Artículo 2. Alcance

Las disposiciones de este reglamento serán aplicables a las contrataciones que realicen las entidades, empresas, grupos o conglomerados financieros que, de conformidad con las leyes respectivas, se encuentran sujetos a la regulación o supervisión de alguna de las Superintendencias.

(Así reformado el párrafo anterior por el inciso e) del artículo 116 del Reglamento sobre Supervisión Consolidada  (Acuerdo CONASSIF 16-22), aprobado en sesión N° 1759-2022 del 26 de setiembre del 2022)

Las normas resultarán también de aplicación a las contrataciones de firmas de auditoría externa o auditores externos independientes que realicen para los fondos administrados por las operadoras de pensiones complementarias y sociedades administradoras de fondos de inversión, para las universalidades que gestionen las sociedades titularizadoras, así como los fondos creados por leyes especiales o convenciones colectivas sin personalidad jurídica propia supervisados por la Superintendencia de Pensiones, los cuales, para los efectos de este reglamento, se considerarán como sujetos supervisados. Tratándose del Régimen de Invalidez, Vejez y Muerte administrado por la Caja Costarricense del Seguro Social, las disposiciones incorporadas en este Reglamento tienen el carácter de adopción y aplicación voluntaria.

(Así reformado el párrafo anterior mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Artículo 3. Auditoría Externa

Los sujetos supervisados deberán someterse a una auditoría externa financierocontable anual.

Adicionalmente, en los casos en que una norma lo solicite, se deben someter a una auditoría externa de tecnologías de la información (TI), según se establece en el Reglamento General de Gestión de la Tecnología de Información; a una auditoría sobre la eficiencia y efectividad de las políticas, procedimientos y controles para prevenir el riesgo de LCF/FT/FPADM, según se establece en el Reglamento de prevención del riesgo de legitimación de capitales, financiamiento del terrorismo y de la proliferación de armas de destrucción masiva (LC/FT/FPADM); y para los fiscalizados por la SUGEF a una auditoría sobre el proceso de administración integral de riesgos, según se establece en el Reglamento sobre Administración Integral de Riesgos.

Las auditorías deben estar a cargo, exclusivamente, de firmas de auditoría externa o auditores externos independientes, inscritos en el Registro de Auditores Externos que forma parte del Registro Nacional de Valores e Intermediarios, dispuesto en la Ley Reguladora del Mercado de Valores.

La Superintendencia General de Valores será la responsable de la gestión del 'Registro de Auditores Externos' que se define en el presente Reglamento.

En el caso de las auditorías financiero-contables de grupos o conglomerados financieros, todas las entidades domiciliadas en Costa Rica que los conformen deberán ser auditadas por el mismo auditor externo independiente o firma auditora.

Las cooperativas supervisadas que mantengan participaciones en empresas de giro diferente al financiero deben remitir a la Superintendencia, una copia del dictamen del auditor externo independiente y de los estados financieros que los acompañan de las empresas en las cuales mantengan esas participaciones. Esta obligación deberá ser cumplida dentro del mismo plazo establecido para la presentación del dictamen de sus estados financieros.

Las entidades que formen parte de grupos o conglomerados financieros constituidas bajo una legislación extranjera, domiciliadas en el exterior, podrán ser auditadas por una firma del país de su domicilio, de conformidad con lo dispuesto en el artículo 6 y demás disposiciones aplicables de este reglamento.

(Así reformado mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

CAPITULO II

AUDITORES EXTERNOS

(Así reformado el capítulo anterior  en sesiones N° 1318-2017 y 1319-2017 del 13 y 20 de marzo de 2017)

Sección I: Requisitos

(Así reformado la sección anterior  en sesiones N° 1318-2017 y 1319-2017 del 13 y 20 de marzo de 2017)

Artículo 4º-Contratación de auditores externos. La Junta Directiva u órgano equivalente de la entidad supervisada, deberá aprobar la contratación de las firmas de auditorías externas o auditores externos independientes.

Artículo 5. Requisitos generales. La firma de auditoría externa, el socio responsable, el encargado del equipo, así como el auditor externo independiente y los miembros del equipo de auditoría deben cumplir los siguientes requisitos:

a) No haber sido declarados insolventes o en quiebra durante los cinco años previos a la contratación.

b) No haber sido condenados por delitos contra la fe pública, la propiedad, o la buena fe en los negocios, durante los últimos diez años.

c) En el caso de la auditoría financiera-contable, sobre la eficiencia y efectividad de las políticas, procedimientos y controles para prevenir el riesgo de LCF/FT/FPADM y para los fiscalizados por la SUGEF del proceso de administración integral de riesgos, la firma de auditoría externa, el socio responsable, el encargado del equipo, así como el auditor externo independiente deben estar inscritos y activos en el registro profesional del Colegio de Contadores Públicos de Costa Rica.

