C A P T U L O V
IG-1000 67
Interpretacin:
El estatuto de Auditora Interna es un documento formal que define el propsito, la
autoridad y la responsabilidad de la actividad de Auditora Interna. El estatuto de
Auditora Interna establece la posicin de la actividad de Auditora Interna dentro
de la organizacin, incluyendo la naturaleza de la relacin funcional del Director de
Auditora Interna con el Consejo; autoriza su acceso a los registros, al personal y a
los bienes relevantes para el desempeo de los trabajos; y define el alcance de las
actividades de Auditora Interna. La aprobacin final del estatuto de Auditora
Interna corresponde al Consejo.
Introduccin
El estatuto de Auditora Interna es un documento fundamental, ya que registra el pro-
psito, la autoridad y la responsabilidad de la actividad de Auditora Interna de una
organizacin. Para la creacin de este documento, el Director de Auditora Interna
(DAI) debe comprender los elementos obligatorios del Marco Internacional para la
Prctica Profesional (MIPP) del IIA, incluyendo la Definicin de Auditora Interna, los
Principios Fundamentales para la Prctica Profesional de la Auditora Interna, el
Cdigo tico y las Normas.
Esta comprensin es la base para que el DAI, el Consejo y la alta direccin decidan,
de comn acuerdo, los siguientes aspectos:
- Los objetivos y las responsabilidades de la Auditora Interna.
miento (por ejemplo, prohibiendo que el auditor interno haya tenido responsabili-
dad operacional o autoridad sobre las reas auditadas).
- Responsabilidades: establece las principales reas de responsabilidad continua,
como la definicin del alcance de los trabajos de Auditora Interna, la redaccin del
plan de auditora y su presentacin ante el Consejo para su aprobacin, la realiza-
cin de los trabajos de Auditora Interna, la comunicacin de los resultados, la
entrega de un informe de auditora por escrito y la supervisin de las medidas
correctivas tomadas por la direccin.
- Aseguramiento y mejora de la calidad: describe las expectativas sobre el mante-
nimiento, la evaluacin y la comunicacin de los resultados de un programa de ase-
guramiento y mejora de la calidad que cubra todos los aspectos de la actividad de
Auditora Interna.
- Firmas: documenta el acuerdo entre el DAI, el representante designado del Consejo
y la persona ante la que responde el DAI, con la fecha, el nombre y el cargo de los
signatarios.
Una vez se ha redactado el borrador, el estatuto propuesto debe ser debatido por la
alta direccin y el Consejo para confirmar que describe con exactitud el rol y las expec-
tativas acordadas o para identificar los cambios deseados. Cuando el borrador es
aceptado, el DAI debe presentarlo formalmente en una reunin del Consejo para su
debate y aprobacin. El DAI y el Consejo pueden tambin acordar la frecuencia con
que se ha de revisar y confirmar, en su caso, que el contenido del acuerdo sobre el
estatuto de auditora continua vigente y sigue facilitando a la actividad de la Auditora
Interna el cumplimiento de sus objetivos. Si surge alguna cuestin en el proceso, el
estatuto puede usarse como referencia y actualizarse cuando sea necesario.
Introduccin
Antes de escribir o revisar el estatuto de Auditora Interna, es aconsejable que el
Director de Auditora Interna (DAI) vuelva a leer el Marco Internacional para la Prctica
Profesional (MIPP) y revise sus conocimientos de los elementos obligatorios, incluyen-
do la Definicin de Auditora Interna, el Cdigo de tica, y las Normas. El DAI debe
revisar peridicamente el estatuto de Auditora Interna y presentarlo a la alta direc-
cin y al Consejo para su aprobacin (Norma 1000: Propsito, Autoridad y
Responsabilidad). Para ello resultar til que el DAI conozca el proceso de aprobacin
del estatuto de Auditora Interna de su organizacin y que, como parte del mismo,
organice una reunin para tratar el tema con el Consejo y la alta direccin.
Una alternativa a usar una declaracin especfica, es emplear, a lo largo del estatuto,
un lenguaje y un contenido con el que se explicite la obligacin de cumplir las guas
obligatorias.
La reunin del DAI con la alta direccin y el Consejo para tratar la aprobacin del esta-
tuto es una buena oportunidad para explicar los elementos obligatorios del MIPP, as
como la forma en que el estatuto recoge esos elementos.
Una vez que el estatuto haya sido aprobado, es importante que el DAI supervise la
aplicacin de las guas obligatorias del Instituto de Auditores Internos y que se trate
cualquier cambio en la siguiente revisin del estatuto.
Interpretacin:
La independencia es la libertad de condicionamientos que amenazan la capacidad
de la actividad de Auditora Interna de llevar a cabo las responsabilidades de la
actividad de Auditora Interna de forma neutral. Con el fin de lograr el grado de
independencia necesario para cumplir eficazmente las responsabilidades de la
actividad de Auditora Interna, el Director de Auditora Interna debe tener acceso
directo e irrestricto a la alta direccin y al Consejo. Esto puede lograrse mediante
una relacin de doble dependencia. Las amenazas a la independencia deben con-
templarse en todos los niveles, del auditor individual, de cada trabajo, funcional y
organizacional.
La objetividad es una actitud mental neutral que permite a los auditores internos
desempear su trabajo con honesta confianza en el producto de su labor y sin
comprometer su calidad. La objetividad requiere que los auditores internos no
subordinen su juicio sobre asuntos de auditora a otras personas. Las amenazas a
la objetividad deben contemplarse en todos los niveles, del auditor individual, de
cada trabajo, funcional y organizacional.
Introduccin
La independencia se define como la libertad de condicionamientos que amenazan la
capacidad de la actividad de Auditora Interna de llevar a cabo las responsabilidades
de la actividad de Auditora Interna de forma neutral. A menudo, dichos condiciona-
mientos se derivan de la posicin que ocupa Auditora Interna en el organigrama de
la organizacin y de las responsabilidades que se le asignan. Por ejemplo, si Auditora
Interna est integrada en otra funcin determinada, no se considerar independiente
de la misma, sin perjuicio de que se trate de una funcin auditable. En el mismo sen-
tido, si el Director de Auditora Interna (DAI) tiene responsabilidades adicionales a la
Auditora Interna, como gestin de riesgos o cumplimiento normativo, Auditora Inter-
IG-1100 73
na no ser independiente de esas funciones, que, por otro lado, son tambin funcio-
nes auditables.
No obstante, el DAI no puede por s mismo determinar la independencia de Auditora
Interna y el lugar que ocupa en el organigrama de la organizacin; el DAI necesita
ayuda del Consejo y de la alta direccin para conseguir una independencia real.
Habitualmente, el DAI, el Consejo y la alta direccin logran un entendimiento comn
de las responsabilidades y autoridad de Auditora Interna y de las expectativas que se
tienen sobre ella, y sobre ese entendimiento se sientan las bases para tratar la inde-
pendencia de Auditora Interna y su ubicacin en el organigrama.
Dependiendo de la experiencia y las expectativas del Consejo y la alta direccin, se
podr llegar a una visin comn con ms o menos debate para lograr que ambas ins-
tancias sean conscientes de la importancia de la independencia, la importancia de
tener medios suficientes para lograrla y la relevancia de consideraciones clave como
las lneas de reporting, los requerimientos profesionales y regulatorios, el benchmar-
king y la cultura de la organizacin.
Generalmente, el estatuto de Auditora Interna reflejar las decisiones que se han
tomado sobre responsabilidad, autoridad y expectativas, as como sobre la ubicacin
en el organigrama y lneas de reporting.
La objetividad se refiere a la actitud mental imparcial de los auditores internos. Para
implementar esta norma, el DAI tendr que comprender las polticas o actividades de
la organizacin y de la Auditora Interna que podran favorecer u obstaculizar ese esta-
do mental. Por ejemplo, muchas organizaciones han estandarizado evaluaciones de
desempeo y polticas compensatorias, adems de polticas para regular posibles con-
flictos de intereses de los empleados. El DAI tendr que comprender la naturaleza de
las polticas identificadas como relevantes, y considerar su impacto potencial en la
objetividad de Auditora Interna. Auditora Interna a menudo adaptar estas polticas
generales de la organizacin para establecer roles especficos de Auditora Interna y
poder desarrollar otras polticas relevantes especficas de Auditora Interna, tales como
las polticas relacionadas con los requisitos de formacin.
cin debe valorar un equilibrio entre el desempeo del auditor, los resultados de la
auditora, y el feedback de los clientes.
Una mayor orientacin sobre objetividad puede consultarse en la Gua de Implemen-
tacin 1120 Objetividad Individual.
Introduccin
Habitualmente, el Director de Auditora Interna (DAI), el Consejo, y la alta direccin
han tratado y acordado la responsabilidad de Auditora Interna, su autoridad y expec-
tativas, as como la necesaria ubicacin en el organigrama de Auditora Interna y la
dependencia jerrquica del DAI que permitan a Auditora Interna cumplir sus respon-
sabilidades. La dependencia jerrquica habitualmente incluye una dependencia fun-
cional directa del Consejo. Sobre esto pueden obtenerse orientaciones adicionales en
la Gua de Implementacin 1100 Independencia y Objetividad y en la Gua de
Implementacin 1110 Independencia dentro de la Organizacin..
cin) para tratar distintos temas o problemas. Tambin resulta til para asegurar una
comunicacin directa y abierta, que el DAI participe en reuniones con un solo miem-
bro del Consejo o con el Presidente del Comit de Auditora Interna o realice llama-
das de telfono peridicas, tanto con carcter previo a las reuniones agendadas, como
rutinariamente durante el ao.
Los DAIs que no tengan acceso directo al Consejo pueden compartir con l la Norma
1111 (tambin las normas 1100 y 1110), las prcticas de gobierno recomendadas, y
estudios sobre mejores prcticas en el Comit de Auditora y el Consejo para lograr
una dependencia funcional ms fuerte a lo largo del tiempo. Adems, los DAIs que
estn en esta situacin pueden optar por enviar al Consejo comunicaciones escritas
hasta que est disponible la lnea de comunicacin directa que requiere esta norma.
Introduccin
La interpretacin de la Norma 1112 seala que cuando el Director de Auditora
Interna (DAI) asume funciones y responsabilidades fuera de la Auditora Interna, esto
puede impedir, o parecer que impide, la independencia dentro de la organizacin de
la actividad de Auditora Interna o la objetividad individual del auditor interno. Sin
embargo, en ciertas circunstancias, el Consejo y la alta direccin pueden pensar que
resulta adecuado para la organizacin expandir las funciones del DAI ms all de la
Auditora Interna.
Se relacionan a continuacin algunos ejemplos de situaciones en las que se puede
pedir al DAI que desarrolle alguna funcin que, normalmente, es desempeada por
otro director:
- Un nuevo requerimiento regulatorio provoca la necesidad urgente de desarrollar
polticas, procedimientos, controles y actividades de gestin de riesgos para asegu-
rar su cumplimiento.
- Una organizacin necesita que sus actuales actividades de gestin de riesgos sean
adaptadas para incorporar un nuevo segmento de negocio o un nuevo mercado en
otra zona geogrfica.
- Los recursos de la organizacin son demasiado limitados, o la organizacin es
demasiado pequea, para poder permitirse una funcin de cumplimiento normati-
vo independiente.
- Los procesos de la organizacin no tienen la madurez suficiente, y el DAI tiene la
pericia necesaria para incorporar los principios de gestin de riesgos en la organi-
zacin.
En algunos casos, se puede espera que el DAI asuma responsabilidades en las reas
de gestin de riesgos, diseo y ejecucin de controles y cumplimiento normativo. Por
ejemplo, si se le pide a un DAI que asuma una funcin que depende funcionalmente
de la alta direccin en lugar que del Consejo, esto puede impedir la independencia del
DAI en relacin con las responsabilidades de Auditora Interna (para consultar ejem-
plos adicionales sobre impedimentos potenciales, ver la Gua de Implementacin
1130 Impedimentos a la Independencia u Objetividad). La Norma 1112 orienta al
DAI en estos casos.
Para implementar la Norma 1112, el DAI debe tener un claro conocimiento del Cdigo
de tica del IIA y los conceptos de independencia y objetividad, tal y como vienen
explicados en la serie de Normas y Guas de Implementacin 1100. Adicionalmente,
varios de los Principios Fundamentales para la Prctica Profesional de la Auditora
Interna del IIA tratan el tema de la necesaria independencia y objetividad del DAI. La
declaracin de la Misin y el estatuto de la actividad de Auditora Interna, el estatuto
del Comit de Auditora y las polticas y Cdigo de tica de la organizacin pueden
incluir orientacin adicional relevante y especfica de la organizacin.
Para gestionar los riesgos derivados del impedimento de la independencia y objetivi-
dad, el DAI debera tener conocimiento de cualquier funcin ajena al mbito de la
Auditora Interna que se le proponga, y comentar con la alta direccin y el Consejo
todo lo relacionado con las lneas jerrquicas, las responsabilidades y las expectativas
que haya en torno a la funcin de que se trate. Durante esta conversacin, el DAI
debera hacer hincapi en las normas del IIA relacionadas con la independencia y
objetividad, el impedimento u obstculo potencial que supone ejercer la funcin pro-
IG-1112 81
puesta, los riesgos asociados a dicha funcin y las salvaguardas o controles que pue-
den mitigarlos.
La Norma 1130 requiere que el DAI informe sobre los detalles de cualquier impedi-
mento a la independencia o a la objetividad, de facto o en apariencia. Estos informes,
que permiten al Consejo evaluar el riesgo global de potenciales impedimentos, nor-
malmente se entregan en las reuniones con el Consejo y pueden incluir debates sobre
temas como los siguientes:
- Funciones y responsabilidades que se solicita al DAI que asuma.
- Riesgos relacionados con esta asuncin.
- Salvaguardas para la independencia y objetividad del DAI, incluyendo las que limi-
tan los impedimentos en apariencia.
- Controles con los que se cuenta para validar que las salvaguardas estn operando
de forma eficaz.
- Plan de traspaso de funcin, si la asignacin al DAI contempla su desempeo slo
en el corto plazo.
- Acuerdo con la alta direccin y el Consejo.
El Consejo puede comprobar la objetividad del DAI, elevando el nivel del examen que
se realiza del riesgo de evaluacin del DAI, del plan de Auditora Interna y de las comu-
nicaciones derivadas de un trabajo concreto, y tener en cuenta cualquier sesgo poten-
cial que pueda tener el DAI en lo relacionado con las reas en las que l o ella haya
desempeado su funcin ms all de la Auditora Interna.
Para ayudar a salvaguardar al DAI de impedimentos a la objetividad, la Norma
1130.A1 prohbe a los auditores internos evaluar operaciones concretas en las que
hayan sido responsables en el ao inmediato anterior, y la Norma 1130.A2 requiere
que una parte de fuera de la actividad de Auditora Interna supervise el trabajo de ase-
guramiento, en las funciones sobre las que el DAI tiene responsabilidad. Si el DAI tiene
responsabilidades en reas ajenas a la actividad de Auditora Interna que vayan a ser
objeto de una Auditora Interna, el aseguramiento deber ser externalizado en un pro-
veedor de aseguramiento objetivo y competente, que informe independientemente al
Consejo, en lugar de al DAI. Dicho proveedor de aseguramiento podra ser tanto inter-
no como externo.
Una evaluacin externa de la actividad de Auditora Interna (ver la Norma 1312
Evaluaciones Externas) que incluya una revisin de la independencia y objetividad del
DAI particularmente en reas en las que el DAI est ejecutando responsabilidades
IG-1112 83
Interpretacin:
El conflicto de intereses es una situacin en la cual un auditor interno, que ocupa
un puesto de confianza, tiene un inters personal o profesional en competencia
con otros intereses. Tales intereses en competencia pueden hacerle difcil el cum-
plimiento imparcial de sus tareas. Puede existir un conflicto de intereses an cuan-
do no se produzcan actos inadecuados o no ticos. Un conflicto de intereses puede
crear una apariencia de deshonestidad que puede socavar la confianza en el audi-
tor interno, en la actividad de Auditora Interna y en la profesin. Un conflicto de
intereses podra menoscabar la capacidad de un individuo de desempear sus
tareas y responsabilidades con objetividad.
Introduccin
La objetividad se refiere a la actitud mental imparcial y neutral que debe tener un
auditor interno, y que se facilita evitando conflictos de inters. No obstante, para poner
en prctica esta norma, el Director de Auditora Interna (DAI) tendr primero que com-
prender las polticas o actividades de la organizacin y de Auditora Interna que pue-
den potenciar o entorpecer esta actitud mental. Por ejemplo, muchas organizaciones
tienen una norma de evaluacin del desempeo y polticas de remuneracin, y tam-
bin polticas para resolver conflictos de intereses de los empleados. Auditora interna
a menudo adapta esas polticas para realizar las funciones especficas que le corres-
ponden adems de contar con otras polticas relevantes propias de su departamento,
como las que especifican la formacin obligatoria.
El DAI tiene que conocer la naturaleza de las polticas relevantes identificadas y tener
en cuenta su impacto potencial en la objetividad de Auditora Interna.
IG-1120 85
evitar e informar sobre conflictos de intereses. Los registros de las actividades de for-
macin pueden demostrar que los auditores internos son conscientes de la importan-
cia de la objetividad, la naturaleza de las amenazas que puede sufrir, y que adems
conocen ejemplos de conflictos de intereses.
