lo cual corresponde al jefe de auditoría interna presentar las necesidades de capacitación con relación a los miembros de la UAI, indicando las principales áreas de capacitación y el número de horas requeridas anualmente. Artículo 9°.- Normas y estándares para la práctica de la auditoría interna En lo que no se oponga a lo previsto en la normatividad de la Superintendencia, serán de aplicación las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, así como el Código de Ética emitidos por The Institute of Internal Auditors (IIA ). En el caso de los auditores de sistemas, se tomarán en consideración las directrices de auditoría previstas por el Information Systems Audit and Control Association (ISACA). Artículo 10°.- Auditoría basada en Riesgos (ABR) La Auditoría basada en Riesgos consiste en un conjunto de procesos mediante los cuales la auditoría provee aseguramiento independiente al Directorio acerca de: - Si los procesos y medidas de gestión del riesgo que se encuentran implementadas están funcionando de acuerdo a lo esperado; - Si los procesos de gestión de riesgos son apropiados y están bien diseñados; y, - Si las medidas de control de riesgos que la Gerencia ha implementado son adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el Directorio. La ABR depende del nivel de desarrollo que la propia empresa ha alcanzado en la gestión de riesgos en el área objeto de examen, y el grado en que han sido defi nidos objetivos apropiados por la Gerencia contra los cuales pueden medirse los riesgos asociados. Cuando la empresa cuenta con un sistema de gestión del riesgo adecuado en el (las) área(s) bajo examen, sin perjuicio de la necesidad de verificaciones adicionales propias del debido cuidado profesional, la ABR puede confiar en mayor grado en la evaluación del riesgo que la propia empresa ha realizado, y desarrollar un Plan basado en Riesgos (PBR) que complemente las acciones realizadas por la empresa y aumente el valor de las actividades de la Auditoría Interna. Cuando la empresa cuenta con un sistema de gestión del riesgo Descargado desde www.elperuano.com.pe