libro rojo auditoria corregido 28032011

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA

AUDITORÍA INTERNA (LAS NORMAS)

• DefinicióndeAuditoríaInterna• CódigodeÉtica• NormasInternacionales• ConsejosParalaPráctica

InstitutodeAuditorí[email protected]

Teléfonos.2517-9777ó2279-4977www.theiia.org

CapituloElSalvador

EstelibroesuncompendiodelosestándaresinternacionalesparalaprácticadelaAuditoríaInternaencualquierlugardelmundo,esunaguíaparaayudaralasorganizacionescomodebeentenderseyaplicarselasnormasyquenoseaunjuiciodiscrecional,sinounavisiónmundialdecómoejercerlaprofesión.

Imprime:InstitutodeAuditoresInternosdeElSalvador

EdiciónyReproducción:ImprentaRicaldone

©Copyright(2011)TheprofessionalpracticesframeworkbyTheInstituteofInternalAuditors,Inc247MaitlandAvenue,Alta-monteSprings,Florida32701-4201USAReprintedwithpermission.

Todoslosderechosreservados

INSTITUTODEAUDITORIAINTERNADEELSALVADOR

MIEMBROSDEJUNTADIRECTIVA2009-2011

MaríaMaritzaVillanuevadeIglesiasPRESIDENTE

MailiHanielMedranoLópezVICEPRESIDENTEDEADMINISTRACIONYNEGOCIOS

GermanMauricioChávezVICEPRESIDENTEDEFORMACIONYCERTIFICACIONES

FranciscoOrlandoHenríquezÁlvarezTESORERO

AnaMilitzaFloresSECRETARIA

5

INTRODUCCION

ElInstitutodeAuditoríaInternadeElSalvador,comopartedelagranfamiliadeAuditoresInternosInternacionales,autorizadoporTheInstituteofInternalAuditorsapartirdel13deJulio2008,conelfindeproporcio-nar unabaseque facilite la interpretación y aplicaciónde conceptos,metodologíaytécnicasfundamentalesparalaprofesión,sepublicaestelibroqueconsideraaspectosrelevantesparaelenfoqueenlaprácticaactualdelaAuditoríaInternayconsiderandounmundoglobalizadoyenconstantedesarrollo,sepretendeayudaralosprofesionalesasatisfacernecesidadesdeunmercadoquedemandaserviciosdeAuditoríaInternadealtacalidad.ElLibroRojoconstadetrespartesfundamentales:

√ CódigodeÉtica√ NormasdeAuditoríaInterna√ ConsejosparalaPráctica

CódigodeÉtica:SuobjetivoprincipalespromoverunaculturadeéticaenlaProfesióndeAuditoríaInterna,basándoseenlaconfianzayasegurandoelbuendesempeñodelagestiónderiesgos,controlygobiernodelasdiferentesentidadesdondesedestacanlosprofesionalesenAuditoríaInterna.LasNormasInternacionalesparaelEjercicioProfesionaldelaAuditoríaInternaseconstituyenprincipalmentesobre:Atributos,desempeñoeIm-plantación;conelpropósitodedefinirprincipiosbásicosquerepresentenelejerciciodelaauditoríainternatalcomodebeser,proporcionandounmarcoparaejercerypromoverunampliorangodeactividadesdeAudi-toríaInternaqueaportenvaloralasdiferentesentidadesdondeejercenestableciendoparámetrosparaevaluareldesempeñodelosauditoresinternos,fomentandolamejoraenlosdiferentesprocesosdeoperacióndentrodelascompañías.Consejospara lapráctica:Representan lineamientos respaldadosporel InstitutoGlobal para la implementación de las normas, asímismoayudanasuaplicaciónenentornosespecíficosdeAuditoríaInterna.LosconsejosestándiseñadosparalamayoríadeAuditoresInternosotrosestándesarrolladosparasatisfacernecesidadesdesectoresespecíficosydeterminadasespecialidadesdeAuditoríaInterna.

�

CONTENIDO

Definición, Objetivos y Código de ÉticaDefinicióndeAuditoríaInterna........................................................ 9CódigodeÉtica................................................................................ 13Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna Introducción...................................................................................... 21NormassobreAtributos.................................................................... 24Normassobredesempeño............................................................... 34Glosario............................................................................................ 48

Consejos para la Práctica

1000-1EstatutodeAuditoríaInterna.......................................................... 551110-1IndependenciadentrodelaOrganización........................................ 571111-1InteracciónconelConsejodeAdministración.................................. 591120-1ObjetividadIndividual....................................................................... 601130-1ImpedimentosalaIndependenciauObjetividad............................. 621200-1AptitudyCuidadoProfesional......................................................... 681210-1Aptitud.............................................................................................. 691220-1CuidadoProfesional........................................................................ 761230-1DesarrolloProfesionalContinuo....................................................... 77

7

1300-1ProgramadeAseguramientoyMejoradelaCalidad....................... 791310-1RequisitosdelProgramadeAseguramientoyMejoradelaCalidad..................................................................................... 811311-1EvaluacionesInternas...................................................................... 831312-1EvaluacionesExternas..................................................................... 861312-2EvaluacionesExternasAutoevaluaciónconvalidaciónIndependiente................................................................................... 921321-1Utilizaciónde“CumpleconlasNormasInternacionalesparaElEjercicioProfesionaldelaAuditoríaInterna................................. 962010-1Enlacedelplandeauditoríaconlosriesgosyexposiciones........... 982020-1ComunicaciónyAprobación.............................................................1002030-1AdministracióndeRecurso...............................................................1012040-1PolíticasyProcedimientos...............................................................1042050-1Coordinación....................................................................................1052060-1InformealaAltaDirecciónyalConsejo...........................................1082120-1EvaluarlaAdecuacióndelosProcesosdeGestióndeRiesgos......1102130-1EvaluarlaAdecuacióndelosProcesosdeGestióndeControl.......1142200-1PlanificacióndelTrabajo...................................................................122

8

2210-1ObjetivosdelTrabajodelTrabajo.....................................................1242230-1AsignacióndeRecursosparaElTrabajo.........................................1272240-1ProgramadeTrabajo........................................................................1282330-1DocumentacióndelaInformación....................................................1292340-1SupervisióndelTrabajo....................................................................1332410-1CriteriosparalaComunicación........................................................1362420-1CalidaddelasComunicaciones.......................................................1402440-1DifusióndeResultados....................................................................1422500-1SeguimientodelProceso..................................................................144

Definición de Auditoría Interna

11

LaAuditoría Interna es una actividad independientey objetiva de aseguramiento y consulta, concebidaparaagregarvalorymejorar lasoperacionesdeunaorganización.Ayuda a una organización a cumplirsus objetivos aportando un enfoque sistemático ydisciplinadoparaevaluarymejorar laeficaciade losprocesosdegestiónderiesgos,controlygobierno.

Código de ética

15CódigodeÉtica

CÓDIGO DE ÉTICA

INTRODUCCIÓN

ElpropósitodelCódigodeÉticadel Institutoespromoverunaculturaéticaenlaprofesióndeauditoríainterna.LaAuditoría interna es una actividad independiente y objetiva deaseguramientoyconsulta,concebidaparaagregarvalorymejorarlasoperacionesdeunaorganización.Ayudaaunaorganizaciónacumplirsusobjetivosaportandounenfoquesistemáticoydisciplinadoparaevaluarymejorar laeficaciade losprocesosdegestiónde riesgos,controlygobierno.Esnecesarioyapropiadocontarconuncódigodeéticaparalaprofesióndeauditoríainterna,yaqueéstasebasaenlaconfianzaqueseimparteasuaseguramientoobjetivosobrelagestiónderiesgos,controlydirección.ElCódigodeÉticadelInstitutoabarcamuchomásqueladefinicióndeauditoríainterna,llegandoaincluirdoscomponentesesenciales:

1.Principiosque son relevantespara la profesión yprácticade laauditoríainterna.

2.ReglasdeConductaquedescribenlasnormasdecomportamientoqueseesperaseanobservadasporlosauditoresinternos.Estas reglas son una ayuda para interpretar losPrincipiosenaplicacionesprácticas.Suintenciónesguiarlaconductaéticadelosauditoresinternos.ElCódigodeÉticajuntoalMarco internacional para la Práctica Profesional y otrospronunciamientosemitidosporelInstituto,proveenorientaciónalosauditoresinternosparaserviralosdemás.Lamenciónalos“auditoresinternos”serefierealossociosdelInstituto,aquieneshanrecibidoosoncandidatosarecibircertificacionesprofesionalesdelInstituto,yaaquellosqueproveenserviciosdeauditoríainterna.

APLICACIÓN Y CUMPLIMIENTO

EsteCódigodeÉticaseaplicatantoalosindividuoscomoalasentidadesqueproveenserviciosdeauditoríainterna.

16 CódigodeÉtica

EnelcasodelossociosdelInstitutoydeaquellosquehanrecibidoosoncandidatosarecibircertificacionesprofesionalesdelInstituto,elincumplimientodelCódigodeÉticaseráevaluadoyadministradodeconformidadconlosEstatutosyReglamentosAdministrativosdelInstituto.ElhechodequeunaconductaparticularnosehallecontenidaenlasReglasdeConductanoimpidequeéstaseaconsideradainaceptableocomoundescrédito,yenconsecuencia,puedehacerquesesometaaaccióndisciplinariaalsocio,poseedordeunacertificaciónocandidatoalamisma.

PRINCIPIOS Seesperaquelosauditoresinternosapliquenycumplanlossiguientesprincipios:

1. Integridad La integridad de los auditores internos establece confianza y,consiguientemente,proveelabaseparaconfiarensujuicio.

2. ObjetividadLosauditoresinternosexhibenelmásaltoniveldeobjetividadprofesionalalreunir,evaluarycomunicarinformaciónsobrelaactividadoprocesoaserexaminado.Losauditoresinternoshacenunaevaluación

3. ConfidencialidadLosauditoresinternosrespetanelvalorylapropiedaddelainformaciónquerecibenynodivulganinformaciónsinladebidaautorizaciónamenosqueexistaunaobligaciónlegaloprofesionalparahacerlo.

4. CompetenciaLosauditoresinternosaplicanelconocimiento,aptitudesyexperiencianecesariosaldesempeñarlosserviciosdeauditoríainterna.

REGLAS DE CONDUCTA

1. IntegridadLosauditoresinternos:1.1.Desempeñarán su trabajo con honestidad, diligencia y res-

ponsabilidad.

17CódigodeÉtica

1.2.Respetaránlasleyesydivulgaránloquecorrespondadeacuerdoconlaleyylaprofesión.

1.3.Noparticiparánasabiendasenunaactividadilegalodeactosquevayanendetrimentode la profesióndeauditoría internaode laorganización.

1.4.Respetaránycontribuirána losobjetivos legítimosyéticosde laorganización.

2. ObjetividadLosauditoresinternos:2.1.Noparticiparánenningunaactividadorelaciónquepuedaperjudicar

o aparenteperjudicar suevaluación imparcial.Esta participaciónincluye aquellas actividades o relaciones que puedan estar enconflictoconlosinteresesdelaorganización.

2.2.Noaceptaránnadaquepuedaperjudicaroaparenteperjudicarsujuicioprofesional.

2.3.Divulgarántodosloshechosmaterialesqueconozcanyque,denoserdivulgados,pudierandistorcionarelinformedelasactividadessometidasarevisión.

3. ConfidencialidadLosauditoresinternos:3.1.Seránprudentesenelusoyproteccióndelainformaciónadquirida

eneltranscursodesutrabajo.3.2.Noutilizaráninformaciónparalucropersonaloquedealgunamanera

fueracontrariaalaleyoendetrimentodelosobjetivoslegítimosyéticasdelaorganización.

4. CompetenciaLosauditoresinternos:4.1.Participaránsóloenaquellosserviciosparaloscualestenganlos

suficientesconocimientos,aptitudesyexperiencia.4.2.Desempeñarántodoslosserviciosdeauditoríainternadeacuerdo

conlasNormasparalaPrácticaprofesionaldeAuditoríaInterna.4.3.Mejoraráncontinuamentesushabilidadesylaefectividadycalidad

desusservicios.

Normas Internacionales para el Ejercicio Profesionalde la Auditoría Interna

21NormasInternacionales

Introducción

Los trabajos que lleva a cabo auditoría interna son realizados enambienteslegalesyculturalesdiversos,dentrodeorganizacionesquevaríansegúnsuspropósitos, tamañoyestructura,yporpersonasdedentroofueradelaorganización.Sibienestasdiferenciaspuedenafectarlaprácticadelaauditoríainternaencadaambiente,elcumplimientodelasNormas Internacionales para el Ejercicio Profesional de la Auditoría Interna es esencial para el ejercicio de las responsabilidades de losauditoresinternos.EnelcasodequelosauditoresinternosnopuedancumplirconciertaspartesdelasNormasporimpedimentoslegalesoderegulaciones,deberáncumplircontodaslasdemáspartesyefectuarlacorrespondientedeclaración.SilosauditoresinternosutilizanestasNormasjuntoconnormasemitidaspor otros organismosde regulación, podránmencionar el usode lasotrasnormasensuscomunicadosdeauditoría,cuandoseaapropiado.Si hubiera inconsistencia entre estasNormas y las normasemitidasporotrosorganismos,losauditoresinternosdeberáncumplirconestasNormasypodrántambiéncumplircon lasotrasencasodequeseanmásrestrictivas.Elpropósitodelas Normases:

1.Definir principios básicos que representen el ejercicio de laauditoríainternatalcomoestedeberíaser.

2. Proporcionarunmarcoparaejercerypromoverunampliorangodeactividadesdeauditoríainternadevalorañadido.

3.Establecerlasbasesparaevaluareldesempeñodelaauditoríainterna.

4. Fomentar la mejora de los procesos y operaciones de laorganización.

LasNormas son requisitos enfocados a principios, de cumplimientoobligatorio,queconsistenen:

• Declaraciones de requisitos básicos para el ejercicio de laauditoríainternayparaevaluarlaeficaciadesudesempeño,deaplicacióninternacionalaniveldelaspersonasyaniveldelasorganizaciones.

22 NormasInternacionales

• InterpretacionesqueaclarantérminosoconceptosdentrodelasDeclaraciones.

EnlasNormasseempleantérminosalosquesehandadodeterminadossignificados que están definidos en elGlosario.Por ejemplo, en lasNormasseutilizalapalabra“debe”paraindicarunrequisitoincondicional,ylapalabra“debería”enloscasosenqueseesperasucumplimientocuandoseaplicael juicioprofesional,amenosquelascircunstanciasjustifiquenundesvío.Es necesario tener en cuenta tanto las Declaraciones como susInterpretaciones,ylossignificadosespecíficosindicadosenelGlosario,paraentenderyaplicarcorrectamentelasNormas.LaestructuradelasNormasestáformadaporlasNormassobreAtributos,lasNormassobreDesempeñoylasNormasdeImplantación.LasNormassobreAtributos tratan las características de las organizaciones y laspersonasqueprestanserviciosdeauditoríainterna.LasNormassobreDesempeñodescribenlanaturalezadelosserviciosdeauditoría internayproporcionancriteriosdecalidadcon loscualespuedeevaluarseeldesempeñodeestosservicios.LasNormassobreAtributosysobreDesempeñoseaplicanatodoslosserviciosdeauditoríainterna.LasNormasdeImplantaciónamplíanlasNormassobreAtributosyDesempeño,proporcionandolosrequisitosaplicablesalasactividadesdeaseguramiento(A)yconsultoría(C).Los servicios de aseguramiento comprenden la tarea de evaluaciónobjetivade lasevidencias, efectuadapor los auditores internos, paraexpresar una opinión o conclusión independiente respecto de unaentidad,operación,función,proceso,sistemauotroasunto.Lanaturalezayel alcancedel trabajodeaseguramientoestándeterminadosporelauditor interno.Por lo general existen trespartesen los serviciosdeaseguramiento: (1) la personao grupo directamente implicado en laentidad,operación,función,proceso,sistemauotroasunto,esdecireldueñodelproceso,(2)lapersonaogrupoquerealizalaevaluación,esdecirelauditorinterno,y(3)lapersonaogrupoqueutilizalaevaluación,esdecirelusuario.Los servicios de consultoría son por naturaleza consejos, y sondesempeñados,porlogeneral,apedidodeuncliente.Lanaturalezayelalcancedeltrabajodeconsultoríaestánsujetosalacuerdoefectuadocon


elcliente.Porlogeneralexistendospartesenlosserviciosdeconsultoría:(1)lapersonaogrupoqueofreceelconsejo,esdecirelauditorinterno,y(2)lapersonaogrupoquebuscayrecibeelconsejo,esdecirelclientedel trabajo.Cuando desempeña servicios de consultoría, el auditorinternodebemantenerlaobjetividadynoasumirresponsabilidadesdegestión.La elaboración y revisión de lasNormas es un proceso continuo.ElConsejodeNormasdeAuditoríaInternarealizaunextensoprocesodeconsultaydebateantesdeemitirlasNormas.Estoincluyelasolicituddecomentariosentodoelmundomedianteelprocesodeborradordeexposición.TodoslosborradoresdeexposiciónsoncolocadosenlapáginawebdelInstitutodeAuditoresInternosademásdeserdistribuidosatodoslosInstitutoslocales.LassugerenciasycomentariossobrelasNormaspuedenenviarsea:

TheInstituteofInternalAuditorsStandardsandGuidance

247MaitlandAve.AltamonteSprings,Florida32701-USA

E-mail:[email protected]:http//www.theiia.org


NORMAS SOBRE ATRIBUTOS

1000 – Propósito, Autoridad y responsabilidad Elpropósito,laautoridadylaresponsabilidaddelaactividaddeauditoríainternadebenestarformalmentedefinidosenunestatuto,deconformidadconladefinicióndeauditoríainterna,elCódigodeÉticaylasNormas.ElDirectorEjecutivodeauditoríadeberevisarperiódicamenteelestatutodeauditoríainternaypresentarloalaaltadirecciónyalConsejoparasuaprobación.

Interpretación:

El estatuto de auditoría interna es un documento formal que define el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de auditoría interna establece la posición de la actividad de auditoría interna dentro de la organización, incluyendo la naturaleza de la relación funcional del Director Ejecutivo de auditoría con el Consejo; autoriza su acceso a los registros, al personal y a los bienes relevantes para el desempeño de los trabajos; y define el alcance de las actividades de auditoría interna. La aprobación final del estatuto de auditoría interna corresponde al Consejo.

1000.A1 –Lanaturalezadelosserviciosdeaseguramientoproporcionadosalaorganizacióndebeestardefinidaenelestatutodeauditoríainterna.Silosserviciosdeaseguramientofueranproporcionadosatercerosajenosalaorganización,lanaturalezadeesosserviciostambiéndeberáestardefinidaenelestatutodeauditoríainterna.

1000.C1 –Lanaturalezadelosserviciosdeconsultoríadebeestardefinidaenelestatutodeauditoríainterna.

1010 Reconocimiento de la definición de auditoría interna, el Código de Ética y las Normas en el estatuto de auditoría interna

Lanaturalezaobligatoriadeladefinicióndeauditoríainterna,elCódigodeÉticaylasNormasdebeestarreconocidaenelestatutodeauditoríainterna.ElDirectorEjecutivodeauditoríadeberíatratarladefinicióndeauditoríainterna,elCódigodeÉticaylasNormas conlaaltadirecciónyelConsejo.


1100 Independencia y objetividad

Laactividaddeauditoríainternadebeserindependiente,ylosauditoresinternosdebenserobjetivosenelcumplimientodesutrabajo.

Interpretación:

La independencia es la libertad de condicionamientos que amenazan la capacidad de la actividad de auditoría interna de llevar a cabo las responsabilidades de la actividad de auditoría interna de forma neutral. Con el fin de lograr el grado de independencia necesario para cumplir eficazmente las responsabilidades de la actividad de auditoría interna, el Director Ejecutivo de auditoría debe tener acceso directo e irrestricto a la alta dirección y al Consejo. Esto puede lograrse mediante una relación de doble dependencia. Las amenazas a la independencia deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.

La objetividad es una actitud mental neutral que permite a los auditores internos desempeñar su trabajo con honesta confianza en el producto de su labor y sin comprometer su calidad. La objetividad requiere que los auditores internos no subordinen su juicio sobre asuntos de auditoría a otras personas. Las amenazas a la objetividad deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.

1110 Independencia dentro de la organización ElDirectorEjecutivodeauditoríadeberesponderanteunniveljerárquicotaldentrodelaorganizaciónquepermitaalaactividaddeauditoríainternacumplirconsusresponsabilidades.ElDirectorEjecutivodeauditoríadeberatificaranteelConsejo,almenosanualmente,laindependenciaquetienelaactividaddeauditoríainternadentrodelaorganización.

Interpretación: La Independencia dentro de la organización se alcanza de forma efectiva cuando el Director Ejecutivo de auditoría depende funcionalmente del Consejo. Algunos ejemplos de dependencia funcional del Consejo implican que este:


• Apruebe el estatuto de auditoría interna; • Apruebe el plan de auditoría basado en riesgos; • Reciba comunicaciones periódicas del Director Ejecutivo de

auditoría sobre el desarrollo del plan de auditoría interna y otros asuntos;

• Apruebe las decisiones referentes al nombramiento y cese del Director Ejecutivo de auditoría; y

• Formule las preguntas adecuadas a la dirección y al Director Ejecutivo de auditoría para determinar si existen alcances inadecuados o limitaciones de recursos.

1110.A1Laactividaddeauditoríainternadebeestarlibredeinjerenciasaldeterminarelalcancedeauditoríainterna,aldesempeñarsutrabajoyalcomunicarsusresultados.

1111 Interacción directa con el Consejo El Director Ejecutivo de auditoría debe comunicarse e interactuardirectamenteconelConsejodeAdministración.

1120 Objetividad individual Losauditoresinternosdebentenerunaactitudimparcialyneutral,yevitarcualquierconflictodeintereses.

Interpretación: El conflicto de intereses es una situación en la cual un auditor interno, que ocupa un puesto de confianza, tiene un interés personal o profesional en competencia con otros intereses. Tales intereses en competencia pueden hacerle difícil el cumplimiento imparcial de sus tareas. Puede existir un conflicto de intereses aún cuando no se produzcan actos inadecuados o no éticos. Un conflicto de intereses puede crear una apariencia de deshonestidad que puede socavar la confianza en el auditor interno, la actividad de auditoría interna y la profesión. Un conflicto de intereses podría menoscabar la capacidad de un individuo de desempeñar sus tareas y responsabilidades con objetividad.


1130 Impedimentos a la independencia u objetividad Silaindependenciauobjetividadseviesecomprometidadehechooenapariencia, losdetallesdel impedimentodebendarseaconocera laspartescorrespondientes.Lanaturalezadeestacomunicacióndependerádelimpedimento.

Interpretación: El impedimento o menoscabo a la independencia de la organización y a la objetividad individual puede incluir, entre otros, a los conflictos de intereses, limitaciones al alcance, restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos tales como el financiero. La determinación de las partes apropiadas a quienes deben exponerse los detalles de un impedimento a la independencia u objetividad depende de la expectativas sobre las responsabilidades de la actividad de auditoría interna y del Director Ejecutivo de auditoría ante la alta dirección y el Consejo según se describe en el estatuto de auditoría interna, así como de la naturaleza del impedimento.

1130.A1 Los auditores internos deben abstenerse de evaluaroperacionesespecíficasde lascualeshayansidopreviamenteresponsables.Sepresumequehayimpedimentodeobjetividadsiunauditorinternoproporcionaserviciosdeaseguramientoparaunaactividaddelacualelmismohayatenidoresponsabilidadesenelañoinmediatoanterior.

1130.A2Lostrabajosdeaseguramientoparafuncionespor lascualeselDirectorEjecutivodeauditoríatieneresponsabilidadesdeben ser supervisadas por alguien fuera de la actividad deauditoríainterna.

1130.C1Losauditoresinternospuedenproporcionarserviciosdeconsultoríarelacionadosaoperacionesdelascualeshayansidopreviamenteresponsables.

1130.C2 Si los auditores internos tuvieran impedimentospotencialesalaindependenciauobjetividadrelacionadosconlaproposicióndeserviciosdeconsultoría,deberádeclararseestasituaciónalclienteantesdeaceptareltrabajo.


1200 Aptitud y cuidado profesional Los trabajos deben cumplirse con aptitud y cuidado profesionaladecuados.

1210 Aptitud Losauditoresinternosdebenreunir losconocimientos, lasaptitudesyotrascompetenciasnecesariasparacumplirconsusresponsabilidadesindividuales. La actividad de auditoría interna, colectivamente, debereuniruobtenerlosconocimientos,lasaptitudesyotrascompetenciasnecesariasparacumplirconsusresponsabilidades.

Interpretación: Los conocimientos, las aptitudes y otras competencias es un término colectivo que se refiere a la aptitud profesional requerida al auditor interno para llevar a cabo eficazmente sus responsabilidades profesionales. Se alienta a los auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como la designación de auditor interno certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas.

1210.A1 - El Director Ejecutivo de auditoría debe obtenerasesoramiento y asistencia competentes en caso de que losauditoresinternoscarezcandelosconocimientos,lasaptitudesuotrascompetenciasnecesariasparallevaracabolatotalidadopartedeltrabajo.1210.A2 Los auditores internos deben tener conocimientossuficientesparaevaluarel riesgode fraudey la formaenquesegestionaporpartedelaorganización,peronoesdeesperarquetenganconocimientossimilaresalosdeaquellaspersonascuyaresponsabilidadprincipalesladeteccióneinvestigacióndelfraude.1210.A3 Los auditores internos deben tener conocimientossuficientesde losriesgosycontrolesclaveentecnologíade lainformaciónydelastécnicasdeauditoríadisponiblesbasadasentecnologíaquelepermitandesempeñareltrabajoasignado.Sinembargo,noseesperaquetodoslosauditoresinternostenganla experiencia de aquel auditor interno cuya responsabilidadfundamentaleslaauditoríadetecnologíadelainformación.


1210.C1ElDirectorEjecutivodeauditoríanodebeaceptarunservicio de consultoría, o bien debe obtener asesoramiento yasistenciacompetentes,encasodeque losauditores internoscarezcandelosconocimientos,lasaptitudesyotrascompetenciasnecesariasparadesempeñarlatotalidadopartedeltrabajo.

