Presentacion Clases UNIDAD 1 PDF

Auditoría Interna
Armando Villacorta Cavero - CIA, CFSA, CGAP, CCSA, CRMA, QAR

Lima – PERU
Precisión innecesaria
Como decía Ortega y Gasset:
“Yo soy yo, y mis circunstancias”.
Los comentarios que puedan realizarse,

en ningún caso significarán crítica o
cuestionamiento a ningún modelo de
gestión aplicado; solo pretendemos
reflexionar sobre algunas “mejores
prácticas”.
Ahora bien:
Si no sabes hacia qué puerto quieres ir, ningún

viento te será favorable.
2
El Instituto de Auditores Internos
• Fundado en 1941
• Sede en Orlando, Florida
• Capítulos e institutos
• 153 capítulos
• USA, Canada & El Caribe
• 96 Institutos
• Rest of the world
• Más de 190,000 asociados
• Auditores Internos Certificados - CIAs
• Más de 100,000 CIAs global.theiia.org
Buenas Noticias
• Es un gran momento para ser un Auditor Interno

• Reconocido como expertos en controles
• Ser Facilitadores de la dirección para los temas de
gobierno corporativo y ERM
• Consejero de confianza de las juntas de supervisión
4
Buenas Noticias
THE WHISTLE-BLOWERS:
Cynthia Cooper, WorldCom; (left to right), Coleen Rowley,
the FBI; and Sherron Watkins, Enron
Personajes del Año 2002 en los Estados Unidos
Desarrollo de la Auditoría Interna
Primera Generación Segunda Generación Tercera Generación 4ta Generación (año 2000)
(antes de 1980) (Década 80’s) (Década 90’s)
•Enfocada a Controles Enfocada a la Estructura •Enfocada a Riesgos del Enfocada al Proceso del
de Control Negocio Manejo de Riesgo del
Negocio - BRMP
 Enfasis en procesos,  Comienza la aplicación  Se enfatiza en el cabal  Conocimiento del

procedimientos y de estructuras de entendimiento del negocio y de sus
actividades de control control (Sistemas negocio y de sus riesgos asociados
integrados de Control) riesgos asociados
 Se hace auditoría de Determina que el
 A I evalúa los 
cumplimiento controles que deben  AI evalúa controles BRMP opere
tener lugar para optimizar los adecuadamente
procesos e identificar
 Auditoría con el riesgos  Auditoría con el
propósito de medir propósito de medir el
eficiencia operativa  Auditoría con el cumplimiento y
propósito de medir efectividad de cada
eficiencia operacional uno de los
componentes del
 Nueva definición de AI BRMP
 Nuevas Normas AI
Como Auditores Internos, Prometemos:
• Ayudar a la gerencia y a los consejos directivos a
satisfacer sus objetivos
• Ser independientes
• Proporcionar certidumbre objetiva
• Ser sistemático y disciplinado
• Agregar valor a nuestras organizaciones
• Mejorar la eficacia de:
• Administración de riesgo
• Controles internos
• Gobierno corporativo
7
La Fundación de Nuestra Promesa
• Marco para la Practica Profesional de la

Auditoria Interna
• Código de ética
• Estándares
• Guías practicas
• Certificaciones
• Investigación y educación
• Globalización del servicio
8
La Auditoría Interna es función crítica
del Buen Gobierno Corporativo (BGC)
Te Te
Very high
veel Mate van weinig
beheersing Management
Internal audit
High action
Risk Level
Moderate
Low
Evaluate Monitor
Very low
1 2 3 4 5
Could do Could do Effort is Should do Should do
much less less just right more much more
Perceived Control
9
Cambiando Nuestra Imagen
Auditoría
Interna
 Antes:
10
Definición: Auditoría Interna
Declaración del propósito fundamental, la naturaleza y el

alcance de la auditoría interna.
Qué La Auditoria Interna es una actividad independiente y objetiva

somos? de aseguramiento y consulta concebida para AGREGAR
VALOR y MEJORAR las operaciones de una organización.
Ayuda a una organización a cumplir sus objetivos aportando un

Qué enfoque sistemático y disciplinado para EVALUAR y MEJORAR
la eficacia de los PROCESOS de gobierno, gestión de riesgos y
hacemos? control.
11
11
El Nuevo rol de Auditoría Interna
Espectrum de las
Consultor permanente
responsabilidades del Top Management
del auditor
Consejero de las mejores
practicas
Consejero proactivo de Negocios
Encargado de descubrir
Clarificador
Auditoria orientada al Pasado
Verificador (investigador)
1970 1980 Hoy 
12
Rol de Auditoria Interna: Tipos de Servicios
Rol de Expansión Volver a lo Básico

Gobierno corporativo Controles internos
Manejo de riesgo Evaluación del riesgo de
fraude
Desarrollo sostenible
13
Tipos de Servicios Frecuentes de Auditoría Interna
a) Auditoria Financiera. "El análisis de la actividad económica de una entidad

medida y reportada por métodos contables". Las auditorías financieras se
relacionan principalmente con la Norma Confiabilidad e Integridad de la
Información, y la Norma Salvaguarda de Activos.
b) Auditoría de Cumplimiento. "La revisión de los controles y transacciones
financieras y operativas para constatar si se ajustan a las leyes, normas,
reglamentos y procedimientos establecidos".
c) Auditoría Operativa. "La revisión amplia de las funciones variadas dentro de
una empresa para evaluar la eficiencia y economía de las operaciones y la
efectividad con la que esas funciones alcanzan sus objetivos.” (Ver Norma
2120.A3)
d) Due Dilligence
e) Auditoria Ambiental
f) Auditoría de Sistemas
g) Auditorías Tributarias
14
¿Qué más debemos realizar para
ser auditores internos
globalizados?
15
Lograr la certificación
Certified Internal Auditor (CIA)
Ganando una mejor credencial

frente a nuestra
Gerencia......Convirtiendonos en
un CIA y asociandonos a los más
de 65,000 profesionales en
auditoría interna quienes están
orgullosos de usar el liston rojo de
éxito.
16
El CIA en el Mundo
La designación de auditor interno certificado es una
distinción de un experto en auditoría interna a nivel
internacional.
Al obtener el CIA, usted incrementa su valor para la
dirección, demuestra su competencia profesional,
mejora su imagen y obtiene la única designación
internacional para auditores internos.
A la fecha existen más de 100,000 CIAS en el
mundo. En Latinoamerica solo existe el 1% de los
Certificados en el Mundo.
17
Vision General del CIA
• El examen CIA comprueba los conocimientos de los temas especificados en

tres niveles de competencia
– Conocimiento
– Entendimiento
– Habilidad
• Las Partes I, II y III son consideradas ahora como el temario central global
para el auditor interno profesional.
18
Certificaciones Especializadas
• Certificación en Auto evaluación de
Control
• Profesional Certificado en Auditoría

Gubernamental
• Auditor de Servicios Financieros

Certificado
• Certification in Risk Management

Assurance
19
CASO : VIDEO DE PRESIDENTE DE THE IIA GLOBAL
Discusión Grupal:
• Basado en lo Desarrollado hasta el momento, las Preguntas

Frecuentes sobre auditoría interna y el Video, responder lo
siguiente:
1.¿Cuales es la percepción que se tiene del auditor interno hoy?

2.¿Que cambios significativos deben realizarse frente a las
expectativas /percepciones de los stakeholders?
20
Cuáles son nuestras circunstancias
21
Auditoría Interna se debe alinear con los riesgos
del negocio
Da Prioridad a los procesos con potencial significativo de impactar
1
los objetivos de negocio para la evaluación posterior del riesgo.
Alto PROCESOS
Da Prioridad a los riesgos con potencial de impactar
2
los objetivos para la evaluación del control.
Alto RIESGOS Da prioridad adicional a los

3 riesgos considerando la
efectividad del control
Bajo Alto
Riesgo Inherente CONTROLES
Alto
Bajo Alto
Alto
Probabilidad de
Medio Ocurrencia
Bajo
Bajo Alto
Efectividad del Control

¡Ahora es el Tiempo de Hacer más Visibles a la Auditoría
interna!
23
Introducción
Líneas de Defensa de las Empresas
Líneas de Defensa de las Empresas
global.theiia.org/Technical Papers
LINEAS DE DEFENSA DE LAS EMPRESAS
COORDINACION DE LAS TRES LINEAS DE DEFENSA
Debido a que cada organización es única y puede variar según
situaciones específicas, no hay una forma "correcta" para coordinar las
Tres Líneas de Defensa. Sin embargo, al asignar las responsabilidades
específicas y de coordinación entre las funciones de gestión de riesgos,
puede ser útil tener en cuenta el papel fundamental de cada grupo
en el proceso de gestión de riesgos.
La Auditoría Interna tiene la misión
de mejorar y proteger el valor de la
organización proporcionando
aseguramiento, visión y
asesoramiento objetivos basados
en riesgos (IIA, 2015)
Fuente: Driving Success in a Changing World - 10 Imperatives for Internal Audit

El enfoque de la 4TA línea
Etapas de la Auditoría Interna
I. II. III. IV.

V. VI.
Análisis Análisis de Evaluación Evaluación
Reporte Seguimiento
Estratégico Procesos de Riesgos de Controles
Elaboración del Seguimiento al

Entendimiento Elaboración de
Entendimiento programa de plan de acción del
del negocio Identificación de informe de
de los procesos a auditoría auditado
riesgos de los auditoría
auditar
procesos a auditar
Evaluación del Elaboración de
Entendimiento Revisión de las
diseño de los informe de
de objetivos y observaciones y/o
controles seguimiento
estrategias del Evaluación de los hallazgos con el
Identificación de mitigantes
negocio riesgos auditado
factores críticos Revisión del
identificados
de éxito e Evaluación de la informe de
Elaboración de
indicadores efectividad de los seguimiento con
Identificación plan de acción del
claves de controles el auditado
de riesgos Calificación de los auditado
desempeño mitigantes
estratégicos riesgos
Emisión del
identificados Emisión de
Identificación de informe de
informe de
observaciones y/o seguimiento
Identificación de auditoría revisado
Identificación de hallazgos de revisado
procesos a auditar Identificación de
los sistemas de auditoría
controles Elaboración de
información Elaboración de
mitigantes informes para el
relacionados a los Identificación de informes para el
Elaboración de comité de
procesos oportunidades de comité de
plan de auditoría auditoría
mejora en el auditoría
proceso
Entregables: Entregables: Entregables: Entregables: Entregables: Entregables:
 Matriz de  Matriz de  Informes de
 Matriz de riesgos
 Documento de riesgos y riesgos y auditoría
Estratégicos  Informes de
análisis de controles controles  Informes al
 Plan de auditoría seguimiento
procesos (evaluación de (evaluación de comité de
interna riesgos) controles) auditoría
Auditoría Interna se debe alinear con la gestión de
riesgos del negocio y su plan de negocios
31
Marco Internacional
para la Práctica Profesional de Auditoría
Interna
32
Guías obligatorias: MIPPAI
33
01 Cumplimiento con las Normas del IIA
Introducción I
La profesión de auditor tiene un rico e histórico pasado, los primeros datos tienen su
origen en la civilización Mesopotámica, donde se verificaban las transacciones
financieras y las anotaciones de los cargamentos de los barcos. En la antigua Roma
el termino “audit” del Latín “auditus” – oido, se refería a la escucha de la evidencia
oral cuando los oficiales verificaban registros.
La auditoría interna ha evolucionado a través de los años, ganando reconocimiento

de los ejecutivos y de las organizaciones lideres, alterando su foco de acción en
respuesta a los cambios de necesidades del entorno global. La profesión ha
evolucionado desde focalizarse en la información financiera y revisiones de
cumplimiento; a una auditoría integrada que añade a lo anterior la revisión de los
procesos operacionales, tecnologías de la información, riesgos, gobierno y controles.
A lo largo de cientos de años los auditores han continuado buscando la verdad, el
control de las transacciones y la prevención y detección de actos fraudulentos. The
IIA fue creado en 1941 en EEUU. (Definición Auditoría Interna 1958; 1978; 1999).
Actualmente la auditoría interna revisa la eficacia y eficiencia de las operaciones;

cumplimiento de leyes, regulaciones, políticas y procedimientos; el logro de los
objetivos operacionales/ organizacionales; fiabilidad de la información; y la
salvaguarda de activos.
34
Introducción II
Distinción entre Auditoría Interna y otras funciones de revisión
– Cumplimiento: - El trabajo se dirige estrictamente a verificar si una organización cumple
con leyes, regulaciones, normas, políticas o procedimientos. Los resultados son reportados
como tal, sin considerar la eficacia o eficiencia del proceso de negocio. Esta función
dependiendo del tipo de organización, puede estar junta o separada de la unidad de
auditoría interna.
Ejemplos: unidad de calidad, Sarbanes – Oxley, etc.
– Auditores externos/ auditores financieros: - La principal función es dar una opinión

sobre la fiabilidad de la información financiera. Aunque el foco es la exactitud de la
información reportada, también revisan los controles relacionados con la información
financiera.
–Reguladores: - Estos auditores trabajan para organismos reguladores, por ejemplo U.S.
Securities and Exchange (SEC) y revisan el cumplimiento con especificas regulaciones.
–Auditores gubernamentales: - Trabajan para ministerios, agencias o departamentos del

gobierno y tienen su foco en la revisión de presupuestos, gestión de proyectos, cumplimiento
de programas o requerimientos.
35
El objetivo del Marco Internacional para la Práctica Profesional de la

Auditoría Interna –MIPPAI- es proporcionar una guía coherente que
facilite la interpretación y aplicación de conceptos, metodologías y
técnicas fundamentales para la profesión. Delimitando la práctica actual
de la Auditoría Interna, así como considerando futuras expansiones, el
Marco pretende ayudar a los profesionales a satisfacer las necesidades
de un mercado que demanda, cada vez más, servicios de Auditoría
Interna de alta calidad.
El auditor interno es, cada vez más, uno de los profesionales mejor
cualificados dentro de la organización, y es dentro de este entorno,
donde el Instituto de Auditores Internos busca homogeneizar la
profesión a través del establecimiento del Marco y de la certificación de
sus profesionales.
36
Resumen de novedades MIPPAI 2017
 Nuevo Misión de Auditoría Interna