Adems, puede haber formularios firmados en los que el firmante detalle la existencia
(o inexistencia) de conflictos, en caso de que haya una poltica en la organizacin o en
el nivel de Auditora Interna que obligue a firmar este tipo de formularios. Tambin los
papeles de trabajo de auditora detallan el equipo asignado a un encargo concreto, y
pueden ser comparados con sus expedientes laborales o con formularios como los
antes referidos para confirmar que se han evitado los conflictos conocidos.
Interpretacin:
El impedimento o menoscabo a la independencia de la organizacin y a la objeti-
vidad individual puede incluir, entre otros, a los conflictos de intereses, limitacio-
nes al alcance, restricciones al acceso a los registros, al personal y a los bienes, y
limitaciones de recursos tales como el financiero.
La determinacin de las partes apropiadas a quienes deben exponerse los detalles
de un impedimento a la independencia u objetividad depende de las expectativas
sobre las responsabilidades de la actividad de Auditora Interna y del Director de
Auditora Interna ante la alta direccin y el Consejo segn se describe en el esta-
tuto de Auditora Interna, as como de la naturaleza del impedimento.
Introduccin
La norma obliga al Director de Auditora Interna (DAI) a poner de manifiesto u obser-
var los impedimentos que pueda afectar a la independencia o a la objetividad. Por lo
tanto, el DAI debe tener una comprensin clara de los requisitos de independencia y
objetividad tal y como son descritos en el Cdigo de tica y en las normas 1100, 1110,
1111, 1112 y 1120.
Adicionalmente, el DAI comunicar estos requerimientos al Consejo y a la alta direc-
cin para asegurar que stos comprenden la importancia de la independencia y la
objetividad para lograr que la actividad de Auditora Interna sea efectiva. Habitual-
mente, el Consejo y la alta direccin querrn tratar cmo y a quin se comunican los
impedimentos, dependiendo de la naturaleza y el impacto potencial del impedimento
concreto.
Para comprender completamente y valorar la relevancia de la independencia y la obje-
tividad, es importante que los auditores internos tengan en cuenta la perspectiva de
IG-1130 89
varios stakeholders y los condicionamientos que stos podran percibir como obstcu-
los (reales o en apariencia) a la independencia o a la objetividad. A menudo, el DAI
desarrollar un manual de polticas de Auditora Interna que incluya un anlisis de la
independencia dentro de la organizacin y la objetividad del auditor interno, de la
naturaleza de los posibles impedimentos, y de cmo los auditores internos deben ges-
tionarlos.
Introduccin
Desarrollar trabajos con la aptitud y el cuidado profesional adecuados es responsabi-
lidad de todo auditor interno. Y para alcanzar ambos atributos es necesario comenzar
por comprender las Guas Obligatorias del Marco Internacional para la Prctica
Profesional (MIPP), sobre todo el Cdigo de tica del Instituto de Auditores Internos.
Los auditores internos normalmente desarrollan sus aptitudes a travs de la forma-
cin, la experiencia, las oportunidades de desarrollo profesional, y cualificaciones
como la certificacin ms relevante para la profesin de auditor interno, la designa-
cin de Auditor Interno Certificado (Certified Internal Auditor - CIA), otorgado por
el Instituto de Auditores Internos. Adems, los auditores internos que hayan obtenido
certificaciones profesionales tienen que cumplir la norma de formacin continua para
mantener su certificacin vigente.
Para asegurar el debido cuidado profesional, el DAI debe establecer polticas y proce-
dimientos (norma 2040), las cuales normalmente incorporarn las Guas Obligatorias
del MIPP y proporcionarn un enfoque sistemtico y disciplinado al proceso de reali-
zacin del trabajo. El DAI puede pedir a los auditores individuales que firmen formu-
larios en los que den fe de que comprenden las polticas y los procedimientos.
Los auditores internos pueden utilizar sus conocimientos para evaluar el alcance de un
trabajo y sus objetivos, y concretar cmo completarlo con eficacia. Esencialmente, los
auditores internos ejercen el debido cuidado profesional si siguen las Guas Obliga-
torias del MIPP y las polticas y procedimientos de Auditora Interna para planificar,
realizar y documentar los trabajos de auditora. Las normas 1220 a 1220.A3 identifi-
can los elementos fundamentales que deben considerar los auditores internos para
demostrar su debido cuidado profesional.
Una vez que el trabajo haya sido finalizado, el DAI o el supervisor del trabajo general-
mente revisa el proceso de realizacin, los resultados, y las conclusiones. Despus de
esta supervisin puede mantenerse una reunin con el equipo de Auditora Interna
que haya realizado el trabajo para tratar las observaciones relevantes e informar una
evaluacin de supervisin sobre el grado de diligencia con que se observaron los pro-
cedimientos establecidos.
El debido cuidado profesional de los auditores internos puede ser evidenciado en los
papeles de trabajo o en otra documentacin de los procedimientos y procesos emple-
ados durante el trabajo de auditora.
Las revisiones de los trabajos realizadas y documentadas por el supervisor y las
encuestas a los clientes auditados, u otras formas de feedback, pueden indicar la apti-
tud y el debido cuidado profesional demostrado por cada auditor interno. Las evalua-
ciones externas independientes, desarrolladas como parte de la evaluacin de calidad
y del programa de mejora continua, pueden proporcionar aseguramiento adicional
sobre la aptitud y el debido cuidado profesional con que se han realizado los trabajos
de Auditora Interna.
Interpretacin:
La aptitud es un trmino general que se refiere a los conocimientos, habilidades y
otras competencias requeridas a los auditores internos para llevar a cabo eficaz-
mente sus responsabilidades profesionales. Incluye tendencias, temas emergentes
y la consideracin de las actividades actuales para posibilitar asesoramiento rele-
vante y formulacin de recomendaciones. Se alienta a los auditores internos a
demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales
apropiadas, tales como la designacin de auditor interno certificado y otras desig-
naciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones
profesionales apropiadas.
Introduccin
Para cumplir esta norma, es fundamental que los auditores internos comprendan y
apliquen las Guas Obligatorias del Marco Internacional para la Prctica Profesional
(MIPP) del Instituto de Auditores Internos y tengan conocimientos slidos, habilidades
y competencias. Asegurar la aptitud colectiva de la actividad de Auditora Interna es
responsabilidad del Director de Auditora Interna (DAI), que debe gestionar de forma
eficaz la actividad de Auditora Interna y sus recursos para cumplir el plan de Auditora
Interna y aadir valor a la organizacin (la serie 2000 de las normas se refiere a las
cuestiones relacionadas con la gestin de la actividad de Auditora Interna y sus recur-
sos).
El Marco Global para la Competencia de Auditora Interna del Instituto de Auditores
internos define las competencias fundamentales que deben reunirse para cumplir las
normas del MIPP en todos los niveles de la profesin de Auditora Interna, incluyendo
IG-1210 97
staff, mandos intermedios y directores. Para cumplir la norma 1210, el DAI y los audi-
tores internos pueden tratar de revisar, comprender y reflexionar sobre las competen-
cias incluidas en el Marco de Competencias.
Introduccin
Tener la formacin acadmica y profesional, experiencia y certificaciones adecuadas
ayuda al auditor interno a desarrollar su nivel de habilidades y especializacin reque-
rida para desempear sus responsabilidades con el debido cuidado profesional.
Adicionalmente, los auditores internos deberan comprender y aplicar las Guas Obli-
gatorias del Marco Internacional para la Prctica Profesional (MIPP) y puede resultar
til familiarizarse con las competencias fundamentales descritas en el Marco Global
de Competencias de la Auditora Interna del Instituto de Auditores Internos.
Aplicar el debido cuidado profesional a un trabajo concreto de Auditora Interna, impli-
ca conocer los objetivos y el alcance del trabajo, as como las competencias necesa-
rias para su realizacin, adems de las polticas y procedimientos especficos tanto de
la actividad de Auditora Interna como de la organizacin.
Introduccin
Para mejorar sus competencias y continuar con su desarrollo profesional, los audito-
res internos pueden reflexionar sobre todo lo que necesitan para realizar su trabajo,
incluyendo las polticas de formacin continua y la formacin acadmica que se
requiere en la profesin, la organizacin, el sector, y en cualquier certificacin o rea
de especializacin. Adicionalmente, los auditores internos pueden tener en cuenta el
feedback derivado de revisiones de desempeo reciente o de los resultados de evalua-
ciones realizadas en cumplimiento de las Guas Obligatorias del Marco Internacional
para la Prctica Profesional (MIPP), y de los resultados de autoevaluaciones basadas
en el Marco Global de Competencias de la Auditora Interna, o en un benchmark simi-
lar. Reflexionar sobre los objetivos de su carrera puede ayudar a los auditores internos
que quieran planificar su desarrollo profesional a largo plazo.
Interpretacin:
Un programa de aseguramiento y mejora de la calidad est concebido para permi-
tir una evaluacin del cumplimiento de las Normas por parte de la actividad de
Auditora Interna, y una evaluacin de si los auditores internos aplican el Cdigo
de tica. Este programa tambin evala la eficiencia y eficacia de la actividad de
Auditora Interna e identifica oportunidades de mejora. El Director de Auditora
Interna debera alentar la supervisin del Consejo en el programa de aseguramien-
to y mejora de la calidad.
Introduccin
La Norma 1300 asigna al Director de Auditora Interna (DAI) la tarea de desarrollar y
mantener un completo Programa de Aseguramiento y Mejora de la Calidad (PAMC).
El PAMC debe abarcar todos los aspectos de la operativa y el mantenimiento de la
actividad de Auditora Interna incluyendo los trabajos de consultora referidos en los
elementos obligatorios del Marco Internacional para la Prctica de la Auditora Interna
(MIPP). Tambin puede ser bueno para el PAMC tener en cuenta las mejores prcticas
de la profesin de auditor interno.
El PAMC est diseado para hacer posible la evaluacin del cumplimiento, por parte
de la actividad de Auditora Interna, de las Normas para la Prctica Profesional de la
Auditora Interna (las Normas) y la evaluacin de si la Auditora Interna aplica el
Cdigo de tica del IIA. Para ello, debe incluir una evaluacin continua y peridica
interna, y tambin evaluaciones externas realizadas por un evaluador o equipo eva-
luador cualificado e independiente (ver Norma 1310 Requisitos del Programa de
Aseguramiento y Mejora de la Calidad).
El DAI debe tener un conocimiento profundo de los elementos obligatorios del MIPP,
sobre todo de las Normas y del Cdigo de tica. Generalmente, el DAI se rene con el
Consejo para poder comprender sus expectativas sobre la actividad de Auditora
Interna, y para tratar la importancia de las Normas y del PAMC y para animar al
Consejo a que respalde ambos elementos.
Habitualmente, el DAI realiza un benchmarking para analizar cmo se desarrolla e
implementa un PAMC en otras organizaciones, en concreto en aquellas tengan un
grado de madurez y sean de un tipo similar a la suya. Adems, el DAI puede consul-
tar las Guas Complementarias del IIA y otros documentos orientativos sobre esta
materia, incluyendo el Manual sobre evaluaciones de calidad para la actividad de
Auditora Interna, publicado por el IIA.
para asegurar a los grupos de inters que aade valor mejorando las operaciones de
la organizacin.
Para implementar la Norma 1300, el DAI debe tener en cuenta los requisitos rela-
cionados con los cinco componentes esenciales:
- Evaluaciones internas (Norma 1311).
- Evaluaciones externas (Norma 1312).
- Comunicacin de los resultados del PAMC (Norma 1320).
- Uso correcto de la declaracin de conformidad (Norma 1321).
- Declaracin de incumplimiento (Norma 1322).
Evaluaciones internas
Las evaluaciones internas consisten en supervisiones continuas y autoevaluaciones
peridicas (ver la Norma 1311 Evaluaciones Internas), que valoran el cumplimiento
de los elementos obligatorios del MIPP por parte de la actividad de Auditora Interna,
la calidad y la supervisin del trabajo de auditora, la idoneidad de las polticas y pro-
cedimientos de Auditora Interna, el valor aadido que la actividad de Auditora
Interna aporta a la organizacin y si se han establecido indicadores clave de desem-
peo y si stos alcanzan los objetivos fijados.
El DAI debe realizar una supervisin continua y asegurar que peridicamente se revi-
sa la actividad de Auditora Interna. La supervisin continua se logra bsicamente a
travs de actividades continuas, como la planificacin y supervisin de los trabajos de
auditora, prcticas de trabajo estandarizadas, procedimientos de realizacin de los
papeles de trabajo y la firma de comprobacin de los mismos, informes de revisin, y
la identificacin de cualquier debilidad o rea que necesite mejorar, junto con planes
de accin para implementar estas mejoras. La supervisin continua ayuda al DAI a
determinar si los procesos de Auditora Interna estn aportando calidad, basando su
conclusin en la evaluacin de todos y cada uno de los trabajos de auditora realiza-
dos.
Las autoevaluaciones peridicas son realizadas para validar que la supervisin conti-
nua es eficaz y para evaluar si la actividad de Auditora Interna cumple las Normas y
si los auditores internos aplican el Cdigo de tica. Con el cumplimiento de las
Normas y el Cdigo de tica, la actividad de Auditora Interna tambin logra alinear-
Introduccin
La Norma 1310 indica los requisitos que caracterizan el Programa de Aseguramiento
y Mejora de la Calidad (PAMC), que cubren todos los aspectos de la actividad de
Auditora Interna. En concreto, la norma seala como requisito ambos tipos de eva-
luaciones, internas y externas.
El Director de Auditora Interna (DAI) debe ser consciente de todos los requisitos que
tiene que cumplir. Las evaluaciones internas consisten en procesos rigurosos y comple-
tos, supervisin continua y pruebas de los trabajos de aseguramiento y de consultora
realizados por Auditora Interna, y validaciones peridicas del cumplimiento de las
Normas Internacionales para el Ejercicio Profesional de la Auditora Interna (las
Normas) y de la aplicacin del Cdigo de tica por parte de los auditores internos. Las
evaluaciones externas constituyen una oportunidad para que un evaluador o equipo
evaluador independiente pueda concluir que la actividad de Auditora Interna cumple
las Normas y que sus auditores internos aplican el Cdigo de tica, y para identificar
reas que deben ser mejoradas. El PAMC tambin incluye mediciones continuas y
medidas de anlisis de desempeo, sobres aspectos como el grado de cumplimiento
del plan de Auditora Interna, plazos, recomendaciones aceptadas y grado de satisfac-
cin del cliente.
Habitualmente, el DAI deber estar al tanto de cualquier resultado de evaluaciones
internas o externas anteriores que se refiera a reas en las que la actividad de
Auditora Interna pueda mejorar. El DAI debe poner en marcha planes de accin para
implementar cada mejora identificada gracias al PAMC.
Interpretacin:
El seguimiento continuo forma parte integral de la supervisin, revisin y medicin
del da a da de la actividad de Auditora Interna. Est incorporado en las prcti-
cas y polticas rutinarias usadas para administrar la actividad de Auditora Interna,
y utiliza procesos, herramientas e informacin considerados necesarios para eva-
luar el cumplimiento del Cdigo de tica y las Normas.
Las evaluaciones peridicas se realizan para evaluar el cumplimiento del Cdigo
de tica y las Normas.
Los conocimientos suficientes de las prcticas de Auditora Interna requieren un
entendimiento de todos los elementos del Marco Internacional para la Prctica
Profesional.
Introduccin
Como seala la Norma 1311, el Director de Auditora Interna (DAI) es responsable de
asegurar que la actividad de Auditora Interna realiza una evaluacin interna que
incluya tanto supervisin continua, como autoevaluaciones peridicas. Las evaluacio-
nes internas validan que la actividad de Auditora Interna sigue cumpliendo las
Normas Internacionales para el Ejercicio Profesional de la Auditora Interna (las
Normas) y el Cdigo de tica del IIA. El DAI entiende que las evaluaciones internas se
centran en la mejora continua de la actividad de Auditora Interna y se implica en
supervisar su eficiencia y eficacia.
El Manual sobre la Evaluacin de la Calidad de la Actividad de Auditora Interna del
IIA u otra gua y herramientas similares pueden servir de orientacin para realizar una
evaluacin interna.
Supervisin Continua
La supervisin continua se logra bsicamente a travs de actividades continuas, como
la planificacin y supervisin de los trabajos de auditora, prcticas de trabajo estan-
darizadas, procedimientos de realizacin de los papeles de trabajo y la firma de com-
probacin de los mismos, informes de revisin, y la identificacin de cualquier debili-
dad o rea que necesite mejorar, junto con planes de accin para implementar estas
mejoras. La supervisin continua ayuda al DAI a determinar si los procesos de
Auditora Interna estn aportando calidad, basando su conclusin en la evaluacin de
todos y cada uno de los trabajos de auditora realizados. Generalmente, la supervisin
continua se realiza de forma rutinaria a lo largo del ao mediante la implementacin
de prcticas de trabajo estandarizadas. Para facilitar todo esto, el DAI puede desarro-
llar plantillas para que los auditores internos las utilicen en todos sus trabajos, para
asegurar que las Normas se aplican de forma consistente.
Una supervisin adecuada es un elemento fundamental en cualquier Programa de
Aseguramiento y Mejora de la Calidad (PAMC). La supervisin comienza con la plani-
ficacin y contina a lo largo de las fases de desarrollo y comunicacin del trabajo.
