Normas Jurídicas
de Nicaragua
Materia: Banca y Finanzas
Rango: Resoluciones
-
NORMA SOBRE CONTROL Y AUDITORÍA
INTERNA DE BANCOS Y SOCIEDADES FINANCIERAS
Resolución N° CD-SIBOIF-736-1-JUL11-2012
De fecha 11 de julio de 2012
Publicado en La Gaceta No. 168 del 4 de Septiembre de 2012
NORMA SOBRE CONTROL Y AUDITORÍA INTERNA DE BANCOS Y SOCIEDADES
FINANCIERAS
El Consejo Directivo de la Superintendencia de Bancos y de Otras
Instituciones Financieras,
CONSIDERANDO
I
Que el artículo 41 de la Ley No. 561, Ley General de Bancos,
Instituciones Financieras no Bancarias y Grupos Financieros,
publicada en La Gaceta, Diario Oficial No. 232, del 30 de noviembre
de 2005, en sus partes conducentes establece que sin perjuicio de
la vigilancia y fiscalización de los bancos y sucursales de bancos
extranjeros que corresponden al Superintendente de Bancos, dichos
bancos y sucursales deberán tener un auditor interno a cuyo cargo
estarán las funciones de inspección y fiscalización de las
operaciones y cuentas del respectivo banco o sucursal de banco
extranjero. Asimismo, que el Consejo Directivo de la
Superintendencia podrá dictar normas de carácter general que deben
cumplir los auditores internos de los bancos en el desempeño de sus
funciones.
II
Que una efectiva función de auditoría interna le permite a la
institución financiera evaluar permanentemente la calidad de su
sistema de control interno y reducir potenciales riesgos de
pérdidas y daños; asimismo, ésta constituye un mecanismo
fundamental de apoyo a la supervisión y control que realiza la
Superintendencia.
III
Que resulta necesario actualizar los criterios mínimos requeridos
para el ejercicio de la función de auditoría interna de las
instituciones financieras supervisadas de acuerdo a estándares
internacionales y mejores prácticas en la materia, así como,
adecuar progresivamente sus procedimientos y técnicas de trabajo a
un enfoque de auditoría basada en riesgos (ABR).
IV
Que de acuerdo a lo antes expuesto y con base a las facultades
establecidas en el artículo 10, numerales 2) y 10), de la Ley Nº
316, Ley de la Superintendencia de Bancos y de Otras Instituciones
Financieras, y sus reformas.
En uso de sus facultades,
HA DICTADO
Resolución CD-SIBOIF-736-1-JUL11-2012
La siguiente:
NORMA SOBRE CONTROL Y AUDITORÍA INTERNA DE BANCOS Y SOCIEDADES
FINANCIERAS
CAPÍTULO I
CONCEPTOS, OBJETO Y ALCANCE
Artículo 1. Conceptos.- Para los fines de la presente norma,
los términos indicados en este artículo, tanto en mayúsculas como
en minúsculas, singular o plural, tendrán los significados
siguientes:
a)Actividades no programadas: Exámenes especiales que no se
encuentran previstos en el plan anual de trabajo y que se hacen
necesarios para la evaluación del funcionamiento del sistema de
control interno y de sus diferentes componentes.
b)Actividades programadas: Actividades autorizadas por la
junta directiva de la institución financiera, que deben ser
ejecutadas oportunamente por la Unidad de Auditoría Interna, con el
objetivo de examinar, evaluar y monitorear la adecuación y
efectividad de los sistemas de control interno.
c)Asociación de Control y Auditoría de Sistemas de
Información: Asociación internacional dedicada a desarrollar
estándares internacionales en materia de control y auditoría de
sistemas de información, mejor conocida por sus siglas en inglés
como ISACA (Information System Audit and Control
Association).
d)Auditoría Basada en Riesgos (ABR): Conjunto de procesos
mediante los cuales la unidad de auditoría interna evalúa: i) si
los procesos y medidas de gestión del riesgo que se encuentran
implementadas por la institución financiera están funcionando de
acuerdo a lo esperado; ii) si los procesos de gestión de riesgos
son apropiados y están bien diseñados; y, iii) si las medidas de
control de riesgos que la gerencia general ha implementado son
adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia
aceptado por la junta directiva.
e)Comité de auditoría o comité: El Comité de Auditoría
nombrado por la junta directiva de la institución financiera.
f)Días: Días calendario, salvo que expresamente se
establezca que se refiere a días hábiles.
g)Hechos significativos: Lo constituyen aquellos hechos que
pueden tener impacto material en la liquidez, solvencia, imagen,
entre otros aspectos de la institución. La materialidad de un hecho
dependerá de si éste tiene el potencial de causar un impacto
importante, sea éste de tipo cuantitativo o cualitativo, en una
línea de negocios importante de la institución o en sus operaciones
a nivel general. A tal efecto, el auditor interno debe aplicar su
mejor juicio profesional para determinar aquellos hechos que
considere puedan potencialmente impactar a la institución y
requieran ser informados por su carácter significativo.
h)Institución o Institución financiera: Bancos y sociedades
financieras, estas últimas constituidas de conformidad con la Ley
General de Bancos y lo establecido en el Decreto No. 15-L,
publicado en La Gaceta, Diario Oficial No. 77 del 10 de abril de
1970, en lo conducente.
i)Instituto de Auditores Internos: Asociación internacional
dedicada al desarrollo profesional continuado del auditor interno y
de la profesión de auditoría interna, mejor conocida por sus siglas
en inglés como IIA (The Institute of Internal Auditors).
j)Junta directiva: Órgano principal de administración de las
instituciones financieras.