1220 Cuidado profesional Los auditores internos deben cumplir su trabajo con el cuidado y laaptitudqueseesperandeunauditorinternorazonablementeprudenteycompetente.Elcuidadoprofesionaladecuadonoimplicainfalibilidad.

1220. A1 - El auditor interno debe ejercer el debido cuidadoprofesionalalconsiderar:Elalcancenecesarioparaalcanzarlosobjetivosdeltrabajo;• La relativa complejidad,materialidad o significatividad

de asuntos a los cuales se aplican procedimientos deaseguramiento;

• Laadecuaciónyeficaciadelosprocesosdegobierno,gestiónderiesgosycontrol;

• Laprobabilidaddeerroresmateriales,fraudeoincumplimientos;y

• El costo deaseguramiento en relación con los beneficiospotenciales.

1220.A2Alejercereldebidocuidadoprofesionalelauditorinternodebeconsiderarlautilizacióndeauditoríabasadaentecnologíayotrastécnicasdeanálisisdedatos.

1220.A3 - El auditor interno debe estar alerta a los riesgosmaterialesquepudieranafectarlosobjetivos,lasoperacionesolosrecursos.Sinembargo,losprocedimientosdeaseguramientoporsísolos,inclusocuandosellevanacaboconeldebidocuidadoprofesional,nogarantizanquetodoslosriesgosmaterialesseanidentificados.

1220.C1 El auditor interno debe ejercer el debido cuidadoprofesionalduranteuntrabajodeconsultoría,teniendoencuentalosiguiente:


Las necesidades y expectativas de los clientes, incluyendo lanaturaleza, oportunidad y comunicación de los resultados deltrabajo;Lacomplejidadrelativaylaextensióndelatareanecesariaparacumplirlosobjetivosdeltrabajo;yElcostodeltrabajodeconsultoríaenrelaciónconlosbeneficiospotenciales.

1230 Desarrollo profesional continuo Losauditoresinternosdebenperfeccionarsusconocimientos,aptitudesyotrascompetenciasmediantelacapacitaciónprofesionalcontinua.

1300 Programa de aseguramiento y mejora de la calidad ElDirectorEjecutivodeauditoríadebedesarrollarymantenerunprogramadeaseguramientoymejoradelacalidadquecubratodoslosaspectosdelaactividaddeauditoríainterna.

Interpretación: Un programa de aseguramiento y mejora de la calidad está concebido para permitir una evaluación del cumplimiento de la definición de auditoría interna y lasNormaspor parte de la actividad de auditoría interna, y una evaluación de si los auditores internos aplican el Código de Ética. Este programa también evalúa la eficiencia y eficacia de la actividad de auditoría interna e identifica oportunidades de mejora.

1310 Requisitos del programa de aseguramiento y mejora de la calidadElprogramadeaseguramientoymejoradelacalidaddebeincluirtantoevaluacionesinternascomoexternas.

1311 Evaluaciones internas Lasevaluacionesinternasdebenincluir:

• Elseguimientocontinuodeldesempeñodelaactividaddeauditoríainterna,y

• Revisionesperiódicasmediante autoevaluaciónopor parte deotras personas dentro de la organización con conocimientos suficientesdelasprácticasdeauditoríainterna.


Interpretación: El seguimiento continuo forma parte integral de la supervisión, revisión y medición del día a día de la actividad de auditoría interna. Está incorporada en las prácticas y políticas de rutina usadas para administrar la actividad de auditoría interna, y utiliza procesos, herramientas e información considerados necesarios para evaluar el cumplimiento de la definición de auditoría interna y lasNormas, y la aplicación del Código de Ética. Las revisiones periódicas son evaluaciones de propósito especial para evaluar el cumplimiento de la definición de auditoría interna, el Código de Ética y las Normas.Los conocimientos suficientes de las prácticas de auditoría interna requieren un entendimiento de todos los elementos del Marco Internacional para la Práctica Profesional.

1312 Evaluaciones externas Debenrealizarseevaluacionesexternasalmenosunavezcadacincoañosporun revisoroequipode revisióncualificadoe independiente,provenientedefueradelaorganización.ElDirectorEjecutivodeauditoríadebetratarconelConsejo:

• Lanecesidaddeevaluacionesexternasmásfrecuentes,y• Lascualificacioneseindependenciadelrevisoroequipoderevisión

externo,incluyendocualquierconflictodeinteresespotencial.

Interpretación: Un revisor o equipo de revisión cualificado demuestra su competencia en dos áreas: la práctica profesional de la auditoría interna y el proceso de evaluación externa. La competencia puede demostrarse a través de un equilibrio de experiencia y conocimiento teórico. La experiencia obtenida en organizaciones de tamaño similar, complejidad, sector o industria y de similar contenido técnico es más valiosa que la experiencia en otras áreas menos relevantes. En el caso de un equipo de revisión, no es necesario que todos los miembros cuenten con todas las competencias; es el equipo en su conjunto el que está cualificado. El Director Ejecutivo de auditoría utilizará su juicio profesional para valorar si un revisor o equipo de revisión demuestra la competencia suficiente para considerarse cualificado.Un revisor o equipo de revisión independiente es aquél que no tiene conflictos de intereses reales o aparentes, y no forma parte ni está bajo el control de la organización a la cual pertenece la actividad de auditoría interna.


1320 Reportar sobre el programa de aseguramiento y mejora de la calidad ElDirectorEjecutivo de auditoría debe comunicar los resultados delprogramadeaseguramientoymejoradelacalidadalaaltadirecciónyalConsejo.

Interpretación: La forma, el contenido y la frecuencia de la comunicación de resultados del programa de aseguramiento y mejora de la calidad se establecen mediante comentarios con la alta dirección y el Consejo, y tienen en cuenta las responsabilidades de la actividad de auditoría interna y del Director Ejecutivo de auditoría según lo indica el estatuto de auditoría interna. Para demostrar el cumplimiento de la definición de auditoría interna, el Código de Ética y lasNormas.Los resultados de las evaluaciones periódicas internas y externas se comunican al finalizar tales evaluaciones, y los resultados de la vigilancia continua se comunican al menos anualmente. Los resultados incluyen la evaluación del revisor o equipo de revisión con respecto al grado de cumplimiento.

1321–Utilización de “Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna”ElDirectorEjecutivodeauditoríapuedemanifestarquelaactividaddeauditoríainternacumpleconlasNormas Internacionales para el Ejercicio Profesional de la Auditoría Interna sólosilosresultadosdelprogramadeaseguramientoymejoradelacalidadapoyanesadeclaración.

InterpretaciónLa actividad de auditoría interna cumple con las Normas cuando alcanza los resultados descritos en la definición de auditoría interna, el código de ética y las Normas. Los resultados del programa de aseguramiento y mejora de la calidad incluyen los resultados tanto de las evaluaciones internas como de las externas.

Toda actividad de auditoría interna tendrá resultados de evaluaciones internas. Aquellas actividades cuya existencia exceda los cinco años tendrán también resultados de evaluaciones externas.


1322 Declaración de incumplimiento Cuandoelincumplimientodeladefinicióndeauditoríainterna,elCódigodeÉticaolasNormas afectaelalcanceuoperacióngeneraldelaactividaddeauditoríainterna,elDirectorEjecutivodeauditoríadebedeclararelincumplimientoysuimpactoantelaaltadirecciónyelConsejo.


NORMAS SOBRE DESEMPEñO

2000 Administración de la actividad de auditoría interna ElDirectorEjecutivodeauditoríadebegestionareficazmentelaactividaddeauditoríainternaparaasegurarqueañadavaloralaorganización.

Interpretación:La actividad de auditoría interna está gestionada de forma eficaz cuando:

• Los resultados del trabajo de la actividad de auditoría interna cumplen con el propósito y la responsabilidad incluidos en el estatuto de auditoría interna,

• La actividad de auditoría interna cumple la definición de auditoría interna y las Normas, y

• Los individuos que forman parte de la actividad de auditoría interna demuestran cumplir con el Código de Ética y las Normas.

La actividad de auditoría interna añade valor a la organización (y a sus partes interesadas) cuando proporciona aseguramiento objetivo y relevante, y contribuye a la eficacia y eficiencia de los procesos de gobierno, gestión de riesgos y control.

2010 PlanificaciónElDirectorEjecutivodeauditoríadebeestablecerplanesbasadosenlosriesgos,afindedeterminarlasprioridadesdelaactividaddeauditoríainterna. Dichosplanesdeberánserconsistentescon lasmetasde laorganización.

Interpretación:El Director Ejecutivo de auditoría es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque, el Director Ejecutivo de auditoría utilizará su propio juicio sobre los riesgos después de consultar con la alta dirección y el Consejo.


2010.A1 - Elplandetrabajodelaactividaddeauditoríainternadebeestarbasadoenunaevaluaciónderiesgosdocumentada,realizadaalmenosanualmente.EnesteprocesodebentenerseencuentaloscomentariosdelaaltadirecciónydelConsejo.2010-A2 –ElDirectorEjecutivo deauditoría debe identificar yconsiderarlasexpectativasdelaaltadirección,elConsejoyotraspartesinteresadasdecaraaemitiropinionesdeauditoríainternayotrasconclusiones.2010.C1 - ElDirectorEjecutivodeauditoríadeberíaconsiderarlaaceptacióndetrabajosdeconsultoríaqueleseanpropuestos,basándoseenelpotencialdeltrabajoparamejorarlagestiónderiesgos,añadirvalorymejorarlasoperacionesdelaorganización.Lostrabajosaceptadosdebenserincluidosenelplan.

2020 Comunicación y aprobación El Director Ejecutivo de auditoría debe comunicar los planes yrequerimientos de recursos de la actividad de auditoría interna,incluyendoloscambiosprovisionalessignificativos,alaaltadirecciónyalConsejoparalaadecuadarevisiónyaprobación.ElDirectorEjecutivodeauditoríatambiéndebecomunicarelimpactodecualquierlimitaciónderecursos.

2030 Administración de recursos ElDirectorEjecutivo deauditoría debeasegurar que los recursosdeauditoríainternaseanapropiados,suficientesyeficazmenteasignadosparacumplirconelplanaprobado.

Interpretación: Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar a cabo el plan. Suficientes se refiere a la cantidad de recursos necesarios para cumplir con el plan. Los recursos están eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan aprobado.

2040 Políticas y procedimientos ElDirectorEjecutivodeauditoríadebeestablecerpolíticasyprocedimientosparaguiarlaactividaddeauditoríainterna


Interpretación: La forma y el contenido de las políticas y procedimientos deben ser apropiados al tamaño y estructura de la actividad de auditoría interna y de la complejidad de su trabajo.

2050 Coordinación

ElDirectorEjecutivodeauditoríadeberíacompartirinformaciónycoordinaractividadesconotrosproveedoresinternosyexternosdeserviciosdeaseguramientoyconsultoríaparaasegurarunacoberturaadecuadayminimizarladuplicacióndeesfuerzos.

2060 Informe a la alta dirección y al Consejo

ElDirectorEjecutivo de auditoría debe informar periódicamente a laaltadirecciónyalConsejosobrelaactividaddeauditoríainternaenloreferidoalpropósito,autoridad,responsabilidadydesempeñodesuplan.Elinformetambiéndebeincluirexposicionesalriesgoycuestionesdecontrolsignificativas,cuestionesdegobiernoyotrosasuntosnecesariosorequeridosporlaaltadirecciónyelConsejo.

Interpretación: La frecuencia y el contenido del informe están determinados por comentarios con la alta dirección y el Consejo, y dependen de la importancia de la información a ser comunicada y la urgencia de las acciones a seguir por parte de la alta dirección y el Consejo.

2070 – Proveedor de servicios externos y responsabilidad de la organización sobre auditoría internaCuandounproveedordeserviciosexternosprestaserviciosdeauditoríainterna,dichoproveedordebeponerenconocimientodelaorganizaciónqueestaúltimaretienelaresponsabilidaddemantenerunafuncióndeauditoríainternaefectiva

InterpretaciónEsta responsabilidad se demuestra a través del programa de aseguramiento y mejora de lacalidad que evalúa el cumplimiento con la definición de auditoría interna, el código de ética y las Normas.


2100 Naturaleza del trabajo Laactividaddeauditoría internadebeevaluarycontribuira lamejoradelosprocesosdegobierno,gestiónderiesgosycontrol,utilizandounenfoquesistemáticoydisciplinado.

2110 Gobierno La actividad de auditoría interna debe evaluar y hacer lasrecomendacionesapropiadasparamejorarelprocesodegobiernoenelcumplimientodelossiguientesobjetivos:• Promover la ética y los valores apropiados dentro de la

organización,• Asegurarlagestiónyresponsabilidadeficaceseneldesempeño

delaorganización,• Comunicarlainformaciónderiesgoycontrolalasáreasadecuadas

delaorganización,y• Coordinarlasactividadesylainformacióndecomunicaciónentre

elConsejodeAdministración,losauditoresinternosyexternos,yladirección.

2110.A1 Laactividaddeauditoría internadebeevaluar el diseño,implantaciónyeficaciadelosobjetivos,programasyactividadesdelaorganizaciónrelacionadosconlaética.

2110-A2 – La actividad de auditoría interna debe evaluar si elgobiernodetecnologíadelainformacióndelaorganizaciónapoyalasestrategiasyobjetivosdelaorganización.

2120 – Gestión de riesgos Laactividaddeauditoríainternadebeevaluarlaeficaciaycontribuiralamejoradelosprocesosdegestiónderiesgos.

Interpretación: Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la evaluación que efectúa el auditor interno de que:

• Los objetivos de la organización apoyan a la misión de la organización y están alineados con la misma,

• Los riesgos significativos están identificados y evaluados, Se han seleccionado respuestas apropiadas al riesgo que


alinean los riesgos con la aceptación de riesgos por parte de la organización, y

• Se capta información sobre riesgos relevantes, permitiendo al personal, la dirección y el Consejo cumplir con sus responsabilidades, y se comunica dicha información oportunamente a través de la organización.

La actividad de auditoría interna reúne la información necesaria para soportar esta evaluación mediante múltiples trabajos de auditoría. El resultado de estos trabajos, observado de forma conjunta, proporciona un entendimiento de los procesos de gestión de riesgos de la organización y su eficacia. Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas, evaluaciones por separado, o ambas.

2120-A1 – La actividad de auditoría interna debe evaluar lasexposicionesalriesgoreferidasagobierno,operacionesysistemasdeinformacióndelaorganización,conrelaciónalosiguiente:

• Fiabilidad de integridad de la información financiera yoperativa,

• Eficaciayeficienciadelasoperacionesyprogramas,• Proteccióndeactivos,y• Cumplimiento de leyes, regulaciones, polít icas,

procedimientosycontratos.

2120.A2 La actividad de auditoría interna debe evaluar laposibilidaddeocurrenciadefraudeycómolaorganizaciónmanejagestionaelriesgodefraude.

2120.C1Durantelostrabajosdeconsultoría,losauditoresinternosdebenconsiderarelriesgocompatibleconlosobjetivosdeltrabajoyestaralertasalaexistenciadeotrosriesgossignificativos.

2120.C2Losauditoresinternosdebenincorporarlosconocimientosdelriesgoobtenidosdelostrabajosdeconsultoríaensuevaluacióndelosprocesosdegestiónderiesgosdelaorganización.

2120.C3 Cuandoayudana ladirecciónaestableceromejorarlosprocesosdegestiónderiesgos,losauditoresinternosdebenabstenerse de asumir cualquier responsabilidad propia de ladirección,comoeslagestiónderiesgos.


2130 Control Laactividaddeauditoría interna debeasistir a la organización en elmantenimiento de controles efectivos,mediante la evaluación de laeficaciayeficienciadelosmismosypromoviendolamejoracontinua.

2130-A1 – La actividad de auditoría interna debe evaluar laadecuaciónyeficaciadeloscontrolesenrespuestaalosriesgosdel gobierno, operaciones y sistemas de información de laorganización,respectodelosiguiente:

• Fiabilidad e integridad de la información financiera yoperativa,

• Eficaciayeficienciadelasoperacionesyprogramas,• Proteccióndeactivos,y• Cumplimiento de leyes, regulaciones, polít icas,

procedimientosycontratos.

2130.C1 – Los auditores internos deben incorporar losconocimientosdeloscontrolesquehanobtenidodelostrabajosdeconsultoríaensuevaluacióndelosprocesosdecontroldelaorganización.

2200 Planificación del trabajoLos auditores internos deben elaborar y documentar un plan paracadatrabajo,queincluyasualcance,objetivos,tiempoyasignaciónderecursos.2201 Consideraciones sobre planificación Alplanificareltrabajo,losauditoresinternosdebenconsiderar:

• Los objetivos de la actividad que está siendo revisaday losmedios con los cuales la actividad controla sudesempeño;

• Los riesgos significativos de la actividad, sus objetivos,recursos y operaciones, y losmedios con los cualesel impacto potencial del riesgo semantiene a un nivelaceptable;

• Laadecuaciónyeficaciade losprocesosdegestiónderiesgosycontroldelaactividadcomparadosconunenfoqueomodelodecontrolrelevante.

• Lasoportunidadesdeintroducirmejorassignificativasenlosprocesosdegestiónderiesgosycontroldelaactividad.


2201.A1 Cuando se planifica un trabajo para partes ajenasa la organización, los auditores internos deben establecer unacuerdoescritoconellasrespectode losobjetivos,elalcance,las responsabilidades correspondientes y otras expectativas,incluyendolasrestriccionesaladistribucióndelosresultadosdeltrabajoyelaccesoalosregistrosdelmismo.

2201.C1 Los auditores internos deben establecer un acuerdoconlosclientesdetrabajosdeconsultoría,referidoaobjetivos,alcance,responsabilidadesrespectivasydemásexpectativasdelosclientes.Enelcasode trabajossignificativos,esteacuerdodebeestardocumentado.

2210 Objetivos del trabajo Debenestablecerseobjetivosparacadatrabajo.

2210.A1 Losauditores internosdeben realizar unaevaluaciónpreliminardelosriesgosrelevantesparalaactividadbajorevisión.Los objetivos del trabajo deben reflejar los resultadosdeestaevaluación.

2210.A2 - Elauditor internodebeconsiderar laprobabilidaddeerrores,fraude,incumplimientosyotrasexposicionessignificativasalelaborarlosobjetivosdeltrabajo.

2210.A3Serequierencriteriosadecuadosparaevaluarcontroles.Losauditoresinternosdebencerciorarsedelalcancehastaelcualladirecciónhaestablecidocriteriosadecuadosparadeterminarsilosobjetivosymetashansidocumplidos.Sifueraapropiado,losauditoresinternosdebenutilizardichoscriteriosensuevaluación.Sinofueraapropiado,losauditoresinternosdebentrabajarconladirecciónparadesarrollarcriteriosdeevaluaciónadecuados.

2210.C1 Los objetivos de los trabajos de consultoría debenconsiderar losprocesosdegobierno, riesgoycontrol,hastaelgradodeextensiónacordadoconelcliente.

2210.C2 Losobjetivosdelostrabajosdeconsultoríadebenser compatibles con los valores, estrategias y objetivosde laorganización.


2220 Alcance del trabajo Elalcanceestablecidodebesersuficienteparasatisfacerlosobjetivosdeltrabajo.

2220.A1 - Elalcancedeltrabajodebetenerencuentalossistemas,registros,personalybienesrelevantes,inclusoaquelosbajoelcontroldeterceros.2220.A2Sidurantelarealizacióndeuntrabajodeaseguramientosurgen oportunidades de realizar trabajos de consultoríasignificativos,deberíalograrseunacuerdoescritoespecíficoencuantoalosobjetivos,alcance,responsabilidadesrespectivasyotrasexpectativas.Losresultadosdeltrabajodeconsultoríadebensercomunicadosdeacuerdoconlasnormasdeconsultoría.2220.C1Al desempeñar trabajos de consultoría, los auditoresinternosdebenasegurarqueelalcancedeltrabajoseasuficientepara cumplir los objetivosacordados.Si los auditores internosencontraran restricciones al alcance durante el trabajo, estasrestriccionesdeberántratarseconelclienteparadeterminarsisecontinúaconeltrabajo.2220.C2Durantelostrabajosdeconsultoría,losauditoresinternosdebenconsiderarloscontrolesconsistentesconlosobjetivosdeltrabajoyestaralertasalosasuntosdecontrolsignificativos.

2230 Asignación de recursos para el trabajo Los auditores internos deben determinar los recursos adecuados ysuficientes para lograr los objetivos del trabajo, basándose en unaevaluacióndelanaturalezaycomplejidaddecadatrabajo,lasrestriccionesdetiempoylosrecursosdisponibles.

2240 Programa de trabajo Losauditores internos debenpreparar y documentar programasquecumplanconlosobjetivosdeltrabajo.

2240.A1-Losprogramasdetrabajodebenincluirlosprocedimientospara identificar, analizar, evaluar y documentar informacióndurante la tarea. El programa de trabajo debe ser aprobadoconanterioridadasuimplantaciónycualquierajustehadeseraprobadooportunamente.


2240.C1Losprogramasdetrabajodelosserviciosdeconsultoríapuedenvariarenformaycontenidodependiendodelanaturalezadeltrabajo.

2300 Desempeño del trabajo Losauditoresinternosdebenidentificar,analizar,evaluarydocumentarsuficiente informacióndemanera tal que les permita cumplir con losobjetivosdeltrabajo.

2310 Identificación de la información Losauditores internosdeben identificar información suficiente, fiable,relevanteyútildemaneratalquelespermitaalcanzarlosobjetivosdeltrabajo.

Interpretación: La información suficiente está basada en hechos, es adecuada y convincente, de modo que una persona prudente e informada sacaría las mismas conclusiones que el auditor. La información fiable es la mejor información que se puede obtener mediante el uso de técnicas de trabajo apropiadas. La información relevante apoya las observaciones y recomendaciones del trabajo y es compatible con sus objetivos. La información útil ayuda a la organización a cumplir con sus metas.

2320 Análisis y evaluación Losauditoresinternosdebenbasarsusconclusionesylosresultadosdeltrabajoenanálisisyevaluacionesadecuados.

2330 Documentación de la información Losauditoresinternosdebendocumentarinformaciónrelevantequelespermitasoportarlasconclusionesylosresultadosdeltrabajo.

2330.A1 - ElDirectorEjecutivo de auditoría debe controlar elaccesoalosregistrosdeltrabajo.ElDirectorEjecutivodeauditoríadebe obtener aprobación de la alta dirección o de asesoreslegalesantesdedaraconocertalesregistrosaterceros,segúncorresponda.

2330.A2 - ElDirector Ejecutivo de auditoría debe establecerrequisitosderetenciónparalosregistrosdeltrabajo,seacualfuereelmedioenelcualsealmacenacadaregistro.


Estos requisitos de retención deben ser consistentes con lasguíasdelaorganizaciónycualquierregulaciónuotrosrequisitospertinentes.

2330.C1ElDirectorEjecutivodeauditoríadebeestablecerpolíticassobre la custodia y retención de los registros de trabajos deconsultoría,ysobrelaposibilidaddedarlosaconoceraterceraspartes,internasoexternas.Estaspolíticasdebenserconsistentescon lasguíasde laorganizaciónycualquierregulaciónuotrosrequisitospertinentes.

2340 Supervisión del trabajo Los trabajos deben ser adecuadamente supervisados para asegurarel logro de sus objetivos, la calidad del trabajo y el desarrollo delpersonal.

Interpretación:El alcance de la supervisión requerida dependerá de la pericia y experiencia de los auditores internos y de la complejidad del trabajo. El Director Ejecutivo de auditoría tiene la responsabilidad general de la supervisión del trabajo, ya sea que haya sido desempeñado por la actividad de auditoría interna o para ella, pero puede designar a miembros adecuadamente experimentados de la actividad de auditoría interna para llevar a cabo esta tarea. Se debe documentar y conservar evidencia adecuada de la supervisión.

2400 – Comunicación de resultadosLosauditoresinternosdebencomunicarlosresultadosdelostrabajos.

2410 Criterios para la comunicación Lascomunicacionesdebenincluirlosobjetivosyalcancedeltrabajoasícomo las conclusiones correspondientes, las recomendaciones, y losplanesdeacción.

2410-A1 - La comunicación final de los resultados del trabajodebe incluir, si corresponde, la opinión y/o las conclusionesdelauditor interno.Cuandoseemiteunaopiniónoconclusión,debeconsiderarlasexpectativasdelConsejo,laaltadirecciónyotraspartesinteresadasydebeestarsoportadaporinformaciónsuficiente,fiable,relevanteyútil.


Interpretación:Las opiniones en los trabajos de auditoría pueden ser clasificaciones (ratings), conclusiones u otras descripciones de los resultados. Un trabajo de auditoría puede estar relacionado con controles sobre un proceso específico, riego o unidad de negocio. La formulación de opiniones al respecto requiere de la consideración de los resultados del trabajo y su importancia.

2410.A2Sealientaa losauditores internosareconoceren lascomunicacionesdel trabajocuandoseobservaundesempeñosatisfactorio.

2410.A3Cuandoseenvíenresultadosdeuntrabajoapartesajenasalaorganización,lacomunicacióndebeincluirlaslimitacionesaladistribuciónyusodelosresultados.

2410.C1Lascomunicacionessobreelprogresoylosresultadosde los trabajos de consultoría variarán en forma y contenidodependiendodelanaturalezadeltrabajoylasnecesidadesdelcliente.

2420 Calidad de la comunicación Las comunicaciones deben ser precisas, objetivas, claras, concisas,constructivas,completasyoportunas.

Interpretación:Las comunicaciones precisas están libres de errores y distorsiones y son fieles a los hechos que describen. Las comunicaciones objetivas son justas, imparciales y sin desvíos y son el resultado de una evaluación justa y equilibrada de todos los hechos y circunstancias relevantes. Las comunicaciones claras son fácilmente comprensibles y lógicas, evitando el lenguaje técnico innecesario y proporcionando toda la información significativa y relevante. Las comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles superfluos, redundancia y uso excesivo de palabras. Las comunicaciones constructivas son útiles para el cliente del trabajo y la organización, y conducen a mejoras que son necesarias. A las comunicaciones completas no les falta nada que sea esencial para los receptores principales e incluyen toda la


información y observaciones significativas y relevantes para apoyar a las recomendaciones y conclusiones. Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes, dependiendo de la significatividad del tema, permitiendo a la dirección tomar la acción correctiva apropiada.