Una supervisin adecuada se asegura fijando las expectativas, manteniendo una
comunicacin continua entre los auditores internos durante todo el proceso de reali-
zacin del trabajo de auditora, y con procedimientos de revisin de los papeles de tra-
bajo, incluyendo la firma de comprobacin final del responsable de supervisar los tra-
bajos. La Gua de Implementacin 2340 Supervisin del Trabajo proporciona una
mayor orientacin sobre la supervisin de la Auditora Interna.
Las Guas de Implementacin de la siguiente serie de normas proporcionan una mayor
orientacin para el desarrollo correcto de un trabajo, desde la fase de planificacin
hasta la de difusin de los resultados: 2200, 2300 y 2400.
IG-1311 117
Autoevaluaciones Peridicas
Las autoevaluaciones peridicas se centran en aspectos distintos de los de la supervi-
sin continua, porque generalmente proporcionan un anlisis de las Normas y de la
actividad de Auditora Interna ms holstico y completo. En cambio, la supervisin con-
tinua, por lo general, se centra en revisiones realizadas a nivel de trabajo de audito-
ra. Adems, las autoevaluaciones peridicas comprueban que se cumplen todas las
normas, mientras que la supervisin continua est ms centrada en las normas sobre
desempeo de los trabajos de Auditora Interna.
Las autoevaluaciones peridicas son realizadas habitualmente o por responsables de
la actividad de Auditora Interna, o por un equipo especializado en aseguramiento de
la calidad, o por personal de la actividad de Auditora Interna que tengan una amplia
experiencia en la aplicacin del Marco Internacional para la Prctica Profesional
(MIPP), Auditores Internos Certificados (CIAs) u otros profesionales competentes en
Auditora Interna que pueda haber en la organizacin.
Siempre que sea posible, conviene incluir personal de la actividad de Auditora Interna
en el proceso de autoevaluacin, ya que puede ser una oportunidad de formacin til
para mejorar el conocimiento del MIPP entre los auditores internos.
La actividad de Auditora Interna realiza autoevaluaciones peridicas para validar si
cumple las Normas y el Cdigo de tica y para evaluar:
- La calidad y la supervisin del trabajo realizado.
- La idoneidad de las polticas y procedimientos de Auditora Interna.
- La manera en que la Auditora Interna aade valor.
- El grado en que se ha alcanzado el nivel ptimo de los indicadores clave de desem-
peo.
- El grado en que se han satisfecho las expectativas de los grupos de inters.
Para cumplir todo esto, el responsable o el equipo que realice la autoevaluacin nor-
malmente evaluar si la actividad de Auditora Interna est cumpliendo cada una de
las normas. Para ello puede realizar entrevistas en profundidad y encuestas a los gru-
pos de inters. Mediante este proceso, el DAI habitualmente podr evaluar la calidad
de las prcticas de auditora de la actividad de Auditora Interna, incluyendo el cum-
plimiento de las polticas y procedimientos que debe observar al realizar trabajos de
auditora. Las autoevaluaciones peridicas pueden ser realizadas por un miembro del
IG-1311 119
Interpretacin:
Las evaluaciones externas pueden realizarse como una evaluacin externa comple-
ta o una autoevaluacin con validacin externa independiente. El evaluador exter-
no debe pronunciarse sobre el cumplimiento con el Cdigo de tica y las Normas;
la evaluacin externa puede incluir tambin comentarios operativos o estratgicos.
Un evaluador o equipo de evaluacin cualificado demuestra su competencia en
dos reas: la prctica profesional de la Auditora Interna y el proceso de evalua-
cin externa. La competencia puede demostrarse a travs de un equilibrio de expe-
riencia y conocimiento terico. La experiencia obtenida en organizaciones de
tamao similar, complejidad, sector o industria y de similar contenido tcnico es
ms valiosa que la experiencia en otras reas menos relevantes. En el caso de un
equipo de evaluacin, no es necesario que todos los miembros cuenten con todas
las competencias; es el equipo en su conjunto el que est cualificado. El Director
de Auditora Interna utilizar su juicio profesional para valorar si un evaluador o
equipo de demuestra la competencia suficiente para considerarse cualificado.
Un evaluador independiente o equipo de evaluacin independiente es aqul que
no tiene conflictos de intereses reales o percibidos, y no forma parte ni est bajo
el control de la organizacin a la cual pertenece la actividad de Auditora Interna.
El Director de Auditora Interna debe incentivar la participacin del Consejo en el
programa de aseguramiento y mejora de la calidad para reducir los conflictos de
inters potenciales o percibidos.
Introduccin
Como seala esta norma, el Director de Auditora Interna (DAI) es responsable de ase-
gurar que la actividad de Auditora Interna se somete a una evaluacin externa al
menos una vez cada cinco aos. Esta evaluacin debe ser realizada por un evaluador
o equipo de evaluacin ajeno a la organizacin. Un requisito del programa de asegu-
ramiento y mejora de la calidad (PAMC) de la actividad de Auditora Interna, es que la
evaluacin externa valide que dicha actividad cumple las Normas Internacionales para
el Ejercicio Profesional de la Auditora Interna (las Normas) y que los auditores inter-
nos aplican el Cdigo de tica. Es por esto que es fundamental que el DAI revise peri-
dicamente el Marco Internacional para la Prctica Profesional (MIPP) y est al tanto
de cualquier cambio que deba ser comunicado a toda la actividad de Auditora
Interna.
El DAI habitualmente conoce los diferentes tipos de evaluaciones externas, as como
los diversos recursos disponibles para proporcionar esos servicios. El DAI tambin est
al tanto de la poltica de su organizacin sobre contratacin de servicios externos.
Adems, el DAI debe ser consciente del requerimiento de que el evaluador o equipo
evaluador externo debe ser independiente, y conocer las situaciones que pueden
impedir la independencia y la objetividad, o suponer un conflicto de intereses.
Las evaluaciones externas analizan el cumplimiento de las Normas por parte de la acti-
vidad de Auditora Interna y valoran si los auditores internos aplican el Cdigo de
tica. Como se refiere en la Norma 1320 Informe sobre el Programa de Asegura-
miento y Mejora de la Calidad, los resultados de la evaluacin externa, una vez fina-
lizada e incluyendo la conclusin sobre el grado de cumplimiento del evaluador o equi-
po evaluador, deben ser comunicados a la alta direccin y al Consejo.
Dos enfoques
Las evaluaciones externas pueden ser realizadas empleando uno de los dos enfoques
posibles: una evaluacin externa completa, o una Autoevaluacin con Validacin
Externa Independiente (AVIE). Una evaluacin externa completa debe ser realizada
por un evaluador o equipo de evaluacin cualificado e independiente. El equipo debe
estar integrado por profesionales competentes y liderado por un responsable profesio-
nal y con la experiencia suficiente. El alcance de una evaluacin externa completa
habitualmente incluye tres componentes fundamentales:
- El nivel de cumplimiento de las Normas y del Cdigo de tica. Esto puede ser
evaluado con una revisin del estatuto, los planes, las polticas, procedimientos y
prcticas de la actividad de Auditora Interna. En algunos casos, la revisin puede
incluir tambin requerimientos legislativos y regulatorios.
- La eficiencia y eficacia de la actividad de Auditora Interna. Esto puede ser medi-
do mediante la evaluacin de los procesos y herramientas, incluyendo el PAMC, de
la actividad de Auditora Interna, y con la evaluacin del conocimiento, experiencia
y pericia del personal de Auditora Interna.
- El grado en el que la actividad de Auditora Interna cumple las expectativas del
Consejo, la alta direccin, y los directores operativos, y el grado en el que aade
valor a la organizacin.
El segundo enfoque para cumplir los requisitos de una evaluacin externa es una AVIE.
Este tipo de evaluacin externa normalmente es realizado por la actividad de la
Auditora Interna y despus validado por un evaluador cualificado e independiente. El
alcance de una AVIE habitualmente consiste en:
- Un proceso de autoevaluacin exhaustivo y completamente documentado, simi-
lar a un proceso de evaluacin externa completa, al menos en lo que se refiere a la
revisin del cumplimiento de las Normas y el Cdigo de tica por parte de la acti-
vidad de Auditora Interna.
- Validacin presencial realizada por un evaluador externo cualificado e indepen-
diente.
- Atencin limitada a otras reas con tcnicas como benchmarking; revisin, aseso-
ramiento y empleo de mejores prcticas; y entrevistas con alta direccin y con los
directores operativos.
Se puede contar con personas con experiencia en otras reas, si se considera conve-
niente. Por ejemplo, puede ser apropiado contar con especialistas en gestin de ries-
gos empresariales, auditora de TI, muestreo estadstico, sistemas de supervisin y
autoevaluacin del control.
El DAI debe decidir el conjunto de habilidades que quiere que rena el evaluador o el
equipo de evaluacin externo, y emplear su criterio profesional para seleccionarlo.
Basndose en las necesidades de la actividad de Auditora Interna, por ejemplo, el DAI
puede preferir contratar a personas con experiencia en Auditora Interna en una orga-
nizacin de un sector, tamao y complejidad similar, por lo que este tipo de profesio-
nales puede ser ms valorado. No es necesario que cada miembro del equipo tenga
todas las competencias requeridas; ms bien, es el equipo en su conjunto el que debe
reunir todas las capacidades necesarias para proporcionar los mejores resultados.
Interpretacin:
La forma, el contenido y la frecuencia de la comunicacin de resultados del pro-
grama de aseguramiento y mejora de la calidad se establecen mediante comenta-
rios con la alta direccin y el Consejo, y tienen en cuenta las responsabilidades de
la actividad de Auditora Interna y del Director de Auditora Interna segn lo indi-
ca el estatuto de Auditora Interna. Para demostrar el cumplimiento con del Cdigo
de tica y las Normas. Los resultados de las evaluaciones peridicas internas y
externas se comunican al finalizar tales evaluaciones, y los resultados de la vigi-
lancia continua se comunican al menos anualmente.
Los resultados incluyen la evaluacin del evaluador o equipo de evaluacin con
respecto al grado de cumplimiento.
Introduccin
La Norma 1320 indica el contenido mnimo que el Director de Auditora Interna (DAI)
debe comunicar a la alta direccin y al Consejo sobre el Programa de Aseguramiento
y Mejora de la Calidad (PAMC). Para preparar la implementacin de esta norma,
puede ser til que el DAI repase las obligaciones que se derivan de cada elemento de
la norma.
Como la norma seala, el DAI es responsable de comunicar los resultados del progra-
ma completo. Para hacer esto, debe comprender los requisitos del PAMC (ver Norma
cas de auditora cumplen las Normas, y tambin otros requerimientos regulatorios que
afecten a la actividad de Auditora Interna. La frecuencia de las evaluaciones externas
puede variar dependiendo del tamao y el grado de madurez de la actividad de
Auditora Interna.
Evaluaciones Internas
El DAI debe establecer un medio para comunicar los resultados de las evaluaciones
internas al menos una vez al ao para reforzar la credibilidad y objetividad de la
Auditora Interna. La interpretacin de la Norma 1320 establece que los resultados de
las evaluaciones peridicas internas deben ser comunicados una vez finalizadas dichas
evaluaciones, y que los resultados de la supervisin continua deben ser comunicados
al menos una vez al ao.
Las evaluaciones peridicas internas pueden incluir una evaluacin de si la actividad
de Auditora Interna cumple las Normas para respaldar la declaracin de conformidad
de la actividad (ver Norma 1321 Utilizacin de Cumple con las Normas Internacio-
nales para el Ejercicio Profesional de la Auditora Interna). Las organizaciones de
mayor tamao pueden realizar evaluaciones peridicas internas anualmente, mientras
que las ms pequeas o con actividades de Auditora Interna de menor grado de
madurez, pueden desarrollarlas con menos frecuencia (por ejemplo, cada dos aos).
Por ejemplo, la actividad de Auditora Interna puede desarrollar una evaluacin peri-
dica para un periodo de varios aos, e informar separadamente de los resultados del
trabajo realizado en cada ao.
La supervisin continua, habitualmente, implica informar sobre los indicadores clave
de desempeo de la Auditora Interna. El DAI puede entregar a la alta direccin y al
Consejo un informe anual sobre los resultados de la supervisin continua e incluir
todas las recomendaciones de mejora realizadas.
Habitualmente, los responsables de la supervisin continua y de las evaluaciones
peridicas internas, comunican los resultados directamente al DAI durante la realiza-
cin de las evaluaciones. Si la actividad de Auditora Interna es de pequeo tamao,
el DAI puede tener un papel ms directo en el proceso de evaluacin interna. Los
resultados de las evaluaciones internas incluyen, en caso de que se considere apropia-
do, planes de accin correctivos y mediciones sobre el grado de implantacin de las
acciones correctivas acordadas. El DAI puede distribuir los informes sobre la evalua-
cin interna a varios grupos de inters, incluyendo la alta direccin, el Consejo y los
auditores internos.
La Gua de Implementacin 1311 Evaluaciones Internas proporciona detalles adicio-
nales sobre la supervisin continua y sobre las evaluaciones peridicas internas.
Evaluaciones Externas
El DAI debe comentar con la alta direccin y con el Consejo el tema de la frecuencia
de las evaluaciones externas. Las Normas requieren que la actividad de Auditora
Interna se someta a una evaluacin externa al menos una vez cada cinco aos. No
obstante, al tratar estos requisitos con la alta direccin y con el Consejo, el DAI puede
decidir si es adecuado realizar una evaluacin externa con mayor frecuencia. Hay
varias razones para pensar que es mejor realizar revisiones ms frecuentes, incluyen-
do cambios en el liderazgo de la organizacin (por ejemplo, en la alta direccin o un
cambio de DAI), cambios significativos en las polticas o procedimientos de Auditora
Interna, la fusin de dos o ms organizaciones de auditora en una actividad de
Auditora Interna, o cambios relevantes en el personal. Adicionalmente, puede haber
cuestiones especficas del sector o problemas medioambientales que justifiquen una
revisin ms frecuente.
sobre el grado con el que la actividad de Auditora Interna cumple las Normas en
general, en el informe debe constar la evaluacin del cumplimiento de cada una de las
normas y series de normas. El DAI debe explicar la calificacin (rating) de las conclu-
siones a la alta direccin y el Consejo, adems del impacto que tienen los resultados
en la actividad. Un ejemplo de escala de rating que puede ser utilizada para mostrar
el grado de cumplimiento es el siguiente:
- Cumple generalmente. Esta es la mxima calificacin, implica que la Auditora
Interna tiene un estatuto, polticas y procesos, se considera que la ejecucin y los
resultados de stos cumplen las Normas.
- Cumple parcialmente. Se considera que la prctica de la Auditora Interna tiene
deficiencias que la apartan del cumplimiento de las Normas, pero estas deficiencias
no impiden que la actividad de Auditora Interna desempee sus responsabilidades.
- No cumple. Se considera que la prctica de la Auditora Interna tiene deficiencias
que son tan significativas que obstaculizan seriamente el desempeo correcto de
sus responsabilidades, en toda su actividad o en reas relevantes.
Interpretacin:
La actividad de Auditora Interna cumple con el Cdigo de tica y las Normas cuan-
do alcanza los resultados descritos en ellos.
Los resultados del programa de aseguramiento y mejora de la calidad incluyen los
resultados tanto de las evaluaciones internas como de las externas.
Toda actividad de Auditora Interna tendr resultados de evaluaciones internas.
Aquellas actividades cuya existencia exceda los cinco aos tendrn tambin resul-
tados de evaluaciones externas.
Introduccin
Tanto las evaluaciones internas como las externas de la actividad de Auditora Interna,
son desarrolladas para evaluar, y expresar una opinin sobre si la actividad de Audi-
tora Interna cumple las Normas Internacionales para el Ejercicio Profesional de la
Auditora Interna (las Normas) y el Cdigo de tica. Tambin pueden incluir recomen-
daciones de mejora.
El Director de Auditora Interna (DAI) debe conocer bien los requisitos de un Programa
de Aseguramiento y Mejora de la Calidad (PAMC) y estar familiarizado con los resul-
tados de las evaluaciones recientes de la actividad de Auditora Interna, internas y
externas. El DAI habitualmente conoce tambin las expectativas de Consejo sobre el
uso de la expresin Cumple las Normas Internacionales para el Ejercicio Profesional
de la Auditora Interna. El DAI puede comentar peridicamente dicho uso con el
Consejo para obtener y mantener su conocimiento sobre las expectativas del Consejo
en lo relacionado con este aspecto.
Introduccin
El Director de Auditora Interna (DAI) es responsable de asegurar que la actividad de
Auditora Interna se somete a supervisin continua, autoevaluaciones peridicas y
evaluaciones externas independientes, como requiere el programa de aseguramiento
y mejora de la calidad. Estas evaluaciones internas y externas son desarrolladas, en
parte, para valorar y expresar una opinin sobre si la actividad de Auditora Interna
cumple las Normas Internacionales para la Prctica Profesional de la Auditora Interna
(las Normas) y el Cdigo de tica del IIA. El DAI debe estar familiarizado con los resul-
tados de las evaluaciones internas y externas recientes realizados en la actividad de
Auditora Interna.