k)Junta General de Accionistas: Máximo órgano de decisión de
la institución financiera, cuyos acuerdos deben ser cumplidos y
ejecutados por la administración.
l)Ley General de Bancos: Ley 561, Ley General de Bancos,
Instituciones Financieras no Bancarias y Grupos Financieros,
publicada en la Gaceta Diario Oficial No. 232, del 30 de noviembre
de 2005.
m)Manual: Manual de Auditoría Interna que contiene las
políticas, procedimientos y técnicas de auditoría que han de
utilizarse para evaluar el funcionamiento del sistema de control
interno de la institución supervisada.
n)MUC: Manual Único de Cuentas para las Instituciones
Bancarias y Financieras.
o)Normas Internacionales para el Ejercicio Profesional de
la Auditoría Interna: Normas dictadas por el Instituto de
Auditores Internos que sirven de referencia internacional en la
materia.
p)Plan: Plan anual de trabajo que contiene los lineamientos
generales, objetivos, alcance y actividades programadas que
desarrolla la unidad de auditoría interna durante cada ejercicio
económico.
q)Sistema de control interno: Conjunto de políticas,
procedimientos y técnicas de control establecidas por la
institución financiera para proveer una seguridad razonable en el
logro de una adecuada organización administrativa y eficiencia
operativa, confiabilidad de los reportes que fluyen de sus sistemas
de información, apropiada identificación y administración de los
riesgos que enfrenta en sus operaciones y actividades y el
cumplimiento de las disposiciones legales y normativas que le son
aplicables.
r)Superintendencia: Superintendencia de Bancos y de Otras
Instituciones Financieras.
s) Superintendente: Superintendente de Bancos y de Otras
Instituciones Financieras.
t)UAI o Unidad de Auditoría Interna: Se refiere a la unidad
de auditoría interna bajo la responsabilidad de un auditor
interno.
Artículo 2. Objeto.- El objeto de la presente norma es
regular el ámbito de acción de las auditorías internas y establecer
las pautas para que la junta directiva de la institución
financiera, a través de su UAI, vele permanentemente por la
eficiencia de los sistemas de control interno y del cumplimiento de
sus políticas y procedimientos con la finalidad de minimizar
riesgos, utilizando los preceptos establecidos en la presente norma
y en las técnicas de auditoría de aceptación general.
Artículo 3. Alcance.- Las disposiciones de la presente norma
son aplicables a las instituciones financieras supervisadas, en lo
que les sea conducente.
CAPÍTULO II
CONTROL INTERNO
Artículo 4. Obligatoriedad de un Sistema de Control
Interno.- Las instituciones financieras están obligadas a
contar con un sistema de control interno que, como mínimo, contenga
un conjunto de políticas, procedimientos y técnicas de control
establecidas por la institución financiera para proveer una
seguridad razonable en la salvaguarda de los activos y lograr una
adecuada organización administrativa y eficiencia operativa,
confiabilidad de los reportes que fluyen de sus sistemas de
información, apropiada identificación y administración de los
riesgos que enfrenta, y el cumplimiento de las disposiciones
legales y normativas que le son aplicables.
CAPITULO III
JUNTA DIRECTIVA Y GERENCIA GENERAL
Artículo 5. Responsabilidades de la Junta Directiva.-
Respecto al control interno, la junta directiva de la institución
financiera es responsable de adoptar, como mínimo, las siguientes
medidas:
a)Dictar políticas orientadas a establecer un adecuado sistema de
control interno. Estas medidas deben incluir la manera de mantener
informados permanentemente a los miembros de la junta
directiva.
b)Velar por la efectividad y eficiencia del sistema de control
interno implementado por la institución.
c)Reunirse por lo menos una vez al mes, sin perjuicio de las
reuniones extraordinarias, para tratar asuntos que ameritan ser
atendidos con prontitud.
d)Llevar un Libro de Actas en donde queden plasmados los temas
abordados, firmado conforme lo dispuesto en el artículo 27 de la
Ley General de Bancos, de manera que pueda verificarse el análisis,
discusión y toma de decisiones sobre dichos temas, así como del
ejercicio de seguimiento sobre la implementación de las decisiones
y medidas adoptadas.
e)Constituir el comité de auditoría y ratificar su reglamento de
funcionamiento.
f)Conformar una UAI bajo la responsabilidad de un auditor interno
que cumpla con lo dispuesto en el artículo 41 de la Ley General de
Bancos y los requisitos establecidos en la presente norma y en la
normativa que regula la materia sobre requisitos para ser director,
gerente general y/o ejecutivo principal y auditor interno de
instituciones financieras.
g)Asegurar que la UAI desarrolle sus funciones con absoluta
independencia técnica de acuerdo con las disposiciones establecidas
en la ley y la presente norma.
h)Velar por que se delimiten claramente las segregaciones de
funciones entre las áreas de negocios y las de los órganos de
administración y control.
i)Asegurar que los integrantes de la UAI estén efectivamente
separados de funciones administrativas y/u operativas, impropias de
la función independiente de la auditoría.
j)Velar por la eficacia del diseño y funcionamiento de la
estructura y ambiente de control interno, para determinar si está
funcionando de acuerdo a sus objetivos, y modificarla cuando sea
necesario.
k)Velar por que a la UAI, en el cumplimiento de sus funciones, se
le garantice el acceso sin restricciones o reservas de ninguna
naturaleza, a toda la documentación, libros, expedientes, o
registros de cualquier tipo, sean éstos físicos o
electrónicos.
l)Asegurar que se implementen las recomendaciones derivadas de los
informes de auditoría interna y auditoría externa, así como, de las
instrucciones del Superintendente.
m)Velar por las condiciones apropiadas para el desarrollo de la
función de auditoría interna, asignando los recursos que requiera
la UAI.