 Nuevo Principios fundamentales de la Auditoría Interna
 Cambio de Obligatorio a Guías Obligatorias
 Cambio de Muy Recomendable a Guías Recomendadas
 Cambio de nombre de Consejos para la práctica a Guías
de Implementación
 Cambio de Guías Prácticas a Guías Complementarias
 Eliminación del Marco De los Documentos de
posicionamiento
37
2013 2017
38
Resumen de modificaciones MIPPAI 2017
• Total de modificaciones a Normas 42
• Introducción y Glosario 5
• Normas 24
• Interpretación de las Normas 13
• Guías de implementación 50
39
1. Cumplimiento con las Normas del IIA
Guías obligatorias
La Misión de Auditoría Interna articula los objetivos que ésta aspira a alcanzar en la
organización. Engloba todo el Marco, para demostrar cómo los profesionales de Auditoría Interna
deberían apoyarse en su conjunto para tratar de cumplir con la misión.
La Definición de Auditoría Interna corresponde a la Declaración del propósito fundamental,

la naturaleza y el alcance de la Auditoría Interna.
El propósito del Código de Ética es promover una cultura ética en la profesión de Auditoría
Interna. Un código de ética es necesario en nuestra profesión, cuyos pilares se asientan en
la confianza en el aseguramiento objetivo de la gestión de riesgos, control y gobierno de
las empresas.
Los Principios Fundamentales describen la eficacia de Auditoría Interna. Para que ésta sea
considerada eficaz, los principios deben estar presentes y funcionando de forma eficaz. La
forma de cumplir con los Principios puede ser muy diferente de una organización a otra,
pero no cumplir con alguno de ellos implica que una actividad de Auditoría Interna no es
tan eficaz como debiera para cumplir la misión de Auditoría Interna.
Las Normas constituyen los criterios mediante los cuales el desempeño de un departamento
de Auditoría Interna es calificado. Representan cómo debe ser la práctica de la profesión.
Están diseñadas para aplicarse en todo tipo de organizaciones donde se pueda encontrar
un auditor interno.
40
Guías recomendadas
Las Guías de Implementación, antes denominadas “Consejos para la Práctica”,

ayudarán a los profesionales en el cumplimiento de las Normas
Internacionales. Tratan de forma colectiva el enfoque de Auditoría Interna y la
metodología, pero no detallan procesos o procedimientos. Incluyen
consideraciones para la implementación de las Normas y demostrar su conformidad
con ellas.
Las Guías Complementarias no se vinculan directamente con el cumplimiento de

las Normas. Complementan temas de actualidad, asuntos específicos y
sectoriales, e incluyen procesos y procedimientos, herramientas y técnicas,
programas, enfoques paso a paso y ejemplos de entregables.
A partir del lanzamiento del nuevo Marco, todas las guías para la práctica, guías
globales de auditoría de tecnología (GTAGs) y guías para la evaluación de riesgos
de tecnologías de información (GAITs), automáticamente pasan a formar parte de
las Guías Complementarias.
41
Marco Internacional para la Práctica Profesional – MIPP (International

Professional Practices Framework – IPPF):
OBLIGATORIO:
– Misión: 1-1-2016
– Definición de Auditoría Interna: junio 1999
– Principios Fundamentales: 1-1-2016
– Código de Ética del IAI: junio 2000
– Normas Internacionales para el ejercicio profesional de Auditoría Interna
(Int. Standards for the Professional Practice of Internal Audit ). 1-1-2017
42
A – Misión / Definición de Auditoría Interna
A - Misión:
Auditoría Interna tiene la misión de mejorar y proteger el valor de

las organizaciones proporcionando aseguramiento objetivo,
asesoría y conocimiento basado en riesgos.
A - Definición de Auditoría Interna:

La auditoría interna es una actividad independiente y objetiva de
aseguramiento y consulta, concebida para agregar valor y mejorar
las operaciones de una organización. Ayuda a una organización a
cumplir sus objetivos, aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de los procesos de
gestión de riesgos, control y gobierno.
43
A – Principios Fundamentales
Los Principios Fundamentales, tomados en su conjunto, articulan la efectividad de la

Auditoría Interna. Para que ésta sea eficaz, todos los Principios deben estar presentes y operar
de forma efectiva. La manera en la que un auditor interno o la actividad de Auditoría Interna
demuestran la efectividad de los Principios Fundamentales puede ser muy diferente de una
organización a otra, pero el fracaso en el logro de cualquiera de los Principios implicaría que una
actividad de Auditoría Interna no es todo lo efectiva que podría ser para el logro de la Misión.
La Auditoría Interna:
· Demuestra integridad
· Demuestra competencia y diligencia profesional
· Es objetiva y se encuentra libre de influencias (Independiente)
· Se alinea con las estrategias, los objetivos y los riesgos de la organización
· Está posicionada de forma apropiada y cuenta con los recursos adecuados
· Demuestra compromiso con la calidad y la mejora continua de su trabajo
· Se comunica de forma efectiva
· Proporciona aseguramiento en base a riesgos
· Hace análisis profundos, es proactiva y está orientada al futuro
· Promueve la mejora de la organización
44
B- Código de Ética: Principios-IOCC
1- Cumpliendo con el Código de Ética del IAI
El Código de Ética se aplica tanto a los individuos como a las entidades que realizan servicios de
auditoría interna. El hecho que una conducta particular no se halle contenida en las Reglas de
Conducta no impide que sea considerada inaceptable o como un descrédito. La profesión de auditoría
Interna se basa en la confianza que se deposita en su trabajo, por lo que es importante contar con un
Código de Ética.
PRINCIPIOS: (relevantes para la profesión y práctica de la Auditoría Interna).

Se espera que los auditores internos apliquen y cumplan los siguientes principios:
Integridad: - La integridad de los auditores internos establece confianza y, consiguientemente, provee

la base para confiar en su juicio.
Objetividad:- Los auditores internos exhiben el más alto nivel de objetividad profesional al reunir,
evaluar y comunicar información sobre la actividad o proceso a ser examinado. Los auditores internos
hacen una evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios sin
dejarse influir indebidamente por sus propios intereses o por otras personas.
Confidencialidad: - Los auditores internos respetan el valor y la propiedad de la información que

reciben y no divulgan información sin la debida autorización a menos que exista una obligación legal o
profesional para hacerlo.
Competencia: - Los auditores internos aplican el conocimiento, aptitudes y experiencia necesarios al

desempeñar los servicios de Auditoría Interna.
45
B -Código de Ética: Reglas de Conducta
Reglas de Conducta, que describen las normas de comportamiento que se espera

que sean observadas por los auditores internos. Estas reglas son una ayuda para
interpretar los Principios en aplicaciones prácticas. Su intención es guiar la conducta
ética de los auditores internos.
1. Integridad
Los auditores internos:
1.1 Desempeñarán su trabajo con honestidad, diligencia y responsabilidad.
1.2 Respetarán las leyes y divulgarán lo que corresponda de acuerdo con

la ley y la profesión.
1.3 No participarán a sabiendas de una actividad ilegal o de actos que vayan

en detrimento de la profesión de Auditoría Interna o de la organización.
1.4 Respetarán y contribuirán a los objetivos legítimos y éticos de la organización.
46
2. Objetividad
2.1 No participarán en actividades o relaciones que puedan

perjudicar o que aparentemente puedan perjudicar su evaluación
imparcial.
Esta participación incluye aquellas actividades o relaciones que
puedan estar en conflicto con los intereses de la organización.
2.2 No aceptarán nada que pueda perjudicar o que aparentemente

pueda perjudicar su juicio profesional.
2.3 Divulgarán todos los hechos materiales que conozcan y que, de

no ser divulgados, pudieran distorsionar el informe de las
actividades sometidas a revisión.
47
3. Confidencialidad
3.1 Serán prudentes en el uso y protección de la información adquirida en el transcurso de

su trabajo.
3.2 No utilizarán información para lucro personal o de alguna manera que fuera contraria a la
ley o en detrimento de los objetivos legítimos y éticos de la organización.
48
4. Competencia
4.1. Participarán sólo en aquellos servicios para los cuales

tengan los suficientes conocimientos, aptitudes y
experiencia.
4.2 Desempeñarán todos los servicios de auditoría interna

de acuerdo con las Normas para la Práctica
Profesional de Auditoría Interna.
4.3 Mejorarán continuamente sus aptitudes y la efectividad

y calidad de sus servicios.
49
C – Normas Internacionales
1- Cumpliendo con las Normas Internacionales
Normas Internacionales para el ejercicio profesional de la AI.

La intención de las NORMAS es:
a) Definir los principios básicos para la práctica de la AI, tal como

debería ser.
b) Proporcionen un marco de referencia para desarrollar y promover
actividades de AI con valor añadido.
c) Establecer las bases para evaluar el desempeño de AI.
d) Fomentar la mejora de los procesos y operaciones de la organización.
Las NORMAS comprenden:
1. Normas de Atributos (Serie 1000), características de las entidades e individuos que prestan servicios de
AI.
2. Normas de Desempeño (Serie 2000), actividades de AI y los criterios para medir su desempeño.
3. Normas de Implantación (Serie 1000 o 2000. Xn) desarrollan las anteriores normas aplicándolas a las
actividades de Aseguramiento (A) y Consultoría (C). Por ejemplo 1000.A1
El Glosario: Terminología utilizada en las Normas, se presenta como apéndice de las NORMAS. Necesario
junto con las Interpretaciones para entender y aplicar correctamente las Normas.
50
Normas de Implantación.- (Serie nnnn.Xn)
Actividades de Aseguramiento (A) y Consultoría (C)
Actividades de Aseguramiento (A):

Los servicios de aseguramiento comprenden la tarea de evaluación objetiva de las
evidencias, efectuada por los auditores internos, para expresar una opinión o conclusión
independiente respecto de una entidad, operación, función, proceso, sistema u otro asunto.
La naturaleza y el alcance del trabajo de aseguramiento están determinados por el
auditor interno.
Por lo general existen tres partes en los servicios de aseguramiento: (1) la persona o
grupo directamente implicado en la entidad, operación, función, proceso, sistema u otro
asunto, es decir el dueño del proceso, (2) la persona o grupo que realiza la evaluación, es
decir el auditor interno, y (3) la persona o grupo que utiliza la evaluación, es decir el usuario.
Actividades de Consultoría (C):

Los servicios de consultoría son por naturaleza consejos, y son desempeñados, por lo
general, a pedido de un cliente.
La naturaleza y el alcance del trabajo de consultoría están sujetos al acuerdo efectuado
con el cliente.
Por lo general existen dos partes en los servicios de consultoría: (1) la persona o grupo
que ofrece el consejo, es decir el auditor interno, y (2) la persona o grupo que busca y recibe
el consejo, es decir el cliente del trabajo. Cuando desempeña servicios de consultoría, el
auditor interno debe mantener la objetividad y no asumir responsabilidades de gestión.
51
1- Cumpliendo con las Normas Internacionales de “ATRIBUTOS”
Normas sobre ATRIBUTOS: Tratan las características de las

organizaciones y las personas que prestan servicios de Auditoría
Interna.
(las series 1000)
1000 – Propósito, Autoridad y Responsabilidad
1100 – Independencia y Objetividad
1200 – Aptitud y Cuidado Profesional
1300 – Programa de Aseguramiento y Mejora de la Calidad
52
Normas sobre Atributos (II)
1000 - Propósito, autoridad y responsabilidad

El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben
estar formalmente definidos en un estatuto, de conformidad con la definición de
auditoría interna, el Código de Ética y las Normas. El director ejecutivo de auditoría debe
revisar periódicamente el estatuto de auditoría interna y presentarlo a la alta dirección y
al Consejo para su aprobación.
Interpretación:
El estatuto de auditoría interna es un documento formal que define el propósito, la
autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de auditoría
interna establece la posición de la actividad de auditoría interna dentro de la organización,
incluyendo la naturaleza de la relación funcional del Director ejecutivo de auditoría
con el Consejo; autoriza su acceso a los registros, al personal y a los bienes relevantes
para el desempeño de los trabajos; y define el alcance de las actividades de auditoría
interna. La aprobación final del estatuto de auditoría interna corresponde al Consejo.
53
Normas sobre Atributos (III)
1000.A1 – La naturaleza de los servicios de aseguramiento proporcionados a la

organización debe estar definida en el estatuto de auditoría interna. Si los servicios de
aseguramiento fueran proporcionados a terceros ajenos a la organización, la
naturaleza de esos servicios también deberá estar definida en el estatuto de auditoría
interna.
1000.C1 – La naturaleza de los servicios de consultoría debe estar definida en el

estatuto de auditoría interna
1010 - Reconocimiento de los elementos obligatorios en el estatuto de auditoría

interna
La naturaleza obligatoria de los Principios Fundamentales para la Práctica

Profesional de la Auditoría Interna, el Código de Ética, las Normas y la definición de
Auditoría Interna, deben estar reconocidos en el estatuto de Auditoría Interna. El Director
de Auditoría Interna debería tratar la Misión de Auditoría Interna y las Guías
Obligatorias del Marco Internacional para la Práctica Profesional de la Auditoría
Interna, con la alta dirección y el Consejo.
54
Normas sobre Atributos (IV)
1100 - Independencia y objetividad

La actividad de auditoría interna debe ser independiente, y los auditores internos deben ser
objetivos en el cumplimiento de su trabajo.
Interpretación:
La independencia es la libertad de condicionamientos que amenazan la capacidad de la

actividad de auditoría interna de llevar a cabo las responsabilidades de la actividad de
auditoría interna de forma neutral. Con el fin de lograr el grado de independencia
necesario para cumplir eficazmente las responsabilidades de la actividad de auditoría
interna, el Director ejecutivo de auditoría debe tener acceso directo e irrestricto a la alta
dirección y al Consejo. Esto puede lograrse mediante una relación de doble dependencia.
Las amenazas a la independencia deben contemplarse en todos los niveles, del auditor
individual, de cada trabajo, funcional y organizacional.
La objetividad es una actitud mental neutral que permite a los auditores internos
desempeñar su trabajo con honesta confianza en el producto de su labor y sin comprometer
su calidad. La objetividad requiere que los auditores internos no subordinen su juicio sobre
asuntos de auditoría a otras personas. Las amenazas a la objetividad deben contemplarse
en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.
55
Normas sobre Atributos (V)
1110 Independencia dentro de la organización

El director de auditoría interna debe responder ante un nivel jerárquico tal dentro de la
organización que permita a la actividad de auditoría interna cumplir con sus responsabilidades.
El director de auditoría interna debe ratificar ante el Consejo, al menos anualmente, la
independencia que tiene la actividad de auditoría interna dentro de la organización.
Interpretación:
La Independencia dentro de la organización se alcanza de forma efectiva cuando el