d) Para el caso de las auditorías de TI, el encargado del equipo, así como el auditor externo independiente, deben contar con un Certificado CISA vigente (Auditor Certificado de Sistemas de Información por sus siglas en inglés Certified Information Systems Auditor), de la Asociación de Auditoría y Control de los Sistemas de Información (ISACA).

e) Para las auditorías financiera-contable, el socio, auditor externo independiente y los encargados de las auditorias deben contar con una experiencia mínima de cinco años en labores de auditorías del sector financiero donde se contrate. En el caso de las entidades emisoras no financieras sujetas a auditorías, dicha experiencia podrá ser en una actividad igual o de similar naturaleza; asimismo, en el caso de sociedades intermediarias de seguros, la experiencia podrá ser en cualquiera de las actividades del sector financiero.

f) Para el caso de los auditores de TI, el encargado del equipo en una firma de auditoría externa o el auditor externo independiente, deben reunir los requisitos y experiencia profesional de cinco años establecidos por las regulaciones emitidas por la Asociación de Auditoría y Control de los Sistemas de Información (Information Systems Audit and Control Association/ ISACA).

g) Para el caso de las auditorías sobre la eficiencia y efectividad de las políticas, procedimientos y controles para prevenir el riesgo de LCF/FT/FPADM, así como el cumplimiento de la normativa relacionada, el encargado del equipo, así como el auditor externo independiente, deben contar con una experiencia mínima de cinco años en labores de auditoría relacionadas a la prevención en LCF/FT/PADM

h) Para el caso de las auditorías sobre el proceso de administración integral de Riesgos el encargado del equipo, así como el auditor externo independiente, deben contar con una experiencia mínima de cinco años en el sector financiero y particularmente en el control y aseguramiento en áreas afines a la administración de riesgos en entidades financieras.

Los documentos que respalden la verificación por parte de la entidad del cumplimiento de los requisitos de la firma de auditoría externa o del auditor externo independiente, y los miembros del equipo de auditoría deberán estar disponibles para efectos de supervisión.

Finalmente, se requiere que el socio y los encargados de equipo de la firma de auditoría y el profesional independiente mantengan una actualización continua en el campo de la especialidad y en el conocimiento del negocio de las entidades supervisadas.

(Así reformado mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Artículo 6. Auditores extranjeros. En el caso de auditorías de entidades domiciliadas en el exterior que formen parte de grupos o conglomerados financieros costarricenses o de entidades domiciliadas en el exterior con sucursal en Costa Rica, la firma auditora del país donde se encuentre domiciliada la entidad deberá cumplir con los siguientes, requisitos:

a. Deberá estar inscrita y activa en el registro profesional del organismo homólogo al colegio profesional correspondiente en Costa Rica, así como en el registro del regulador público correspondiente, en caso de que estos registros existan.

b. Deberá ser representante de una firma que opera internacionalmente y que, a su vez, tenga representación en Costa Rica.

En el caso de emisores de valores domiciliados en el exterior, podrán presentar sus estados financieros auditados por una firma del país de su domicilio, que cumpla el requisito indicado en el inciso a) anterior.

(Así reformado en sesiones N° 1318-2017 y 1319-2017 del 13 y 20 de marzo de 2017)

SECCIÓN II

Requisitos de independencia

Artículo 7. Requisitos de independencia. 'La independencia del socio responsable, el encargado del equipo o el auditor externo independiente, según corresponda, se comprueba si no forma ni ha formado parte del grupo vinculado durante los períodos a auditar, todo de conformidad con la normativa de grupo vinculado emitida por el Consejo Nacional de Supervisión del Sistema Financiero.

(Así reformado el párrafo anterior mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Sin perjuicio de cualquier otra situación que a juicio de la entidad a auditar o de las firmas de auditorías externas o auditores externos independientes pueda afectar la imparcialidad de éstas, no podrán presentarse en la firma de auditoría, el socio responsable, el encargado del equipo o el auditor independiente, y de conformidad con la especialidad de la auditoría, ninguno de los supuestos que se establecen a continuación:

a. Haber desempeñado cargos o haber mantenido relaciones comerciales, financieras o profesionales significativas, en la entidad auditada, sus filiales, asociadas, entidades con cometido especial, subsidiarias o su grupo económico, durante los períodos económicos auditados para el caso de auditoría financiero-contable y durante los dos años anteriores a la fecha de presentación de los productos de auditoría.

(Así reformado el inciso anterior mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

b. Mantener operaciones de créditos activas, con la entidad auditada, sus accionistas y demás empresas vinculadas, en condiciones distintas a las que se tienen establecidas para cualquier cliente de la entidad auditada ni estar clasificado en una categoría de riesgo que ponga en cuestionamiento la recuperación del crédito; o poseer valores de oferta pública emitidos por estos.