Artículo 6. Responsabilidades de la Gerencia General.-
Respecto al control interno, la gerencia general de la institución
financiera es responsable de adoptar, como mínimo, las siguientes
medidas:
a)Diseñar, desarrollar e implementar un sistema de control interno
que
permita identificar, medir, monitorear y controlar los riesgos
inherentes a la institución financiera.
b)Delimitar las funciones y responsabilidades de las áreas de
negocios y de los órganos de administración y control.
c)Asegurar que los órganos de administración y control implementen
y ejecuten las disposiciones establecidas en pautas y políticas
emanadas por la junta directiva.
d)Tomar acción inmediata y adoptar las medidas correctivas
necesarias sobre cualquier situación o hallazgo significativo
detectado que requiera su prevención o corrección.
e)Implementar las recomendaciones derivadas de los informes de
auditoría interna y auditoría externa, así como, de las
instrucciones del Superintendente.
f)Garantizar el presupuesto requerido para asegurar que la UAI
disponga de la infraestructura apropiada y de los recursos
financieros, humanos, técnicos, logísticos y de capacitación
adecuados a la magnitud y complejidad de las operaciones de la
institución, así como a los riesgos que ésta enfrenta o ante nuevos
riesgos emergentes.
g)Informar oportunamente a la UAI acerca del desarrollo de nuevas
iniciativas, proyectos, productos, servicios o cambios
operacionales en la etapa previa a su lanzamiento.
CAPÍTULO IV
UNIDAD DE AUDITORÍA INTERNA
Artículo 7. Características de la Unidad de Auditoría.- Las
instituciones financieras deberán contar con una UAI. En el caso de
instituciones financieras extranjeras establecidas en el país, las
funciones de la UAI podrán ser asistidas por la casa matriz de
dicha institución, sujetándose igualmente a las disposiciones
establecidas en artículo 41 de la Ley General de Bancos y a las
disposiciones establecidas en la presente norma.
La UAI tendrá las siguientes características:
a)Estará a cargo de un auditor interno nombrado de acuerdo con lo
ordenado en el artículo 41 de la Ley General de Bancos y con los
requisitos establecidos en la presente norma y en la normativa que
regula la materia sobre requisitos para ser director, gerente
general y/ o ejecutivo principal y auditor interno de instituciones
financieras.
b)Sus integrantes deben estar efectivamente separados de las
funciones administrativas y operativas de la institución
financiera.
c)Dependerá orgánica, funcional y administrativamente de la junta
directiva de la institución financiera supervisada, ante quien
periódicamente presentará los informes que sean necesarios, sin
perjuicio del informe trimestral que deberá rendir, conforme a lo
dispuesto en el artículo 41 de la Ley General de Bancos.
d ) Cumplirá sus funciones y objetivos de modo oportuno ,
independiente, efectivo y eficiente.
e)Tendrá acceso directo a toda la información que requiera para el
cumplimiento de sus funciones y el desarrollo de sus exámenes, sin
limitación alguna que pueda afectar sus conclusiones, incluyendo
aquella que se derive de actas de los socios, del directorio y de
sus comités, y de cualquier otro órgano de dirección, gerencia o
nivel administrativo. Cualquier limitación al acceso de la
información antes indicada deberá ser comunicada a la junta
directiva de la institución con copia al Superintendente.
f)Deberá contar con una infraestructura apropiada y con los
recursos humanos, técnicos y logísticos adecuados a la magnitud y
complejidad de las operaciones de la institución, así como a los
riesgos que ésta enfrenta y ante los nuevos riesgos
emergentes.
El auditor interno y demás auditores que integran la UAI deben
recibir capacitación permanente en materias relacionadas a sus
funciones, para lo cual corresponde al auditor interno presentar
las necesidades de capacitación con relación a los miembros de la
UAI, indicando las principales áreas de capacitación y el número de
horas requeridas anualmente, solicitud que deberá ser presentada y
discutida en el comité de auditoría y autorizada por la junta
directiva.
Toda la información que obtenga la UAI estará sujeta al sigilo
bancario, conforme lo dispuesto en el artículo 113 de la Ley
General de Bancos.
Artículo 8. Funciones de la Unidad de Auditoría.- La UAI
tendrá las siguientes funciones mínimas:
a)Evaluar el diseño, ejecución, efectividad y suficiencia del
sistema de control interno.
b)Evaluar el cumplimiento de las disposiciones legales y normativas
que rigen para la institución financiera.
c)Evaluar el cumplimiento de las políticas, procedimientos y demás
normas internas de la institución financiera.
d)Evaluar la confiabilidad, confidencialidad , disponibilidad,
efectividad, integridad y funcionalidad de la tecnología de la
información y los mecanismos de control y uso establecidos por la
institución financiera para garantizar la seguridad y protección de
la misma.
e)Evaluar el cumplimiento de las condiciones de seguridad,
disponibilidad, funcionalidad, confiabilidad, auditabilidad,
eficiencia, efectividad e integridad de los sistemas de
información.
f)De acuerdo con las normas de auditoría y en base a la Matriz de
Riesgos de Auditoría de la institución, diseñar el plan anual de
trabajo y someterlo a la junta directiva a través del comité de
auditoría para su aprobación, y enviarlo al Superintendente para su
conocimiento. Asimismo, cumplir con las actividades programadas en
el plan anual de trabajo y elaborar los informes respectivos.
g)Realizar actividades no programadas cuando lo considere necesario
o a solicitud expresa de la junta directiva o del
Superintendente.
h)Evaluar la suficiencia, efectividad y cumplimiento del sistema de
prevención de lavado de dinero y del financiamiento del
terrorismo.
i)Verificar la estructura organizacional autorizada por la junta
directiva de la institución financiera en relación con la efectiva
segregación de funciones y ejercicio de facultades atribuidas a
cada uno de los funcionarios de la institución.
j)Realizar revisiones regulares e independientes al sistema de
gestión de riesgos desarrollado por la institución financiera para
relacionar los diferentes riesgos a nivel del capital y el método
establecido para monitorear el cumplimiento con las políticas
internas de capital.
k)Evaluar el cumplimiento de otros aspectos que determine la junta
directiva, el comité de auditoría y el Superintendente.
l)Efectuar el seguimiento permanente a la implementación y
cumplimiento de las órdenes, instrucciones y/o recomendaciones
formuladas por el Superintendente, por los auditores externos y por
la propia UAI.