Director de Auditoría Interna depende funcionalmente del Consejo. Algunos ejemplos
de dependencia funcional del Consejo implican que este:
 Apruebe el estatuto de auditoría interna;

 Apruebe el plan de auditoría basado en riesgos;
 Reciba comunicaciones periódicas del Director ejecutivo de auditoría sobre el
desarrollo del plan de auditoría interna y otros asuntos;
 Apruebe las decisiones referentes al nombramiento y cese del Director ejecutivo de
auditoría; y
 Formule las preguntas adecuadas a la dirección y al Director ejecutivo de auditoría
para determinar si existen alcances inadecuados o limitaciones de recursos.
1110.A1 La actividad de auditoría interna debe estar libre de injerencias al determinar el alcance
de auditoría interna, al desempeñar su trabajo y al comunicar sus resultados. El Director de
Auditoría Interna debe declarar esas injerencias al Consejo, si las hubiese, y tratar sus
implicaciones.
56
Normas sobre Atributos (VI)
1111 Interacción directa con el Consejo
El director de auditoría interna debe comunicarse e interactuar directamente con el Consejo de

Administración.
1112 - El papel del Director de Auditoría Interna además de Auditoría Interna
Cuando el Director de Auditoría Interna asuma o se espera que asuma un papel y/o
responsabilidades aparte de Auditoría Interna, debe aplicar salvaguardas para limitar impedimentos
a la independencia y objetividad.
Interpretación:
Puede darse la situación en que se solicite al Director de Auditoría Interna que asuma un papel y
responsabilidades aparte de Auditoría Interna, tales como responsabilidades sobre actividades de
cumplimiento o gestión de riesgos. Este papel y responsabiidad puede causar impedimentos, o
parecer que los causa, a la independencia organizacional de la actividad de Auditoría Interna o a la
objetividad individual del auditor interno. Las salvaguardas a tomar son actividades de supervisión,
a menudo asumidas por el Consejo, destinadas a afrontar esos impedimentos potenciales, que
pueden incluir actividades tales como evaluar periódicamente las líneas de dependencia y
responsabilidades, y desarrollar procesos alternativos para obtener aseguramiento sobre las
áreas de responsabilidad adicional a Auditoría Interna.
57
Normas sobre Atributos (VII)
1120 Objetividad individual

Los auditores internos deben tener una actitud imparcial y neutral, y evitar cualquier conflicto de
intereses.
Interpretación:
El conflicto de intereses es una situación en la cual un auditor interno, que ocupa un puesto
de confianza, tiene un interés personal o profesional en competencia con otros intereses. Tales
intereses en competencia pueden hacerle difícil el cumplimiento imparcial de sus tareas. Puede
existir un conflicto de intereses aún cuando no se produzcan actos inadecuados o no éticos.
Un conflicto de intereses puede crear una apariencia de deshonestidad que puede
socavar la confianza en el auditor interno, la actividad de auditoría interna y la profesión.
Un conflicto de intereses podría menoscabar la capacidad de un individuo de desempeñar sus
tareas y responsabilidades con objetividad.
1130 Impedimentos a la independencia u objetividad

Si la independencia u objetividad se viese comprometida de hecho o en apariencia, los detalles
del impedimento deben darse a conocer a las partes correspondientes. La naturaleza de esta
comunicación dependerá del impedimento.
58
Normas sobre Atributos (VIII)
Interpretación:
El impedimento o menoscabo a la independencia de la organización y a la objetividad
individual puede incluir, entre otros, a los conflictos de intereses, limitaciones al alcance,
restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos
tales como el financiero.
La determinación de las partes apropiadas a quienes deben exponerse los detalles de un
impedimento a la independencia u objetividad depende de la expectativas sobre las
responsabilidades de la actividad de auditoría interna y del director ejecutivo de auditoría ante
la alta dirección y el Consejo según se describe en el estatuto de auditoría interna, así como de
la naturaleza del impedimento.
1130.A1 Los auditores internos deben abstenerse de evaluar operaciones específicas de las
cuales hayan sido previamente responsables. Se presume que hay impedimento de objetividad
si un auditor interno proporciona servicios de aseguramiento para una actividad de la cual el
mismo haya tenido responsabilidades en el año inmediato anterior.
1130.A2 Los trabajos de aseguramiento para funciones por las cuales el director ejecutivo de
auditoría tiene responsabilidades deben ser supervisadas por alguien fuera de la actividad de
auditoría interna.
1130.C1 Los auditores internos pueden proporcionar servicios de consultoría relacionados a
operaciones de las cuales hayan sido previamente responsables.
1130.C2 Si los auditores internos tuvieran impedimentos potenciales a la independencia u objetividad
relacionados con la proposición de servicios de consultoría, deberá declararse esta situación al cliente
antes de aceptar el trabajo.
59
Normas sobre Atributos (IX)
1200 - Aptitud y cuidado profesional

Los trabajos deben cumplirse con aptitud y cuidado profesional adecuados.
1210 – Aptitud
Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para
cumplir con sus responsabilidades individuales. La actividad de auditoría interna, colectivamente, debe reunir u
obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus
responsabilidades.
Interpretación:
La aptitud es un término general que se refiere a los conocimientos, habilidades y otras competencias
requeridas a los auditores internos para llevar a cabo eficazmente sus responsabilidades profesionales.
Incluye tendencias, temas emergentes y la consideración de las actividades actuales para posibilitar
asesoramiento relevante y formulación de recomendaciones. Se alienta a los auditores internos a demostrar
su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como auditor interno
certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones
profesionales apropiadas.
1210.A1 - El director de Auditoría Interna debe obtener asesoramiento y asistencia competentes en caso de que
los auditores internos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar
a cabo la totalidad o parte del trabajo.
1210.A2 Los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la
forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos
similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.
60
Normas sobre Atributos (X)
1210.A3 Los auditores internos deben tener conocimientos suficientes de los riesgos y controles clave en
tecnología de la información y de las técnicas de auditoría disponibles basadas en tecnología que le permitan
desempeñar el trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan la
experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la
información.
1210.C1 El director de Auditoría Interna no debe aceptar un servicio de consultoría, o bien debe obtener
asesoramiento y asistencia competentes, en caso de que los auditores internos carezcan de los conocimientos,
las aptitudes y otras competencias necesarias para desempeñar la totalidad o parte del trabajo.
1220 Cuidado profesional

Los auditores internos deben cumplir su trabajo con el cuidado y la aptitud que se esperan de un auditor interno
razonablemente prudente y competente. El cuidado profesional adecuado no implica infalibilidad.
1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar:
• El alcance necesario para alcanzar los objetivos del trabajo;

• La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de
aseguramiento;
• La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control;
• La probabilidad de errores materiales, fraude o incumplimientos; y
• El costo de aseguramiento en relación con los beneficios potenciales.
61
Normas sobre Atributos (XI)
1220.A2 Al ejercer el debido cuidado profesional el auditor interno debe considerar la utilización
de auditoría basada en tecnología y otras técnicas de análisis de datos.
1220.A3 - El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los
objetivos, las operaciones o los recursos. Sin embargo, los procedimientos de
aseguramiento por sí solos, incluso cuando se llevan a cabo con el debido cuidado
profesional, no garantizan que todos los riesgos materiales sean identificados.
1220.C1 El auditor interno debe ejercer el debido cuidado profesional durante un trabajo de
consultoría, teniendo en cuenta lo siguiente:
 Las necesidades y expectativas de los clientes, incluyendo la naturaleza,

oportunidad y comunicación de los resultados del trabajo;
 La complejidad relativa y la extensión de la tarea necesaria para cumplir los
objetivos del trabajo; y
 El costo del trabajo de consultoría en relación con los beneficios potenciales.
1230 Desarrollo profesional continuo

Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras
competencias mediante la capacitación profesional continua.
62
Normas sobre Atributos (XII)
1300 Programa de aseguramiento y mejora de la calidad

El director de auditoría interna debe desarrollar y mantener un programa de aseguramiento y
mejora de la calidad que cubra todos los aspectos de la actividad de auditoría interna.
Interpretación:
Un programa de aseguramiento y mejora de la calidad está concebido para permitir una
evaluación del cumplimiento de la definición de auditoría interna y las Normas por parte de la
actividad de auditoría interna, y una evaluación de si los auditores internos aplican el Código
de Ética. Este programa también evalúa la eficiencia y eficacia de la actividad de auditoría
interna e identifica oportunidades de mejora. El Director de Auditoría Interna debería alentar la
supervisión del Consejo en el programa de aseguramiento y mejora de la calidad.
1310 Requisitos del programa de aseguramiento y mejora de la calidad

El programa de aseguramiento y mejora de la calidad debe incluir tanto evaluaciones internas
como externas.
1311 Evaluaciones internas

Las evaluaciones internas deben incluir:
• El seguimiento continuo del desempeño de la actividad de auditoría interna, y
• Revisiones periódicas mediante autoevaluación o por parte de otras personas dentro de la
organización con conocimientos suficientes de las prácticas de auditoría interna.
63
Normas sobre Atributos (XIII)
Interpretación:
El seguimiento continuo forma parte integral de la supervisión, revisión y medición del

día a día de la actividad de auditoría interna. Está incorporado en las prácticas y políticas
rutinarias usadas para administrar la actividad de Auditoría Interna, y utiliza procesos,
herramientas e información considerados necesarios para evaluar el cumplimiento del Código
de Ética y las Normas.
Las evaluaciones periódicas se realizan para evaluar el cumplimiento del Código de Ética y las
Normas.
Los conocimientos suficientes de las prácticas de auditoría interna requieren un entendimiento
de todos los elementos del Marco Internacional para la Práctica Profesional.
1312 Evaluaciones externas
Deben realizarse evaluaciones externas al menos una vez cada cinco años por un revisor
o equipo de revisión cualificado e independiente, proveniente de fuera de la
organización. El director de auditoría interna debe tratar con el Consejo:
• La forma y frecuencia de las evaluaciones externas, y

• Las cualificaciones e independencia del revisor o equipo de revisión externo, incluyendo
cualquier conflicto de intereses potencial.
64
Normas sobre Atributos (XIV)
Interpretación:
Las evaluaciones externas pueden realizarse como una evaluación externa completa o una
autoevaluación con validación externa independiente. El evaluador externo debe pronunciarse sobre
el cumplimiento con el Código de Ética y las Normas; la evaluación externa puede incluir también
comentarios operativos o estratégicos.
Un evaluador o equipo de evaluación cualificado demuestra su competencia en dos áreas: la práctica

profesional de la Auditoría Interna y el proceso de evaluación externa. La competencia puede
demostrarse a través de un equilibrio de experiencia y conocimiento teórico. La experiencia obtenida
en organizaciones de tamaño similar, complejidad, sector o industria y de similar contenido técnico es
más valiosa que la experiencia en otras áreas menos relevantes. En el caso de un equipo de
evaluación, no es necesario que todos los miembros cuenten con todas las competencias; es el
equipo en su conjunto el que está cualificado. El Director de Auditoría Interna utilizará su juicio
profesional para valorar si un evaluador o equipo de demuestra la competencia suficiente para
considerarse cualificado.
Un evaluador independiente o equipo de evaluación independiente es aquél que no tiene conflictos

de intereses reales o percibidos, y no forma parte ni está bajo el control de la organización a la cual
pertenece la actividad de Auditoría Interna. El Director de Auditoría Interna debe incentivar la
participación del Consejo en el programa de aseguramiento y mejora de la calidad para reducir los
conflictos de interés potenciales o percibidos.
65
Normas sobre Atributos (XV)
1320 Informe sobre el programa de aseguramiento y mejora de la calidad

El director de auditoría interna debe comunicar los resultados del programa de
aseguramiento y mejora de la calidad a la alta dirección y al Consejo. La comunicación
debería incluir:
 El alcance y frecuencia de las evaluaciones internas y externas.

 La cualificación e independencia del evaluador(es) o equipo de evaluación, incluyendo
potenciales conflictos de interés.
 Las conclusiones de los evaluadores.
 Planes de acciones correctivas.
Interpretación:
La forma, el contenido y la frecuencia de la comunicación de resultados del programa de
aseguramiento y mejora de la calidad se establecen mediante comentarios con la alta
dirección y el Consejo, y tienen en cuenta las responsabilidades de la actividad de auditoría
interna y del director ejecutivo de auditoría según lo indica el estatuto de auditoría interna.
Para demostrar el cumplimiento de la definición de auditoría interna, el Código de Ética y las
Normas. Los resultados de las evaluaciones periódicas internas y externas se comunican al
finalizar tales evaluaciones, y los resultados de la vigilancia continua se comunican al menos
anualmente. Los resultados incluyen la evaluación del revisor o equipo de revisión con
respecto al grado de cumplimiento.
66
Normas sobre Atributos (XVI)
1321 Utilización de “Cumple con las Normas Internacionales para el Ejercicio Profesional de
la Auditoría Interna”
Manifestar que la actividad de auditoría interna cumple con las Normas Internacionales para el
Ejercicio Profesional de la Auditoría Interna es apropiado sólo si los resultados del programa de
aseguramiento y mejora de la calidad apoyan esa declaración.
Interpretación
La actividad de auditoría interna cumple con el Código de Ética y las Normas cuando alcanza
los resultados descritos en ellos. Los resultados del programa de aseguramiento y mejora
de la calidad incluyen los resultados tanto de las evaluaciones internas como de las
externas.
Toda actividad de auditoría interna tendrá resultados de evaluaciones internas. Aquellas
actividades cuya existencia exceda los cinco años tendrán también resultados de
evaluaciones externas.
1322 Declaración de incumplimiento
Cuando el incumplimiento de la definición de auditoría interna, el Código de Ética o las Normas

afecta el alcance u operación general de la actividad de auditoría interna, el director de auditoría
interna debe declarar el incumplimiento y su impacto ante la alta dirección y el Consejo.
67
Puesta en común de los temas tratados –
ANEXO 2
68
1- Cumpliendo con las Normas Internacionales de “DESEMPEÑO”
Normas sobre DESEMPEÑO: Describen la naturaleza de los servicios de Auditoría Interna y

proporcionan criterios de calidad con los cuales puede evaluarse el desempeño de estos
servicios.
(las series 2000)
2000 – Administración de la Actividad de Auditoría Interna