(Así reformado el inciso anterior mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

c. Haber fiscalizado puestos de bolsa como auditor en representación de una bolsa de valores y auditar los estados financieros de los puestos de bolsa por él fiscalizados.

d. Ser agente de bolsa en ejercicio.

e. Formar parte de organismos de administración de la entidad auditada.

f. Mantener oficinas comerciales dentro de las instalaciones de la entidad regulada.

g. Ser proveedor de servicios auxiliares de seguros autorizado de la entidad aseguradora durante los períodos económicos auditados.

Adicionalmente, las firmas de auditorías externas o auditores externos independientes deben cumplir con las obligaciones y deberes establecidos en la Ley de Creación del Colegio de Contadores Públicos de Costa Rica, las normas establecidas por este y los principios éticos rectores de su profesión. En el caso de auditorías de TI, el profesional o encargado del equipo debe cumplir con los deberes establecidos por ISACA.

(Así reformado el párrafo anterior mediante sesión N° 1548-2019 del 9 de diciembre del 2019)

(Así reformado en sesiones N° 1318-2017 y 1319-2017 del 13 y 20 de marzo de 2017)

Artículo 8. Prestación de servicios complementarios

La firma de auditoría externa o auditor externo independiente puede prestar los servicios de auditoría financiero-contable, auditoría externa de tecnologías de la información (TI), auditoría sobre la eficiencia y efectividad de las políticas, procedimientos y controles para prevenir el riesgo de LCF/FT/FPADM, y para los fiscalizados por la SUGEF la auditoría sobre el proceso de administración integral de riesgos, cuando no haya prestado servicios complementarios en forma directa o a través de una empresa vinculada, dentro de los dos años anteriores al período del acuerdo o compromiso de auditoría o a la fecha de notificación del requerimiento de la auditoría de TI, y durante su realización, de forma que pueda comprometer su independencia.

Entre los servicios complementarios que se considera comprometen la independencia, se encuentran los siguientes:

i. Contabilidad y otros servicios relacionados con los registros contables o estados financieros de la entidad supervisada.

ii. Diseño e implementación de sistemas de información financiera.

iii. Estimación o valoración.

iv. Valuaciones, auditorías o asesorías actuariales.

v. Auditoría Interna.

vi. Asesoría en materia de riesgos.

vii. De dirección o recursos humanos.

viii. Servicios de banca de inversión, incluidos los vinculados a la financiación, la estructura y distribución del capital, y la estrategia de inversión de la entidad auditada, con excepción de la prestación de servicios de verificación en relación con los estados financieros.

ix. Legales y asesoramiento especializado con la auditoría.

x. Representación de la entidad auditada en cualquier tipo de gestión administrativa o procedimiento judicial y arbitral.

xi. Servicios tributarios relacionados con: la preparación de declaraciones tributarias; la búsqueda de subvenciones e incentivos fiscales, salvo que la legislación exija un apoyo respecto de estos servicios por parte del auditor; la asistencia relativa a las inspecciones fiscales de las autoridades tributarias, salvo que la legislación exija un apoyo respecto de estos servicios por parte del auditor; el cálculo de impuestos; y el asesoramiento tributario.

xii. Servicios que supongan cualquier tipo de intervención en la gestión o la toma de decisiones de la entidad auditada.

xiii. Diagnóstico, implementación y mantenimiento de marcos de control sobre TI.

xiv. Asesoría en riesgos en TI.

xv. Capacitación en TI.

xvi. Consultoría en TI.

xvii. Cualquier otro servicio que la Superintendencia respectiva considere que interfiere con la independencia del auditor, para lo cual deberá dictar una resolución motivada.

Para efectos de la determinación de la existencia de una compañía vinculada, a la firma de auditoría externa o auditor externo independiente, se considerará la definición de parte relacionada contenida en la normativa de grupo vinculado emitida por el Consejo Nacional de Supervisión del Sistema Financiero.

(Así reformado mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Artículo 9. Ingresos. La remuneración de la firma de auditoría externa o auditor externo independiente no podrá depender de las condiciones o resultados de su trabajo de auditoría. Tampoco podrá pactarse sobre la base del resultado financiero del período a que se refieren los estados contables sujetos a la auditoría o del resultado de la valoración del gobierno y de la gestión en TI.

(Así reformado el párrafo anterior en sesiones N° 1318-2017 y 1319-2017 del 13 y 20 de marzo de 2017)

Los honorarios totales que perciba un auditor externo independiente o firma de auditoría externa por servicios de auditoría externa y servicios complementarios requeridos expresamente por alguna disposición normativa, ya sea en forma directa o a través de una compañía vinculada que preste a un mismo sujeto supervisado, no podrán ser superiores al veinticinco por ciento de sus ingresos totales de los últimos doce meses.

(Así reformado el párrafo anterior mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Para efectos de determinar los límites establecidos en este Artículo se considerará como una sola entidad a todas las entidades y empresas pertenecientes al grupo o conglomerado financiero, así como a otras empresas vinculadas de conformidad con la definición de parte relacionada contenida en la normativa de grupo vinculado emitida por el Consejo Nacional de Supervisión del Sistema Financiero. En el caso de emisores de valores no financieros, se considerará como una sola entidad a la empresa y sus subsidiarias.