Artículo 9. Calidades de la Unidad de Auditoría.- Las
personas que conforman la UAI deben reunir los conocimientos, las
aptitudes técnicas, la experiencia y otras calidades requeridas
para el cumplimiento de sus responsabilidades de acuerdo a las
especificidades, riesgos, productos y servicios de cada
institución.
Sin perjuicio de lo anterior, toda UAI debe contar con un servicio
de auditoría de sistemas de información que colabore en el logro de
sus funciones y objetivos. Este servicio debe contar con personal
competente y experiencia específica en auditoría de sistemas,
apropiado en competencias a la complejidad y tamaño de las
operaciones que realiza la institución financiera, el que podrá ser
también subcontratado.
Artículo 10. Subcontratación.- Las instituciones financieras
podrán subcontratar funciones que se le asignan a la UAI con la
finalidad de acceder a ventajas de índole técnica, de recursos, de
metodología, entre otras. Este tipo de subcontratación deberá
cumplir con lo establecido en el artículo 130 de la Ley General de
Bancos, con los requisitos señalados en la presente norma y con lo
dispuesto en la normativa que regula la materia sobre contratación
de proveedores de servicios para la realización de operaciones o
servicios a favor de las instituciones financieras.
Cualquiera sea el nivel de subcontratación, el auditor interno
continúa siendo responsable de asegurar que la auditoría interna
funcione de manera adecuada y eficaz, y de acuerdo a lo previsto en
la presente norma y según el acuerdo o contrato de servicios
suscrito con el proveedor.
El auditor interno es responsable de supervisar el cumplimiento del
contrato de servicios, asegurar la calidad general de las
actividades, informar al comité de auditoría, así como, efectuar el
seguimiento de los resultados del trabajo contratado. Esto implica
un direccionamiento, administración y seguimiento de la actividad
realizada por el tercero, no delegando así, la toma de decisiones
en cuanto a la prioridad de los riesgos a revisar.
Asimismo, con el fin de evitar posibles conflictos de interés, el
auditor interno debe asegurar que el personal subcontratado por la
institución financiera no realice funciones distintas a las de
auditoría interna, tales como: servicios de contabilidad; de
operación de sistemas de información; de administración de red
local; de operación, supervisión, diseño o implementación de
sistemas informáticos (hardware y software); de valuaciones,
avalúos o estimaciones; de administración; de representación y
resolución de conflictos legales y tributarios; de reclutamiento de
personal; de capacitación o de consultorías.
Artículo 11. Procedimientos y Técnicas de Auditoría.- Los
procedimientos y técnicas de auditoría empleados por la UAI deberán
adecuarse a las disposiciones establecidas en la presente norma y a
lo establecido en las Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna y en el Código de Ética
emitidos por el Instituto de Auditores Internos. En el caso de los
auditores de sistemas, se tomarán en consideración las directrices
de auditoría previstas por la Asociación de Control y Auditoría de
Sistemas de Información. Asimismo, dichos procedimientos y técnicas
de auditoría deberán estar contenidos en el respectivo manual de
auditoría interna.
CAPÍTULO V
AUDITOR INTERNO
Artículo 12. Nombramiento del Auditor Interno.- La UAI
estará a cargo del Auditor Interno, funcionario a tiempo completo y
dedicación exclusiva, cuyo nombramiento se hará de acuerdo con el
artículo 41 de la Ley General de Bancos.
Con el fin de evitar posibles conflictos de interés, las
instituciones financieras no podrán nombrar como auditor interno a
personas que en los últimos doce (12) meses hayan ocupados cargos
en el área contable o cargos gerenciales en áreas operativas o en
unidades de negocios, en la misma institución.
Artículo 13. Requisitos del Auditor Interno.- El interesado
que desee prestar sus servicios a una institución financiera como
auditor interno, deberá cumplir con los criterios de calificación y
requisitos de información establecidos en la normativa que regula
la materia sobre requisitos para ser director, gerente general y/o
ejecutivo principal y auditor interno de instituciones financieras;
así como, con los requisitos establecidos en la presente norma. El
Superintendente podrá considerar el nombramiento de un auditor
interno que no cuente con el requisito mínimo de los cinco (5) años
de experiencia a un nivel adecuado de magnitud y complejidad de la
responsabilidad a ser desempeñada, establecido en la referida
norma, cuando éste reúna las siguientes calidades:
a)Tener experiencia de al menos tres (3) años en auditoría de
instituciones financieras; y
b)Calidades académicas relevantes, tales como: estudios de
postgrado, maestrías o doctorados afines al cargo.
Para acreditar el cumplimiento de los requisitos previstos en los
literales antes referidos, la institución financiera deberá
presentar la documentación requerida por la norma que regula la
materia sobre requisitos para ser director, gerente general y/o
ejecutivo principal y auditor interno de instituciones
financieras.