La Norma 1322 es aplicable en los casos en los que el DAI concluya que la actividad
de Auditora Interna no cumple las Normas y el Cdigo de tica, y que la falta de cum-
plimiento puede impactar en el alcance o en su operativa global. Es importante que el
DAI conozca bien los elementos obligatorios del Marco Internacional Para la Prctica
Profesional, la manera en que las desviaciones en el cumplimiento potenciales podr-
an afectar al alcance global de la Auditora Interna, y las expectativas del Consejo y
de la alta direccin sobre la informacin que se les debe entregar sobre cualquier pro-
blema de incumplimiento que se detecte.
Interpretacin:
La actividad de Auditora Interna est gestionada de forma eficaz cuando:
Cumple con el propsito y las responsabilidades incluidos en el estatuto de
Auditora Interna.
Cumple con las Normas.
Cada uno de sus miembros cumplen con el Cdigo de tica y las Normas.
Tiene en cuenta las tendencias y temas emergentes que podran tener impacto
en la organizacin.
La actividad de Auditora Interna aade valor a la organizacin y a sus partes inte-
resadas cuando tiene en cuenta estrategias, objetivos y riesgos; se esfuerza para
ofrecer mejoras en procesos de gobierno, gestin de riesgos y control de procesos;
y proporciona aseguramiento relevante de forma objetiva.
Introduccin
Esta norma establece los criterios bsicos que un Director de Auditora Interna (DAI)
debe observar para gestionar la actividad de Auditora Interna. Para implementarla,
puede ayudar que el DAI repase los requisitos que se detallan en el apartado
Interpretacin de cada elemento.
Como indica esta norma, el DAI es responsable de gestionar la actividad de Auditora
Interna de forma que haga posible que la actividad en su conjunto cumpla las Normas,
y que los auditores internos cumplan individualmente las Normas y el Cdigo de tica.
Por ello, es fundamental que el DAI revise peridicamente el Marco Internacional para
la Prctica Profesional (MIPP) con el fin de que compruebe en detalle el cumplimien-
to de las Normas.
La Norma 2000 indica varios aspectos fundamentales para cumplir el principio de que
la actividad de Auditora Interna aada valor a la organizacin. El DAI puede comen-
plan, una vez iniciado el desarrollo de ste, tambin deben ser comunicados y apro-
bados.
Como se indica en la Norma 2030, el DAI debe tambin asegurar que los recursos de
Auditora Interna son utilizados de forma eficaz para cumplir el plan aprobado. Para
gestionar la actividad de Auditora Interna con un enfoque sistemtico y disciplinado,
el DAI tiene en cuenta las Guas Obligatorias del MIPP y establece polticas de
Auditora Interna y procedimientos (Norma 2040). Los documentos que recogen la
poltica de Auditora Interna y los procedimientos relacionados a menudo se recopilan
en un manual de Auditora Interna para que pueda ser utilizado por la actividad. Los
documentos pueden incluir mtodos y herramientas para formar auditores internos. El
DAI puede solicitar a los auditores internos que den fe con su firma en un formulario
de que han ledo y comprenden las polticas y los procedimientos.
La norma 2000 contempla la responsabilidad del DAI de asegurar que la actividad de
Auditora Interna aade valor a la organizacin proporcionando objetivamente asegu-
ramiento relevante y aportando sugerencias para mejorar los procesos de gobierno,
gestin de riesgos y control de la organizacin. La serie de normas 2100 y las guas
de implementacin describen los requerimientos y procesos que permiten a la activi-
dad de Auditora Interna cumplir estos objetivos.
El DAI asegura que gestiona de forma eficaz comprobando que se cumplen las Guas
Obligatorias del MIPP en ambos niveles: auditor interno individual y la actividad de
Auditora Interna en su conjunto. El DAI es tambin responsable de implementar un
programa de aseguramiento y de mejora de la calidad, tal y como se establece en la
Norma 1300, y de implementar mtodos y herramientas relacionadas con la serie de
normas 1200.
El DAI debe tambin evaluar la eficacia de la actividad de Auditora Interna para con-
seguir que se cumpla la Norma 2000. Habitualmente, el DAI desarrolla distintos indi-
cadores para medir y evaluar la eficacia y eficiencia de la actividad de Auditora
Interna. Las herramientas que puede emplear el DAI con este fin incluyen encuestas a
los clientes de Auditora Interna posteriores al trabajo de auditora para obtener feed-
back, evaluaciones del desempeo de los auditores internos individuales realizadas
anualmente, programas de aseguramiento y de mejora de la calidad y benchmarking
para comparar la actividad de Auditora Interna de la organizacin con otros equipos
de Auditora Interna que estn desarrollando su actividad en el mismo sector.
Interpretacin:
Para desarrollar un plan basado en riesgos, el Director de Auditora Interna prime-
ro consulta con la alta direccin y el Consejo y para entender las estrategias de la
organizacin, los objetivos clave del negocio, los riesgos asociados y los procesos
de gestin de riesgos. El Director de Auditora Interna debe revisar y ajustar el
plan, cuando sea necesario, como respuesta a los cambios en la organizacin, los
riesgos, las operaciones, los programas, los sistemas y los controles.
Introduccin
El plan de Auditora Interna pretende asegurar que la cobertura de la Auditora Interna
examina adecuadamente las reas con mayor exposicin a los riesgos clave que podr-
an afectar a la capacidad de la organizacin de lograr sus objetivos. Esta norma
requiere que el Director de Auditora Interna (DAI) comience a preparar el plan de
Auditora Interna consultando a la alta direccin y al Consejo para entender correcta-
mente las estrategias, objetivos de negocio, riesgos y procesos de gestin de riesgos
de la organizacin. De esta forma, el DAI tiene en cuenta la madurez del proceso de
gestin de riesgos de la organizacin, incluyendo si la organizacin emplea un marco
formal de gestin de riesgos para evaluar, documentar y gestionar los riesgos.
Organizaciones con menor madurez pueden utilizar medios menos formales de ges-
tin de riesgos.
La preparacin del DAI normalmente incluye la revisin de los resultados de cualquier
evaluacin de riesgos que la direccin haya podido realizar. El DAI puede emplear dis-
tintas herramientas, como entrevistas, encuestas, reuniones y talleres de trabajo para
llegar a conocer informacin adicional sobre riesgos procedente tanto de los distintos
niveles de gestin que haya en la organizacin, como del Consejo y de otros grupos
de inters.
Introduccin
Previamente a la comunicacin del plan de auditora, las necesidades de recursos de
la actividad de Auditora Interna y el impacto de una posible limitacin de recursos a
la alta direccin y al Consejo, el Director de Auditora Interna (DAI) fijar los recursos
necesarios para implementar el plan, definido segn las prioridades derivadas de los
riesgos, identificadas durante el proceso de planificacin (Norma 2010).
Los recursos necesarios pueden ser de personas (p.e. horas de trabajo y habilidades),
tecnolgicos (por ejemplo, herramientas y tcnicas de auditora), de plazos y agenda
(disponibilidad de recursos) y de fondos. Una parte de los recursos se reserva normal-
mente para introducir posibles cambios en el plan de auditora que puedan derivarse
de riesgos que no se hayan identificado anticipadamente y que podran afectar a la
organizacin, o de nuevos trabajos de consultora solicitados por la alta direccin y/o
el Consejo. Por ejemplo, puede surgir la necesidad de un nuevo proyecto de Auditora
Interna cuando surjan nuevos riesgos derivados de fusiones o desinversiones en otras
compaas, de un contexto de incertidumbre poltica o de cambios en los requerimien-
tos regulatorios.
Es conveniente que el DAI, el Consejo y la alta direccin acuerden previamente los cri-
terios para decidir si un cambio es suficientemente significativo para justificar que se
trate en una reunin, y que acuerden tambin el protocolo para comunicar dichos
cambios, en su caso. Puede ser til que los referidos criterios consten por escrito en el
estatuto de Auditora Interna o en otro documento.
Las limitaciones de recursos afectan a las prioridades del plan de Auditora Interna. Por
ejemplo, si los recursos no son suficientes para completar todos los trabajos propues-
tos en el plan, algunos de ellos pueden ser aplazados y algunos riesgos puede que no
sean revisados por Auditora Interna. Durante la presentacin al Consejo, el DAI trata-
r la propuesta de plan de Auditora Interna y la evaluacin de riesgos en la que est
basado, indicando tanto los riesgos que sern revisados, como los que no podrn ser
abordados por la restriccin de recursos. Los miembros del Consejo pueden comentar
esta informacin y hacer recomendaciones antes de aprobar finalmente el plan de
Auditora Interna.
El plan de Auditora Interna se debe desarrollar con suficiente flexibilidad, de forma
que el DAI pueda ajustarlo como sea necesario para responder a los cambios que se
produzcan en los negocios, los riesgos, las operaciones, los programas, los sistemas y
los controles de la organizacin. Sin embargo, el DAI debe cerciorarse de que los cam-
bios son suficientemente significativos para cambiar el plan de auditora, y detallar al
Consejo y a la alta direccin los argumentos y los impactos potenciales para obtener
su aprobacin. Se pueden aprovechar las reuniones peridicas que se mantengan con
el Consejo con carcter trimestral o semestral, para revisar y ajustar el plan de
Auditora Interna, en caso necesario.
Interpretacin:
Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras compe-
tencias necesarias para llevar a cabo el plan. Suficientes se refiere a la cantidad
de recursos necesarios para cumplir con el plan. Los recursos estn eficazmente
asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan
aprobado.
Introduccin
Al desarrollar el plan de Auditora Interna (Norma 2010) y revisarlo con el Consejo y
la alta direccin (Norma 2020), el Director de Auditora Interna (DAI) tendr en cuen-
ta y tratar el tema de los recursos necesarios para cumplir las prioridades del plan.
Para implementar la Norma 2030, el DAI normalmente comienza por conocer en
mayor profundidad los recursos disponibles para la actividad de auditora de interna,
incluidos en el plan de Auditora Interna aprobado por el Consejo.
El DAI puede estimar en detalle el nmero de auditores internos y horas de Auditora
Interna productivas disponibles para implementar el plan dentro de los lmites del
calendario programado en la organizacin. Las horas de trabajo productivas general-
mente excluyen factores como el descanso remunerado y el tiempo dedicado a forma-
cin y tareas administrativas. Para tener una visin general de los conocimientos, capa-
cidades y otras competencias que rene en su conjunto la actividad de Auditora
Interna, el DAI puede repasar evaluaciones documentadas sobre las capacidades de
su equipo, en caso de estar disponibles, o recopilar informacin de evaluaciones del
rendimiento de los trabajadores y de las encuestas posteriores a las auditoras.
El DAI tambin puede revisar y analizar el presupuesto ya aprobado para sopesar los
fondos disponibles para formacin, tecnologa o contratacin de nuevos auditores
para cumplir el plan.
IG-2030 151
cin de los trabajos de auditora y los recursos asignados. Adems, se puede documen-
tar la comparacin de las horas presupuestadas con las horas reales para validar que
los recursos han sido asignados de forma eficaz. A menudo, los resultados de las eva-
luaciones de los clientes relacionados con el desempeo de la actividad de Auditora
Interna y con el de los auditores internos individuales, son anotados en los informes
posteriores a las auditoras, encuestas y en informes anuales.
IG-2040 153
Interpretacin:
La forma y el contenido de las polticas y procedimientos dependen del tamao y
de la estructura de la actividad de Auditora Interna y de la complejidad de su tra-
bajo.
Introduccin
Para establecer las polticas y procedimientos que guan la actividad de Auditora
Interna, el Director de Auditora Interna (DAI) tiene en cuenta varios factores. Es esen-
cial asegurar que las polticas y procedimientos estn alineados con las Guas
Obligatorias del Marco Internacional para la Prctica Profesional (MIPP). Adems, la
alineacin con el estatuto de Auditora Interna ayuda a asegurar que se cumplen las
expectativas de los grupos de inters.
El DAI puede comenzar a desarrollar polticas y procedimientos recopilando informa-
cin, ejemplos, plantillas como las disponibles a travs del Instituto de Auditores
Internos. Las plantillas pueden ser adaptadas a la organizacin y a las necesidades
especficas de la actividad de Auditora Interna.
Es importante que el DAI tenga en cuenta las estrategias, polticas y procesos de la
organizacin, incluyendo si se prev que la Direccin de la entidad revise y/o apruebe
las polticas y procedimientos de Auditora Interna.
Interpretacin:
En la coordinacin de actividades, el Director de Auditora Interna puede confiar
en el trabajo de otros proveedores de servicios de aseguramiento y consultora. Se
debe establecer un proceso consistente para esta confianza y el Director de
Auditora Interna debera considerar las competencias, objetividad y cuidado pro-
fesional de los proveedores de servicios de aseguramiento y consultora. El Director
de Auditora Interna debera entender tambin el alcance, objetivos y resultados
del trabajo realizado por otros proveedores de aseguramiento y consultora.
Cuando se deposita la confianza en el trabajo de otros, el Director de Auditora
Interna es responsable de asegurarse de que existe un soporte adecuado para las
conclusiones y opiniones expresadas por la actividad de Auditora Interna.
Introduccin
Los roles de proveedores de servicios de aseguramiento y consultora varan en cada
organizacin. En consecuencia, para empezar la tarea de coordinar estos trabajos, el
Director de Auditora Interna (DAI) identifica los diferentes roles de este tipo que exis-
ten en la organizacin revisando su organigrama y las actas o las agendas de las reu-
niones del Consejo. Estos roles se clasifican generalmente segn sean desempeados
por proveedores internos o por proveedores externos.
- Los proveedores internos incluyen funciones de supervisin que, o bien dependen
o bien son parte de la alta direccin. Su implicacin puede incluir reas como sos-
tenibilidad, control financiero, seguridad y salud, seguridad de TI, asesora jurdica,
gestin de riesgos, cumplimiento normativo, o aseguramiento de la calidad. Estas
IG-2050 157
El DAI puede elegir confiar en el trabajo de otro proveedor por varias razones, como
puede ser para evaluar reas de una especialidad no incluida en el expertise de la acti-
vidad de Auditora Interna, o para mejorar la cobertura de riesgos ms al del plan de
Auditora Interna. Sin embargo, aunque la actividad de Auditora Interna confe en el
trabajo de otro proveedor de servicios, el DAI seguir teniendo la ltima responsabili-
dad sobre las conclusiones y opiniones de Auditora Interna. En consecuencia, es esen-
cial que el DAI establezca un proceso slido y fije una serie de criterios para valorar si
la actividad de Auditora Interna puede confiar en el trabajo de otro proveedor. En este
proceso, el DAI puede:
- Evaluar objetivamente, examinando si el proveedor tiene, o puede parecer que
tiene, algn conflicto de intereses y si han sido detallados por escrito.
- Valorar la independencia, analizando la lnea jerrquica en la que se ubica el pro-
veedor y el impacto de este acuerdo.
- Confirmar la competencia, verificando si la experiencia profesional del proveedor,
sus calificaciones, certificaciones y afiliaciones a distintas entidades son adecuadas
y estn vigentes.
IG-2050 159
El DAI puede tambin buscar una mejor comprensin del alcance, los objetivos y los
resultados del trabajo real ya realizado, para determinar el grado de confianza que
puede depositarse en el trabajo del proveedor. El DAI habitualmente tiene en cuenta
si los hallazgos del proveedor parecen razonables y estn basados en una evidencia
de auditora suficiente, confiable y relevante. El DAI valora si es necesario un trabajo
adicional o una prueba para obtener una evidencia suficiente para respaldar o incre-
mentar el nivel de confianza deseado. Si se necesita un trabajo adicional, la actividad
de Auditora Interna puede realizar una nueva prueba de los resultados del otro pro-
veedor.
Interpretacin:
La frecuencia y el contenido del informe estn determinados por el Director de
Auditora Interna en colaboracin con la alta direccin y el Consejo. La frecuencia
y el contenido del informe dependen de la importancia de la informacin a ser
comunicada y la urgencia de las acciones a seguir por parte de la alta direccin y/o
el Consejo.
Los informes del Director de Auditora Interna dirigidos a la alta direccin y el
Consejo deben incluir informacin sobre:
El estatuto de Auditora Interna.
La independencia de la actividad de Auditora Interna.
El plan de auditora y su progreso.
Necesidad de recursos.
Resultados de las actividades de auditora.
Nivel de cumplimiento con el Cdigo de tica y las Normas y planes de accin
para afrontar incumplimientos significativos.
La respuesta de la direccin que, a juicio del Director de Auditora Interna,
podra resultar inaceptable para la organizacin.
Estos y otros requerimientos de comunicacin para el Director de Auditora Interna
estn referenciados en las Normas.
Introduccin
La comunicacin eficaz con la alta direccin y el Consejo es una responsabilidad esen-
cial del Director de Auditora Interna (DAI), y esta norma rene los requisitos bsicos
IG-2060 161
de informacin que debe cumplir el DAI recogidos en las Normas. Para implementar
las normas relacionadas con la comunicacin, el DAI normalmente querr conocer qu
informes esperan recibir la alta direccin y el Consejo, pudiendo estar esta informa-
cin especificada en el estatuto del Comit de Auditora. Habitualmente, las tres par-
tes debaten y establecen conjuntamente la frecuencia y la forma de los informes de
Auditora Interna y el calendario de informes que es ms adecuado para la organiza-
cin, as como la importancia y la urgencia de los distintos tipos de informacin de
auditora. Tambin puede ser til acordar por adelantado los protocolos que debe
seguir el DAI para informar sobre riesgos o pruebas de control importantes y urgen-
tes, y las decisiones relacionadas con ellos que deben tomar la alta direccin y el
Consejo.
