CONSEJO PARA LA PRÁCTICA 1311-1

EVALUACIONES INTERNAS

Antes de iniciar se debe aclarar que el cumplimiento de este Consejo para la

Práctica es opcional, ya que esta guía no pretende representar todos los
procedimientos necesarios para las evaluaciones, sino ser simplemente un
conjunto de prácticas recomendadas.

El director ejecutivo de auditoría (DEA) debe desarrollar y mantener un Programa

de Aseguramiento y Mejora de la Calidad (PAMC), el cual debe incluir tanto las
evaluaciones internas continuas como las periódicas.

Cabe resaltar que evaluación interna es sinónimo de los términos “revisión interna”
y “autoevaluación” y estas deben incluir:

 Revisiones continuas del desempeño de la actividad de auditoria

interna

Incorporadas a las políticas y procedimientos rutinarios utilizados para gestionar

la actividad de auditoria interna y deben ser realizados por medio de procesos y
herramientas tales como:

 Presupuestos de proyecto, sistemas de control de tiempos, concreción del

plan de auditoria, recuperación de costos, y
 Analisis de otras mediciones de desempeño.

Con estas herramientas se tendrían que tomar acciones para que se implementen
las mejoras apropiadas y necesarias, para luego sacar conclusiones y verificar la
calidad del desempeño continuo.

Pero no solo existen las revisiones continuas, existen otras llamadas:

 Revisiones periódicas mediante autoevaluación o mediante otras

personas dentro de la organización, con conocimiento de las practicas
de auditoria interna y de las Normas.
Generalmente estas revisiones tienen uno o varios propósitos especiales y
pruebas de cumplimiento, evaluaran no solo el cumplimiento del Estatuto de la
actividad de auditoria interna, sino también para las Normas Internacionales para
el ejercicio Profesional de la Auditoria Interna, y el Código de Ética.

Anteriormente mencionamos que las evaluaciones continuas contaban con

procesos y herramientas, las evaluaciones periódicas pueden:

 Incluir entrevistas y encuestas más profundas a los grupos de partes

interesadas.
 Ser realizadas por Auditores Internos Certificados u otros profesionales
competentes de auditoria que estén asignados a cualquier otra parte de la
organización.
 El benchmarking consiste en tomar "comparadores" a aquellos productos,
servicios y procesos de trabajo que pertenezcan a organizaciones que
evidencien las mejores prácticas sobre el área de interés, con el propósito
de transferir el conocimiento de las mejores prácticas y su aplicación.

Una ventaja elocuente es que realizar una evaluación interna periódica, realizada
en un tiempo cercano anterior a una evaluación externa, puede facilitar y reducir el
costo de la evaluación externa.

El Director Ejecutivo de Auditoria debe establecer una estructura para informar los
resultados de las revisiones periódicas que mantenga la credibilidad y objetividad
apropiadas, tiene la obligación de compartir los resultados de las evaluaciones
internas, los plantes de acción y su implantación a la Alta Dirección, El Consejo y
los auditores externos.
 CONSEJO PARA LA PRÁCTICA 1312-1

EVALUACIONES EXTERNAS

Este consejo deberá ser tomando en cuenta cuando los auditores internos
planifican y contratan la realización de una evaluación externa de su actividad de
auditoria interna, mismas que deben realizarse al menos una vez cada cinco años
por un revisor o equipo de revisión cualificado e independiente, a como su nombre
lo indica “externo”, fuera de la organización.

Este equipo debe estar formado por personas competentes en la práctica

profesional de la auditoria interna y en el proceso de evaluación externa, ellos
deben evaluar y expresar una opinión respecto del cumplimiento de las NIEPAI por
parte de la actividad de auditoria interna y, si resulta apropiado, debe incluir
recomendaciones de mejora.

Para que esto se lleve a cabo la persona u organización que realiza la evaluación
externa debe cumplir con un requisito más que indispensable llamado
“INDEPENDENCIA”, entiéndase encontrarse libres de obligaciones o intereses
respecto de la organización cuya actividad de auditoria interna está siendo sujeta
a una evaluación externa, o de su personal.