2421 - Errores y omisiones

Siunacomunicaciónfinalcontieneunerroruomisiónsignificativos,elDirectorEjecutivodeauditoríadebecomunicarlainformacióncorregidaatodaslaspartesquerecibieronlacomunicaciónoriginal.

2430 Uso de Realizado de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna

Losauditoresinternospuedeninformarquesustrabajosson“realizadosde conformidad con lasNormas Internacionales para el Ejercicio Profesional de la Auditoría Interna”sólosilosresultadosdelprogramadeaseguramientoymejoradelacalidadrespaldandichaafirmación.

2431 Declaración de incumplimiento de las Normas

CuandoelincumplimientodelaDefinicióndeAuditoríaInterna,elCódigodeÉticaodelasNormas afectaauntrabajoespecífico,lacomunicacióndelosresultadosdeesetrabajodebeexponer:

• ElprincipiooregladeconductadelCódigodeÉtica,olasNormas conlascualesnosecumpliótotalmente,

• Lasrazonesdelincumplimiento,y• El impacto del incumplimiento sobre ese trabajo y los

resultadoscomunicadosdelmismo.

2440 Difusión de resultados ElDirectorEjecutivodeauditoríadebedifundirlosresultadosalaspartesapropiadas.

Interpretación: El Director Ejecutivo de auditoría o la persona por él designada debe revisar y aprobar la comunicación final del trabajo antes de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación.


2440.A1 - ElDirectorEjecutivodeauditoríaesresponsabledecomunicarlosresultadosfinalesalaspartesquepuedanasegurarquesedéalosresultadosladebidaconsideración.

2440.A2Amenosdequeexistaobligaciónlegal,estatutariaoderegulacionesencontrario,antesdeenviarlosresultadosapartesajenasalaorganización,elDirectorEjecutivodeauditoríadebe:

• Evaluarelriesgopotencialparalaorganización.• Consultarconlaaltadireccióny/oelconsejerolegal,según

corresponda.• Controlar la difusión, restringiendo la utilización de los

resultados.

2440.C1 ElDirectorEjecutivo de auditoría es responsable decomunicarlosresultadosfinalesdelostrabajosdeconsultoríaalosclientes.

2440.C2Durantelostrabajosdeconsultoríapuedenidentificarsecuestiones referidas al gobierno, gestión de riesgos y control.Enelcasodequeestascuestionesseansignificativaspara laorganización, deben ser comunicadas a la alta dirección y alConsejo.

2450 – Opiniones globalesCuandoseemiteunaopiniónglobal,debeconsiderarlasexpectativasdelaaltadirección,elConsejo,yotraspartesinteresadasydebesersoportadaporinformaciónsuficiente,fiable,relevanteyútil.

Interpretación:La comunicación identificará:

• El alcance, incluyendo el periodo de tiempo al que se refiere la opinión;

• Las limitaciones al alcance;• La consideración de todos los proyectos relacionados

incluyendo cuando se confíe en otros proveedores de aseguramiento;

• El riesgo, marco de control u otros criterios utilizados como base para la opinión global; y

• La opinión global, juicio o conclusión alcanzada.


Cuando existe una opinión global que no es favorable, deben exponerse las causas de esta opinión.

2500 Seguimiento del progreso

ElDirectorEjecutivodeauditoríadebeestablecerymantenerunsistemaparavigilarladisposicióndelosresultadoscomunicadosaladirección.

2500.A1-ElDirectorEjecutivodeauditoríadebeestablecerunprocesodeseguimientoparavigilaryasegurarquelasaccionesdeladirecciónhayansidoimplantadaseficazmenteoquelaaltadirecciónhayaaceptadoelriesgodenotomarmedidas.

2500.C1Laactividaddeauditoríainternadebevigilarladisposicióndelosresultadosdelostrabajosdeconsultoría,hastaelgradodealcanceacordadoconelcliente.

2600 Decisión de aceptación de los riesgos por la dirección CuandoelDirectorEjecutivodeauditoríaconsiderequelaaltadirecciónhaaceptadounnivelderiesgoresidualquepuedaserinaceptableparalaorganización,debetrataresteasuntoconlaaltadirección.Siladecisiónreferidaalriesgoresidualnoseresuelve,elDirectorEjecutivodeauditoríadebeinformarestasituaciónalConsejoparasuresolución.


GLOSARIO

Aceptación del riesgo - Elnivelderiesgoqueunaorganizaciónestádispuestaaaceptar.

Actividad de auditoría interna - Undepartamento, división, equipode consultores, u otro/s practicante/s que proporciona/n serviciosindependientesyobjetivosdeaseguramientoyconsulta,concebidosparaagregarvalorymejorarlasoperacionesdeunaorganización.Laactividaddeauditoría internaayudaaunaorganizaciónacumplirsusobjetivosaportandounenfoquesistemáticoydisciplinadoparaevaluarymejorarlaeficaciadelosprocesosdegestiónderiesgos,controlygobierno.

Añadir / Agregar valor- Laactividaddeauditoría internaañadevalora la organización (y sus partes interesadas) cuando proporcionaaseguramiento objetivo y relevante, y contribuye a la eficacia de losprocesosdegobierno,gestiónderiesgosycontrol.

Código de Ética - ElCódigo de ÉticadelInstitutodeAuditoresInternos(The Institute of InternalAuditors - IIA) es una serie de principiossignificativosparalaprofesiónyelejerciciodelaauditoríainterna,ydeReglasdeConductaquedescribenelcomportamientoqueseesperadelosauditoresinternos.ElCódigo de Éticaseaplicatantoalaspersonascomoalasentidadesquesuministranserviciosdeauditoríainterna.ElpropósitodelCódigo de Éticaespromoverunaculturaéticaenlaprofesiónglobaldeauditoríainterna.

Conflicto de intereses - Serefiereacualquierrelaciónquevayaoparezcairencontradelmejorinterésdelaorganización.Unconflictodeinteresespuedemenoscabarlacapacidaddeunapersonaparadesempeñarsusobligacionesyresponsabilidadesdemaneraobjetiva.

Consejo (Consejo de Administración) - El término Consejo serefierealcuerpodegobiernodeunaorganización,talcomoelconsejode administración, el consejo de supervisión, el responsable de unorganismoocuerpolegislativo,elcomitéomiembrosdeladireccióndeunaorganizaciónsinánimodelucro,ocualquierotroórganodegobiernodesignadoporlaorganización,aquienpuedareportarfuncionalmenteelDirectorEjecutivodeauditoría.


Control - Cualquiermedidaquetomeladirección,elConsejoyotraspartes,paragestionarlosriesgosyaumentarlaprobabilidaddealcanzarlosobjetivosymetasestablecidos.Ladirecciónplanifica,organizaydirigelarealizacióndelasaccionessuficientesparaproporcionarunaseguridadrazonabledequesealcanzaránlosobjetivosymetas.Control adecuado - Eselqueestápresentesiladirecciónhaplanificadoyorganizado(diseñado)lasoperacionesdemaneratalqueproporcionenunaseguramientorazonabledequelosobjetivosymetasdelaorganizaciónseránalcanzadosdeformaeficienteyeconómica.Controles de tecnología de la información - Controlesquesoportanlagestiónyelgobiernodelnegocio,yproporcionancontrolesgeneralesytécnicossobrelasinfraestructurasdetecnologíadelainformacióntalescomoaplicaciones,información,infraestructuraypersonas.Cumplimiento - Adhesiónalaspolíticas,planes,procedimientos,leyes,regulaciones,contratosyotrosrequerimientos.Debe - LasNormasempleanlapalabradebeparareferirseaunrequisitoincondicional.Debería - LasNormasemplean la palabra debería donde seesperacumplimiento amenos que las circunstancias, basadas en el juicioprofesional,justifiquenalgunadesviación.

Director Ejecutivo de auditoría - ElDirectorEjecutivo de auditoríadescribealapersonaenunpuestodealtodirectivo(senior)responsablede lagestiónefectivade laactividaddeauditoría internadeacuerdoconelestatutodeauditoríainternayladefinicióndeauditoríainterna,elcódigodeéticaylasNormas.ElDirectorEjecutivodeauditoríauotrosasucargotendránlascertificacionesycualificaciónapropiadas.ElnombredelpuestoespecíficodelDirectorEjecutivodeauditoríapuedevariarsegúnlaorganización.

Entorno / Ambiente de control - SerefierealaactitudyalasaccionesdelConsejoydeladirecciónrespectoalaimportanciadelcontroldentrodelaorganización.Elentornodecontrolproporcionadisciplinayestructuraparalaconsecucióndelosobjetivosprincipalesdelsistemadecontrolinterno.Elentornodecontrolconstadelossiguienteselementos:

• Integridadyvaloreséticos.• Filosofíadedirecciónyestilodegestión.


• Estructuradelaorganización.• Asignacióndeautoridadyresponsabilidad.• Políticasyprácticasderecursoshumanos.• Compromisodecompetenciaprofesional.

Estatuto - ElEstatutodelaactividaddeauditoríainternaesundocumentoformalescritoquedefineelpropósito,autoridady responsabilidaddelaactividaddeauditoríainterna.ElEstatutoestablecelaposicióndelaactividaddeauditoríainternadentrodelaorganización,autorizaelaccesoalosregistros,alpersonalyalosbienespertinentesparalaejecuciónde los trabajos,ydefineelámbitodeactuaciónde lasactividadesdeauditoríainterna.

Fraude - Cualquieracto ilegalcaracterizadoporengaño,ocultaciónoviolacióndeconfianza.Estosactosnorequierenlaaplicacióndeamenazadeviolenciaodefuerzafísica.Losfraudessonperpetradosporindividuosypororganizacionesparaobtenerdinero,bienesoservicios,paraevitarpagosopérdidasdeservicios,oparaasegurarseventajaspersonalesodenegocio.

Gestión de riesgos - Unproceso para identificar, evaluar,manejary controlar acontecimientos o situaciones potenciales, con el fin deproporcionarunaseguramientorazonablerespectodelalcancedelosobjetivosdelaorganización.

Gobierno - LacombinacióndeprocesosyestructurasimplantadosporelConsejodeAdministraciónparainformar,dirigir,gestionaryvigilarlasactividadesdelaorganizaciónconelfindelograrsusobjetivos.

Gobierno de tecnología de la información - Consisteenelliderazgo,lasestructurasdelaorganizaciónylosprocesosqueaseguranquelatecnología de la informaciónde la empresa soporta las estrategias yobjetivosdelaorganización.

Independencia - Libertad de condicionamientos que amenazan lacapacidad de laactividaddeauditoría internapara llevaracabosusresponsabilidadesdeformaimparcial

Impedimentos o menoscabos - Losimpedimentosomenoscabosalaindependenciade laorganizaciónya laobjetividad individualpuedenincluirconflictodeinteresespersonales;


limitacionesalalcance;restriccionesalaccesoalosregistros,alpersonalyalosbienes;ylimitacionesderecursos(fondos).

Marco Internacional para la Práctica Profesional - Marcoconceptualqueorganizalaguíadeorientaciónautorizada,promulgadaporelIIA.LaGuíadeOrientaciónAutorizadaincluyedoscategorías(1)obligatoriay(2)aceptadayrecomendadaenérgicamente.

Norma - Unpronunciamiento profesional promulgadopor elConsejodeNormasdeAuditoría Internaquedescribe los requerimientosparadesempeñarunampliorangodeactividadesdeauditoríainternayparaevaluareldesempeñodelaauditoríainterna.

Objetividad-Esunaactitudmentalindependiente,quepermitequelosauditoresinternosllevenacabosustrabajosconconfianzaenelproductodesulaborysincomprometersucalidad.Laobjetividadrequierequelosauditoresinternosnosubordinensujuicioaldeotrossobretemasdeauditoría.

Objetivos del trabajo - Declaracionesgeneralesestablecidaspor losauditoresinternosquedefinenloslogrospretendidosdeltrabajo.

Procesos de control -Laspolíticas,procedimientosyactividades,loscualesformanpartedeunenfoquedecontrol,diseñadosparaasegurarquelosriesgosesténcontenidosdentrodelastoleranciasestablecidasporelprocesodeevaluaciónderiesgos.

Programa de trabajo-Undocumentoqueconsisteenunalistadelosprocedimientosaseguirduranteuntrabajo,diseñadoparacumplirconelplandeltrabajo.

Proveedor externo de servicios-Unapersonaoempresa,ajenaalaorganización,queposeeconocimientos,técnicasyexperienciaespecialesenunadisciplinaenparticular.

Riesgo -Laposibilidaddequeocurraunacontecimientoquetengaunimpactoenelalcancedelosobjetivos.Elriesgosemideentérminosdeimpactoyprobabilidad.

Riesgo residual - Elriesgoquepermanecedespuésdequeladirecciónhaya realizadosusaccionespara reducirel impactoy laprobabilidad


deunacontecimientoadverso,incluyendolasactividadesdecontrolenrespuestaaunriesgo.

Servicios de aseguramiento - Unexamenobjetivodeevidenciasconelpropósitodeproveerunaevaluaciónindependientedelosprocesosdegestiónderiesgos,controlygobiernodeunaorganización.Porejemplo:trabajosfinancieros,dedesempeño,decumplimiento,deseguridaddesistemasydediligenciadebida(due diligence).

Servicios de consultoría - Actividadesdeasesoramientoyserviciosrelacionados,proporcionadasalosclientes,cuyanaturalezayalcanceestén acordados con losmismos y estén dirigidos a añadir valor yamejorar los procesos de gobierno, gestión de riesgos y control deunaorganización,sinqueelauditor internoasuma responsabilidadesdegestión.Algunosejemplosdeestasactividades sonel consejo, elasesoramiento,lafacilitaciónylaformación.

Significatividad o materialidad - Laimportanciarelativadeunasuntodentrodeuncontextoenelcualestásiendoconsiderado, incluyendofactores cuantitativos y cualitativos, tales comomagnitud, naturaleza,efecto,relevanciaeimpacto.Eljuicioprofesionalayudaalosauditoresinternos cuandoevalúan la significatividadde los asuntos dentro delcontextodelosobjetivosrelevantes.

Técnicas de auditoría basadas en tecnología - Cualquierherramientaautomatizada de auditoría, tal como el software generalizado deauditoría,losgeneradoresdedatosdeprueba,programasdeauditoríacomputarizados,yelementosdeauditoríadeespecialización.Tambiénse conocen como técnicas de auditoría asistidas por computadora(TAAC).

Trabajo - Unaespecíficaasignacióndeauditoríainterna,tareaoactividadde revisión, tal comoauditoría interna, revisióndeautoevaluacióndecontrol,examendefraude,oconsultoría.Untrabajopuedecomprendermúltiples tareas o actividades concebidas para alcanzar un grupoespecíficodeobjetivosrelacionados.

***

Consejos para la Práctica

55ConsejosparalaPráctica

Consejo para la Práctica 1000-1: Estatuto de Auditoría Interna

Norma principalmente relacionada:

1000 – Propósito, autoridad y responsabilidadElpropósito,laautoridadylaresponsabilidaddelaactividaddeauditoríainternadebenestarformalmentedefinidosenunestatuto,deconformidadconladefinicióndeauditoríainterna,elCódigodeÉticaylasNormas.ElDirectorEjecutivodeauditoríadeberevisarperiódicamenteelestatutodeauditoríainternaypresentarloalaaltadirecciónyalConsejoparasuaprobación. Interpretación:El estatuto de auditoría interna es un documento formal que define el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de auditoría interna establece la posición de la actividad de auditoría interna dentro de la organización; autoriza su acceso a los registros, al personal y a los bienes relevantes para el desempeño de los trabajos; y define el alcance de las actividades de auditoría interna. La aprobación final del estatuto de auditoría interna corresponde al Consejo.

1. Contarconunestatutodeauditoría interna formalyescritoesmuyimportanteparagestionarlaactividaddeauditoríainterna.Elestatutoconstituyeunadeclaraciónreconocidaparalarevisióny aceptación por parte de la dirección y para su aprobación,según está documentado en las actas, por parte del consejodeadministración.Además, facilita la evaluaciónperiódica delpropósito,autoridadyresponsabilidaddelaactividaddeauditoríainterna,locualestableceelroldelaactividaddeauditoríainterna.Encasodepresentarsealgunacuestión,elestatutoproporcionaunacuerdoformal,escrito,conladirecciónyconelconsejodeadministración respecto de la organización de la actividad deauditoríainterna.

2. ElDirectorEjecutivodeauditoría(DEA)eselresponsabledeevaluar

56 Consejosparalapráctica

periódicamentesielpropósito,laautoridadylaresponsabilidaddelaactividaddeauditoríainterna,segúnsedefinenenelestatuto,continúansiendoadecuadosparapermitirquelaactividadcumplasusobjetivos.ElDEAtambiéneselresponsabledecomunicarlosresultadosdeestaevaluaciónalaaltadirecciónyalconsejodeadministración.


Consejo para la Práctica 1110-1:Independencia dentro de la organización


1110 – Independencia dentro de la organizaciónElDirectorEjecutivodeauditoríadeberesponderanteunniveljerárquicotaldentrodelaorganizaciónquepermitaalaactividaddeauditoríainternacumplirconsusresponsabilidades.ElDirectorEjecutivodeauditoríadeberatificaranteelConsejo,almenosanualmente,laindependenciaquetienelaactividaddeauditoríainternadentrodelaorganización.

1. Elapoyodelaaltadirecciónydelconsejodeadministraciónayudaalaactividaddeauditoríainternaaobtenerlacooperacióndelosclientesdeltrabajoyarealizarsutrabajolibredeinterferencias.

2. ElhechodequeelDirectorEjecutivodeauditoría(DEA)reportefuncionalmentealconsejodeadministraciónyadministrativamentealmáximoejecutivodelaorganización,facilitalaindependenciadentrodelaorganización.Comomínimo,elDEAdebedependerdeunapersonaenlaorganizaciónquetengasuficienteautoridadparapromoverlaindependencia,yparagarantizarunaampliacoberturadelaauditoría,laadecuadaconsideracióndelascomunicacionesdel trabajo y que se tomen las accionesapropiadas sobre lasrecomendacionesdeltrabajo.

3. El reporte funcional al consejo de administración típicamenteimplicaqueéste:

• Apruebaelestatutogeneralde laactividaddeauditoríainterna.

• Apruebalaevaluaciónderiesgosdeauditoríainternayelplandeauditoríarelacionado.

• RecibecomunicacionesdelDEArespectodelosresultadosdelastareasquerealizaauditoríainternauotrosasuntosque elDEA considere necesarios,mantiene reunionesen privado conelDEA sin estar presente la dirección,asícomounaconfirmaciónanualdequelaactividaddeauditoría interna goza de independencia dentro de laorganización.


• Apruebatodaslasdecisionesreferidasalaevaluacióndedesempeño,nombramientoocesedelDEA.

• Aprueba la retribuciónanualy losajustessalarialesdelDEA.

• Realiza las averiguacionesnecesarias con la direccióny el DEA para determinar si existen limitaciones alalcanceodepresupuestoque impidan lacapacidaddela actividad de auditoría interna para cumplir con susresponsabilidades.

4. El reporte administrativo es la relación de reporte dentro dela estructura administrativa de la organización que facilita lasoperacionesdeldíaadíaquellevaacabolaactividaddeauditoríainterna.Elreporteadministrativotípicamenteincluye:

• Elpresupuestoylagestióncontable.• Laadministraciónde losrecursoshumanos, incluyendo

lasevaluacionesdelpersonalysusretribuciones.• Lascomunicacionesyflujosinternosdeinformación.• Laadministracióndelaspolíticasyprocedimientosdela

actividaddeauditoríainterna.

***


Consejo para la Práctica 1111-1:Interacción con el Consejo de Administración


1111 – Interacción directa con el ConsejoEl Director Ejecutivo de auditoría debe comunicarse e interactuardirectamenteconelConsejodeAdministración.

1. LacomunicacióndirectatienelugarcuandoelDirectorEjecutivodeauditoría(DEA)asisteyparticiparegularmenteenlasreunionesdelconsejodeadministraciónquetratandelasresponsabilidadesde supervisión del consejo sobre la auditoría, la informaciónfinanciera,elgobiernodelaorganizaciónyelcontrol.Laasistenciay participación del Director Ejecutivo de auditoría a dichasreunionesproporcionaunaoportunidadparavalorarlosnegociosestratégicosydesarrollosoperativos,yparaplantearasuntosdealtonivelderiesgos,sistemas,procedimientosocontrolesenunaetapainicial.Laasistenciaaestasreunionestambiénproporcionaunaoportunidadparaintercambiarinformaciónconcernientealosplanesyactividadesdelaactividaddeauditoríainternayparaquelaspartessemantenganinformadassobrecualquierotroasuntodeinterésmutuo.

2. TalcomunicacióneinteraccióntambiénocurrecuandoelDEAsereúneenprivadoconelconsejodeadministración,almenosunavezalaño.

***


Consejo para la Práctica 1120-1:Objetividad Individual


1120 – Objetividad individual Losauditoresinternosdebentenerunaactitudimparcialyneutral,yevitarcualquierconflictodeintereses.

Interpretación:

El conflicto de intereses es una situación en la cual un auditor interno, que ocupa un puesto de confianza, tiene un interés personal o profesional en competencia con otros intereses. Tales intereses en competencia pueden hacerle difícil el cumplimiento imparcial de sus tareas. Puede existir un conflicto de intereses aún cuando no se produzcan actos inadecuados o no éticos. Un conflicto de intereses puede crear una apariencia de deshonestidad que puede socavar la confianza en el auditor interno, la actividad de auditoría interna y la profesión. Un conflicto de intereses podría menoscabar la capacidad de un individuo de desempeñar sus tareas y responsabilidades con objetividad.

1. La objetividad individual significa que los auditores internosllevanacabosustrabajosconhonestaconfianzaenelproductode su labor y sin comprometer significativamente su calidad.Losauditores internosnodeben colocarseen situacionesquepuedanmenoscabarsucapacidadparaemitirjuiciosprofesionalesobjetivos.

2. La objetividad individual implica que elDirector Ejecutivo deauditoría(DEA)organicelasasignacionesdepersonaldeformatalqueimpidanconflictosdeinteresesyprejuiciospotencialesyreales,obtengainformaciónperiódicadelpersonaldeauditoríainternarespectode losconflictosde interesesyprejuiciospotenciales,y,cuandoseafactible,rotarperiódicamentelasasignacionesdelpersonaldeauditoríainterna.

3. La revisión de los resultados del trabajo de auditoría internaantesdeemitirlascomunicacionesdeltrabajocorrespondientesayudaasegurarrazonablementequeeltrabajosehaefectuadodemaneraobjetiva.


4. La objetividad del auditor interno no se ve afectada cuandorecomiendanormasde control para sistemaso cuando revisaprocedimientos antes de que sean implantados.Se consideraque laobjetividaddelauditorsehamenoscabadosielauditordiseña,instala,haceproyectosdeprocedimientosuoperadichossistemas.

5. Eldesempeñoocasionaldetrabajosquenoseandeauditoríaporpartedelauditorinterno,comunicadosclaramenteenelprocesodel informe, no necesariamentemenoscabaría su objetividad.Sinembargo,enestoscasosserequeriráespecialcuidadoporpartedeladirecciónydelauditorinternoparaevitarafectarsuobjetividad.

***


Consejo para la Práctica 1130-1:Impedimentos a la Independencia u Objetividad


1130 – Impedimentos a la independencia u objetividadSilaindependenciauobjetividadseviesecomprometidadehechooenapariencia, losdetallesdel impedimentodebendarseaconocera laspartescorrespondientes.Lanaturalezadeestacomunicacióndependerádelimpedimento.

Interpretación:El impedimento o menoscabo a la independencia de la organización y a la objetividad individual puede incluir, entre otros, los conflictos de intereses, limitaciones al alcance, restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos tales como los financieros. La determinación de las partes apropiadas a quienes deben exponerse los detalles de un impedimento a la independencia u objetividad depende de la expectativas sobre las responsabilidades de la actividad de auditoría interna y del Director Ejecutivo de auditoría ante la alta dirección y el Consejo según se describe en el estatuto de auditoría interna, así como de la naturaleza del impedimento.

1. LosauditoresinternostienenqueinformaralDirectorEjecutivodeauditoría(DEA)sobrecualquiersituaciónenlaquesepuedainferir razonablemente un impedimento omenoscabo real opotencialalaindependenciauobjetividad,ositienenpreguntassobresiunasituaciónconstituyeunimpedimentoalaobjetividadoindependencia.SielDEAdeterminaqueelimpedimentoexisteosepuedeinferirqueexistetalimpedimento,deberáreasignaralauditoroalosauditoresquecorresponda.

2. Unalimitaciónenelámbitodeactuación(limitaciónalalcance)esunarestricciónpuestasobrelaactividaddeauditoríainternaqueleimpidecumplirsusobjetivosyplanes.Entreotrascosas,unalimitaciónalalcancepuederestringir:

• Elalcancedefinidoenelestatutodeauditoríainterna.• Elaccesodelaactividaddeauditoríainternaalosregistros,


alpersonalyalosbienesrelevantesparalarealizacióndelostrabajos.

• Laprogramaciónaprobadadelostrabajos.• La ejecución de los procedimientos necesarios para el

trabajo.• El plan de personal y el presupuesto financiero

aprobados.

3. Cualquier limitación al alcance y sus efectos potenciales tienenque ser comunicados, preferentementepor escrito, al consejo deadministración.ElDEAdebeevaluarsiesapropiadovolverainformaralconsejosobreaquellaslimitacionesalalcancequeselehubierancomunicadoanteriormenteyquefueronaceptadasporelmismo.Estopuedesernecesario,especialmente,cuandohahabidocambiosenlaorganización,consejodeadministración,altadirecciónuotros.

4. Losauditoresinternosnodebenaceptardinero,regalooagasajosdepartedeunempleado,cliente,proveedoropersonarelacionadaconelnegocioquepuedacrearlaaparienciadequelaobjetividaddelauditorinternohasidoafectada.Laaparienciadequelaobjetividadhasidoafectadapuedeaplicarseatrabajosactualesofuturosrealizadosporelauditor.Elestadodelostrabajosnodebeserconsideradocomojustificaciónpararecibirdinero,regalosoagasajos.Recibirelementosdepromoción(talescomolápices,calendariosomuestras)queesténadisposicióndelosempleadosydelpúblicoengeneralytenganunmínimovalornoobstruyenlosjuiciosprofesionalesdelauditorinterno.Losauditoresinternosdebeninformartodoofrecimientodedinerooregalosmaterialesdeinmediatoasussupervisores.