Adems, para el DAI puede ser til establecer o repasar:
- El estatuto de Auditora Interna, incluyendo el propsito, la autoridad y las respon-
sabilidades de la actividad de Auditora Interna.
- El plan de Auditora Interna y los indicadores clave de desempeo que midan el
grado de cumplimiento del plan de la actividad de Auditora Interna.
- El programa de aseguramiento y de mejora de la calidad, que mide el grado de cum-
plimiento de las Guas Obligatorias del Marco Internacional para la Prctica
Profesional (MIPP) por parte de la actividad de Auditora Interna.
- Los procesos para identificar los riesgos y controles significativos.
peo de la actividad de Auditora Interna, que forma parte del proceso de evaluacin
interna, se debe informar al menos anualmente.
Con respecto a la evaluacin externa de la actividad de Auditora Interna, que debe
realizarse al menos una vez cada cinco aos, la Norma 1312 Evaluaciones Externas
requiere que el DAI trate con el Consejo la cualificacin y la independencia del eva-
luador o equipo de evaluadores externos, incluyendo cualquier potencial conflicto de
intereses. El DAI debera impulsa la supervisin de la evaluacin externa por parte del
Consejo para reducir la posibilidad de que existan conflictos de intereses reales o
potenciales.
Interpretacin:
Esta responsabilidad se demuestra a travs del programa de aseguramiento y
mejora de la calidad que evala el cumplimiento con el Cdigo de tica y las
Normas.
Introduccin
Cuando un proveedor de servicios externos es contratado por una organizacin para
prestar servicios de Auditora Interna, es importante que el proveedor de servicios
externos conozca la serie de normas 1300 y pueda trasladar a la organizacin que ella
es la responsable de mantener un Programa de Aseguramiento y Mejora de la Calidad
(PAMC) que abarque todos los aspectos de la actividad de Auditora Interna. El prove-
edor de servicios externos debe asegurarse de que el PAMC realmente abarca todos
los aspectos de la operativa y la administracin de la Auditora Interna, de acuerdo con
los elementos obligatorios del Marco Internacional para la Prctica Profesional (MIPP)
y las mejores prcticas de la profesin de auditor interno.
El PAMC permite obtener una conclusin sobre la calidad de la actividad de la
Auditora Interna y sobre sobre la calidad de los servicios que presta a la organizacin
y tambin pueden derivarse de l recomendaciones para la mejora continua. Para res-
paldar su conclusin sobre el cumplimiento de las Normas Internacionales para el
Ejercicio Profesional de la Auditora Interna (Las Normas) y del Cdigo de tica del IIA,
el PAMC debe incluir supervisin continua, autoevaluaciones peridicas, y evaluacio-
nes externas realizadas por profesionales cualificados e independientes, ajenos a la
organizacin.
IG-2070 167
Introduccin
Cumplir la Norma 2100 requiere un conocimiento profundo de los conceptos gobier-
no corporativo, gestin de riesgos y control, tal y como son definidos en el Marco
Internacional para la Prctica Profesional (MIPP), as como en las normas particulares
que se refieren especficamente a esos conceptos: Norma 2110 Gobierno, Norma
2120 Gestin de Riesgos, y Norma 2130 Control. Tambin es importante para la
actividad de Auditora Interna conocer bien los objetivos de la organizacin.
Una vez familiarizado con lo referido en el prrafo anterior, el DAI normalmente se
entrevistar con la alta direccin y con el Consejo para comprender los roles y respon-
sabilidades de cada grupo de inters que tengan que ver con el gobierno corporativo,
la gestin de riesgos y el control. Habitualmente, el Consejo es responsable de guiar
el proceso de gobierno, mientras que la alta direccin lo es de dirigir los procesos de
gestin de riesgos y control.
Los auditores internos necesitan comprender el negocio para desarrollar evaluaciones
que sean realmente de utilidad, y pueden utilizar como gua de su evaluacin los mar-
cos de referencia existentes sobre gobierno, gestin de riesgos y control. Adems, los
auditores internos pueden emplear su conocimiento, experiencia y mejores prcticas
para llamar la atencin proactivamente sobre las debilidades observadas y hacer reco-
mendaciones de mejora.
Para ayudar a la actividad de Auditora Interna a comprender las estrategias de nego-
cio y los riesgos, el DAI normalmente repasar los estatutos del Comit y del Consejo,
las agendas y actas de las reuniones y el plan estratgico de la organizacin. El DAI
IG-2100 171
tambin repasar la misin, los objetivos clave, los riesgos crticos y los controles clave
para mitigar esos riesgos a un nivel aceptable. Al revisar todo lo anterior, la actividad
de Auditora Interna puede lograr una visin completa de las definiciones, marcos de
referencia, modelos y procesos de gobierno corporativo, gestin de riesgos y control
utilizados en la organizacin. Tambin puede ser de utilidad para los auditores inter-
nos comprender los puestos clave de la organizacin relacionados con los tres proce-
sos, entre los que pueden estar incluidos el Presidente del Consejo, el mximo ejecu-
tivo y otros altos directivos (por ejemplo, de finanzas, tica, riesgos, cumplimiento nor-
mativo, recursos humanos, TIC) adems de otros responsables.
Para ms informacin sobre gobierno, gestin de riesgos y control, se pueden consul-
tar las guas de implementacin de las normas 2110, 2120 y 2130.
DAI documentar y tratar con la alta direccin todas las observaciones y conclusio-
nes relevantes. El DAI tambin realizar recomendaciones para fortalecer el proceso y
puede elevar al Consejo las observaciones relevantes.
En caso de que la organizacin no haya adoptado un marco de referencia de los exis-
tentes para guiar los procesos de gobierno, gestin de riesgos y control, el DAI puede
recomendar un marco apropiado para guiar a la alta direccin en su tarea de mejorar
los tres procesos.
Introduccin
Para cumplir esta norma, el Director de Auditora Interna (DAI) comienza por lograr un
claro entendimiento del gobierno corporativo y de lo que un tpico proceso de gobier-
no conlleva. Para ello se debera tener presente la definicin de gobierno incluida en
el glosario de las Normas, as como los marcos de referencia y los modelos de gobier-
no corporativo publicados internacionalmente.
Los marcos de referencia, modelos y normas sobre gobierno corporativo varan depen-
diendo del tipo de organizacin y de la jurisdiccin legislativa a la que est sometida.
La manera en que una organizacin disea y practica los principios de un gobierno efi-
caz tambin depende de otros factores como su tamao, complejidad, grado madurez
en el ciclo de vida y de su estructura de stakeholders (grupos de inters), y los reque-
rimientos legales y culturales que debe cumplir la organizacin. El enfoque de la eva-
luacin del DAI variar dependiendo del marco de referencia o modelo de gobierno
que utilice la organizacin.
El siguiente paso para el DAI ser analizar si el actual plan de Auditora Interna con-
templa los procesos de gobierno de la organizacin y tiene en cuenta sus riesgos aso-
Interpretacin:
Determinar si los procesos de gestin de riesgos son eficaces es un juicio que resul-
ta de la evaluacin que efecta el auditor interno de que:
Los objetivos de la organizacin apoyan a la misin de la organizacin y estn
alineados con la misma;
Los riesgos significativos estn identificados y evaluados;
Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con
la aceptacin de riesgos por parte de la organizacin; y
Se capta informacin sobre riesgos relevantes, permitiendo al personal, la direc-
cin y el Consejo cumplir con sus responsabilidades, y se comunica dicha infor-
macin oportunamente a travs de la organizacin.
La actividad de Auditora Interna rene la informacin necesaria para soportar esta
evaluacin mediante mltiples trabajos de auditora. El resultado de estos traba-
jos, observado de forma conjunta, proporciona un entendimiento de los procesos
de gestin de riesgos de la organizacin y su eficacia.
Los procesos de gestin de riesgos son vigilados mediante actividades de adminis-
tracin continuas, evaluaciones por separado, o ambas.
Introduccin
Para cumplir esta norma, el Director de Auditora Interna (DAI) y los auditores internos
comienzan por entender de forma clara el apetito al riesgo, as como la misin y los
objetivos del negocio de la organizacin. Tambin es importante tener un conocimien-
to completo de las estrategias de negocio de la organizacin y de los riesgos identifi-
cados por la Direccin.
Los riesgos pueden ser financieros, operacionales, legales/regulatorios o estratgicos.
Se debera tener en cuenta la definicin de gestin de riesgos incluida en el glosario
IG-2120 179
para una adecuada respuesta a los riesgos (por ejemplo, aceptar, continuar, transferir,
mitigar o evitar). Adicionalmente, la actividad de Auditora Interna debera obtener
suficiente informacin para evaluar la eficacia de los procesos de gestin de riesgos
de la organizacin.
Al repasar los planes estratgicos de la organizacin, el plan de negocio y las polti-
cas, y reunindose con el Consejo y la alta direccin, el DAI puede obtener un conoci-
miento profundo para evaluar si los objetivos estratgicos de la organizacin respal-
dan y estn alineados con su misin, su visin y su apetito al riesgo. Las entrevistas
con los mandos intermedios pueden proporcionar un entendimiento adicional sobre la
alineacin de la misin, los objetivos y el apetito al riesgo en el nivel de las unidades
de negocio.
Los auditores internos deberan analizar en profundidad cmo la organizacin identi-
fica y gestiona los riesgos, y cmo determina qu riesgos son aceptables. La actividad
de Auditora Interna habitualmente evaluar las responsabilidades y los procesos rela-
cionados con el riesgo del Consejo y de aquellos que tengan funciones clave en la ges-
tin de riesgos. Para cumplir esto, los auditores internos pueden revisar evaluaciones
de riesgos que se hayan finalizado recientemente e informes relacionados con ellas
emitidos por la alta direccin, los auditores externos, reguladores y otras posibles
fuentes.
Adicionalmente, la actividad de Auditora Interna normalmente realizar sus propias
evaluaciones de riesgo. Normalmente se podr deducir el apetito al riesgo de la orga-
nizacin de conversaciones con la Direccin y con el Consejo y tambin de las polti-
cas de la organizacin y de las actas de las reuniones. Esto permitir al DAI y a la acti-
vidad de Auditora Interna alinear las respuestas a los riesgos que recomienden. La
actividad de Auditora Interna puede utilizar un marco de referencia sobre gestin de
riesgos o sobre control interno ya existente (por ejemplo, el marco del Committee of
Sponsoring Organizations of the Treadway Commissio COSO o la norma ISO 31000)
para guiar su identificacin de riesgos. Para mantenerse actualizada en lo referente a
exposiciones a riesgos potenciales y oportunidades relacionadas con stos, la activi-
dad de Auditora Interna puede tambin investigar sobre nuevos desarrollos y tenden-
cias relacionadas con el sector de la organizacin, y tambin sobre procesos que pue-
dan ser empleados para supervisar, evaluar y responder a los referidos riesgos y opor-
tunidades.
IG-2120 181
Si siguen estos pasos, los auditores internos pueden desarrollar de forma independien-
tes anlisis de deficiencias para determinar si los riesgos significativos estn siendo
identificados y evaluados adecuadamente. De esta forma, la actividad de Auditora
Interna estar posicionada para evaluar el proceso de evaluacin de riesgos de la
Direccin. Al revisar el proceso de gestin de riesgos, es importante que los auditores
internos identifiquen y debatan sobre los riesgos y la correspondiente respuesta que
haya sido elegida. Por ejemplo, la Direccin puede elegir aceptar un riesgo, y el DAI
necesitar determinar si la decisin es apropiada de acuerdo con el apetito al riesgo
de la organizacin o la estrategia de gestin de riesgos. Si el DAI concluye que la
Direccin ha aceptado un nivel de riesgos que puede ser inaceptable para la organi-
zacin, el DAI debe comentar este asunto con la alta direccin y puede necesitar
comunicar el tema al Consejo, de acuerdo con la Norma 26000 Comunicacin de la
Aceptacin de los Riesgos. En los casos en los que la Direccin elige emplear una
estrategia de mitigacin en respuesta a los riesgos identificados, la actividad de
Auditora Interna puede evaluar, si es necesario si las acciones correctivas son adecua-
das y se han tomado en el momento oportuno. Esto se puede lograr revisando el dise-
o del control y probando los controles y supervisando los procedimientos.
Finalmente, la actividad de Auditora Interna debera dar los pasos necesarios para
asegurar que est gestionando sus propios riesgos, como el riesgo auditoras fallidas,
aseguramiento falso y riesgos reputacionales. Asimismo, todas las acciones correctivas
deberan ser comprobadas.
Introduccin
Para cumplir esta norma, el Director de Auditora Interna (DAI) y los auditores internos
comenzarn por obtener un entendimiento claro del concepto de control y de las
caractersticas de los procesos de control habituales. Tambin debern tener en cuen-
ta la definicin formal de control, incluida en el glosario de las Normas Internacionales
para la Prctica Profesional de la Auditora Interna, as como en la Gua de Implemen-
tacin 2100 Naturaleza del Trabajo. Adems, el DAI mantendr conversaciones con
la alta direccin y el Consejo para conocer y tomar en consideracin el apetito al ries-
go, la tolerancia al riesgo y la cultura de riesgo de la organizacin. Es importante que
los auditores internos comprendan los riesgos crticos que podran bloquear la capa-
cidad de la organizacin para cumplir sus objetivos, y los controles que estn imple-
mentados para mitigar los riesgos hasta situarlos en un nivel aceptable.
Para los auditores internos puede resultar til revisar los resultados de evaluaciones
de controles clave finalizadas previamente, los planes de accin relacionados y los
efectos potenciales de cualquier cambio reciente en el negocio del que puedan deri-
varse nuevos riesgos. A los auditores internos les puede interesar consultar al depar-
tamento jurdico de la organizacin, al Director de Cumplimiento Normativo, o a otros
responsables relevantes sobre las leyes y regulaciones a las que la organizacin est
sujeta. Para la actividad de Auditora Interna resulta beneficioso comprender cmo se
mantiene al tanto la organizacin de los cambios que puedan producirse en los reque-
rimientos regulatorios y cmo asegura el cumplimiento de los mismos.
Es importante que los auditores internos conozcan en profundidad los marcos de refe-
rencia que hayan sido adoptados por la organizacin, tanto formal como informal-
mente, y estn familiarizados con los marcos sobre control integral reconocidos inter-
- Evaluar la idoneidad del diseo de los controles para poder determinar si es apro-
piado realizar una prueba de la eficacia de los controles.
- Probar controles que se considera que han sido diseados adecuadamente, para
evaluar si estn realmente operando como se pretende.
Al utilizar una matriz de riesgos y controles, la actividad de Auditora Interna puede
encontrar til entrevistar a la Direccin; revisar los planes, las polticas y los procesos
de la organizacin; emplear pruebas, encuestas, cuestionarios y flujogramas para
obtener informacin sobre la idoneidad del diseo del control; y realizar inspecciones,
conciliaciones, auditoras continuas y anlisis de datos para probar la efectividad del
control.
Para evaluar la eficiencia de los controles, la actividad de Auditora Interna habitual-
mente revisa si la direccin mide y supervisa los costes y beneficios de los controles.
Esto supone identificar si los recursos empleados en los procesos de control exceden
de los beneficios, y si los procesos de control provocan problemas importantes al
negocio (por ejemplo, errores, retrasos o duplicacin de trabajo).
Tambin puede ser til para los auditores internos evaluar si el nivel de un control es
adecuado para el riesgo que pretende controlar. Una herramienta que muchos audi-
tores internos utilizan para documentar visualmente esta relacin entre riesgos y con-
troles es el mapa de riesgos y controles, en el que se seala grficamente la gravedad
del riesgo en relacin con la eficacia del control.
Para promover la mejora continua en el mantenimiento de controles eficaces, la acti-
vidad de Auditora Interna habitualmente proporciona al Consejo y a la alta direccin
una evaluacin general o agrupa los resultados de evaluaciones de control derivadas
de trabajos de auditora sobre aspectos concretos. El DAI puede recomendar la imple-
mentacin de un marco de control si la organizacin no utiliza ninguno. Adicional-
mente, los auditores internos pueden realizar recomendaciones que mejoren en entor-
no de control (por ejemplo, una pauta tica dada desde el mximo rgano de gobier-
no -tone at the top- que promueva una cultura del comportamiento tico y una baja
tolerancia a los incumplimientos).
La actividad de Auditora Interna puede dar pasos adicionales para promover una
mejora continua de la efectividad del control con las acciones siguientes:
- Proporcionando formacin sobre controles y procesos de autoevaluacin continua.
Introduccin
La planificacin del trabajo es crtica para tener una Auditora Interna eficaz. Es cen-
tral no slo en la Norma 2200, sino tambin en otras normas en esta misma serie.
Al planificar un trabajo de auditora, los auditores internos normalmente comenzarn
por comprender el plan anual de Auditora Interna de la organizacin, por estar al
tanto de la planificacin y debates previos y necesarios para su elaboracin (ver la
Gua de Implementacin 2010 Planificacin) y por entender cualquier cambio signi-
ficativo que afecte a la organizacin y se haya producido despus de incluido el tra-
bajo de auditora en el plan anual. Los auditores internos tambin necesitan saber
cmo afectan las estrategias, objetivos y riesgos de la organizacin al trabajo de
Auditora Interna.