Las personas que están en una organización relacionada no son consideradas

independientes a los fines de realizar una evaluación externa, ya que una
organización relacionada puede ser la casa matriz, una afiliada del mismo grupo
de entidades.

Se requiere que el equipo de revisión sea honesto y franco dentro de los limitis de
la confidencialidad, asimismo deben ser imparciales e intelectualmente honestos
y estar libres de conflicto de intereses.

Las personas que se desempeñan como asesores externos deberían:

 Ser auditores profesionales certificados competentes.

 Lides de equipos de evaluación externa
  Tener al menos tres años de experiencia
 Incluir miembros con experiencias en tecnología informática y en el sector
económico pertinente.

El director ejecutivo de auditoria debe hacer que la alta dirección y el Consejo

participen en el proceso de selección de un revisor interno.

Las evaluaciones deben de cumplir con una cobertura amplia que incluya los
siguientes:

 Cumplimiento del Codigo de Etica

 Expectativas expresadas por el Consejo, la gerencia ejecutiva.
 Las herramientas y técnicas empleadas por la actividad de auditoria interna.
 Determinar si la actividad de auditoria agrega valor y mejora las
operaciones de la organización.

Los resultados preliminares serán comunicados al DEA, durante el proceso de

evaluación y al concluir el mismo.

La comunicación final es en base al proceso estructurado de calificación, ya que

puede que diga “Cumplimiento”, significando que las prácticas de auditoria
tomadas como un todo, satisfacen los requerimientos de las Normas.

De igual forma si dice “Falta de Cumplimiento” significa todo lo contrario, ya que el

impacto y la gravedad de las deficiencias son tan significativas que menoscaban la
capacidad de la actividad de auditoria interna para cumplir con sus
responsabilidades.

En casos muy especiales habrá un grado de “Cumplimiento parcial” con ciertas

normas, deberá expresarse en el informe sobre la evaluación independiente, ya
que este si es relevante para la opinión general.

Como todo resultado estos pasaran a ser comunicados a la Alta Direccion y del
Consejo en caso de que estos no hubieran recibido copia directamente

CONSEJO PARA LA PRÁCTICA 1312-2

 EVALUACIONES EXTERNAS: AUTOEVALUACIÓN CON VALIDACIÓN
INDEPENDIENTE

Se aplicaran los mismos requerimientos y criterios establecidos por el Consejo

para la Práctica 1312-1, ya que una evaluación externa realizada por una persona
o equipo independientes pueda resultar onerosa para actividades de auditoria
interna de pequeño tamaño, el Instituto de Auditores Internos ha establecido un
proceso alternativo denominado “autoevaluación con validación independiente”,
que tiene las características siguientes:

 Un proceso amplio y totalmente documentado, que debe emular el proceso

de evaluación externa, al menos con respecto a la evaluación de
cumplimiento de las Normas.
 Una validación independiente realizada en la localización por un revisor
cualificado.
 Requerimientos económicos de tiempo y recursos.

Se documentara totalmente el proceso de autoevaluación. El Manual de

Evaluación de Calidad publicado por el IIA contiene una reseña del proceso,
incluyendo guías y herramientas para la autoevaluación. Deberá prepararse un
borrador de informe, similar al de una evaluación externa.

Un validador independiente y cualificado debe desempeñar pruebas limitadas de

la autoevaluación con el fin de validar los resultados y expresar una opinión sobre
el nivel indicado de cumplimiento de las Normas que tenga la actividad.

La validación independiente, incluirá una revisión rigurosa de la evaluación

realizada por el equipo de autoevaluación respecto del cumplimiento de las
Normas y el Código de Ética:

 Si hubiese un tema no resuelto, el validador independiente debe revisar el

borrador de informe y tratar de reconciliar los mismos.
 En caso alguno no estuviera de acuerdo con la evaluación, el validador
independiente debe agregar en el informe su desacuerdo, especificando
 cuales son los puntos del informe con los que no está de acuerdo y, en la
medida que considere apropiado, con las observaciones, conclusiones y
recomendaciones significativas del informe.
 El informe debe finalmente estar firmados por el equipo de autoevaluación y
por el validador independiente y emitidos por el DEA para la alta dirección y
el Consejo.