(Así reformado el párrafo anterior mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Artículo 10. Rotación de la firma de auditoría o del profesional independiente.

La entidad supervisada debe cambiar a la firma de auditoría externa responsable de las auditorías financiera contable, sobre la sobre la eficiencia y efectividad de las políticas, procedimientos y controles para prevenir el riesgo de LC/FT/FPADM y para los fiscalizados por la SUGEF del proceso de administración integral de riesgos, al menos cada diez (10) años.

El encargado y miembros del equipo de auditoría de la firma deben rotar cuando alcancen como máximo cinco años en la prestación de los servicios de auditoría externa en forma continua a una misma entidad. Al respecto, se requiere que la firma cuente con un registro de las rotaciones realizadas.

Para el caso de contrataciones a auditores externos independientes, persona física, el plazo máximo de contratación es de cinco (5) años.

La firma o auditor independiente podrán ser contratados nuevamente transcurridos tres años de separación en las auditorías indicadas. Si la contratación para las auditorías a las que se refiere el primer y tercer párrafo de este artículo fue por un periodo de cuatro años, el plazo de separación antes de una nueva contratación será de 2 años. Si la contratación fue por un periodo de tres años o menor, el plazo de separación antes de una nueva contratación será de al menos 1 año.

En el caso de las auditorías sobre el marco de gestión de TI y su aplicación, el cambio debe realizarse luego de tres contrataciones consecutivas por una misma entidad supervisada.

(Así reformado mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

SECCIÓN III

PROCEDIMIENTO PARA LA VERIFICACIÓN DE REQUISITOS Y

CREACIÓN DEL REGISTRO DE AUDITORES EXTERNOS

(Así modificada la denominación de la sección anterior  mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Artículo 11. Requisitos para la inscripción en el Registro. La solicitud de inscripción en el Registro de las firmas de auditoría externa o auditores externos independientes que deseen prestar servicios de auditoría externa a sujetos supervisados por las Superintendencias estará condicionada a la acreditación por parte del auditor, del cumplimiento de los requisitos que se indican a continuación:

a) Solicitud de inscripción del profesional independiente o las firmas auditoras. La solicitud deberá ser firmada por el profesional independiente o su apoderado, o el representante legal en caso de las firmas auditoras, y deberá ser autenticada por notario público o suscrita mediante certificado digital válido. Cuando la solicitud se haga por medio de representantes legales o apoderados, deberá adjuntarse la correspondiente certificación de personería jurídica o del mandato, expedida por el Registro Público Nacional o Notario Público. La solicitud deberá indicar una dirección permanente para atender notificaciones o comunicaciones. b) Declaración jurada rendida por el representante legal de la firma o el profesional independiente donde se indiquen todas las sociedades vinculados, según la definición de parte relacionada contenida en la normativa de grupo vinculado emitida por el Consejo Nacional de Supervisión del Sistema Financiero, con el profesional, la firma, o los socios que prestan servicios de auditoría externa, así como las actividades que realizan.

c) Documentación general del profesional o firma de auditoría de conformidad con lo establecido mediante Lineamiento emitido por la Superintendencia General de Valores (SUGEVAL).

d) Certificación extendida por el Colegio de Contadores Públicos de Costa Rica, donde conste que el profesional independiente es miembro activo. Dicha certificación deberá ser presentada para cada uno de los socios responsables de firmar informes de auditoría, y para los encargados del equipo de la auditoría de conformidad con lo establecido en el artículo 5 de este Reglamento. En el caso de firmas de auditoría que soliciten inscribirse, deberán presentar certificación de que es miembro activo de Colegio de Contadores Públicos.

e) En el caso de solicitudes para brindar servicios de auditorías de TI, el profesional independiente que solicite inscribirse debe presentar la certificación CISA. Esta última certificación deberá ser presentada para los encargados del equipo de la realización de este tipo de auditoría, en el caso de firmas de auditoría, de conformidad con lo establecido en el artículo 5 de este Reglamento.

f) Certificación registral o notarial de los poderes conferidos a cada uno de los socios en el caso de firmas auditoras.

g) Declaración jurada rendida por el representante legal de la firma o el profesional independiente, del cumplimiento de los requisitos y experiencia profesional establecidos en este Reglamento, de conformidad con lo establecido mediante Lineamiento emitido por la SUGEVAL.

Adicionalmente, en la atención de las solicitudes, la SUGEVAL verificará que el solicitante esté al día con los impuestos nacionales, así como en el pago de obligaciones de la seguridad social al momento de presentar la solicitud.

Los requisitos bajo los cuales se realizó la inscripción en el Registro de Auditores Externos se deben mantener actualizados. En el momento en que se presente un cambio de éstos, se debe informar a la Superintendencia General de Valores en la forma y plazo que se indica mediante Lineamiento emitido por la SUGEVAL.