Es importante que los auditores internos comprendan el proceso de planificacin del
trabajo empleado por la actividad de Auditora Interna de la organizacin. Este proce-
so normalmente se describe en el manual de polticas y procedimientos de Auditora
Interna. Los auditores internos deben tambin conocer el alcance del trabajo y las
expectativas de los grupos de inters y estar familiarizados con las auditoras (inter-
nas o externas) o revisiones de cumplimiento normativo previas, realizadas en el rea
objeto de la revisin. Adicionalmente, los auditores internos habitualmente se familia-
rizarn por ellos mismos con las estrategias, objetivos y riesgos relacionados con el
departamento, rea o proceso que tengan que revisar en el siguiente trabajo. Puede
serles de ayuda investigar sobre si la direccin ha realizado una evaluacin de riesgos
en el rea que vayan a revisar y, en su caso, conocer la opinin de la direccin sobre
la evaluacin de riesgos y tambin sobre cualquiera de los riesgos y controles relacio-
nados con el rea del siguiente trabajo de auditora.
Los auditores internos deben tener en cuenta los recursos necesarios para el trabajo
(ver la Gua de Implementacin 2030 Administracin de Recursos), y determinar la
forma en que los recursos pueden ser utilizados ms eficientemente.
Las guas de implementacin de las Normas 2201 Consideraciones sobre la Planifi-
cacin; Norma 2210 Objetivos del Trabajo; Norma 2220 Alcance del Trabajo;
Norma 2230 Asignacin de Recursos para el Trabajo; y Norma 2240 Programa de
Trabajo, proporcionan una mayor orientacin sobre el proceso de planificacin del tra-
bajo.
Consideraciones para la implementacin
Al implementar la Norma 2200, es importante que los auditores internos establezcan
los objetivos del trabajo como una parte crtica de la planificacin del trabajo. Con ese
fin, los auditores internos deben revisar cualquier evaluacin de riesgos reciente rea-
lizada por la direccin, as como la evaluacin de riesgos de Auditora Interna realiza-
da como parte de la planificacin anual, porque los objetivos del trabajo estarn
conectados a los riesgos del rea objeto de la revisin. Tambin tendrn que tener en
cuenta evaluaciones de riesgos del trabajo previas e informes de auditora sobre el
rea que va a ser revisada. Una vez que se hayan establecido los objetivos basados en
los riesgos, puede determinarse el alcance del trabajo de auditora, para establecer el
permetro dentro del que trabajarn los auditores internos.
Para establecer los objetivos del trabajo, los auditores internos generalmente identifi-
carn los datos necesarios dentro del alcance del trabajo, y comunicarn el alcance a
la direccin del rea objeto de la revisin, concediendo a la direccin un plazo de tiem-
po adecuado para la preparacin de la auditora. Los auditores internos tambin se
comunicarn con la direccin o con otro personal clave del rea objeto de la revisin,
en los momentos iniciales del proceso, para asegurar la disponibilidad del personal
clave.
A lo largo del proceso de planificacin del trabajo, los auditores internos habitualmen-
te conservarn la documentacin de los debates y conclusiones a las que hayan llega-
do durante las reuniones, e incluirn estos documentos entre los papeles de trabajo
de la auditora. Durante la fase de planificacin del trabajo, los auditores internos
determinarn el nivel de formalidad y la documentacin necesaria. El manual de pol-
ticas de Auditora Interna de la organizacin puede especificar las fases de un proce-
so formal e incluir plantillas donde se especifiquen.
IG-2200 189
Durante la planificacin del trabajo, los auditores internos pueden comenzar por desa-
rrollar el programa de trabajo, considerando los presupuestos, la logstica y el forma-
to de la comunicacin final del trabajo. El Director de Auditora Interna habitualmen-
te establecer cmo, cundo y a quin deben comunicarse los resultados del trabajo
(ver Norma 2440 Difusin de Resultados), as como el nivel necesario de supervi-
sin directa por parte del personal de auditora, especificado en el plan del trabajo (ver
Norma 2340 Supervisin del Trabajo). El ltimo aspecto de la planificacin previo al
inicio de trabajo de campo por parte de los auditores internos, es la aprobacin del
programa de trabajo por el responsable de auditora. No obstante, el plan de trabajo
y el programa de trabajo pueden ser ajustados con nueva informacin que pueda ser
obtenida durante el trabajo de campo. Estos ajustes, en su caso, tambin debern ser
aprobados por el responsable de auditora.
Introduccin
Los auditores internos deben planificar los trabajos cuidadosamente para cumplir de
forma efectiva las metas y objetivos establecidos en el plan anual de Auditora Interna
y para cumplir las polticas y procedimientos que tenga establecidos la organizacin
para la actividad de Auditora Interna. La planificacin del trabajo normalmente
empieza con una revisin de la documentacin que respalda el plan anual de
Auditora Interna.
Los auditores internos pueden planificar de forma eficaz un trabajo si comienzan por
conocer la misin, visin, objetivos, riesgos, apetito al riesgo, entorno de control,
estructura de gobierno y proceso de gestin de riesgos del rea o proceso objeto de
la revisin. Una encuesta preliminar puede ser una herramienta valiosa para ayudar a
los auditores internos a tener un conocimiento suficiente del rea o proceso que va a
ser auditado.
Desarrollar una matriz de riesgos y controles o examinar una matriz que ya exista
es una prctica comn utilizada por los auditores internos para identificar los riesgos
que pueden afectar a los objetivos, recursos y/o operaciones del rea o proceso bajo
revisin. La matriz de riesgos y controles puede proporcionar un feedback crtico sobre
IG-2201 191
los riesgos clave que han sido identificados, as como sobre todos los controles miti-
gantes. Puede ser tambin empleada para identificar objetivos o subprocesos clave
dentro del rea o proceso que va a ser auditado.
Durante la planificacin del trabajo, los auditores internos habitualmente recopilan
informacin relacionada con las polticas y procedimientos del cliente de auditora y
se empean en conocer los sistemas de TI que utiliza el rea bajo revisin, junto con
las fuentes, tipos y confiabilidad de la informacin empleada en el proceso y toda la
informacin que ser evaluada como evidencia. Los auditores internos tambin obtie-
nen y revisan los resultados del trabajo desarrollado por otros proveedores de asegu-
ramiento internos y externos, y/o los resultados de las auditoras previas del rea o
proceso bajo revisin, en caso de que sean aplicables.
Es importante que los auditores internos determinen si nuevos procesos o condiciones
pueden haber introducido nuevos riesgos. Adicionalmente, a los auditores internos les
resultar til determinar los recursos iniciales y la informacin necesaria, incluyendo
las capacidades que se precisan en los auditores internos para desarrollar la auditora
de forma eficaz.
procesos de gobierno, gestin de riesgos y control. Los auditores internos pueden revi-
sar la estructura de la organizacin, las funciones y responsabilidades de la direccin,
los informes de la direccin y los procedimientos operativos para conseguir compren-
der los procesos de gobierno, gestin de riesgos y control. Tambin es importante que
revisen las notas de las reuniones durante la fase de planificacin de un trabajo, para
determinar si debera aadirse alguna prueba adicional al programa.
La direccin puede custodiar los flujos de los procesos y los documentos de control
para cumplir obligaciones legales, como la Sarbanes-Oxley (EE.UU.), la Turnbull (Reino
Unido) u otras normas vinculantes para empresas cotizadas. Los auditores internos
pueden revisar esa documentacin para identificar controles clave. Posteriormente,
para respaldar la evaluacin, los auditores internos pueden tener en cuenta un marco
de referencia o modelo relevante, como los marcos de la Committee Of Sponsoring
Organizations of the Treadway Commission (COSO) o la Norma ISO 31000.
Durante la planificacin del trabajo, es importante que los auditores internos reflexio-
nen sobre la forma en que la actividad de Auditora Interna puede aadir valor. Para
ello, pueden utilizar su criterio profesional, sus conocimientos y su experiencia para
identificar oportunidades para proponer mejoras significativas en los procesos de
gobierno, gestin de riesgos y control de la organizacin.
En el curso de la planificacin de un trabajo, los auditores internos establecern los
objetivos y el alcance en cumplimiento de la Norma 2110 Objetivos del Trabajo, y de
la Norma 2220 Alcance del Trabajo. Esto les permite reflexionar sobre qu debera
ser probado en el proceso o rea bajo revisin. Tambin les permite priorizar las reas
que se encuentran dentro del alcance del trabajo, basndose en la importancia de los
riesgos identificados. La prioridad generalmente se establece teniendo en cuenta la
probabilidad de que un riesgo ocurra y el impacto que ese riesgo, en caso de ocurrir,
tendra en la organizacin. Generalmente, se da la mayor prioridad para la realizacin
de las pruebas, a los riesgos con mayor probabilidad de ocurrencia y mayor impacto.
Adems, los auditores internos habitualmente conversan con los trabajadores del rea
o proceso bajo revisin. Esto puede mejorar su comprensin del rea y favorecer que
la planificacin del trabajo sea ms eficaz.
IG-2201 193
Introduccin
La Norma 2210 establece claramente que los auditores internos deben establecer
objetivos como una parte de la planificacin de cada trabajo. Los objetivos habitual-
mente son desarrollados basndose en los riesgos clave que han sido identificados en
el rea o proceso bajo revisin.
Habitualmente, los auditores internos comienzan el proceso de establecer los objeti-
vos del trabajo revisando las consideraciones realizadas en la planificacin (ver la Gua
de Implementacin 2201 Consideraciones de la Planificacin) y el plan anual de
Auditora Interna para saber en profundidad por qu se est realizando ese trabajo y
qu quiere conseguir la organizacin. Los auditores internos pueden encontrar til
comenzar comprendiendo la misin, visin, y los objetivos a corto y largo plazo de la
organizacin, as como las polticas y procedimientos clave y la forma en que se rela-
cionan con el rea o proceso bajo revisin. Adicionalmente, es importante que los
auditores internos tengan un conocimiento profundo de las estrategias, misin y obje-
tivos del rea o proceso sujeto a revisin, as como sus inputs y outputs.
Con carcter previo al establecimiento de objetivos, resulta til averiguar durante la
fase de planificacin si se ha realizado alguna evaluacin de riesgos y conocer en pro-
fundidad tanto los riesgos de la organizacin, como los del rea o proceso bajo revi-
sin. Adems, es crucial para conocer las expectativas de los grupos de inters, inclu-
yendo la alta direccin y el Consejo.
de riesgos y los controles del rea o proceso bajo revisin. Los objetivos del trabajo
articulan lo que el trabajo tiene que llegar a cumplir especficamente y determinan el
alcance del trabajo (ver la Gua de Implementacin 2220 Alcance del Trabajo).
Los objetivos del trabajo ayudan a los auditores internos a decidir qu procedimientos
deben desarrollar. Tambin ayudan a los auditores internos a priorizar durante el trabajo
las pruebas de riesgos y de controles de los procesos y sistemas. Las pruebas de riesgos
y de controles proporcionan aseguramiento sobre la idoneidad del diseo, la eficacia de
las operaciones, el cumplimiento normativo, la eficiencia, la exactitud y la informacin.
Es importante para los auditores internos establecer objetivos que tengan un prop-
sito claro, que sean concisos y que estn vinculados a la evaluacin de riesgos. A
menudo, los auditores internos utilizan las mejores prcticas y marcos de referencia,
como los marcos del Committee of Sponsoring Organizations of the Treadway
Commission (COSO) y la Norma ISO 31000, cuando establecen objetivos y abordan
riesgos y controles.
Durante la planificacin, puede ser til para los auditores internos, desarrollar un
memorndum de planificacin, en el que puedan documentar los objetivos alcance,
evaluacin de riesgos y las reas prioritarias para realizar pruebas. El memorndum de
planificacin es tambin un documento importante para comunicar a los miembros del
equipo de auditora los objetivos del trabajo, el alcance y resto de informacin previa
importante. La Gua de Implementacin 2300 Desempeo del Trabajo, proporciona
orientacin adicional sobre cmo lograr los objetivos del trabajo.
Introduccin
Para implementar la Norma 2220, los auditores internos deben asumir la tarea de
establecer un alcance del trabajo que sea suficiente para cumplir los objetivos del tra-
bajo. Dado que un trabajo generalmente no puede cubrirlo todo, los auditores inter-
nos deben determinar qu estar incluido y qu no. Cuando los auditores internos
establezcan el alcance del trabajo, generalmente tendrn en cuenta factores como el
permetro del rea o proceso, el periodo de tiempo en el que se debe realizar la audi-
tora, y los lugares de trabajo, subprocesos y componentes del rea o proceso que se
incluyen dentro del alcance frente a los que quedan fuera.
Para asegurar que el alcance es suficiente para cumplir los objetivos del trabajo y que
est alineado con el plan anual de Auditora Interna de la organizacin, los auditores
internos deben utilizar criterios profesionales slidos basados en una experiencia rele-
vante y/o en el asesoramiento de un supervisor. Para determinar el alcance, es til revi-
sar los objetivos del trabajo para asegurar que cada uno de los objetivos puede ser
alcanzado bajo los parmetros establecidos. Los auditores internos generalmente tie-
nen en cuenta y documentan cualquier limitacin al alcance, as como cualquier peti-
cin del cliente o de grupos de inters para incluir o excluir del alcance determinados
aspectos. Si los auditores internos se encuentran con limitaciones al alcance, deben
informar sobre ellas en la comunicacin final del trabajo.
En ocasiones, los auditores internos pueden confiar en el trabajo desarrollado por
otros como auditores de cuentas o grupos de cumplimiento normativo de la organi-
zacin y puede ser til documentar esta confianza en el documento en el que cons-
te el alcance. La Norma 2050 Coordinacin y Confianza y su Gua de
Implementacin proporcionan una orientacin adicional sobre la confianza de la acti-
vidad de Auditora Interna en estos trabajos.
Interpretacin:
Adecuados se refiere al equilibrio entre conocimiento, aptitud y otras competen-
cias necesarias para realizar el trabajo. Suficientes se refiere a la cantidad de
recursos que se necesitan para realizar el trabajo con el cuidado profesional ade-
cuado.
Introduccin
Para cumplir la Norma 2230, los auditores internos deben asegurarse de que se cuen-
ta con recursos para lograr los objetivos del trabajo. Es fundamental que los auditores
internos asignados a un trabajo tengan el conocimiento, capacidades y experiencia
necesaria, as como las competencias adicionales necesarias para desarrollar un tra-
bajo competente y profundamente. Tambin es importante que la actividad de
Auditora Interna cuente con una cantidad de recursos suficiente para cubrir las nece-
sidades del trabajo, con la atencin que requiere un trabajo minucioso realizado con
el debido cuidado profesional.
Antes de decidir cmo asignar los recursos a un trabajo de la mejor manera, los audi-
tores internos generalmente se preocuparn por conocer los objetivos y el alcance
revisando los documentos de la planificacin. Tambin es esencial que los auditores
internos comprendan la naturaleza y la complejidad del trabajo manteniendo conver-
saciones con grupos de inters clave, incluyendo la direccin del rea que va a ser
auditada.
Es importante que los auditores internos inventaren los recursos, no slo en nmero
de auditores disponibles, sino tambin en trminos de la tecnologa que puede ser til
o necesaria para desarrollar un producto de calidad. Tambin pueden reflexionar sobre
si son necesarios recursos o tecnologa externa adicional para completar el trabajo.
IG-2230 199
Los auditores internos deben tratar con el DAI cualquier preocupacin que tengan
relacionada con la asignacin de recursos del trabajo. Pueden plantearse comparar el
tiempo real empleado en la realizacin del trabajo con el tiempo presupuestado. Las
causas y consecuencias de las desviaciones de costes significativas, pueden ser docu-
mentadas para tenerlas en cuenta cuando se propongan futuras planificaciones.
Introduccin
Para implementar la Norma 2240, los auditores internos comienzan por un claro y pro-
fundo entendimiento de los objetivos y alcance del trabajo, y por los riesgos y contro-
les clave del rea o proceso bajo revisin. Habitualmente, conocern de forma com-
pleta los recursos disponibles.
Antes de desarrollar el programa, a los auditores internos puede resultarles til refle-
xionar sobre muchos aspectos del prximo trabajo, incluyendo:
- La muestra apropiada para realizar las comprobaciones y las metodologas que uti-
lizarn.
- Los riesgos registrados o la matriz de riesgos y la forma en que puede utilizarse en
la elaboracin del programa de trabajo.
- El alcance.
- Cmo se lograr cumplir los objetivos.
- Si estn disponibles los recursos necesarios.
- Opiniones y conclusiones emitidas durante la fase de planificacin del trabajo.
Para desarrollar un programa de trabajo eficaz, los auditores internos tendrn en cuen-
ta la naturaleza, extensin y los plazos de las pruebas de auditora requeridas para
lograr los objetivos. Cada procedimiento que figure en el programa de trabajo debera
ser diseado para probar un control concreto que mitigue un riesgo o riesgos especfi-
cos. Es tambin importante que el programa de trabajo sea realizado y documentado
de manera que se asegure que todos los miembros del equipo comprenden qu nece-
sitan hacer y qu tareas estn pendientes de realizacin.