***


Consejo para la Práctica 1130.A1-1:Evaluación de Operaciones en las cuales el Auditor Interno Tuvo

Responsabilidades Previas


1130.A1–Losauditoresinternosdebenabstenersedeevaluaroperacionesespecíficasde las cuales hayan sidopreviamente responsables. Sepresume que hay impedimento de objetividad si un auditor internoproporcionaserviciosdeaseguramientoparaunaactividaddelacualelmismohayatenidoresponsabilidadesenelañoinmediatoanterior.

1. Laspersonas transferidasa la actividaddeauditoría internaoutilizadas temporalmente por ésta no deben ser asignadas aauditar aquellas actividadesque realizaronanteriormente oenlas cuales tuvieron responsabilidades gerenciales, hasta quehaya transcurrido almenos un año. Se presume que dichasasignacionesmenoscabanlaobjetividadydebetenerseencuentaestehechoalsupervisareltrabajoyalcomunicarlosresultadosdelmismo.

***


Consejo para la Práctica 1130.A2-1:Responsabilidad del Auditor Interno en Funciones Distintas de

Auditoría


1130.A2–LostrabajosdeaseguramientoparafuncionesporlascualeselDirectorEjecutivo de auditoría tiene responsabilidades deben sersupervisadosporalguienfueradelaactividaddeauditoríainterna.

1. Los auditores internos no deben aceptar responsabilidadespor funcioneso tareasdistintasdeauditoríaqueesténsujetasa evaluaciones periódicas de auditoría interna. Si asumeneste tipode responsabilidades, seentenderáqueno seestándesempeñandocomoauditoresinternos.

2. Cuandolaactividaddeauditoríainterna,elDirectorEjecutivodeauditoría(DEA)oelauditorinternoindividualesresponsabledeunaoperaciónquelaactividaddeauditoríainternapodríaauditar,o bien cuando la dirección está considerando asignarle unaresponsabilidaddeesanaturaleza,laindependenciayobjetividaddelauditorinternopuedeverseafectada.Comomínimo,elDEAdebetenerencuentalossiguientesfactoresalevaluarelimpactosobrelaindependenciayobjetividad.

• LosrequisitosestablecidosporelCódigodeÉticay lasNormas Internacionales para el ejercicio Profesional de la Auditoría Interna(lasNormas).

• Lasexpectativasdelaspartesinteresadas,quepodríanser los accionistas, consejo de administración, comitéde auditoría, dirección, cuerpos legislativos, entidadespúblicas,organismosde regulaciónygruposde interéspúblico.

• Lasautorizacionesyrestriccionescontenidasenelestatutodelaactividaddeauditoríainterna.

• LasdeclaracionesrequeridasporlasNormas.• La cobertura de auditoría sobre las actividades o

responsabilidadesllevadasacaboporelauditorinterno.

�� Consejosparalapráctica

• Lasignificatividadquelafunciónoperativatieneparalaorganización(entérminosdeingresos,gastos,reputacióneinfluencia).

• Laextensiónoduracióndelaasignaciónyelalcancedelaresponsabilidad.

• Laadecuadaseparacióndefunciones.• Si existealgúnantecedenteuotraevidencia deque la

objetividaddelauditorinternopuedeestarenriesgo.

3. Sielestatutodelaactividaddeauditoríainternacontienerestriccioneso limitacionesespecíficas respecto de la asignaciónde funcionesdistintasdeauditoríaalauditorinterno,dichasrestriccionesdebenserdeclaradasydiscutidasconladirección.Siladireccióninsisteenllevaracabotalasignación,elauditordeberádeclararydiscutiresteasuntoconelconsejodeadministración.Sielestatutonadadicealrespecto,deberátenerseencuentalaguíaindicadaenlospuntossiguientes.Todoslospuntosindicadosacontinuaciónestánsubordinadosalaletradelestatuto.

4. Cuando laactividaddeauditoría internaacepta responsabilidadesoperativasyesaoperaciónformapartedelplandeauditoría,elDEAtieneque:

• Minimizarelmenoscaboa laobjetividadutilizandounaentidadcontratada(un tercero),oauditoresexternoscontratados,pararealizarlasauditoríasdeaquellasáreasquereportanalDEA.

• ConfirmarquelaspersonasconresponsabilidadoperativasobreaquellasáreasquereportanalDEAnoparticipenenauditoríasdeesaoperación.

• AsegurarquelosauditoresquerealizaneltrabajodeaseguramientodeaquellasáreasquereportanalDEAesténsupervisadosporla alta dirección yel consejodeadministración, y reporten losresultadosdeltrabajoaéstos.

• Declararlaresponsabilidadoperativadelauditorparaesafunción,lasignificatividaddelaoperaciónparalaorganización(entérminosdeingresos,gastosuotrainformaciónpertinente),ylarelacióndeaquellosqueauditaronlafunción.


5. La responsabilidadoperativadelauditordebeserdeclaradaenelinformedeauditoríacorrespondientealasáreasquereportanalDEAyenlacomunicaciónestándardelauditoralconsejodeadministración.Losresultadosdelaauditoríatambiénpuedenserdiscutidosconladirecciónyotraspartesinteresadasapropiadas.LadeclaracióndelmenoscabonoanulaelrequisitodequelostrabajosdeaseguramientoparafuncionesporlascualeselDEAtieneresponsabilidadesdebenser supervisadosporun tercero fuerade laactividaddeauditoríainterna.

***


Consejo para la Práctica 1200-1Aptitud y Cuidado Profesional

Norma principalmente relacionada

1200 – Aptitud y cuidado profesionalLos trabajos deben cumplirse con aptitud y cuidado profesionaladecuados.

1. La aptitud y el cuidado profesional son responsabilidades delDirectorEjecutivodeauditoría(DEA)ydecadaauditorinterno.El DEA, en su calidad de director, debe asegurar que laspersonas asignadas a cada trabajo posean, en conjunto, losconocimientos, técnicas y otras competencias para realizar eltrabajoadecuadamente.

2. Elcuidadoprofesionalsignificacumplir conelCódigodeÉticay,sicorresponde,conelcódigodeconductadelaorganización,asícomodeloscódigosdeconductadelasotrasdesignacionesprofesionalesquepueda tenerelauditor interno.ElCódigodeÉticaabarcamuchomásque ladefinicióndeauditoría interna,llegandoaincluirdoscomponentesesenciales.

• Principiosquesonrelevantesparalaprofesiónyelejerciciodela auditoría interna: integridad, objetividad, confidencialidad ycompetencia.

• Reglasdeconductaquedescribenlasnormasdecomportamientoqueseesperaqueseanobservadasporlosauditoresinternos.Estasreglassonunaayudaparainterpretarlaaplicaciónprácticadelosprincipios.Suintenciónesregularlaconductaéticadelosauditoresinternos.

***


Consejo para la Práctica 1210-1:Aptitud


1210 – AptitudLosauditoresinternosdebenreunir losconocimientos, lasaptitudesyotrascompetenciasnecesariasparacumplirconsusresponsabilidadesindividuales. La actividaddeauditoría interna, colectivamente, debereuniruobtenerlosconocimientos,lasaptitudesyotrascompetenciasnecesariasparacumplirconsusresponsabilidades.

Interpretación:Los conocimientos, las aptitudes y otras competencias es un término colectivo que se refiere a la aptitud profesional requerida al auditor interno para llevar a cabo eficazmente sus responsabilidades profesionales. Se alienta a los auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como la designación de auditor interno certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas. 1. Losconocimientos,técnicasyotrascompetenciasalasqueserefieren

lasnormas,comprendenlosiguiente:• Aptitudparalaaplicacióndelasnormas,procedimientosytécnicas

deauditoríainternaaldesempeñarlostrabajos.Seentiendeporaptitud,lahabilidadparaaplicarelconocimientoalassituacionesque se puedan producir y a gestionarlas adecuadamente sinrecurriraextensasinvestigacionestécnicasyasistencia.

• Aptitudenlosprincipiosytécnicascontablessilosauditoresinternostrabajanregularmenteconregistroseinformesfinancieros.

• Conocimientosparaidentificarlosindicadoresdefraude.• Conocimientosdelosriesgosclavedetecnologíainformáticay

suscontroles,ydelastécnicasdisponiblesdeauditoríabasadasentecnología.

• Comprensión de los principios de dirección, para reconocer yevaluarlamaterialidadysignificatividaddelasdesviacionesdelasprácticasempresarialescorrectas.Estacomprensiónsignifica


lahabilidadparaaplicarampliosconocimientosalassituacionesque puedan presentarse, para reconocer las desviacionessignificativas,ypoderllevaracabolasinvestigacionesnecesariasconelfindeproponersolucionesrazonables.

• Unaapreciacióndelosfundamentosdetemasdenegociostalescomo contabilidad, economía, derechomercantil, tributación,finanzas,métodos cuantitativos, tecnología de la información,gestiónderiesgosyfraude.Estaapreciaciónsignificalahabilidadparareconocerlaexistenciadeproblemasrealesopotencialesypara identificar las investigacionesadicionalesa realizaro laayudaaobtener.

• Cualidadesparatratarconlaspersonas,comprenderlasrelacioneshumanasymantenerrelacionessatisfactoriasconlosclientesdelostrabajos.

• Capacidadesparacomunicarsedeformaoralyporescrito,conelfindetransmitirdeformaclarayeficazasuntostalescomolosobjetivos,evaluaciones,conclusionesyrecomendacionesdelostrabajos.

2. ElDirectorEjecutivodeauditoría(DEA)debeestablecerloscriteriosapropiadosdeeducaciónyexperienciaparacubrir lospuestosdeauditoríainterna,teniendoencuentaelalcancedeltrabajoyelnivelderesponsabilidad.ElDEAdebeobtenerunaseguridadrazonabledelascualidadesyaptitudesdecadacandidato.

3. La actividad de auditoría interna, en conjunto, debe poseer losconocimientos, técnicas y demás competencias imprescindiblesparalaprácticadelaprofesióndentrodelaorganización.Llevaracabounanálisisanualde losconocimientos,habilidadesydemáscompetencias que posee la actividad de auditoría interna ayudaa identificar las áreas de oportunidadquepueden ser afrontadasmedianteeducaciónprofesionalcontinua,contratacióndepersonal,oexternalizaciónconjunta(co-sourcing).

4. La educación profesional continua es esencial para ayudar aasegurarqueelpersonaldeauditoríainternamantengalasaptitudesdebidas.

5. ElDEApuedeobtenerlaayudadeexpertosajenosalaactividaddeauditoría internaparaapoyarocomplementar lasáreasenque laactividadnoposealassuficientesaptitudes.


Consejo para la Práctica 1210.A1-1:Obtención de Proveedores Externos de Servicios para Apoyar o

Complementar la Actividad de Auditoría Interna

Norma principalmente relacionada1210.A1-ElDirectorEjecutivodeauditoríadebeobtenerasesoramientoyasistenciacompetentesencasodequelosauditoresinternoscarezcandelosconocimientos,lasaptitudesuotrascompetenciasnecesariasparallevaracabolatotalidadopartedeltrabajo

1. Cadamiembrode laactividaddeauditoría internanonecesitaestarcualificadoentodaslasdisciplinas.Laactividaddeauditoríainterna puede utilizar proveedores externos de servicios orecursos internos que estén cualificados en disciplinas talescomo contabilidad, auditoría, economía, finanzas, estadística,tecnología de la información, ingeniería, tributación, derecho,medioambienteyotrasáreassegúnseanecesarioparacumplirsusresponsabilidades.

2. Unproveedorexternodeserviciosesunapersonaoempresa,independientedelaorganización,quetieneconocimientos,técnicayexperienciaespecialesenunadisciplinaenparticular.Entrelosproveedoresexternosde servicios se incluyena losactuarios,contables,tasadores,expertosenidiomasoculturas,expertosenmedioambiente,investigadoresdefraudes,abogados,ingenieros,geólogos, expertos en seguridad, estadísticos, expertos entecnologíainformática,losauditoresexternosdelaorganización,y otras organizaciones de auditoría.Unproveedor externo deserviciospuedesercontratadoporelconsejodeadministración,laaltadirecciónoelDirectorEjecutivodeauditoría(DEA).

3. Losproveedoresexternosdeserviciospuedenserutilizadosporlaactividaddeauditoríainternaparaasuntosrelacionadosconlossiguientes,entreotros:

• Ellogrodelosobjetivosdelprogramadetrabajo.• Tareasdeauditoríaparalasquesenecesitenconocimientos

y técnica especializados tales como tecnología de lainformación, estadística, tributación o traducción deidiomas.


• Tasacióndeactivostalescomotierrasyedificios,obrasde arte, piedras preciosas, inversiones y complejosinstrumentosfinancieros.

• Determinación de cantidades o condiciones físicasde ciertos bienes tales comominerales o reservaspetroleras.

• Medición de la obra terminada y pendiente deejecutarparacontratosencurso.

• Investigacionesdefraudeyseguridad.• Cálculodecantidadesutilizandométodosespecializados

talescomoelcálculoactuarialdelasobligacionesreferidasalasprestacionesdelosempleados.

• Interpretación de requerimientos legales, técnicos yregulatorios.

• Evaluacióndelprogramadeaseguramientoymejoradelacalidaddelaactividaddeauditoríainterna,encumplimientodelasNormas Internacionales para el Ejercicio Profesional de la Auditoría Interna(lasNormas).

• Fusionesyadquisiciones.• Consultoríasobregestiónderiesgosyotrosasuntos.

4. Cuando el DEAPretenda utilizar y confiar en el trabajo de unproveedorexternodeservicios,debetenerencuentalacompetencia,independencia y objetividad de dicho proveedor con respecto altrabajo enparticular a realizar. La evaluaciónde la competencia,independencia y objetividad también debe realizarse cuando elproveedorexternodeserviciosesseleccionadoporlaaltadirecciónoelconsejodeadministraciónyelDEApretendeutilizaryconfiareneltrabajodeaquél.CuandolaselecciónlaefectúanotraspersonasylaevaluaciónrealizadaporelDEAllegaalaconclusióndequenosedeberíautilizarniconfiareneltrabajodelproveedorexternodeservicios,debencomunicarseestosresultadosalaaltadirecciónoalconsejodeadministración,segúnproceda.

5. ElDEAdeterminaqueelproveedorexternodeserviciosposeelosnecesarios conocimientos, técnicas y demás competencias pararealizareltrabajo,teniendoencuentalosiguiente:


• Lacertificaciónprofesional,licenciauotroreconocimientodelacompetenciadelproveedorexternodeserviciosenladisciplinarelevante.

• Lacalidaddeasociadoaunaorganizaciónprofesionaladecuadaylaadhesiónasucódigodeética,porpartedelproveedorexternodeservicios.

• La reputación del proveedor externode servicios.Esto puederequerirponerseencontactocontercerosqueesténfamiliarizadosconeltrabajodeaquél.

• Laexperienciadelproveedorexternodeservicioseneltipodetrabajoqueseestéconsiderando.

• El gradodeestudios y la formación recibida por el proveedorexternodeserviciosenaquellasdisciplinasrelacionadasconeltrabajoenparticular.

• Elconocimientoylaexperienciadelproveedorexternodeserviciosdentrodelsectorenelqueoperalaorganización.

6. ElDirectorEjecutivo de auditoría necesita evaluar la relación delproveedorexternodeserviciosconlaorganizaciónyconlaactividaddeauditoríainternaparaasegurarquelaindependenciayobjetividadsemantengandurantetodoeltrabajo.Alrealizarlaevaluación,elDEAverificaquenoexistaningunarelaciónfinanciera,deorganizaciónopersonalqueimpidaalproveedorexternodeserviciosemitirjuiciosyopinionesimparcialesysindesvíoscuandorealizaeltrabajooinformasobreelmismo.

7. ElDEAevalúalaindependenciayobjetividaddelproveedorexternodeserviciosconsiderandolosiguiente:• Losinteresesfinancierosqueelproveedorexternodeservicios

puedatenerenlaorganización.• Laasociaciónpersonaloprofesionalqueelproveedorexterno

deserviciospuedatenerconelconsejodeadministración,laaltadirecciónuotrosdentrodelaorganización.

• Larelaciónqueelproveedorexternodeserviciospuedahabertenido con la organización o con las actividades objeto derevisión.


• Lamedidadeotrosservicioscontinuosqueelproveedorexternodeserviciospuedaestarprestandoparalaorganización.

• Loshonorariosuotrosincentivosquepuedatenerelproveedorexternodeservicios.

8. Sielproveedorexternodeserviciosexternosestambiénelauditorexterno de la organización y la naturaleza del trabajo asignadoconsista en ampliar los servicios de auditoría, elDEA tiene quegarantizarqueeltrabajorealizadonomenoscabelaindependenciadelauditorexterno.Laampliacióndelosserviciosdeauditoríaserefiereaaquellosserviciosmásalládelosrequisitosdelasnormasdeauditoríageneralmenteaceptadasporlosauditoresexternos.Silosauditoresexternosdelaorganizaciónactúanoparecequeactúancomomiembrosdelaaltadirecciónodelaadministración,ocomoempleados de la organización, entonces su independencia estáafectada.Además,losauditoresexternospuedenproporcionaralaorganizaciónotrosserviciostalescomotributaciónyconsultoría.Laindependenciadebeevaluarseconrespectoalagamacompletadeserviciosprestadosalaorganización.

9. Para garantizar que el alcance del trabajo sea adecuado paralospropósitosde laactividaddeauditoría interna,elDEAobtieneinformaciónsuficienterespectoalalcancedeltrabajodelproveedorexternodeservicios.Puedeserprudentedocumentarestayotrascuestionesenunacartaocontrato.Paralograresto,elDEArevisaconelproveedorexternodeservicioslosiguiente:

• Objetivos y alcance del trabajo, incluyendo los resultados aentregarylostiempos.

• Temasespecíficosqueesperancubrirseenlascomunicacionesdeltrabajo.

• Accesoalosregistros,alaspersonasyalaspropiedadesfísicasrelevantes.

• Informaciónsobrelossupuestosyprocedimientosaemplear.

• Propiedadycustodiadelospapelesdetrabajo,sicorresponde.

• Confidencialidad y restricciones sobre la información obtenidaduranteeltrabajo.


• Siesaplicable,elcumplimientodelasNormasydelasnormasdelaactividaddeauditoríainternareferidasalasprácticasdeltrabajo.

10.Al revisarel trabajodeunproveedorexternodeservicios,elDEAevalúa laadecuacióndel trabajo realizado, loque incluyeconocersilainformaciónobtenidaessuficienteparaproporcionarunabaserazonabletantoalasconclusionesalcanzadascomoalaresolucióndeexcepcionesuotrascuestionesinusuales.

11.CuandoelDEAemitecomunicacionesdeltrabajo,ysehayanutilizadolosserviciosdeunproveedorexternodeservicios,elDEApuedemencionardichosserviciosprestados,siloconsideraapropiado.Elproveedorexternodeserviciosdebeestarinformadoy,sicorresponde,llegaraunacuerdoconelmismoantesdeincluirdichareferenciaenlascomunicacionesdeltrabajo.

***


Consejo para la Práctica 1220-1:Cuidado Profesional


1220 – Cuidado profesional Los auditores internos deben cumplir su trabajo con el cuidado y laaptitudqueseesperandeunauditorinternorazonablementeprudenteycompetente.Elcuidadoprofesionaladecuadonoimplicainfalibilidad.1. Elcuidadoprofesionalexigelaaplicacióndelcuidadoyconocimientos

que se esperan de un auditor interno razonablemente prudentey competente en iguales o similares circunstancias. El cuidadoprofesionales,portanto,elapropiadoparalascomplejidadesdeltrabajoenejecución.Ejercerelcuidadoprofesionalimplicaquelosauditoresinternosesténalertasalaposibiliuniversitariosydeautoestudio;ymediantelaparticipaciónenproyectosdeinvestigación.

2. Sealientaalosauditoresinternosademostrarsuaptitudmediantelaobtencióndeunacertificaciónprofesionalapropiada,talcomoladesignaciónCIA(Certified Internal Auditor–AuditorInternoCertificado),otrasdesignacionesofrecidasporelInstitutodeAuditoresInternosyotrasdesignacionesrelacionadasconauditoríainterna.

3. SealientaalosauditoresinternosaobtenerEPC(relacionadaconlasactividadesyelsectoreconómicodesuorganización)conelfindemantenersuaptitudrespectoalosprocesosdegobierno,riesgosycontroldesuorganizaciónenparticular.

4. Los auditores internos que desempeñan trabajos de auditoría yconsultoríadeespecialización,talescomotecnologíadelainformación,tributación,asuntosactuarialesodiseñodesistemas,puedenllevaracaboEPCespecializadaparapermitirlesdesempeñarsutrabajodeauditoríainternaconlasaptitudesadecuadas.

5. Los auditores internos con certificaciones profesionales sonresponsables de obtener la suficiente EPC para satisfacer losrequisitosdelacertificaciónprofesionalqueposeen.

6. Se alienta a los auditores internos que actualmente no poseancertificacionesprofesionales apropiadasa seguir un programadeformaciónoestudiosindividualesquelesayudenaobtenerlas.


Consejo para la Práctica 1230-1:Desarrollo Profesional Continuo


1230 – Desarrollo profesional continuoLosauditoresinternosdebenperfeccionarsusconocimientos,aptitudesyotrascompetenciasmediantelacapacitaciónprofesionalcontinua.1. Losauditoresinternossonresponsablesdecontinuarsuformación

a fin demejorar ymantener su competencia profesional. Losauditores internos debenmantenerse informados de lasmejorasy de la evolución de las normas, procedimientos y técnicas deauditoríainterna,incluyendolaguíaprofesionaldenominadaMarcoInternacionalparalaPrácticaProfesional(MIPP)queemiteelInstitutodeAuditoresInternos.Laeducaciónprofesionalcontinua(EPC)sepuedeobtener haciéndose socio, participando y trabajando comovoluntarioenorganizacionesprofesionalestalescomoelInstitutodeAuditoresInternos;mediantelaasistenciaaconferencias,seminariosyprogramasinternosdeformación;mediantelaasistenciaygraduaciónencursosuniversitariosydeautoestudio;ymediantelaparticipaciónenproyectosdeinvestigación.

2. Sealientaalosauditoresinternosademostrarsuaptitudmediantelaobtencióndeunacertificaciónprofesionalapropiada,talcomoladesignaciónCIA(Certified Internal Auditor–AuditorInternoCertificado),otrasdesignacionesofrecidasporelInstitutodeAuditoresInternosyotrasdesignacionesrelacionadasconauditoríainterna.

3. SealientaalosauditoresinternosaobtenerEPC(relacionadaconlasactividadesyelsectoreconómicodesuorganización)conelfindemantenersuaptitudrespectoalosprocesosdegobierno,riesgosycontroldesuorganizaciónenparticular.

4. Los auditores internos que desempeñan trabajos de auditoría yconsultoríadeespecialización,talescomotecnologíadelainformación,tributación,asuntosactuarialesodiseñodesistemas,puedenllevaracaboEPCespecializadaparapermitirlesdesempeñarsutrabajodeauditoríainternaconlasaptitudesadecuadas.

5. Los auditores internos con certificaciones profesionales son


responsables de obtener la suficiente EPC para satisfacer losrequisitosdelacertificaciónprofesionalqueposeen.

6. Se alienta a los auditores internos que actualmente no poseancertificacionesprofesionales apropiadasa seguir un programadeformaciónoestudiosindividualesquelesayudenaobtenerlas.

***


Consejo para la Práctica 1300-1:Programa de Aseguramiento y Mejora de la Calidad


1300 – Programa de aseguramiento y mejora de la calidadElDirectorEjecutivodeauditoríadebedesarrollarymantenerunprogramadeaseguramientoymejoradelacalidadquecubratodoslosaspectosdelaactividaddeauditoríainterna.

Interpretación:Un programa de aseguramiento y mejora de la calidad está concebi-do para permitir una evaluación del cumplimiento de la definición de auditoría interna y las Normas por parte de la actividad de auditoría interna, y una evaluación de si los auditores internos aplican el Código de Ética. Este programa también evalúa la eficiencia y eficacia de la actividad de auditoría interna e identifica oportunidades de mejora.

1. ElDirectorEjecutivodeauditoría(DEA)eselresponsabledeestable-cerunaactividaddeauditoríainternacuyoalcancedetrabajoincluyatodaslasactividadesestablecidasenlasNormasyenladefinicióndeauditoríainterna.Paraasegurarqueestoocurra,laNorma 1300 exigequeelDEAelaboreymantengaunprogramadeaseguramientoymejoradelacalidad(PAMC).

2. ElDEAeselresponsabledeimplantarprocesosqueproporcionenunaseguramientorazonablealasdiversaspartesinteresadasenlaactividaddeauditoríainterna,dequelamisma:• Sedesempeñadeacuerdoconelestatutodeauditoríainterna,el

cualdebeserconsistenteconlaDefinicióndeAuditoríaInterna,elCódigodeÉticaylasNormas.

• Operadeformaeficazyeficiente.• Espercibidaporaquellaspartesinteresadascomounelemento

queagregavalorymejoralasoperacionesdelaorganización.Estos procesos incluyen la supervisión adecuada, evaluacionesinternas periódicas y vigilancia continua del aseguramiento decalidad,yevaluacionesexternasperiódicas.


3. El PAMCdebe ser suficientemente integral demodo de abarcartodos losaspectosde la operación y gestióndeunaactividaddeauditoría interna,segúnseestableceen laDefinicióndeAuditoríaInterna,elCódigodeÉticaylasNormas,yenlasmejoresprácticasde la profesión. El PAMC es realizado por el DEA o bajo susupervisióndirecta.Exceptoenlasactividadesdeauditoríainternadepequeñotamaño,elDEAgeneralmentedelegarálamayoríadelasresponsabilidadesdelPAMCasussubordinados.Enambientesdegrantamañoocomplejos(porejemplo,variasunidadesdenegocioolocalizaciones),elDEAestableceunafuncióndelPAMC,encabezadaporunejecutivodeauditoríainterna,independientedelossegmentosdeauditoríayconsultoríadelaactividaddeauditoríainterna.Estepersonal ejecutivo (y limitado) administra y vigila las actividadesnecesariasparaunPAMCexitoso.