Artículo 14. Responsabilidades del Auditor Interno.- El
auditor interno es responsable de cumplir, como mínimo, con lo
siguiente:
a)Informar por escrito al Superintendente en caso de ausencia
temporal de su cargo mayor a treinta (30) días y sobre cualquier
otra modificación en la composición de la UAI que afecte
significativamente su funcionamiento e independencia.
b)Verificar que no se den prácticas que favorezcan a los socios,
directores o administradores de la institución financiera, que
pudieran constituir un menoscabo para el interés de los clientes.
De verificar la existencia de alguna práctica de esta naturaleza,
deberá informarlo por escrito, inmediata y simultáneamente al
Comité de Auditoría y al Superintendente.
c)Comunicar la ocurrencia de hechos significativos de forma
inmediata, directa y simultáneamente, al vigilante electo por la
junta general de accionistas o a la casa matriz cuando se trate de
sucursales de instituciones extranjeras, al Superintendente, al
comité de auditoría y a la junta directiva de la institución
financiera. Dicha comunicación deberá realizarse a más tardar
dentro de los tres (3) días siguientes de conocidos los
hechos.
d)Evaluar al menos una vez al año el desempeño de los miembros que
integran la UAI.
e)Velar por el cumplimiento de las disposiciones establecidas en la
ley y en la presente Norma.
Artículo 15. Remoción del Auditor Interno.- La remoción del
auditor interno, antes del vencimiento de su período, deberá
hacerse conforme a lo establecido en el artículo 41 de la Ley
General de Bancos. El Superintendente podrá solicitar un informe al
auditor interno, quién deberá presentarlo a más tardar en la fecha
que le sea indicada. Transcurrido el término antes señalado, el
Superintendente dentro de los ocho (8) días hábiles posteriores,
mediante resolución razonada, determinará lo que considere
pertinente.
En este caso, la falta de auditor interno no podrá durar más de
sesenta (60) días.
Artículo 16. Auditor Interno Interino.- Previa autorización
del Superintendente, la UAI podrá estar a cargo de un auditor
interno interino nombrado por la junta directiva hasta por un plazo
de seis (6) meses, salvo en caso de remoción del auditor interno,
en cuyo caso, la UAI podrá estar a su cargo hasta por un plazo de
sesenta (60) días según lo dispuesto en el artículo precedente. El
auditor interino deberá cumplir con los mismos requisitos
establecidos en la presente norma para el caso del auditor
interno.
CAPÍTULO VI
PLAN ANUAL DE TRABAJO
Artículo 17. Contenido mínimo del Plan Anual de Trabajo.- La
elaboración del plan anual de trabajo será responsabilidad de la
UAI, el cual deberá estar basado en una evaluación de los riesgos,
a fin de determinar las prioridades de la actividad de auditoría y
estar acorde con el volumen y complejidad de las operaciones de
cada institución financiera. El plan deberá ser presentado al
comité de auditoría y aprobado por la junta directiva dentro del
último trimestre del año inmediato anterior a su ejecución y
remitir copia del mismo al Superintendente en la primera quincena
del mes de enero del siguiente año, y deberá contener, al menos,
los siguientes aspectos:
a)Objetivos anuales y alcance del plan de la UAI.
b)Cronograma de las actividades programadas, cuyo contenido mínimo
es el previsto en el artículo siguiente, salvo que la institución
financiera obtenga autorización del Superintendente de conformidad
a lo establecido en el artículo 19 de esta norma. Dicho cronograma
deberá incluir las fechas y plazos detallados por actividad; fechas
probables de presentación de informes y reportes; y el seguimiento
a observaciones formuladas por el Superintendente.
c)Recursos humanos, técnicos y logísticos disponibles para el
cumplimiento del plan, indicando la estructura administrativa, la
del personal que conforma la UAI, el cargo que ocupan y la
formación profesional de estos, indicando, de ser el caso, la
necesidad de contratación de servicios especializados.
Artículo 18. Actividades Programadas.- Las actividades
programadas de las instituciones financieras deben incluir, como
mínimo, los aspectos detallados a continuación, sin perjuicio d e
que el Superintendente pueda emitir instrucciones sobre otras
actividades que deban ser incluidas en dicho plan:
a)Evaluación de los criterios de asignación y cumplimiento de los
requerimientos de capital por cada riesgo, el cálculo de
apalancamiento y el patrimonio efectivo total.
b)Evaluación de la gestión del riesgo de crédito, la cual debe
incluir la revisión de la efectividad de los controles operativos y
contables en el manejo de la cartera de créditos, evaluando en
particular lo siguiente:
1)La estructura organizativa, para verificar que exista una clara
definición y delimitación de funciones y responsabilidades (deben
estar segregadas las funciones de autorización, registro contable y
revisión o control de los riesgos).
2)El grado de cumplimiento de las políticas, disposiciones y pautas
dictadas por la junta directiva de la institución financiera.
3)Si los riesgos crediticios están debidamente autorizados y dentro
de los límites asignados a cada comité. Además, comprobar su
correcta clasificación contable, calidad de operaciones
(valoración) y su adecuada protección contra pérdidas por mala
instrumentación, infidelidades, etc.
4)El sistema de recuperación de activos de la institución.
5)Los resultados y procedimientos de evaluación y clasificación de
la cartera de créditos.
6)La identificación y clasificación de créditos relacionados y
vinculación significativa.
7)Los criterios de evaluación del deudor, tales como: capacidad de
pago y de endeudamiento, calidad de las garantías, entre
otros.