Será responsabilidad de la firma auditora externa o auditor externo independiente, reportar en todo momento cualquier aspecto que provoque la pérdida de la condición de elegible.

(Así reformado mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Artículo 11 Bis. Trámite de inscripción.

La SUGEVAL cuenta con un plazo máximo de diez (10) días hábiles contados a partir de la presentación de la solicitud para verificar si se adjuntaron todos los documentos descritos en el artículo 11 de este Reglamento y del Lineamiento emitido por la SUGEVAL. En caso de omitirse alguno de los documentos, la Superintendencia lo comunicará al solicitante para que, en el plazo de diez (10) días hábiles, complete la documentación.

Durante el proceso de inscripción, la SUGEVAL comunicará de las solicitudes presentadas a las otras Superintendencias, una vez que el solicitante haya cumplido con la remisión de la totalidad de la documentación requerida, para que realicen sus observaciones sobre la experiencia para auditar a las entidades supervisadas de su sector o si tuvieran alguna objeción sobre el registro de determinado auditor o firma, en un plazo máximo de diez días hábiles.

Las observaciones a la solicitud se trasladarán al solicitante por escrito para que, en el plazo máximo de diez días hábiles, realice los cambios pertinentes o justifique su posición. Las notificaciones suspenderán el plazo de la Superintendencia para resolver. En caso de que el solicitante no cumpla con lo prevenido, la solicitud de inscripción se denegará. En caso de que el solicitante no remita la respuesta en el plazo establecido se procederá al archivo de la solicitud.

La SUGEVAL resolverá las solicitudes dentro del plazo de treinta (30) días hábiles contado a partir de la fecha de notificación del cumplimiento de la totalidad de la documentación, de conformidad con las facultades que establece la Ley General de la Administración Pública.

La resolución que se dicte tendrá recurso de revocatoria a ser resuelto por la SUGEVAL y de apelación ante el Consejo Nacional de Supervisión del Sistema Financiero, dentro de los plazos que establece la Ley General de Administración Pública.

La resolución de inscripción no es un criterio u opinión de las Superintendencias sobre la calidad de las auditorías realizadas por parte de las firmas de auditoría externa o auditores externos independientes.

(Así adicionado mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Artículo 12. Desinscripción del Registro

Previo cumplimiento del debido proceso, la SUGEVAL mediante resolución excluirá del registro a la firma de auditoría externa o auditor externo independiente cuando:

a) Se determine la existencia de situaciones que impidan el cumplimiento de los requisitos y experiencia profesional e independencia de la firma de auditoría externa, del auditor externo independiente, del socio responsable y del auditor a cargo, en el área del sector financiero o en el caso de empresas no financieras, en el sector en el que opera la entidad.

b) Exista incumplimiento a lo establecido en el artículo 15 del presente Reglamento, en lo correspondiente al procedimiento de sustitución o retiro de la firma de auditoría externa o auditor externo independiente como auditor de la entidad.

c) No cumpla con las disposiciones, requisitos y documentación o actualización de los documentos y demás certificaciones indicadas en este Reglamento.

d) No comuniquen por escrito al Órgano de Dirección de la entidad o empresa supervisada o grupo o conglomerado financiero y al Superintendente correspondiente, simultáneamente y dentro de los cinco días hábiles después de haber tomado conocimiento, sobre cualquier hecho significativo que detecten en el proceso de auditoría o trabajo encargado por la entidad o empresa supervisada o grupo o conglomerado financiero en cumplimiento de las regulaciones que le son aplicables, y que puedan entenderse como operaciones ilegales o fraudulentas; alteraciones u omisiones graves de información; situaciones de irregularidad financiera, o inobservancia de normas emitidas por el Consejo Nacional de Supervisión del Sistema Financiero (Conassif), que presente una entidad financiera o supervisada, o que haya sido cometida por miembros del órgano de dirección, funcionarios o empleados de estas.

e) El alcance del examen, revisión, auditoría financiera contable, o trabajo encargado por el ente supervisado en cumplimiento de las regulaciones que le son aplicables, y el contenido de los informes, no se ajusten a las disposiciones establecidas en la normativa; las Normas Internacionales de Auditoría o cuando incumpla con lo dispuesto en el Código de Ética de la Federación Internacional de Contadores (IFAC por sus siglas en inglés) y del Colegio de Contadores Públicos de Costa Rica.

f) Para el caso de un auditor certificado CISA, el alcance del examen, revisión, auditoría o trabajo encargado por el ente supervisado en cumplimiento de las regulaciones que le son aplicables, y el contenido de los informes, no se ajusten a las disposiciones establecidas en las Normas de Auditoría y Aseguramiento de Sistemas de Información emitidas por ISACA; los estándares de auditoría de sistemas de información adoptados por ISACA o cuando incumpla con lo dispuesto en el Código de Ética Profesional de ISACA o con la Política de Educación Profesional Continua de CISA, o con las disposiciones establecidos en los Alcances de Auditoría Externa solicitada por la superintendencia respectiva.