***


Consejo para la Práctica 1310-1:Requisitos del Programa de Aseguramiento y Mejora de la Calidad


1310 – Requisitos del programa de aseguramiento y mejora de la calidad Elprogramadeaseguramientoymejoradelacalidaddebeincluirtantoevaluacionesinternascomoexternas.1. Unprogramadeaseguramientoymejorade lacalidad(PAMC)es

unaevaluacióncontinuayperiódicadelespectrocompletodeltrabajodeauditoríayconsultoríallevadoacaboporlaactividaddeauditoríainterna.Estasevaluacionescontinuasyperiódicasestáncompuestasporprocesosrigurososeintegrales;supervisiónypruebascontinuasdeltrabajodeauditoríainternayconsultoría;yvalidacionesperiódicasdelcumplimientodelaDefinicióndeAuditoríaInterna,elCódigodeÉticaylasNormas.Estotambiénincluyelasmedicionesyanálisiscontinuosdeindicadoresdedesempeño(porejemplo,cumplimientodel plandeauditoría interna, ciclosde tiempos, recomendacionesaceptadas y satisfacción del cliente). Si los resultados de estasevaluacionesindicanáreasdemejoraparalaactividaddeauditoríainterna, elDirectorEjecutivodeauditoría (DEA) implementará lasmismasmedianteelPAMC.

2. Losaseguramientosevalúanydanunaconclusiónsobrelacalidaddelaactividaddeauditoríainternayaportanrecomendacionesparalasmejorasapropiadas.LosPAMCcomprendenunaevaluacióndelosiguiente:• CumplimientodelaDefinicióndeAuditoríaInterna,elCódigode

ÉticaylasNormas,incluyendolasaccionescorrectivasoportunasparasolucionarcualquiercasosignificativodeincumplimiento.

• Adecuacióndelestatuto,lasmetas,losobjetivos,laspolíticasylosprocedimientosdelaactividaddeauditoríainterna.

• Contribucióna losprocesosdegobierno, gestiónde riesgos ycontroldelaorganización,

• Cumplimiento de las leyes, reglamentaciones y normasgubernamentalesodelsectoreconómicoaplicables.


• Eficaciadelastareasdemejoracontinuayadopcióndemejoresprácticas.

• Si la actividad de auditoría interna agrega valor ymejora lasoperacionesdelaorganización.

3. LosPAMCtambiénincluyenelseguimientodelasrecomendacionesque implican lamodificación apropiada y oportuna de recursos,tecnología,procesosyprocedimientos.

4. Afindeproporcionarresponsabilidadytransparencia,elDEAcomunicalosresultadosdelasevaluacionesexternasdeprogramasdecalidady,sicorresponde,delasevaluacionesinternasdeprogramasdecalidad,alasdiversaspartesinteresadasenlaactividad(talescomolaaltadirección,elconsejodeadministraciónylosauditoresexternos).Almenosunavezalaño,elDEAinformaalaaltadirecciónyalconsejodeadministraciónrespectodelastareasyresultadosdelprogramadecalidad.

***


Consejo para la Práctica 1311-1Evaluaciones Internas


1311 – Evaluaciones internasLasevaluacionesinternasdebenincluir:

• Elseguimientocontinuodeldesempeñodelaactividaddeauditoríainterna,y

• Revisionesperiódicasmediante autoevaluaciónopor parte deotras personas dentro de la organización con conocimientossuficientesdelasprácticasdeauditoríainterna.

Interpretación:El seguimiento continuo forma parte integral de la supervisión, revisión y medición del día a día de la actividad de auditoría interna. Está incorporada en las prácticas y políticas de rutina usadas para administrar la actividad de auditoría interna, y utiliza procesos, herramientas e información considerados necesarios para evaluar el cumplimiento de la definición de auditoría interna y las Normas, y la aplicación del Código de Ética. Las revisiones periódicas son evaluaciones de propósito especial para evaluar el cumplimiento de la definición de auditoría interna, el Código de Ética y las Normas.. Los conocimientos suficientes de las prácticas de auditoría interna requieren un entendimiento de todos los elementos del Marco Internacional para la Práctica Profesional.

1. Los procesos y herramientas utilizados en las evaluacionesinternascontinuasincluyen:• Supervisióndeltrabajo;• Usodelistasdeverificación(checklists)yprocedimientos(por

ejemplo,enunmanualdeauditoríayprocedimientos);• Retroalimentacióndelosclientesdeauditoríayotraspartes

interesadas;• Revisiónentrepares,deunaseleccióndepapelesdetrabajo,


llevadaacaboporpersonalnoimplicadoenlasrespectivasauditorías;

• Presupuestos de los proyectos, sistemas de control detiempos,concrecióndelplandeauditoríayrecuperacióndecostos;y

• Análisisdeotrasmedicionesdedesempeño(talescomociclodetiemposyrecomendacionesaceptadas).

2. Se sacan conclusiones respecto de la calidad del desempeñocontinuoysetomanaccionesdeseguimientoafindeasegurarqueseimplementenlasmejorasapropiadas.

3. ElManual de Evaluación de Calidad publicadopor el Instituto deAuditoresInternos,oalgúnconjuntosimilardeguíasprofesionalesyherramientas,debeservirdebaseparalasevaluacionesinternasperiódicas.

4. Lasevaluacionesinternasperiódicaspueden:• Incluirentrevistasyencuestasmásprofundasalosgrupos

departesinteresadas.• Ser realizadas pormiembros de la actividad de auditoría

interna(autoevaluación).• SerrealizadasporAuditoresInternosCertificados(Certified

Internal Auditors-CIAs),uotrosprofesionalescompetentesdeauditoríaqueesténasignadosacualquierotrosectordelaorganización.

• Abarcarunacombinacióndeautoevaluaciónypreparacióndemateriales posteriormente revisados porCIAs u otrosprofesionalescompetentesdeauditoría.

• Incluir una comparación (benchmarking) de las prácticasymediciones de desempeño de la actividad de auditoríainterna,conrespectoalasmejoresprácticasdelaprofesióndeauditoríainterna.

5. Unaevaluación internaperiódica, realizadaenun tiempocercanoanterioraunaevaluaciónexterna,puedefacilitaryreducirelcostodelaevaluaciónexterna.Silaevaluacióninternaperiódicalarealizaunrevisoroequipoderevisiónexterno,calificadoeindependiente,los


resultadosdelamismanodeberíantransmitirningúnaseguramientosobrelosresultadosquetendrálasiguienteevaluaciónexternadecalidad.El informepuedeofrecersugerenciasy recomendacionesparamejorar las prácticas de la actividaddeauditoría interna.Sila evaluación externa toma la forma de una autoevaluación convalidaciónindependiente,laevaluacióninternaperiódicapuedeservircomolaporcióndeautoevaluacióndeesteproceso.

6. SesacanconclusionesrespectodelacalidaddeldesempeñoyseinicianaccionesapropiadasparalograrlasmejorasyelcumplimientodelasNormas,segúnseanecesario.

7. ElDEAestableceunaestructuraparainformarlosresultadosdelasevaluaciones internas quemantenga la credibilidad y objetividadapropiadas. En general, aquellos a los que se les asignó laresponsabilidadderealizarrevisionescontinuasyperiódicasreportanalDEAcuandodesempeñanlasrevisionesycomunicansusresultadosdirectamentealDEA.

8. Almenosunavezalaño,elDEAinformaalaaltadirecciónyalconsejodeadministraciónsobrelosresultadosdelasevaluacionesinternas,losplanesdeacciónnecesariosysuimplantaciónadecuada.

***


Consejo para la Práctica 1312-1:

Evaluaciones ExternasNorma principalmente relacionada

1312 – Evaluaciones externasDebenrealizarseevaluacionesexternasalmenosunavezcadacincoañosporun revisoroequipode revisióncualificadoe independiente,provenientedefueradelaorganización.ElDirectorEjecutivodeauditoríadebetratarconelConsejo:

• Lanecesidaddeevaluacionesexternasmásfrecuentes,y• Lascualificacioneseindependenciadelrevisoroequipoderevisión

externo,incluyendocualquierconflictodeinteresespotencial.

Interpretación:Un revisor o equipo de revisión cualificado consiste en individuos competentes en la práctica profesional de la auditoría interna y del proceso de evaluación externa. La evaluación de la competencia del revisor o equipo de revisión es un juicio que considera la experiencia profesional en auditoría interna y las credenciales profesionales de los individuos seleccionados para realizar la revisión. La evaluación de las cualificaciones también tiene en cuenta el tamaño y complejidad de las organizaciones con las que los revisores hayan estado asociados en relación con la organización para la cual se está evaluando su actividad de auditoría interna, así como la necesidad de conocimientos técnicos, sobre un sector económico o área e particular. Un revisor o equipo de revisión independiente es aquél que no tiene conflictos de intereses reales o aparentes, y no forma parte ni está bajo el control de la organización a la cual pertenece la actividad de auditoría interna. 1. Lasevaluacionesexternascubrenelespectrocompletodeltrabajo

deauditoríayconsultoríallevadoacaboporlaactividaddeauditoríainternaynodebenestarlimitadasalaevaluacióndesuprogramadeaseguramientoymejorade lacalidad(PAMC).Paraobtenerelmayorbeneficiodeunaevaluaciónexterna,elalcancedel trabajotambién debería incluir una comparación con lamejor referencia


(benchmarking),identificacióneinformacióndelasprácticaslíderesquepuedanayudar a la actividad de auditoría interna a sermáseficiente y eficaz. Esto puede lograrsemediante una evaluaciónexternacompletarealizadaporunrevisoroequipoderevisiónexternocualificado e independiente, o bienmediante una autoevaluacióninternaintegralconvalidaciónindependienterealizadaporunrevisoroequipoderevisiónexternocualificadoeindependiente.Noobstante,elDEAdebeasegurarsedequeelalcanceestablezcaclaramentelosresultadosesperadosdelaevaluaciónexternaencadacaso.

2. Las evaluaciones externas de una actividad de auditoría internacontienenunaopiniónexpresarespectodelespectrocompletodeltrabajodeaseguramientoyconsultoríaquerealiza(oquedeberíahaberrealizadosegúnelestatutodeauditoría interna) laactividadde auditoría interna, incluyendo su cumplimiento de laDefinicióndeAuditoríaInterna,elCódigodeÉticay lasNormas,y,siresultaapropiado, incluye recomendaciones de mejora.Además delcumplimientode laDefinición,elCódigodeÉticay lasNormas,elalcancedelaevaluaciónseajustasegúnlocreaconvenienteelDEA,laaltadirecciónoelconsejodeadministración.EstasevaluacionespuedentenerunvalorconsiderableparaelDEAyotrosmiembrosde la actividad de auditoría interna, especialmente cuando secompartenmejoresprácticasycomparaciónconlamejorreferencia(benchmarking).

3. Al terminar la revisiónseenvíaunacomunicación formala laaltadirecciónyalconsejodeadministración.

4. Haydosenfoquesparalasevaluacionesexternas.Elprimerenfoqueesunaevaluaciónexternacompletarealizadaporunrevisoroequipoderevisióncualificadoeindependiente.Esteenfoqueimplicaunequipoexternodeprofesionalescompetentesbajoelliderazgodeungerentedeproyectoprofesionalyexperimentado.Elsegundoenfoqueimplicaelusodeunrevisoroequipoderevisióncualificadoeindependientequerealiceunavalidaciónindependientedelaautoevaluacióninternaydeuninformeelaboradoporlaactividaddeauditoríainterna.Losrevisores externos independientes deben sermuy versadosen laconduccióndeprácticasdeauditoríainterna.

5. Laspersonasquerealizanlaevaluaciónexternaseencontraránlibresdeobligacionesointeresesrespectodelaorganizacióncuyaactividad


deauditoríainternaestásiendosujetaaunaevaluaciónexterna,odesupersonal.ElDEA,enconsultaconelconsejodeadministración,tendráencuentalossiguientesaspectosreferidosalaindependenciacuandoseleccionealrevisoroequipoderevisiónexternocualificadoeindependiente:• Cualquierconflictodeinteresesrealoaparentedelasfirmasque

proporcionan:- Laauditoríaexternadelosestadoscontables.- Servicios de consultoría significativos en las áreas de

gobierno, gestión de riesgos, información financiera,controlinternoyotrasáreasrelacionadas.

- Asistencia a la actividad de auditoría interna. Lasignificatividad y cantidadde trabajo desempeñadoporelproveedordeserviciosprofesionalesdebetenerseencuentaenladeliberación.

• Cualquier conflicto de intereses real o aparente de anterioresempleados de la organización que pudieran desempeñar laevaluación.Se tendráen cuenta la cantidadde tiempoque lapersonahasidoindependientedelaorganización.

• Laspersonasque realizan laevaluaciónserán independientesdelaorganizacióncuyaactividaddeauditoríainternaestásujetaa evaluación y no tendránningún conflicto de intereses real oaparente. “Independiente de la organización” significa que noformaparteniestábajoelcontrolde laorganizacióna lacualpertenecelaactividaddeauditoríainterna.Enlaseleccióndeunrevisoroequipoderevisiónexterno,cualificadoeindependiente,setendráencuentatodoconflictodeinteresesrealoaparentequeelrevisorpuedatenerdebidoasurelaciónpresenteopasadaconlaorganizaciónosuactividaddeauditoríainterna,incluyendolaparticipacióndelrevisorenevaluacionesinternasdecalidad.

• Laspersonasqueestánenotrodepartamentodelaorganizaciónoenunaorganizaciónrelacionada,aunqueesténenunaorganizaciónseparadadelaactividaddeauditoríainterna,nosonconsideradasindependientesalosfinesderealizarunaevaluaciónexterna.Una“organizaciónrelacionada”puedeserlacasamatriz,unaafiliadadelmismogrupodeentidadesounaentidadconresponsabilidades


habitualesdevigilancia,supervisiónoaseguramientodecalidadrespectodelaorganizaciónsujetaalaevaluaciónexterna.

• Conflictosrealesoaparentesenlosacuerdosderevisiónentreiguales.Puedeestablecerseunacuerdoderevisiónentreigualesportresomásorganizaciones(porejemplo,dentrodeunsectoreconómicouotrogrupodeafinidad,asociaciónregional,uotrogrupodeorganizaciones,exceptoenelcasode“organizacionesrelacionadas”definidasenelpuntoanterior),estructuradosdetalformadepaliareltemadelaindependencia,perodeberátenersecuidadodeasegurarquenosurjaunproblemadeindependencia.Lasrevisionesentreparesrealizadasporsólodosorganizacionesnosuperaríanlapruebadelaindependencia.

• Parasuperarlacuestióndeunmenoscaborealoaparentealaindependenciaeninstanciastalescomolasmencionadasenestasección,unaomáspersonasindependientespodríanformarpartedelequipodeevaluaciónexternaconelfindevalidardeformaindependienteeltrabajodelequipodeevaluaciónexterna.

6. La integridadrequiere que los revisores seanhonestos y francosdentrodeloslímitesdelaconfidencialidad.Elservicioylaconfianzapúblicanodebenestarsubordinadosalagananciayventajapersonal.Laobjetividadesunestadomentalyunacualidadquedavaloralosservicios de los revisores.El principio de la objetividad impone laobligacióndeserimparcial,intelectualmentehonestoyestarlibredeconflictodeintereses.

7. Eldesempeñoylacomunicacióndelosresultadosdeunaevaluaciónexternarequierenelejerciciodeljuicioprofesional.Porconsiguiente,unapersonaquesedesempeñacomorevisorexternodebería:• Serauditorinternoprofesionalcertificadoycompetente,queposea

conocimientosactualizadosyprofundosdelasNormas.• Encontrarsebien familiarizado con lasmejoresprácticasde la

profesión.• Teneralmenostresañosdeexperienciarecienteenelejercicio

deauditoríainternaoconsultoríarelacionada,anivelgerencial.Los líderes de equipos de revisión independiente y los revisoresexternos que realizan validación independiente de los resultados delaautoevaluacióndeberían tenerunniveladicionaldecompetenciay


experienciaquehayanobtenidotrabajandoanteriormentecomomiembrosdeequipoenunaevaluaciónexternadecalidad,deberíanhaberrealizadoun curso de capacitación en evaluación de calidad del Instituto deAuditoresInternosouncursosimilar,ydeberíantenerexperienciadenivelsuperiorenlagestióndeauditoría interna,comoDEAounnivelcomparable.8. Losrevisoresdeberíanteneraptitudestécnicasrelevantesyposeer

experienciarelevanteenelsectoreconómicopertinente.Laspersonasconexperienciaenotrasáreasdeespecializaciónpuedenayudaralequipo.Porejemplo,losespecialistasengestiónderiesgoempresarial,auditoría de tecnología de la información,muestreo estadístico,sistemasdevigilanciadelasoperacionesoautoevaluacióndecontrol,puedenparticiparenciertossegmentosdelaevaluación.

9. ElDEAhará que la alta dirección y el consejo de administraciónparticipenenelprocesodeseleccióndelenfoqueydelproveedordelaevaluaciónexternadecalidad.

10.La evaluaciónexternadebe consistir en una cobertura deamplioalcance que incluya los siguientes elementos de la actividad deauditoríainterna:• ElcumplimientodelaDefinicióndeAuditoríaInterna,elCódigo

de Ética y lasNormas; y el estatuto, los planes, políticas,procedimientos, prácticas, requisitos legales y regulacionesaplicablesalaactividaddeauditoríainterna,

• Lasexpectativasdelaactividaddeauditoríainternaexpresadasporelconsejodeadministración,laaltadirecciónylosgerentesoperativos,

• Laintegracióndelaactividaddeauditoríainternaenelprocesodegobiernodelaorganización,incluyendolasrelacionesentrelosgruposclavequeparticipaneneseproceso,

• Las herramientas y técnicas empleadas por la actividad deauditoríainterna,

• Lamezcladeconocimientos,experienciaydisciplinasdentrodelpersonal,incluyendoelenfoquedelpersonalenlamejoradelosprocesos,y

• Determinarsilaactividaddeauditoríainternaagregavalorymejoralasoperacionesdelaorganización.


11.LosresultadospreliminaresdelarevisiónsecomentaránconelDEAduranteelprocesodeevaluaciónyalconcluirelmismo.LosresultadosfinalessecomunicaránalDEAuotraautoridadquehayaautorizadolarevisión,preferentementeenviandocopiadirectamentealosmiembrosapropiadosdelaaltadirecciónydelconsejodeadministración.

12.Lacomunicaciónincluyelosiguiente:• UnaopiniónrespectodelcumplimientodelaDefinición,elCódigo

deÉtica y lasNormas por parte de la actividad de auditoríainterna, basadaenunprocesoestructuradode calificación.Eltérmino“cumplimiento”significaquelasprácticasdelaactividadde auditoría interna, tomadas como un todo, satisfacen losrequisitosdelaDefinición,elCódigodeÉticaylasNormas.Deformasimilar,la“faltadecumplimiento”significaqueelimpactoylagravedaddelasdeficienciasenlasprácticasdelaactividadde auditoría interna son tan significativas quemenoscaban lacapacidaddelaactividaddeauditoría internaparacumplirconsusresponsabilidades.Elgradode“cumplimientoparcial”conlaDefinición,elCódigodeÉticayciertasNormas,siesrelevanteparalaopinióngeneral,tambiéndeberíaexpresarseenelinformesobrelaevaluaciónindependiente.Laexpresióndeunaopiniónacerca de los resultados de la evaluación externa requiere laaplicacióndebuenjuicioparalosnegocios,integridadyaptitudprofesional.

• Unaevaluaciónydeterminacióndelusodelasmejoresprácticas,tanto las observadas durante la evaluación como aquellasaplicablespotencialmentealaactividad.

• Recomendacionesdemejora,cuandoresultenapropiadas.• Las respuestasdelDEAque incluyanunplandeacciónysus

fechasdeimplementación.

13.Paraproporcionarresponsabilidadytransparencia,elDEAcomunicalosresultadosdelasevaluacionesexternasdecalidad,asícomolosdetallesdelplandeacciónparasolucionarlosproblemassignificativosylainformaciónposteriorrespectodelcumplimientodeaquellosplanesdeacción, a los diversos interesadosen la actividaddeauditoríainterna,talescomolaaltadirección,elconsejodeadministraciónylosauditoresexternos.


Consejo para la Práctica 1312-2: Evaluaciones Externas:

Autoevaluación con Validación Independiente


1312 – Evaluaciones externasDebenrealizarseevaluacionesexternasalmenosunavezcadacincoañosporun revisoroequipode revisióncualificadoe independiente,provenientedefueradelaorganización.ElDirectorEjecutivodeauditoríadebetratarconelConsejo:

• Lanecesidaddeevaluacionesexternasmásfrecuentes,y• Lascualificacioneseindependenciadelrevisoroequipode

revisiónexterno,incluyendocualquierconflictodeinteresespotencial.

Interpretación:Un revisor o equipo de revisión cualificado consiste en individuos competentes en la práctica profesional de la auditoría interna y del proceso de evaluación externa. La evaluación de la competencia del revisor o equipo de revisión es un juicio que considera la experiencia profesional en auditoría interna y las credenciales profesionales de los individuos seleccionados para realizar la revisión. La evaluación de las cualificaciones también tiene en cuenta el tamaño y complejidad de las organizaciones con las que los revisores hayan estado asociados en relación con la organización para la cual se está evaluando su actividad de auditoría interna, así como la necesidad de conocimientos técnicos, sobre un sector económico o área e particular. Un revisor o equipo de revisión independiente es aquél que no tiene conflictos de intereses reales o aparentes, y no forma parte ni está bajo el control de la organización a la cual pertenece la actividad de auditoría interna. 1. Unaevaluaciónexternaporunrevisoroequipoderevisióncualificado

e independiente puede ser difícil de llevar a caboen actividadesdeauditoría internapequeñas,opuedehabercircunstanciaspara


ciertasorganizacionesenqueunaevaluaciónexternacompletaporun equipo independiente no se considere apropiadao necesaria.Porejemplo,laactividaddeauditoríainternapuede(a)estarenunsectoreconómicosujetoaextensasregulacionesosupervisión,(b)estarsujetaaexhaustivavigilanciaydirecciónexternarespectodelgobiernoyloscontrolesinternos,(c)habersidosujeto,recientemente,derevisionesexternasoserviciosdeconsultoríaenloscualeshuboextensacomparaciónconmejoresprácticas,o(d)ajuiciodelDEA,losbeneficiosdelaautoevaluaciónparaeldesempeñodelpersonalylafortalezadelPAMCinternosuperanalosbeneficiosquepuedeaportarunaevaluacióndecalidadrealizadaporunequipoexterno.

2. Unaautoevaluaciónconvalidación(externa)independienteincluye:

• Un proceso de autoevaluación amplio y totalmentedocumentado,emulandoelprocesodeevaluaciónexterna,almenosconrespectoalaevaluacióndelcumplimientodelaDefinicióndeAuditoría Interna,elCódigodeÉticay lasNormas.

• Unavalidaciónindependienterealizadaenlalocalizaciónporunrevisorcualificadoeindependiente.

• Usoeconómicodetiempoyrecursos(porejemplo,elfocoprincipalestaríaenelcumplimientodelasNormas).

• Atenciónreducidaenotrasáreas;porejemplo,elbenchmarking,larevisiónyconsultarespectodelautilizacióndemejoresprácticas,ylasentrevistasconlaaltadirecciónylagerenciaoperativa,podríanserreducidas.Sinembargo,lainformaciónproducidaporestaspartesde laevaluaciónesunode losbeneficiosdeunaevaluaciónexterna.

3. SeaplicaríanlasmismasguíasycriteriosestablecidosenelConsejoparalaPráctica1312-1paralosiguiente::

• Consideracionesgenerales.

• Calificacionesdelrevisoroequipoderevisiónexterno.

• Independencia, integridad y objetividad, competencia,aprobación por parte de la dirección y el consejo deadministración,alcance(exceptoparaáreas talescomoel


empleodeherramientas,técnicas,otrasmejoresprácticas,desarrollodecarrerayactividadesdevaloragregado).

• Comunicación de resultados (incluyendo las accionescorrectivasysucumplimiento).

4. UnequipobajoladireccióndelDEAseráelencargadodedesempeñarydocumentartotalmenteelproceso.Debepreparaseunborradordeinforme,similaraldeunaevaluaciónexterna,queincluyaeljuiciodelDEArespectodelcumplimientodelasNormas.

5. Unrevisoroequipoderevisióncualificadoeindependientellevaacabopruebassuficientesdelaautoevaluaciónconelfindevalidarlos resultados y expresar una opinión sobre el nivel indicado decumplimientodelaDefinicióndeAuditoríaInterna,elCódigodeÉticaylasNormasquetengalaactividad.EstavalidaciónindependientesigueelprocesoindicadoenelManualdeEvaluacióndeCalidaddelIIAounprocesointegralsimilar.

6. Como parte de la validación independiente, el revisor externoindependiente,alcompletarlavalidaciónindependiente,queincluyeuna revisión rigurosade la evaluación realizadapor el equipodeautoevaluaciónrespectodelcumplimientodelaDefinición,elCódigodeÉticaylasNormas:• Revisaelborradordeinformeytratadereconciliarlostemasno

resueltos,sihubieraalguno.• SiestádeacuerdoconlaopinióndecumplimientodelaDefinición

deAuditoríaInterna,elCódigodeÉticaylasNorma,agregaenelinformeloqueconsiderenecesario,expresandosuacuerdoconelprocesoylaopinióndelaautoevaluacióny,enlamedidaquelo considereapropiado, con lasobservaciones, conclusionesyrecomendacionesdelinforme.

• Sinoestádeacuerdocon laevaluación,agregaenel informesudesacuerdo,especificandocuálessonlospuntosdelinformeconlosquenoestádeacuerdoy,enlamedidaqueloconsidereapropiado,conlasobservaciones,conclusiones,recomendacionesyopinionessignificativasdelinforme.

• Otra alternativa es que prepare un informe de validaciónindependienteporseparado,expresandosuacuerdoodesacuerdo


segúnlomencionadoanteriormente,paraacompañaralinformedeautoevaluación.

• Elinformeoinformesfinalesdelaautoevaluaciónconvalidaciónindependiente deberán luego ser firmados por el equipo deautoevaluaciónyporelrevisorexternocualificadoeindependiente,yemitidosporelDEAparalaaltadirecciónyelConsejo.