8)La evaluación de la gestión del riesgo cambiario
crediticio.
c)Evaluación de la gestión de riesgos financieros (mercado y
liquidez) y del cumplimiento de los procedimientos utilizados para
la administración de dichos riesgos.
d)Evaluación de la gestión del riesgo operacional y del
cumplimiento de los procedimientos utilizados para la
administración de dicho riesgo.
e)Evaluación del cumplimiento de las disposiciones señaladas en la
normativa que regula la materia sobre límites de
concentración.
f)Evaluación del cumplimiento de las disposiciones señaladas en la
normativa que regula la materia sobre grupos financieros.
g)Evaluación de la naturaleza y frecuencia de los reclamos
presentados a las instituciones financieras; así como, el
tratamiento y solución dada a los mismos.
h)Evaluación de los procedimientos y controles establecidos para la
administración de la tecnología de información existente en la
institución.
i)Evaluación de la efectividad y confiabilidad de los sistemas de
información y procedimientos de control interno.
j)Evaluación de los procedimientos y controles establecidos para la
gestión de los riesgos de prevención de lavado de dinero y de
financiamiento al terrorismo, conforme las leyes y normativa que
regula esta materia.
k)Evaluación del cumplimiento de las recomendaciones formuladas por
la UAI y los auditores externos; así como, de las instrucciones del
Superintendente.
l)Las demás evaluaciones que las instituciones financieras deban
realizar periódicamente conforme las normativas dictadas por la
Superintendencia.
Artículo 19. Plan de auditoría basado en riesgos (PBR).- Las
instituciones financieras que cuenten con prácticas sólidas de
auditoría interna y un adecuado cumplimiento de los criterios
previstos en la presente norma, podrán considerar en la formulación
de su plan anual de trabajo sólo aquellas actividades programadas
que resulten relevantes según su propia metodología de auditoría
basada en riesgos; en cuyo caso, deberán incluir para cada
actividad programada que no hubiera sido incluida en su plan, las
razones que sustenten el no haberla considerado en el plan de
auditoría de ese año.
Una vez aprobado el PBR por la junta directiva, una copia del mismo
deberá ser remitido al Superintendente a más tardar en el plazo
establecido en el primer párrafo del artículo 17 de la presente
norma, adjuntando los siguientes documentos:
a)Descripción del enfoque de auditoría basada en riesgos y
metodología asociada; y
b)Autoevaluación realizada por el auditor interno sobre el grado de
cumplimiento de las Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna dictadas por el Instituto de
Auditores Internos, y las medidas que tomará con relación a los
casos en que existiera una desviación importante.
El Superintendente podrá en cualquier momento instruir la inclusión
de ciertas actividades excluidas por la institución en su
PBR.
Sin perjuicio de lo anterior, las instituciones financieras deberán
incluir siempre en su plan anual de trabajo la evaluación del
programa establecido por la institución para la gestión de
prevención de los riesgos de lavado de dinero y financiamiento del
terrorismo.
Artículo 20. Modificaciones del Plan Anual de Trabajo.- Las
modificaciones sustantivas realizadas al Plan Anual de Trabajo
deberán ser comunicadas al Superintendente dentro de los cinco (5)
días de aprobadas, acompañando copia del acuerdo de la sesión
respectiva de la junta directiva donde se precisan los motivos que
les dieron origen. El Superintendente podrá objetar mediante
resolución dichas modificaciones o sugerir otras.
Artículo 21. Informe sobre el Avance del Plan.- El auditor
interno deberá presentar dentro de los veinte (20) días posteriores
al cierre de cada trimestre, un informe trimestral de avance del
Plan Anual de Trabajo a la junta directiva, al comité de auditoría,
al vigilante y al Superintendente. El informe consiste en un
resumen de las actividades programadas realizadas, de las
actividades programadas no realizadas (incluyendo las incidencias o
razones de su incumplimiento) y la fecha en que serán ejecutadas, y
de las actividades realizadas pero no programadas según dicho
plan.
Asimismo, será responsabilidad del auditor interno indicar en dicho
informe de que no detectó ningún hecho significativo que debiese
haber comunicado a las instancias antes referidas, si fuere el
caso.
CAPÍTULO VII
INFORMES DE AUDITORÍA Y ARCHIVOS
Artículo 22. Presentación de Informes.- El auditor interno
deberá presentar al comité de auditoría todos los informes que
elabore en cumplimiento de sus funciones. Dicho comité evaluará los
informes finales respectivos y, al menos, trimestralmente los
presentará a la junta directiva. La oportunidad en la que dicho
comité tome conocimiento de los informes y las decisiones que al
respecto se adopten, deberán constar en el libro de actas
respectivo.
Artículo 23. Contenido mínimo de los Informes.- Los informes
elaborados por la UAI deben contener, al menos, los siguientes
aspectos:
a)Objetivo y alcance de la evaluación.
b)Metodología, procedimientos y técnicas de auditoría
empleados.
c)Evaluación de la situación de la actividad u operación a la fecha
del informe, identificando los riesgos detectados y su impacto en
la institución financiera, así como, la evaluación de los
procedimientos y controles utilizados por la misma.
d)Medidas correctivas recomendadas y/o adoptadas para subsanar los
problemas o deficiencias identificadas, según corresponda.
e)Nombre de los funcionarios responsables de la evaluación; y
f)Fecha de inicio y término de la evaluación.
Artículo 24. Archivo y Conservación de Documentos.- La UAI
deberá mantener un archivo conteniendo los informes elaborados
(programados y no programados) y otras comunicaciones que mantenga
con las diferentes unidades o áreas de la institución financiera,
así como los papeles de trabajo y la documentación soporte de los
mismos. Dicha información deberá estar a la disposición del
Superintendente y de la firma de auditoría externa contratada para
la revisión anual de las operaciones del período que
corresponda.