La actividad de auditoria interna debe considerar a la autoevaluación con

validación independiente como una medida interina y esforzarse por realizar una
evaluación externa completa en los periodos siguientes.

CONSEJO PARA LA PRÁCTICA 1320-1

REPORTE SOBRE EL PROGRAMA DE CALIDAD

Al finalizar una evaluación externa, el equipo de revisión debe emitir un informe

formal que contenga una opinión sobre el cumplimiento de las Normas por parte
de la actividad de auditoria interna.

Como mencionamos anteriormente, el informe debe ser remitido a la persona u

organización que solicito la evaluación. El director ejecutivo de auditoria debe
preparar un plan de acción por escrito en respuesta a los comentarios y
recomendaciones significativos contenidos en el informe de la evaluación externa,
y será el responsable de realizar el seguimiento adecuado del mismo.

Habrán criterios adicionales que se deben considerar para el desempeño de

actividad de auditoria interna, es por el que el Equipo de Revisión debe reconocer
las Normas de modo de poder evaluar y opinar sobre el cumplimiento por parte de
la actividad de auditoria interna.

CONSEJO PARA LA PRÁCTICA 1330-1

 UTILIZACIÓN DE “REALIZADO DE ACUERDO CON LAS NORMAS”

Como hablamos anteriormente que estas revisiones deben hacerse por lo menos
una vez cada cinco años, la frase que dé cumplimiento a utilizar puede ser:

“Cumpliendo con las Normas”, o “de conformidad con las Normas”, o “De acuerdo
con las normas”.

El uso de estas no será apropiado hasta que una revisión externa, realizada
dentro de los cinco años anteriores, haya demostrado que la actividad de auditoria
interna cumple con las Normas y el Código de Ética, ya que en los casos de falta
de cumplimiento que impacten en el alcance u operación general de la actividad
de auditoria interna, incluyendo los casos en que no se hayan obtenido una
evaluación externa antes del 1 de enero de 2007, deben declararse a la alta
Dirección y al Consejo.

Esta frase por muy simple que parezca, si hay una falta de cumplimiento por una
evaluación de calidad:

 Deberá ser adecuadamente solucionada.

 Las acciones llevadas a cabo deben ser documentadas e informadas al
evaluador con el fin de obtener su acuerdo respecto de que la falta de
cumplimiento ha sido adecuadamente solucionada, y
 Las acciones llevadas a cabo y el acuerdo del evaluador o evaluadores
relevantes deben ser informados a la alta dirección y al Consejo.
 CONSEJO PARA LA PRÁCTICA 2000-1

ADMINISTRACIÓN DE LA ACTIVIDAD DE AUDITORIA INTERNA

Relacionado con la Norma 2000, el director ejecutivo de auditoria es responsable

de administrar adecuadamente la actividad de auditoria interna, de forma que:

 El trabajado de auditoria cumpla los propósitos generales y

responsabilidades descriptas en el Estatuto, aprobadas por el Consejo de
Administración, y la Alta Dirección si fuera apropiado.
 Los recursos de la actividad de auditoria interna sean empleados con
eficiencia y eficacia, y que el trabajo cumpla con las Normas Internacionales
para el Ejercicio Profesional de la Auditoria Interna.

CONSEJO PARA LA PRÁCTICA 2010-1

PLANIFICACIÓN

En este consejo los riesgos serán los prioritarios, ya que determinan las
actividades de auditoria interna.

Para hablar un poco más acerca de este tema, la planificación debe ser coherente
con su Estatuto y con las metas de la organización. Como ya sabemos el proceso
de planificación implica el establecimiento de:

 Metas
 Programas de trabajo
 Planes de personal
 Informes de actividad

Hablaremos un poco de cada tema, empezando por las metas, mismas que se
deben llevar a cabo dentro de los planes operativos y presupuestos especificados
y, en lo posible, deber ser susceptibles de medición. Algo que debe ser importante
es la fecha estimada de realización.
Los programas deberán incluir las actividades que serán desempeñadas y cuando
serán realizadas así como un factor muy importante llamado tiempo, teniendo en
cuenta el alcance del trabajo planificado y la naturaleza y extensión del trabajo
realizado por otros.

