Ministerio de Economía y Finanzas

Criterios y resoluciones

AUDITORIA INTERNA DE LA NACIÓN

Montevideo,  13 de octubre de 2008.

VISTO: lo dispuesto por el Artículo 7 de la Ley Nº 17.292 de fecha 25 de enero de 2001 y el Artículo 1º del Decreto Nº 61/001 de fecha 23 de febrero de 2001.

RESULTANDO: I) Que en cumplimiento a las normas jurídicas indicadas, la Auditoría Interna de la Nación dictó Resolución, con fecha 5 de setiembre de 2001, estableciendo las Normas Técnicas Generales a las que deben someter su actuación los representantes de los Entes Autónomos y Servicios Descentralizados del dominio industrial y comercial del Estado, que integren los Órganos de Control Interno de los emprendimientos, sociedades, asociaciones o consorcios previstos en las referidas disposiciones.
II) Que del seguimiento efectuado a la aplicación de la citada Resolución y del informe producido en la Gerencia del Sector Público con fecha 29 de agosto de 2008, surge la  necesidad de revisar y perfeccionar las Normas Técnicas establecidas por esta Auditoría, en Resolución de fecha 5 de setiembre de 2001.

CONSIDERANDO: I) Que de acuerdo al inciso 4º del Artículo 7° de la mencionada disposición legal, la Auditoría Interna de la Nación debe establecer las Normas Técnicas Generales de referencia, para lo cual toma en cuenta las normas técnicas internacionales y las nuevas prácticas nacionales e internacionales en materia de Gobierno Corporativo,  Gestión Integral de Riesgos  y Control Interno,
II) Que resulta necesario sistematizar el referido cometido, con el cometido sustantivo asignado a la Auditoría Interna de la Nación por disposición de los Artículos 47 numeral 1), 48 y 49 de la Ley Nº 16.736.

ATENTO: a lo precedentemente expuesto;

LA AUDITORA INTERNA DE LA NACIÓN
RESUELVE

1º. Derogar la Resolución de fecha 5 de setiembre de 2001, dictada por el Auditor Interno de la Nación.

2º. Aprobar las Normas Técnicas establecidas en el Anexo de la presente Resolución, las cuales regularán la actuación de los representantes de los Entes Autónomos y Servicios Descentralizados, del dominio industrial y comercial del Estado, que integren los Órganos de Control Interno de los emprendimientos, sociedades, asociaciones o consorcios previstos en las referidas disposiciones, los que serán denominados genéricamente por el término Empresa a estos efectos.

3°. Dése cuenta al Ministerio de Economía y Finanzas, comuníquese a los Entes Autónomos y Servicios Descentralizados del dominio industrial y comercial del Estado, así como a los Ministerios a través de los cuales éstos se comunican con el Poder Ejecutivo.

4°. Notifíquese al Sector Público y pase al Departamento de Informática a fin de su incorporación a la página web de la Oficina. Cumplido, archívese.

Anexo – Normas Técnicas.
I. Los representantes de los Entes Autónomos y Servicios Descentralizados que integren el Órgano de Control Interno de la Empresa deben:

1.- Tener, para actuar como tales, formación técnico profesional y experiencia suficiente y probada, así como atributos que aseguren objetividad, independencia, imparcialidad, integridad y diligencia en el ejercicio de las tareas que se edictan en estas normas o que por aplicación de otras les correspondan.
Desempeñar sus tareas con lealtad respecto al Estado, al Directorio del Ente Autónomo o Servicio Descentralizado y hacia la comunidad en general. 

2.- Velar por una adecuada gestión empresarial que, razonablemente, tienda al logro de los objetivos buscados por el Ente Autónomo o Servicio Descentralizado al participar en el mismo, sin perjuicio de los objetivos de la Empresa.

3.- Asegurar, en la medida de sus posibilidades, que el Órgano de Control Interno de la Empresa reúna la información necesaria que le permita obtener una visión integral respecto a como se viene llevando adelante la gestión empresarial.
A tal efecto se deberá considerar toda la información que surja de: a) memorias anuales y planes estratégicos y de negocios elaborados por la Empresa; b) estados contables y financieros; c) toda clase de indicadores elaborados para medir su gestión; d) informes que emitan las Gerencias o Unidades de similar jerarquía, la Auditoría Interna, la Auditoría Externa y el Departamento de Riesgos; e) todo otro documento, informe, información o hechos significativos que sean producidos por la Empresa o terceros, que se entiendan pertinentes.