7. El informeo informes finales de la autoevaluación con validaciónindependientesonfirmadosporelequipodeautoevaluaciónyporlosrevisoresexternoseindependientes,yemitidosporelDEAparalaaltadirecciónyelconsejodeadministración.

8. Paraproporcionarresponsabilidadytransparencia,elDEAcomunicalosresultadosdelasevaluacionesexternasdecalidad,incluyendolosdetallesdelplandeacciónparasolucionarlosproblemassignificativosylainformaciónposteriorrespectodelcumplimientodeaquellosplanesdeacción, a los diversos interesadosen la actividaddeauditoríainterna,talescomolaaltadirección,elconsejodeadministraciónylosauditoresexternos.

* * *


Consejo para la Práctica 1321-1:Utilización de “Cumple con las Normas Internacionales para el

Ejercicio Profesional de la Auditoría Interna”


1321 – Utilización de “Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna”ElDirectorEjecutivodeauditoríapuedemanifestarquelaactividaddeauditoríainternacumpleconlasNormas Internacionales para el Ejercicio Profesional de la Auditoría Internasólosilosresultadosdelprogramadeaseguramientoymejoradelacalidadapoyanesadeclaración.

1. LavigilanciacontinuaylasevaluacionesexternaseinternasdeunaactividaddeauditoríainternasellevanacaboparaevaluaryexpresarunaopiniónencuantoalcumplimientodelaDefinicióndeAuditoríaInterna,elCódigodeÉticaylasNormas porpartedelaactividaddeauditoríainternay,siresultaapropiado,deberíanincluirrecomendacionesdemejora.

2. Seexigequelasevaluacionesexternasserealicencadacincoaños.

3. La frase a utilizar puede ser “cumple con lasNormas” o “deconformidadconlasNormas”.Parautilizarunadeestasfrasesserequierequeselleveacabounaevaluaciónexternaalmenosunavezcadacincoaños,juntoconvigilanciacontinuayevaluacionesinternasperiódicas,yqueenestastareassehayallegadoalaconclusióndequelaactividaddeauditoríainternacumpleconlaDefinición,elCódigodeÉticaylasNormas.Elusoinicialdelafrasedecumplimientonoseráapropiadohastaqueunarevisiónexternahayademostradoque la actividaddeauditoría internacumpleconlaDefinición,elCódigodeÉticaylas Normas.

4. ElDirectorEjecutivodeauditoría(DEA)declaraalaaltadirecciónyalconsejodeadministraciónloscasosdeincumplimientoqueafectan el alcance u operación en general de la actividad deauditoríainterna,incluyendolanoobtencióndeunaevaluaciónexterna cada cinco años, a la alta dirección y al consejo deadministración.


5. Antesdeutilizarlafrasedecumplimientoporpartedelaactividaddeauditoríainterna,cualquierfaltadecumplimientoquehayasidodeclaradaporunaevaluacióndecalidad(internaoexterna),quemenoscabelahabilidaddeauditoríainternaparacumplirconsusresponsabilidades:• Debeseradecuadamentesolucionada,• Las acciones l levadas a cabo para solucionar el

incumplimiento deben ser documentadas e informadas alevaluadoroevaluadoresrelevantesconelfindeobtenersuacuerdo respectodeque la faltadecumplimientohasidoadecuadamentesolucionada,y

• Lasaccionesllevadasacaboparasolucionarelincumplimientoyelacuerdodelevaluadoroevaluadoresrelevantesrespectodelasmismasseinformanalaaltadirecciónyalconsejodeadministración.

* * *


Consejo para la Práctica 2010-1:Enlace del Plan de Auditoría con los Riesgos y Exposiciones


2010 – PlanificaciónElDirectorEjecutivodeauditoríadebeestablecerplanesbasadosenlosriesgos,afindedeterminarlasprioridadesdelaactividaddeauditoríainterna. Dichosplanesdeberánserconsistentescon lasmetasde laorganización.

Interpretación:El Director Ejecutivo de auditoría es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque, el Director Ejecutivo de auditoría utilizará su propio juicio sobre los riesgos después de consultar con la alta dirección y el Consejo. 1. Alelaborarelplandeauditoríadelaactividaddeauditoríainterna,

muchosDirectoresEjecutivosdeauditoría (DEAs) consideranútil,enprimertérmino,elaboraroactualizareluniversodeauditoría.Eluniversodeauditoríaesuna listade todas lasauditoríasposiblesquepudieran realizarse.ElDEApuedeobtener informaciónsobreeluniversodeauditoríadepartedelaaltadirecciónyelconsejodeadministración.

2. Eluniversodeauditoríapuedeincluircomponentesdelplanestratégicodelaorganización.Alincorporaresoscomponentes,eluniversodeauditoría considerará y reflejará los objetivos del plan general denegocios.Losplanesestratégicosprobablementetambiénreflejaránlaactituddelaorganizaciónhaciaelriesgoyelgradodedificultadparacumplirconlosobjetivosplanificados.Eluniversodeauditoríaestaránormalmenteinfluenciadoporlosresultadosdelprocesodegestiónderiesgos.Elplanestratégicode laorganización tieneencuentaelambienteenelcualoperalaorganización.Estosmismosfactoresambientalesprobablemente impactaráneneluniversodeauditoríaylaevaluacióndelriesgorelativo.


3. ElDEApreparaelplandeauditoríadelaactividaddeauditoríainternabasándoseeneluniversodeauditoría, informacionesrecibidasdelaaltadirecciónyelconsejodeadministración,yunaevaluaciónderiesgosyexposicionesqueafectanalaorganización.Losobjetivosclave de auditoría son usualmente los de proporcionar a la altadirecciónyalconsejodeadministraciónaseguramientoeinformaciónquelespermitacumplirconlosobjetivosdelaorganización,incluyendounaevaluacióndelaeficaciadelastareasdeevaluaciónderiesgosquerealizaladirección.

4. Eluniversodeauditoríayelplandeauditoríarelacionadosemantienenactualizadosdemododereflejar loscambiosenladireccióndelagestión, objetivos, énfasis y enfoques.Es aconsejable evaluar eluniversodeauditoríaalmenosunavezalañoconelfindequereflejelasestrategiasy ladirecciónmásactualizadasde laorganización.Enalgunassituaciones, losplanesdeauditoríapueden tenerqueactualizarsemásfrecuentemente(porejemplo,trimestralmente),enrespuestaaloscambiosenlosnegocios,operaciones,programas,sistemasycontrolesdelaorganización.

5. Elcalendariodetrabajodeauditoríaestábasado,entreotrosfactores,enunaevaluaciónderiesgosyexposiciones.Establecerprioridadesesnecesarioparatomardecisionesalasignarlosrecursosrelativos.ExisteunavariedaddemodelosderiesgoparaayudaralDEA.Lamayoríadelosmodelosderiesgoutilizanfactoresderiesgotalescomo:impacto,probabilidad,materialidad,liquidezdeactivos,competenciade la gerencia, calidadde los controles internos y adhesióna losmismos,gradodecambiooestabilidad,tiempotranscurridodesdelaúltimaauditoríaysusresultados,complejidad,yrelacionesconelpersonalyelgobierno.

* * *


Consejo para la Práctica 2020-1:Comunicación y Aprobación


2020 – Comunicación y aprobaciónElDirector Ejecutivo de auditoría debe comunicar los planes yrequerimientos de recursos de la actividad de auditoría interna,incluyendoloscambiosprovisionalessignificativos,alaaltadirecciónyalConsejopara laadecuada revisiónyaprobación. ElDirectorEjecutivodeauditoríatambiéndebecomunicarelimpactodecualquierlimitaciónderecursos.

1. ElDirectorEjecutivodeauditoría(DEA)enviaráanualmentealaaltadirecciónyalconsejodeadministración,parasurevisiónyaprobación,unresumendelplananualdeauditoría,delcalendariodetrabajos,delplandepersonalydelpresupuestofinancierocorrespondientesalaactividaddeauditoríainterna.Esteresumenmantendráinformadosalaaltadirecciónyalconsejodeadministraciónsobreelalcancedeltrabajodeauditoríainternaysobrecualquierlimitaciónpuestasobredichoalcance.ElDEAtambiénenviarátodosloscambiossignificativosqueseproduzcanparalaaprobacióneinformación.

2. El calendariode trabajos,elplandepersonal yelpresupuestofi-nancieroaprobados,juntocontodosloscambiossignificativosqueeventualmenteseproduzcan,debencontenerinformaciónsuficienteparapermitirquelaaltadirecciónyelconsejodeadministraciónde-terminensilosobjetivosyplanesdelaactividaddeauditoríainternaapoyanalosdelaorganizaciónyelconsejo,ysonconsistentesconelestatutodeauditoríainterna.

***


Consejo para la Práctica 2030-1:Administración de Recursos


2030 – Administración de recursosElDirectorEjecutivo deauditoría debeasegurar que los recursosdeauditoríainternaseanapropiados,suficientesyeficazmenteasignadosparacumplirconelplanaprobado.

Interpretación:Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar a cabo el plan. Suficientes se refiere a la cantidad de recursos necesarios para cumplir con el plan. Los recursos están eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan aprobado.

1. El Director Ejecutivo de auditoría (DEA) es el responsableprincipal de la suficiencia y administración de los recursos deauditoría interna,de formadeasegurarelcumplimientode lasresponsabilidades de auditoría interna según se describe enel estatuto de auditoría interna. Esto incluye comunicacioneseficacesde lasnecesidadesde recursos, e informarel estadodelosrecursosalaaltadirecciónyalconsejodeadministración.Los recursosdeauditoría internapueden incluir a empleados,proveedores externos de servicios, apoyo contable y técnicasde auditoría basadas en tecnología.Asegurar la adecuaciónde los recursosdeauditoría internaesenúltima instanciaunaresponsabilidaddelaaltadirecciónyelconsejodeadministracióndelaorganización,yelDEAdebeayudarlesenelcumplimientodeestaresponsabilidad.

2. Las habilidades, capacidades y conocimientos técnicos de losrecursos de auditoría interna tienen que ser apropiados paralasactividadesplanificadas.ElDEArealizaráunaevaluaciónoinventarioperiódicodehabilidadesparadeterminarlashabilidadesespecíficasrequeridasparadesempeñarlastareasdeauditoríainterna.Laevaluacióndehabilidadesestarábasadaytendráencuenta lasdiversasnecesidades identificadasen laevaluación


deriesgosyelplandeauditoría.Esto incluyeevaluacionesdeconocimientos técnicos, idiomas, sagacidadpara losnegocios,competenciaenladetecciónyprevencióndefraudes,yauditoríay contabilidad. El DEA debe asegurar que la evaluación dehabilidadesestáenfuncióndelasnecesidadesdelacoberturade auditoría, y de que esta cobertura no está determinadafundamentalmentepor las capacidadespresentesdentrode laorganizacióndeauditoríainterna.

3. Los recursos de auditoría interna deber ser suficientes parallevaracabolastareasdeauditoríaconlaamplitud,profundidady oportunidadesperadas por la alta dirección y el consejo deadministración, según seestableceenel estatutodeauditoríainterna.Laplanificaciónderecursostendráencuentaeluniversodeauditoría,losnivelesderiesgosrelevantes,elplananualdeauditoría,lasexpectativasdecoberturayunaestimacióndetareasnoanticipadas.

4. ElDEA también asegura que los recursos estén distribuidoseficazmente.Estoincluyelaasignacióndeauditorescompetentesycualificadosparacadatrabajoenparticular.Tambiénincluyeeldesarrollodeunenfoquederecursosyestructuraorganizacionalque sean apropiados para la estructura, perfil de riesgos ydispersióngeográficadelosnegociosdelaorganización.

5. Desdeelpuntodevistadeadministraciónderecursosengeneral,elDEA tieneencuenta losplanesdesucesión,programasdeevaluaciónydesarrollodepersonal,yotrasdisciplinasderecursoshumanos.ElDEAtambiéncontemplalasnecesidadesdelaactividaddeauditoríainterna,yaseaquelashabilidadesesténpresentesonodentrodelaactividaddeauditoríainterna.Otrosenfoquesparacontemplarlasnecesidadesderecursossonlosproveedoresexternosdeservicios,empleadosdeotrosdepartamentosdentrodelaorganizaciónoconsultoresespecializados.

6. Dada la naturaleza crítica de los recursos, el DEAmantienecomunicaciónydiálogopermanentescon laaltadirecciónyelconsejo de administración respecto de la adecuación de losrecursosparalaactividaddeauditoríainterna.Periódicamente,elDEApresentaalaaltadirecciónyalconsejodeadministraciónunresumendetalladodelestadoyadecuacióndelosrecursos.Atal


fin,elDEAelaboramediciones,metasyobjetivosapropiadosparavigilarlaadecuacióngeneraldelosrecursos.Estopuedeincluircomparacionesdelosrecursosconelplananualdeauditoría,elimpactodefaltadepersonalovacantestemporarias,actividadeseducativas y de formación, y cambios en las necesidades dehabilidades específicas debidos a cambios producidos en losnegocios, operaciones, programas, sistemaso controles de laorganización.

* * *


Consejo para la Práctica 2040-1:Políticas y Procedimientos


2040 – Políticas y procedimientosElDirectorEjecutivodeauditoríadebeestablecerpolíticasyprocedimientosparaguiarlaactividaddeauditoríainterna.

Interpretación:La forma y el contenido de las políticas y procedimientos deben ser apropiados al tamaño y estructura de la actividad de auditoría interna y de la complejidad de su trabajo. 1. ElDirectorEjecutivodeauditoríaelaborapolíticasyprocedimientos.

Notodaslasactividadesdeauditoríainternanecesitandemanualesformales administrativos y técnicos de auditoría. Una actividadde auditoría interna de pequeño tamaño puede ser administradainformalmente. Su personal de auditoría puede ser dirigido ycontroladomedianteunaestrechasupervisióndiariaymediantenotasqueestablezcanpolíticasyprocedimientosacumplir.Enunaactividaddeauditoría internadegran tamañosonesenciales laspolíticasylosprocedimientosmásformalesparaguiaralpersonaldeauditoríainternaenlaejecucióndelplananualdeauditoría.

* * *


Consejo para la Práctica 2050-1:Coordinación


2050 – CoordinaciónElDirectorEjecutivodeauditoríadeberíacompartirinformaciónycoordinaractividadesconotrosproveedoresinternosyexternosdeserviciosdeaseguramientoyconsultoríaparaasegurarunacoberturaadecuadayminimizarladuplicacióndeesfuerzos.1. La supervisión del trabajo de los auditores externos, incluida la

coordinaciónconlaactividaddeauditoríainterna,esresponsabilidaddel consejo de administración. La coordinación del trabajo entrelos auditores internos y externos es responsabilidad delDirectorEjecutivodeauditoría(DEA).ElDEAobtieneelapoyodelconsejodeadministraciónparacoordinareficazmenteeltrabajodeauditoría.

2. Lasorganizacionespuedenutilizareltrabajodelosauditoresexternosparaproporcionaraseguramientoreferidoalasactividadesqueesténdentro del alcance de auditoría interna. En estos casos, elDEAsiguelospasosnecesariosparaentendereltrabajorealizadoporlosauditoresexternos,comoser:

• Lanaturaleza,alcanceyoportunidaddeltrabajoplanificadoporlosauditoresexternos,paraasegurarsedequedichotrabajo,juntoconeltrabajoplanificadoporlosauditoresinternos,cumplelosrequisitosdelaNorma 2100.

• La evaluación de riesgos ymaterialidad hecha por los auditoresexternos.

• Lastécnicas,métodosyterminologíade losauditoresexternos, locuallepermitealDEA:(1)coordinareltrabajodeauditoresinternosyexternos;(2)evaluar,parapoderconfiarenello,eltrabajodelosauditoresexternos;y(3)comunicarseconlosauditoresexternosdeformaeficaz.

• El accesoa los programas y papeles de trabajo de los auditoresexternos,paraasegurarsedequepuedaconfiarenlospapelesdelauditorexternoalosfinesdeauditoríainterna.Losauditoresinternossonresponsablesderespetarlaconfidencialidaddedichosprogramasypapelesdetrabajo.


3. El auditor externo puede confiar en el trabajo de la actividad deauditoríainternapararealizarsutrabajo.Enestecaso,elDEAtienequeproporcionarinformaciónsuficientequepermitaalosauditoresexternosentenderlastécnicas,métodosyterminologíaquefacilitenla confianza de aquellos en el trabajo realizado.El acceso a losprogramasypapelesdetrabajodelosauditoresinternosseotorgaalosauditoresexternosconelfindequeseasegurendelaaceptabilidaddeltrabajodeaquellos.

4. Puedesereficazparalosauditoresinternosyexternosutilizartécnicas,métodosyterminologíasimilares,conelfindecoordinareficazmentesutrabajoydeconfiarcadaunoeneltrabajodelotro.

5. Lasactividadesdeauditoríaplanificadasporlosauditoresinternosy externos tienen que ser comentadas con el fin de asegurarque la cobertura deauditoría esté coordinada y seminimicen lasduplicacionesdeesfuerzosdondeseaposible.Seorganizarán lasreunionesquehaganfaltaduranteelprocesodeauditoríaconelfindeasegurarlacoordinacióndeltrabajodeauditoríaylafinalizacióneficienteyoportunadelastareasdeauditoría,yparadeterminarsilasobservacionesyrecomendacionesquevayansurgiendodeltrabajorealizadorequierenunajusteeneltrabajoplanificado.

6. Lascomunicacionesfinalesdelaactividaddeauditoríainterna,lasrespuestasdeladirecciónaesascomunicacionesylasposterioresrevisiones de seguimiento estarán disponibles para los auditoresexternos.Estascomunicacionesayudanalosauditoresexternosadeterminaryajustarelalcanceyoportunidaddesutrabajo.Además,losauditoresinternosdebenaccederalosmaterialesdepresentaciónycartasdedireccióndelosauditoresexternos.LosasuntostratadosenlosmaterialesdepresentacióneincluidosenlascartasdedireccióntienenqueserentendidosporelDEAyutilizadosporlosauditoresinternoscomo informaciónparaplanificar lasáreasaenfatizarenfuturostrabajosdeauditoríainterna.Despuésderevisarlascartasdedirecciónyeliniciodecualquieraccióncorrectivanecesariaporpartedelosmiembrosapropiadosdelaaltadirecciónyelconsejodeadministración,elDEAseasegurarádequesehayantomadolasaccionescorrectivasyelseguimientoadecuados.

7. ElDEAesresponsabledelasevaluacioneshabitualesdelacoordinaciónentrelosauditoresinternosyexternos.Estasevaluacionespueden


también incluir evaluacionesde la eficiencia y eficacia general delas tareasdeauditores internos y externos, incluyendo los costosdeauditoríaagregados.ElDEAcomunica los resultadosdeestasevaluaciones a la alta dirección y al consejo de administración,incluyendo loscomentarios relevantessobreeldesempeñode losauditoresexternos.

** *


Consejo para la Práctica 2060-1:Informe a la Alta Dirección y al Consejo


2060 – Informe a la alta dirección y al Consejo ElDirectorEjecutivo de auditoría debe informar periódicamente a laaltadirecciónyalConsejosobrelaactividaddeauditoríainternaenloreferidoalpropósito,autoridad,responsabilidadydesempeñodesuplan.Elinformetambiéndebeincluirexposicionesalriesgoycuestionesdecontrolsignificativas,cuestionesdegobiernoyotrosasuntosnecesariosorequeridosporlaaltadirecciónyelConsejo.

Interpretación:La frecuencia y el contenido del informe están determinados por comentarios con la alta dirección y el Consejo, y dependen de la importancia de la información a ser comunicada y la urgencia de las acciones a seguir por parte de la alta dirección y el Consejo. 1. ElDirectorEjecutivo de auditoría (DEA) debepresentar informes

desusactividadesalaaltadirecciónyalconsejodeadministraciónperiódicamente. Estos informes destacan las observaciones yrecomendaciones significativas del trabajo e informan a la altadirecciónyalconsejodeadministraciónsobrecualquierdesviaciónsignificativaquehayasurgidoenlosprogramasdetrabajo,enelplandepersonal,yenlospresupuestosfinancieros,asícomolasrazonesdelasmismasylasaccionestomadasonecesarias.

2. Lasobservaciones significativas surgidasdel trabajo sonaquellassituacionesque,ajuiciodelDEA,puedenafectaradversamentealaorganización.Puedenestarreferidasafraude,irregularidades,actosilegales,errores,ineficiencias,desperdicios,ineficacias,conflictosdeinteresesydebilidadesdecontrol.

3. Laaltadirecciónyelconsejodeadministracióntomandecisionessobrelasmedidasapropiadasaadoptarenrelaciónconlasobservacionesy recomendaciones significativas surgidas del trabajo. La altadirección y el consejo deadministraciónpuedendecidir asumir elriesgodenocorregirlasituacióninformadadebidoasucostouotras


consideraciones.Elconsejodebeestarinformadodelasdecisionestomadas por la alta dirección sobre todas las observaciones yrecomendacionessignificativasdeltrabajo.

4. ElDEAdebeevaluarsiesadecuadovolverainformaralconsejosobreaquellasobservacionesyrecomendacionessignificativasdeltrabajoqueyasecomunicaronanteriormenteyenlasquelaaltadirecciónyelconsejoasumieronelriesgodenocorregirlasituacióninformada.Estopuedesernecesariocuandohahabidocambiossignificativosqueafectanelperfilderiesgos.

* * *


Consejo para la Práctica 2120-1Evaluar la Adecuación de los Procesos de Gestión de Riesgos


2120 – Gestión de riesgosLaactividaddeauditoríainternadebeevaluarlaeficaciaycontribuiralamejoradelosprocesosdegestiónderiesgos.

Interpretación:Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la evaluación que efectúa el auditor interno de que:

• Los objetivos de la organización apoyan a la misión de la organización y están alineados con la misma,

• Los riesgos significativos están identificados y evaluados,• Se han seleccionado respuestas apropiadas al riesgo que

alinean los riesgos con la aceptación de riesgos por parte de la organización, y

• Se capta información sobre riesgos relevantes, permitiendo al personal, la dirección y el Consejo cumplir con sus responsabilidades, y se comunica dicha información oportunamente a través de la organización.

Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas, evaluaciones por separado, o ambas.1. Lagestiónderiesgosesunaresponsabilidadclavedelaaltadirección

yelconsejodeadministración.Paracumplirsusobjetivosdenegocio,ladirecciónaseguraqueexistenyfuncionansólidosprocesosdeges-tiónderiesgos.Losconsejosdeadministracióncumplenunafuncióndesupervisiónparadeterminarqueexistanapropiadosprocesosdegestiónderiesgosyqueestosprocesosseanadecuadosyeficaces.Enesterol,puedendirigiralosauditoresinternosaquelosayudenmedianteelexamen,evaluación,informeyrecomendacióndemejorassobrelaadecuaciónyeficaciadelosprocesosdegestiónderiesgosdeladirección.

2. Ladirecciónyelconsejodeadministraciónsonlosresponsablesde


losprocesosdegestiónderiesgosycontroldesuorganización.Sinembargo,losauditoresinternosqueactúanenunroldeconsultorespuedenasistiralaorganizaciónenlaidentificación,evaluación,eim-plantacióndemetodologíasdegestiónderiesgosycontrolesdirigidosaaquellosriesgos.

3. Enlassituacionesenquelaorganizaciónnoposeeunprocesoformaldegestiónderiesgos,elDirectorEjecutivodeauditoría(DEA)comentaformalmenteconladirecciónyelcomitédeauditoríasusobligacionesparaentender,gestionaryvigilarlosriesgosdentrodelaorganizaciónylanecesidaddequelosmismosseasegurendequehayaprocesosoperandodentrodelnegocio,aunqueseainformalmente,quebrindenelnivelapropiadodevisibilidadalosriesgosprincipalesycómoestánsiendogestionadosyvigilados.

4. ElDEAhadeobtenerunentendimientodelasexpectativasquetengalaaltadirecciónyelconsejodeadministraciónrespectodelaactividaddeauditoríainternaenelprocesodegestiónderiesgosdelaorga-nización.Esteentendimientoseráluegocodificadoenlosestatutosdelaactividaddeauditoríainternaydelconsejodeadministración.Elrolquecumplelaactividaddeauditoríainternaenelprocesodegestiónderiesgosdeunaorganizaciónpudecambiarconeltiempoypuedecomprenderlosiguiente.

• Ningúnrol.• Auditarelprocesodegestiónderiesgoscomopartedelplan

deauditoría.• Apoyareimplicarsedeformaactivaycontinuaenelproceso

degestiónderiesgos,talcomolaparticipaciónencomitésdesupervisión,actividadesdevigilanciaeinformesdesitua-ción.

• Administrarycoordinarelprocesodegestiónderiesgos.5. Enúltimainstancia,determinarelroldeauditoríainternaenelproceso

degestiónderiesgosesunaresponsabilidaddelaaltadirecciónyelconsejodeadministración.Suvisióndel roldeauditoría internaestaráprobablementedeterminadaporfactorestalescomolaculturadelaorganización,laaptituddelpersonaldeauditoríainterna,ylascondicioneslocalesycostumbresdelpaís.Sinembargo,abordarlaresponsabilidaddeladirecciónrespectodelprocesodegestiónde


riesgosylaamenazapotencialalaindependenciadelaactividaddeauditoríainternarequiereunampliodebateylaaprobacióndelconsejodeadministración.

6. Las técnicas utilizadas por las diversas organizaciones para susprácticas de gestión de riesgos pueden varias significativamente.Dependiendodeltamañoycomplejidaddelasactividadesdenegociosdelaorganización,losprocesosdegestiónderiesgospuedenser:

• Formalesoinformales,• Cuantitativososubjetivos,• Insertadosenlasunidadesdenegociosocentralizadosanivel

corporativo.

7. Laorganizacióndiseñaprocesosbasadosensucultura,estilodedirecciónyobjetivosdenegocio.Porejemplo,elusodederivadosu otros sofisticados productos delmercado de capitales por unaorganizaciónpodríarequerirelusodeherramientascuantitativasdegestiónderiesgos.Organizacionesmáspequeñas,menoscomplejas,podríanutilizaruncomitéinformalderiesgosparadebatirelperfilderiesgosde laorganizaciónypara realizaraccionesperiódicas. Elauditorinternodeterminasilametodologíaelegidaessuficientementeintegral y apropiada para la naturaleza de las actividades de laorganización.