g) Para el caso de un auditor certificado CISA, la Asociación de Auditoría y Control de los Sistemas de Información (ISACA), inhabilite su certificación para realizar labores de auditoría de TI, en cuyo caso se procederá con la desinscripción automática del profesional independiente o exceptuar la actividad de tecnología de información de la firma de auditoría externa para que pueda brindar ese servicio, por el plazo que dure la inhabilitación de la certificación CISA.

h) No mantenga a disposición del Superintendente, para cuando sea requerido por éste, la suficiente y adecuada evidencia de auditoría, entre esta los papeles de trabajo, las comunicaciones del auditor externo a la administración o la Junta Directiva u órgano equivalente del ente auditado (carta a la gerencia), los programas de auditoría aplicados y demás información documental y electrónica de respaldo de los resultados y los informes que emitan.

i) Presenten documentos y otros entregables que impidan conocer de forma veraz el estado de los procesos de gobierno y de gestión de TI de una entidad supervisada.

j) Hayan sido sancionadas por alguna de las Superintendencias o una autoridad competente, administrativa o judicial, según el marco legal correspondiente, en cuyo caso se procederá con la desinscripción automática del profesional independiente o de la firma de auditoría externa por el mismo plazo que dure la sanción impuesta.

k) El Colegio de Contadores Públicos de Costa Rica los suspenda de realizar labores de auditoría, en cuyo caso se procederá con la desinscripción automática del profesional independiente o de la firma de auditoría externa por el mismo plazo que dure la suspensión.

l) Cuando el auditor externo independiente o alguno de los socios de la firma de auditoría externa, se encuentre designado(a) en las listas en materia de LC/FT/FPADM, de la Organización de las Naciones Unidades (ONU), la Oficina de control de activos financieros extranjeros (OFAC, por sus siglas en inglés), y organismos internacionales e intergubernamentales reconocidos en materia de LC/FT/FPADM.

m) Medie solicitud expresa de la firma de auditoría externa o auditor externo independiente. La solicitud de desinscripción deberá ser firmada por el auditor externo independiente o el representante legal de la firma de auditoría.

n) Deje de desempeñar la función de auditoría externa a las entidades o empresas supervisadas por las Superintendencias, en los términos señalados en este Reglamento o el Reglamento General de Gestión de la Tecnología de Información, por más de cinco años consecutivos.

Cada Superintendencia debe establecer sus planes de verificación del cumplimiento de las disposiciones de este reglamento, para que, en caso de ser necesario, realice la revisión de papeles de trabajo y la implementación de mecanismos de control de calidad y cumplimiento de otros requisitos relevantes, para lo cual puede conformar un equipo de trabajo 'ad hoc' en el que pueden participar colaboradores de las otras superintendencias. Si se determina que los auditores externos independientes o firmas de auditoría externa, se encuentran incumpliendo algunos de los requisitos exigidos, las Superintendencias impondrán la sanción respectiva, una vez realizado el debido proceso conforme al procedimiento ordinario establecido en la Ley General de la Administración Pública, y notificarán a la SUGEVAL para que inicie el trámite de desinscripción del Registro de Auditores Externos. La resolución sobre la desinscripción corresponderá a la SUGEVAL.

En el caso de sancionar a un auditor externo independiente o firma de auditoría externa que se encuentre brindando servicios a una entidad o empresa supervisada o grupo o conglomerado financiero, la Superintendencia correspondiente podrá mediante resolución requerir al sujeto o sujetos supervisados, la contratación de otra firma de auditoría externa o profesional independiente.

La solicitud expresa de la firma de auditoría externa o auditor externo independiente para la desinscripción del registro, según lo indicado en el inciso m) anterior, no impide la continuidad de los procesos administrativos que haya iniciado la o las Superintendencias antes de dicha solicitud.

(Así reformado mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Artículo 13. Verificación del cumplimiento de requisitos De previo a la suscripción del contrato por los servicios de auditoría, la entidad supervisada debe comprobar que el prestatario de los servicios cumple con los requisitos establecidos en los artículos 5, 7, 8, y en los artículos 6 y 10 cuando correspondan, de este Reglamento.

(Así reformado el párrafo anterior en sesiones N° 1318-2017 y 1319-2017 del 13 y 20 de marzo de 2017)

Posteriormente, con la presentación de los informes de auditoría, la entidad supervisada debe verificar el requisito establecido en el Artículo 9 de este Reglamento, por medio de:

(Así reformado el párrafo anterior en sesiones N° 1318-2017 y 1319-2017 del 13 y 20 de marzo de 2017)

a) una declaración jurada rendida por el auditor externo independiente o representante legal de la firma de auditoría, la cual deberá indicar que cumple con los porcentajes establecidos durante los últimos doce meses.

b) de la elaboración de un informe por parte de la entidad supervisada que debe contener: el total de gastos pagados al  profesional o firma en los últimos doce meses anteriores a la fecha de presentación del informe auditado, por servicios de auditoría y otros servicios complementarios.