4.- Promover que el Órgano de Control Interno estimule la autoevaluación periódica sobre el proceso de Gestión Integral de Riesgos existente en la Empresa o, en su defecto, sobre el Sistema de Control Interno vigente, por parte de sus Unidades.
A su vez, deberán impulsar la adopción, por parte del Órgano de Control Interno, de las medidas que se entiendan pertinentes para disponer del diagnóstico que surja de la referida autoevaluación. 

5.- Documentar los procedimientos y actividades realizadas para recabar aquella información que sea considerada de utilidad para realizar su tarea. Dicha documentación brindará evidencia de la labor desempeñada. 
 
6.- Promover un buen Gobierno Corporativo en la Empresa, que asegure la transparencia, objetividad y equidad en el trato dispensado a las partes que participan en la misma e identifique la responsabilidad social de sus Unidades de control interno y externo, frente a los grupos de interés a los que pueda estar vinculada y a la comunidad en general.

7.- Asegurar que, de la evaluación que se efectúe de la información obtenida a partir de la aplicación de las Normas n° 3 y 4, así como de la que se obtenga de otros procedimientos y actividades que se entiendan pertinentes, el Órgano de Control Interno:

7.1.- Promueva la existencia de una Gestión Integral de Riesgos en la Empresa, que permita la identificación de eventos que puedan impactarla, la gestión adecuada de los riesgos identificados y provea una seguridad razonable en el logro de sus objetivos, así como de los objetivos de cada una de las partes que participan en la misma.

7.2.- Vele porque dicha Gestión Integral de Riesgos asegure un alineamiento entre los niveles de tolerancia al riesgo definidos expresa o tácitamente por el Directorio de la Empresa, las medidas de tratamiento de los riesgos identificados, el desarrollo de controles apropiados y los riesgos asumidos por las partes al participar en la Empresa.

7.3.- Promueva políticas, procedimientos y metodologías apropiadas para la Gestión referida, en el sentido indicado.

8.- Procurar que el Órgano forme opinión respecto a la contratación y actuación de los auditores externos e internos y que la misma sea recibida por el Comité de Auditoría o en su defecto por la Alta Gerencia de la Empresa.

9.- Reportar al Directorio del Ente o Servicio, además de hacerlo ante la Alta Gerencia de la Empresa.
A tal efecto, deberán remitir al Directorio del Ente o Servicio un informe escrito por semestre, acompañado de toda documentación pertinente, en el que se informe acerca de: a) la adecuación entre la gestión de la Empresa y los objetivos del Ente o Servicio al participar de la misma; b) si la gestión empresarial contempla los intereses del Ente o Servicio y la comunidad en general; c) la realidad de la Empresa respecto al proceso de Gestión Integral de Riesgos, contemplando los términos indicados en las Normas nº 7.1, 7.2 y 7.3 o, en su defecto, al Sistema de Control Interno vigente en la misma; d) si el Órgano de Control Interno formó opinión respecto a la contratación y actuación de los auditores externos e internos y, en caso afirmativo, su contenido y si la misma fue recibida por el Comité de Auditoría o en su defecto por la Alta Gerencia de la Empresa; e) otros aspectos que se entiendan pertinentes.         
Dicho informe deberá expresar una opinión de consenso entre los representantes del Ente o Servicio en el Órgano de Control Interno. En caso de no existir acuerdo entre los mismos, deberán confeccionar y remitir informes separados.  
Además del informe semestral, los representantes del Ente o Servicio podrán remitir informes especiales al Directorio del Ente o Servicio, cuando a su juicio y de acuerdo a las pautas establecidas en estas Normas, existan razones que así lo justifiquen. 

10.- Interpretar y aplicar los términos y expresiones utilizados en estas Normas, de acuerdo al Glosario que integra el presente Anexo.

II. Los representantes de los Entes y Servicios en el Órgano de Control Interno de la Empresa podrán comunicar, voluntariamente, a la Auditoría Interna de la Nación, toda inquietud o sugerencia respecto a la aplicación de las Normas aprobadas por esta Resolución, a efectos de generar instancias coordinadas de intercambio tendientes a mejorar la gestión como tales.

Glosario.
Para la aplicación de las Normas aprobadas en la presente Resolución, deberán considerarse las siguientes definiciones:

Gestión Empresarial: todos los actos realizados y decisiones tomadas por la Alta Gerencia de la empresa o todo otro órgano con capacidad de decisión, en las etapas de planificación, organización, dirección, coordinación y control. 

Gobierno Corporativo: sistema interno de una empresa, mediante el cual se establecen las directrices que deben regir su actividad. El gobierno corporativo busca la transparencia, objetividad y equidad en el trato de los socios y accionistas de la misma, la gestión del directorio y la responsabilidad social de sus organismos de control interno y externo, frente a los grupos de interés que pueda estar vinculada: clientes, proveedores, funcionarios, entre otros.