El formato del programa de trabajo puede variar dependiendo de los trabajos y de la
organizacin. Generalmente, los formatos empleados incluyen modelos de plantillas o
listas de comprobacin para documentar la finalizacin de las fases planificadas,
memorndums que resumen las tareas ya realizadas y columnas adicionales en la
matriz de riesgos y controles. Los programas bien documentados ayudan a comunicar
funciones, responsabilidades y tareas a los miembros del equipo encargados del tra-
bajo. Puede incluirse el dato de la firma en los trabajos finalizados, los nombres de los
auditores internos que los realizaron y la fecha en la que fueron terminados.
Para la Norma 2240.A1, los programas de trabajo deben ser aprobados por el respon-
sable de Auditora Interna antes de que comience el trabajo de campo. No obstante,
el programa de auditora podr ser ajustado con la informacin y el conocimiento
obtenidos en el trabajo de campo. Estos cambios, en su caso, debern ser aprobados
cuanto antes por el responsable de Auditora Interna.
Introduccin
En las Normas Internacionales para la Prctica Profesional de la Auditora Interna, el
proceso del trabajo se divide en tres partes, con una serie de normas para cada una
de ellas: planificacin (serie 2200), desempeo y supervisin (serie 2300) y comunica-
cin (serie 2400). No obstante, las Normas de estos tres grupos no se ejecutan sepa-
rada y secuencialmente. Ms bien, la realidad es la contraria, porque un trabajo puede
comenzar a ser desarrollado antes de haber finalizado el proceso de planificacin; y la
planificacin, supervisin y comunicacin se producen a lo largo del proceso de reali-
zacin del trabajo. Por ello, los auditores internos, cuando se estn preparando para
realizar un trabajo, deberan repasar al mismo tiempo los tres grupos de Normas y
Guas de Implementacin.
Antes de desarrollar el trabajo, es bueno que los auditores internos revisen la informa-
cin derivada del proceso de planificacin, que suele incluir:
- Objetivos del trabajo que reflejan los resultados de la evaluacin de riesgos prelimi-
nar realizada por la actividad de Auditora Interna (Norma Objetivos del Trabajo y
Norma 2210.A1).
- Los criterios que se utilizarn para evaluar el gobierno, la gestin de riesgos y los
controles del rea o proceso bajo revisin (Norma 2210.A3).
- El programa de trabajo (que contenga las conclusiones a las que se haya llegado en
la fase de planificacin), las tareas del trabajo y los procedimientos que se emplea-
rn para identificar, analizar y documentar la informacin (Norma 2240 Programa
de Trabajo y Norma 2240.A1).
El trabajo desarrollado durante la fase de planificacin, normalmente se documenta
en los papeles de trabajo y se referencia en el programa.
los auditores internos documenten la informacin que resulte de la ejecucin del tra-
bajo; la evidencia debera lgicamente respaldar las conclusiones y los resultados del
trabajo.
El apartado Interpretacin de la Norma 2310 Identificacin de la Informacin,
establece: La informacin suficiente est basada en hechos, es adecuada y convin-
cente, de modo que una persona prudente e informada pueda llegar, basndose en
ella, a las mismas conclusiones que el auditor interno. Por tanto, la informacin del
trabajo debe ser recopilada y documentada de forma que una persona prudente e
informada, como por ejemplo otro auditor interno o un asesor externo, podra repetir
el trabajo y lograr unos resultados que confirmasen los resultados del auditor interno
y, lgicamente, llevaran a las mismas conclusiones.
Los auditores internos deben basar sus conclusiones y los resultados de su trabajo en
anlisis y evaluaciones adecuadas (ver Norma 2320 Anlisis y Evaluacin). En tra-
bajos de aseguramiento y en algunos trabajos de consultora, lo que se busca en defi-
nitiva es llegar a conclusiones sobre si el diseo y la operativa de los controles clave
respaldan la capacidad del rea auditada para lograr los objetivos.
Como parte del programa de trabajo, los auditores internos normalmente planifican
pruebas para recopilar evidencias sobre la eficacia operativa de controles clave ade-
cuadamente diseados (ver Norma 2240 Programa de Trabajo). Generalmente,
para los controles secundarios (aquellos que mejoran el proceso, pero no son esencia-
les) y los controles con debilidades de diseo (aquellos que probablemente no cum-
plan con la finalidad para la que fueron diseados, aunque funcionen correctamente)
no ser necesario realizar pruebas de efectividad. Si los detalles del plan de pruebas
no son suficientes, los auditores internos pueden necesitar proporcionar detalles adi-
cionales sobre las pruebas que van a realizar, como pueden ser los criterios aplicados
y la poblacin, la metodologa para obtener la muestra y el tamao de la muestra
necesario para obtener suficiente informacin. La Norma 2240.A1 requiere que los
ajustes sean aprobados cuanto antes.
El enfoque de los auditores internos para realizar la evaluacin, a menudo incluye una
combinacin de procedimientos de auditora manual y tcnicas de auditora asistidas
por ordenador (CAATs por sus siglas en ingls). Las categoras generales de los pro-
cedimientos de auditora manual incluyen preguntas (entrevistas o encuestas), obser-
vaciones, inspecciones, conciliaciones, seguimientos, repeticiones, confirmaciones y
Interpretacin:
La informacin suficiente est basada en hechos, es adecuada y convincente, de
modo que una persona prudente e informada pueda llegar, basndose en ella, a
las mismas conclusiones que el auditor interno. La informacin fiable es la mejor
informacin que se puede obtener con tcnicas de trabajo apropiadas. La informa-
cin relevante respalda las observaciones y recomendaciones del trabajo y es cohe-
rente con sus objetivos. La informacin til ayuda a la organizacin a cumplir sus
metas.
Introduccin
La actividad de Auditora Interna emplea un enfoque sistemtico y disciplinado para
evaluar y mejorar la eficacia de los procesos de gobierno, gestin de riesgos y control.
El enfoque sistemtico y disciplinado requiere que los auditores internos identifiquen,
analicen, evalen y documenten la informacin en la que se apoyarn los resultados
de un trabajo y las conclusiones. La Norma 2310 define los criterios de la informacin
que debe ser identificada.
Los auditores internos comienzan recopilando informacin, incluyendo evidencias de
auditora, durante la planificacin del trabajo. Repasar los objetivos y el programa de
trabajo resulta til para que los auditores internos se preparen para identificar la infor-
macin suficiente, fiable, relevante y til. El programa de trabajo indicar los procedi-
mientos que los auditores internos deben emplear para realizarlo.
Puede ser til que los auditores internos revisen las polticas de la organizacin y las
leyes que le afectan relacionadas con la proteccin de datos, antes de comenzar el
programa de trabajo. Tambin pueden consultar al asesor jurdico de la organizacin
o a otros expertos en las cuestiones aplicables para dirigirles cualquier duda o preo-
cupacin que puedan tener sobre el acceso a informacin personal.
El proceso para identificar informacin se facilita con una comunicacin abierta y cola-
borativa entre el auditor interno y el personal de la organizacin, especialmente aque-
llos directamente involucrados en el rea o proceso bajo revisin. Establecer y mante-
ner canales de comunicacin eficaces es un aspecto importante para el desempeo del
trabajo. La independencia de la actividad de Auditora Interna dentro de la organiza-
cin es tambin esencial para poder tener una comunicacin abierta (ver la Norma
1110 Independencia dentro de la Organizacin).
Introduccin
Durante la planificacin de un trabajo, los auditores internos deben desarrollar un pro-
grama para lograr los objetivos (ver la Norma 2240 Programa de Trabajo). En los
trabajos de aseguramiento, el programa debe incluir procedimientos para identificar,
analizar, evaluar y documentar la informacin relacionada (Norma 2240.A1). La serie
de normas 2300 describe cmo se implementan dichos procedimientos.
La Norma 2320 requiere que los auditores internos analicen y evalen la informacin
obtenida durante el trabajo, antes de extraer las conclusiones. Durante la planificacin
y la elaboracin del programa de trabajo, los auditores internos pueden haber ido
completando aspectos del trabajo y generar informacin importante, incluyendo la
matriz de riesgos y controles y la evaluacin de la idoneidad del diseo del control. El
programa de control a menudo se vincula con los papeles de trabajo que documentan
el trabajo finalizado, la informacin producida y las decisiones resultantes. Entre los
ejemplos de papeles de trabajo habituales estn los siguientes: un memorndum de
planificacin o una lista de comprobacin, flujogramas o descripciones narrativas de
los procesos clave, un mapo de riegos a nivel de procesos y una matriz de riesgos y
controles que documente los vnculos entre los riesgos, los controles, el enfoque de las
pruebas, los resmenes de las entrevistas, los resultados, las evidencias y las conclu-
siones.
les y evalan la idoneidad del diseo, porque esto les ayuda a identificar los controles
clave sobre los que tendrn que realizar las pruebas de eficacia.
Ejecutar el trabajo de auditora normalmente implica realizar las pruebas indicadas en
el programa de trabajo para recopilar evidencia sobre la eficacia operativa de los con-
troles clave. Al basarse en la matriz de riesgos y controles y en el programa de traba-
jo, lo normal es que los auditores internos cuenten con una lista de procedimientos y
pruebas especficas para realizar. Otros factores que son generalmente establecidos en
el programa de trabajo incluyen elementos tales como las afirmaciones de la direccin;
los objetivos, criterios, enfoque, procedimientos y poblacin de las pruebas definidas;
y la metodologa para obtener la muestra, as como el tamao de la misma. No obs-
tante, algunos detalles puede que no sea necesario que estn ya concretados en las
fases iniciales de la ejecucin del trabajo.
En definitiva, lo que los auditores internos pretenden es llegar a conclusiones como
resultado de la ejecucin de un programa de trabajo (por ejemplo, una conclusin
sobre si los controles son eficaces para mitigar los riesgos hasta situarlos en un nivel
aceptable). Con suficiente informacin tanto sobre la idoneidad del diseo, como
sobre la eficacia operativa de los controles, los auditores internos pueden concluir
sobre si los controles existentes son adecuados para respaldar el logro de los objeti-
vos del rea o proceso objeto de la auditora. La amplitud de las pruebas depende de
si los resultados de las mismas producen suficiente evidencia de auditora sobre la que
los auditores internos puedan basar sus conclusiones o consejos. Si los procedimien-
tos de prueba indicados en el programa de trabajo no proporcionan suficiente infor-
macin para fundamentar posibles conclusiones y recomendaciones, los auditores
internos pueden necesitar ajustar el plan de pruebas y realizar pruebas adicionales. La
Norma 2240.A1 requiere que los cambios que se realicen para ajustar el programa de
trabajo sean aprobados cuanto antes.
Anlisis
Los enfoques de las pruebas a menudo incluyen una combinacin de procedimientos
manuales de auditora y tcnicas de auditora asistidas por ordenador (CAATs por sus
siglas en ingls); estas ltimas incluyen programas de software general de auditora y
programas especializados en probar la lgica de procesamiento y los controles de
otros software y sistemas. Al igual que la informacin sobre las pruebas descrita pre-
Los procedimientos analticos son empleados para comparar la informacin con las
expectativas, y se basan en una fuente independiente (sin sesgos) y en la premisa de
que puede ser razonable realizar ciertas asociaciones entre la informacin, en ausen-
cia de condiciones que lo contradigan. Los procedimientos analticos pueden tambin
IG-2320 213
ser empleados durante la planificacin del trabajo (serie de normas 2200). Algunos
ejemplos de procedimientos analticos son los siguientes:
- Ratios, tendencias y anlisis de regresin.
- Pruebas de verosimilitud.
- Comparaciones entre periodos.
- Proyecciones.
- Benchmarking con empresas similares o con unidades de la organizacin.
Evaluaciones
Los auditores internos aplican su experiencia, lgica y escepticismo profesional para
evaluar la informacin descubierta en el trabajo y para llegar a conclusiones lgicas.
Generalmente enfocan sus trabajos con una mente objetiva y curiosa, buscando estra-
tgicamente la informacin que podra servirles para cumplir los objetivos. En cada
etapa del proceso del trabajo, aplicarn su experiencia y escepticismo profesional para
evaluar si la evidencia es suficiente y apropiada para formular conclusiones y/o reco-
mendaciones. De acuerdo con la Norma 2330 Documentacin de la Informacin, los
auditores internos deben documentar la informacin que respalde de forma lgica los
resultados y las conclusiones del trabajo. Sin embargo, esto no significa que prescin-
dan de informacin relevante que pueda contradecir las conclusiones.
Los auditores internos a menudo realizan un anlisis de las causas que estn en el ori-
gen para identificar las razones subyacentes que estn en los posibles errores, proble-
mas, prdidas de oportunidades o casos de incumplimiento. Los anlisis de las causas
fundamentales permiten a los auditores internos aadir una visin que puede mejorar
Adems, los auditores internos pueden elegir incluir informacin obtenida de distintos
grupos de inters, internos y externos. En algunos casos, los auditores internos pue-
den proporcionar una variedad de posibles causas fundamentales para que la direc-
cin las tenga en cuenta, basndose en una evaluacin independiente y objetiva de
varios escenarios como posibles causas de un problema. Cuando no se disponga den-
tro de la actividad de Auditora Interna del tiempo adicional o el nivel de capacidades
necesario para realizar un anlisis de causas fundamentales, el Director de Auditora
Interna puede recomendar que la direccin del rea o proceso auditado aborde el pro-
blema de fondo y realice el trabajo necesario para identificar la causa que est en el
origen de dicho problema.
IG-2320 215
Introduccin
Los papeles de trabajo se utilizan para documentar la informacin generada a lo largo
del proceso de realizacin del trabajo de auditora, incluyendo planificacin, pruebas,
anlisis y evaluacin de los datos, y formulacin de resultados y conclusiones. Pueden
ser custodiados en papel, electrnicamente, o de ambas formas. Utilizar un software
de Auditora Interna puede mejorar la consistencia y la eficiencia.
El contenido, la organizacin y el formato de los papeles de trabajo generalmente
variarn dependiendo de la organizacin y la naturaleza del trabajo. Sin embargo, es
importante lograr que sean todo lo coherentes como sea posible con todo lo realiza-
do por la actividad de Auditora Interna, generalmente esto se facilita compartiendo la
informacin del trabajo y coordinando las actividades de auditora. Dado que el
Director de Auditora Interna (DAI) es responsable de coordinar y desarrollar las pol-
ticas y procedimientos de la actividad de Auditora Interna (ver Norma 2050
Coordinacin y Confianza y Norma 2040 Polticas y Procedimientos, respectivamen-
te), es lgico que sea l el que desarrolle directrices y procedimientos para completar
papeles de trabajo para los distintos tipos de trabajos. El uso de formatos o plantillas
estandarizadas, aunque tambin flexibles, mejora la eficiencia y la coherencia del pro-
ceso de realizacin del trabajo de auditora. Comnmente, los papeles de trabajo
estandarizados incluyen elementos como la estructura general, cdigos tipo tick-mark
(smbolos empleados para representar procedimientos especficos de auditora), un
sistema de referencias cruzadas a otros papeles de trabajo, e indicaciones sobre la
informacin para saber si debe ser archivada permanentemente o para poder ser uti-
lizada en otros trabajos. Antes de documentar la informacin del trabajo, los audito-
res internos deberan repasar y comprender los procedimientos especficos de desarro-
IG-2330 217
- Conclusiones que incluyen referencias cruzadas con los papeles de trabajo sobre las
observaciones de auditora.
- Trabajo de seguimiento que se propone realizar.
- Nombre del auditor(es) interno(s) que ha realizado el trabajo.
- Smbolo de revisin y nombres de los auditores internos que han revisado el traba-
jo.
Generalmente los papeles de trabajo se organizan siguiendo la estructura desarrolla-
da en el programa de trabajo e incluyen referencias cruzadas a informacin relevante.
El resultado final es una coleccin completa de documentacin (electrnica, en papel,
o ambas) de los procedimientos completados, la informacin obtenida, las conclusio-
nes a las que se ha llegado, las recomendaciones deducidas y los fundamentos lgi-
cos de cada una de estas fases. Esta documentacin constituye la fuente primaria de
respaldo para las comunicaciones de los auditores internos con los grupos de inters,
incluyendo la alta direccin, el Consejo y la direccin del rea o proceso auditado.
La revisin de supervisin de los papeles de trabajo se utiliza habitualmente como
parte del desarrollo del personal de auditora (ver Norma 2340 Supervisin del
Trabajo). Una revisin de supervisin puede ser tambin utilizada para fundamentar
la evaluacin de la conformidad con las Normas Internacionales para la Prctica
Profesional de la Auditora Interna y para mantener el programa de aseguramiento y
mejora de la calidad (ver Norma 1300 Programa de Aseguramiento y Mejora de la
Calidad).
Interpretacin:
El alcance de la supervisin requerida depender de la pericia y experiencia de los
auditores internos y de la complejidad del trabajo. El Director de Auditora Interna
tiene la responsabilidad general de la supervisin del trabajo, ya sea que haya sido
desempeado por la actividad de Auditora Interna o para ella, pero puede desig-
nar a miembros adecuadamente experimentados de la actividad de Auditora In-
terna para llevar a cabo esta tarea. Se debe documentar y conservar evidencia ade-
cuada de la supervisin.