Los sujetos supervisados deben verificar el cumplimiento de los requisitos y experiencia profesional e independencia establecidos en este Reglamento, para el profesional o firma auditora contratada, así como también deberán verificar el contenido de los informes de auditoría rendidos por éstos. El auditor externo independiente o la firma de auditoría están obligados a comunicar a la entidad supervisada cualquier modificación al cumplimiento de requisitos establecidos en este reglamento. Cada superintendencia debe conformar un registro sobre los incumplimientos del ente supervisado en la verificación de requisitos del auditor externo, el cual será utilizado para la valoración integral de la calidad de su administración. 

(Así reformado el párrafo anterior en sesiones N° 1189-2015 y 1190- 2015, del 10 y 17 de agosto del 2015)

Los documentos que respalden la evaluación de los requisitos de independencia y la declaración jurada del auditor externo independiente o representante legal de la firma de auditoría que se designe deberán estar disponibles para efectos de supervisión.

SECCIÓN IV

Comunicación de la contratación

Artículo 14.- Comunicación de nombramiento y demostración del cumplimiento de los requisitos y condiciones. Los grupos o conglomerados financieros y las entidades supervisadas deben comunicar anualmente el nombre de la firma de auditoría externa o auditor externo independiente contratado para realizar las auditorías que se establecen en el artículo 3 de este Reglamento mediante los medios que defina la Superintendencia respectiva. Si la contratación es a nivel de grupo o conglomerado financiero, la comunicación la realiza la controladora al Supervisor responsable.

 (Así reformado el párrafo anterior mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

En el caso de la auditoría financiero-contable, sobre la eficiencia y efectividad de las políticas, procedimientos y controles para prevenir el riesgo de LCF/FT/FPADM y para los fiscalizados por la SUGEF del proceso de administración integral de riesgos, la comunicación deberá realizarse, a más tardar, el 30 de junio de cada año, tratándose de empresas que realizan sus cierres en diciembre de cada año, y el 30 de abril para las que lo realizan en otra fecha de corte. En el caso de la auditoría en TI, debe realizarse en el plazo de veinte días hábiles posteriores a la contratación respectiva.

 (Así reformado el párrafo anterior mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

(*) La entidad o empresa supervisada, deberá rendir, a través de sus representantes legales, una declaración jurada, donde manifieste que verificó el cumplimiento de los requisitos de independencia y rotación del profesional o firma de auditoría designada y que la documentación de respaldo del proceso de contratación se encuentra bajo su resguardo. Si la contratación es a nivel de grupo o conglomerado financiero, la declaración jurada debe ser realizada por el representante legal de la controladora. En cuanto a las declaraciones juradas:

a) Deben cumplir con los requerimientos legales que le den validez.

b) Se pueden mantener en físico o en digital.

c) Deben mantenerse bajo custodia de las entidades, empresas o controladora para los efectos de la supervisión que corresponda realizar, por un período de cinco años.

(*)(Así reformado el párrafo anterior mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Las entidades supervisadas y las firmas auditoras o auditores externos independientes  deberán consignar en el respectivo contrato de prestación de servicios, una declaración de estas últimas, donde se reafirme el cumplimiento de todos los requisitos establecidos en este reglamento, y se manifieste la obligación del cumplimiento de los mismos durante todo el período de contratación.

SECCIÓN V

Sustitución

Artículo15. Sustitución del profesional o de la firma designada

En el caso de que un sujeto supervisado resuelva sustituir a la firma de auditoría externa o auditor externo independiente contratado para realizar las auditorías que se establecen en el artículo 3 de este Reglamento, o bien, por retiro de este, tanto el sujeto supervisado como el auditor o firma de auditoría deberán rendir un informe a la Superintendencia respectiva, detallando en forma amplia las causas de la situación en un plazo no mayor de cinco días hábiles después de formalizarse la sustitución o retiro entre las partes.

(Así reformado mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

CAPÍTULO III

Alcance y contenido de la Auditoría

SECCIÓN I

Normas de Auditoría

Artículo 16. Procedimientos de auditoría. Para la realización de auditorías financiera contable, sobre la eficacia y efectividad de las políticas, procedimientos y controles para prevenir el riesgo de LC/FT/FPADM y para los fiscalizados por la SUGEF del proceso de administración integral de riesgos, el auditor deberá aplicar las Normas Internacionales de Auditoría y las disposiciones adoptadas por el Colegio de Contadores Públicos de Costa Rica, así como lo dispuesto en este Capítulo. Para el caso de las auditorías de TI, el auditor con certificado CISA deberá efectuar la auditoría conforme a las Normas de Auditoría y Aseguramiento de Sistemas de Información emitidas por ISACA. Además, deberá evaluar que el diseño de los procesos esté conforme al principio de proporcionalidad, fundamentando su opinión general y calificación basado en la valoración de los criterios de evaluación que le aplique a la entidad, según las mejores prácticas definidas en el Reglamento de TI valorando las fortalezas, debilidades y riesgos.