La UAI deberá conservar en forma electrónica o física, por un
período mínimo de cinco (5) años, contados desde la fecha de
entrega de los informes finales respectivos, los papeles de trabajo
y toda la documentación que respalda adecuadamente los informes de
auditoría emitidos por ellos.
CAPÍTULO VIII
COMITÉ DE AUDITORÍA
Artículo 25. Comité de Auditoría.- La junta directiva de las
instituciones supervisadas deberán constituir mediante resolución
un comité de auditoría para asistir a la misma en el cumplimiento
de sus responsabilidades de vigilancia para el proceso de
información financiera, gestión de riesgos, control interno,
auditoría y el proceso utilizado por la institución para vigilar el
cumplimiento de las leyes, reglamentos, normativa, código de
conducta, entre otros.
El comité de auditoría debe estar conformado, como mínimo, por tres
miembros de la junta directiva, el que será presidido por uno de
ellos, quien será nombrado por dicha junta, y quien tendrá la
responsabilidad de informar a la junta directiva los hechos,
situaciones y resoluciones que se conozcan, traten o acuerden en
sus reuniones. Al menos uno de los miembros de este comité debe
tener experiencia en gestión de riesgos, informes financieros,
contabilidad o auditoría.
El auditor interno podrá participar permanentemente en el comité
con voz, pero sin voto. Ocasionalmente podrán participar en el
comité de auditoría como invitados, con voz pero sin voto, el
presidente, el director ejecutivo, el gerente general, el auditor
externo y cualquier otro funcionario que consideren
pertinente.
Cuando el principal ejecutivo de la institución financiera sea
miembro de su junta directiva, éste no podrá a su vez ser miembro
del comité de auditoría. Asimismo, no podrá participar en sesiones
de junta directiva cuando dicho órgano conozca los informes de
dicho comité, sin perjuicio que ocasionalmente pueda ser invitado
para participar con derecho a voz, pero sin voto.
Artículo 26. Conflictos de interés.- Cuando algún miembro o
invitado ocasional del comité de auditoría tuviere interés personal
o conflictos de interés sobre algún asunto que sea abordado por
dicho comité, deberá abstenerse de conocer el caso, no estar
presente durante la discusión, ni incidir en el tema relacionado,
lo cual se deberá hacer constar en acta.
Artículo 27. Obligaciones del Comité de Auditoría.- Los
miembros del comité de auditoría tendrán las siguientes
obligaciones mínimas:
a)Reunirse ordinariamente al menos cada dos meses, sin perjuicio de
las reuniones extraordinarias para tratar asuntos que ameritan ser
atendidos con prontitud.
b)Informar a la junta directiva, al menos cada tres meses, los
resultados de los informes finales de auditoría que presente el
auditor interno.
c)Llevar un Libro de Actas en donde queden plasmados los temas
abordados, firmado por cada uno de los miembros, de manera que
pueda verificarse el análisis, discusión y toma de decisiones sobre
dichos temas, así como, del ejercicio de seguimiento sobre la
implementación de las decisiones y medidas adoptadas.
d)Proponer los términos de referencia para la contratación de las
auditorías externas que deban realizarse, conforme a la normativa
que regula esta materia.
e)Conocer y analizar los términos de los contratos de auditoría
externa y la suficiencia de los planes y procedimientos
pertinentes, en concordancia con la normativa que regula esta
materia.
f)Además de las tareas que le encomienda la junta directiva, deberá
realizar las siguientes:
1)Servir de medio de comunicación entre la junta directiva y la UAI
y entre la junta directiva y la auditoría externa, con respecto a
asuntos que se detallan a continuación:
i.Estados financieros trimestrales, semestrales y anuales.
ii.Alcance y resultados de los exámenes semestrales y
anuales.
iii.Prácticas contables y financieras de la institución.
iv.Efectividad y calidad del sistema de control interno
contable.
v.Alcance de otros servicios proporcionados por los auditores
externos.
vi.Cualquier otro asunto relativo a la auditoría de las cuentas de
la institución y sus aspectos financieros, que el comité crea
necesario considerar, a su discreción.
2)Velar por el cumplimiento del Plan Anual de Trabajo de la UAI y
proponer modificaciones al mismo.
3)Atender las propuestas que la UAI formule encaminadas al
fortalecimiento del sistema de control interno y resolver
situaciones que impidan su labor.
4)Dar seguimiento a la implementación de las acciones necesarias
para cumplir adecuadamente con las recomendaciones dadas por el
Superintendente, así como, con las recomendaciones que hayan
emanado de la auditoría interna y auditoría externa.
5)Evaluar al menos una vez al año el desempeño del auditor
interno.
6)Recomendar a la junta directiva, para lo de su cargo, la remoción
o reelección del auditor interno y externo.
Artículo 28. Funciones principales del Comité de Auditoría.-
El comité de auditoría tendrá las siguientes funciones:
a)Respecto a los estados financieros. Revisar los estados
financieros al cierre del período, con el gerente general o
ejecutivo principal y con los propios auditores externos, a fin de
determinar:
1)Si los mismos se presentan de conformidad con el MUC.
2)Si se han considerado apropiadamente todos los asuntos y
transacciones o eventos especiales que deben ser expuestos en notas
a los estados financieros.
3)Si las decisiones tomadas por la gerencia son razonables en lo
que corresponde a las áreas significativas de valorización de
activos y determinación de obligaciones, cuando el criterio es un
factor importante en la determinación.
4)La forma cómo fueron resueltos los más importantes problemas de
carácter financiero encontrados en la preparación de los estados
financieros.