2100 – Naturaleza del Trabajo
2200 – Planificación del Trabajo
2300 – Desempeño del Trabajo
2400 – Comunicación de Resultados
2500 – Seguimiento del Progreso
2600 – Decisión de aceptación de los Riesgos por la Dirección
69
Normas sobre Desempeño (II)
2000 Administración de la actividad de auditoría interna
El director de auditoría interna debe gestionar eficazmente la actividad de auditoría interna para asegurar
que añada valor a la organización.
Interpretación:
La actividad de Auditoría Interna está gestionada de forma eficaz cuando:
 Cumple con el propósito y las responsabilidades incluidos en el estatuto de Auditoría Interna. Cumple
con las Normas.
 Cada uno de sus miembros cumplen con el Código de Ética y las Normas.
 Tiene en cuenta las tendencias y temas emergentes que podrían tener impacto en la organización.
La actividad de Auditoría Interna añade valor a la organización y a sus partes interesadas cuando tiene
en cuenta estrategias, objetivos y riesgos; se esfuerza para ofrecer mejoras en procesos de gobierno,
gestión de riesgos y control de procesos; y proporciona aseguramiento relevante de forma objetiva.
2010 Planificación
El director de auditoría interna debe establecer planes basados en los riesgos, a fin de determinar las
prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de
la organización.
Interpretación:
Para desarrollar un plan basado en riesgos, el Director de Auditoría Interna primero consulta con la alta
dirección y el Consejo y para entender las estrategias de la organización, los objetivos clave del negocio,
los riesgos asociados y los procesos de gestión de riesgos. El Director de Auditoría Interna debe revisar y
ajustar el plan, cuando sea necesario, como respuesta a los cambios en la organización, los riesgos, las
operaciones, los programas, los sistemas y los controles.
70
Normas sobre el Desempeño (III)
2010.A1 - El plan de trabajo de la actividad de auditoría interna debe estar basado en una
evaluación de riesgos documentada, realizada al menos anualmente. En este proceso deben
tenerse en cuenta los comentarios de la alta dirección y del Consejo.
2010-A2 – El Director de auditoría interna debe identificar y considerar las expectativas de la

alta dirección, el Consejo y otras partes interesadas de cara a emitir opiniones de auditoría
interna y otras conclusiones.
2010.C1 El director de auditoría interna debería considerar la aceptación de trabajos de consultoría

que le sean propuestos, basándose en el potencial del trabajo para mejorar la gestión de riesgos,
añadir valor y mejorar las operaciones de la organización. Los trabajos aceptados deben ser
incluidos en el plan.
2020 Comunicación y aprobación

El director de auditoría interna debe comunicar los planes y requerimientos de recursos de la
actividad de auditoría interna, incluyendo los cambios provisionales significativos, a la alta
dirección y al Consejo para la adecuada revisión y aprobación. El director de auditoría interna
también debe comunicar el impacto de cualquier limitación de recursos.
2030 Administración de recursos

El director de auditoría interna debe asegurar que los recursos de auditoría interna sean
apropiados, suficientes y eficazmente asignados para cumplir con el plan aprobado.
71
Normas sobre Desempeño (IV)
Interpretación:
“Apropiados”, se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar
a cabo el plan. “Suficientes”, se refiere a la cantidad de recursos necesarios para cumplir con el plan. Los
recursos están eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan
aprobado.
2040 Políticas y procedimientos

El director de auditoría interna debe establecer políticas y procedimientos para guiar la actividad de auditoría
interna
Interpretación:
La forma y el contenido de las políticas y procedimientos deben ser apropiados al tamaño y estructura de la
actividad de auditoría interna y de la complejidad de su trabajo.
2050 Coordinación y confianza

El director de auditoría interna debería compartir información, coordinar actividades y considerar la
posibilidad de confiar en el trabajo de otros proveedores internos y externos de aseguramiento y
consultoría para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos.
Interpretación:
En la coordinación de actividades, el Director de Auditoría Interna puede confiar en el trabajo de otros
proveedores de servicios de aseguramiento y consultoría. Se debe establecer un proceso consistente para
esta confianza y el Director de Auditoría Interna debería considerar las competencias, objetividad y cuidado
profesional de los proveedores de servicios de aseguramiento y consultoría. El Director de Auditoría Interna
debería entender también el alcance, objetivos y resultados del trabajo realizado por otros proveedores de
aseguramiento y consultoría. Cuando se deposita la confianza en el trabajo de otros, el Director de Auditoría
Interna es responsable de asegurarse de que existe un soporte adecuado para las conclusiones y opiniones
expresadas por la actividad de Auditoría Interna.
72
Normas sobre el Desempeño (V)
2060 - Informe a la alta dirección y al Consejo
El Director de Auditoría Interna debe informar periódicamente a la alta dirección y al Consejo sobre la actividad
de Auditoría Interna en lo referido al propósito, autoridad, responsabilidad y desempeño de su plan, y sobre el
cumplimiento del Código de Ética y las Normas. El informe también debe incluir cuestiones de control y riesgos
significativos, incluyendo riesgos de fraude, cuestiones de gobierno y otros asuntos que requieren la atención
de la alta dirección y/o el Consejo.
Interpretación:
La frecuencia y el contenido del informe están determinados por el Director de Auditoría Interna en
colaboración con la alta dirección y el Consejo. La frecuencia y el contenido del informe dependen de la
importancia de la información a ser comunicada y la urgencia de las acciones a seguir por parte de la alta
dirección y/o el Consejo.
Los informes del Director de Auditoría Interna dirigidos a la alta dirección y el Consejo deben incluir
información sobre:
 El estatuto de Auditoría Interna.

 La independencia de la actividad de Auditoría Interna.
 El plan de auditoría y su progreso.
 Necesidad de recursos.
 Resultados de las actividades de auditoría.
 Nivel de cumplimiento con el Código de Ética y las Normas y planes de acción para afrontar
incumplimientos significativos.
 La respuesta de la dirección que, a juicio del Director de Auditoría Interna, podría resultar inaceptable para
la organización.
Estos y otros requerimientos de comunicación para el Director de Auditoría Interna están referenciados
en las Normas.
73
Normas sobre Desempeño (VI)
2070 – Proveedor de servicios externos y responsabilidad de la organización sobre

auditoría interna.
Cuando un proveedor de servicios externos presta servicios de auditoría interna,

dicho proveedor debe poner en conocimiento de la organización que esta última
retiene la responsabilidad de mantener una función de auditoría interna efectiva
Interpretación
Esta responsabilidad se demuestra a través del programa de aseguramiento y mejora de

la calidad que evalúa el cumplimiento con el Código de Ética y las Normas.
74
Normas de Desempeño (VII)
2100 Naturaleza del trabajo
La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gobierno,
gestión de riesgos y control, utilizando un enfoque sistemático, disciplinado y basado en riesgos. La
credibilidad y el valor añadido de Auditoría Interna mejoran cuando los auditores internos son
proactivos y sus evaluaciones ofrecen nuevas perspectivas y consideran impactos futuros.
2110 Gobierno
La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para
mejorar el proceso de gobierno de la organización para:
 Tomar decisiones estratégicas y operativas;

 Supervisar el control y la gestión de riesgos;
 Promover la ética y los valores apropiados dentro de la organización;
 Asegurar la gestión y responsabilidad eficaces en el desempeño de la organización;
 Comunicar la información de riesgo y control a las áreas adecuadas de la organización;
 Coordinar las actividades y la información de comunicación entre el Consejo de Administración,
los auditores internos y externos, otros proveedores de aseguramiento y la dirección.
75
Normas de Desempeño (VIII)
2110.A1 La actividad de auditoría interna debe evaluar el diseño, implantación y eficacia de los
objetivos, programas y actividades de la organización relacionados con la ética.
2110-A2 – La actividad de auditoría interna debe. evaluar si el gobierno de tecnología de la

información de la organización, sostiene y apoya las estrategias y objetivos de la
organización.
2120 – Gestión de riesgos

La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los
procesos de gestión de riesgos.
Interpretación:
Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la
evaluación que efectúa el auditor interno de que:
 Los objetivos de la organización apoyan a la misión de la organización y están alineados con la

misma,
 Los riesgos significativos están identificados y evaluados,
 Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con la aceptación
de riesgos por parte de la organización, y
 Se capta información sobre riesgos relevantes, permitiendo al personal, la dirección y el
Consejo cumplir con sus responsabilidades, y se comunica dicha información oportunamente a
través de la organización.
76
Normas de Desempeño (IX)
La actividad de auditoría interna reúne la información necesaria para soportar esta evaluación mediante múltiples
trabajos de auditoría. El resultado de estos trabajos, observado de forma conjunta, proporciona un
entendimiento de los procesos de gestión de riesgos de la organización y su eficacia.
Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas, evaluaciones
por separado, o ambas.
2120-A1 – La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno,
operaciones y sistemas de información de la organización, con relación a lo siguiente
 Logro de los objetivos estratégicos de la organización.

 Fiabilidad de integridad de la información financiera y operativa,
 Eficacia y eficiencia de las operaciones y programas,
 Protección de activos, y
 Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.
2120.A2 La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y cómo la
organización gestiona el riesgo de fraude.
2120.C1 Durante los trabajos de consultoría, los auditores internos deben considerar el riesgo compatible con los
objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.
2120.C2 Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de
consultoría en su evaluación de los procesos de gestión de riesgos de la organizacion.
2120.C3 - Cuando ayudan a la dirección a establecer o mejorar los procesos de gestión de riesgos, los auditores
internos deben abstenerse de asumir cualquier responsabilidad propia de la dirección, como es la gestión de
riesgos.
77
Normas de Desempeño (X)
2130 Control
La actividad de auditoría interna debe asistir a la organización en el mantenimiento de
controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y
promoviendo la mejora continua.
2130-A1 – La actividad de auditoría interna debe evaluar la adecuación y eficacia de los

controles en respuesta a los riesgos del gobierno, operaciones y sistemas de información de
la organización, respecto de lo siguiente:
 Logro de los objetivos estratégicos de la organización.

 Fiabilidad e integridad de la información financiera y operativa,
 Eficacia y eficiencia de las operaciones y programas,
 Protección de activos, y
 Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.
2130.C1 – Los auditores internos deben incorporar los conocimientos de los controles que
han obtenido de los trabajos de consultoría en su evaluación de los procesos de control de la
organización.
78
Normas de Desempeño (XI)
2200 Planificación del trabajo
Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance objetivos,
tiempo y asignación de recursos. El Plan debe considerar las estrategias, los objetivos y riesgos relevantes para
el trabajo.
2201 Consideraciones sobre planificación
Al planificar el trabajo, los auditores internos deben considerar:
 Las estrategias y objetivos de la actividad que está siendo revisada y los medios con los cuales la actividad
controla su desempeño;
 Los riesgos significativos de la actividad, sus objetivos, recursos y operaciones, y los medios con los cuales el
impacto potencial del riesgo se mantiene a un nivel aceptable;
 La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control de la actividad comparados
con un enfoque o modelo relevante.
 Las oportunidades de introducir mejoras significativas en los procesos de gobierno, gestión de riesgos y control
de la actividad.
2201.A1 Cuando se planifica un trabajo para partes ajenas a la organización, los auditores internos deben
establecer un acuerdo escrito con ellas respecto de los objetivos, el alcance, las responsabilidades
correspondientes y otras expectativas, incluyendo las restricciones a la distribución de los resultados del trabajo
y el acceso a los registros del mismo.
2201.C1 Los auditores internos deben establecer un acuerdo con los clientes de trabajos de consultoría, referido a
objetivos, alcance, responsabilidades respectivas y demás expectativas de los clientes. En el caso de trabajos
significativos, este acuerdo debe estar documentado.
79
Normas de Desempeño (XII)
2210 Objetivos del trabajo: Deben establecerse objetivos para cada trabajo
2210.A1 Los auditores internos deben realizar una evaluación preliminar de los riesgos relevantes para la actividad
bajo revisión. Los objetivos del trabajo deben reflejar los resultados de esta evaluación.
2210.A2 - El auditor interno debe considerar la probabilidad de errores, fraude, incumplimientos y otras
exposiciones significativas al elaborar los objetivos del trabajo.
2210.A3 Se requieren criterios adecuados para evaluar el gobierno, la gestión riesgos y controles. Los auditores
internos deben cerciorarse de que la dirección y/o el Consejo han establecido criterios adecuados para
determinar si los objetivos y metas han sido cumplidos. Si fuera apropiado, los auditores internos deben utilizar
dichos criterios en su evaluación. Si no fuera apropiado, los auditores internos deben identificar criterios de
evaluación adecuados junto con la dirección y/o Consejo.
Interpretación
Los tipos de criterios pueden incluir:
 Internos (Por ejemplo, políticas y procedimientos de la organización).
 Externos (Por ejemplo, leyes y regulaciones impuestas por los órganos estatutarios).
Prácticas líderes (Por ejemplo, guía profesional o sectorial).
2210.C1 Los objetivos de los trabajos de consultoría deben considerar los procesos de gobierno, riesgo y control,
hasta el grado de extensión acordado con el cliente.
2210.C2 Los objetivos de los trabajos de consultoría deben ser compatibles con los valores, estrategias y
objetivos de la organización.
80
Normas de Desempeño (XIII)
2220 Alcance del trabajo

El alcance establecido debe ser suficiente para satisfacer los objetivos del trabajo.
2220.A1 - El alcance del trabajo debe tener en cuenta los sistemas, registros, personal y
bienes relevantes, incluso aquellos bajo el control de terceros.
2220.A2 Si durante la realización de un trabajo de aseguramiento surgen oportunidades de

realizar trabajos de consultoría significativos, debería lograrse un acuerdo escrito específico en
cuanto a los objetivos, alcance, responsabilidades respectivas y otras expectativas. Los
resultados del trabajo de consultoría deben ser comunicados de acuerdo con las normas de
consultoría.
2220.C1 Al desempeñar trabajos de consultoría, los auditores internos deben asegurar que el
alcance del trabajo sea suficiente para cumplir los objetivos acordados. Si los auditores internos
encontraran restricciones al alcance durante el trabajo, estas restricciones deberán tratarse con
el cliente para determinar si se continúa con el trabajo.
2220.C2 – Durante los trabajos de consultoría, los auditores internos deben considerar los
controles consistentes con los objetivos del trabajo y estar alertas a los asuntos de control
significativos.
81
Normas de Desempeño (XIV)
2230 Asignación de recursos para el trabajo