8. Los auditores internos tienen que obtener evidencia suficiente yapropiadaparadeterminarquelosobjetivosclavedelosprocesosdegestiónderiesgossehayancumplido,conelfindeformarseunaopiniónsobre laadecuacióndedichosprocesos. Alobtenerestaevidencia, el auditor internopodría tener en cuenta los siguientesprocedimientosdeauditoría:

• Investigaryrevisardesarrollos,tendenciaseinformaciónactuali-zadadelsectoreconómicocorrespondientealosnegociosdelaorganización,yotrasfuentesapropiadasdeinformación,conelfindedeterminarlosriesgosyexposicionesquepuedanafectaralaorganizaciónylosprocedimientosdecontrolrelacionadosqueseutilizanparaafrontar,vigilaryreevaluaraquellosriesgos.

• Revisar las políticas corporativas, lasminutas del consejo deadministraciónydelcomitédeauditoría,conelfindedeterminarlas estrategias de negocio de la organización, su filosofía y


metodologíadegestiónderiesgos,suinclinaciónalriesgo,ysuaceptaciónderiesgos.

• Revisarinformespreviosdeevaluaciónderiesgosemitidosporla dirección, los auditores internos, auditores externos y otrasfuentes.

• Entrevistaralagerenciadelíneayejecutivaconelfindedeterminarlosobjetivosdelasunidadesdenegocio,losriesgosrelacionados,ylasactividadesdemitigaciónderiesgosyvigilanciadecontrolesdepartedeladirección.

• Asimilarinformaciónconelfindeevaluarindependientementelaeficaciadelamitigaciónderiesgos,vigilancia,ycomunicaciónderiesgosyactividadesdecontrolasociadas.

• Evaluarlaadecuacióndelaslíneasdereporteparalasactividadesdevigilanciadelriesgo.

• Revisarlaadecuaciónyoportunidaddelainformaciónsobrelosresultadosdelagestiónderiesgos.

• Revisar la integridad del análisis de gestión de riesgos y lasacciones tomadaspor parte de la dirección para remediar losproblemasidentificadosenlosprocesosdegestiónderiesgos,ysugerirmejoras.

• Determinar laeficaciadelosprocesosdeautoevaluacióndeladirecciónmedianteobservaciones,pruebasdirectasdelcontrolylosprocedimientosdevigilancia,pruebasdelainformaciónutilizadaenactividadesdevigilanciayotrastécnicasapropiadas.

• Revisar los problemas relacionados conel riesgoquepuedanindicardebilidadenlasprácticasdegestiónderiesgosy,sicorres-ponde,comentarlosconlaaltadirecciónyelconsejodeadminis-tración.Sielauditorconsideraqueladirecciónhaaceptadounnivelderiesgosqueesinconsistenteconlaestrategiaypolíticadegestiónderiesgosdelaorganización,oqueesinaceptableparalaorganización,debeconsultarlaNorma 2600:Aceptación de los Riesgos por la Dirección,ydemásguíasrelacionadas.


Consejo para la Práctica 2130-1:Evaluar la Adecuación de los Procesos de Control


2130 – Control Laactividaddeauditoría internadebeasistira laorganizaciónenelmantenimiento de controles efectivos,mediante la evaluaciónde laeficaciayeficienciade losmismosypromoviendo lamejoracontinua.

1. Laorganizaciónestableceymantieneprocesoseficacesdegestiónderiesgosycontrol.Elpropósitodelosprocesosdecontrolesapoyaralaorganizaciónenlagestiónderiesgosyellogrodesusobjetivosestablecidosycomunicados.Seesperaquelosprocesosdecontrolaseguren,entreotrascosas,que:• La información financiera y operativa es confiable y posee

integridad,• Las operaciones son realizadas eficientemente y alcanzan

objetivosestablecidos,• Losactivosestánprotegidos,y• Lasaccionesydecisionesdelaorganizacióncumplenlasleyes,

regulacionesycontratos.2. La función de la alta dirección es supervisar el establecimiento,

administraciónyevaluacióndelsistemareferidosalosprocesosdegestiónderiegoycontrol.Entrelasresponsabilidadesdelosgerentesde líneade laorganizaciónestá laevaluaciónde losprocesosdecontrolensusrespectivasáreas.Losauditoresinternosproporcionandistintosgradosdeaseguramientosobrelaeficaciadelosprocesosdegestiónderiesgosycontrolenactividadesyfuncionesseleccionadasdelaorganización.

3. ElDirectorEjecutivodeauditoría(DEA)seformaunaopiniónsobrelaadecuaciónyeficaciadelosprocesosdegestiónderiesgosycontrol.Laexpresióndedichaopiniónestarábasadaenevidenciadeauditoríasuficiente,obtenidamedianteauditoríasy,cuandoseaapropiado,eltrabajodeotrosproveedoresdeaseguramiento.ElDEAcomunicasuopiniónalaaltadirecciónyalconsejodeadministración.


4. ElDEAelaboraunplandeauditoríapropuestoconelfindeobtenersuficienteevidenciaparaevaluarlaeficaciadelosprocesosdecontrol.Elplancomprendetrabajosdeauditoríayotrosprocedimientosparaobtenerevidenciadeauditoríasuficienteyapropiadasobretodaslasprincipalesunidadesoperativasyfuncionesdenegociosaevaluar,asícomounarevisióndelosprincipalesprocesosdecontrolqueoperanatravésdelaorganización.Elplandebeserflexibledemaneraquepuedanefectuarseajustes durante el año comoconsecuencia decambios en las estrategias de la dirección, condiciones externas,áreasdemayorriesgo,omodificacióndelasexpectativassobreellogrodelosobjetivosdelaorganización.

5. Elplandeauditoríaotorgaespecialatenciónaaquellasoperacionesmásafectadasporcambios recienteso inesperados.Loscambiosen las circunstancias pueden originarse, por ejemplo, por lascondicionesdemercadoolasinversiones,poradquisicionesyventas,reestructuracionesdelaorganizaciónynuevosproyectos.

6. Al determinar la cobertura de auditoría esperadapara el plan deauditoríapropuesto,elDEAtieneencuentalostrabajosrelevantesrealizados por otros, que proporcionan aseguramiento a la altadirección(porejemplo,lautilizacióndeltrabajodelosdirectoresdecumplimientoporpartedelDEA).ElplandeauditoríadelDEAtambiéntieneencuentaeltrabajodeauditoríarealizadoporelauditorexternoy lasevaluaciones realizadas por la propiadirección, tales comolasevaluacionesdesusprocesosdegestiónderiesgos,controlesymejoradelacalidad.

7. ElDEAdeberíaevaluarlaamplitudquetienelacoberturadelplandeauditoríapropuestoconelfindedeterminarsielalcanceessuficienteparapermitirexpresarunaopiniónsobrelosprocesosdegestiónderiesgosycontroldelaorganización.ElDEAdeberíainformaralaaltadirecciónyalconsejodeadministraciónsobrecualquierproblemaenlacoberturadeauditoríaqueimpidieraexpresarunaopiniónsobretodoslosaspectosdeaquellosprocesos.

8. Undesafíoimportanteparalaactividaddeauditoríainternaesevaluarlaeficaciadelosprocesosdecontroldelaorganizaciónbasándoseenlasumadeevaluacionesrealizadaspormuchaspersonas.Esasevaluacionesestánmayormenteoriginadasentrabajosdeauditoríainterna,revisionesdeautoevaluacionesdeladirecciónyeltrabajo


deotrosproveedoresdeaseguramiento.Amedidaquelostrabajosavanzan, los auditores internos comunican las observaciones, enformaoportuna,alosnivelesapropiadosdeladireccióndemaneraque se pueda tomar acción inmediata para corregir omitigar lasconsecuencias de las discrepancias o debilidades de controlobservadas.

9. Al evaluar la eficacia general de los procesos de control de laorganización,elDEAtieneencuentasi:• Sedescubrierondiscrepanciasodebilidadessignificativas,• Se hicieron correcciones o mejoras después de esos

descubrimientos,y• Losdescubrimientosysusconsecuenciaspotencialespermiten

sacarlaconclusióndequeexisteunasituaciónimportantequegeneraunnivelinaceptablederiesgo.

10.La existencia de una discrepancia o debilidad significativa nonecesariamentellevaalaconclusióndequeesimportanteycreaunriesgoinaceptable.Elauditorinternotieneencuentalanaturalezayalcancedelaexposiciónalriesgo,asícomoelniveldeconsecuenciaspotenciales,aldeterminarsilaeficaciadelosprocesosdecontrolestácomprometidayexistenriesgosinaceptables.

11.ElinformedelDEAsobrelosprocesosdecontroldelaorganizaciónsepresentanormalmenteunavezalañoalaaltadirecciónyalconsejodeadministración.El informeestablece la importante funciónquecumplen losprocesosdecontrolenel logrode losobjetivosde laorganización.Esteinformetambiéndescribelanaturalezayalcancedeltrabajorealizadoporlaactividaddeauditoríainterna,asícomola naturaleza y alcancede la utilización de otros proveedores deaseguramientoparaformularlaopinión.

* * *


Consejo para la Práctica 2130-A1-1:Fiabilidad e Integridad de la Información

Norma principalmente relacionada2130.A1 - Laactividaddeauditoríainternadebeevaluarlaadecuaciónyeficaciadeloscontrolesenrespuestaalosriesgosdelgobierno,ope-racionesysistemasdeinformacióndelaorganización,respectodelosiguiente:

• Fiabilidadeintegridaddelainformaciónfinancierayoperati-va,

• Eficaciayeficienciadelasoperaciones,• Proteccióndeactivos,y• Cumplimientodeleyes,regulacionesycontratos.

1. Losauditoresinternosdeterminansilaaltadirecciónyelconsejodeadministraciónentiendenclaramentequelafiabilidadeintegridaddela informaciónesunaresponsabilidaddeladirección.Estaresponsabilidadincluyetodalainformacióncríticadelaorganiza-ción,sinimportarcómosealmacenalainformación.Lafiabilidade integridadde la información incluye laprecisión, integridadyseguridad.

2. ElDirectorEjecutivodeauditoría(DEA)determinasilaactividaddeauditoríainternaposeeotieneaccesoarecursosdeaudito-ríacompetentesparaevaluarlaconfiabilidadeintegridaddelainformaciónylasexposicionesalosriesgosrelacionados.Estoincluyetantolasexposicionesariesgosinternoscomoexternosylasexposicionesoriginadasenlarelacióndelaorganizaciónconentidadesexternas.

3. ElDEAdeterminasi las violacionesa la fiabilidade integridaddelainformaciónylascondicionesquepodríanrepresentarunaamenazaparalaorganizaciónserándadasaconocerdeinmediatoalaaltadirección,alconsejodeadministraciónyalaactividaddeauditoríainterna.

4. Losauditores internosevalúan laeficaciade lasmedidasparaprevenir,detectarymitigarataquesocurridosenelpasado,se-gúnseaapropiado,eintentosfuturosoincidentesprobables.Losauditoresinternosdeterminansielconsejodeadministraciónha


sidoadecuadamente informadode lasamenazas, incidentesyvulneracionesocurridas,ydelasmedidascorrectivas.

5. Losauditoresinternosevalúanperiódicamentelafiabilidadeinte-gridaddelainformacióndelaorganizaciónyrecomiendan,segúnseaapropiado,mejorasoimplantacionesdenuevoscontrolesyprotecciones.Tales evaluaciones pueden ser realizadas comotrabajosporseparadooestarintegradasenotrostrabajosoaudi-toríasqueformenpartedelplananualdeauditoría.Lanaturalezadeltrabajodeterminaráelprocesodeinformemásapropiadoparalaaltadirecciónyelconsejodeadministración.

* * *


Consejo para la Práctica 2130-A1-2:Evaluación del Enfoque de Privacidad de una Organización


2130.A1 - Laactividaddeauditoríainternadebeevaluarlaadecuaciónyeficaciadeloscontrolesenrespuestaalosriesgosdelgobierno,operacionesysistemasdeinformacióndelaorganización,respectodelosiguiente:

• Fiabilidadeintegridaddelainformaciónfinancierayopera-tiva,

• Eficaciayeficienciadelasoperaciones,• Proteccióndeactivos,y• Cumplimientodeleyes,regulacionesycontratos.

1. Lafaltadeproteccióndelainformaciónpersonalpormediodecon-trolesadecuadospuedetenerconsecuenciassignificativasparaunaorganización.Estafaltapuededañarlareputacióndelaspersonasydelaorganización,exponeralaorganizaciónariesgosquetenganconsecuenciaslegales,ydisminuirlaconfianzadeconsumidoresyempleados.

2. Lasdefinicionesdeprivacidadvaríanampliamentedependiendodelacultura,ambientepolíticoymarcolegaldelospaísesdondeactúelaorganización.Losriesgosasociadosconlaprivacidaddelainfor-macióncomprendenalaprivacidadpersonal(físicaypsicológica);laprivacidaddelespacio(libertaddevigilancia);laprivacidaddelascomunicaciones(libertaddevigilancia);ylaprivacidaddelainforma-ción(obtención,usoyrevelacióndeinformaciónpersonalporpartedeterceros).Lainformaciónpersonalserefieregeneralmenteain-formaciónquepuedeestarasociadaconunindividuodeterminado,oquetienecaracterísticasdeidentificaciónquecuandosecombinaconotrainformaciónpuedeasociarseaunindividuoenparticular.Puedeincluircualquierinformaciónfácticaosubjetiva,registradaono,encualquierformatoomedio.Lainformaciónpersonalpodríaincluir:

• Nombre, dirección, números de identificación, relacionesfamiliares;

• Documentación, evaluaciones, comentarios, estado civil oaccionesdisciplinariasdelpersonal;


• Registroscrediticios,ingresos,situaciónfinanciero;o• Situaciónmédica.

3. Elcontroleficazsobrelaproteccióndelainformaciónpersonalesuncomponenteesencialdelosprocesosdegobierno,gestiónderiesgosycontroldeunaorganización.Elconsejodeadministraciónesenúltimainstanciaelresponsabledeidentificarlosriesgosprin-cipalesparalaorganizaciónydeimplementarprocesosdecontrolapropiadosquereduzcanesosriesgos.Estoincluyeestablecerelenfoquedeprivacidadnecesarioparalaorganizaciónyvigilarsuimplementación.

4. Laactividaddeauditoríainternapuedecontribuiralbuengobiernoyalagestiónderiesgosevaluandolaadecuacióndelaidentificaciónderiesgosefectuadaporladirecciónconrespectoasusobjeti-vosdeprivacidad,ylaadecuacióndeloscontrolesestablecidosparareduciresosriesgosaunnivelaceptable.Elauditorinternoestábienposicionadoparaevaluarelenfoquedeprivacidadensuorganizacióne identificar los riesgossignificativosasícomoefectuarrecomendacionesapropiadasparareducirlos.

5. Laactividaddeauditoríainternaidentificalostiposdeinformaciónobtenidaporlaorganizaciónqueseconsiderenpersonalopriva-da, loapropiadode lasmismas, lametodologíaderecolecciónutilizada,ysielusoquehacelaorganizacióndeesainformacióneselquecorrespondealoquesepretendeyalalegislaciónapli-cable.

6. Dada lanaturalezaaltamente técnicay legalde losproblemasdeprivacidad, laactividaddeauditoría internahade tener losconocimientos y competencias apropiadas para realizar unaevaluacióndelosriesgosycontrolesdelenfoquedecontroldelaorganización.

7. Alrealizardichaevaluacióndelagestióndelenfoquedeprivacidaddelaorganización,elauditorinterno:

• Tieneencuentalasleyes,regulacionesypolíticasreferidasalaprivacidadenlajurisdiccióndondeoperalaorganiza-ción;

• Establececontactosconunasesorlegaldellugarparadeter-minarlanaturalezaexactadelasleyes,regulacionesyotras


normasyprácticasaplicablesalaorganizaciónyalospaísesdondeopera;

• Establece contactos conespecialistas en tecnologíade lainformaciónparadeterminarqueloscontrolessobrelase-guridadinformáticaylaproteccióndedatosexistanyseanrevisadosyevaluadosregularmenterespectodesuadecua-ción;

• Tieneencuentaelniveldemadurezdelasprácticasdepriva-cidaddelaorganización.Dependiendodeesenivel,elauditorinternopuedeasumirrolesdiferentes.Elauditorpuedefacilitarlaelaboracióneimplementacióndelprogramadeprivacidad,evaluar la gestiónde riesgosdeprivacidadque realiza ladirecciónparadeterminarlasnecesidadesyexposicionesalriesgodelaorganización,oproporcionaraseguramientosobrelaeficaciadelaspolíticas,prácticasycontrolesdeprivacidadentodalaorganización.Sielauditorinternoasumealgunaresponsabilidaddeelaborareimplementarunprogramadeprivacidad,suindependenciaseverámenoscabada.

* * *


Consejo para la Práctica 2200-1:Planificación del Trabajo


2200 – Planificación del trabajoLos auditores internos deben elaborar y documentar un plan paracadatrabajo,queincluyasualcance,objetivos,tiempoyasignaciónderecursos.

1. Elauditorinternoplanificayllevaacaboeltrabajo,conlarevisiónyaprobacióndeunsupervisor.Antesdecomenzareltrabajo,elauditorinternopreparaunprogramadetrabajoque:• Establecelosobjetivosdeltrabajo.• Identifica los requisitos técnicos, objetivo, riesgos, procesos y

transaccionesquedebenexaminarse.• Establecerlanaturalezayextensióndelaspruebasrequeridas.• Documentalosprocedimientosdelauditorinternoparaobtener,

analizar, interpretar y documentar la información durante eltrabajo.

• Semodifica,cuandoseapreciso,duranteeltranscursodeltrabajo,conlaaprobacióndelDirectorEjecutivodeauditoría(DEA)oquienéstedesigne.

2. El DEA debería exigir un nivel de formalidad y documentación(por ejemplo, de los resultados de la planificación de reuniones,procedimientos de evaluación de riesgos, nivel de detalle en elprogramadetrabajo,etc.)queseaapropiadoalaorganización.Losfactoresatenerencuentaserían:

• Si el trabajo desempeñado y los resultados del trabajoseránutilizadosporotros(porejemplo,auditoresexternos,organismosreguladoresoladirección).

• Sieltrabajoserefiereaasuntosquepuedanestarimplicadosenjuiciosposiblesoreales.

• Elniveldeexperienciadelpersonaldeauditoríainternayelniveldesupervisióndirectarequerida.

• Sielproyectosellevaráacaboconpersonalinternacional,


conauditores invitadosoconproveedoresexternosdedeservicios.

• Lacomplejidadyalcancedelproyecto.• Eltamañodelaactividaddeauditoríainterna.• Elvalordeladocumentación(porejemplo,siseráutilizada

enañosposteriores).3. Elauditor internodetermina losdemásrequisitosdel trabajo, tales

comoelperíodoquecubriráylasfechasestimadasderealización.Elauditorinternotambiéntieneencuentaelformatodelacomunicaciónfinaldeltrabajo.Laplanificaciónenestaetapafacilitaelprocesodecomunicaciónquetienelugaralfinalizareltrabajo.

4. Elauditorinternoinformaaaquellosmiembrosdeladirecciónquetienenqueconocerlarealizacióndeltrabajo,realizareunionesconlagerenciaresponsabledelaactividadarevisar,resumeydistribuyelosdebatesycualquierconclusiónalcanzadaenlasreuniones,yretienela documentacióndentro de suspapelesde trabajo. Los temasadebatirpuedenser:

• Losobjetivosyalcancedeltrabajoplanificados.• Losrecursosytiemposderealizacióndeltrabajo.• Losfactoresclavequeafectanalascondicionesdelnegocio

ylasoperacionesdelasáreasbajorevisión,incluyendoloscambiosrecientesenlosambientesinternosyexternos.

• Laspreocupacionesosolicitudesdeladirección.5. El DEA determina cómo, cuándo y a quién se comunicarán los

resultadosdeltrabajo.Elauditorinternodocumentaycomunicaestadecisiónaladirección,enlamedidaqueconsidereapropiada,durantelaetapadeplanificacióndel trabajo.Elauditor internocomunicaaladirecciónloscambiosposterioresqueafectanalasfechasoalainformacióndelosresultadosdeltrabajo.

* * *


Consejo para la Práctica 2210-1:Objetivos del Trabajo


2210 – Objetivos del trabajoDebenestablecerseobjetivosparacadatrabajo.1. Losauditoresinternosestablecenlosobjetivosdeltrabajoconelfin

derevisarlosriesgosasociadosconlaactividadbajorevisión.Paralostrabajosplanificados,losobjetivosprovienenyestánalineadosconaquellosinicialmenteidentificadosduranteelprocesodeevaluaciónderiesgosdelcualsederivaelplananualdeauditoría.Paralostrabajosnoplanificados,losobjetivosseestablecenantesdelcomienzodecadatrabajoyestándiseñadospararevisarelproblemaespecíficoquemotivólarealizacióndecadatrabajo.

2. Laevaluaciónderiesgosqueserealizadurantelafasedeplanificacióndeltrabajoseutilizaparadefinirmásadelantelosobjetivosinicialeseidentificarotrasáreassignificativasdeproblemas.

3. Una vez identificados los riesgos, el auditor determina losprocedimientosarealizaryelalcance(naturaleza,tiempoyextensión)deaquellosprocedimientos.Losprocedimientosdeltrabajollevadosacaboconelalcanceapropiadosonelmedioquepermitirásacarconclusionesreferidasalosobjetivosdeltrabajo.

* * *


Consejo para la Práctica 2210.A1-1: Evaluación de Riesgos

en la Planificación del Trabajo

Norma principalmente relacionada2210.A1 – Losauditoresinternosdebenrealizarunaevaluaciónpreliminardelosriesgosrelevantesparalaactividadbajorevisión.Losobjetivosdeltrabajodebenreflejarlosresultadosdeestaevaluación.

1. Los auditores internos tienen en cuenta la evaluación de riesgosrealizadapor ladirecciónquesearelevantepara laactividadbajorevisión.Elauditorinternotambiéncontemplalosiguiente:

• Lafiabilidadde laevaluaciónderiesgosrealizadapor ladirec-ción.

• Elprocesoquesigueladirecciónparavigilar,informaryresolverasuntosderiesgosycontrol.

• Losinformesdeladirecciónsobreeventosquehayanexcedidoloslímitesdelaorganizaciónrespectodelaaceptaciónderiesgosylarespuestadeladirecciónaaquellosinformes.

• Losriesgosenactividadesrelacionadasqueseanrelevantesparalaactividadbajorevisión.

2. Losauditoresinternosobtienenoactualizanlainformacióndeante-cedentessobrelasactividadesarevisar,conelfindedeterminarsuimpactosobrelosobjetivosyalcancedeltrabajo.

3. Cuandocorresponda,losauditoresinternosrealizanunestudioparafamiliarizarseconlasactividades,riesgosycontroles,conelfindeidentificar lasáreasenlasquesedeberáponermásénfasiseneltrabajoylograrcomentariosysugerenciasdepartedelosclientesdeltrabajo.

4. Losauditoresinternosresumenlosresultadosapartirdelasrevisionesdelaevaluaciónderiesgosrealizadaporladirección,lainformacióndeantecedentes,ycualquierestudiollevadoacabo.Esteresumenincluye:

• Temassignificativosdeltrabajoylasrazonesparaseguirlosconmayorprofundidad.


• Objetivosyprocedimientosdeltrabajo.• Metodologíasautilizar,talescomoauditoríabasadaentecnología

ytécnicasdemuestreo.• Posiblespuntosdecontrolcríticos,deficienciasdecontroloexceso

decontroles.• Cuandocorresponda,lasrazonesparanoproseguireltrabajoo

paramodificarsignificativamentelosobjetivosdeltrabajo.

* * *


Consejo para la Práctica 2230-1:Asignación de Recursos para el Trabajo

Norma principalmente relacionada2230 – Asignación de recursos para el trabajoLos auditores internos deben determinar los recursos adecuados ysuficientes para lograr los objetivos del trabajo, basándose en unaevaluacióndelanaturalezaycomplejidaddecadatrabajo,lasrestriccionesdetiempoylosrecursosdisponibles.1. Paradeterminarquelosrecursosseanapropiadosysuficientes,los

auditoresinternostienenencuentalosiguiente: • Lacantidaddepersonalconquecuentaauditoríainternaysunivel

deexperiencia.• Losconocimientos,técnicasydemáscompetenciasdelpersonal

deauditoríainternaalseleccionaralosauditoresinternosparaeltrabajoarealizar.

• Ladisponibilidadderecursosexternosenaquelloscasosenquesenecesitenconocimientosycompetenciasadicionales.

• Lasnecesidadesdecapacitacióndelosauditoresinternos,dadoquecadaasignacióndetrabajosirvedebaseparacumplirconlasnecesidadesdedesarrollodelaactividaddeauditoríainterna.

* * *


Consejo para la Práctica 2240-1:Programa de Trabajo


2240 –Programa de trabajo Losauditores internos debenpreparar y documentar programasquecumplanconlosobjetivosdeltrabajo.1. Losauditoresinternosdesarrollanyobtienenaprobacióndocumentada

de los programasde trabajo antes de comenzar cada trabajo deauditoría interna.Elprogramade trabajo incluye lasmetodologíasautilizar, talescomoauditoríabasadaentecnologíay técnicasdemuestreo.

2. Elprocesodeobtención,análisis,interpretaciónydocumentacióndelainformacióndebersersupervisadoparaproporcionarunaseguridadrazonabledequesealcancenlosobjetivosdeltrabajoysemantenganlaobjetividaddelauditorinterno.

* * *


Consejo para la Práctica 2330-1:Documentación de la Información

Norma principalmente relacionada:2330 – Documentación de la informaciónLosauditoresinternosdebendocumentarinformaciónrelevantequelespermitasoportarlasconclusionesylosresultadosdeltrabajo.1. Losauditoresinternospreparanpapelesdetrabajo.Lospapelesde

trabajodocumentanlainformaciónobtenida,losanálisisefectuadosyelsoportepara lasconclusionesy los resultadosdel trabajo.Lagerenciadeauditoríainternarevisalospapelesdetrabajoquesehanpreparado.

2. Generalmente,lospapelesdetrabajo:• Ayudan en la planificación, ejecución y revisión de los

trabajos.• Proporcionan el soporte principal a los resultados del

trabajo.• Documentansilosobjetivosdeltrabajosehanalcanzado.• Soportanlaprecisióneintegridaddeltrabajorealizado.• Suministranunabaseparaelprogramadeaseguramientoy

mejoradecalidaddelaactividaddeauditoríainterna.• Facilitanlasrevisionesdeterceraspartes.