Para hacer esto, se deben tomar en cuenta los siguientes aspectos:

 Fechas y resultados del último trabajo.

 Evaluaciones actualizadas de riesgos, y eficacia de la gestión de los
mismos, así como los procesos de Control.
 Solicitudes del Consejo de Administración y la alta dirección.
 Cambios y capacidades del personal de auditoria.

CONSEJO PARA LA PRACTICA 2010-2

ENLACE DEL PLAN DE AUDITORIA CON LOS RIESGOS Y EXPOSICIONES

Toda organización enfrenta una seria de incertidumbres y riesgos que puedan

afectarla positiva o negativa. Los riesgos son manejados de diversas maneras y
los controles son un método habitual para reducir el impacto negativo potencial de
riesgo y la incertidumbre.

El plan de trabajo deberá diseñarse en base a una evaluación de riesgos y

exposiciones que puedan afectar a la organización. Lo principal será en
proporcionar a la dirección la información que pueda mitigar las consecuencias
negativas.

El universo de auditoria puede incluir componentes del plan estratégico de la

organización. Al incorporar estos componentes, el universo de auditoria
considerara y reflejara los objetivos del plan general de negocios. Los planes
estratégicos probablemente también reflejaran la actitud de la organización hacia
el riesgo y el grado de dificultad para cumplir con los objetivos planificados.
Se recomienda evaluar el universo de auditoria al menos una vez al año, con el fin
que refleje las estrategias y dirección más actualizadas de la organización. En
algunas situaciones, los planes de auditoria pueden tener que actualizarse
frecuentemente, en respuesta al ambiente de actividades de gestión de la
organización.

Se deben establecer prioridades para tomar decisiones al asignar los recursos

relativos, basados únicamente en la significatividad del riesgo y la exposición. La
mayoría de modelos de riesgo utilizan factores de riesgo para establecer la
prioridad de los trabajos, tales como: Impacto financiero, liquidez de activos,
competencia de la gerencia.

Habrá algo importante en esto, la información y la comunicación a la dirección

para transmitir las conclusiones de gestión de riesgos y recomendaciones para
reducir las exposiciones.

CONSEJO PARA LA PRACTICA 2020-1

COMUNICACIÓN Y APROBACIÓN

Anualmente el director ejecutivo de auditoria debe presentar al Consejo de

Administración un resumen de la programación de trabajos para su aprobación, y
en caso fuera necesario a la alta dirección. El mismo deberá incluir el plan de
personal y del presupuesto financiero de la actividad de auditoria interna. Si
hubiese cambios se deben presentar para su aprobación e información. La
programación de trabajos, el plan de personal y el presupuesto financiero, debe
informar a la alta dirección el alcance y cualquier limitación puesta sobre la misma.

Todo esto debe contener la información suficiente para permitir que el Consejo
determine si los objetivos y planes de la actividad de auditoria interna apoyan a los
de la organización y el Consejo.

CONSEJO PARA LA PRACTICA 2030-1

 ADMINISTRACIÓN DE RECURSOS

Se debe asegurar que los recursos sean adecuados, suficientes y efectivamente

asignados para cumplir con el plan aprobado.

El recurso humano debe ser determinado partiendo de la planificación de trabajos,

de las actividades administrativas, de las exigencias de formación y preparación.

El director de auditoria debe establecer un programa para la selección y el

desarrollo de los recursos humanos de la actividad de auditoria interna.

El programa debe contemplar la descripción escrita de los puestos de trabajo, para

cada nivel del personal de auditoria. La capacitación, y proporcionar oportunidades
de educación continua para cada auditor interno. Establecer objetivos anuales de
desempeño para los auditores internos.

El director de auditoria debe considerar la utilización de personal a partir de

acuerdos de externalización conjunta, otros consultores o empleados de otros
departamentos de la compañía, para proporcionar habilidades especializadas,
cuando sea necesario.