Los auditores internos deben determinar los recursos adecuados y suficientes para lograr los
objetivos del trabajo, basándose en una evaluación de la naturaleza y complejidad de cada
trabajo, las restricciones de tiempo y los recursos disponibles.
Interpretación:
“Adecuados” se refiere al equilibrio entre conocimiento, aptitud y otras competencias necesarias

para realizar el trabajo. “Suficientes” se refiere a la cantidad de recursos que se necesitan para
realizar el trabajo con el cuidado profesional adecuado.
2240 Programa de trabajo
Los auditores internos deben preparar y documentar programas que cumplan con los objetivos
del trabajo.
2240.A1 - Los programas de trabajo deben incluir los procedimientos para identificar, analizar,
evaluar y documentar información durante la tarea. El programa de trabajo debe ser aprobado
con anterioridad a su implantación y cualquier ajuste ha de ser aprobado oportunamente.
2240.C1 Los programas de trabajo de los servicios de consultoría pueden variar en forma y
contenido dependiendo de la naturaleza del trabajo.
82
Normas de Desempeño (XV)
2300 Desempeño del trabajo
Los auditores internos deben identificar, analizar, evaluar y documentar suficiente información
de manera tal que les permita cumplir con los objetivos del trabajo.
2310 Identificación de la información
Los auditores internos deben identificar información suficiente, fiable, relevante y útil de manera
tal que les permita alcanzar los objetivos del trabajo.
Interpretación:
La información suficiente está basada en hechos, es adecuada y convincente, de modo que

una persona prudente e informada sacaría las mismas conclusiones que el auditor. La
información fiable es la mejor información que se puede obtener mediante el uso de técnicas de
trabajo apropiadas. La información relevante apoya las observaciones y recomendaciones del
trabajo y es compatible con sus objetivos. La información útil ayuda a la organización a cumplir
con sus metas.
2320 Análisis y evaluación

Los auditores internos deben basar sus conclusiones y los resultados del trabajo en
análisis y evaluaciones adecuados.
83
Normas de Desempeño (XVI)
2330 Documentación de la información
Los auditores internos deben documentar información suficiente, fiable, relevante y útil que les
permita respaldar los resultados del trabajo y las conclusiones.
2330.A1 - El director de auditoría interna debe controlar el acceso a los registros del trabajo. El
director de auditoría interna debe obtener aprobación de la alta dirección o de asesores legales
antes de dar a conocer tales registros a terceros, según corresponda.
2330.A2 - El director de auditoría interna debe establecer requisitos de retención para los registros
del trabajo, sea cual fuere el medio en el cual se almacena cada registro. Estos requisitos de
retención deben ser consistentes con las guías de la organización y cualquier regulación u otros
requisitos pertinentes.
2330.C1 El director de auditoría interna debe establecer políticas sobre la custodia y retención de
los registros de trabajos de consultoría, y sobre la posibilidad de darlos a conocer a terceras partes,
internas o externas. Estas políticas deben ser consistentes con las guías de la organización y
cualquier regulación u otros requisitos pertinentes.
84
Normas de Desempeño (XVII)
2340 Supervisión del trabajo
Los trabajos deben ser adecuadamente supervisados para asegurar el logro de sus
objetivos, la calidad del trabajo y el desarrollo del personal.
Interpretación:
El alcance de la supervisión requerida dependerá de la pericia y experiencia de los

auditores internos y de la complejidad del trabajo. El director ejecutivo de auditoría tiene
la responsabilidad general de la supervisión del trabajo, ya sea que haya sido
desempeñado por la actividad de auditoría interna o para ella, pero puede designar a
miembros adecuadamente experimentados de la actividad de auditoría interna para llevar
a cabo esta tarea. Se debe documentar y conservar evidencia adecuada de la
supervisión.
85
Normas de Desempeño (XVIII)
2400 – Comunicación de resultados

Los auditores internos deben comunicar los resultados de los trabajos.
2410 Criterios para la comunicación

Las comunicaciones deben incluir los objetivos, alcance y resultados del trabajo.
2410-A1 - La comunicación final de los resultados del trabajo debe incluir las
conclusiones aplicables así́ como también las recomendaciones aplicables y/o los
planes de acción. Se debe proporcionar la opinión del auditor interno cuando resulte
apropiado.
Una opinión, debe considerar las expectativas del Consejo, la alta dirección y otras
partes interesadas y debe estar soportada por información suficiente, fiable, relevante y
útil.
Interpretación:
Las opiniones en los trabajos de auditoría pueden ser clasificaciones (ratings),
conclusiones u otras descripciones de los resultados. Un trabajo de auditoría puede estar
relacionado con controles sobre un proceso específico, riesgo o unidad de negocio. La
formulación de opiniones al respecto requiere de la consideración de los resultados del trabajo
y su importancia.
86
Normas de Desempeño (XIX)
2410.A2 Se alienta a los auditores internos a reconocer en las comunicaciones del trabajo
cuando se observa un desempeño satisfactorio.
2410.A3 Cuando se envíen resultados de un trabajo a partes ajenas a la organización, la

comunicación debe incluir las limitaciones a la distribución y uso de los resultados.
2410.C1 Las comunicaciones sobre el progreso y los resultados de los trabajos de consultoría
variarán en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del
cliente.
2420 Calidad de la comunicación

Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y
oportunas.
Interpretación:
Las comunicaciones precisas están libres de errores y distorsiones y son fieles a los
hechos que describen.
Las comunicaciones objetivas son justas, imparciales y sin desvíos y son el resultado de una
evaluación justa y equilibrada de todos los hechos y circunstancias relevantes.
Las comunicaciones claras son fácilmente comprensibles y lógicas, evitando el lenguaje
técnico innecesario y proporcionando toda la información significativa y relevante.
87
Normas de Desempeño (XX)
 Las comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles
superfluos, redundancia y uso excesivo de palabras.
 Las comunicaciones constructivas son útiles para el cliente del trabajo y la organización, y
conducen a mejoras que son necesarias.
 A las comunicaciones completas no les falta nada que sea esencial para los receptores
principales e incluyen toda la información y observaciones significativas y relevantes para
apoyar a las recomendaciones y conclusiones.
 Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes,
dependiendo de la significatividad del tema, permitiendo a la dirección tomar la acción
correctiva apropiada.
2421 - Errores y omisiones

Si una comunicación final contiene un error u omisión significativos, el director ejecutivo de auditoría
debe comunicar la información corregida a todas las partes que recibieron la comunicación original.
2430 - Uso de “Realizado de conformidad con las Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna”
Manifestar que los trabajos son "realizados de conformidad con las Normas Internacionales para el
Ejercicio Profesional de la Auditoría Interna" es apropiado solo si los resultados del programa de
aseguramiento y mejora de la calidad respaldan dicha afirmación.
88
Normas de Desempeño (XXI)
2431 Declaración de incumplimiento de las Normas
Cuando el incumplimiento con el Código de Ética o las Normas afecta a un trabajo

específico, la comunicación de los resultados de ese trabajo debe exponer:
 El principio o regla de conducta del Código de Ética, o las Normas con las cuales no se
cumplió totalmente
 Las razones del incumplimiento, y
 El impacto del incumplimiento sobre ese trabajo y los resultados comunicados del mismo.
2440 Difusión de resultados
El director de auditoría interna debe difundir los resultados a las partes apropiadas.
Interpretación:
El director de auditoría interna debe revisar y aprobar la comunicación final del trabajo antes
de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación. El Director de
Auditoría Interna retiene la responsabilidad última, aunque delegue estas tareas.
89
Normas de Desempeño (XXII)
2440.A1 - El director ejecutivo de auditoría es responsable de comunicar los resultados

finales a las partes que puedan asegurar que se dé a los resultados la debida consideración.
2440.A2 A menos de que exista obligación legal, estatutaria o de regulaciones en contrario,

antes de enviar los resultados a partes ajenas a la organización, el director ejecutivo de
auditoría debe:
• Evaluar el riesgo potencial para la organización

• Consultar con la alta dirección y/o el consejero legal, según corresponda
• Controlar la difusión, restringiendo la utilización de los resultados
2440.C1 El director de auditoría interna es responsable de comunicar los resultados

finales de los trabajos de consultoría a los clientes.
2440.C2 Durante los trabajos de consultoría pueden identificarse cuestiones referidas a

gobierno, gestión de riesgos y control. En el caso de que estas cuestiones sean significativas
para la organización, deben ser comunicadas a la alta dirección y al Consejo.
90
Normas de Desempeño (XXIII)
2450 – Opiniones globales
Cuando se emite una opinión global, debe considerar las expectativas de la alta dirección,
el Consejo, y otras partes interesadas y debe ser soportada por información suficiente,
fiable, relevante y útil.
Interpretación:
La comunicación incluirá:
— El alcance, incluyendo el periodo de tiempo al que se refiere la opinión;

— Las limitaciones al alcance;
— La consideración de todos los proyectos relacionados incluyendo cuando se confíe
en otros proveedores de aseguramiento;
— Un resumen de la información que respalda la opinión
— El riesgo, marco de control u otros criterios utilizados como base para la opinión
global; y
— La opinión global, juicio o conclusión alcanzada
Cuando existe una opinión global que no es favorable, deben exponerse las causas de
esta opinión.
91
Normas de Desempeño (XXIV)
2500 Seguimiento del progreso

El director de auditoría interna debe establecer y mantener un sistema para vigilar la
disposición de los resultados comunicados a la dirección.
2500.A1 - El director de auditoría interna debe establecer un proceso de seguimiento para vigilar
y asegurar que las acciones de la dirección hayan sido implantadas eficazmente o que la alta
dirección haya aceptado el riesgo de no tomar medidas.
2500.C1 La actividad de auditoría interna debe vigilar la disposición de los resultados de los
trabajos de consultoría, hasta el grado de alcance acordado con el cliente.
2600 Comunicación de la aceptación de los riesgos
Cuando el director de auditoría interna concluya que la alta dirección ha aceptado un nivel
de riesgo que pueda ser inaceptable para la organización, debe tratar este asunto con la alta
dirección. Si el director de auditoría interna determina que el asunto no ha sido resuelto
debe comunicar esta situación al Consejo.
Interpretación:
La identificación del riesgo aceptado por la dirección puede observarse a través de un trabajo de
aseguramiento o consultoría, a través del seguimiento del progreso sobre las acciones tomadas por
la dirección como resultado de anteriores trabajos, o a través de otros medios. El Director de
Auditoría Interna no tiene la responsabilidad de resolver el riesgo.
92
Normas Internacionales: Glosario
(Su definición incluida en el MIPP se estudiará en cada apartado específico del curso)
 Aceptación del riesgo  Independencia

 Actividad de auditoría interna  Impedimentos o menoscabos
 Añadir / Agregar valor  Marco Internacional para la Práctica Profesional
 Código de Ética  Norma
 Conflicto de intereses  Objetividad
 Consejo (Consejo de Administración)  Objetivos del trabajo
 Control  Opiniones de los trabajos
 Control adecuado  Opinión General
 Controles de tecnología de la información  Principios Fundamentales para la Práctica
 Cumplimiento Profesional de la Auditoría Interna
 Debe  Procesos de control
 Debería  Programa de trabajo
 Director de auditoría interna  Proveedor externo de servicios
 Entorno / Ambiente de control  Riesgo
 Estatuto  Servicios de aseguramiento
 Fraude  Servicios de consultoría
 Gestión de riesgos  Significatividad o materialidad
 Gobierno  Técnicas de auditoría basadas en tecnología.
 Gobierno de tecnología de la información  Trabajo
93
Glosario: Definición de algunos términos
Añadir / Agregar valor –
La actividad de auditoría interna añade valor a la organización (y sus partes

interesadas) cuando proporciona aseguramiento objetivo y relevante, y
contribuye a la eficacia de los procesos de gobierno, gestión de riesgos y
control.
Director ejecutivo de auditoría –
El director de auditoría interna describe a la persona en un puesto de alto

directivo (senior) responsable de la gestión efectiva de la actividad de auditoría
interna de acuerdo con el estatuto de auditoría interna y la definición de
auditoría interna, el código de ética y las Normas. El Director ejecutivo de
auditoría u otros a su cargo tendrán las certificaciones y cualificación
apropiadas. El nombre del puesto específico del Director ejecutivo de auditoría
puede variar según la organización.
94
Gobierno de tecnología de la información –
Consiste en el liderazgo, las estructuras de la organización y los procesos

que aseguran que la tecnología de la información de la empresa y soporta
las estrategias y objetivos de la organización.
Independencia –
Libertad de condicionamientos que amenazan la capacidad de la actividad

de auditoría interna para llevar a cabo sus responsabilidades de forma
imparcial.
Objetividad –
Es una actitud mental independiente, que permite que los auditores internos
lleven a cabo sus trabajos con confianza en el producto de su labor y sin
comprometer su calidad. La objetividad requiere que los auditores internos
no subordinen su juicio al de otros sobre temas de auditoría.
95
Opiniones de los trabajos
La valoración (rating), conclusión, y/u otra descripción de los resultados de un trabajo

de auditoría interna individual, relacionados con los objetivos y el alcance del trabajo.
Opinión General
La valoración (rating), conclusión, y/u otra descripción de los resultados proporcionados

por el Director de Auditoría Interna que aborda, en términos generales el gobierno, la
gestión de riesgos, y/o los procesos de control de la organización. Una opinión general
es el juicio profesional del Director de Auditoría Interna basado en los resultados de un
número de trabajos individuales y otras actividades para un intervalo especifico de
tiempo.
Principios Fundamentales para la Práctica Profesional de la Auditoría Interna
Los Principios Fundamentales para la Práctica Profesional de la Auditoría Interna son el

fundamento del Marco Internacional de la Práctica Profesional y respaldan la eficacia de
Auditoría Interna.
96
C – Normas Internacionales/ Estatuto y Mejores Prácticas
Guía de implementación 1000- El Estatuto de Auditoría, apartados:
· Introducción: explica el papel general y el profesionalismo de la actividad de Auditoría Interna, citando los
elementos relevantes del MIPP.
· Autoridad: especifica el acceso total de la actividad de Auditoría Interna a registros, propiedad física y personal
necesario para la ejecución de sus tareas y declara su responsabilidad con respecto a la protección de los activos y la
confidencialidad.
· Organización y estructura de comunicación: documenta la estructura de comunicación del DAI. El DAI responde
funcionalmente ante el Consejo y administrativamente ante un nivel jerárquico tal dentro de la organización que
permita a la actividad de Auditoría Interna cumplir con sus responsabilidades. Este apartado puede profundizar en las
responsabilidades funcionales específicas, tales como la aprobación del estatuto y el plan de auditoría, y la
contratación, remuneración y cese del DAI; así como en las responsabilidades administrativas, tales como el apoyo al
flujo de información dentro de la organización o la aprobación de la administración y los presupuestos de recursos
humanos.
· Independencia y objetividad: describe la importancia de la independencia y la objetividad de la Auditoría Interna y
la forma en la que se garantiza su mantenimiento (por ejemplo: prohibir que el auditor interno haya tenido
responsabilidad operacional o autoridad sobre las áreas auditadas).
· Responsabilidades: establece las principales áreas de responsabilidad continua, como la definición del alcance de
las evaluaciones, la redacción del plan de auditoría y su presentación ante el Consejo para su aprobación, la
realización de las evaluaciones, la comunicación de los resultados, la entrega de un informe de auditoría por escrito y
la supervisión de las medidas correctivas tomadas por la dirección.
· Aseguramiento y mejora de la calidad: describe las expectativas sobre el mantenimiento, la evaluación y la
comunicación de los resultados de un programa de calidad que cubra todos los aspectos de la actividad de Auditoría
Interna.
· Firmas: documenta el acuerdo entre el DAI, el representante designado del Consejo y la persona ante la que
responde el DAI, con la fecha, el nombre y el cargo de los signatarios.
97
Procesos Empresariales de Gobierno
Corporativo, Riesgos y Control
98
Foco de la función de Auditoría Interna
Tres procesos básicos:
1º) Gobierno Corporativo