3. Laorganización,diseñoycontenidodelospapelesdetrabajodependedelanaturalezayobjetivosdeltrabajo,asícomodelasnecesidadesdelaorganización.Lospapelesdetrabajodocumentatodoslosaspectosdelprocesodetrabajo,desdelaplanificaciónhastalacomunicacióndelosresultados.Laactividaddeauditoríainternadeterminalosmediosutilizadosparadocumentaryalmacenarlospapelesdetrabajo.

4. ElDirectorEjecutivodeauditoríaestablece laspolíticas sobre lospapeles de trabajo para los diversos tipos de trabajo realizados.Los papeles de trabajo normalizados, tales como cuestionarios yprogramasdeauditoría,puedenmejorar laeficienciadel trabajoyfacilitar ladelegacióndel trabajo. Lospapelesde trabajopuedenser clasificados comoarchivospermanenteso para ser utilizadosen el futuro, en cuyo caso contienen información de importanciapermanente.


Consejo para la Práctica 2330.A1-1: Control de los Registros del Trabajo


2330.A1 - ElDirectorEjecutivodeauditoríadebecontrolarelaccesoalosregistrosdeltrabajo.ElDirectorEjecutivodeauditoríadebeobteneraprobaciónde laaltadirecciónodeasesores legalesantesdedaraconocertalesregistrosaterceros,segúncorresponda.

1. Losregistrosdeltrabajodeauditoríainternaincluyeninformes,docu-mentacióndesoporte,notasderevisiónycorrespondencia,seacualfuereelmedioutilizadoparasualmacenamiento.Losregistrosdeltrabajoopapelesdetrabajosonpropiedaddelaorganización.Laactividaddeauditoríainternacontrolalospapelesdetrabajoypermiteelaccesosóloalaspersonasautorizadas.

2. Losauditoresinternospuedeneducaraladirecciónyalconsejodeadministraciónrespectodelaccesoalosregistrosdeltrabajoporpartedeterceraspartes.Laspolíticasreferidasalaccesoalosregistrosdeltrabajo,elmanejodelassolicitudesdeaccesoylosprocedimientosaseguircuandountrabajogarantizaunainvestigaciónnecesitanserrevisadasporelconsejodeadministración.

3. Laspolíticasdeauditoría internaexplicanquiénesel responsabledentrodelaorganizacióndeasegurarelcontrolyseguridaddelosregistrosdelaactividad,aquépartesinternasoexternasselespuedeotorgaraccesoalosregistrosdeltrabajoycómodebenmanejarselassolicitudesparaaccederadichosregistros.Estaspolíticasvariaránsegúnlanaturalezadelaorganización,lasprácticasseguidasenelsectoreconómicoylosprivilegiosdeaccesoestablecidosporlaley.

4. Ladirecciónyotrosmiembrosdelaorganizaciónpuedensolicitarelaccesoatodosoaunapartedelospapelesdetrabajo.Dichoacce-sopuedesernecesarioparajustificaroexplicarlasobservacionesyrecomendacionesdeltrabajooparaotrospropósitosdenegocios.ElDirectorEjecutivodeauditoría(DEA)apruebaestaspeticiones.

5. ElDEAapruebaelaccesoalospapelesdetrabajoporpartedelosauditoresexternos.

6. Haycircunstanciasenque lapeticióndeaccesoa lospapelesdetrabajoyalosinformeslarealizantercerosajenosalaorganización,


distintosdelosauditoresexternos.Antesdedaraconocerladocu-mentación,elDEAobtienelaaprobacióndelaaltadirecciónodelaasesoríajurídica,segúnproceda.

7. En procesos legales, se puede permitir el acceso a los registrosdeauditoría internaquenoesténespecíficamenteprotegidos.Lasexigenciaslegalesvaríansignificativamenteenlasdistintasjurisdic-ciones.Cuandohayunasolicitudespecíficarespectodelosregistrosdeltrabajoenrelaciónconunproceso legal, el DEA trabaja muy de cerca con la asesoría legal para decidir qué se proporcionará.

* * *


Consejo par la Práctica 2330.A2-1:Retención de los Registros


2330.A2 - ElDirectorEjecutivodeauditoríadebeestablecerrequisitosderetenciónparalosregistrosdeltrabajo,seacualfuereelmedioenelcualsealmacenacadaregistro.Estosrequisitosderetencióndebenserconsistentesconlasguíasdelaorganizaciónycualquierregulaciónuotrosrequisitospertinentes.

1. Losrequisitosderetenciónderegistrosdeltrabajovaríanenlasdis-tintasjurisdiccionesyentornoslegales.

2. ElDirectorEjecutivodeauditoría(DEA)elaboraunapolíticaescritaderetenciónquecumplaconlasnecesidadesdelaorganizaciónylosrequisitoslegalesdelasjurisdiccionesenqueoperalaorganiza-ción.

3. Lapolíticaderetenciónderegistros tieneque incluir losacuerdosapropiadosreferidosalaretenciónderegistrosdelostrabajosreali-zadosporproveedoresexternosdeservicios.

* * *


Consejo para la Práctica 2340-1:Supervisión del Trabajo


2340 – Supervisión del trabajoLos trabajos deben ser adecuadamente supervisados para asegurarel logro de sus objetivos, la calidad del trabajo y el desarrollo delpersonal.

Interpretación:El alcance de la supervisión requerida dependerá de la pericia y experiencia de los auditores internos y de la complejidad del trabajo. El Director Ejecutivo de auditoría tiene la responsabilidad general de la supervisión del trabajo, ya sea que haya sido desempeñado por la actividad de auditoría interna o para ella, pero puede designar a miembros adecuadamente experimentados de la actividad de auditoría interna para llevar a cabo esta tarea. Se debe documentar y conservar evidencia adecuada de la supervisión.1. El Director Ejecutivo de auditoría (DEA) o quien este designe,

proporcionalaadecuadasupervisióndeltrabajo.Lasupervisiónesunprocesoquecomienzaconlaplanificaciónycontinúaalolargodeltrabajo.Esteprocesoincluye:• Asegurarquelosauditoresdesignadosposeanenconjuntolos

conocimientos, técnicas y otras competencias requeridasparadesempeñareltrabajo.

• Proporcionarinstruccionesadecuadasdurantelaplanificaciónyaprobarelprogramadetrabajo.

• Asegurarquesecompleteelprogramade trabajoaprobado,amenosquesejustifiquenyautoricenmodificaciones.

• Determinarquelospapelesdetrabajosoportenadecuadamentelasobservaciones,conclusionesyrecomendacionesdeltrabajo.

• Asegurar que las comunicaciones del trabajo sean precisas,objetivas,claras,concisas,constructivasyoportunas.

• Asegurarquesecumplanlosobjetivosdeltrabajo.


• Proporcionar oportunidades para que se desarrollen losconocimientos, técnicasyotras competenciasde losauditoresinternos.

2. ElDEAes responsablede todos los trabajosdeauditoría interna,yaseanlosrealizadosporlaactividaddeauditoríainternaoparalamisma, yde todos los juiciosprofesionalessignificativosemitidosduranteel trabajo. ElDEAes tambiénquienadopta lasmedidasnecesariasparaasegurarquesecumplaestaresponsabilidad.Dichasmedidasincluyenpolíticasyprocedimientosdiseñadospara: • Minimizarelriesgodequelosauditoresinternosuotraspersonas

querealicentareasparalaactividaddeauditoríainternaemitanjuiciosprofesionalesosiganotrasaccionesqueseaninconsistentesconeljuicioprofesionaldelDEAdemodotalqueproduzcanunimpactoadversoeneltrabajo.

• ResolverdiferenciasenelcriterioprofesionalentreelDEAylosmiembros de auditoría interna sobre cuestiones importantesrelacionadas con el trabajo. Estasmedidas pueden incluir ladiscusión de los hechos pertinentes, nuevas investigacioneso revisiones, y documentación y disposición de los diferentespuntos de vista en los papeles de trabajo. En los casos queexistan diferencias de criterio profesional sobre una cuestiónética, lasmedidas adecuadas pueden incluir la consulta deltema conaquellas personasde la organizaciónque tengan laresponsabilidadsobrelascuestioneséticas.

3. Todoslospapelesdetrabajodebenserrevisadosparaasegurarquesoportanlascomunicacionesdeltrabajoyquesehanaplicadolosprocedimientosdeauditoríanecesarios.Laevidenciadelarevisióndelsupervisorconsisteenqueelsupervisorcoloquesusinicialesylafechaencadapapeldetrabajounavezrevisado.Otrastécnicasqueproporcionanevidenciadelarevisióndelsupervisorincluyenelcompletarunalistadepuntosderevisióndelospapelesdetrabajo;lapreparacióndeunmemorándumespecificandolanaturaleza,alcanceyresultadosdelarevisión;olaevaluaciónyaceptacióndentrodeunsoftwaredepapelesdetrabajo.

4. Losrevisorespuedendejarporescrito(porejemplo,mediantenotasderevisión)laspreguntassurgidasenelprocesoderevisión.Cuando


estasnotasseclarifiquendebenasegurarsedequelospapelesdetrabajo proporcionen la evidencia adecuadadeque las preguntassurgidas durante la revisión han sido resueltas. Las alternativascon respecto a la disposición de las notas de revisión son lassiguientes:• Conservarlasnotasderevisióncomounregistrodelaspreguntas

realizadasporelrevisor,lospasosdadospararesolverlasylosresultadosdedichospasos.

• Destruir las notas de revisiónuna vezque los temas tratadoshan sido resueltos y se han corregido los papeles de trabajocorrespondientes demodo que proporcionen la informaciónsolicitada.

5. Lasupervisióndeltrabajotambiénpermitelacapacitaciónydesarrollodelpersonal,ylaevaluacióndesudesempeño.

* * *


Consejo para la Práctica 2410-1:Criterios para la Comunicación


2410 – Criterios para la comunicación Lascomunicacionesdebenincluirlosobjetivosyalcancedeltrabajoasícomo las conclusiones correspondientes, las recomendaciones, y losplanesdeacción.1. Sibienelformatoycontenidodelascomunicacionesfinalesdeltrabajo

varíansegún laorganizaciónoel tipode trabajo,debencontener,comomínimo,elpropósito,alcanceyresultadosdeltrabajo.

2. Lascomunicacionesfinalesdeltrabajopuedenincluirantecedentesy resúmenes. Losantecedentes pueden identificar las unidades yactividadesrevisadasdelaorganizaciónyproporcionarinformaciónaclaratoria.Tambiénpuedenincluirlasituacióndelasobservaciones,conclusionesyrecomendacionesdeinformesanteriores.Asimismo,pueden indicar si el informe se refiere a un trabajo planificado osi responde a una petición. Los resúmenes son una expresiónequilibradadelcontenidodelacomunicacióndeltrabajo.

3. Laexplicacióndelpropósitodescribelosobjetivosdeltrabajoypuedeinformarallectorsobrelasrazonesquemotivaronlarealizacióndeltrabajoyloqueseesperabaconseguir.

4. Laexplicacióndelalcanceidentificalasactividadesauditadasypuedeincluirinformacióndesoporte,comoporejemploelperíodorevisadoylasactividadesrelacionadasquenofueronrevisadas,conelfindedefinirloslímitesdeltrabajo.Tambiénpuededescribirlanaturalezayextensióndeltrabajorealizado.

5. Los resultados incluyen observaciones, conclusiones, opiniones,recomendacionesyplanesdeacción.

6. Lasobservacionessonexposicionespertinentesdeloshechos.Elauditorinternocomunicaaquellasobservacionesqueseannecesariaspara apoyar sus conclusiones y recomendaciones, o para evitarequívocosderivadosdeéstas.Elauditorinternopudecomunicarlasobservacionesorecomendacionesqueseanmenossignificativasdemanerainformal.


7. Las observaciones y recomendaciones del trabajo surgen de unprocesode comparaciónentre el criterio (el estado correcto) y lacondición(elestadoactual).Sielauditorinternoencuentradiferenciasentreambos,estaserálabaseparaelaborarsuinforme.Cuandolacondicióncumpleconelcriterioestablecido,puedeserconvenientecomunicar ese desempeño satisfactorio. Las observaciones yrecomendacionessebasanenlossiguientesatributos:• Criterio:Losestándares,medidas,osupuestosutilizadosalhacer

unaevaluaciónyverificación(elestadocorrecto).• Condición: La evidencia, los hechos que el auditor interno

encuentradurantelarealizacióndesutrabajo(elestadoactual).• Causa:Larazóndeladiferenciaentrelassituacionesesperadas

ylasreales.• Efecto:Elriesgooexposiciónenqueseencuentralaorganización

uotros terceros, debidoaque la condiciónnocoincide conelcriterio(elimpactodeladiferencia).Paradeterminarelgradoderiesgooexposición,elauditor internotieneencuentaelefectoque lasobservacionesy recomendacionespuedan tenersobrelasoperacionesylosestadosfinancierosdelaorganización.

• Las observaciones y recomendaciones pueden incluir logrosobtenidos por el cliente del trabajo, problemas relacionadoseinformacióndesoporte.

8. Lasconclusionesyopinionessonlasevaluacionesquehaceelauditorinternosobrelosefectosdelasobservacionesyrecomendacionesenlaactividadrevisada.Generalmente,lasconclusionesyopinionessitúanalasobservacionesyrecomendacionesenunaperspectivabasadaentodassusimplicaciones.Identificanclaramentelasconclusionesdeltrabajoenelinformedeltrabajo.Lasconclusionespuedenreferirseatodoelámbitodeltrabajoosóloaaspectosdeterminados.Aunquenoestánlimitadasaellos,puedenabarcaraspectostalescomoladeterminacióndesilosobjetivosymetasdeprogramasyoperacionesestánenconsonanciaconlosdelaorganización,siestosúltimosseestáncumpliendoysilaactividadrevisadafuncionacomosepretende.Unaopiniónpuedeincluirunaevaluacióngeneraldecontrolesopuedeestarlimitadaadeterminadoscontrolesoaspectosdeltrabajo.

9. Elauditorinternopuedecomunicarrecomendacionesparamejoras,


reconocimientosdedesempeñosatisfactorioyaccionescorrectivas.Lasrecomendacionessebasanenlasobservacionesyconclusionesobtenidasporelauditorinterno.Demandanaccionesquecorrijanlasituaciónactualomejorenlasoperacionesypuedensugerirenfoquesparacorregiromejorarlagestiónquesirvandeguíaaladirecciónenlaobtencióndelosresultadosdeseados.Lasrecomendacionespuedensergeneralesoespecíficas.Porejemplo,enciertascircunstancias,el auditor internopuede recomendar una líneageneral de accióny sugerencias específicas para su puesta enmarcha. En otroscasos,elauditor internopuedesugerirunainvestigaciónoestudioadicionales.

10.El auditor interno puede comunicar los logros obtenidos por elcliente,entérminosdemejorasrealizadasdesdeelúltimotrabajoodel establecimientodeunaoperaciónadecuadamente controlada.Estainformaciónpuederesultarnecesariaparareflejarfielmentelascondicionesactualesyproporcionaralascomunicacionesfinalesdeltrabajolaperspectivayelequilibrioadecuados.

11.Elauditor internopuedecomunicar lospuntosdevistadel clientesobrelasconclusiones,opinionesorecomendacionesquerealizóelauditorinterno.

12.Comopartedelasconversacionesdelauditorinternoconelclientedeltrabajo,elauditorinternoobtienesuacuerdosobrelosresultadosdeltrabajoysobrecualquierplandeacciónnecesarioparamejorarlasoperaciones.Siambosdiscrepansobrelosresultadosdeltrabajo,lascomunicacionespuedenexponerambasposicionesylasrazonesdeldesacuerdo.Loscomentariosescritosdelclientesepuedenincluircomoapéndicealinformedeltrabajo,dentrodelmismoinformeoenunacartadepresentación.

13.Ciertainformaciónpuedenoserapropiadaparasercomunicadaatodoslosreceptoresdelinforme,debidoasucondicióndeconfidencialoprivada,oporreferirseaactosimpropiosoilegales.Estainformaciónsepresentaenuninformeseparado.Elinformeseentregaalconsejodeadministracióncuandoloshechosdelosqueseinformaimplicanalaaltadirección.

14.Los informes intermedios son escritos o verbales y pueden sertransmitidosformaloinformalmente.Seutilizaninformesintermediospara transmitir informaciónque requiere atención inmediata, para


comunicaruncambioenelalcancedeltrabajoqueseestárealizando,o paramantener informadaa la dirección del avance del trabajocuandoésteseprolongaduranteundilatadoperíododetiempo.Elusodeinformesintermediosnoreducenieliminalanecesidaddeuninformefinal.

15.Seemite un informe firmadoal finalizar el trabajo. Los informesresumidos,quedestaquenlosresultadosdelaauditoría,sonadecuadosparaaquellosnivelesdedirecciónsuperioresjerárquicamentealclientedeltrabajoypuedenemitirseseparadaoconjuntamenteconelinformefinal.Eltérmino“firmado”significaqueelnombredelauditorinternoautorizadoestámanual o electrónicamente firmadoenel informeoenunacartadepresentación.ElDirectorEjecutivodeauditoríadeterminaquéauditorinternoestáautorizadoparafirmarelinforme.Silosinformesdeltrabajosedistribuyenpormedioselectrónicos,sedebemantenerunaversiónfirmadaenarchivosdelaactividaddeauditoríainterna.

* * *


Consejo para la Práctica 2420-1:Calidad de las Comunicaciones

2420 – Calidad de la comunicaciónLas comunicaciones deben ser precisas, objetivas, claras, concisas,constructivas,completasyoportunas.

Interpretación:Las comunicaciones precisas están libres de errores y distorsiones y son fieles a los hechos que describen. Las comunicaciones objetivas son justas, imparciales y sin desvíos y son el resultado de una evaluación justa y equilibrada de todos los hechos y circunstancias relevantes. Las comunicaciones claras son fácilmente comprensibles y lógicas, evitando el lenguaje técnico innecesario y proporcionando toda la información significativa y relevante. Las comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles superfluos, redundancia y uso excesivo de palabras. Las comunicaciones constructivas son útiles para el cliente del trabajo y la organización, y conducen a mejoras que son necesarias. A las comunicaciones completas no les falta nada que sea esencial para los receptores principales e incluyen toda la información y observaciones significativas y relevantes para apoyar a las recomendaciones y conclusiones. Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes, dependiendo de la significatividad del tema, permitiendo a la dirección tomar la acción correctiva apropiada. 1. Obtener,evaluaryresumirdatosyevidenciasdemaneracuidadosa

yconprecisión.2. Derivaryexpresarobservaciones,conclusionesyrecomendaciones

sinprejuicios,parcialidades,interesespersonaleseindebidainfluenciadeterceros.

3. Mejorar la claridad evitando el lenguaje técnico innecesario yproporcionando toda la información significativa y relevante encontexto.

4. Elaborarcomunicacionesconelobjetivodequecadaelementoseaexpresivoperosucinto.


5. Adoptaruncontenidoytonoútiles,positivosybienintencionados,quesecentrenenlosobjetivosdelaorganización.

6. Asegurarquelacomunicaciónseaconsistenteconelestiloyculturadelaorganización.

7. Planearlaoportunidaddelapresentacióndelosresultadosdeltrabajoparaevitardemorasindebidas.

* * *


Consejo para la Práctica 2440-1:Difusión de Resultados


2440 – Difusión de resultadosElDirectorEjecutivodeauditoríadebedifundirlosresultadosalaspartesapropiadas.

Interpretación:El Director Ejecutivo de auditoría o la persona por él designada debe revisar y aprobar la comunicación final del trabajo antes de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación. 1. Losauditoresinternoscomentanlasconclusionesyrecomendaciones

conlosnivelesdirectivosapropiadosantesdequeelDirectorEjecu-tivodeauditoría(DEA)emitalascomunicacionesfinalesdeltrabajo.Estoserealizausualmenteduranteeltranscursodeltrabajoyenlasreunionesfinalesdeltrabajo.

2. Otra técnica consiste enque la gerencia de la actividadauditadareviseelborradordelostemas,observacionesyrecomendacionesdeltrabajo.Estasdiscusionesyrevisionesayudanaevitarequívocosomalas interpretacionesde los hechos, al proporcionar al clientedel trabajo la oportunidad de clarificar detalles específicos y deexpresarsupuntodevistasobrelasobservaciones,conclusionesyrecomendaciones.

3. El nivel de los participantes en las discusiones y revisiones varíadependiendodelasorganizacionesydelanaturalezadel informe.Generalmenteseincluyenaaquellaspersonasconocedorasdelasoperacionesendetalleyaaquellasquepuedanautorizarlapuestaenmarchadelaaccióncorrectiva.

4. ElDEAdistribuyelascomunicacionesfinalesdeltrabajoalagerenciadelaactividadauditadayaaquellosmiembrosdelaorganizaciónquepuedanasegurarqueseprestarádebidaatenciónalosresultadosdel trabajo y seguirán las acciones correctivas o asegurarán quesesiganlasmismas.Cuandoseaapropiado,elDEApuedeenviaruna comunicación resumida amiembros demás alto nivel en la


organización.Cuando loexigeelestatutodeauditoría internao lapolíticadelaorganización,elDEAtambiénenvíalascomunicacionesa otros interesados o partes afectadas, tales como los auditoresexternosyelconsejodeadministración.

* * *


Consejo para la Práctica 2500-1:Seguimiento del Progreso


2500 – Seguimiento del progresoElDirectorEjecutivodeauditoríadebeestablecerymantenerunsistemaparavigilarladisposicióndelosresultadoscomunicadosaladirección.1. Paravigilareficazmenteladisposicióndelosresultados,elDirector

Ejecutivodeauditoría(DEA)estableceprocedimientosqueincluyenlosiguiente:• Elmarcodetiempodentrodelcualserequieralarespuestadela

direcciónalasobservacionesyrecomendacionesdeltrabajo.• Laevaluacióndelarespuestadeladirección.• Laverificacióndelarespuesta(sicorresponde).• Larealizacióndeuntrabajodeseguimiento(sicorresponde).• Unprocesodecomunicaciónalosnivelesadecuadosdelaalta

direcciónodelconsejodeadministración,quehagahincapiéenlasrespuestasoaccionesinsatisfactorias,incluyendolaasuncióndelriesgo.

2. Si ciertas observaciones y recomendaciones resultan ser tansignificativasquerequieranaccióninmediataporpartedeladirecciónodelconsejodeadministración,laactividaddeauditoríainternavigilalasaccionestomadashastaquelaobservaciónsehayacorregidoolarecomendaciónsehayaimplementado.

3. Laactividaddeauditoríainternapuedehacerunseguimientoeficazdelprogresomediantelosiguiente:• Dirigir las observaciones y recomendaciones del trabajo a los

nivelesadecuadosde la dirección que sean responsablesdellevaracabolaaccióncorrectiva.

• Recibiryevaluarlasrespuestasdeladirecciónyelplandeacciónpropuesto a las observaciones y recomendacionesdel trabajodurantelarealizacióndelmismoodentrodeunperíodorazonabledespuésdecomunicarlosresultadosdeltrabajo.Lasrespuestassonmásútilessiincluyenlainformaciónsuficientequepermita


al DEA evaluar la adecuación y oportunidad de las accionespropuestas.

• Recibiractualizacionesperiódicasdepartede ladirecciónconelfindeevaluarsusesfuerzosparacorregirlasobservacioneseimplementarlasrecomendaciones.

• Recibiryevaluarinformacióndeotrasunidadesdelaorganizaciónque tenganasignada responsabilidad en el seguimiento o lasaccionescorrectivas.

• Informaralaaltadirecciónoalconsejodeadministraciónsobrelasituacióndelasrespuestasalasobservacionesyrecomendacionesdeltrabajo.

* * *


Consejo para la Práctica 2500.A1-1:Proceso de Seguimiento

Norma principalmente relacionada2500.A1 - ElDirectorEjecutivodeauditoríadebeestablecerunprocesodeseguimientoparavigilaryasegurarquelasaccionesdeladirecciónhayansidoimplantadaseficazmenteoquelaaltadirecciónhayaaceptadoelriesgodenotomarmedidas.

1. Losauditoresinternosdeterminansiladirecciónhaseguidolasmedi-dasoimplementadolarecomendación.Elauditorinternodeterminasisealcanzaronlosresultadosdeseados,osiladirecciónoelconsejodeadministraciónhanasumidoelriesgodenoadoptarlasmedidasoimplementarlarecomendación.

2. Elseguimientoesunprocesoporelcuallosauditoresinternoseva-lúanlaadecuación,eficaciayoportunidaddelasmedidastomadasporladirecciónconrelaciónalasobservacionesyrecomendacionesdeltrabajo,inclusoaquellasefectuadasporlosauditoresexternosyotros.Esteprocesotambiénincluyedeterminarsilaaltadirecciónoelconsejodeadministraciónhanasumidoelriesgodenotomarmedidascorrectivassobrelasobservacionesinformadas.

3. El estatuto de la actividad de auditoría interna debería definir la responsabilidad del seguimiento. El Director Ejecutivo de auditoría (DEA) determina la naturaleza, oportunidad y alcance del seguimiento, teniendo en cuenta los siguientes factores: • La relevancia de las observaciones y recomendaciones informa-

das.• El grado de esfuerzo y costo necesarios para corregir la situación

informada.• El impacto que puede derivarse si no se lleva a cabo la acción

correctiva.• La complejidad de la acción correctiva.• El período involucrado.

4. El DEA es el responsable de programar las actividades de seguimiento,

como parte de la programación de trabajos a realizar. La programa-ción del seguimiento se basa en el riesgo y la exposición al mismo,


así como en el grado de dificultad y la cantidad de tiempo necesaria para implantar la acción correctiva.

5. Cuando el DEA juzgue que la respuesta oral o escrita de la dirección indique que la medida tomada es suficiente con relación a la importan-cia relativa de la observación o recomendación, los auditores internos pueden hacer el seguimiento como parte del siguiente trabajo.

6. Los auditores internos determinan si las medidas tomadas sobre las observaciones y recomendaciones solucionan los problemas de fon-do. Las actividades de seguimiento deberían estar apropiadamente documentadas.

* * *

libro rojo auditoria corregido 28032011

Documents