 (Así reformado mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Artículo 19.-Comunicaciones del Auditor Externo. Las comunicaciones del auditor externo, entre ellas la carta de gerencia, deberán incluir los aspectos resultantes del proceso de auditoría de la información financiera que provengan de asuntos de gobierno corporativo, deficiencias de control interno y los informes complementarios emitidos por el auditor externo.

Las firmas de auditoría externa o auditores externos independientes deben informar al Superintendente respectivo, mediante oficio, en el momento que tengan conocimiento, de las siguientes situaciones: operaciones ilegales o fraudulentas; alteraciones u omisiones graves de información; situaciones de irregularidad financiera, o inobservancia de normas emitidas por el Consejo Nacional de Supervisión del Sistema Financiero (Conassif), que presente una entidad o empresa supervisada, o que haya sido cometida por miembros del órgano de dirección, funcionarios o empleados de estas, como resultado del trabajo de auditoría para el cual fue contratado de conformidad con lo establecido en el artículo 3 de este Reglamento. Una copia de esta comunicación debe ser remitida al Órgano de Dirección de la entidad, empresa o controladora, para que dicho órgano pueda evaluar y determinar las medidas correctivas adecuadas.

(Así reformado el párrafo anterior mediante sesión N° 1700-2021 del 16 de noviembre del 2021)

Una vez concluido el trabajo de auditoría y en el caso de que la entidad fiscalizada no acepte el dictamen emitido por el auditor externo, este último deberá remitir, de inmediato, su dictamen a la Superintendencia respectiva.

Cuando corresponda, la Superintendencia devolverá a la entidad supervisada los informes de auditores externos que presenten inconsistencias, debilidades o incumplimientos del encargo realizado por el ente supervisado a la luz de los requerimientos técnicos, normativos y legales vigentes y dará traslado al auditor externo independiente o firma de auditoría para que presente los alegatos que estime pertinentes en un plazo de ocho días hábiles contados a partir del recibo de la comunicación. 

(Así adicionado el párrafo anterior en sesiones N° 1189-2015 y 1190- 2015, del 10 y 17 de agosto del 2015)

Estas comunicaciones se considerarán confidenciales, sin perjuicio de las facultades de cada Superintendencia para exigir o realizar la comunicación al público de la información derivada de estos informes cuando la misma, de acuerdo a la regulación aplicable, constituya un hecho relevante.

Cuando la Superintendencia lo considere oportuno y en observancia del marco legal vigente, se establecerán los mecanismos de comunicación con el auditor externo independiente o el socio de la firma de auditoría con el propósito de discutir grandes temas financieros y de riesgos sistémicos o por sector que se consideren pertinentes con el fin de que, de acuerdo con el criterio profesional del auditor externo, se valore la pertinencia de su inclusión en las auditorías y revisiones de información y de cumplimiento de los entes supervisados.

(Así adicionado el párrafo anterior en sesiones N° 1189-2015 y 1190- 2015, del 10 y 17 de agosto del 2015)

SECCIÓN III

Periodicidad y divulgación del dictamen

de los estados financieros

Artículo 20. Presentación de los informes de auditoría y documentos adicionales.

Las entidades y empresas supervisadas deberán presentar conforme lo dispone el orden regulatorio a sus respectivos supervisores la opinión emitida por el auditor externo, los estados financieros auditados, sus notas, hojas de trabajo de consolidación con sus respectivos asientos de eliminación y las comunicaciones del auditor externo, dentro de los plazos establecidos en el Reglamento de Información Financiera y según la normativa específica definida por cada Superintendencia.

La información que suscriba el auditor externo deberá presentarse por medios electrónicos de conformidad con el procedimiento para el uso de firma digital por parte de un contador público emitido por el Colegio de Contadores Públicos de Costa Rica. Se exceptúa de la presentación mediante firma digital los informes elaborados por auditores externos extranjeros.

(Así reformado mediante sesión N° 1602-2020 del 31 de agosto del 2020)

Artículo 22.-Vigencia. (Derogado en sesiones N° 1318-2017 y 1319-2017 del 13 y 20 de marzo de 2017)

Disposición final única. Entrada en vigor. Rige a partir de su publicación en el Diario Oficial La Gaceta.

(Así adicionada la disposición anterior en sesiones N° 1318-2017 y 1319-2017 del 13 y 20 de marzo de 2017)

ANEXO

Lineamientos para la inscripción en el registro de auditores

elegibles y actualización de información

(Derogado mediante sesión N° 1700-2021 del 16 de noviembre del 2021)