2º) Gestión de riesgos
3º) Controles
Pero, ¿a qué nos estamos refiriendo?
99
1er proceso: Gobierno Corporativo
Definición
La Organización para la Cooperación y el Desarrollo Económico (OCDE) emite las
siguientes definiciones en el documento de “Principles of Corporate Governance”:
• El Gobierno Corporativo es un elemento clave en la mejora del crecimiento y la

eficiencia de la economía, así como en el incremento de la confianza de los
inversores.
• El Gobierno Corporativo implica un sistema de relaciones entre la Dirección, el

Consejo, los Accionistas y demás personas con intereses en la sociedad.
• El Gobierno Corporativo también proporciona la estructura a través de la cual

se fijan los objetivos, y los medios para lograr que estos objetivos se cumplan y
de supervisar su funcionamiento” (OCDE).
100
¿Qué regulan estos protocolos?
 Derechos de los accionistas: suprimiendo blindajes estatutarios

 Competencias indelegables del Directorio, entre ellas:
- Fijación de la Política de control y gestión de riesgos

- Seguimiento de los sistemas de información y control
 Tamaño del Consejo: mínimo de 5 y máximo de 15
 Estructura funcional: mayoría de consejeros externos, 1/3 del total independientes
 Definición de Consejeros independientes: (< 12 años), dominicales y ejecutivos
 Comisiones delegadas del Directorio: Comité de Auditoría, Nombramientos y

Retribuciones
 Funciones del Comité de Auditoría y de Auditoría Interna
101
1er proceso: Gobierno Corporativo
Participantes
Cuatro son los grupos principales que participan en él:
 El grupo de Vigilancia que lo conforma el Consejo y sus Comités.
 El grupo de Dirección (Gerencia o Dirección Ejecutiva).
 El grupo de Desempeño (personal operativo y de apoyo).
 El grupo de Aseguramiento, en el que están las Auditorías.
Auditoría Interna contribuye al buen Gobierno Corporativo a través de la evaluación

y mejora de los procesos de: Establecimiento de valores y metas, y la vigilancia del
cumplimiento de los objetivos.
102
1er proceso: Junta Directiva/Directorio/Consejo
 Participar en la planeación estratégica de la entidad, aprobarla y efectuar su

seguimiento, para determinar las necesidades de redireccionamiento.
 Definir y aprobar las estrategias y políticas generales relacionadas con el SCI,

con fundamento en las recomendaciones del Comité de Auditoría.
 Definir claras líneas de responsabilidad y rendición de cuentas a través de la

organización.
 Analizar el proceso de gestión de riesgo existente y adoptar las medidas

necesarias para fortalecerlo en aquellos aspectos que así lo requieran. Aprobar
sus recursos.
En resumen: Definir los procesos de Control Interno y Administración de

Riesgos y propiciar un ambiente interno adecuado aprobando los recursos
necesarios para ello.
103
1er proceso: Comité de Auditoría
 Proponer para su aprobación la estructura, procedimientos y metodología

necesarias del Sistema de Control Interno (SCI).
 Proponer las responsabilidades, atribuciones y límites de los distintos cargos y

áreas respecto del SCI, incluyendo la gestión de riesgos.
 Vigilar el adecuado funcionamiento del sistema de control interno.
 Informar al Directorio sobre la existencia de limitaciones en la fiabilidad de la

información.
 Supervisar las funciones y actividades de la auditoría interna y externa, valorando

su independencia.
 Efectuar seguimiento sobre los niveles de gestión de riesgos .
104
1er proceso: Alta Dirección
Responsable de: (i) dirigir la implementación de los procedimientos de control y

revelación, (ii) verificar su operatividad al interior de la correspondiente entidad y su
adecuado funcionamiento. Le corresponde:
 Implementar las estrategias y políticas aprobadas por la Junta en relación con el

Control Interno.
 Comunicar las políticas y decisiones adoptadas por la Junta Directiva a todos y

cada uno de los funcionarios dentro de la organización,
 Poner en funcionamiento la estructura, procedimientos y metodologías inherentes

al Sistema de Control Interno, en desarrollo de las directrices impartidas por la
Junta directiva, garantizando una adecuada segregación de funciones y asignación
de responsabilidades.
 Implementar los diferentes informes, protocolos de comunicación, sistemas de

información y demás determinaciones de la junta relacionados con Sistema de
Control Interno.
105
1er proceso: Auditoría Interna
 Establecer planes basados en los riesgos que afecten a los objetivos de la

organización.
 Realizar una evaluación detallada de la efectividad y adecuación del SCI, en las

áreas y procesos de la organización que resulten relevantes,
 Evaluar los procedimientos de control involucrados en los procesos o actividades

de la entidad que se consideren relevantes.
 Revisar los procedimientos adoptados para garantizar el cumplimiento con los

requerimientos legales y regulatorios, códigos internos y la implementación de
políticas y procedimientos.
 Verificar la eficacia de los procedimientos adoptados para asegurar la confiabilidad

y oportunidad de los reportes a la Superintendencia y otros entes de control.
 Aportar seguridad razonable respecto de la eficacia y eficiencia del Sistema de

Control Interno
106
1er proceso: Organigrama básico
Ejemplo
107
1er proceso: Buenas prácticas recomendables
¿Escribir 5 prácticas recomendable de Gobierno

Corporativo?
108
2º y 3er Proceso: Control Interno y Riesgos
“La administración de riesgos es uno de los elementos fundamentales del Sistema de

Control Interno para lograr la eficacia y eficiencia de las operaciones, la confiabilidad de
los reportes financieros y el cumplimiento de leyes, normas y reglamentos”.
“Es importante reiterar que los sistemas de gestión de riesgos no son

independientes del Sistema de Control Interno, sino que forman parte
integral del mismo.”
109
Protocolos existentes sobre gestión de riesgos
Varios: Basilea, Solvencia, SOX,….; destacando, fundamentalmente:
• ASNZ (Australian and New Zealand Standard on Risk Management)

• COSO-ERM (Committee of Sponsoring Organizations), 2017
• ISO 31000-2018. Gestión de Riesgos
Básicamente todos ellos obedecen a dos hitos fundamentales:
(i) Establecimiento de una base sólida sobre la cual se sustente el proceso de

gestión de riesgos, y (ii) contar con un modelo operacional basado en una
metodología robusta y adecuadamente implementada.
110
Resumamos el proceso ASNZ
ASNZ (Australian and New Zealand Standard on Risk Management)
111
Resumamos el proceso ISO 31.000
112
2º y 3er Proceso: Control Interno y Riesgos
113
Definición de Control Interno
Según COSO I, el Control Interno es un proceso que involucra a todos los
integrantes de la organización sin excepción, diseñado para dar un grado razonable
de apoyo en cuanto a la obtención de los objetivos en las siguientes categorías:
 Eficacia y eficiencia de las operaciones.

 Fiabilidad de la información financiera.
 Cumplimiento de las leyes y normas que son aplicables
Estas tres objetivos están interrelacionados entre sí.
114
Componentes de Control Interno S/COSO I
IIA
Sus objetivos se desarrollan en base a 5 componentes:
 Entorno de control
 Evaluación de riesgos
 Actividades de control
 Información y comunicación
 Supervisión
Aunque en los cinco componentes está presente la función auditora , es en la

de SUPERVISIÓN donde ésta se manifiesta de forma más evidente
115
Interrelación de las actividades
También las cinco actividades de control están relacionadas entre sí, involucran personas, procesos,
tecnología y objetivos, son las siguientes:
CONTROL INTERNO: ACTIVIDADES
CREACION DEL
ENTORNO GENERAL
DE CONTROL
INFORMACION Y EVALUACION DE
SUPERVISION
COMUNICACION RIESGOS
DEFINICION Y
APLICACIÓN DE
CONTROLES
PERSONAS PROCESOS TECNOLOGIA OBJETIVOS
116
Liderazgo en la implantación. Tone at the top
El Directorio debe liderar el proceso de implantación del modelo de control y gestión de
riesgos. Como elemento fundamental de dicho liderazgo está la preparación y comunicación a
toda la organización de un Código de Ética que defina las líneas generales de actuación.
• Objetivos
• Obligatoriedad
Políticas y Procedimientos
de Control de Riesgos • Actuación en conflictos de intereses
• Utilización de información
confidencial
Código de • Integridad de los registros
Aspectos mínimos a incluir
Ética • Relaciones con organismos públicos
• Cumplimiento de leyes y
regulaciones
• Responsables de su seguimiento
• Consecuencias de los
incumplimientos del Código
117
¿Y el Enterprise Risk Management?
“La administración de riesgos corporativos es un proceso efectuado por el directorio,
la administración y las personas de la organización, es aplicado desde la definición
estratégica hasta las actividades del día a día, diseñado para identificar eventos
potenciales que pueden afectar a la organización y administrar los riesgos dentro
de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los
objetivos de la organización".
Enterprise risk management – Integrated Framework (COSO ERM). 29 de Septiembre

de 2004
118
COSO ERM, algo más que gestionar en riesgos
Objetivo Nuevo
E.R.M = COSO CI + SGIR
Nuevo Componente
Componente Ampliado
Nuevo Componente
Nuevo Componente
119
COSO ERM. Conceptos adicionales
Se incluyeron:
Objetivos estratégicos, los que fijan la estrategia de la compañía
De los Objetivos Estratégicos Estrategia los otros

objetivos (operativos + informativos + cumplimiento).
Identificación de eventos. Fenómenos que afectan a la empresa, bien

favorable o desfavorablemente.
Respuesta a los riesgos. Previo análisis del coste-beneficio, buscar

como responder a ellos:(i) evitándolos,(ii) reduciéndolos, (iii)
compartiéndolos o (iv)aceptándolos.
120
Componentes de COSO ERM
Ambiente Interno
Filosofía de la gestión de riesgos – Cultura de riesgos – Consejo de Administración /
Dirección - Integridad y valores éticos – Compromiso de competencia – Estructura organizativa
– Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos
humanos
Establecimiento de objetivos
Objetivos estratégicos – Objetivos relacionados – Objetivos seleccionados
Riesgo aceptado – Tolerancia al riesgo
Identificación de acontecimientos
Acontecimientos – Factores de influencia estratégica y de objetivos -
Metodologías y técnicas – Acontecimientos independientes – Categorías de
Acontecimientos – Riesgos y oportunidades
Evaluación de riesgos
Riesgo inherente y residual – Probabilidad e impacto -
Técnicas de evaluación – Correlación entre acontecimientos
121
Componentes de COSO ERM (2)
Respuesta a los riesgos

Evaluación de posibles respuestas – Selección de respuestas -
Perspectiva de cartera
Actividades de control
Integración de la respuesta al riesgo– Tipos de actividades de control – Políticas y
procedimientos – Controles de los sistemas de información – Controles
Específicos de la entidad
Información y comunicación
Información - Comunicación
Supervisión
Actividades permanentes de supervisión – Evaluaciones independientes –
Comunicación de deficiencias
122
Observaciones sobre ERM tradicional
Fuente: Deloitte
123
Cambios en COSO ERM - 2017
• En primera instancia, puede resaltarse la introducción de • El quinto cambio pone énfasis en la cultura. El objetivo es
una nueva estructura basada en cinco componentes y identificar cómo las prácticas de administración de riesgos
20 principios alineados al ciclo del negocio. El primer empresariales pueden inculcar mayor transparencia y
componente se enfoca en la gobernanza y la cultura, e atención al riesgo dentro de la cultura de la organización,
incluye cinco de los 20 principios. El segundo se refiere a ayudando a la gente a tomar decisiones.
la definición de la estrategia y considera cuatro
principios. El tercer componente va alineado al • La sexta reforma radica en la presentación de ejemplos
desempeño y engloba cinco principios más. El cuarto se específicos de una adecuada administración de riesgos.
orienta al análisis y revisión y considera tres principios. Esto significa que el documento busca rebasar el plano
Finalmente, el quinto y último componente se relaciona teórico, ofreciendo casos prácticos que ayudan a convertir
con la información, la comunicación y el reporte, e a este marco en un asesor estratégico para el negocio.
incluye los últimos tres principios. • La séptima modificación se enfoca en la integración de
• El segundo cambio consiste en la atención en la temas más gráficos y alineados a colores. Cada uno de
integración de la gestión de riesgos. Es en este punto los componentes, así como de los principios, tiene
donde se vincula el riesgo con el establecimiento de las asignado un color distinto dentro del mismo documento, lo
estrategias, los objetivos y las actividades de la operación cual facilita la identificación visual de los aspectos que lo
del negocio para la creación de valor. forman.
• La tercera reforma atiende al lenguaje del marco, el cual • El octavo cambio busca introducir a las empresas en
ahora se escribe desde la perspectiva del negocio. ¿De temas desafiantes como el apetito al riesgo y la visión
qué manera impacta esta reforma? Hace que la del portafolio de riesgo. El objetivo de esta reforma es
conversación acerca del riesgo sea relevante y universal, ayudar a las organizaciones a entender los conceptos
estableciendo las definiciones básicas, los componentes y anteriormente mencionados.
los principios para todos los niveles de gestión • El noveno y último cambio radica en dividir la
involucrados en el diseño, implementación y administración del riesgo en los distintos niveles de la
conducción de prácticas de administración de riesgos compañía. Desde los niveles de entidad hasta los niveles
empresariales. de procesos de riesgos, el marco explora cómo
• En la cuarta modificación se considera la inclusión de identificarlos, clasificarlos y propone un cambio en el
temas de tecnologías de la información. En este caso, manejo de los riesgos desde la estrategia hasta la
el marco arroja luz sobre cómo las tendencias del negocio, ejecución.
tales como la proliferación de datos, la inteligencia artificial
y la automatización, influyen en la estrategia de la
organización, en el contexto del negocio y el manejo de
riesgos.
124
Cambios clave
El Documento actualizado incorpora cambios significativos para reflejar la
evolución del pensamiento y las prácticas de gestión del riesgo empresarial,
y para proporcionar claridad adicional sobre los conceptos introducidos en
2004. Algunos de los cambios más importantes se detallan a
continuación:
• Adopta una estructura de componentes y principios