Autoevaluación sobre el proceso de Gestión Integral de Riesgos y el Sistema de Control Interno: la autoevaluación de la Gestión Integral de Riesgos y del Sistema de Control Interno es un proceso diseñado para guiar a los gerentes y funcionarios de una empresa, en la identificación de las debilidades y fortalezas de ambos, con el objetivo de mejorar los mismos. 

Control interno: es un proceso efectuado por la dirección y el resto del personal de una empresa, diseñado con el objeto de proporcionar seguridad razonable en el logro de los objetivos de la misma, en las siguientes categorías: a) la eficacia y eficiencia de las operaciones; b) salvaguarda de activos; c) confiabilidad de la información suministrada; d) al cumplimiento de normas jurídicas o técnicas, internas o externas, de cualquier naturaleza, que le sean aplicables.

Riesgo: la posibilidad de que un evento, interno o externo a la empresa, ocurra e impacte negativamente sobre los objetivos de la misma.

Tolerancia al riesgo: el nivel de variación que la dirección de la empresa esté dispuesta a asumir, en caso de desviación a los objetivos empresariales inicialmente trazados.

Apetito por el riesgo: el nivel de riesgo que las partes intervinientes en la empresa están dispuestas a asumir, en su búsqueda de rentabilidad y valor.

Tratamiento del riesgo: proceso de selección e implementación de medidas, en el cual se opta por aceptar el o los riesgos identificados, disminuir la probabilidad de ocurrencia, disminuir el impacto, transferirlos total o parcialmente, evitarlos e incluso, por combinar las medidas anteriores, de acuerdo al nivel de tolerancia del riesgo definido.

Gestión Integral de Riesgos: proceso efectuado por el directorio, la gerencia y el personal de una empresa u organización, aplicado en la misma y en la definición de su estrategia, diseñado para identificar potenciales eventos que puedan afectarla, gestionarlos de acuerdo a su apetito por el riesgo y proveer una seguridad razonable en el logro de sus objetivos, dentro de las siguientes categorías:

a. Estratégicos: son objetivos de alto nivel, vinculados a la visión y misión empresarial.

b. Operacionales: son objetivos vinculados al uso eficaz y eficiente de los recursos.

c. Información: son objetivos vinculados a la confiabilidad de la información suministrada.

d. Cumplimiento: son objetivos vinculados al cumplimiento de normas jurídicas o técnicas, internas o externas, de cualquier naturaleza, que le sean aplicables.

La Gestión Integral de Riesgos se descompone en los componentes que se indican a continuación:

a. Ambiente interno: comprende, entre otros aspectos, los valores éticos, la idoneidad técnica y moral de sus funcionarios; la estructura organizacional y las condiciones para la asignación de autoridad y responsabilidades.

b. Establecimiento de objetivos: proceso por el cual se determinan los objetivos de la empresa, los cuales deben estar alineados a la visión y misión de la misma y ser compatibles con la tolerancia al riesgo y el grado de exposición al riesgo aceptado.

c. Identificación de riegos: proceso por el que se identifican los riesgos internos y externos.

d. Evaluación de riesgos: proceso por el que se evalúan los riesgos de una empresa, actividad o conjunto de actividades, área, producto o servicio.

e. Tratamiento del riesgo: proceso por el cual se seleccionan las respuestas al riesgo (evitar, aceptar, disminuir o transferir el riesgo), desarrollando un conjunto de acciones para alinear los riesgos con su nivel de tolerancia y con el apetito por el riesgo que tiene la entidad.  
 
f. Actividades de control: la parte de la Gestión Integral de Riesgos que involucra la implementación de políticas, estándares y procedimientos para eliminar o minimizar los riesgos adversos.

g. Información y comunicación: proceso por el cual se genera y transmite información apropiada y oportuna a la dirección, gerencia y al personal de la empresa, así como interesados externos, necesaria para orientar sus acciones en coordinación con los demás hacia el logro de los objetivos. La información debe transmitirse, eficazmente, a través de una comunicación adecuada a lo largo de toda la estructura organizativa de la empresa.

h. Monitoreo: comprobar, supervisar, observar críticamente y/o revisar el adecuado funcionamiento de la Gestión Integral de Riesgos, en forma sistemática, para identificar sus cambios, fortalezas y debilidades, procurando en todo momento la mejora continua del mismo. 

Sin perjuicio de ello, la empresa podrá contar con una descomposición propia que se adapte a su organización, siempre que queden contemplados, al menos conceptualmente, los principales elementos de los componentes señalados.