Introduccin
El Director de Auditora Interna (DAI) tiene la responsabilidad general de supervisar los
trabajos para asegurar que se alcanzan los objetivos, el trabajo se realiza con calidad
y el personal se desarrolla. En consecuencia, al planificar cmo se va a supervisar un
trabajo, el DAI deber revisar los objetivos del trabajo y las polticas y procedimientos
de Auditora Interna que respaldan el cumplimiento de la Norma 2340. Incluso con
anterioridad al comienzo del proceso de planificacin de un trabajo, el DAI suele tener
ya desarrolladas polticas y procedimientos que le sirven de gua sobre cmo planifi-
car, realizar y supervisar un trabajo (ver Norma 2040 Polticas y Procedimientos).
Estas polticas y procedimientos pueden especificar los programas de software o las
plantillas que los auditores internos deberan emplear para establecer formatos cohe-
rentes con el programa y los papeles de trabajo. De forma similar, las polticas y pro-
cedimientos pueden dar orientaciones sobre las oportunidades de desarrollo del per-
sonal de auditora que se pueden aprovechar, como una poltica que contemple la rea-
lizacin de reuniones una vez finalizado el trabajo de auditora entre los auditores
internos que han realizado el trabajo y el DAI o el responsable que haya sido desig-
nado para la supervisin.
La evaluacin de las capacidades del personal de Auditora Interna debe ser continua
y no realizarse nicamente como una parte del proceso de realizacin de trabajo. Las
evaluaciones de capacidades generalmente proporcionan informacin suficiente sobre
las competencias de los auditores internos, de forma que permita al DAI asignar a
cada trabajo los auditores internos apropiados por tener los conocimientos, capacida-
des y otras competencias que se requieran para su ejecucin. Tambin le permiten
asignar al trabajo un supervisor suficientemente cualificado.
estas caractersticas en las comunicaciones y papeles de trabajo, dado que las comu-
nicaciones del trabajo tienen a estos papeles como respaldo bsico.
A lo largo del trabajo, el supervisor del mismo y/o el DAI se reunirn con los audito-
res internos que hayan sido asignados para su ejecucin, para tratar el proceso de rea-
lizacin. Esta reunin supone una oportunidad para formar, desarrollar y evaluar a los
auditores internos. Al revisar las comunicaciones y los papeles de trabajo que deben
documentar todos los aspectos del proceso de realizacin, los supervisores pueden
solicitar aclaraciones o evidencias adicionales. Los auditores internos pueden tener la
ocasin de mejorar su trabajo respondiendo a las cuestiones que les plantee el super-
visor.
Normalmente, las notas de la revisin del supervisor se borran de la documentacin
final, una vez que se haya aportado la evidencia adecuada o los papeles del trabajo
hayan sido corregidos con informacin adicional para dar respuesta a las preocupa-
ciones y/o dudas que haya transmitido el supervisor. Otra opcin es que la actividad
de Auditora Interna mantenga un registro separado de las preocupaciones y cuestio-
nes planteadas por el supervisor, de las acciones realizadas para resolverlas y de los
resultados de dichas acciones.
El DAI es responsable de todos los trabajos de Auditora Interna y de todas las opinio-
nes profesionales relevantes comunicadas durante la realizacin de los trabajos, tanto
en el caso de que estos y las opiniones vengan de la actividad de Auditora Interna,
como de proveedores externos contratados para desarrollar el trabajo de la actividad
de Auditora Interna. Adems, el DAI normalmente desarrolla polticas y procedimien-
tos diseados para minimizar el riesgo de que los auditores internos hagan juicios o
realicen acciones inconsistentes con la opinin profesional del DAI y que puedan afec-
tar negativamente al trabajo.
El DAI suele establecer medios para resolver cualquier diferencia de opinin profesio-
nal que pueda surgir. Esto puede incluir debatir hechos pertinentes, hacer preguntas o
investigaciones adicionales, y documentar y concluir en los papales de trabajo sobre
los diferentes puntos de vista. Si hay alguna diferencia de criterio profesional en una
cuestin tica, esta cuestin se trasladar a las personas que tienen responsabilidad
sobre cuestiones ticas dentro de la organizacin.
Introduccin
La norma requiere que los auditores internos comuniquen los resultados de los traba-
jos. Adems, deben tener un conocimiento claro de los requisitos de comunicacin de
los mismos. Y el Director de Auditora Interna (DAI) tiene que conocer las expectativas
del Consejo y la alta direccin sobre este mismo tema.
Los auditores internos deben conocer las polticas y procedimientos contemplados en
el manual de auditora u otras expectativas de los grupos de inters as como cual-
quier plantilla estandarizada que pueda ser utilizada por la actividad, para asegurar
que se realizan observaciones y conclusiones de forma consistente. La Norma 2040
Polticas y Procedimientos y la Gua de Implementacin relacionada, proporcionan
informacin adicional sobre las responsabilidades de DAI relacionadas con las polti-
cas y procedimientos.
tados del trabajo. Los papeles de trabajo deben indicar qu resultados van a ser comu-
nicados verbalmente, y cules por escrito.
Introduccin
Las comunicaciones de un trabajo de auditora son elementos fundamentales en la
demostracin del valor que puede aportar la actividad de Auditora Interna. El forma-
to y el contenido de dichas comunicaciones variarn dependiendo de la organizacin
o del tipo de trabajo.
Comunicarse con los grupos de inters requiere una planificacin cuidadosa. Para ello
puede ser til desarrollar un plan para realizar comunicaciones sobre el trabajo, y revi-
sar el plan con los grupos de inters para llegar a un acuerdo sobre l por adelanta-
do, si es posible.
Para asegurar que se cumplen los criterios establecidos para realizar comunicaciones,
la actividad de Auditora Interna debe estar al tanto de las normas siguientes:
- Norma 2200 Planificacin del Trabajo.
- Norma 2210 Objetivos del Trabajo.
- Norma 2220 Alcance del Trabajo.
- Norma 2300 Desempeo del Trabajo.
- Norma 2310 Identificacin de la Informacin.
- Norma 2320 Anlisis y Evaluacin.
- Norma 2330 Documentacin de la Informacin.
- Norma 2340 Supervisin del trabajo.
Interpretacin:
Las comunicaciones precisas estn libres de errores y distorsiones y son fieles a los
hechos que describen. Las comunicaciones objetivas son justas, imparciales y sin
sesgos y son el resultado de una evaluacin justa y equilibrada, derivada de tener
en cuenta todos los hechos y circunstancias relevantes. Las comunicaciones claras
son fcilmente comprensibles y lgicas, evitando el lenguaje tcnico innecesario y
proporcionando toda la informacin significativa y relevante. Las comunicaciones
concisas van a los hechos y evitan elaboraciones innecesarias, detalles superfluos,
redundancia y uso excesivo de palabras. Las comunicaciones constructivas son ti-
les para el cliente del trabajo y la organizacin, y proponen mejoras donde son
necesarias. A las comunicaciones completas no les falta nada que sea esencial
para los receptores principales e incluyen toda la informacin y observaciones sig-
nificativas y relevantes para respaldar las recomendaciones y conclusiones. Las
comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes,
dependiendo de la importancia del tema, permitiendo a la direccin tomar la
accin correctiva apropiada.
Introduccin
Las comunicaciones se producen a lo largo del desarrollo el trabajo. Adems, la Norma
2420 es aplicable a todas las fases del mismo, incluyendo la planificacin y realizacin
del trabajo, la comunicacin de los resultados, la supervisin del grado de avance y la
comunicacin de la aceptacin de riesgos. Dado que son fundamentales las comuni-
caciones de alta calidad, los autores ponen mucha atencin en los detalles al realizar
el borrador y tienen cuenta las caractersticas que debe tener una comunicacin de
calidad, indicadas por en la Interpretacin de la Norma 2420.
Para asegurar que se cumple la Norma 2420, los auditores internos deben compren-
der las expectativas que tiene la organizacin sobre la comunicacin, incluyendo las
IG-2420 229
expectativas de los grupos de inters sobre la fecha lmite para recibir comunicacio-
nes. Habitualmente, todo esto se detalla en un plan de comunicacin elaborado pre-
viamente, como se ha explicado en la Gua de Implementacin 2410 Criterios para
la Comunicacin.
Los auditores internos pueden revisar las polticas y procedimientos de la actividad de
Auditora Interna, reunidos a menudo en un manual de Auditora Interna, para identi-
ficar las plantillas que deben emplear; las plantillas generalmente son tiles para ase-
gurar que las comunicaciones son correctas y coherentes en todas las fases del traba-
jo. Antes de realizar el borrador de la comunicacin final, puede ser til que los audi-
tores internos revisen las directrices de estilo de escritura de la organizacin, para que
la presentacin de la comunicacin final est alineada con el estilo aceptado por la
organizacin.
- Concisas. Los auditores internos aseguran que las comunicaciones son adecuada-
mente concisas, evitando redundancias y excluyendo informacin innecesaria, irre-
levante o no relacionada con el trabajo de auditora.
- Constructivas. Para los auditores internos resulta til emplear un tono constructivo
a lo largo de toda la comunicacin, que refleje la gravedad de las observaciones.
Las comunicaciones constructivas favorecen que se pueda desarrollar un proceso
colaborativo para hallar soluciones que faciliten cambios positivos en el rea audi-
tada y/o en la organizacin. Porque, en definitiva, como se indica en la Definicin
de Auditora Interna, lo que buscan los auditores internos es ayudar a la organiza-
cin a alcanzar sus objetivos.
- Completas. Para asegurar que las comunicaciones sean completas, es til que los
auditores internos tengan en cuenta cualquier informacin que pueda ser esencial
para la audiencia destinataria. Generalmente, las comunicaciones escritas comple-
tas permiten al lector llegar a la misma conclusin que la actividad de Auditora
Interna.
IG-2420 231
- Oportunas. Finalmente, es importante que los auditores internos enven todas las
comunicaciones en los plazos establecidos en la fase de planificacin. La oportuni-
dad puede ser diferente en cada organizacin. Por ello, para determinar cundo es
oportuna una comunicacin, los auditores internos a menudo realizan un bench-
mark y otra serie de investigaciones relacionadas con el rea revisada. Adicional-
mente, el DAI o el auditor interno puede desarrollar indicadores clave de desempe-
o que midan el cumplimiento de los plazos previstos.
Introduccin
El Director de Auditora Interna (DAI) debera comprender las expectativas del Consejo
y de la alta direccin sobre los errores u omisiones que pueden considerar significati-
vos o materiales. La materialidad se define en el glosario de las Normas Internacio-
nales para la Prctica Profesional de la Auditora Interna como la importancia relati-
va de un asunto dentro del contexto en el cual est siendo considerado, incluyendo
factores cuantitativos y cualitativos, como magnitud, naturaleza, efecto, relevancia e
impacto. El juicio profesional ayuda a los auditores internos cuando evalan la mate-
rialidad de los asuntos dentro del contexto de los objetivos relevantes.
Introduccin
Para cumplir la Norma 2430, el Director de Auditora Interna (DAI) debe comprender
los requerimientos relacionados con el desarrollo y mantenimiento de un Programa de
Aseguramiento y mejora de la Calidad (PAMC) (la serie de normas 1300) y estar fami-
liarizado con los resultados del aseguramiento actual, interno y externo, de la activi-
dad de Auditora Interna. El DAI puede tambin tener en cuenta las expectativas del
Consejo sobre el uso en los informes del trabajo de realizado de conformidad con las
Normas Internacionales para el Ejercicio Profesional de la Auditora Interna.
Introduccin
La Norma 2431 requiere que se informe cuando los resultados de un trabajo espec-
fico se vean afectados por un incumplimiento del Cdigo de tica o de las Normas
Internacionales para el Ejercicio de la Auditora Interna (las Normas). Por lo tanto, los
auditores internos deben conocer en profundidad el Cdigo de tica del IIA y las
Normas. Tambin deben conocer las reas en las que potencialmente se puede produ-
cir un incumplimiento al realizar un trabajo de auditora y las expectativas de la alta
direccin y del Consejo sobre la informacin que esperan recibir sobre cualquier pro-
blema de incumplimiento que se produzca.
El Cdigo de tica del IIA incluye los principios generales relevantes para la profesin
y la prctica de la Auditora Interna, y las reglas de conducta ms especficas, que des-
criben el comportamiento que se espera tanto de las organizaciones como de los pro-
fesionales individuales que desarrollan servicios de Auditora Interna de acuerdo con
la Definicin de Auditora Interna (incluyendo los miembros del IIA, los que ostentan
certificaciones del IIA y los candidatos a alguna certificacin del IIA). El propsito del
Cdigo de tica es promocionar una cultura tica en la profesin global de Auditora
Interna.
Como se seala en la Introduccin de las Normas, El propsito de las Normas es:
1. Orientar el cumplimiento de los elementos obligatorios del Marco Internacional
para la Prctica Profesional.
IG-2431 237
Interpretacin:
El Director de Auditora Interna debe revisar y aprobar la comunicacin final del
trabajo antes de su emisin y decidir a quines y cmo ser distribuida dicha
comunicacin. El Director de Auditora Interna retiene la responsabilidad ltima,
aunque delegue estas tareas.
Introduccin
Interpretacin:
La comunicacin incluir:
El alcance, incluyendo el periodo de tiempo al que se refiere la opinin;
Las limitaciones al alcance;
La consideracin de todos los proyectos relacionados incluyendo cuando se
confe en otros proveedores de aseguramiento;
Un resumen de la informacin que respalda la opinin;
El riesgo, marco de control u otros criterios utilizados como base para la opi-
nin global ; y
La opinin global, juicio o conclusin alcanzada.
Cuando existe una opinin global que no es favorable, deben exponerse las cau-
sas de esta opinin.
Introduccin
Una opinin global es el rating, conclusin y/u otras descripciones de resultados que
aporte el Director de Auditora Interna (DAI) cuando analice en sentido amplio el
gobierno, la gestin de riesgos, y/o los procesos de control de una organizacin. Una
opinin general es el juicio profesional del DAI, basado en los resultados de un nme-
ro de trabajos individuales y otras actividades similares como revisiones realizadas
por proveedores de aseguramiento realizadas durante un intervalo de tiempo con-
creto.
Las opiniones generales son diferentes de las conclusiones, en tanto que una conclu-
sin se deduce de un trabajo, y una opinin general se obtiene de mltiples trabajos.
Adems, una conclusin es parte de un informe de un trabajo, mientras que una opi-
nin general es comunicada separadamente de las comunicaciones de los trabajos.
IG-2450 243
Introduccin
Para cumplir esta norma, el Director de Auditora Interna (DAI) debe comenzar por
tener un claro conocimiento del tipo de informacin y el nivel de detalle que esperan
tener el Consejo y la alta direccin sobre la supervisin de la materializacin de los
resultados del trabajo de auditora, que debe realizar la actividad de Auditora Interna.
Los resultados, habitualmente, se refieren a las observaciones desarrolladas en los tra-
bajos de aseguramiento y consultora que hayan sido comunicados a la direccin del
rea auditada para que ponga en marcha acciones correctivas.
Puesto que van a ser necesarias interacciones peridicas con los directores responsa-
bles de implementar las acciones correctivas derivadas del trabajo de auditora, nor-
malmente resultar til solicitar la opinin de estos directores sobre la forma de esta-
blecer un proceso de supervisin eficaz y eficiente.
Adems, el DAI tambin puede realizar un benchmark comparando sus prcticas de
supervisin con las de otros DAIs o funciones de cumplimiento que supervisen cues-
tiones pendientes de implantacin, para identificar las mejores prcticas de eficacia ya
probada. La comparacin puede realizarse sobre reas como las siguientes:
- El nivel de automatizacin y de detalle.
- El tipo de observaciones que son supervisadas (todas o slo las de mayor riesgo).
- Cmo y con qu frecuencia se determina la situacin de las acciones correctivas
pendientes.
- Cundo la Auditora Interna est en disposicin de confirmar la eficacia de las accio-
nes correctivas.
- La frecuencia, el estilo y el nivel de los informes realizados sobre la supervisin rea-
lizada.
IG-2500 247
Interpretacin:
La identificacin del riesgo aceptado por la direccin puede observarse a travs de
un trabajo de aseguramiento o consultora, a travs del seguimiento del progreso
sobre las acciones tomadas por la direccin como resultado de anteriores trabajos,
o a travs de otros medios. El Director de Auditora Interna no tiene la responsa-
bilidad de resolver el riesgo.
Introduccin
Para lograr implementar esta norma, el Director de Auditora Interna (DAI) debe pri-
mero comprender la visin de la organizacin y su tolerancia a los distintos tipos de
riesgos. Las organizaciones difieren en la cantidad y el tipo de riesgos que consideran
aceptables. Por ejemplo, algunas organizaciones pueden aceptar un mayor nivel de
riesgos financieros con acciones como expandirse en una nueva localizacin geogr-
fica con un gobierno inestable; o realizar una inversin importante en un nuevo pro-
ducto fantstico que tiene una probabilidad de xito bastante baja, pero unos sucu-
lentos beneficios en caso de xito. Otras organizaciones tienen ms aversin a estos
riesgos financieros, y evitan estas situaciones. Adems, las entidades tienen en cuen-
ta distintos factores para determinar el nivel de riesgos aceptable; por ejemplo, el
impacto potencial y la probabilidad del evento de riesgo, la vulnerabilidad de la orga-
nizacin, y el tiempo que tardara la direccin en resolver un riesgo inaceptable.
Si la organizacin tiene una poltica formal de gestin de riesgos, que puede incluir un
proceso de aceptacin de riesgos, es importante que el DAI y la actividad de Auditora
Interna la conozcan.