• Simplifica la definición de gestión de riesgos empresariales
• Enfatiza la relación entre riesgo y valor
• Renueva el enfoque en la integración de la gestión de riesgos
empresariales
• Examina el papel de la cultura
• Eleva la discusión de la estrategia
• Mejora la alineación entre el rendimiento y la gestión del riesgo empresarial
• Vinculación de la gestión del riesgo empresarial en la toma de decisiones
• Delinea entre la gestión de riesgos de la empresa y el control interno
• Refina el apetito de riesgo y la tolerancia
125
Definición de ERM
ERM-La gestión del riesgo empresarial se define como:
La cultura, las capacidades y las prácticas, integradas con el

establecimiento de estrategias y el rendimiento, en las que las
organizaciones confían para gestionar los riesgos al crear, preservar
y realizar el valor.
Una mirada más profunda a la definición de ERM enfatiza su enfoque

en la gestión del riesgo a través de:
• Reconociendo la cultura
• Desarrollo de capacidades
• Aplicación de prácticas
• Integración con el establecimiento de estrategias y el rendimiento
• Gestionar el riesgo para la estrategia y los objetivos comerciales
• Vinculación con el valor
126
Reconocimiento de la Cultura
La cultura es desarrollada y moldeada por las personas en todos los

niveles de una entidad por lo que dicen y hacen.
Son las personas las que establecen la misión, la estrategia y los

objetivos comerciales de la entidad, y ponen en práctica las prácticas
de gestión del riesgo de la empresa.
Del mismo modo, la gestión del riesgo empresarial afecta las

decisiones y acciones de las personas. Cada persona tiene un punto
de referencia único, que influye en cómo él o ella identifica, evalúa y
responde al riesgo.
ERML ayuda a las personas a tomar decisiones, al tiempo que

comprende que la cultura desempeña un papel importante en la
configuración de esas decisiones.
127
Desarrollo de las capacidades
Las organizaciones persiguen diversas ventajas competitivas para

crear valor para la entidad. La gestión de riesgos empresariales se
suma a las habilidades necesarias para llevar a cabo la misión y visión
de la entidad y para anticipar los desafíos que pueden impedir el
éxito de la organización.
Una organización que tiene la capacidad de adaptarse al cambio

es más resistente y está en mejores condiciones de evolucionar
frente a las limitaciones y oportunidades del mercado y de los
recursos.
128
Aplicación práctica
La gestión de riesgos empresariales no es estática, ni es un complemento de una

empresa. Por el contrario, se aplica continuamente a todo el ámbito de
actividades, así como a proyectos especiales y nuevas iniciativas.
Es parte de las decisiones de gestión en todos los niveles de la entidad.
Las prácticas utilizadas en la gestión de riesgos empresariales se aplican desde los

niveles más altos de una entidad y fluyen hacia abajo a través de divisiones,
unidades de negocio y funciones.
Las prácticas pretenden ayudar a las personas dentro de la entidad a

comprender mejor su estrategia, qué objetivos empresariales se han
establecido, qué riesgos existen, cuál es la cantidad aceptable de riesgo, cómo
el riesgo impacta en el rendimiento y cómo se espera que administren el
riesgo. A su vez, este entendimiento apoya la toma de decisiones en todos los
niveles y ayuda a reducir el sesgo organizacional.
129
Integración con estrategia y rendimiento
Una organización establece una estrategia que se alinea y respalda su misión y

visión. También establece objetivos comerciales que fluyen de la estrategia, en
cascada a las unidades de negocios, divisiones y funciones de la entidad. Al más
alto nivel, la gestión del riesgo empresarial se integra con el establecimiento
de la estrategia, y la gerencia comprende el perfil de riesgo general de la
entidad y las implicaciones de las estrategias alternativas para ese perfil de
riesgo.
La administración considera específicamente cualquier nueva oportunidad

que surja a través de la innovación y las actividades emergentes. Pero la
gestión del riesgo empresarial no se detiene ahí; continúa en las tareas cotidianas
de la entidad y, al hacerlo, puede obtener importantes beneficios. Es más probable
que una organización que integra la gestión de riesgos empresariales en tareas
diarias tenga costos más bajos en comparación con una que "pone capas" en los
procedimientos de gestión de riesgos de la empresa. En un mercado altamente
competitivo, estos ahorros de costos pueden ser cruciales para el éxito de una
empresa. Además, al construir la gestión del riesgo empresarial en las operaciones
centrales de la entidad, es probable que la administración identifique nuevas
oportunidades para hacer crecer el negocio. La gestión de riesgos empresariales
se integra también con otros procesos de gestión.
130
Gestionar el riesgo
La gestión del riesgo empresarial es esencial para alcanzar la estrategia y

los objetivos comerciales. Las prácticas de gestión del riesgo empresarial bien
diseñadas proporcionan a la administración y al consejo de administración una
expectativa razonable de que pueden lograr la estrategia general y los objetivos
comerciales de la entidad.
Tener una expectativa razonable significa que la cantidad de riesgo para lograr la
estrategia y los objetivos comerciales es apropiada para esa entidad,
reconociendo que nadie puede predecir el riesgo con absoluta precisión. Pero
incluso con expectativas razonables establecidas, las entidades pueden
experimentar desafíos imprevistos, por lo que es importante revisar
periódicamente las prácticas de gestión de riesgos empresariales. La revisión
cuando sea necesaria, ayuda a mantener prácticas sólidas que aumentan la
confianza de la administración en la capacidad de la entidad para responder con
éxito a lo inesperado y lograr su estrategia y objetivos comerciales.
131
Vinculará al valor
Una organización debe gestionar el riesgo para la estrategia y los objetivos

comerciales en relación con su apetito por el riesgo, es decir, los tipos y la
cantidad de riesgo, en un nivel amplio, que está dispuesto a aceptar en su
búsqueda de valor.
La primera expresión del apetito de riesgo es la misión y visión de una entidad.
Diferentes estrategias expondrán a una entidad a diferentes riesgos o diferentes

cantidades de riesgos.
El apetito por el riesgo proporciona una guía sobre las prácticas que una
organización debe seguir o no. Establece el rango de prácticas apropiadas y
guía las decisiones basadas en el riesgo en lugar de especificar un límite. El
apetito de riesgo no es estático; puede cambiar entre productos o unidades de
negocio y, a lo largo del tiempo, de acuerdo con las capacidades cambiantes para
gestionar el riesgo. Los tipos y la cantidad de riesgo que una organización podría
considerar aceptable pueden cambiar. El apetito por el riesgo debe ser lo
suficientemente flexible como para adaptarse a las cambiantes condiciones
comerciales según sea necesario sin esperar revisiones y aprobaciones periódicas
de la administración .
132
Resumen COSO ERM 2017
133
Flujo Proceso COSO ERM 2017
134
Componentes
135
5 Componentes y 20 Principios Fundamentales
COSO ERM 2017
136
Apetito y tolerancia al riesgo
El apetito por el riesgo continúa siendo definido como la cantidad de riesgo

que una entidad está dispuesta a aceptar en la búsqueda de su estrategia y
objetivos comerciales.
Sin embargo, la tolerancia se articula utilizando el lenguaje del rendimiento y no

representa una versión más granular o detallada del apetito por el riesgo. En los
perfiles de riesgo, esta relación está representada por la intersección
perpendicular del apetito de riesgo y las líneas de rendimiento. Al refinar la
definición de tolerancia, la atención se centra en determinar la cantidad de
riesgo que es aceptable para un determinado nivel de rendimiento. Las
organizaciones pueden articular los límites del riesgo aceptable en el contexto del
rendimiento. La determinación de esos límites permite a la organización evaluar
mejor si los niveles cambiantes de desempeño se mantienen dentro de los límites
de la variación aceptable. Ya no se considera que el riesgo o el rendimiento
sean estáticos y separados, sino que cambian constantemente y se influyen
mutuamente.
137
Apetito al riesgo
Si bien el apetito por el riesgo se presenta aquí, el Marco establece numerosas

instancias en las que se aplica como parte de la gestión del riesgo empresarial.
Algunas de las aplicaciones del apetito al riesgo:
• Utilizado por la organización para tomar decisiones que mejoran el valor.

• Ayuda en la alineación de la cantidad aceptable de riesgo con la capacidad de la
organización para gestionar riesgos y oportunidades.
• Relevancia al establecer la estrategia y los objetivos comerciales, ayudando a la
gerencia a considerar si los objetivos de desempeño están alineados con una
cantidad aceptable de riesgo.
• Asistencia para comunicar los perfiles de riesgo que desea la junta.
• Relevancia y alineación con la capacidad de riesgo.
• Uso en la evaluación del riesgo agregado en una vista de cartera.
La gestión de riesgos empresariales ayuda a la gerencia a seleccionar una

estrategia que alinee la creación de valor anticipada con el apetito por el
riesgo de la entidad y sus capacidades para gestionar el riesgo con más
frecuencia y de forma más consistente a lo largo del tiempo. Administrar el
riesgo dentro del apetito de riesgo mejora la capacidad de una organización
para crear, preservar y realizar valor.
138
Riesgo para un nivel de desempeño
En la Figura 3.2, cada barra

representa la cantidad agregada
de riesgo para un nivel
específico de desempeño para
un objetivo comercial. La línea
objetivo representa el nivel de
rendimiento elegido por la
organización como parte del
establecimiento de la estrategia,
que se comunica a través de un
objetivo de negocio.
139
ERM ayuda
ERM- La gestión del riesgo empresarial ayuda a una organización a

comprender mejor:
• Cómo la misión, la visión y los valores centrales, forman la expresión

inicial de qué tipos y cantidad de riesgo son aceptables, para establecer la
estrategia.
• La posibilidad de que la estrategia y los objetivos comerciales no se

alineen con la misión, la visión y los valores centrales.
• Los tipos y la cantidad de riesgo a los que la organización se expone

potencialmente al elegir una estrategia en particular.
• Los tipos y la cantidad de riesgo inherente a la ejecución de su estrategia

y al logro de los objetivos comerciales, y la aceptabilidad de este nivel de
riesgo y, en última instancia, de valor.
140
Tolerancia al riesgo
Tener una comprensión de la

tolerancia a la variación en el
rendimiento permite que la
administración mejore el valor para
la entidad. Por ejemplo, el límite
correcto de variación aceptable
generalmente no debe exceder el
punto donde el perfil de riesgo se
cruza con el apetito de riesgo. Pero
cuando el límite correcto está por
debajo del apetito de riesgo, la
gerencia puede cambiar sus
objetivos y aún estar dentro de su
apetito de riesgo general. El punto
máximo donde se puede establecer
el objetivo de rendimiento es donde
el límite correcto de tolerancia se
cruza con el apetito por el riesgo ("A"
en la Figura 7.5).
141
Actualización COSO año 2013
142
Las modificaciones más significativas
 Aplica un enfoque basado en principios
 Aclara la necesidad de establecer objetivos del negocio como condición previa
a los objetivos de Control Interno
 Refleja la relevancia incrementada de la Tecnología
 Fortalece el concepto de Gobierno Corporativo
 Amplía el objetivo de reporting financiero
 Fortalece la consideración de las expectativas contra el fraude
Se incluyen los conceptos de velocidad y

persistencia de los riesgos como criterios
para evaluar la criticidad de los mismos.
143
¿Por qué cambiar lo que funciona?
Para mejorarlo y actualizarlo VHG. Consulting
144
Pero también para complementarlo
145
Principios (1/2)
La versión de 1992 de manera implícita reflejó los principios centrales del control interno, la
versión del 2013 de manera explícita señala 17 principios, los cuales representan los
conceptos fundamentales asociados con los 5 componentes del control interno.
1. Entorno de Control
• La Organización debe demostrar compromiso con la integridad y los valores éticos.
• El Consejo de Administración debe demostrar independencia en la gestión y ejercerá la
supervisión en el desarrollo y ejecución del control interno.
• La Alta Dirección establece, con la supervisión del Consejo de Administración, la estructura, las
líneas de reporting, autoridad y responsabilidad en la consecución de los objetivos.
• En alineación con los objetivos, la Organización debe demostrar compromiso para atraer,
desarrollar, y retener personas competentes.
• En la consecución de objetivos, la Organización debe tener personas responsables para atender
sus responsabilidades de control interno.
2. Evaluación de Riesgos
• La Organización debe especificar los objetivos con suficiente claridad para permitir la identificación
y evaluación de los riesgos relacionados.
• La Organización identifica y evalúa riesgos.
• La Organización gestiona el riesgo de fraude.
• La Organización identifica y evalúa los cambios importantes que podrían impactar al sistema de
control interno.
146
Principios (2/2)
3. Actividades de Control
• La Organización seleccionará y desarrollará actividades de control que contribuyan a la
mitigación de los riesgos en el logro de sus objetivos.
• La Organización seleccionará desarrollará Controles Generales sobre Tecnología.
• La Organización implementa sus las actividades de control a través de políticas y
procedimientos.
4. Información y Comunicación
• La Organización genera información relevante, para respaldar el funcionamiento de los otros
componentes de Control Interno.
• La Organización comunica internamente la información, incluyendo los objetivos y
responsabilidades para el control interno, necesaria para respaldar el funcionamiento de los
otros componentes de Control Interno.
• La Organización se comunica externamente en relación con las materias que afectan al
funcionamiento de los otros componentes de Control Interno.
5. Actividades de Monitorización
• La Organización lleva a cabo evaluaciones continuas e individuales, con el fin de comprobar si
los componentes del control interno están presentes y están funcionando.
• La Organización evalúa y comunica las deficiencias de control interno.
147
Enfatiza la eficacia de control interno
VHG. Consulting
148
No es una enmienda a la totalidad
149
Pero sí un cambio de enfoque
150
Transición e
impacto para los
Auditores Internos
151
Aspectos básicos
VHG. Consulting
152
Aspectos básicos
VHG. Consulting
153
Aspectos básicos
VHG. Consulting
154
Puesta en común de los temas tratados –
ANEXO 2
155
Plan de Auditoría Interna
Objetivo
Servicio al cliente, eficiencia, eficacia

156
Un planteamiento
157
¿Lo compartimos?
19 100% 19
32 80% 26
60 50% 30
25 33% 8
En tres años TODO el Universo de Auditoría revisado
Los planes no deberían ser tan rígidos. Las circunstancias cambian,

adaptémonos a ellas.
158
El IIA y el Plan de Auditoría (I de III)
La N. 2010 señala que:
 El DAI debe establecer planes basados en los riesgos a fin de determinar las prioridades de
la actividad de auditoría interna. Dichos planes han de ser consistentes con la metas de la
organización.
Mientras que el G.I. 2010-2:
La planificación necesita usar el proceso de gestión de riesgos, si este ha sido desarrollado.