5)El amplio intercambio de ideas con las gerencias y con los
auditores externos sobre los aspectos y partidas más importantes de
los estados financieros y notas a los mismos. En ciertos casos, no
obstante, será necesario un análisis detallado de cada uno de los
componentes de los estados financieros, debido a que la preparación
y contenido de los mismos es responsabilidad de la gerencia. En
muchos casos, sin embargo, el comité querrá, probablemente, que los
auditores externos participen en la revisión.
b)Respecto a los informes de los auditores externos: Revisar
el resultado del examen de los auditores externos con ellos mismos,
considerando:
1)El contenido del informe de auditoría, especialmente cualquier
limitación al alcance del trabajo u otro asunto que pudiera haber
generado salvedades en el dictamen.
2)Cualquier diferencia entre el alcance del trabajo planeado y el
que finalmente se llevó a cabo, que previamente no haya sido
comunicada a la atención del comité.
3)La solución de problemas de auditoría de mayor importancia
tratados durante las reuniones anteriores.
4)Cualquier diferencia de criterio entre la gerencia y auditores
externos, con respecto a principios de contabilidad, tratamiento de
transacciones o eventos específicos, revelaciones en los estados
financieros y ajustes resultantes del examen.
5)Las recomendaciones de los auditores externos para el
mejoramiento de los procedimientos de contabilidad y del sistema de
control interno contable de la institución.
6)Los comentarios escritos de los auditores externos con respecto a
asuntos de carácter irregular que pudieran haberse notado durante
el examen.
7)Los puntos de vista de los auditores externos con respecto a la
competencia técnica de la gerencia contable.
c)Respecto al control interno: Es conveniente que el comité
de auditoría se informe cuidadosamente de las condiciones de
control interno de la institución financiera y se interese en
conocer el resultado de los estudios y esfuerzos que realiza la
institución con el propósito de mantener controles óptimos. Debe
ponerse énfasis en las actividades de la UAI de la institución
financiera, de la gerencia y de los auditores externos. En este
particular, es responsabilidad del Comité de Auditoría:
1)Velar por la eficacia del diseño y funcionamiento de la
estructura y ambiente de control interno, para determinar si está
funcionando de acuerdo a sus objetivos, y modificarla cuando sea
necesario.
2)Informarse directamente si los auditores internos estudian y
evalúan la eficiencia y el cumplimiento del sistema de control
interno y sus regulaciones en forma periódica, cubriendo lo
siguiente:
i.La forma en que se hacen esos estudios y evaluaciones.
ii.Si las políticas y procedimientos de la institución financiera
definen clara y apropiadamente las mismas y si son debidamente
comunicadas a todo el personal.
iii.Si los auditores internos han proporcionado sugerencias
efectivas para mejorar aquellas áreas de la contabilidad y
administración donde las políticas y procedimientos de la
institución no están siendo adecuadamente cumplidas, y si se ha
tratado con la gerencia los resultados de las revisiones y el
cumplimiento de las políticas y controles de la institución.
iv.Con respecto a las reuniones con la gerencia, el comité debe
tratar en el nivel apropiado de gerencia asuntos concernientes a la
definición de políticas y procedimientos de la institución, con
respecto a los controles internos vigentes y al cumplimiento de las
normas de las entidades de supervisión y control. Debe tenerse
especial cuidado que dichos asuntos hayan sido apropiadamente
tratados por la gerencia general. Asimismo, el comité de auditoría
debe obtener los puntos de vista de la gerencia con respecto a las
recomendaciones de los auditores internos y externos sobre las
políticas de control interno y al análisis de la relación costo /
beneficio en la ejecución de esas recomendaciones.
v.El comité de auditoría debe informar, periódicamente y por
escrito, de sus actividades a la junta directiva, ello permitirá
que cada director se informe de asuntos de carácter financiero y
administrativo o de gestión de la institución, lo cual servirá para
que pueda cumplir mejor sus responsabilidades con respecto a la
calidad de la institución.
d) Respecto alas recomendaciones de auditoría y del
Superintendente: Es responsabilidad del Comité de Auditoría
asegurarse que la gerencia implemente las acciones necesarias para
cumplir adecuada y oportunamente con las recomendaciones emanadas
de la auditoría interna, la auditoría externa, así como, las
instrucciones del Superintendente.
Artículo 29. Período de Vigencia del Comité de Auditoría.-
La junta directiva de la institución determinará la duración del
mandato de sus representantes en dicho comité, el que en ningún
caso podrá ser superior a tres años, o hasta el término del período
de la junta directiva, si éste concluyera antes de ese plazo.
CAPÍTULO IX
DISPOSICIONES FINALES
Artículo 30. Transitorio.- Las instituciones financieras
tendrán un plazo de tres (3) meses, contados a partir de la entrada
en vigencia de la presente norma, para ajustarse a los nuevos
requerimientos establecidos en la misma.
El Superintendente podrá ampliar el plazo antes referido, a
solicitud de parte debidamente justificada, debiendo informar al
Consejo Directivo de tal ampliación.
Artículo 31. Derogación.- Deróguese la Norma sobre Control y
Auditoría Interna, contenida en Resolución No. CD-SIBOIF-596-1-
SEP9-2009, del 9 de septiembre de 2009, publicada en La Gaceta,
Diario Oficial No. 203, del 27 de octubre de 2009.
Artículo 32. Vigencia.- La presente Norma entrará en
vigencia a partir de su notificación, sin perjuicio de su
publicación en La Gaceta, Diario Oficial.
(f) J. Rojas R. (f) V. Urcuyo V. (f) Gabriel Pasos Lacayo (f)
Fausto Reyes B. (f) ilegible (Silvio Moisés Casco Marenco) (f)
ilegible (Freddy José Blandón Argeñal) (f) U. Cerna B. (F) URIEL
CERNA BARQUERO, SECRETARIO CONSEJO DIRECTIVO SIBOIF.
-
© 2024 Justia