Al planificar un trabajo, el auditor interno ha de tener en consideración los riesgos
significativos de la actividad y los medios mediante los cuales la dirección puede paliar el
riesgo hasta un nivel aceptable. El auditor interno utilizará técnicas de evaluación de riesgos
en el desarrollo del plan de la actividad de auditoría interna, así como para determinar
prioridades a la hora de asignar recursos.
La evaluación de riesgos se utiliza para examinar las unidades auditables y seleccionar las
áreas sujetas a análisis que deben incluirse en el plan de auditoría interna y que son las que
tienen mayor exposición al riesgo.
159
El IIA y el Plan de Auditoría (II de III)
OBJETIVO:
Seleccionar oportunamente los diferentes tipos de actividades que serán incluidas en el plan de
auditoría interna. Entre otras:
 Actividades de análisis/aseguramiento de control: analizando la adecuación y eficacia de los

sistemas de control y ofrecer la seguridad de que los controles funcionan y los riesgos son gestionados
de manera efectiva.
 Actividades de investigación: para determinar si la gestión organizacional tiene un nivel inaceptable

de eficiencia.
 Actividades de consulta: aconsejar a los gestores de la Organización en el desarrollo de sistemas de

control para mitigar riesgos inaceptables.
 Actividades de cumplimiento normativo: según las normas y leyes aplicables.
También deben identificarse controles innecesarios, redundantes, excesivos o

complejos que reduzcan el riesgo de manera ineficiente.
160
Cadena de Valor
PROCESOS ESTRATÉGICOS
Planeamiento Estratégico
Gestión del Cambio y Gestión Integral de Control Interno

Mejora Continua Riesgos
PROCESOS OPERATIVOS
Control de
Gestión Calidad
Gestión Distribución
de Producción Despacho
Comercial
Compras Investigación y
Desarrollo
Desarrollo y Gestión de Recursos Humanos
Gestión de la Información
Gestión Financiera y de Recursos Físicos
Gestión Logística
PROCESOS DE SOPORTE
Matriz de Riesgos
Reporte Regulatorio Disponibilidad

4
Salud y Seguridad
Eficiencia
Regulatorio Capacidad
Fraude de Empleados
Acceso /Terceros Integridad Interrupción
Probabilidad
3 Precios
Actos Ilegales
Cumplimiento
Evaluación de Inversión
Concentración
Comunicación Infraestructura
2
Pérdida Catastrófica
Monitoreo del Entorno
0
0 1 2 Impacto 3 4 5
PROBABILIDAD
Matriz de Riesgo-Macro Procesos
Planeamiento Estratégico
Gestión del Cambio y mejora continua
Gestión integral de riesgos
Control Interno
Gestión de Compras
Gestión comercial
Producción
Control de Calidad
Despacho
Distribución
Desarrollo y gestión de recursos Humanos

Gestión de la Información
Gestión financiera y de recursos físicos
Gestión Logística
Cronograma de Auditoria
Gestión Comercial
Gestión de Compras
Producción
Control de Calidad
Investigación y
Desarrollo
Despacho
Distribución
Control Interno
Gestión del Cambio
Gestión de Riesgos
Gestión de RRHH
Gestión de TI
Gestión de Finanzas
Gestión Logística
El IIA y el Plan de Auditoría (III de III)
G.I. 2050-3.
“El auditor interno puede hacer uso del trabajo de otros proveedores
internos o externos de servicios de aseguramiento sobre el gobierno, gestión
de riesgos y control”.
Sumemos y aprovechemos esfuerzos

165
Apoyarnos sí, pero solo si son fiables
166
Antecedentes (I de II)
Rod Winters, exPresidente del IIA Global, llegó a la conclusión de que
“Auditoría Interna debe hacer menos, lo más importante, con menos
recursos. Centrarnos en lo que sea significativo y apoyándonos en la
tecnología como herramienta de trabajo, pues si bien ésta comporta
riesgos, es incuestionable que también es una oportunidad con la que
mejorar la eficiencia, la eficacia y la calidad de nuestros trabajos”.
Hacer más cosas, no es sinónimo de hacerlo mejor

167
Antecedentes (II de II)
La volatilidad y el dinamismo de los entornos profesionales requieren que las
organizaciones avancen en sus prácticas de evaluación y gestión de riesgos,
pero teniendo en consideración algunos aspectos importantes:
 Reforzar el plan de auditoría interna poniendo también el foco en los

riesgos emergentes (Seguridad laboral, medioambiente, Ciberdelicuencia)
 Flexibilizar nuestra actividad, reevaluando los riesgos y el plan de auditoría

con la mayor frecuencia posible.
 Proporcionar aseguramiento sobre la función del ERM de la Compañía.
168
Determinación del Plan Auditor
A
B ANÁLISIS DE AUDITORÍA INTERNA: B
SOLICITUDES SELECCIÓN PROCESOS PRIORITARIOS
MAPAS DE RIESGOS GLOBAL
ALTA DIRECCIÓN Y EVALUACIONES DE RIESGOS
IDENTIFICACIÓN CONTROLES REQUISITOS REGULADOR
GERENCIAS
RESULTADOS AUDITORÍAS PREVIAS OTROS STAKEHOLDERS
DATOS DE LOS INDICADORES
B B
Requerimientos MAPA DE RIESGOS DE Coordinación con Auditores

Comisión de Externos y otros
Auditoría AUDITORÍA Proveedores de
aseguramiento
PLAN DE TRABAJO ANUAL DE

AUDITORÍA INTERNA
PRESENCIAL / DISTANCIA
169
Ni son todos los que están, ni están todos los que son
170
En este contexto Auditoría Interna
Debe planificar su actividad en base a:
 Los objetivos estratégicos y los riesgos del negocio
 Los requerimientos y exigencias de los reguladores o supervisores
 Las exigencias normativas aplicables
 Procurando obtener la máxima eficiencia a su función
Sin olvidar dos ideas básicas:
 Incidir en lo importante
 Hacerlo con el mínimo coste
171
Pero tampoco su dinamismo y actualización
Para conseguir su necesaria eficacia:
c) Actualizar los inputs con la máxima

frecuencia posible.
b) Si un ente auditable no comporta riesgos

significativos o apreciables, no debería
incluirse en el Plan.
c) Olvidémonos de Planes plurianuales.
d) Partir del mapa de riesgos existente en

cada momento.
Pero sobre todo: ¡Que no debemos jugar a acertar, sino a no equivocarnos!
172
Roles de Auditoría Interna en ERM (I de III)
173
Roles de Auditoría Interna en ERM (II de III)
174
Roles de Auditoría Interna en ERM (III de III)
Según los datos del IIA recogidos en el documento Internal Auditing´s Role in Risk
Management.
175
Pero dependiendo del desarrollo del ERM
176
Modelo de las tres líneas de defensa internas
Los roles y las dependencias han de estar perfectamente definidas
177
Dos conceptos diferentes
Diseñar un Plan de Auditoría en base a riesgos (IIA), no es lo mismo que auditar

en base a riesgos .
 En el primer caso el objetivo es determinar que es lo que debemos hacer.

 En el segundo lo que se nos pide es que desarrollemos la actividad auditora
supervisando el control interno de la Organización a través de la eficacia del Sistema
de Gestión de Riesgos existente.
¿Qué hacer y cómo hacerlo?
178
Auditoría Interna con base a riesgos (I de III)
Es “La metodología que une las auditorías internas con el marco general de la
gestión de riesgo de una organización, permitiendo a la auditoría interna ofrecer
garantías al Directorio de que los procesos de gestión de riesgos son
efectivamente aplicados en relación con el apetito al riesgo”.
 Centrándonos en lo importante.
 Ofrecer opinión independiente sobre la bondad del Sistema

Gestión de Riesgos.
179
Auditoría Interna con base a riesgos (II de III)
Consiste en evaluar la adecuación de los procesos de Gestión de

Riesgos, verificando:
 Que los objetivos de la organización están alineados con la estrategia de

la empresa
 Que los riesgos significativos están identificados y bien evaluados
 Que se han seleccionando respuestas apropiadas a los riesgos de forma

que estén en un entorno de aceptación
 Obtener oportuna información significativa sobre los riesgos críticos
180
Auditoría Interna con base a riesgos (III de III)
EN RESUMEN: Conjunto de procesos mediante los cuales las auditorías

proveen aseguramiento independiente al Directorio acerca de:
1º) Si los procesos y medidas de gestión del riesgo que se encuentran

implementadas están funcionando de acuerdo a lo esperado;
2º) Si los procesos de gestión de riesgos son apropiados y están bien diseñados, y
3º) Si las medidas de control de riesgos que la Gerencia ha implementado son

adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el
Directorio.
Esta forma de auditar dependerá del nivel de desarrollo que la propia empresa
ha alcanzado en la gestión de riesgos en el área objeto de examen, y el grado
en que han sido definidos objetivos apropiados por la Gerencia contra los
cuales pueden medirse los riesgos asociados.
181
¿Alguna duda?
182

Presentacion Clases UNIDAD 1 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Presentacion Clases UNIDAD 1 PDF

Cargado por

Copyright:

Formatos disponibles

Auditoría Interna

Armando Villacorta Cavero - CIA, CFSA, CGAP, CCSA, CRMA, QAR

Los comentarios que puedan realizarse,

Si no sabes hacia qué puerto quieres ir, ningún

• Es un gran momento para ser un Auditor Interno

 Enfasis en procesos,  Comienza la aplicación  Se enfatiza en el cabal  Conocimiento del

• Marco para la Practica Profesional de la

Declaración del propósito fundamental, la naturaleza y el

Qué La Auditoria Interna es una actividad independiente y objetiva

Ayuda a una organización a cumplir sus objetivos aportando un

Consejero proactivo de Negocios

1970 1980 Hoy 

Rol de Expansión Volver a lo Básico

a) Auditoria Financiera. "El análisis de la actividad económica de una entidad

Ganando una mejor credencial

• El examen CIA comprueba los conocimientos de los temas especificados en

• Profesional Certificado en Auditoría

• Auditor de Servicios Financieros

• Certification in Risk Management

• Basado en lo Desarrollado hasta el momento, las Preguntas

1.¿Cuales es la percepción que se tiene del auditor interno hoy?

Alto RIESGOS Da prioridad adicional a los

Efectividad del Control

Fuente: Driving Success in a Changing World - 10 Imperatives for Internal Audit

I. II. III. IV.

Elaboración del Seguimiento al

La auditoría interna ha evolucionado a través de los años, ganando reconocimiento

Actualmente la auditoría interna revisa la eficacia y eficiencia de las operaciones;

– Auditores externos/ auditores financieros: - La principal función es dar una opinión

–Auditores gubernamentales: - Trabajan para ministerios, agencias o departamentos del

El objetivo del Marco Internacional para la Práctica Profesional de la

Resumen de novedades MIPPAI 2017

 Nuevo Misión de Auditoría Interna

Resumen de modificaciones MIPPAI 2017

• Total de modificaciones a Normas 42

• Interpretación de las Normas 13

La Definición de Auditoría Interna corresponde a la Declaración del propósito fundamental,

Las Guías de Implementación, antes denominadas “Consejos para la Práctica”,

Las Guías Complementarias no se vinculan directamente con el cumplimiento de

Marco Internacional para la Práctica Profesional – MIPP (International

– Definición de Auditoría Interna: junio 1999

– Principios Fundamentales: 1-1-2016

– Código de Ética del IAI: junio 2000

– Normas Internacionales para el ejercicio profesional de Auditoría Interna

(Int. Standards for the Professional Practice of Internal Audit ). 1-1-2017

Auditoría Interna tiene la misión de mejorar y proteger el valor de

A - Definición de Auditoría Interna:

Los Principios Fundamentales, tomados en su conjunto, articulan la efectividad de la

PRINCIPIOS: (relevantes para la profesión y práctica de la Auditoría Interna).

Integridad: - La integridad de los auditores internos establece confianza y, consiguientemente, provee

Confidencialidad: - Los auditores internos respetan el valor y la propiedad de la información que

Competencia: - Los auditores internos aplican el conocimiento, aptitudes y experiencia necesarios al

Reglas de Conducta, que describen las normas de comportamiento que se espera

Los auditores internos:

1.1 Desempeñarán su trabajo con honestidad, diligencia y responsabilidad.

1.2 Respetarán las leyes y divulgarán lo que corresponda de acuerdo con

1.3 No participarán a sabiendas de una actividad ilegal o de actos que vayan

1.4 Respetarán y contribuirán a los objetivos legítimos y éticos de la organización.

Los auditores internos:

2.1 No participarán en actividades o relaciones que puedan

2.2 No aceptarán nada que pueda perjudicar o que aparentemente

2.3 Divulgarán todos los hechos materiales que conozcan y que, de

Los auditores internos: