El Rol Del Auditor Interno en El Siglo X

El rol del auditor interno en el siglo XXI ©2004 Instituto de Auditores Internos de Argentina
El rol del auditor interno en los

negocios del siglo XXI.
Un aporte del Instituto de Auditores Internos de Argentina

para el apoyo a la preparación de los nuevos contenidos del
examen CIA ®
©2004 Instituto de Auditores Internos Parte I El rol de la auditoría interna.

El rol de la auditor interno en el siglo XXI ©2003 Instituto de Auditores Internos de Argentina
Propósito. Destinatarios.
Este libro constituye un esfuerzo del Instituto de Auditores Internos de Argentina para
brindar un apoyo en la preparación de su examen CIA ® a todos aquellos candidatos
hispanoparlantes y para dar a conocer a los profesionales que trabajan en las áreas de
auditoría interna cuáles son las mejores prácticas de la profesión basadas en el Marco
para el ejercicio profesional de la Auditoría Interna emitido por el The Institute of Internal
Auditors, Inc.
Este examen, que ya lleva 30 años de administración exitosa por el The Institute of Internal
Auditors, Inc. ha sufrido recientemente una modificación importante en cuanto a su
contenido y a la manera de examinación.
Luego de encuestas realizadas a través de todo el mundo durante el año pasado el Consejo
de Regentes del The Institute of Internal Auditors, Inc. decidió la modificación del temario
del examen que está incluyendo nuevos temas tales como manejo estratégico, análisis
estructural, ambientes globales de negocios, comportamiento organizacional y habilidades
de negocio incluidos en la parte IV del examen.
Ciertos contenidos que anteriormente estaban en la parte IV del examen fueron llevados a
la parte III, especialmente aquellos relacionados con contabilidad financiera y
administrativa.
Incluye también una modificación en el tratamiento de los temas de tecnología de la
información incorporándolos en las evaluaciones de riesgo y control debido a que la
modificación recientemente introducida en las Normas exige un conocimiento de los
riesgos y los controles que implican el manejo de la tecnología de la información y de las
técnicas de auditoría basadas en la tecnología.
Focaliza la acción del auditor en la prevención del fraude, el manejo de los riesgos y los
controles y enfatiza la tarea del auditor en su rol de consultor de la alta dirección.
Comprende también el tratamiento de los temas relacionados con los procesos de gobierno
corporativo y de seguridad y privacidad de datos que alcanzaron gran repercusión a raíz de
los sucesos públicamente conocidos y a la aparición de nuevos marcos regulatorios.
Implica un gran desafío en la tarea de alinear a la auditoría en la problemática de los
negocios del siglo XXI y de ubicar a los auditores internos en particular y a la función de
auditoría interna en general en un lugar de privilegio como asesor y consejero de la alta
dirección y el consejo.
Por último, es necesario agradecer a todos los profesionales que han colaborado en la
redacción de este libro y particularmente al Instituto de Auditores Internos de Argentina, a
su presidencia, vicepresidencia y honorable comisión directiva por el apoyo y el respaldo
brindado en todo momento para llevar adelante este proyecto que hoy se hace realidad.
Juan Carlos Bernardi, CIA.
Coordinador y co-redactor del proyecto.
©2003 Instituto de Auditores Internos 2 Parte I El rol de la auditoría interna.

Colaboradores:
Dirección: Guillermo Casal, CIA, CISA,CCSA, CFE.
Dirección editorial: Carlos Zarlenga.
Equipo de redactores:
Pablo Fudim, CIA.
Adriana Fernández Menta, CIA.
Enrique Gonzalvo, CIA.
Juan Carlos Bernardi, CIA.

El examen CIA ®.
El examen CIA ® es la principal certificación profesional de reconocimiento internacional

en el área de la auditoría interna y la marca global de excelencia en auditoría interna.
Fue instituido en 1974 y hoy cuentan con la certificación más de 45000 personas alrededor
de todo el mundo.
El examen CIA es la revisión más completa de la profesión hoy disponible.
Los candidatos adquieren gran experiencia, información y técnicas que pueden ser
aplicadas a cualquier organización no importa la industria o el tamaño de la que se trate.
La designación CIA® está dirigida a las siguientes personas:
Directores Ejecutivos de Auditoría Interna.

Gerentes de Auditoría.
Miembros de equipos de auditoría.
Educadores.
Capacitadores
Estudiantes
Gerentes que necesitan actualizar sus conocimientos para diseñar estrategias de negocio
efectivas.
Cualquiera que quiera tomar decisiones que agreguen valor a su organización o a su
negocio.
El formato actual del examen comprende cuatro partes:
Parte I. El rol de la actividad de la auditoría interna en el gobierno, riesgo y control.

Parte II Conduciendo los trabajos de auditoría interna.
Parte III Análisis del negocio y tecnología de la información.
Parte IV Habilidades de administración de negocios.
El Instituto considera que las partes I a III integran un “cuerpo global de conocimientos”
mientras que la parte IV constituye un área de conocimiento de administración general de
negocios y, para ciertos profesionales, se otorga un crédito por reconocimiento profesional.
Formato del examen y fechas.
El examen ha modificado recientemente su formato: a partir de mayo del 2004 incluirá 125
preguntas de opción múltiple para cada una de las cuatro partes manteniendo la duración
de tres horas y media para cada una de las cuatro partes.
El puntaje mínimo para aprobar los exámenes se mantiene en 600 puntos y se incluirán un
mínimo de 25 preguntas que no se calificarán.
Las fechas se mantienen en dos turnos en mayo y noviembre de cada año.
Mayor información disponible sobre el formato de examen, las fechas y los costos de los
derechos de examen podrá encontrarse en la página del Instituto de Auditores Internos de
Argentina www.iaia.org.ar o en la del de Estados Unidos www.theiia.org.

Estructura de la obra.
La obra se encuentra estructurada en base a los nuevos lineamientos de los contenidos del
examen CIA®.
En este sentido la obra se encuentra divida en cuatro partes:
Parte I: El rol de la actividad de auditoría interna en el gobierno, riesgo y control.
Parte II: Conduciendo el trabajo de auditoría interna.
Parte III: Análisis del negocio y tecnología de la información.
Parte IV: Habilidades de administración de negocios.
Cada capítulo corresponde a un punto del temario del examen y para las partes I y II se
siguieron los lineamientos del Marco para la Práctica Profesional de la Auditoría Interna
emitidos por el The Institute of Internal Auditors, Inc. para el desarrollo de los distintos
temas.
La obra se encuentra actualizada con la última modificación de las Normas cuya vigencia
rige desde el 1 de enero del 2004.
Al final de cada capítulo se incluye un listado de la bibliografía consultada para elaborar la
obra.

PARTE I
EL ROL DE LA AUDITORIA INTERNA EN EL

GOBIERNO EL RIESGO Y EL CONTROL.


CAPITULO I.
Cumplir con los estándares de atributos.

1. Definir el propósito, la autoridad y la responsabilidad de la actividad de
auditoría interna.
2. Mantener independencia y objetividad.
3. Determinar si el conocimiento, habilidades y competencias están
disponibles.
4. Desarrollar y/o procurar el conocimiento, habilidades y competencias
colectivamente requeridas por la actividad.
5. Ejercitar el debido cuidado profesional.
6. Promover el desarrollo profesional continuo.
7. Promover el aseguramiento de la calidad y la mejora de la actividad de
auditoría interna.
8. Estándares para la Práctica Profesional de Auditoría de los Sistemas de
Información.
CAPITULO II.
Establecer un plan basado en el riesgo.

1. Establecer un marco para evaluar el riesgo.
2. Utilizar el marco.
3. Identificar los requerimientos de recursos.
4. Coordinar los esfuerzos de la actividad de auditoría interna.
5. Seleccionar los trabajos.
6. Identificar el alcance de los trabajos.
CAPITULO III
Entendiendo el rol de la actividad de auditoría interna en el
gobierno organizacional.
1. Obtener la aprobación por parte del Consejo de estatuto de Auditoría.
2. Comunicar el plan de trabajo.
3. Reportar asuntos de auditoría significativos.

4. Comunicar indicadores clave al Consejo en forma regular.

5. Discutir áreas de riesgo significativas.
6. Soportar al Consejo en un aseguramiento amplio del riesgo en toda la
organización.
7. Revisar la posición de la función de auditoría interna dentro de la
administración del riesgo de la organización.
8. Monitorear cumplimiento con el código de conducta/y las prácticas del
negocio.
9. Evaluar el clima ético del Consejo y de la organización.
10. Informar eficacia del marco de control
11. Asistir al consejo en la evaluación de la independencia del auditor externo.
12. Evaluar el cumplimiento de políticas en áreas específicas.
13. Conducir el seguimiento y el informe de las respuestas del Consejo a los
cuerpos de revisión regulatorios.
14. Evaluar el mecanismo de informe de la organización al Consejo.
15. Evaluar la adecuación del sistema de medición de desempeño y el
cumplimiento de los objetivos corporativos.
16. Conducir el seguimiento y el reporte de las respuestas de la dirección a la
auditoría externa
17. Desarrollar otros roles y responsabilidades de la auditoría interna.

a) Ética y cumplimiento.
b) Administración del riesgo.
c) Privacidad.
d) Seguridad física y de la información.
CAPITULO IV
Elementos de gobierno, riesgo y control.
1. Modelos alternativos para el gobierno corporativo.
2. Marcos alternativos de control.
3. Conceptos y vocabularios de riesgo.
4. Técnicas de administración de riesgos.
5. Implicaciones de riesgo y control de las diferentes estructuras
organizacionales.
6. Implicaciones de riesgo y control de los distintos estilos de liderazgo.
7. Administración del cambio.

8. Administración del conflicto.

9. Técnicas de administración del control.
10. Tipos de control (preventivo, detectivo).
CAPITULO V.
Planificación de trabajos
1. Iniciar y conducir una investigación preliminar en el área del trabajo.

2. Completar una evaluación detallada de los riesgos del área (priorizar o
evaluar los factores de riesgo/control).
3. Coordinar esfuerzos del trabajo de auditoría y establecer/refinar objetivos
del trabajo y finalizar el alcance del trabajo..
4. Identificar o desarrollar criterios para el aseguramiento de los
trabajos(criterios contra los que medirse).
5. Considerar el potencial de fraude cuando se planifican los trabajos.
6. Determinar procedimientos de trabajo.
7. Establecer un adecuado planeamiento y supervisión del trabajo.
8. Preparar el programa de trabajo.

CAPITULO I.

1. Definir el propósito, la autoridad y la responsabilidad de la actividad de
auditoría interna.
3. Determinar si el conocimiento, habilidades y competencias están
disponibles.
4. Desarrollar y/o procurar el conocimiento, habilidades y competencias
colectivamente requeridas por la actividad.
7. Promover el aseguramiento de la calidad y la mejora de la actividad de
auditoría interna.
8. Estándares para la Práctica Profesional de Auditoría de los Sistemas de
Información.


El Consejo de Normas de Auditoría Interna (IASB – Internal Auditing Standard Board) es
el organismo oficial del IIA, encargado de desarrollar normas profesionales., es decir que la
responsabilidad principal del IASB es dictar y mantener las normas actualizadas de manera
que constituyan una guía útil para todos los auditores.
En junio de 1999, la Junta de Directores del IIA aprobó la definición de Auditoría Interna:
“La auditoría interna es una actividad independiente y objetiva de

aseguramiento y consulta, concebida para agregar valor y mejorar las
operaciones de una organización. Ayuda a una organización a cumplir sus
objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y
gobierno.”
Propósito de las Normas:
Definir principios básicos que representen el ejercicio de la auditoría interna.
□ Proveer un marco para ejercer y promover un amplio rango de actividades de

auditoría interna de valor agregado.
□ Establecer las bases para medir el desempeño de la auditoría interna.
□ Fomentar la mejora de los procesos y operaciones de la organización.
La actividad de Auditoría Interna se encuentra regida por las Normas y estándares de

Auditoría Interna, las que son emitidas por el Instituto de Auditores Internos.
Las Normas comprenden:
□ Normas sobre Atributos (serie 1000)
□ Normas sobre Desempeño (serie 2000)
□ Normas de Implementación
Las Normas sobre Atributos tratan sobre las características de la organización y los
individuos que desarrollan actividades de auditoría interna.
Las Normas sobre Desempeño describen la naturaleza de la actividad de auditoría interna y

poseen criterios de calidad contra los cuales pueda medirse la práctica de estos servicios.

Las Normas de Implementación aplican las Normas sobre Atributos y sobre Desempeño a
tipos específicos de trabajo.
Las Normas son parte del Marco Profesional para la Práctica profesional. El marco para la
práctica profesional incluye la definición de auditoría interna, el código de Etica, las
Normas y otras guías. Las guías se refieren a cómo las Normas pueden ser aplicadas e
incluyen los Consejos para la práctica que son emitidos por el Comité de Asuntos
Profesionales del Instituto.
En esta primera parte nos vamos a referir las a Normas sobre Atributos, las que se
encuentran en la serie 1000 de las Normas y Estándares de Auditoría Interna.
Además de los estándares los Auditores Internos deben de cumplir con el Código de Ética
de IIA el que según el Glosario del mismo Instituto se define como:
“Código de Ética – El Código de Ética de The Institute of Internal Auditors

(IIA) son principios relevantes a la profesión de auditoría interna y reglas de
conducta que describen el comportamiento esperado de los auditores internos.
El Código de Ética se aplica tanto a las partes o entidades que proporcionen
servicios de auditoría interna.
El propósito del Código de Ética es promover una cultura ética en la profesión
global de la auditoría interna.”
Dicho Código establece los siguientes puntos:
□ La auditoría interna es una actividad independiente y objetiva de

aseguramiento y consulta, concebida para agregar valor y mejorar las
operaciones de una organización.
□ La auditoría interna ayuda a la organización a cumplir sus objetivos

aportando un enfoque sistemático y disciplinado para evaluar y mejorar la
efectividad de los procesos de gestión de riesgo, control y dirección.
El Código de Ética abarca más que la definición de auditoría interna, llegando a incluir dos
componentes esenciales:
1. Principios que son relevantes para la profesión y práctica de la auditoría interna.
2. Reglas de conducta que describen las normas de comportamiento que se espera

sean observadas por los auditores internos.
Además de las normas el Instituto emite los Consejos para la Práctica, que equivalen a los
lineamientos no-obligatorios que representan el grueso de lo que contenían los Normas
anteriores. Los Consejos para la Práctica han sido desarrollados utilizando algunos de los
lineamientos anteriores y creando nuevos en áreas no cubiertas anteriormente. Aunque no
son obligatorios, representan los mejores enfoques y clarificaciones apoyadas por el IIA
como formas para implementar las Normas. En parte, los Consejos para la Práctica

pueden ayudar a interpretar las Normas o aplicarlos en ambientes específicos de auditoría

interna.
1. Definir propósito, autoridad y responsabilidad de la actividad

de auditoría interna.
El Standard 1000 - Propósito, Autoridad y Responsabilidad establece:
El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna

deben estar formalmente definidos en un estatuto, de conformidad con las
Normas, y estar aprobados por el Consejo.
El Consejo para la Práctica 1000-1: Estatuto de Auditoría Interna, establece:
Los auditores internos deben tener en cuenta las siguientes sugerencias al

establecer un Estatuto de auditoría interna. Esta guía no pretende abarcar todas
las consideraciones que pudieran ser necesarias al adoptar un Estatuto, sino ser
simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El
cumplimiento de este Consejo para la Práctica es opcional.
1. El propósito, la autoridad y la responsabilidad de la actividad de auditoría

interna deben estar formalmente definidos en un Estatuto. El director ejecutivo
de auditoría debe conseguir su aprobación por la dirección y su aceptación por
el Consejo, el Comité de Auditoría u otras autoridades de gobierno
correspondientes. El Estatuto debe (a) establecer la posición de la actividad de
auditoría interna dentro de la organización, (b) autorizar el acceso a los
registros, al personal y a los bienes relevantes para la ejecución de los trabajos,
y (c) definir el ámbito de actuación de las actividades de auditoría interna.
2. El Estatuto de la actividad de auditoría interna debe estar por escrito. Un

documento escrito proporciona una comunicación formal que permite la
revisión y aprobación por parte de la dirección y la aceptación por parte del
Consejo. Además, facilita la evaluación periódica de la adecuación del
propósito, autoridad y responsabilidad de la actividad de auditoría interna.
Contar con este documento escrito formal es crítico para administrar la función
de auditoría dentro de la organización. El propósito, la autoridad y la
responsabilidad deben estar definidos y comunicados, de modo de establecer la
función de la actividad de auditoría interna y de proporcionar una base para la
dirección y para el Consejo en su evaluación de las operaciones de la función.
En caso de presentarse alguna cuestión, el Estatuto también proporcionará un
acuerdo formal, escrito, con la dirección y con el Consejo respecto de la

función y responsabilidades de la actividad de auditoría interna dentro de la

organización.
3. El director ejecutivo de auditoría debe evaluar periódicamente si el propósito,

la autoridad y la responsabilidad, según se definen en el Estatuto, continúan
siendo adecuados para permitir que la actividad de auditoría interna cumpla
sus objetivos. El resultado de esta evaluación periódica debe comunicarse a la
dirección y al Consejo.
1000.A1 – La naturaleza de los servicios de aseguramiento proporcionados a la

organización debe estar definida en el estatuto de auditoría. Si los servicios de
aseguramiento fueran proporcionados a terceros ajenos a la organización, la
naturaleza de esos servicios también deberá estar definida en el estatuto.
1000.C1 – La naturaleza de los servicios de consultoría debe estar definida en

el estatuto de auditoría.
El Consejo para la Práctica de la Interpretación de la Norma 1000.C1 de las

Normas para el Ejercicio Profesional de la Auditoría Interna, establece:
Naturaleza de este Consejo para la Práctica: La definición de auditoría interna

establece que "La auditoría interna es una actividad independiente y objetiva de
aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones
de una organización. Ayuda a una organización a cumplir sus objetivos aportando
un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los
procesos de gestión de riesgos, control y gobierno". Se recuerda a los auditores
internos que las Normas sobre Atributos y sobre Desempeño se refieren a los
auditores internos que realizan trabajos de aseguramiento así como trabajos de
consultoría.
Este Consejo establece amplios parámetros para ser tenidos en cuenta en todos los
trabajos de consultoría. La consultoría puede abarcar un amplio rango, desde
trabajos formales, definidos por acuerdos escritos, hasta actividades de consulta,
tales como la participación en comités permanentes o temporarios de la dirección o
en equipos de proyectos. Los auditores internos deberán utilizar su criterio
profesional para determinar el grado de aplicación de la guía proporcionada por
este Consejo en cada situación en particular. Los trabajos especiales de
consultoría, tales como la participación en un proyecto de fusión o adquisición, o
en trabajos de emergencia, tales como la recuperación de desastres, pueden
requerir desviarse de los procedimientos normales o establecidos para realizar
trabajos de consultoría.
Los auditores internos deben tener en cuenta los siguientes principios guía al
desempeñar trabajos de consultoría. Esta guía no pretende abarcar todas las
consideraciones que puedan ser necesarias al desempeñar un trabajo de
consultoría, y los auditores internos deberán tomar precauciones adicionales para
determinar que la dirección y el Consejo de Administración comprendan y
acuerden con el concepto, las guías operativas, y las comunicaciones requeridas en

el desempeño de servicios de consultoría. El cumplimiento de este Consejo para la

Práctica es opcional.
1. Proposición de Valor – La proposición de valor de la actividad de auditoría

interna tiene lugar dentro de cada organización que emplea a los auditores
internos de manera que favorezcan a la cultura y recursos de esa organización. La
proposición de valor está contemplada en la definición de auditoría interna y
comprende las actividades de aseguramiento y consulta concebidas para agregar
valor a la organización, aportando un enfoque sistemático y disciplinado a las
áreas de gobierno, riesgo y control.
2. Consistencia con la Definición de Auditoría Interna – Una metodología de

evaluación sistemática y disciplinada forma parte de cada actividad de auditoría
interna. La lista de servicios puede ser generalmente incorporada a las amplias
categorías de aseguramiento y consultoría. Sin embargo, estos servicios también
pueden incluir formas más evolucionadas de servicios de valor agregado que sean
consistentes con la amplia definición de auditoría interna.
3. Actividades de Auditoría Distintas del Aseguramiento y la Consultoría – Hay

múltiples servicios de auditoría interna. El aseguramiento y la consultoría no son
excluyentes entre sí, y no impiden realizar otro tipo de servicios de auditoría, tales
como investigaciones y funciones distintas de auditoría. Muchos de los servicios de
auditoría tendrán ambos roles, tanto el de aseguramiento como el de consultoría.
4. Interrelaciones entre Aseguramiento y Consultoría – La consultoría de auditoría

interna enriquece a la auditoría interna de valor agregado. Si bien la consultoría es
muy a menudo el resultado directo de los servicios de aseguramiento, debemos
reconocer también que el aseguramiento puede estar, a su vez, generado por los
trabajos de consultoría.
5. La Consultoría Impulsada por el Estatuto de Auditoría Interna – Los auditores

internos han desempeñado tradicionalmente diversos tipos de servicios de
consultoría, como el análisis de controles incluidos en sistemas en desarrollo, el
análisis de productos de seguridad, la participación en equipos de trabajo para
analizar operaciones y efectuar recomendaciones, y demás. El Consejo de
Administración (o el Comité de Auditoría) debe propiciar que la actividad de
auditoría interna preste servicios adicionales siempre que no representen un
conflicto de intereses o le aparten de sus obligaciones frente al Comité. Esto debe
estar reflejado en el Estatuto de auditoría interna.
6. Objetividad – Los servicios de consultoría pueden mejorar el entendimiento que

tenga el auditor interno de los procesos de negocios o de cuestiones relacionadas
con un trabajo de aseguramiento, y no necesariamente afectan la objetividad del
auditor o de la actividad de auditoría interna. La auditoría interna no es una
función de toma de decisiones gerenciales. Las decisiones de adoptar o implantar
las recomendaciones originadas en un servicio de consultoría realizado por
auditoría interna debe tomarlas la dirección. En consecuencia, la objetividad de

auditoría interna no debería verse afectada por las decisiones tomadas por la
dirección.
7. Fundamentos de Auditoría Interna para los Servicios de Consultoría– Muchos

de los servicios de consultoría son una extensión natural de los servicios de
aseguramiento e investigación, y pueden representar consejos formales o
informales, análisis, o evaluaciones. La actividad de auditoría interna está
excelentemente posicionada para desempeñar este tipo de trabajos de consultoría,
basándonos en (a) su cumplimiento de las normas más elevadas de objetividad, y
(b) su extenso conocimiento de los procesos, riesgos y estrategias de la
organización.
8. Comunicación de Información Fundamental – Uno de los valores principales de

auditoría interna es brindar aseguramiento a la alta dirección y a los directores del
comité de auditoría. Los trabajos de consultoría no pueden ser realizados de forma
que oculten información que, a criterio del director ejecutivo de auditoría, deba ser
presentada a la alta dirección y a los miembros del Consejo de Administración.
Todo tipo de consultoría debe ser entendido dentro de ese contexto.
9. Principios de Consultoría Comprendidos por Toda la Organización – Las

organizaciones deben tener reglas de procedimiento para el desempeño de
servicios de consultoría, de modo que sean entendidos por todos sus miembros.
Estas reglas deben estar incluidas en el Estatuto de auditoría aprobado por el
comité de auditoría y promulgado en la organización.
10. Trabajos de Consultoría Formales – La dirección contrata a menudo

consultores externos para trabajos formales de consultoría que duran un período
significativo. Sin embargo, la organización puede encontrar que su función de
auditoría interna está calificada de forma excelente para realizar determinadas
tareas de consultoría formales. Si una actividad de auditoría interna emprende un
trabajo de consultoría formal, el grupo de auditoría interna debe aportar un
enfoque disciplinado y sistemático a la realización de ese trabajo.
11. Responsabilidades del Director Ejecutivo de Auditoría – Los servicios de

consultoría permiten al director ejecutivo de auditoría establecer un diálogo con la
dirección para resolver determinados asuntos de la gestión. En este diálogo, la
extensión del trabajo y su calendario deben responder a las necesidades de la
dirección. Sin embargo, el director ejecutivo de auditoría mantiene la prerrogativa
de establecer las técnicas de auditoría y el derecho de informar a la alta dirección
y a los miembros del comité de auditoría cuando la naturaleza y materialidad de
los resultados presenten riesgos significativos para la organización.
12. Criterios para Resolver Conflictos o Asuntos Imprevistos – Un auditor interno

es, ante todo, un auditor interno. En consecuencia, en el desempeño de todo tipo de
servicios el auditor interno deberá guiarse por el Código de Ética y las Normas
sobre Atributos y sobre Desempeño pertenecientes a las Normas para el Ejercicio
Profesional de la Auditoría Interna, todos ellos del IIA. Cualquier tipo de conflictos

o asuntos imprevistos deberán ser resueltos de manera consistente con el Código de

Ética y las Normas mencionadas
Interpretación de la Norma 1000.C1 (y otras Normas de Implantación de

Consultoría relacionadas) de las Normas para el Ejercicio Profesional de la
Auditoría Interna Este Consejo para la Práctica establece una guía profesional
referida a múltiples Normas de Implantación de Consultoría. Además de la ya
mencionada
Norma 1000.C1, esta guía comprende también las Normas 1130.C1 y C2; 1210.C1;
1220.C1; 2010.C1; 2110.C1 y C2; 2120.C1 y C2; 2130.C1; 2201.C1; 2210.C1;
2220.C1; 2240.C1; 2330.C1; 2410.C1; 2440.C1 y C2; y 2500.C1. La referencia a
cada una de las mencionadas Normas está indicada entre paréntesis en los títulos
de este Consejo para la Práctica
Naturaleza de este Consejo para la Práctica: Este Consejo para la Práctica cubre
un tema similar al del Consejo 1000.C1-1, que comenta los Principios que Guían el
Desempeño de los Servicios de Consultoría. Ambos Consejos son de utilidad para
el auditor interno en el desempeño de sus actividades de consultoría. La definición
de auditoría interna establece que “La auditoría interna es una actividad
independiente de aseguramiento y consulta, concebida para agregar valor y
mejorar las operaciones de una organización. Ayuda a una organización a cumplir
sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.” Se
recuerda a los auditores internos que las Normas sobre Atributos y sobre
Desempeño se refieren a los auditores internos que realizan trabajos de
aseguramiento así como trabajos de consultoría.
Este Consejo establece amplios parámetros para ser tenidos en cuenta en los
trabajos formales de consultoría. La consultoría puede abarcar un amplio rango,
desde trabajos formales, definidos por acuerdos escritos, hasta actividades de
consulta, tales como la participación en comités permanentes o temporarios de la
dirección o en equipos de proyectos. Los auditores internos deberán utilizar su
criterio profesional para determinar el grado de aplicación de la guía
proporcionada por este Consejo en cada situación en particular. Los trabajos
especiales de consultoría, tales como la participación en un proyecto de fusión o
adquisición, o en trabajos de emergencia (por ejemplo, la revisión de actividades
de recuperación de desastres), pueden requerir desviarse de los procedimientos
normales o establecidos para realizar trabajos de consultoría.
Los auditores internos deben tener en cuenta las siguientes sugerencias al

desempeñar trabajos de consultoría formales. Esta guía no pretende abarcar todas
las consideraciones que puedan ser necesarias al desempeñar un trabajo de
consultoría, y los auditores internos deberán tomar precauciones adicionales para
determinar que la dirección y el Consejo de Administración comprendan y
acuerden con el concepto, las guías operativas, y las comunicaciones requeridas en
el desempeño de servicios de consultoría formales.

Definición de Servicios de Consultoría
1. El Glosario de las Normas define a los “servicios de consultoría” de la

siguiente manera: “Son las actividades de consulta y otras, relacionadas con los
servicios al cliente, cuya naturaleza y alcance son acordados con el cliente y que
están orientadas a agregar valor y mejorar los procesos de gobierno, manejo de
riesgos y control sin que el auditor asuma una responsabilidad directiva.Por
ejemplo: asesoramiento, consejo, facilitación y formación.”
2. El Director Ejecutivo de Auditoría debe establecer la metodología a utilizar

para clasificar los trabajos dentro de la organización. En determinados casos,
puede ser apropiado realizar un trabajo “combinado” que incluya elementos tanto
de consultoría como de aseguramiento dentro de un enfoque consolidado. En otros,
puede ser apropiado distinguir los componentes de aseguramiento de los de
consultoría.
3º Los auditores internos podrán realizar servicios de consultoría ya sea como

parte de sus actividades normales o rutinarias, así como en respuesta a las
solicitudes de la dirección. Cada organización deberá considerar el tipo de
actividades de consultoría que serán ofrecidas y determinar si se desarrollarán
políticas o procedimientos especiales para cada tipo de actividad. Algunas
posibles categorías podrían ser:
• Trabajos de consultoría formales – planificados y sujetos a un acuerdo

escrito.
• Trabajos de consultoría informales – actividades rutinarias, tales como la

participación en comités permanentes, proyectos de tiempo limitado,
reuniones ad-hoc, o el intercambio rutinario de información.
• Trabajos de consultoría especiales – participación en un equipo de fusión y

adquisición, o de conversión de un sistema.
• Trabajos de consultoría de emergencia – participación en un equipo

establecido para la recuperación o mantenimiento de operaciones después
de un desastre u otros eventos extraordinarios de negocio, o en un equipo
formado para proporcionar ayuda temporaria para cumplir con un pedido
especial o un vencimiento inusual.
4. Los auditores, en general, no deben acordar la realización de un trabajo de

consultoría simplemente para evitar, o permitir que otros eviten, los requisitos que
normalmente se aplicarían a un trabajo de aseguramiento si el servicio en cuestión
fuera realizado más apropiadamente como un trabajo de aseguramiento. Esto no
significa que no deban ajustarse las metodologías en el caso de trabajos que una
vez fueron de aseguramiento y luego se ha juzgado más conveniente realizarlos
como trabajos de consultoría.

Independencia y Objetividad en Trabajos de Consultoría (Norma 1130.C1)
5. A los auditores internos se les solicita en algunas ocasiones proporcionar

servicios de consultoría referidos a operaciones por las cuales han tenido
responsabilidades previas o en las cuales han realizado servicios de
aseguramiento. Antes de ofrecer servicios de consultoría, el director ejecutivo de
auditoría debe confirmar que el Consejo de Administración comprende y aprueba
el concepto de proporcionar servicios de consultoría. Una vez aprobado, el
Estatuto de auditoría interna debe adecuarse de modo que incluya la autoridad y
responsabilidades para realizar este tipo de trabajos, y la actividad de auditoría
interna debe confeccionar las políticas y procedimientos adecuados para realizar
los mismos.
6. Los auditores internos deben mantener su objetividad al sacar conclusiones y

ofrecer su consejo a la dirección. Si existieran impedimentos a la independencia u
objetividad previos al comienzo de un trabajo de consultoría, o si aparecieran
durante el desarrollo del trabajo, debe declararse esta situación inmediatamente a
la dirección.
7. La independencia y la objetividad pueden verse menoscabadas si se

proporcionan servicios de aseguramiento dentro del año siguiente a haber
realizado un trabajo de consultoría formal. Se pueden tomar algunas medidas para
minimizar los efectos de este impedimento a la independencia y objetividad,
asignando diferentes auditores para cada uno de los servicios, estableciendo una
supervisión y gerencia independientes, definiendo responsabilidades separadas
para los resultados de los proyectos, y declarando los impedimentos supuestos. La
dirección debe ser la responsable de aceptar e implantar las recomendaciones.
8. Debe tenerse cuidado, en especial en los trabajos de consultoría que sean

continuos por su propia naturaleza, de que los auditores internos no asuman
inadecuadamente o sin intenciones responsabilidades gerenciales que no estaban
entre los objetivos originales y alcance del trabajo.
Debido Cuidado Profesional en Trabajos de Consultoría (Normas 1210.C1,

1220.C1, 2130.C1, y 2201.C1)
9.º El auditor interno debe ejercer el debido cuidado profesional al realizar un

trabajo de consultoría formal, mediante la comprensión de lo siguiente:
• Las necesidades de la dirección, incluyendo la naturaleza, oportunidad y

comunicación de los resultados del trabajo.
• Las posibles motivaciones y razones de aquellos que solicitan el servicio.
• La extensión del trabajo necesario para alcanzar los objetivos del trabajo.
• Las habilidades y recursos necesarios para realizar el trabajo.

• El efecto sobre el alcance del plan de auditoría previamente aprobado por

el comité de auditoría.
• El impacto potencial sobre futuros trabajos y asignaciones de auditoría.
• Los beneficios potenciales para la organización, originados en ese trabajo.
10. Además de la evaluación de la independencia y objetividad y de las

consideraciones respecto del debido cuidado profesional mencionado
anteriormente, el auditor interno debe:
• Realizar las reuniones apropiadas y obtener la información necesaria para

evaluar la naturaleza y extensión del servicio que va a proporcionar.
• Confirmar que aquellos que recibirán el servicio comprenden y acuerdan

con la guía relevante contenida en el Estatuto de auditoría interna, las
políticas y procedimientos de la actividad de auditoría interna, y otras guías
relacionadas con la conducción de trabajos de consultoría. El auditor
interno no debería aceptar la realización de trabajos de consultoría que
estén prohibidos en los términos del Estatuto de auditoría interna, que
entren en conflicto con la actividad de auditoría interna, o que no agreguen
valor y promocionen los mejores intereses para la organización.
• Evaluar el trabajo de consultoría en cuanto a su compatibilidad con el plan

general de trabajo de la actividad de auditoría interna. El plan de trabajo
basado en riesgos de la actividad de auditoría interna puede incorporar y
contar con los trabajos de consultoría, en la extensión que se considere
apropiada, de modo de proporcionar la cobertura de auditoría necesaria
para la organización
• Documentar los términos generales, acuerdos, entregas, y otros factores

clave del trabajo de consultoría formal en un acuerdo o plan escrito. Es
esencial que tanto el auditor interno como aquellos que reciban el trabajo
de consultoría comprendan y acuerden con los requisitos de información y
comunicación.
Alcance del Trabajo para el Caso de Consultoría (Normas 2010.C1, 2110.C1 y

C2, 2120.C1 y C2, 2201.C1, 2210.C1, 2220.C1, 2240.C1, y 2440.C2)
11. Según lo mencionado anteriormente, los auditores internos deben alcanzar un

entendimiento de los objetivos y alcance del trabajo de auditoría con aquellos que
recibirán el servicio. Cualquier reserva sobre el valor, beneficio, o posibles
implicancias negativas del trabajo de consultoría debe ser comunicada a aquellos
que reciben el servicio. Los auditores internos deben establecer el alcance del
trabajo de modo de asegurar que el profesionalismo, integridad, credibilidad y
reputación de la actividad de auditoría interna serán mantenidos.

12. Al planificar trabajos de consultoría formales, los auditores internos deben

diseñar objetivos que alcancen las necesidades apropiadas de las gerencias que
reciban estos servicios. En el caso de solicitudes especiales por parte de la
dirección, los auditores internos pueden considerar las siguientes acciones si creen
que los objetivos que deberían lograrse van más lejos de aquellos solicitados por la
dirección:
• Persuadir a la dirección para que incluya los objetivos adicionales al

trabajo de consultoría.
• Documentar el hecho de que no se aspiró a aquellos objetivos y declararlo

en la comunicación final del resultado del trabajo de consultoría; e
• Incluir los objetivos en un trabajo de aseguramiento separado y

subsiguiente.
13. Los programas de trabajo para las consultorías formales deben documentar los
objetivos y el alcance del trabajo, así como la metodología a utilizar para
satisfacer los objetivos. La forma y el contenido de programa podrá variar
dependiendo de la naturaleza del trabajo. Al establecer el alcance del trabajo, los
auditores internos pueden expandir o limitar el mismo de modo de satisfacer la
solicitud de la dirección. Sin embargo, el auditor interno debe satisfacerse de que el
alcance proyectado sea el adecuado para alcanzar los objetivos del trabajo. Los
objetivos, alcance y términos del trabajo deben ser periódicamente reevaluados y
ajustados durante el transcurso del trabajo.
14. Los auditores internos deben observar la eficacia de los procesos de gestión de
riesgos y control durante los trabajos de consultoría formales. Las exposiciones
significativas al riesgo o las debilidades materiales de control deben ser llevadas a
la atención de la dirección. En algunas situaciones, las preocupaciones del auditor
también deberían ser comunicadas a la dirección ejecutiva, al comité de auditoría,
y/o al Consejo de Administración. Los auditores deben utilizar su juicio
profesional (a) para determinar la significatividad de las exposiciones o
debilidades y las acciones tomadas o contempladas para mitigar o corregir las
mismas, y (b) para indagar las expectativas de la dirección ejecutiva, el comité de
auditoría y el Consejo de ser informados sobre estos asuntos.
Comunicación de Resultados de los Trabajos de Consultoría (Normas 2410.C1 y

2440.C1)
15. La comunicación del avance y los resultados de los trabajos de consultoría

variará en forma y contenido según la naturaleza del trabajo y las necesidades del
cliente. Los requerimientos de información están generalmente determinados por
quienes solicitan el servicio de consultoría, y deberían cumplir con los objetivos
determinados y acordados con la dirección. Sin embargo, el formato para
comunicar los resultados del trabajo de consultoría debe describir claramente la
naturaleza del trabajo y cualquier limitación, restricción u otro factor que los
usuarios de la información debieran conocer.

16. En determinadas circunstancias, el auditor interno puede concluir que los

resultados deben ser comunicados más allá de aquellos que recibieron o solicitaron
el servicio. En tales casos, el auditor interno debe extender la información, de
modo que los resultados sean comunicados a las partes apropiadas. Al extender la
información a otras partes, el auditor deberá seguir los siguientes pasos hasta
lograr satisfacerse de la resolución del asunto:
• Primero, determinar qué directiva está proporcionada en el acuerdo

respecto del trabajo de consultoría y sus comunicaciones.
• Segundo, intentar convencer a aquellos que reciben o solicitan el servicio de

extender voluntariamente la comunicación a las partes apropiadas.
• Tercero, determinar qué guía está proporcionada en el Estatuto de auditoría

interna o en las políticas y procedimientos de la actividad de auditoría
respecto de las comunicaciones de consultoría.
• Cuarto, determinar qué guía es proporcionada por el código de conducta de

la organización, el código de ética, u otras políticas, procedimientos o
directivas administrativas al respecto.
• Quinto, determinar qué guía es proporcionada por las Normas y el Código

de Ética del IIA, otras normas o códigos aplicables al auditor, y cualquier
requerimiento legal o de regulación referido al asunto en cuestión.
17. Los auditores internos deben declarar a la dirección, al comité de auditoría, al

Consejo de Administración u otro cuerpo de gobierno de la organización, la
naturaleza, alcance y resultados generales de los trabajos de consultoría formales
junto con los informes de las actividades de auditoría interna. Los auditores
internos deben mantener informados a la dirección ejecutiva y al comité de
auditoría sobre cómo están siendo distribuidos los recursos de auditoría. No se
requiere comunicar ni los informes detallados ni los resultados específicos de estos
trabajos de consultoría. Pero debería comunicarse una adecuada descripción de
estos tipos de trabajos y sus recomendaciones significativas. Esto es esencial para
cumplir con la responsabilidad del auditor interno, de acuerdo con la Norma 2060,
Informe al Consejo de Administración y a la Dirección Superior
Requerimientos de Documentación para los Trabajos de Consultoría (Norma

2330.C1)
18. Los auditores internos deben documentar las tareas realizadas para alcanzar
los objetivos de un trabajo de consultoría formal y para soportar sus resultados.
Sin embargo, los requerimientos de documentación aplicables a los trabajos de
aseguramiento no necesariamente son aplicables a los de consultoría.
19. Se alienta a los auditores internos a adoptar políticas apropiadas de retención

de registros y a resolver cuestiones relacionadas, tales como la propiedad de los

registros de los trabajos de consultoría, de modo de proteger adecuadamente a la

organización y evitar potenciales malentendidos en el caso de solicitud de estos
registros. Las situaciones que impliquen procedimientos legales, exigencias
reguladoras, cuestiones tributarias y asuntos contables, pueden requerir un manejo
especial de ciertos registros del trabajo de consultoría.
Supervisión de Trabajos de Consultoría (Norma 2500.C1)
20. La actividad de auditoría interna debe supervisar los resultados de los trabajos
de consultoría, hasta el punto que se haya acordado con el cliente. Diversos tipos
de supervisión pueden ser adecuados para los diversos tipos de trabajos de
consultoría. La tarea de supervisión puede depender de factores tales como el
interés explícito que tenga la dirección en ese trabajo, o la evaluación de los
riesgos del proyecto que efectúe el auditor interno, o el valor para la
organización.
De acuerdo al Glosario de Normas del IIA estatuto (charter) de la actividad de Auditoría

Interna es un documento formal escrito que define el objetivo, autoridad y responsabilidad
de la actividad de Auditoría Interna. El estatuto (charter) debe:
a) establecer la posición de la actividad de Auditoría Interna dentro de la organización;
b) autorizar el acceso a los registros, al personal y a los bienes pertinentes para la

ejecución de los trabajos; y
c) definir el ámbito de actuación de las actividades de Auditoría Interna
En lo que respecta al Estatuto no alcanza con que la organización lo tenga, sino que el
mismo debe ser distribuido en toda la organización, a fin de que se conozca la autoridad
que le ha sido otorgada a la Auditoría Interna para que lleve a cabo su trabajo.
Como ya dijimos anteriormente el estatuto (charter) es el que le confiere a la Auditoría

Interna su autoridad, razón por la cual en el mismo debe constar que el director de la
auditoría esta autorizado para dirigir un programa de Auditoría Interna que le permita
abarcar toda la organización.
Dado que la Auditoría interna es la encargada de examinar y evaluar la adecuación y

efectividad de los sistemas de control, tanto el director de auditoría como los miembros del
personal de auditaría deben estar autorizados para tener acceso completo, libre e irrestricto
a todos los registros, bienes y personal de la organización.
Debemos interpretar que el Propósito de la actividad de Auditoría Interna es el Objetivo

mismo de la Dirección o Departamento de Auditoría Interna.
El propósito (Objetivo) principal de la Auditoría Interna es asistir a los miembros de la

organización (Gerencias y Directorio) en el cumplimiento de sus responsabilidades, en
consecuencia la Auditoría Interna tendrá como misión la siguiente:

□ Revisar a intervalos periódicos si en la organizaron se están ejerciendo

correctamente las funciones de planificación, organización, dirección y control.
□ Determinar la adecuación y efectividad de los sistemas de contabilidad,

controles internos y operativos de la organización.
□ Revisar la confiabilidad e integridad de la información financiera, así como los

medios utilizados para identificar, medir, clasificar y presentar dicha
información.
□ Revisar los medios utilizados para salvaguardar los bienes, además de verificar
la existencia de dichos activos.
□ Evaluar la economía y eficiencia con las cuales se han empleado los recursos.
□ Revisar las operaciones y programas para determinar si los resultados son

coherentes con los objetivos y metas establecidos, y si fueron llevados a cabo
de acuerdo con lo planificado.
□ Coordinar los esfuerzos de la Auditoría Interna con los de los auditores

externos.
□ Revisar el cumplimiento de las directivas de la organización sobre la ética

comercial.
□ Presentar los planes anuales de auditoría al Directorio y al Comité de Auditoría

para su revisión y aprobación
□ Informar periódicamente al Comité de Auditoría de las tareas desarrolladas y

sus resultados.
□ Informar a las gerencias auditadas los resultados de los exámenes de auditoría,

las opiniones y las recomendaciones realizadas.
□ Evaluar los planes y medidas tomadas para corregir las condiciones informadas.
Si la medida correctiva, es considerada insatisfactoria, seguir debatiendo el
tema para lograr una disposición aceptable.
□ Disponer un adecuado seguimiento para asegurar que se tomen las medidas

correctivas adecuadas y que las mismas sean efectivas.
Como ya se menciono anteriormente la Autoridad de la Auditoría Interna también se debe

encontrar definida en el estatuto (charter), el cual debe establecer la jerarquía de la
Auditoría Interna dentro de la organización.

Para lo cual el nivel organizacional del que dependa la Auditoría Interna debe ser tal que le
asegure una adecuada consideración y acción ante las recomendaciones de la auditoría, es
decir que debe encontrarse dependiendo del nivel más alto de la organización.
Dicha dependencia debe asegurar la independencia y promover una amplia cobertura de la

auditoría.
Al referirnos a Responsabilidad lo hacemos teniendo en cuenta que los Auditores Internos

tenemos la obligación de cumplir no solo con las Normas de Auditoría sino también con el
Código de Ética. Además seremos responsables de realizar nuestra tarea con
profesionalismo, objetividad y discreción, teniendo en cuenta que los documentos,
información, e informes que conozcamos son confidenciales.
La Responsabilidad de la Auditoría Interna recae directamente y en primer lugar sobre el

Director Ejecutivo de Auditoría , quien será el responsable de:
□ Establecer las políticas necesarias para el desarrollo de la actividad de la

Auditoría, ejerciendo la dirección de sus funciones técnicas y administrativas
□ Desarrollar y ejecutar un programa de auditoría amplio que le permita evaluar

los controles administrativos establecidos sobre la actividad propia de la
organización.
□ Examinar todos los niveles de la organización para el cumplimiento de las

políticas y procedimientos establecidos.
□ Recomendar las mejoras necesarias en los controles administrativos destinados

a salvaguardar los recursos y bienes, promover el crecimiento de la
organización y asegurar el cumplimiento de las leyes y normas del gobierno.
□ Revisar que los procedimientos y los registros sean adecuados para cumplir con
los objetivos fijados por la organización, y evaluar las políticas y
planificaciones relacionadas con la actividad o función bajo revisión de
auditoría.
□ Autorizar la publicación y/o distribución de los informes de Auditoría Interna

sobre los resultados de los exámenes realizados, incluyendo en el mismo, las
recomendaciones de mejoras propuestas.
□ Evaluar la adecuación de las medidas tomadas por las gerencias auditadas para:
1) corregir las condiciones deficientes informadas por la Auditoría Interna; 2)
aceptar las medidas correctivas propuestas y adecuadas; 3) continuar las
revisiones en forma conjunta con el personal gerencial adecuado, sobre todas
aquellas medidas que el director de auditoría considera inadecuadas hasta tanto
se logre una resolución satisfactoria del tema.

□ Realizar exámenes especiales a solicitud de la gerencia, incluyendo las

revisiones de las declaraciones o confirmaciones realizadas por personas ajenas
a la organización.
En lo que respecta en particular a la actividad de Consultaría, norma 1000.C1 - La
naturaleza de los servicios de consultoría debe estar definida en el estatuto de auditoría.

1100 - Independencia y Objetividad
La actividad de auditoría interna debe ser independiente, y los auditores internos
deben ser objetivos en el cumplimiento de su trabajo.
El Consejo para la Practica 1100-1: Independencia y Objetividad de para la

Interpreta la Norma 1100 de la Normas para el Ejercicio Profesional de la
Auditoría Interna, establece:
Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en
cuenta las siguientes sugerencias al evaluar la independencia y objetividad. Esta
guía no pretende abarcar todas las consideraciones que pudieran ser necesarias al
realizar tal evaluación, sino ser simplemente un conjunto de temas recomendados
para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es
opcional.
1. Los auditores internos son independientes cuando pueden realizar su trabajo

libre y objetivamente. La independencia permite a los auditores internos emitir
juicios imparciales y equilibrados, lo cual es esencial para realizar
adecuadamente los trabajos. Esto se consigue con objetividad y con la
existencia de un nivel jerárquico determinado dentro de la organización.
1110 - Independencia de la Organización

El director ejecutivo de auditoría debe responder ante un nivel jerárquico tal
dentro de la organización que permita a la actividad de auditoría interna
cumplir con sus responsabilidades.
El Consejo para la Práctica 1110-1: Independencia de la Organización que

interpreta la Norma 1110 de las Normas para el Ejercicio Profesional de la
Naturaleza de este Consejo para la Práctica: Los auditores internos deben

tener en cuenta las siguientes sugerencias al evaluar la independencia de la
organización. Esta guía no pretende abarcar todas las consideraciones que
pudieran ser necesarias durante dicha evaluación, sino ser simplemente un
conjunto de temas recomendados para ser tenidos en cuenta. El cumplimiento
de este Consejo para la Práctica es opcional.

1. Los auditores internos deben tener el apoyo de la dirección y del

Consejo, de tal forma que puedan obtener la cooperación de sus
clientes y realizar el trabajo libre de interferencias.
2. El director ejecutivo de auditoría debe depender, en la organización,

de una persona con suficiente autoridad para promover la
independencia y garantizar una amplia cobertura de la auditoría, así
como la adecuada consideración de las comunicaciones del trabajo y
de las acciones apropiadas sobre las recomendaciones efectuadas.
3. Idealmente, el director ejecutivo de auditoría debería reportar

funcionalmente al comité de auditoría, al Consejo de Administración,
u otras autoridades de gobierno apropiadas, y administrativamente al
director general (chief executive officer) de la organización.
4. El director ejecutivo de auditoría debe tener comunicación directa con

el Consejo, el comité de auditoría u otras autoridades de gobierno
apropiadas. La comunicación directa con el Consejo ayuda a
asegurar la independencia y es un medio para que, tanto el Consejo
como el director ejecutivo de auditoría, se informen mutuamente en
cuestiones de interés para ambos.
5. La comunicación directa tiene lugar cuando el director ejecutivo de

auditoría asiste y participa regularmente en las reuniones del Consejo,
del comité de auditoría o de otras autoridades de gobierno
apropiadas, que tratan de las responsabilidades de supervisión de
éstos sobre la auditoría, la información financiera, el gobierno de la
organización, y el control. La asistencia y participación del director
ejecutivo de auditoría a dichas reuniones proporciona una
oportunidad para intercambiar información concerniente a los planes
y actividades de la actividad de auditoría interna. El director ejecutivo
de auditoría debe reunirse en privado con el Consejo, el comité de
auditoría u otras autoridades de gobierno apropiadas, al menos una
vez al año.
6. La independencia se reafirma cuando el Consejo interviene en el

nombramiento o cese del director ejecutivo de auditoría.
El Consejo para la Práctica 1110-2: Líneas de Reporte del Director

Ejecutivo de Auditoría que Interpreta la Norma 1110 de las Normas para el
Ejercicio Profesional de la Auditoría Interna

tener en cuenta la siguiente guía al establecer o evaluar las líneas de reporte
y relaciones con los ejecutivos de la organización a quienes reporta el
director ejecutivo de auditoría. Esta guía no pretende abarcar todas las
consideraciones que puedan ser necesarias durante tal evaluación, sino ser

simplemente un conjunto de temas recomendados para ser tenidos en cuenta.

El cumplimiento de este Consejo para la Práctica es opcional.
1. Las Normas para el Ejercicio Profesional de la Auditoría Interna (las

Normas) del IIA requieren que el director ejecutivo de auditoría (DEA)
reporte a un nivel jerárquico tal dentro de la organización que permita a la
actividad de auditoría interna cumplir con sus responsabilidades. El Instituto
considera firmemente que para alcanzar la independencia necesaria, el DEA
debe reportar funcionalmente al comité de auditoría o su equivalente. Para
propósitos administrativos, en la mayoría de las circunstancias, el DEA debe
reportar directamente al Director General (chief executive officer - CEO) de
la organización. A continuación se proporciona una descripción de lo que el
IIA considera “reporte funcional” y “reporte administrativo” para ayudar a
centrar el tema tratado en este Consejo para la Práctica.
• Reporte Funcional – La línea de reporte funcional para la función de

auditoría interna es el recurso fundamental para su independencia y
autoridad. Como tal, el IIA recomienda que el DEA reporte
funcionalmente al comité de auditoría, al Consejo de Administración u
otras autoridades de gobierno apropiadas. En este contexto, reportar
funcionalmente significa que la autoridad de gobierno:
Aprueba el Estatuto general de la función de auditoría

interna.
Aprueba la evaluación de riesgos de auditoría interna y el

plan de auditoría relacionado.
Recibe comunicaciones de parte del DEA sobre los

resultados de las actividades de auditoría interna u otros
asuntos que considere necesarios e incluso mantiene
reuniones privadas con el DEA sin la presencia de la
dirección.
Aprueba todas las decisiones referidas a la designación o

destitución del DEA.
Aprueba la retribución anual y los ajustes salariales del

DEA.
Realiza las averiguaciones necesarias con la dirección y el

DEA para determinar si hay limitaciones al alcance o de
presupuesto que impidan a auditoría interna cumplir con sus
responsabilidades.
• Reporte Administrativo – El reporte administrativo es la relación dentro

de la estructura gerencial de la organización que facilita las

operaciones del día a día de la función de auditoría interna. El reporte

administrativo comprende, típicamente, lo siguiente:
Presupuesto y gestión contable.
Administración de recursos humanos, incluyendo las

evaluaciones del personal y sus retribuciones.
Comunicaciones internas y flujos de información.
Administración de las políticas y procedimientos de la

organización.
2.º Este Consejo para la Práctica se centra en las consideraciones para

establecer o evaluar las líneas de reporte del DEA. Mantener adecuadas
líneas de reporte es decisivo para lograr independencia, objetividad y la
estatura organizacional que necesita una función de auditoría interna para
cumplir con sus obligaciones. Además, es decisivo para asegurar un
apropiado flujo de información y el acceso a ejecutivos y gerentes clave, que
serán la base para la evaluación de riesgos y para informar los resultados de
las actividades de auditoría. A la inversa, cualquier relación de reporte que
impida la independencia y la eficacia de las operaciones de auditoría interna
deben ser consideradas por parte del DEA como una seria limitación al
alcance, que debería ser llevada a la atención del comité de auditoría o su
equivalente.
3. Este Consejo para la Práctica también reconoce que las líneas de reporte
del DEA reciben el impacto de la naturaleza de la organización (ya sea
pública o privada, así como su tamaño relativo); de las prácticas comunes en
cada país; del grado de complejidad creciente de las organizaciones (joint
ventures, corporaciones multinacionales con subsidiarias); y de la tendencia
de los grupos de auditoría interna a proporcionar servicios de valor agregado
con una mayor colaboración de sus clientes sobre las prioridades y alcance.
En consecuencia, si bien el IIA considera que existe una estructura de reporte
ideal, que es la del reporte funcional al Comité de Auditoría y el reporte
administrativo al Director General (chief executive officer – CEO), puede
haber otro tipo de relaciones eficaces en tanto existan claras distinciones
entre las líneas de reporte funcional y administrativo y apropiadas
actividades en cada línea, de modo de asegurar que se mantengan la
independencia y el alcance de las actividades. Los auditores internos deberán
ejercer su criterio profesional para determinar el grado de aplicación de la
guía proporcionada por este Consejo en cada situación en particular.
4º. Las Normas acentúan la importancia de que el director ejecutivo de

auditoría reporte a una persona con suficiente autoridad como para promover
la independencia y asegurar una amplia cobertura de auditoría. Las Normas
son, en cierto sentido, deliberadamente genéricas respecto de las relaciones
de reporte, dado que han sido diseñadas para ser aplicables a todas las

organizaciones sin importar su tamaño u otro tipo de factores Los factores

que no permiten tener una fórmula única para todos los casos comprenden el
tamaño de la organización y su tipo (privado, gubernamental, corporativo).
En consecuencia, el DEA debe tener en cuenta los siguientes atributos al
evaluar la adecuación de la línea de reporte administrativo:
• ¿Tiene la persona la suficiente autoridad y rango jerárquico para

asegurar la eficacia de la función?
• ¿Tiene la persona una mentalidad de control y gobierno apropiada para

asistir al DEA en su función?
• ¿Tiene la persona tiempo e interés de apoyar activamente al DEA en los

asuntos de auditoría?
• ¿La persona entiende y apoya la relación de reporte funcional?
5. El DEA debe asegurar también que se mantenga una adecuada

independencia en caso de que la persona responsable de la línea de reporte
administrativo sea también responsable de otras actividades en la
organización que sean objeto de auditoría interna. Por ejemplo, algunos
directores ejecutivos de auditoría reportan administrativamente al Director
Financiero (chief financial officer – CFO), quien es el responsable de las
funciones contables de la organización. La función de auditoría interna debe
tener la libertad de auditar e informar sobre cualquier tipo de actividades,
aunque reporten a su cabeza administrativa, si así lo considera para
mantener la cobertura adecuada de su plan de auditoría. Cualquier limitación
al alcance o a la información de resultados de este tipo de actividades debe
ser llevada a la atención del comité de auditoría.
6. Ante los recientes cambios tendientes a una legislación y regulaciones más

estrictas en cuanto a la información contable que se están llevando a cabo en
todo el mundo, las líneas de reporte del DEA deben ser apropiadas para
permitir a la actividad de auditoría interna cumplir con las necesidades
crecientes del comité de auditoría u otras partes interesadas. Cada vez más,
se le requiere al DEA asumir un rol más significativo en las actividades de
gobierno y gestión de riesgos de la organización. Las líneas de reporte del
DEA deben facilitar la capacidad de la actividad de auditoría interna para
cumplir con estas expectativas.
7. Sin importar cuál sea la relación de reporte que elija la organización, hay
varias acciones clave que pueden ayudar a asegurar que las líneas de reporte
apoyen y permitan la eficacia e independencia de la actividad de auditoría
interna.
• Reporte Funcional:

La línea de reporte funcional debe ir directamente al comité

de auditoría o su equivalente, para asegurar el nivel
adecuado de independencia y comunicación.
El DEA debe reunirse en privado con el comité de auditoría

o su equivalente, sin la presencia de gerentes, para reforzar
la independencia y naturaleza de esta relación de reporte.
El comité de auditoría debe tener la autoridad final para

revisar y aprobar el plan anual de auditoría y cualquier
modificación importante a dicho plan.
En todo momento, el DEA debe tener acceso abierto y directo

al Presidente del comité de auditoría y a sus demás
miembros; o al Presidente del Consejo de Administración o a
todos sus miembros, si es apropiado.
Al menos una vez al año, el comité de auditoría debe revisar

el desempeño del DEA y aprobar su retribución anual y
ajustes salariales.
El Estatuto de la función de auditoría interna debe establecer

claramente tanto las líneas de reporte funcional como
administrativo para esta función, así como las actividades
principales dirigidas hacia cada línea.
• Reporte Administrativo:
La línea de reporte administrativo del DEA debe ser con el

Director General (chief executive officer – CEO) u otro
ejecutivo con suficiente autoridad para dar apoyo al
cumplimiento de sus actividades del día a día. Este apoyo
comprende posicionar a la función de auditoría y al DEA en
la estructura de la organización de modo de proporcionar la
suficiente jerarquía a la función dentro de la organización.
Un reporte demasiado bajo en la organización puede
impactar negativamente en la posición y eficacia de la
función de auditoría interna.
La línea de reporte administrativo no debe tener autoridad

final sobre el alcance o la información de resultados de la
actividad de auditoría interna.
La línea de reporte administrativo debe facilitar las

comunicaciones abiertas y directas con la gerencia ejecutiva
y de línea. El DEA debe poder comunicarse directamente con
cualquier nivel de dirección, incluso con el Director General
(chief executive officer – CEO).

La línea de reporte administrativo debe permitir

comunicaciones y flujo de información adecuados, de modo
tal que el DEA y la función de auditoría interna obtengan un
flujo de información adecuado y oportuno sobre las
actividades, planes e iniciativas de negocio de la
organización.
Los controles y consideraciones presupuestarios impuestos

por la línea de reporte administrativo no deben impedir la
capacidad de la función de auditoría interna para cumplir
con su misión.
8.º Los directores ejecutivos de auditoría también deben tener en cuenta sus
relaciones con otras funciones de control y supervisión (gestión de riesgos,
cumplimiento, seguridad, legal, medioambiental, auditoría externa) y facilitar
la información de asuntos de control y riesgo materiales al comité de
auditoría.
1110.A1 - La actividad de auditoría interna debe estar libre de injerencias al

determinar el alcance de auditoría interna, al desempeñar su trabajo, y al
comunicar sus resultados.
El Consejo para la Práctica 1110.A1-1: Comunicar los Motivos de un

Pedido de información que Interpreta la Norma 1110.A1 de las Normas
para el Ejercicio Profesional de la Auditoría Interna

tener en cuenta las siguientes sugerencias cuando se les requiera comunicar
los motivos de un pedido de información. Esta guía no pretende abarcar todas
las consideraciones que pudieran ser necesarias, sino ser simplemente un
1. En ciertas ocasiones, el auditor interno puede ser consultado por el

cliente de un trabajo de auditoría interna u otros interesados respecto
de porqué un documento que él ha solicitado es relevante para su trabajo.
La decisión de comunicar o no comunicar los motivos por los cuales
ciertos documentos son necesarios durante un trabajo, deberá
determinarse de acuerdo con las circunstancias. La existencia de
irregularidades significativas puede indicar un entorno menos abierto de
lo que normalmente conduciría a un trabajo en colaboración. Sin
embargo, este es un juicio que debe hacer el director ejecutivo de
auditoría a la luz de las circunstancias específicas.
1120 - Objetividad Individual

Los auditores internos deben tener una actitud imparcial, neutral y evitar
conflictos de intereses.
El Consejo para la Práctica 1120-1: Objetividad Individual que interpreta la

Norma 1120 de las Normas para el Ejercicio Profesional de la Auditoría
Interna, establece:

tener en cuenta las siguientes sugerencias al evaluar la objetividad individual.
Esta guía no pretende abarcar todas las consideraciones que pudieran ser
necesarias durante dicha evaluación, sino ser simplemente un conjunto de
temas recomendados para ser tenidos en cuenta. El cumplimiento de este
Consejo para la Práctica es opcional.
1. La objetividad es una actitud mental independiente que deben

mantener los auditores internos en la realización de sus trabajos.
Los auditores internos no deben subordinar su juicio al de otros
sobre temas de auditoría.
2. La objetividad exige que los auditores internos lleven a cabo sus

trabajos con honesta confianza en el producto de su labor y sin
comprometer su calidad. Los auditores internos no han de colocarse
en situaciones donde se sientan incapaces de emitir juicios
profesionales objetivos.
3. La asignación de tareas del personal debe realizarse de forma que se

eviten prejuicios o conflictos de intereses reales o potenciales.
Periódicamente, el director de auditoría interna debe obtener del
personal de auditoría interna información concerniente a conflictos
de intereses y prejuicios potenciales. La asignación de tareas al
personal de auditoría interna debe realizarse de forma rotativa,
siempre y cuando sea posible.
4. Los resultados de la labor de auditoría interna deben revisarse antes

de emitir las comunicaciones correspondientes al trabajo, para
asegurar razonablemente que el trabajo se ha efectuado de manera
objetiva.
No es ético para un auditor interno recibir dinero o regalos de un empleado,

cliente, proveedor o persona relacionada con el negocio. La aceptación de
dinero o de un regalo puede crear la apariencia de que la objetividad del
auditor interno ha sido afectada. La apariencia de que la objetividad ha sido
afectada puede aplicarse a trabajos actuales o futuros conducidos por el
auditor. El estado de los trabajos no debe ser considerado como justificación
para recibir dinero o regalos. Recibir elementos de promoción (tales como
lápices, calendarios, o muestras) que estén a disposición del público en
general y tengan un mínimo valor no deben obstruir los juicios profesionales

del auditor interno. Los auditores internos deben informar el ofrecimiento de

todo dinero o regalos materiales de inmediato a sus supervisores.
1130 - Impedimentos a la Independencia u Objetividad

Si la independencia u objetividad se viese comprometida de hecho o en
apariencia, los detalles del impedimento deben darse a conocer a las partes
correspondientes. La naturaleza de esta comunicación dependerá del
impedimento.
El Consejo para la Práctica 1130-1: Impedimentos a la Independencia u

Objetividad que Interpreta la Norma 1130 de las Normas para el Ejercicio
Profesional de la Auditoría Interna, establece:

tener en cuenta las siguientes sugerencias al evaluar impedimentos a la
independencia u objetividad. Esta guía no pretende abarcar todas las
consideraciones que pudieran ser necesarias durante dicha evaluación, sino
ser simplemente un conjunto de temas recomendados para ser tenidos en
cuenta. El cumplimiento de este Consejo para la Práctica es opcional.
1. Los auditores internos deben informar al director ejecutivo de auditoría

sobre cualquier situación en la que se presenten o puedan,
razonablemente, presentarse conflictos de intereses o prejuicios. El
director ejecutivo de auditoría debe entonces reasignar a tales
auditores.
2. Una limitación en el ámbito de actuación es una restricción puesta

sobre la actividad de auditoría interna le impide cumplir sus planes y
objetivos. Una limitación en el ámbito de actuación puede restringir,
entre otras cosas, las siguientes:
o El ámbito de actuación o alcance definido en el Estatuto.
o El acceso de la actividad de auditoría interna a los registros,

al personal y a los bienes relevantes para la realización de
los trabajos.
o La programación aprobada de los trabajos.
o La ejecución de los procedimientos necesarios para el

trabajo.
o El plan de personal y el presupuesto financiero aprobados.

3. Cualquier limitación en el ámbito de actuación y sus efectos potenciales

deben ser comunicados, preferentemente por escrito, al Consejo, comité
de auditoría u otras autoridades de gobierno apropiadas.
4. El director ejecutivo de auditoría debe evaluar si es apropiado volver a

informar al Consejo, comité de auditoría u otras autoridades de
gobierno apropiadas sobre aquellas limitaciones en el ámbito de
actuación que se hubieran comunicado anteriormente a dichos órganos
y que fueron aceptadas por los mismos. Esto puede ser necesario,
especialmente, cuando ha habido cambios en la organización, Consejo,
alta dirección u otros.
1130.A1 - Los auditores internos deben abstenerse de evaluar operaciones

específicas de las cuales hayan sido previamente responsables. Se presume
que hay impedimento de objetividad si un auditor provee servicios de
aseguramiento para una actividad de la cual el mismo haya tenido
responsabilidades en el año inmediato anterior.
El Consejo para la Práctica 1130.A1-1: Evaluación de Operaciones de las

cuales el Auditor Interno tuvo Responsabilidades Previas que Interpreta la
Norma 1130.A1 de las Normas para el Ejercicio Profesional de la Auditoría
Interna, establece:
Naturaleza de este Consejo para la Práctica:: Los auditores internos deben

tener en cuenta las siguientes sugerencias en caso de que a un auditor se le
asigne evaluar una operación de la cual haya sido previamente responsable.
Esta guía no pretende abarcar todas las consideraciones que pudieran ser
necesarias durante dicha evaluación, sino ser simplemente un conjunto de
temas recomendados para ser tenidos en cuenta. El cumplimiento de este
1. Los auditores internos no deben asumir responsabilidades sobre

operaciones. Si la alta dirección dirige a los auditores internos a
desempeñar tareas que no sean de auditoría, debe entenderse que no las
están desempeñando como auditores internos. Más aún, se entiende que
la objetividad se ve afectada cuando los auditores internos realizan una
revisión de aseguramiento en una actividad en la cual han tenido
autoridad o de la cual han sido responsables durante el año inmediato
anterior. Esta circunstancia debe considerarse al comunicar los
resultados del trabajo de auditoría.
o En caso de que los auditores internos sean dirigidos a desempeñar

tareas que no sean de auditoría interna y que puedan afectar su
objetividad, tales como la preparación de conciliaciones bancarias,
el director ejecutivo de auditoría debe informar a la alta dirección y
al Consejo que esa actividad no es una actividad de auditoría de

aseguramiento; y, en consecuencia, no deberían emitirse

conclusiones de auditoría sobre la misma.
o Además, cuando se asignan responsabilidades operativas a la

actividad de auditoría interna, debe darse especial atención a
asegurar la objetividad en ocasión de realizar un posterior trabajo
de aseguramiento en las áreas operativas relacionadas. Se entiende
que la objetividad está afectada cuando los auditores internos deben
auditar cualquier actividad en la cual han tenido autoridad o de la
cual han sido responsables dentro del año inmediato anterior. Estos
hechos deben ser claramente establecidos al comunicar los
resultados de un trabajo de auditoría relacionado con un área en la
cual un auditor haya tenido responsabilidades operativas.
2. En cualquier caso en que las actividades asignadas impliquen la

presunción de autoridad operativa, la objetividad de la auditoría será
considerada afectada con respecto a dichas actividades.
3. Las personas transferidas a/o utilizadas temporalmente por la actividad

de auditoría interna no deben ser asignadas a auditar aquellas
actividades que realizaron anteriormente, hasta que haya transcurrido
un período razonable de tiempo (al menos un año). Se entiende que
dichas asignaciones afectan a la objetividad y debe tenerse en cuenta
este hecho al supervisar el trabajo y al comunicar los resultados del
mismo.
4. La objetividad del auditor interno no se ve afectada cuando recomienda

normas de control para sistemas o cuando revisa procedimientos antes
de que sean implantados. Se considera que la objetividad del auditor
interno se ve afectada si el auditor diseña, instala, hace proyectos de
procedimientos u opera dichos sistemas.
5. El desempeño ocasional de trabajos que no sean de auditoría por parte

del auditor interno, comunicados claramente en el proceso de informe,
no necesariamente afecta su independencia. Sin embargo, en estos casos
se requerirá especial consideración por parte de la dirección y del
auditor interno para evitar afectar adversamente la objetividad del
auditor interno.
EL Consejo para la Práctica 1130.A1-2 Responsabilidad de Auditoría

Interna en Funciones Distintas de Auditoría que Interpreta la Norma
1130.A1 de las Normas para el Ejercicio Profesional de la Auditoría Interna
Naturaleza de este Consejo para la Práctica: La siguiente guía es ofrecida a

los auditores internos que deban afrontar la aceptación de responsabilidades
por funciones o tareas operativas, distintas de auditoría. La aceptación de
tales responsabilidades puede menoscabar la independencia y objetividad,
por lo cual, de ser posible, deben ser evitadas. Esta guía no pretende abarcar

todas las consideraciones que puedan ser necesarias al evaluar tales

responsabilidades o asignaciones. El cumplimiento de este Consejo para la
1. A algunos auditores internos se les han asignado o han aceptado tareas

distintas de auditoría, debido a diversas razones de negocio que tienen
sentido para la dirección de la organización. Cada vez con más frecuencia se
les solicita a los auditores internos desempeñar funciones y responsabilidades
que pueden afectar su independencia y objetividad. Dada la demanda
creciente de las organizaciones, tanto públicas como privadas, de desarrollar
operaciones más eficientes y eficaces y de hacerlo con menos recursos,
algunas actividades de auditoría interna son dirigidas por la dirección de sus
organizaciones a asumir responsabilidades por operaciones que son objeto de
evaluaciones periódicas de auditoría interna.
2. Cuando la actividad de auditoría interna o el auditor individual es

responsable de una operación que podría ser auditada por el mismo, o bien
cuando la dirección está considerando asignarle dicha responsabilidad, la
independencia y objetividad del auditor interno puede verse afectada. El
auditor interno debe tener en cuenta los siguientes factores al evaluar el
impacto sobre la independencia y objetividad:
• Los requerimientos del Código de Ética y de las Normas para el

Ejercicio Profesional de la Auditoría Interna (las Normas) del IIA;
• Las expectativas de las partes interesadas, que podrían ser los

accionistas, Consejo de Administración, comité de auditoría, dirección,
cuerpos legislativos, entidades públicas, organismos de regulación, y
grupos de interés público;
• Las autorizaciones y restricciones contenidas en el Estatuto de la

actividad de auditoría interna;
• Las declaraciones requeridas por las Normas; y
• La subsiguiente cobertura de auditoría en las actividades o

responsabilidades aceptadas por el auditor interno.
3. Los auditores internos deben tener en cuenta los siguientes factores para
determinar el curso de acción apropiado cuando se les presente la
oportunidad de aceptar la responsabilidad de una función distinta de
auditoría:
A. El Código de Ética y las Normas del IIA requieren que la actividad

de auditoría interna sea independiente y que los auditores internos
sean objetivos en el desempeño de su trabajo.

• De ser posible, los auditores internos deben evitar aceptar

responsabilidades por funciones o tareas distintas de auditoría,
que sean objeto de evaluaciones periódicas por parte de auditoría
interna. Si esto no fuera posible, entonces:
• El impedimento a la independencia y objetividad deben ser

declarados a las partes apropiadas, y la naturaleza de esta
declaración dependerá del impedimento.
• Se presume que hay un impedimento de objetividad si un auditor

provee servicios de aseguramiento para una actividad de la cual el
mismo haya tenido responsabilidades en el año inmediato anterior.
• Si en alguna ocasión la dirección dirige a los auditores internos a

desempeñar tareas distintas de auditoría, se entenderá que los
mismos no están desempeñándose como auditores internos.
B. Las expectativas de las partes interesadas, incluyendo las exigencias

legales o de regulaciones, deben ser evaluadas en relación con el
impedimento potencial.
C. Si el Estatuto de la actividad de auditoría interna contiene

restricciones o limitaciones específicas respecto de la asignación de
funciones distintas de auditoría al auditor interno, dichas restricciones
deben ser declaradas y discutidas con la dirección. Si la dirección
insiste en llevar a cabo tal asignación, el auditor deberá declarar y
discutir este asunto con el Comité de Auditoría o el cuerpo de
gobierno apropiado. Si el Estatuto nada dice al respecto, deberá
tenerse en cuenta la guía establecida en los puntos siguientes. Todos
estos puntos están subordinados a la letra del Estatuto.
D. Evaluación – Los resultados de la evaluación deben ser discutidos con

la dirección, el Comité de Auditoría, y/o las partes interesadas
correspondientes. Deberán tomarse decisiones respecto de diversas
cuestiones, algunas de las cuales afectan a las otras:
• Debe evaluarse la significatividad de la función operativa para la

organización (en términos de ingresos, gastos, reputación e
influencia).
• Debe evaluarse la extensión o duración de la asignación, así como

el alcance de la responsabilidad.
• Debe evaluarse la adecuación de la separación de funciones.
• Debe tenerse en cuenta el impedimento potencial a la objetividad e

independencia o la apariencia de tal impedimento, al informar
resultados de auditoría.

E. Auditoría de la Función y Declaración – Dado que la actividad de

auditoría interna tiene responsabilidades operativas y las operaciones
forman parte del plan de auditoría, hay varios caminos que el auditor
puede seguir.
• La auditoría puede ser desempeñada por una entidad contratada

(un tercero), por los auditores externos, o por la función de
auditoría interna. En los dos primeros casos, el impedimento a la
objetividad está minimizado por la utilización de auditores de
fuera de la organización En el último caso, en cambio, la
objetividad se vería afectada.
• Los auditores individuales que tienen responsabilidades operativas

no deberán participar en la auditoría de esa operación. De ser
posible, los auditores que realicen la evaluación deberían estar
supervisados por aquellos cuya independencia u objetividad no ha
sido afectada, a quienes también deberían informar los resultados
de la evaluación.
• Deben declararse las responsabilidades operativas del auditor en

esta función, la significatividad de la operación para la
organización (en términos de ingresos, gastos, u otra información
pertinente) y la relación de aquellos que auditen la función con el
auditor
.
• La declaración de las responsabilidades operativas del auditor
debe efectuarse en el informe de auditoría relacionado y en la
comunicación normal del auditor con el Comité de Auditoría u
otro cuerpo de gobierno.
1130.A2 - Los trabajos de aseguramiento para funciones por las cuales el

director ejecutivo de auditoría tiene responsabilidades deben ser
supervisadas por alguien fuera de la actividad de auditoría interna.
En lo que respecta a las tareas de Consultaría las Normas establecen lo siguiente:

Impedimentos a la Independencia u Objetividad
1130.C1 - Los auditores internos pueden proporcionar servicios de
consultoría relacionados a operaciones de las cuales hayan sido
previamente responsables.
1130.C2 - Si los auditores internos tuvieran impedimentos potenciales a la

independencia u objetividad relacionados con servicios de consultoría que
les hayan sido propuestos, deberá declararse esta situación al cliente antes
de aceptar el trabajo.

Tal como lo establecen los estándares del IIA los auditores internos deben ser
independientes de las actividades que auditen, por lo tanto existen dos elementos básicos
para alcanzar la independencia que son:
□ Libertad de juicio
□ Objetividad
Asimismo, el Código de Ética en su parte referida a los principio del auditor interno
establece que los auditores internos deben exhibir el más alto nivel de objetividad
profesional al reunir, evaluar y comunicar información sobre la actividad o proceso a ser
examinado. Los auditores internos deben hacer sus juicios sin dejarse influir indebidamente
por sus propios intereses o por otras personas.
El mismo Código, haciendo referencia a las reglas de conducta que debe cumplir el auditor
interno establece que:
1. No participaran de actividades o relaciones que puedan perjudicar o que

aparentemente puedan perjudicar su evaluación imparcial. Esta participación
incluye aquellas actividades o relaciones que puedan estar en conflicto con los
intereses de la organización.
2. No aceptaran nada que pueda perjudicar o que aparentemente pueda perjudicar su

juicio profesional.
3. Divulgaran todos los hechos materiales que conozcan y que, de no ser divulgados
puedan distorsionar el informe de las actividades sometidas s revisión.
A mí entender, y a forma de resumen creo que donde mejor se encuentra expresado que se
debe entender por objetividad es en el Glosario, donde se establece:
“Objetividad - Es una actitud mental independiente, que exige que los

auditores internos lleven a cabo sus trabajos con honesta confianza en el
producto de su labor y sin comprometer de manera significativa su calidad. La
objetividad requiere que los auditores internos no subordinen su juicio al de
otros sobre temas de auditoría”.

3.Determinar si los conocimientos, habilidades y competencias requeridas

están disponibles.
4.Desarrollar y/o procurar el conocimiento, habilidades y competencias

requeridas para la actividad.
En lo que respecta a determinar si la Auditoría Interna cuenta tanto en su conjunto como en

forma individual para cada uno de sus auditores nos debemos remitir al siguiente estándar:
1200 - Pericia y Debido Cuidado Profesional
Los trabajos deben cumplirse con pericia y con el debido cuidado profesional.
El Consejo para la Práctica 1200-1: Pericia y Debido Cuidado Profesional que

interpreta la Norma 1200 de las Normas para el Ejercicio Profesional de la
Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en
cuenta las siguientes sugerencias al desempeñar sus trabajos. Esta guía no
pretende abarcar todas las consideraciones que pudieran ser necesarias, sino ser
simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El
cumplimiento de este Consejo para la Práctica es opcional.
1. La aptitud profesional es responsabilidad del director ejecutivo de auditoría y

de cada auditor interno. El director ejecutivo de auditoría debe asegurar que
las personas asignadas a cada trabajo posean, en conjunto, los
conocimientos, técnicas y otras competencias para desempeñar el trabajo
adecuadamente.
2. Los auditores internos deben cumplir con las normas profesionales de

conducta. El Código de Ética de The Institute of Internal Auditors abarca
mucho más que la definición de auditoría interna, llegando a incluir dos
componentes esenciales:
3. Principios que son relevantes para la profesión y práctica de la auditoría

interna. Específicamente, integridad, objetividad, confidencialidad y
competencia; y;
4. Reglas de Conducta que describen las normas de comportamiento que se

espera sean observadas por los auditores internos. Estas reglas son una
ayuda para interpretar la aplicación práctica de los Principios. Su intención
es guiar la conducta ética de los auditores internos.
1210 - Pericia

Los auditores internos deben reunir los conocimientos, las aptitudes y otras
competencias necesarias para cumplir con sus responsabilidades
individuales. La actividad de auditoría interna, colectivamente, debe reunir
u obtener los conocimientos, las aptitudes y otras competencias necesarias
para cumplir con sus responsabilidades
El Consejo para la Práctica 1210-1: Pericia que Interpreta la Norma 1210

de las Normas para el Ejercicio Profesional de la Auditoría Interna,
establece:

tener en cuenta las siguientes sugerencias al evaluar la pericia. Esta guía no
pretende abarcar todas las consideraciones que pudieran ser necesarias
durante dicha evaluación, sino ser simplemente un conjunto de temas
recomendados para ser tenidos en cuenta. El cumplimiento de este Consejo
para la Práctica es opcional.
1. Todo auditor interno debe poseer ciertos conocimientos, técnicas y otras

competencias, tales como:
o Aptitud para la aplicación de las normas, procedimientos y técnicas de

auditoría interna al desempeñar sus trabajos. Se entiende por aptitud,
la habilidad para aplicar el conocimiento a situaciones que se puedan
producir y a gestionarlas sin recurrir a extensas investigaciones
técnicas y asistencia.
o Pericia en los principios y técnicas contables para aquellos auditores

que trabajen regularmente con registros e informes financieros.
o Comprensión de los principios de dirección, para reconocer y evaluar

la materialidad y significatividad de las desviaciones de las prácticas
empresariales correctas. Esta comprensión significa la habilidad para
aplicar amplios conocimientos a situaciones que puedan presentarse,
para reconocer las desviaciones significativas, y poder llevar a cabo
las investigaciones necesarias para llegar a soluciones razonables.
o Se requiere una apreciación de los fundamentos de materias tales

como contabilidad, economía, derecho mercantil, tributación,
finanzas, métodos cuantitativos, y tecnología informática. Esta
apreciación significa la habilidad para reconocer la existencia de
problemas reales o potenciales y para determinar la investigación
posterior a realizar o la asistencia a obtener.
2. Los auditores internos deben poseer cualidades para tratar con las
personas y comunicarse de forma eficaz. Los auditores internos deben
comprender las relaciones humanas y mantener relaciones satisfactorias
con los clientes de sus trabajos.

3. Los auditores internos deben poseer capacidades para comunicarse de

forma oral y por escrito, de modo que puedan transmitir eficazmente
cuestiones tales como los objetivos, las evaluaciones, las conclusiones y
las recomendaciones de sus trabajos.
4. El director ejecutivo de auditoría debe establecer los criterios apropiados

de educación y experiencia para cubrir los puestos de auditoría interna,
teniendo en cuenta el alcance del trabajo y el nivel de responsabilidad.
Debe obtenerse una seguridad razonable de las cualidades y aptitudes de
cada candidato.
5. El personal de auditoría interna, en conjunto, debe poseer los

conocimientos y las técnicas imprescindibles para la práctica de la
profesión dentro de la organización.
1210.A1 - El director ejecutivo de auditoría debe obtener asesoramiento

competente y asistencia si el personal de auditoría interna carece de los
conocimientos, las aptitudes y/u otras competencias necesarias para llevar a
cabo la totalidad o parte del trabajo.
El Consejo para la Práctica 1210.A1-1: Obtención de Servicios para Apoyar

o Complementar la Actividad de Auditoría Interna que Interpreta la Norma
1210.A1 de las Normas para el Ejercicio Profesional de la Auditoría
Interna, establece:

tener en cuenta las siguientes sugerencias en caso de considerar el adquirir
servicios adicionales que apoyen la actividad de auditoría interna. Esta guía
no pretende abarcar todas las consideraciones que pueden ser necesarias,
sino ser simplemente un conjunto de temas recomendados para ser tenidos en
cuenta. El cumplimiento de este Consejo para la Práctica es opcional.
1. La actividad de auditoría interna debe disponer de empleados o utilizar

proveedores de servicios externos que estén cualificados, en disciplinas
tales como: contabilidad, auditoría, economía, finanzas, estadística,
tecnología informática, ingeniería, tributación, derecho, medio ambiente,
y demás áreas según sea necesario para cumplir sus responsabilidades.
Sin embargo, cada integrante de la actividad de auditoría interna no
necesita estar cualificado en la totalidad de estas disciplinas.
2. Un proveedor de servicios externos es una persona o empresa,

independiente de la organización, que tiene conocimiento, técnica y
experiencia especiales en una disciplina en particular. Entre los
proveedores de servicios externos se incluyen, entre otros, los siguientes:
actuarios, contables, tasadores, expertos en medio ambiente,
investigadores de fraudes, abogados ingenieros, geólogos, expertos en
seguridad, estadísticos, expertos en tecnología informática, los auditores
externos de la organización, y otras organizaciones de auditoría. Un

proveedor de servicios externos puede ser contratado por el Consejo, la

alta dirección o el director ejecutivo de auditoría.
3. Los proveedores de servicios externos pueden ser utilizados por la

actividad de auditoría interna para asuntos relacionados con los
siguientes, entre otros:
o Actividades de auditoría que requieran un conocimiento y técnica

especializados tales como tecnología informática, estadística,
tributación, traducción de idiomas, o para conseguir los objetivos de
la planificación del trabajo.
.
o Tasación de activos tales como tierras y edificios, obras de arte,
piedras preciosas, inversiones y complejos instrumentos financieros.
o Determinación de cantidades o condiciones físicas de ciertos bienes

tales como minerales o reservas petroleras.
o Medición de la obra terminada y pendiente de ejecutar para los

trabajos en curso.
o Investigaciones de fraude y seguridad.
o Cálculo de cantidades utilizando métodos especializados tales como el

cálculo actuarial de las obligaciones relativas a las prestaciones
sociales de los empleados.
o Interpretación de requerimientos legales, técnicos y regulatorios.
o Evaluación del programa de aseguramiento de calidad de la actividad

de auditoría interna de conformidad con la Sección 1300 de las
Normas.
o Fusiones y adquisiciones.
4. Cuando el director ejecutivo de auditoría pretenda utilizar y confiar en el

trabajo de un proveedor de servicios externos, debe evaluar la
competencia, independencia y objetividad de dicho proveedor con
respecto al trabajo asignado a realizar. Esta evaluación se debe hacer
también cuando el proveedor de servicios externos es seleccionado por la
alta dirección o el Consejo, y el director ejecutivo de auditoría pretende
utilizar y confiar en el trabajo de aquél. Cuando la selección se efectúe
por otras personas y la evaluación realizada por el director ejecutivo de
auditoría llega a la conclusión de que no se debería utilizar ni confiar en
el trabajo del proveedor de servicios externos, los resultados de dicha
evaluación deben comunicarse a la alta dirección y al Consejo, según
proceda.

5. El director ejecutivo de auditoría debe determinar que el proveedor de

servicios externos posee los necesarios conocimientos, técnicas y demás
competencias para realizar el trabajo. Al evaluar la competencia
profesional, el director ejecutivo de auditoría debe considerar lo
siguiente:
o La certificación profesional, licencia u otro reconocimiento de la

competencia del proveedor de servicios externos en la disciplina
relevante.
o La calidad de asociado a una organización profesional adecuada y la

adhesión a su código de ética, por parte del proveedor de servicios
externos.
o La reputación del proveedor de servicios externos. Esto puede

requerir ponerse en contacto con terceros que estén familiarizados
con el trabajo de aquél.
o La experiencia del proveedor de servicios externos en el tipo de

trabajo que se esté considerando.
o El grado de estudios y la formación recibida por el proveedor de

servicios externos en aquellas disciplinas relacionadas con el trabajo
específico asignado.
o El conocimiento y la experiencia del proveedor de servicios externos

dentro del sector en el que opera la organización.
6. El director ejecutivo de auditoría debe evaluar la relación del proveedor

de servicios externos con la organización y con la actividad de auditoría
interna para asegurar que la independencia y objetividad se mantengan
durante todo el trabajo. Al realizar la evaluación, el director ejecutivo de
auditoría debe determinar que no exista ninguna relación financiera, de
organización o personal que impida al proveedor de servicios externos
emitir juicios y opiniones imparciales y sin prejuicios cuando realiza el
trabajo o informa sobre el mismo.
7. Al evaluar la independencia y objetividad del proveedor de servicios

externos, el director ejecutivo de auditoría debe considerar lo siguiente:
o Los intereses financieros que el proveedor pueda tener en la

organización.
o La asociación personal o profesional que el proveedor pueda tener

con el Consejo, la alta dirección o con otras personas.
o La relación que el proveedor pueda haber tenido con la organización

o con las actividades objeto de revisión.

o La medida en que el proveedor pueda realizar otros servicios

continuos para la organización.
o Los honorarios u otros incentivos que pueda tener el proveedor.
8. En el caso de que el proveedor de servicios externos sea también el

auditor externo de la organización y la naturaleza del trabajo asignado
consista en ampliar los servicios de auditoría, el director ejecutivo de
auditoría debe garantizar que el trabajo realizado no menoscabe la
independencia del auditor externo. La ampliación de los servicios de
auditoría se refiere a aquellos servicios más allá de los requerimientos de
las normas de auditoría generalmente aceptadas por los auditores
externos. Si los auditores externos de la organización actúan o parece que
actúan como miembros de la alta dirección, la administración o como
empleados de la organización, entonces su independencia está afectada.
Además, los auditores externos pueden proporcionar a la organización
otros servicios tales como tributación y consultoría. Sin embargo, la
independencia debe evaluarse con respecto a la gama completa de
servicios prestados a la organización.
9. El director ejecutivo de auditoría debe obtener información suficiente

respecto al alcance del trabajo del proveedor de servicios externos, lo
cual es necesario para garantizar que el alcance del trabajo es adecuado
para los propósitos de la actividad de auditoría interna. Puede ser
conveniente documentar esta y otras cuestiones en una carta o
contrato. El director ejecutivo de auditoría debe revisar con el proveedor
de servicios externos los siguientes puntos:
o Objetivos y alcance del trabajo.
o Temas específicos que esperan cubrirse en las comunicaciones del

trabajo.
o Acceso a los registros, a las personas y a las propiedades físicas

relevantes.
o Información sobre los supuestos y procedimientos a emplear.
o Propiedad y custodia de los papeles de trabajo, si corresponde.
o Confidencialidad y restricciones sobre la información obtenida

durante el trabajo.
10. En aquellos casos en que el proveedor de servicios externos desempeñe

actividades de auditoría interna, el director ejecutivo de auditoría debe

especificar y garantizar que el trabajo cumple con las Normas para el

Ejercicio Profesional de la Auditoría Interna. Al revisar el trabajo de un
proveedor de servicios externos, el director ejecutivo de auditoría debe
evaluar la idoneidad del trabajo realizado. Esta evaluación debe incluir la
estimación de si la información obtenida es suficiente para proporcionar
una base razonable tanto a las conclusiones alcanzadas como a la
resolución de excepciones significativas u otras cuestiones inusuales.
11. Cuando el director ejecutivo de auditoría emite comunicaciones sobre el

trabajo, y se hayan utilizado los servicios de un proveedor de servicios
externos, el director ejecutivo de auditoría puede indicar los servicios
prestados, si lo considera adecuado. El proveedor de servicios externos
debe estar informado y, si corresponde, llegar a un acuerdo con el mismo
antes de incluir dicha referencia en las comunicaciones del trabajo.
1210.A2 - El auditor interno debe tener suficientes conocimientos para

identificar los indicadores de fraude, pero no es de esperar que tenga
conocimientos similares a los de aquellas personas cuya responsabilidad
principal es la detección e investigación del fraude.
1210.A3- Los auditores internos deben tener el conocimiento de la

información clave sobre los riesgos y controles de tecnología y las técnicas
basadas en tecnología para desempeñar su trabajo. Sin embargo,no se
espera que todos los auditores internos tengan la experiencia de un auditor
interno cuya responsabilidad primaria sea la auditoría de tecnología de la
información.
1210.C1 - El director ejecutivo de auditoría no debe aceptar un servicio de

consultoría, o bien debe obtener asesoramiento y ayuda competente, en
caso de que el personal de auditoría carezca de los conocimientos, las
aptitudes y otras competencias necesarias para desempeñar la totalidad o
parte del trabajo.
Según lo establecen los estándares de auditoría en la serie 1200 los trabajos de auditoría
deben cumplir con los requisitos de pericia y debido cuidado profesional.
Cuando nos referimos a los conocimientos, habilidades y competencias requeridos para la

Auditoría interna no nos referimos solo al responsable de la Auditoría Interna, sino que lo
hacemos en un sentido mas amplio abarcando a todo el personal del equipo de auditoría
interna y ala auditoría interna en su conjunto.
La Gerencia de Auditoría Interna deberá contar para ello con un grupo multidisciplinario
(profesionales de distintas carreras de grado) que posea n la habilidad de trabajar en forma
conjunta.
Una de las recientes modificaciones que sufrieron las Normas es la referida a la necesidad
que los auditores posean conocimientos sobre los riesgos y controles que implica el manejo

de la tecnología de la información y de las técnicas de auditoría basadas en la tecnología

que lo ayudarán a realizar en forma más eficiente su trabajo.
Decimos que los profesionales deben poseer ciertas habilidades dado que el trabajo de
auditoría interna requiere:
1. Examinar, analizar y evaluar actividades que desarrollan otras personas, las

cuales por lo general poseen una experiencia y conocimientos sobre tales temas
mayores que los integrantes de auditoría interna.
2. La autoridad que posee la auditoría interna es sólo para llevar a cabo si trabajo y
no para efectuar tareas ejecutivas. (ya nos referimos ampliamente a ese tema en
los puntos A.1. y A.2.)
3. El auditor debe procurar evitar los posibles roces y/o fricciones que se produzcan
como consecuencia de sus tareas.
4. Poseer un adecuado comportamiento, dado que por lo general se encontrara

desarrollando sus actividades en los sectores auditados.
Se ha escrito mucho sobre las cualidades y/o perfil que debe posee el auditor interno, a tal
vez, y a modo de ejemplo, se puedan detallar las características y/o requisitos mencionados
mas comúnmente:
1. Identificación con los objetivos de la organización.
2. Sentido integral de la auditoría interna.
3. Elevado concepto de responsabilidad y disciplina.
4. Discreto y reservado.
5. Uniformidad en su metodología de trabajo, debiendo ser ordenado, metódico y

con capacidad de síntesis.
6. Capacidad para razonar con lógica.
7. Habilidad para el análisis.
8. Objetividad en sus juicios e informes, además de precisión y exactitud en los

detalles.
9. Facilidad de expresión oral y escrita.
10. Iniciativa personal.
11. Aptitud para la crítica constructiva, capaz de utilizar la empatía, es decir de

ponerse en el lugar y/o situación de los auditados.

12. Tacto y cortesía en el trato don otros funcionarios y clientes de la organización.

Tiene que ser dinámico y con cierta simpatía (no un “simpático”).
13. Sentido de puntualidad.
14. Habituado al trato social y con capacidad para relacionarse con naturalidad.
15. Saber escuchar y no solo “oír”.
16. Capacidad para trabajar en equipo.
Además de los estándares debemos tener en cuenta que el Código de Ética en su parte
pertinente a este punto establece las reglas para su integridad, confidencialidad y
competencia. Para lo cual el Auditor interno deberá:
1. Desempeñar su trabajo con honestidad, diligencia y responsabilidad.
2. Respetar las leyes y divulgar lo que corresponda de acuerdo con las leyes y la
profesión.
3. No participar en actividades ilegales o en actos que vayan en detrimento de la

profesión o de la organización.
4. Respetar y contribuir a los objetivos legítimos y éticos de la organización
5. Ser prudente en el uso y protección de la información adquirida en el transcurso

de su trabajo.
6. No utilizar para lucro personal o de alguna manera que fuera contraria a la ley o
en detrimento de los objetivos legítimos y éticos de la organización.
7. Participar sólo en aquellos servicios para los cuales tenga los suficientes
conocimientos, aptitudes y experiencia.
8. Mejorar continuamente sus aptitudes y la efectividad y calidad de sus servicios.
El estándar 1200 y en especial el 1210 se refieren al perfil que debe poseer el auditor
interno. La forma de lograr obtener todos los conocimientos requeridos para el desarrollo
de la auditoría interna es a través de la capacitación y formación, en primer lugar por la
carrera de grado y luego por las certificaciones, postgrados y cursos de capacitación.


1220 - Debido Cuidado Profesional
Los auditores internos deben cumplir su trabajo con el cuidado y la pericia
que se esperan de un auditor interno razonablemente prudente y
competente. El debido cuidado profesional no implica infalibilidad.
El Consejo para la Práctica 1220-1: Debido Cuidado Profesional que

Interpreta la Norma 1220 de las Normas para el Ejercicio Profesional de la

tener en cuenta las siguientes sugerencias al evaluar el debido cuidado
profesional. Esta guía no pretende abarcar todas las consideraciones que
pueden ser necesarias durante dicha evaluación, sino ser simplemente un
1. El debido cuidado profesional exige la aplicación del cuidado y

conocimientos que se esperan de un auditor interno razonablemente
prudente y competente en iguales o similares circunstancias. El cuidado
profesional, por tanto, debe ser el apropiado para las complejidades del
trabajo en ejecución. Al ejercer el debido cuidado profesional, los
auditores internos deben estar alertas a la posibilidad de existencia de
hechos intencionadamente incorrectos, errores y omisiones, ineficiencias,
despilfarros, ineficacias, y conflictos de intereses. También deben estar
alertas a aquellas condiciones y actividades en las que es más probable
que se produzcan irregularidades. Además, deben identificar los controles
inadecuados y recomendar mejoras para promover el cumplimiento de
procedimientos y prácticas aceptables.
2. El debido cuidado implica una prudencia y competencia razonable, no la

infalibilidad ni una actuación extraordinaria. El debido cuidado exige que
el auditor lleve a cabo exámenes y verificaciones hasta un grado
razonable, pero no requiere una revisión detallada de todas las
transacciones. Por ello, el auditor interno no puede ofrecer la seguridad
absoluta de que no existan irregularidades e incumplimientos. Sin
embargo, al emprender un trabajo de auditoría interna, el auditor interno

siempre debe considerar la posible existencia de incumplimientos e

irregularidades significativas.
1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al

considerar:
El alcance necesario para alcanzar los objetivos del trabajo.
La relativa complejidad, materialidad o significatividad de asuntos a

los cuales se aplican procedimientos de aseguramiento.
La adecuación y efectividad de los procesos de gestión de riesgos,

control y gobierno.
La probabilidad de errores materiales, irregularidades o

incumplimientos.
El costo de aseguramiento en relación con los potenciales beneficios.
1220.A2 En el ejercicio del debido cuidado profesional el auditor interno

debe considerar el uso de las herramientas asistidas por computadora y
otras técnicas de análisis de datos.
1220.A3 - El auditor interno debe estar alerta a los riesgos materiales que
pudieran afectar los objetivos, las operaciones, o los recursos. Sin embargo,
los procedimientos de aseguramiento por sí solos, incluso cuando se llevan a
cabo con el debido cuidado profesional, no garantizan que todos los riesgos
materiales sean identificados.
1220.C1 - El auditor interno debe ejercer el debido cuidado profesional

durante un trabajo de consultoría, teniendo en cuenta lo siguiente:
Las necesidades y expectativas de los clientes, incluyendo la

naturaleza, oportunidad y comunicación de los resultados del
trabajo.
La complejidad relativa y la extensión de la tarea necesaria para

cumplir los objetivos del trabajo.
El costo del trabajo de consultoría en relación con los beneficios

potenciales.
El debido cuidado profesional implica el ejercicio de un juicio profesional cuidadoso y

prudente pero no implica infabilidad.

Se supone que el auditor debe llevar adelante su trabajo con pericia, conocimiento y
profesionalidad adecuadas pero ello no va a traer como consecuencia la infabilidad.
La modificación reciente de las Normas incluyó la necesidad que el auditor tenga
conocimiento sobre las llamadas técnicas de auditoría asistidas por computadora, CATS
(computer assisted tecniques), las cuales serán analizadas con mayor detalle en la parte II
de esta obra.

1230 - Desarrollo Profesional Continuado

Los auditores internos deben perfeccionar sus conocimientos, aptitudes y
otras competencias mediante la capacitación profesional continua.
El Consejo para la Práctica 1230-1: Desarrollo Profesional Continuado que

Interpreta la Norma 1230 de las Normas para el Ejercicio Profesional de la

tener en cuenta las siguientes sugerencias en relación con el desarrollo
profesional continuado. Esta guía no pretende abarcar todas las
consideraciones que pueden ser necesarias durante dicha evaluación, sino ser
simplemente un conjunto de temas recomendados para ser tenidos en cuenta.
1. Los auditores internos son responsables de continuar su formación a fin

de mantener su competencia profesional. Deben mantenerse informados
de las mejoras y de la evolución de las normas, procedimientos y técnicas
de auditoría interna. La formación continua se puede obtener haciéndose
miembro y participando en organizaciones profesionales; mediante la
asistencia a conferencias, seminarios, cursos universitarios y programas
internos de formación, y mediante la participación en proyectos de
investigación.
2. Se alienta a los auditores internos a demostrar su pericia mediante la

obtención de la apropiada certificación profesional, tal como la
designación CIA (Certified Internal Auditor – Auditor Interno Certificado)
y otras designaciones ofrecidas por el Instituto de Auditores Internos.
3. Los auditores internos con certificaciones profesionales deben obtener la

suficiente formación profesional continua para satisfacer los
requerimientos de la certificación profesional que poseen.
4. Se aconseja a los auditores internos que actualmente no posean

certificaciones profesionales apropiadas a seguir un programa de
formación que les ayude a obtener las mismas.
Como ya mencionamos anteriormente la capacitación profesional continua se da a través

de cursos de especialización y de las certificaciones.
Las certificaciones que ofrece el IIA son las siguientes:

1. Certified Internal Auditor (CIA)
2. Certified Control Self-Assessment (CCSA)
3. Certified Government Auditing Professional (CGCP)
4. Certified Financial Services Auditor (CFSA)
Además existen otras certificaciones de interés para los auditores internos que son
otorgadas por otras organizaciones:
1. Certified Information Systems Auditor (CISA)
2. Certified Fraud Examiner (CFE) Asociación de Examinadores de Fraude

Certificados
En relación con los cursos de especialización el Instituto de Auditores Internos de

Argentina (IAIA) posee una amplia gama que abarca temas como: riesgo, gobierno
corporativo, herramientas de auditoría interna, (ver la oferta de cursos que ofrece el
Instituto)
Cabe aclarar que el Instituto se preocupa constantemente de actualizar sus contenidos y de

incorporar nuevos cursos de acuerdo a los avances y necesidades de la profesión.
En materia de auditoría de sistemas, contamos con la capacitación brindada por el ISACA

(Information System Audit Control Association), que además funciona como autoridad en
la profesión de auditoría de los sistemas de información, tema que detallaremos más
ampliamente al final de este capítulo.
Pero además de toda la capacitación profesional que requiere el auditor interno, es

necesaria la capacitación interna que brinda la propia organización, en lo que respecta a los
siguientes aspectos:
□ conocimiento global de la organización y del sector en que se desarrollan las

actividades de auditoría.
□ Teoría y práctica de la auditoría interna y externa
□ Conocimiento sobre redacción de informes, entrevistas y reuniones.
□ Sistema de información e informática como herramienta de trabajo.

7. Promover el aseguramiento de la calidad y la mejora

de la actividad de auditoría interna.
1300 - Programa de Aseguramiento de Calidad y Mejora

El director ejecutivo de auditoría debe desarrollar y mantener un programa de
aseguramiento de calidad y mejora que cubra todos los aspectos de la actividad de
auditoría interna y revise continuamente su efectividad. Este programa incluye
una evaluación periódica interna y externa de la calidad y un monitoreo
continuo.Cada parte del programa debe estar diseñado para ayudar a la actividad
de auditoría interna a añadir valor y a mejorar las operaciones de la organización
y a proporcionar aseguramiento de que la actividad de auditoría interna cumple
con las Normas y el Código de Ética.
1310 - Evaluaciones del Programa de Calidad

La actividad de auditoría interna debe adoptar un proceso para supervisar y
evaluar la efectividad general del programa de calidad. Este proceso debe
incluir tanto evaluaciones internas como externas.
El Consejo para la Práctica 1310-1: Evaluaciones de Programas de Calidad

que Interpreta de la Norma 1310 de las Normas para el Ejercicio
Profesional de la Auditoría Interna, establece:

tener en cuenta las siguientes sugerencias al implementar o evaluar
programas de calidad dentro de la actividad de auditoría interna. Esta guía
no pretende abarcar todos los procedimientos necesarios en los programas
amplios de calidad o su evaluación, sin ser simplemente un conjunto de
prácticas rrecomendadas de evaluación de calidad. El cumplimiento de este
1. Implementación de programas de calidad – El director ejecutivo de

auditoría (DEA) debe ser responsable de implementar procesos diseñados
para suministrar aseguramiento razonable a los diversos terceros
interesados de la actividad de auditoría interna de que:
o Se desempeña de acuerdo con su estatuto, que debe desarrollarse en

conformidad con las Normas para el Ejercicio Profesional de la
Auditoría Interna y el Código de Ética,
o Opera de una manera eficaz y eficiente y

o Los terceros interesados perciben que agrega valor y mejora las

operaciones de la organización.
Estos procesos deben incluir supervisión apropiada, evaluación interna

periódica y monitoreo continuo del aseguramiento de calidad y
evaluaciones externas periódicas.
2. Supervisión de los programas de calidad – La supervisión debe incluir

mediciones y análisis continuos del desempeño; por ejemplo, tiempo de
ciclo y recomendaciones aceptadas.
3. Evaluación de programas de calidad – Las evaluaciones deben

considerar e indicar la calidad de la actividad de auditoría interna y
contribuir a las recomendaciones para mejoras apropiadas. Las
evaluaciones de los programas de calidad deben considerar:
o Cumplimiento con las Normas y Código de Ética,
o Adecuación del estatuto, de las metas, las políticas y los

procedimientos de la actividad de auditoría interna,
o Contribución a la gestión de riesgos, al gobierno corporativo y a los

procesos de control de la organización,
o Cumplimiento con leyes, reglamentaciones y normas gubernamentales

o de la industria aplicables,
o Eficacia en las actividades de mejora continua y la adopción de

mejores prácticas y
o Si la actividad de auditoría agrega valor y mejora las operaciones de

la organización.
4. Mejora continua – Todos los esfuerzos de mejora en calidad deben incluir

un proceso de comunicación diseñado para facilitar la modificación
apropiada de recursos, tecnología, procesos y procedimientos según lo
indicado en las actividades de supervisión y evaluación.
5. Comunicación de resultados – A fin de cumplir con sus obligaciones, el

DEA debe compartir los resultados de las evaluaciones externas y, si
resulta apropiado, de las evaluaciones internas del programa de calidad,
con los diversos terceros interesados en la actividad, tales como la alta
gerencia, el Consejo y los auditores externos.
1311 - Evaluaciones Internas

Las evaluaciones internas deben incluir:

Revisiones continuas del desempeño de la actividad de auditoría

interna; y
Revisiones periódicas mediante auto evaluación o mediante otras

personas dentro de la organización, con conocimiento de las prácticas
de auditoría interna y de las Normas.
El consejo para la Práctica 1311-1: Evaluaciones Internas que Interpreta la

Norma 1311 de las normas para el Ejercicio Profesional de la Auditoría
Interna, establece:

tener en cuenta estas sugerencias al realizar evaluaciones internas dentro de
la actividad de auditoría interna. Esta guía no pretende representar todos los
procedimientos necesarios para las evaluaciones internas, sino ser
simplemente un conjunto recomendado de prácticas de evaluaciones internas.
1. Revisiones continuas – Las evaluaciones continuas pueden realizarse a

través de:
o La supervisión del trabajo descripto en el Consejo para la Práctica

2340-1: Supervisión del Trabajo,
o Listas de verificación y otros medios para asegurar que se sigan los

procesos adoptados por la actividad de auditoría (por ejemplo, en un
manual de auditoría y procesos),
o Retroalimentación de los clientes de auditoría y otros terceros

interesados,
o Análisis de mediciones del desempeño, (por ejemplo, tiempo de ciclo y

recomendaciones aceptadas) y
o Presupuestos de proyectos, sistemas de control del tiempo, concreción

del plan de auditoría, recuperaciones de costos y otros elementos.
2. Deben desarrollarse conclusiones respecto de la calidad del desempeño

continuo y tomarse acciones de seguimiento a fin de asegurar que se
implementen las mejoras apropiadas
.
3. Revisiones periódicas – Deben diseñarse evaluaciones periódicas para
evaluar el cumplimiento con el estatuto de la actividad, las Normas para
el Ejercicio Profesional de Auditoría Interna, el Código de Ética y la
eficiencia y eficacia de la actividad para satisfacer las necesidades de sus
diversos terceros interesados. El Manual de Evaluación de Calidad del
IAI incluye pautas y herramientas para revisiones internas.

4. Las evaluaciones internas pueden:
o Incluir entrevistas y encuestas profundas de los grupos de terceros

interesados,
o Ser realizadas por miembros de la actividad de auditoría interna

(auto-evaluación),
o Ser realizadas por CIAs u otros profesionales competentes de

auditoría, actualmente designados en cualquier otra parte de la
organización,
o Abarcar una combinación de auto-evaluación y preparación de

materiales subsiguientemente revisados por CIAs u otros profesionales
competentes de auditoría, de cualquier otra parte de la organización e
o Incluir el “benchmarking” de las prácticas de la actividad de

auditoría interna y las mediciones del desempeño en contraposición
con las mejores prácticas pertinentes a la profesión de auditoría
interna.
5. Deben desarrollarse conclusiones respecto de la calidad del desempeño y

la acción apropiada iniciada para lograr mejoras y conformidad con las
Normas, si resulta necesario.
6. El director ejecutivo de auditoría (DEA) debe establecer una estructura

para informar resultados de revisiones periódicas que mantengan la
credibilidad y objetividad apropiadas. En general, aquellos a los que se
les asignó la responsabilidad de conducir revisiones continuas y
periódicas deben informar al DEA mientras realizan las revisiones y
deben comunicar sus resultados directamente al DEA.
7. Comunicación de resultados – El DEA debe compartir los resultados de

las evaluaciones internas y los planes de acción necesarios con las
personas apropiadas que se encuentren fuera de la actividad, tales como
la alta gerencia, el Consejo y los auditores externos.
1312 - Evaluaciones Externas

Deben realizarse evaluaciones externas, tales como revisiones de
aseguramiento de calidad, al menos una vez cada cinco años por un
revisor o equipo de revisión cualificado e independiente, proveniente de
fuera de la organización.
El Consejo para la Práctica 1312-1: Evaluaciones Externas que Interpreta

la Norma 1312 de las Normas para el Ejercicio Profesional de la Auditoría
Interna, establece:


tener en cuenta estas sugerencias cuando planifican y pactan realizar una
evaluación externa. Esta guía no pretende representar todas las
consideraciones necesarias para una evaluación externa, sino ser
simplemente un conjunto recomendado de consideraciones de alto nivel
respecto de la evaluación externa. El cumplimiento de este Consejo para la
1. Consideraciones generales – Las evaluaciones externas de una actividad

de auditoría interna deben valuar y expresar una opinión en cuanto al
cumplimiento de la actividad de auditoría interna con las Normas para el
Ejercicio Profesional de Auditoría Interna y, si resulta apropiado, debe
incluir recomendaciones de mejora. Estas revisiones pueden tener valor
considerable para el director ejecutivo de auditoría (DEA) y otros
miembros de la actividad de auditoría interna. Sólo personas cualificadas
(párrafo 4 a continuación) debe realizar dichas revisiones.
2. Se requiere una evaluación externa dentro de los cinco años siguientes al

1 de enero de 2002. Es sumamente recomendable adoptar lo más pronto
posible la nueva Norma que requiere una evaluación externa. Se estimula
a las organizaciones que tuvieron evaluaciones externas a que realicen su
próxima revisión externa dentro de los cinco años siguientes a la última
efectuada.
3. Al terminar la revisión, debe enviarse una comunicación formal al

Consejo (de acuerdo con la definición del glosario de las Normas) y a la
alta gerencia.
4. Calificaciones de los revisores externos -Los revisores externos,

incluyendo aquellos que validan auto-evaluaciones (párrafo 13 a
continuación), deben ser independientes de la organización y de la
actividad de auditoría interna. El equipo de revisión debe estar formado
por individuos que sean competentes en la práctica profesional de
auditoría interna y en el proceso de evaluación externa. Para ser
considerados candidatos a realizar evaluaciones externas, los individuos
calificados podrían ser revisores de Aseguramiento de Calidad del IIA,
examinadores reguladores, consultores, auditores externos, otros
profesionales proveedores de servicios y auditores internos que se
encuentren fuera de la organización.
5. Independencia – La organización que está realizando la evaluación

externa, los miembros del equipo de revisión y otros individuos que
participen en la evaluación deben encontrarse libres de obligación o
interés respecto de la organización que se halle sujeta a la revisión o de
su personal. Los individuos que estén en otro departamento de esa
organización, aunque estén orgánicamente separados de la actividad de
auditoría interna, no se consideran independientes para realizar una
evaluación externa.

6. Los acuerdos de revisiones recíprocas entre colegas de tres o más

organizaciones pueden estructurarse de manera que se minimicen las
preocupaciones por cuestiones de independencia. En general, no deben
llevarse a cabo las revisiones recíprocas entre colegas de dos
organizaciones.
7. Las evaluaciones externas deben ser realizadas por individuos

cualificados que sean independientes de la organización y que no tengan
conflictos de intereses reales o aparentes. Ser “independientes de la
organización” significa que no formen parte ni estén bajo el control de la
organización a la cual pertenece la actividad de auditoría interna. Al
seleccionar al revisor externo, debe considerarse el conflicto de intereses
real o aparente que el revisor pueda tener debido a relaciones presentes o
pasadas con la organización o su actividad de auditoría interna.
8. Integridad y objetividad – La integridad requiere que el equipo de

revisión sea honesto y franco dentro de los límites de la confidencialidad.
El servicio y la confianza pública no deben encontrarse subordinados a la
ganancia y ventaja personal. La objetividad es un estado mental y una
cualidad que da valor a los servicios de un equipo de revisión. El
principio de la objetividad impone la obligación de ser imparcial, ser
intelectualmente honesto y estar libre de conflictos de intereses.
9. Competencia – El desempeño y la comunicación de resultados de una

evaluación externa requiere del ejercicio del juicio profesional. Por
consiguiente, un individuo que se desempeña como revisor debe tener en
cuenta lo siguiente:
o Ser auditor profesional certificado competente, por ejemplo, CIA,

CPA, CA o CISA, que posea conocimiento actualizado de las
Normas,
o Encontrarse bien familiarizado con las mejores prácticas de la

profesión y
o Tener al menos tres años de experiencia reciente en la práctica de

auditoría interna a nivel gerencial.
10. El equipo de revisión debe incluir a miembros con pericia en tecnología

de información y experiencia pertinente en la industria. Los individuos
con pericia en otras áreas especializadas pueden ayudar al equipo externo
de revisión. Por ejemplo, los especialistas en muestreo estadístico o
expertos en auto-evaluaciones de control pueden participar en ciertos
segmentos de la revisión.

11. Aprobación de la gerencia y del Consejo – El DEA debe hacer que la alta
gerencia y el Consejo participen en el proceso de selección de un revisor
externo y obtener su aprobación.
12. Alcance de las evaluaciones externas – La evaluación externa debe

consistir en una cobertura de amplio alcance que incluya los siguientes
elementos de la actividad de auditoría interna:
o Cumplimiento con las Normas, el Código de Ética del IIA y el estatuto,

los planes, políticas, procedimientos, prácticas y requerimientos
legislativos y reguladores aplicables de la actividad de auditoría
interna,
o Las expectativas de la actividad de auditoría interna expresadas por el

Consejo, la gerencia ejecutiva y los gerentes operativos,
o La integración de la actividad de auditoría interna en el proceso del

gobierno corporativo de la organización, incluyendo las relaciones de
servicio entre los grupos clave que participan en ese proceso,
o Las herramientas y técnicas empleadas por la actividad de auditoría

interna,
o La mezcla de conocimiento, experiencia y disciplinas dentro del

personal, incluyendo el enfoque del personal en la mejora en los
procesos y
o La determinación de considerar si la actividad de auditoría agrega

valor y mejora las operaciones de la organización.
13. Auto-evaluación con validación independiente – Un proceso alternativo

es que el DEA opte por una auto-evaluación con validación externa
independiente que muestre las siguientes características:
o Un proceso amplio y totalmente documentado de auto-evaluación.
o Una validación independiente en las oficinas del cliente realizada por

un revisor calificado (párrafo 4 anterior).
o Requerimientos económicos de tiempo y recursos.
14. Un equipo bajo la dirección del DEA debe realizar el proceso de auto-
evaluación. El Manual de Evaluación de Calidad del IIA contiene un
ejemplo del proceso, incluyendo las pautas y herramientas para la auto-
evaluación. Un revisor independiente cualificado debe realizar pruebas
limitadas de la auto-evaluación para validar los resultados y expresar una
opinión sobre el nivel indicado de la conformidad de la actividad con las
Normas.

15. La comunicación de los resultados de la auto-evaluación debe seguir el

proceso presentado posteriormente (párrafo 17).
16. Aunque con una revisión externa completa se logre obtener el beneficio
máximo para la actividad y dicha revisión deba incluirse en su programa
de calidad, la auto-evaluación con validación independiente suministra un
medio alternativo para cumplir con esta Norma 1312.
17. Comunicación de resultados – Los resultados preliminares de la revisión

deben considerarse con el DEA durante y al concluir el proceso de
evaluación. Los resultados finales deben comunicarse al DEA o a otra
autoridad que haya permitido la revisión de la organización.
18. La comunicación debe incluir lo siguiente:
o Una opinión sobre el cumplimiento de la actividad de auditoría

interna con las Normas que se base en un proceso estructurado de
calificación. El término “cumplimiento” significa que las prácticas de
la actividad de auditoría interna, tomadas como un todo, satisfacen los
requerimientos de las Normas. Asimismo, la falta de “cumplimiento”
significa que el impacto y la gravedad de la deficiencia en las
prácticas de la actividad de auditoría interna son tan significativas
que menoscaban la capacidad de la actividad de auditoría interna
para cumplir con sus responsabilidades. La expresión de una opinión
acerca de los resultados de la evaluación externa requiere la
aplicación de buen juicio para los negocios, integridad y debido
cuidado profesional.
o Una evaluación y determinación del uso de las mejores prácticas,

tanto las observadas durante la evaluación y como las posiblemente
aplicables a la actividad.
o Recomendaciones de mejora, cuando resulten apropiadas.
o Las respuestas del DEA que incluyan un plan de acción y sus fechas
de implementación.
19. El DEA debe comunicar los resultados de la revisión y el plan de acción

necesario a la alta gerencia, si resulta apropiado, y al Consejo.
1320 - Reporte sobre el Programa de Calidad

El director ejecutivo de auditoría debe comunicar los resultados de las
evaluaciones externas al Consejo.
El Consejo para la Práctica 1320-1: Reporte sobre el Programa de Calidad

que Interpreta la Norma 1320 de las Normas para el Ejercicio Profesional
de la Auditoría Interna, establece:


tener en cuenta las siguientes sugerencias en ocasión de reportar sobre el
programa de calidad. Esta guía no pretende abarcar todas las
consideraciones que pueden ser necesarias, sino ser simplemente un conjunto
de temas recomendados para ser tenidos en cuenta. El cumplimiento de este
1. Al finalizar una evaluación externa, el equipo revisor debe emitir un

informe formal que contenga una opinión sobre el cumplimiento por parte
de la actividad de auditoría interna de las Normas, del Estatuto y de otras
normas aplicables, e incluir recomendaciones apropiadas de mejora. El
informe debe ser remitido a la persona u organización que solicitó la
evaluación. El director ejecutivo de auditoría debe preparar un plan de
acción por escrito en respuesta a los comentarios y recomendaciones
significativos contenidos en el informe de evaluación externa, y es
responsable de realizar un seguimiento adecuado del mismo.
2. La evaluación del cumplimiento de las Normas es un componente crítico

de la evaluación externa. El equipo revisor debe conocer las Normas de
modo que pueda evaluar y opinar sobre el cumplimiento por parte de la
actividad de auditoría interna. Sin embargo, según se expresa en el
Consejo para la Práctica 1310-1, hay criterios adicionales que deben
considerarse al evaluar el desempeño de la actividad de auditoría interna.
1330 - Utilización de "Realizado de Acuerdo con las Normas"

Se anima a los auditores internos a informar que sus actividades son
"realizadas de acuerdo con las Normas para el Ejercicio Profesional de la
Auditoría Interna". Sin embargo, los auditores internos podrán utilizar
esta declaración sólo si las evaluaciones del programa de mejoramiento de
calidad demuestran que la actividad de auditoría interna cumple con las
Normas.
El Consejo para la Práctica 1330-1: Utilización de "Realizado de Acuerdo

con las Normas" que Interpreta la Norma 1330 de las Normas para el
Ejercicio Profesional de la Auditoría Interna
tener en cuenta estas sugerencias cuando utilicen la frase "realizado de
acuerdo con las Normas para el Ejercicio Profesional de la Auditoría
Interna". Esta guía no pretende ser totalmente incluyente, sino simplemente
complementar las Normas. El cumplimiento de este Consejo para la
Consideraciones Generales – Las evaluaciones externas e internas de una
actividad de auditoría interna deben realizarse para valuar y expresar una
opinión en cuanto al cumplimiento de la actividad de auditoría interna con las
Normas para el Ejercicio Profesional de Auditoría Interna y, si resulta

apropiado, debe incluir recomendaciones de mejora. Estas revisiones pueden

tener considerable valor para los procesos de gobierno de la organización, el
director ejecutivo de auditoría (DEA) y otros miembros de la actividad de
auditoría interna. Sólo personas cualificadas deben realizar estas revisiones.
Se requiere una evaluación externa dentro de los cinco años siguientes al 1 de

enero de 2002. Es altamente recomendable la pronta adopción de la nueva
Norma que requiere una evaluación externa. Se alienta a que las
organizaciones que tuvieron revisiones externas soliciten su próxima revisión
dentro de los cinco años siguientes a la última realizada.
Uso de la frase de cumplimiento – El uso de la frase de cumplimiento

requiere que se lleven a cabo evaluaciones periódicas del programa de
mejoramiento de calidad y se indique como conclusión que la actividad de
auditoría interna cumple con las Normas. Los casos de falta de
cumplimiento que impacten en el alcance u operación global de la actividad
de auditoría interna, incluyendo el no poder obtener una evaluación externa
antes del 1 de enero de 2007, deben declararse a la alta dirección y al
Consejo.
Cualquier caso significativo de falta de cumplimiento debe ser solucionado

antes de que la actividad de auditoría interna utilice la frase de cumplimiento.
La falta de cumplimiento que haya sido declarada por una evaluación de
calidad (interna o externa) o cubierta por recomendaciones relacionadas
debe ser adecuadamente solucionada y las acciones llevadas a cabo deben ser
documentadas e informadas al evaluador o evaluadores relevantes, así como
a la alta dirección y al Consejo, antes de que la actividad de auditoría interna
utilice la frase de cumplimiento.
1340 - Declaración de Incumplimiento

Si bien la actividad de auditoría interna debe lograr el cumplimiento total
de las Normas y los auditores internos deben lograr el cumplimiento total
del Código de Ética, puede haber instancias en las cuales no se logre el
cumplimiento total. Cuando el incumplimiento afecte el alcance general o
la operatoria de la actividad de auditoría interna, debe declararse esta
situación a la dirección superior y al Consejo.
Como todos sabrán las Normas de Auditoría han sufrido cambios, siendo probablemente la
sección sobre aseguramiento de calidad la que muestre con mayor claridad el nuevo
enfoque de las Normas –realmente muestra el nuevo énfasis para agregar valor. En las
Normas anteriores, no había una Norma sobre aseguramiento de calidad. Había una
sección guía titulada “Aseguramiento de Calidad” dentro de la Norma 500, Administración
del Departamento de Auditoría Interna. Ahora existen siete Normas separados y
obligatorios sobre aseguramiento de calidad y programas de mejoramiento. Siendo estas
las expuestas más arriba e identificadas como serie 1300.
El propósito de estas normas, y del programa de Aseguramiento de Calidad -Quality

Assurance (QA)- mencionado reúnen tres conceptos claves:

1. Evaluar la efectividad de una actividad de Auditoría Interna al proporcionar

servicios de aseguramiento y consultoría a las máximas autoridades de la
organización.
2. Evaluar la conformidad con las Normas y proporcionar una opinión sobre si la

actividad de auditoría interna en general se conforma a todos ellos.
3. Identificar oportunidades, ofrecer recomendaciones para el mejoramiento y

proporcionar asesoramiento al Directorio y al personal para mejorar su desempeño
y servicios y promover la imagen y credibilidad de la función de auditoría interna.
La parte inherente a la tarea de administrar una actividad de Auditoría Interna dentro del
Marco de Aseguramiento de Calidad, incluye los siguientes aspectos:
1. Una declaración de política sobre el control de las actividades de la organización.
2. El estatuto de la actividad de Auditoría Interna, que tiene como génesis la declaración

de política.
3. El ambiente de control de la práctica de auditoría y la influencia del Director Ejecutivo

de Auditoría.
4. La capacidad de la actividad de Auditoría Interna para agregar valor a la empresa.
5. Aseguramiento de que la actividad de Auditoría Interna se enfoca en la administración

del riesgo de la empresa, los procesos de control de gobierno y alinea sus planes de
auditoría a los objetivos de la empresa.
6. Prácticas relevantes de actividades exitosas de auditoría compiladas por el IIA.
El alcance de las tareas de Aseguramiento de Calidad incluye los siguientes elementos clave de
la práctica profesional de auditoría interna:
1. Las expectativas de la actividad expresada por el grupo de vigilancia, la administración

ejecutiva y sus otros “clientes” unidades operacionales y de apoyo de la administración.
2. El ambiente de control de la entidad y el ambiente de la práctica de auditoría del

Directorio.
3. El enfoque en la evaluación del riesgo de la empresa, la evaluación de controles

organizacionales, y la inclusión de aspectos del proceso de gobierno en los planes de
auditoría para asegurar que las actividades de auditoría agregan valor a la empresa.
4. La integración de la auditoría interna en el proceso de gobierno de la organización,

incluyendo las relaciones de subalternos y las comunicaciones entre y con los grupos

clave involucrados en ese proceso y la alineación de planes y objetivos de auditoría con

los objetivos estratégicos de la entidad como un todo.
5. Las Normas, incluyendo las cinco categorías principales del IIA de objetivos del control
interno.
6. La mezcla de conocimiento, experiencia y disciplinas dentro del personal, incluyendo el

enfoque del personal sobre el mejoramiento del proceso y actividades de valor
agregado.
7. Las herramientas y técnicas empleadas por el departamento, con énfasis en el uso de

tecnología.

8. Estándares para la Práctica Profesional de la

Auditoría de Sistemas de Información
Hasta ahora nos hemos referido solo a la normas de auditoría interna pero no debemos de
olvidar que existen otras normas que son y deben ser aplicadas por otros profesionales que
integran los equipos de auditoría, es este caso nos referimos a los auditores de sistemas de
información.
El INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA),

funciona como autoridad de la profesión de Auditoría de los Sistemas de Información que
aborda cuestiones significativas que afectan a los auditores de Sistemas de Información
(SI), y es la única organización dedicada exclusivamente al progreso del auditor de SI y a
su profesión en todo el mundo. Monitorea la legislación, las regulaciones o
pronunciamientos de otras organizaciones profesionales de todo el mundo sobre asuntos
que directa o indirectamente impacten en la práctica de la auditoría de SI.
Las normas para la práctica de la auditoría de sistemas de información incluyen:
□ Código de Ética Profesional
□ Normas de Auditoría de SI
□ Directivas de Auditoría de SI
□ Procedimientos de Auditoría de SI
Los sistemas basados en computadoras son herramientas útiles y omnipresentes que se

aplican en la gestión y operación de muchas organizaciones. Tales sistemas pueden efectuar
el control sobre muchos activos y operaciones de una organización. El desarrollo y respaldo
de estos sistemas puede exigir una porción significativa de todos los recursos de la
organización. Cuando se presentan tales condiciones, la misión del auditor puede incluir
auditar el desarrollo, implementación, mantenimiento y operación de los sistemas.
El trabajo de los auditores, sean externos o internos, se rigen en general por estándares
desarrollados por una cantidad de organizaciones profesionales, cada una de las cuales
busca asegurarse de la calidad del trabajo de auditoría que se realiza.
El carácter especializado de la auditoría de sistemas de información y las habilidades

necesarias para llevar a cabo una auditoría de esta índole requieren normas generales
específicamente aplicables a la auditoría de sistemas de información. Como consecuencia
de ello, uno de los objetivos de ISACA es proponer normas para satisfacer esta necesidad.

La auditoría de sistemas de información se define como cualquier auditoría que cubre la

revisión y evaluación de todos los aspectos (o alguna parte) de sistemas de procesamiento
automatizado de información, incluyendo los procesos relacionados no automatizados, y las
interfaces con ellos.
Los auditores de sistemas de información examinan y evalúan el desarrollo,

implementación, mantenimiento y operación de los componentes de sistemas
automatizados (o tales sistemas como un todo) y sus interfaces con áreas no automatizadas
de las operaciones de la organización. Los objetivos de tales auditorías por lo general son
evaluar el grado en que estos sistemas o componentes de los mismos producen información
confiable y exacta y determinar si tal información está en conformidad con requerimientos
de la gerencia y cualquier disposición normativa aplicable.
Los objetivos de las Normas de Auditoría de Sistemas de Información de ISACA son

informar a:
□ Los auditores de sistemas de información del nivel mínimo de rendimiento

aceptable que se requiere para cumplir con las responsabilidades profesionales
expuestas en el Código de Ética Profesional para auditores de sistemas de
información.
□ La gerencia y otras partes interesadas de las expectativas de los profesionales

respecto de su propio trabajo.
El objetivo de las Directivas de Auditoría de Sistemas de Información es proporcionar

información adicional sobre la manera de cumplir con las Normas de Auditoría de Sistemas
de Información.
Las Normas de Auditoría de Sistemas de Información emitidas por ISACA comprenden:
□ Normas: definen los requisitos obligatorios para la auditoría de sistemas de

información y la presentación de informes.
□ Directivas: brindan una orientación para la correcta aplicación de las normas de

auditoría de SI. El Auditor de SI debe tenerlos en cuenta al determinar cómo
llevar a cabo la implementación de las normas mencionadas, utilizar el juicio
profesional en su aplicación y estar preparado para justificar cualquier
desviación respecto de los mismos.
□ Procedimientos: brindan ejemplos de procedimientos que podría seguir un

auditor de sistemas de información en un contrato de auditoría. Los documentos
contienen procedimientos que proporcionan información sobre la manera de
cumplir con las normas al realizar tareas de auditoría de sistemas de
información, pero no establecen requisitos.
El Código de Ética Profesional de ISACA exige que los miembros de la Asociación y los
titulares de la designación CISA (Auditor Certificado de Sistemas de Información) cumplan
con las Normas de Auditoría de Sistemas de Información adoptadas por ISACA.

El manifiesto incumplimiento de las mismas puede conducir a una investigación de la

conducta del miembro de la Asociación o del titular de la designación CISA por parte del
Consejo Directivo de ISACA o del comité de ISACA que corresponda, con la eventual
ocurrencia de acciones disciplinarias.
Relación entre las Normas de Auditoría de Sistemas de Información y otras Normas de

Auditoría:
Las normas de auditoría de sistemas de información promulgadas por ISACA no

reemplazan a las normas de auditoría o reglamentaciones desarrolladas por otras
organizaciones profesionales o entes gubernamentales. En situaciones en las que se perciba
un conflicto entre las normas de ISACA y los de otro ente, es responsabilidad del auditor
utilizar su juicio profesional, a partir de los hechos específicos de las situaciones, a fin de
resolver la cuestión.

Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Bibliografía consultada:
1. Concepto Moderno de la Auditoría Interna – Eduardo Hevia Vazquez- Instituto de

Auditores Internos e España
2. Normaría - Boletín de la Comisión de Normas y Asuntos Profesionales del Instituto
de Auditores Internos de Argentina.
3. Normas y estándares de Auditoría Interna – IIA
4. Normas de Auditoría ISACA
5. Manual de QAR
©2004 Instituto de Auditores Internos de Argentina 71 - Parte I El rol de la auditoría interna

CAPITULO II.
Establecer un plan basado en el riesgo.
1. Establecer un marco para evaluar el riesgo.

2. Utilizar el marco.
3. Identificar los requerimientos de recursos.
4. Coordinar los esfuerzos de la actividad de auditoría interna.
5. Seleccionar los trabajos.
6. Identificar el alcance de los trabajos.

La planificación basada en el riesgo.
Normas para la práctica relacionadas.
Las normas para la práctica profesional de la auditoría interna establecen que:
Norma 2010:
El director ejecutivo de auditoría debe establecer planes basados en los riesgos a fin de
determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán
ser consistentes con las metas de la organización.
Por su parte la norma 2010.A1 determina que:
El plan de trabajo de la actividad de auditoría interna debe estar basado en una

evaluación de riesgos, realizada al menos anualmente. En este proceso deben tenerse
en cuenta los comentarios de la alta dirección y del Consejo.
La norma 2210.A1 determina que el auditor debe realizar una identificación de los
riesgos relevantes de la actividad bajo revisión y que los objetivos del trabajo deben
reflejar dichos resultados.
Cuando se planifica la auditoría, el auditor interno debe identificar los riesgos
relevantes de la actividad bajo revisión. Los objetivos del trabajo deben reflejar los
resultados de esta evaluación.
El consejo para la práctica relacionado, aclaramos que su cumplimiento no es
obligatorio, dice:
El auditor interno debe considerar la evaluación de riesgos de la administración con
relación a las actividades bajo revisión.
Particularmente se deberá tener en cuenta:
La confiabilidad de la evaluación de riesgos de la administración.
El monitoreo e informe de las cuestiones de riesgo.
Los informes de eventos que hayan excedido el limite acordado para la tolerancia
del riesgo.
El consejo, también indica, la necesidad de revisar antecedentes para determinar el
impacto del trabajo. En particular es necesario, realizar la revisión de:

Objetivos y metas.
Políticas, planes, procedimientos, leyes, regulaciones y contratos que pudieran tener
un impacto significativo en las operaciones y reportes.
Información organizacional acerca del número de empleados, descripciones de
puesto y detalles sobre los cambios recientes en la organización incluidos cambios
de sistemas que fueren significativos.
Información del presupuesto, resultados operacionales y datos financieros de la
actividad bajo revisión.
Resultados de otros trabajos incluido el trabajo de auditores externos.
Papeles de trabajo anteriores.
Este consejo, también recomienda la necesidad de realizar una investigación preliminar

para hacerse familiar con las actividades, riesgos y controles para identificar áreas de
énfasis de trabajo, para invitar a que los clientes realicen sus sugerencias y comentarios,
para que el auditor pueda identificar áreas que merecen un énfasis especial, obtenga
información para su uso posterior en el trabajo y determine la necesidad de la auditoría.
Al final de la entrevista el auditor debe preparar un resumen de los resultados de la
revisión del riesgo, la información de antecedentes y las observaciones que pudieren
haber surgido.
El resumen debería identificar, entre otros:
Temas importantes y las razones para verlos con mayor profundidad.
Información pertinente de todas las fuentes.
Objetivos del trabajo, procedimientos, y enfoques especiales como técnicas
asistidas por computadora.
Estimaciones preliminares de tiempo y recursos.
Cuando sea aplicable los razones para no continuar el trabajo.
Las normas y el consejo para la práctica relacionado, establecen claramente la

necesidad de que el auditor contemple ampliamente las cuestiones de riesgo en la
planificación de la auditoría interna.

Marco para la evaluación de riesgos.

Riesgo. Definiciones.
Se define al riesgo como la “probabilidad de que hechos o acciones impacten
negativamente en la consecución de los objetivos de una organización”.
Se acostumbra medir al riesgo en términos de la probabilidad de ocurrencia y la
gravedad de las consecuencias si ocurren las amenazas que el riesgo involucra.
No pueden evaluarse de la misma forma aquellos riesgos que tienen una alta
probabilidad de ocurrencia que aquellos cuya probabilidad es remota.
De la misma forma no resultan tener la misma gravedad los riesgos que involucren
pérdidas de $1000 que aquellos que representen pérdidas de $1000000.
La gravedad puede establecerse teniendo en cuenta:

Tipo de amenaza.
Duración.
Exposición.
Por tipo de amenaza entendemos la clase de daño si se materializan las amenazas que el
riesgo involucra. En este caso el auditor debe ponderar los potenciales daños que
ocurrirán en la organización en el caso que ocurran los hechos o acciones cuya amenaza
implica el riesgo.
Por duración establecemos el tiempo en que la organización se encuentra expuesta al
riesgo y por exposición el grado o alcance que tiene la amenaza.
Para ejemplificar un poco todo esto podemos decir que dado el mismo tipo de riesgo o
amenaza será mayor la evaluación del riesgo cuanto mayor sea la exposición y la
duración de la amenaza.
Un riesgo que involucre a toda la organización será evaluado con mayor gravedad que
otro cuyo alcance se encuentre restringido a un solo sector de la misma.
Del mismo modo, un riesgo que exponga a la organización durante mayor tiempo será
evaluado con mayor gravedad que otro cuya permanencia en el tiempo o duración fuera
menor.

Características de la evaluación de riesgos.
La evaluación de riesgos, como el control interno son responsabilidades integrales y

continuas de la Dirección.
Se trata de un proceso sistemático para evaluar e integrar juicios profesionales sobre las
condiciones y hechos adversos. El proceso debería ser la base para la planificación de la
auditoría interna. Se deberán asignar mayores prioridades a aquellas áreas que
involucren mayores riesgos.
Las fuentes que el auditor debe integrar son variadas y complejas:
Discusiones con el directorio y distintos miembros de la alta dirección.
Discusiones con el personal de auditoría interna y externa.
Consideración de las leyes y contratos aplicables.
Análisis de los datos operativos y financieros.
Resultados de las anteriores auditorías.
Tendencias de la industria o la economía.
Como vimos los riesgos pueden tener fuentes externas o internas, a continuación
algunos riesgos o barreras que pueden obstruir la obtención de los objetivos:
Una nueva ley o regulación que distrae recursos de las operaciones requeridas para
alcanzar los objetivos.
Un competidor introduce un nuevo producto o servicio que requiere acción
inmediata y crea un nuevo objetivo que disminuye la prioridad de los anteriores
objetivos.
Un cambio tecnológico convierte a uno o más objetivos obsoletos.
Como la lista de objetivos parece sin fin, el propósito de la evaluación de riesgos es dar
sentido, orden y limitación a esta lista. Por otra parte, el número de riesgos no es
estático: cambian continuamente y aparecen nuevos riesgos.
El proceso de evaluación de riesgos debe ser organizado y realizado de una forma
ordenada.
En realidad no solo el auditor debe basar su plan de auditoría en una evaluación de los
riesgos, sino que los propios objetivos de auditoría deben proporcionar a la
administración información para mitigar los riesgos asociados con el cumplimiento de

los objetivos como una evaluación de la efectividad de las actividades de

administración de los riesgos de la Dirección.
La auditoría interna también debería considerar los componentes del plan estratégico de
la organización. El plan estratégico incluye como enfrenta la organización a sus riesgos
y el grado de dificultad para alcanzar los objetivos planeados.
Cambios en la dirección de la administración, objetivos, énfasis y el foco deben reflejar
en actualizaciones al universo de auditoría y al plan relativo de auditoría.
Es aconsejable que el universo de auditoría se evalúe al menos anualmente para reflejar
los cambios en las estrategias y en la dirección de la organización.
Muchas veces, los planes de auditoría pueden necesitar ser actualizados frecuentemente
(cuatrimestralmente) en repuesta a los cambios en el ambiente de la organización.
Los distintos modelos que existen para evaluar la exposición al riesgo deberían
contemplar la gravedad del riesgo y la probabilidad de su ocurrencia.
Para que la dirección entienda el grado de exposición es clave que el auditor identifique
claramente la gravedad y consecuencia de la exposición al riesgo para conseguir los
objetivos.
Por último el citado informe COSO indica, sobre la evaluación de riesgos:
....”El evaluador ha de concentrarse en el proceso por parte de la Dirección de

fijación de objetivos, de análisis de riesgos y gestión de cambios, incluyendo su
vinculación y su relevancia para las actividades del negocio”...
El mismo informe incluye una lista de factores que la persona encargada de la
evaluación debe tener en cuenta:
Objetivos globales.
El grado de claridad e integridad de los objetivos.

La eficacia en el cumplimiento de los objetivos.
La vinculación y coherencia de los objetivos con la estrategia.
La coherencia de los planes de negocio y de los presupuestos con los objetivos de la
entidad y sus planes estratégicos.

Objetivos particulares.
Conexión de los objetivos de cada actividad con los objetivos globales y planes
estratégicos.
La coherencia entre los objetivos de cada actividad.
Relevancia de dichos objetivos para los procesos empresariales importantes.
Idoneidad de los recursos con relación a los objetivos.
Identificación de los objetivos de cada actividad que son importantes o críticos para
el cumplimiento de los objetivos generales.
Participación en la determinación de los objetivos de los empleados que ocupan
puestos de responsabilidad en todos los niveles y grado de compromiso con el
cumplimiento de los mismos.
Riesgos.
Idoneidad de los mecanismos para identificar riesgos externos.

Idoneidad de los mecanismos para identificar riesgos internos.
Identificación de todos los riesgos importantes que puedan impactar en cada
objetivo relevante.
Identificación y relevancia del proceso de análisis de riesgos, la probabilidad de que
se materializen y la determinación de acciones oportunas.
Gestión de cambios.
Existencia de mecanismos para prever, identificar y reaccionar ante los

acontecimientos y actividades que influyen en el cumplimiento de objetivos
globales o específicos.
Existencia de mecanismo para identificar y reaccionar ante los cambios que pueden
afectar a la actividad de una forma más dramática y duradera y que puedan requerir
la intervención de la Alta Dirección.

1. En el establecimiento de un marco para evaluar el riesgo.
El informe COSO1define al control interno como “un proceso realizado por el

directorio, las gerencias y demás personal de la empresa con el objeto de brindar una
razonable seguridad sobre el logro de los objetivos en las siguientes categorías:
Efectividad y eficacia de las operaciones.
Cumplimiento de las leyes y reglamentaciones aplicables.
Confiabilidad de la información financiera.”
El mismo informe establece cinco componentes del control interno.

Estos cinco componentes se encuentran integrados a la función de dirección y son los
siguientes:
Ambiente de control:
Evaluación del riesgo.
Actividades de control.
Información y comunicación.
Monitoreo.
Por ambiente de control entendemos la integridad, los valores éticos y la competencia.

Consiste en el estilo y la filosofía de la dirección, en los métodos de asignar autoridad y
responsabilidad y en la organización y el desarrollo del personal.
El informe COSO define a la evaluación de riesgos como la identificación y el análisis
de los riesgos relevantes para el cumplimiento de los objetivos y la determinación de
cómo los riesgos deben ser administrados.
Las actividades de control son las políticas y procedimientos relacionados con las
aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisión de operaciones,
seguridad de activos y segregación de responsabilidades.
La información debe ser pertinente y debe ser comunicado con el objeto que el
personal pueda llevar adelante sus responsabilidades.
1
Control Interno, Marco Integrado , Comité de Organizaciones patrocinadoras de la Comisión
Treadway.

El monitoreo consiste en el seguimiento del sistema para determinar su adecuado

funcionamiento.
El informe COSO y el marco para la evaluación del riesgo.
El informe COSO, Marco Integrado de control interno, comenta que:
...”Cada organización se enfrenta con riesgos externos e internos que debe evaluar.
Una precondición para la evaluación de riesgos es el establecimiento de objetivos
enlazados en diferentes niveles y consistentes entre sí. La evaluación del riesgo es la
identificación y análisis de los riesgos relevantes para el logro de los objetivos de la
organización, determinando una base para determinar como se deben manejar los
riesgos. En razón que las condiciones económicas, industriales, regulatorias y
operativas seguirán cambiando se debe implementar mecanismos que identifiquen y
traten convenientemente aquellos riesgos asociados al cambio”...
La metodología del informe COSO.
El informe COSO incluye una parte denominada Herramientas de Evaluación. Estas

herramientas no son obligatorias sino que se trata de herramientas ejemplificativas.
Las herramientas de evaluación contienen dos tipos de instrumentos:
Una herramientas de componentes.
Hojas de trabajo de las actividades de control.
La herramienta de componentes detalla los cinco componentes del control interno, que
fueron anteriormente comentados:
Ambiente de control.
Evaluación de riesgos.

Monitoreo.
Esta herramienta está diseñada para evaluar cada uno de los componentes en la
organización. Cada componente se encuentra subdividido en objetivos y a su vez estas
cuestiones están comprendidas por uno o más medios para asegurar su cumplimiento
que son denominados puntos donde centrar las acciones.
Un ejemplo de la herramienta de componentes figura abajo:
Exhibit 8.3
Compromiso de competencia.
La Dirección debe especificar el nivel de competencia necesaria para los puestos y
traducir los niveles deseados de competencia en requisitos de conocimientos y
habilidades.
Descripciones de puesto formales o informales u otros medios para definir
tareas que comprendan los puestos. Por ejemplo considerar si:
La dirección ha analizado, en una base formal o informal, las tareas que
comprenden determinados puestos, considerando factores tales como el alcance
de la autoridad y la supervisión requerida.
Análisis del conocimiento y habilidades necesarias para desempeñar el puesto
en forma adecuada. Por ejemplo considerar si:
La dirección ha determinado una extensión adecuada al conocimiento y
habilidades necesarias para desempeñar un puesto en particular.
Existe evidencia que indique que los empleados aparentan tener los requisitos y
habilidades necesarios.
Cuando el auditor completa la evaluación se ingresan las observaciones.

Un ejemplo del exhibit completo es el siguiente:
En negrita e itálica figuran las observaciones realizadas por el auditor.
Compromiso de competencia.

La Dirección debe especificar el nivel de competencia necesaria para los puestos y

traducir los niveles deseados de competencia en requisitos de conocimientos y
habilidades.
Descripciones de puesto formales o informales u otros medios para definir tareas
que comprendan los puestos. Por ejemplo considerar si:
La dirección ha analizado,
en una base formal o informal, las tareas que comprenden determinados puestos,
considerando factores tales como el alcance de la autoridad y la supervisión
requerida.
La compañía tiene una descripción formal de puestos para todo el personal de
supervisión y para los puestos que involucran sólo algunas tareas específicas y las
responsabilidades de los puestos son claramente comunicadas.
Análisis del conocimiento y habilidades necesarias para desempeñar el puesto

en forma adecuada. Por ejemplo considerar si:
La dirección ha determinado una extensión adecuada al conocimiento y
habilidades necesarias para desempeñar un puesto en particular.
Existe evidencia que indique que los empleados aparentan tener los requisitos y
habilidades necesarios.
Las descripciones de puesto especifican el conocimiento y las habilidades necesarias
tanto en forma general como en términos de la educación, capacitación y decisiones
de promoción.

Por su parte la hoja de actividades de control especifica objetivos, riesgos y controles.

Su contenido abarca:
Objetivos
Categoría de objetivos: que puede ser operacional, financiera o de cumplimiento.
Factores de riesgo: que son los riesgos específicos que pueden impedir el
cumplimiento de los objetivos.
Probabilidad: la probabilidad de ocurrencia de los riesgos que amenazan el
cumplimiento de los objetivos
Actividades de control, que son las actividades de control que pueden prevenir o
detectar la ocurrencia de los riesgos.
Otros objetivos afectados, la referencia cruzada a otros objetivos que pueden verse
afectados por los riesgos o las actividades de control.
Evaluación y conclusión, que es la opinión del auditor interno sobre la efectividad
del control en el manejo del riesgo que amenaza el cumplimiento de los objetivos.
Como ejemplo incluimos este exhibió que figura como modelo:
Objetivos: Todos los materiales recibidos son apropiadamente registrados.

Clase de objetivos: Los objetivos se encuentran divididos en diferentes categorías las
cuales son las siguientes:
Los objetivos operacionales son aquellos relacionados con las operaciones, es decir la
eficacia y la eficiencia con que se desarrollan las operaciones, los objetivos de
rendimiento y rentabilidad y la salvaguarda de recursos contra posibles pérdidas.
Los objetivos financieros se refieren a la preparación de información financiera
confiable y a la prevención de la falsificación de información financiera.
Los objetivos de cumplimiento están relacionados con el cumplimiento de leyes,
normas y reglamentaciones.
Factores de riesgo: que las cantidades realmente recibidas no sean iguales a las
cantidades indicadas en la orden de compra o documento de embarque del proveedor.
Probabilidad: media / baja.

Actividades de control: Las mercaderías recibidas son contadas y pesadas. También se

efectúa un segundo conten sobre una base aleatoria por el supervisor del departamento
de recepción. Las cantidades recibidas de acuerdo al informe de recepción son
conciliadas con la documentación de embarque o la orden de compra. Los defectos de
recepción son anotados en el documento de recepción y se rechaza el material recibido
en exceso y se devuelve al proveedor.
Relación con otros objetivos: Relacionado con el objetivo de producción # 10
(descripto previamente).
Evaluación y conclusión: Los controles son suficientes para asegurar razonablemente
el cumplimiento de los objetivos.
En líneas generales el modelo pasa por:
La identificación del objetivo, lo cual hace que la identificación del riesgo se

facilite.
Al mismo tiempo, la identificación del riesgo hace que pueda establecerse una
probabilidad de ocurrencia en base a la información histórica.
Cuando el riesgo se conoce las actividades de control para prevenir su ocurrencia
también pueden ser identificadas.
La relación con otros objetivos consiste en encontrar los mismo riesgos y/o
actividades de control en otros objetivos.
Por último, se establece una conclusión sobre la eficacia del control.
Una vez terminado el análisis de objetivos, riesgos y controles el programa de auditoría

va a estar dirigido a probar si los controles están funcionando de acuerdo a lo planeado.
En una primera parte se prueba la eficacia del control y en la auditoría se realiza una
prueba de cumplimiento, y la conclusión de la auditoría será una medida de dicho
desempeño. Para que quede más claro, las preguntas que un auditor se haría serían:
Etapa de análisis de los objetivos, riesgos y controles.

1. ¿Cuál es el objetivo?
2. ¿Cuáles son lo/s riesgo/s que amenazan dicho objetivo?
3. ¿Cuál es la probabilidad/es de ocurrencia/s de dicho/s riesgo/s?
4. ¿Cuáles son las actividades de control implementadas para hacer frente a dicho/s
riesgo/s?
5. ¿Es suficiente el control implementado para hacer frente a el/los riesgo/s
identificado/s?
Prueba de cumplimiento de controles.

1. ¿Los controles se encuentran funcionando adecuadamente, es decir de acuerdo a
como fueron diseñados para hacer frente a los riesgos que pretenden controlar?
Utilizando un marco para la planificación basada en el riesgo.
El informe COSO proporciona un marco adecuado para la evaluación de los objetivos,

riesgos y controles.
Por otra parte, una planificación basada en el riesgo significa que el auditor interno
oriente sus esfuerzos de auditoría a aquellas áreas de mayor riesgo para la organización.
Además implica que debe realizar una evaluación de riesgos, al menos en forma anual
con el objeto de medir la exposición al riesgo de la organización.

Modelo para la planificación basada en el riesgo.
IDENTIFICAR ACTIVIDADES
AUDITABLES
DETERMINAR FACTORES DE
RIESGO
PONDERAR LOS FACTORES

DE RIESGO

DETERMINAR UNA ESCALA

PARA LOS FACTORES DE
RIESGO
EVALUAR Y DESARROLLAR
ACTIVIDADES AUDITABLES.
EVALUAR Y DESARROLLAR
PLANES.

Identificación de las actividades auditables.
Por actividad auditable entendemos toda aquella que puede ser definida y evaluada. En
términos prácticos la lista es muy extensa. A modo de ejemplo podemos citar:
Políticas, procedimientos y prácticas.

Centros de costo, beneficios o inversión.
Cuentas del mayor general.
Sistemas de información (manuales y computadorizados)
Contratos y programas.
Unidades organizacionales tales como productos y líneas de servicio.
Funciones tales como procesamiento electrónico de datos, compras, marketing,
producción , finanzas, contabilidad y recursos humanos.
Estados financieros.
Leyes y regulaciones.
El primer paso de la planificación basada en el riesgo consiste precisamente en la

identificación de las actividades auditables de la organización.
La pregunta a la cual el auditor debería responder en primera instancia sería:
¿Qué se quiere auditar?
Factores de riesgo.
Una vez elegida la actividad auditable es necesario conocer los factores de riesgo que
amenezan el cumplimiento de los objetivos.
Los factores de riesgo son según el SIAS 9 2aquellos criterios utilizados para evaluar la
significación relativa y la probabilidad de que eventos o hechos puedan afectar
adversamente la organización. Entre ellos podemos citar:
Clima ético y presión de la administración para alcanzar los objetivos.

Competencia, adecuación e integridad del personal.
Condiciones económicas y financieras.
Condiciones competitivas.
Complejidad y volatilidad de las operaciones.
Impacto de los clientes, proveedores y regulaciones del gobierno.
Grado de computarización de los sistemas de información.
Dispersión geográfica de las operaciones.
Adecuación y eficacia del sistema de control interno.
Cambios económicos, operacionales o tecnológicos.
Juicios y estimaciones contables de la organización.
Aceptación de las observaciones de auditoría y acciones correctivas tomadas.
2
Statement on Internal Auditing Standard, Risk Assesment. Institute of Internal Auditors.

Fecha y resultados de las auditorías previas.
Ponderar los factores de riesgo.
La ponderación de los factores de riesgo implica asignar una calificación a los riesgos:
Muy importante
Importancia promedio.
Baja importancia.
La ponderación puede ser llevada a una escala numérica basada en información cualitativa
o cuantitativa, por ejemplo:
Escala numérica basada en información cualitativa:
1= controles fuertes.
5= controles inadecuados.
Escala numérica basada en información cuantitativa.
1=<$50000
5=>$1000000
Escala numérica basada en el tiempo (desde la última auditoría).
1= reciente.
5= 5 y + años.
Evaluar actividades auditables.
En función de los factores de riesgo se evalúan las actividades auditables y en función de

ello se planifica la auditoría.
El auditor va a tener una lista de actividades auditables con la ponderación razonable y
objetiva de sus riesgos basada en un enfoque racional de evaluación de riesgos.
En función de la evaluación de riesgos que realice y de otros elementos que se tendrán en
cuenta más adelante podrá realizar la planificación de su trabajo basado en el riesgo.

Planificación de la auditoría.
Por planificación entendemos el proceso cuya responsabilidad recae en el Director de

Auditoría Interna que incluye:
a) Las actividades que van a ser auditadas.

b) Cuando serán auditadas.
c) La fecha estimada requerida teniendo en consideración el alcance del trabajo planeado y
el alcance del trabajo desarrollado.
Las cuestiones a ser consideradas en el establecimiento de este presupuesto tendrán en

cuenta entre otros:
Riesgo y pérdida potencial.

Pedidos del management.
Exposición financiera.
Resultados de las últimas auditorías.
Cambios a las operaciones, programas, sistemas y controles.
Cambios en las competencias del personal de auditoría interna.
Oportunidades de alcanzar algún beneficio operativo u ahorro.
El presupuesto debe ser lo suficientemente flexible para cubrir cambios imprevistos o no

anticipados.
La planificación de la auditoría estará relacionada con:
Recursos presupuestarios.
Recursos de personal.
Pedidos de trabajos especiales de auditoría.
Magnitud de las operaciones.
Intención de cubrir distintos aspectos de la organización.
Experiencia del auditor.
En función de todo ello debe elegirse aquellas actividades auditables que proporcionarán un
adecuado balance entre los requerimientos de la organización y las posibilidades de la
auditoría.
Como dijimos antes la planificación basada en el riesgo implica orientar los esfuerzos del
departamento de auditoría interna en tono con los riesgos que implican las actividades que
la organización realiza.

Podemos resumir el plan basado en el riesgo en lo siguientes elementos:
1. Identificar actividades auditables.
2. Evaluar los riesgos que dichas actividades tienen.
3. Determinar un “ranking de riesgos” en las distintas actividades auditables.
4. Planificar la auditoría basada en el riesgo, teniendo en cuenta los recursos de personal y

presupuesto con los que el departamento de auditoría cuenta, la magnitud de las
operaciones y el alcance que se le quiera dar a la auditoría.
5. La planificación de la auditoría basada en el riesgo, implica que a mayor riesgo mayor

alcance y esfuerzo de auditoría.

Sawyer’s Internal Auditing. 4th Edition.
Normas para la Práctica Profesional de la auditoría interna y consejos para la Práctica

relacionados. Instituto de Auditores Internos.

CAPITULO III.
Entendiendo el rol de la actividad de auditoría interna en el

gobierno organizacional.
1. Obtener la aprobación por parte del Consejo de estatuto de Auditoría.
3. Reportar asuntos de auditoría significativos.
4. Comunicar indicadores clave al Consejo en forma regular.
6. Soportar al Consejo en un aseguramiento amplio del riesgo en toda la
organización.
7. Revisar la posición de la función de auditoría interna dentro de la
administración del riesgo de la organización.
8. Monitorear cumplimiento con el código de conducta/y las prácticas del
negocio.
10. Informar eficacia del marco de control
12. Evaluar el cumplimiento de políticas en áreas específicas.
13. Conducir el seguimiento y el informe de las respuestas del Consejo a los
cuerpos de revisión regulatorios.
15. Evaluar la adecuación del sistema de medición de desempeño y el
cumplimiento de los objetivos corporativos.
16. Conducir el seguimiento y el reporte de las respuestas de la dirección a la
auditoría externa
17. -Desarrollar otros roles y responsabilidades de la auditoría interna.
a) Ética y cumplimiento.
b) Administración del riesgo.
c) Privacidad.
d) Seguridad física y de la información.


1. Obtener la aprobación del estatuto por el Consejo.
Definición de Estatuto
El eficaz ejercicio de la auditoría interna requiere que los auditores internos puedan llevar a
cabo su trabajo con independencia, y sin obstáculos para acceder a la información o a las
personas pertinentes. El trabajo no podría llevarse a cabo correctamente si las personas a
entrevistar fuesen inaccesibles, o si el auditor interno se viese inhibido de hacer
observaciones sobre las deficiencias halladas por temor a sufrir represalias. Otra posible
dificultad es que no se le permita al auditor interno consultar documentación o registros de
información confidencial relevante para su trabajo. Pero aún habiendo contactado a las
personas apropiadas y habiendo accedido a la información conveniente, la labor del auditor
interno no sería eficaz si la organización no diera la debida consideración a las
observaciones y recomendaciones resultantes del trabajo, las que son habitualmente
expresadas en el informe de auditoría.
Un medio para otorgarle la necesaria independencia, es hacer que la actividad de auditoría

interna dependa de un nivel jerárquico suficientemente alto dentro de la organización. De
esta forma se evita los responsables de los distintos procesos auditados puedan considerar
que su trabajo está siendo revisado por sus pares o, peor aún, por sus subordinados.
Pero aún dependiendo del nivel jerárquico más elevado, el trabajo del auditor interno se
vería dificultado sin un fuerte y permanente apoyo de la alta dirección. El respaldo de la
alta dirección a la actividad de auditoría interna se instrumenta en el estatuto o charter de
auditoría interna. El estatuto establece el marco y las pautas básicas para el desarrollo de la
labor de auditoría interna dentro de la organización.
El Glosario de las Normas Internacionales para el Ejercicio Profesional de la Auditoría

Interna proporciona la siguiente definición de estatuto:
Estatuto (Charter) – El Estatuto (charter) de la actividad de auditoría interna
es un documento formal escrito que define el objetivo, autoridad y
responsabilidad de la actividad de auditoría interna. El Estatuto debe (a)
establecer la posición de la actividad de auditoría interna dentro de la
organización, (b) autorizar el acceso a los registros, al personal y a los bienes
pertinentes para la ejecución de los trabajos, y (c) definir el ámbito de
actuación de las actividades de auditoría interna.
En esta definición se encuentran los elementos esenciales que debe tener el Estatuto.
− El Estatuto es un documento. Conviene que los elementos que constituyen el

Estatuto estén reunidos en un único texto, que tenga una denominación conocida, y
que se pueda mencionar como referencia cuando sea necesario.

− El Estatuto es un documento formal, que debe ser aprobado por el Consejo para
tener validez. Dicha aprobación constará en el correspondiente libro de actas. El
texto del Estatuto deberá estar incluido en el acta de aprobación, posiblemente como
un anexo.
− El Estatuto es un documento escrito. No tendría la misma eficacia una

manifestación verbal de la alta dirección expresada en los mismos términos
respaldando la actividad de auditoría interna.
− El Estatuto define el objetivo o propósito de la actividad de auditoría interna,

pudiéndose mencionar, por ejemplo, la ayuda para evaluar y mejorar los procesos de
gestión de riesgos, control y gobierno de la organización.
− El Estatuto define la autoridad de la actividad de auditoría interna, debiéndosele

otorgar las atribuciones necesarias para poder desarrollar normalmente su tarea sin
limitaciones.
− El Estatuto define la responsabilidad de la actividad de auditoría interna, donde se

especifican sus principales deberes en términos generales. Entre estos deberes podrá
estar la preparación de un plan de auditoría y su posterior ejecución.
− El Estatuto debe establecer la posición de la actividad de auditoría interna dentro de

la organización. Este punto es crucial para permitir un adecuado desempeño. Se
deberá procurar que la auditoria interna dependa jerárquicamente de un nivel lo
suficientemente alto que le permita llevar a cabo sus tareas sin limitaciones. No
sería razonable que la auditoría interna se viese jerárquicamente subordinada al
responsable directo de los mismos procesos que se deben auditar.
− El Estatuto debe autorizar el acceso a los registros, al personal y a los bienes

pertinentes para la ejecución de los trabajos. Se facilita de esta manera la tarea del
auditor interno, ya que se le otorgan la prerrogativa de entrevistarse con quien sea
necesario y utilizar información confidencial que de otra forma le estaría vedada.
− El Estatuto debe definir el ámbito de actuación de las actividades de auditoría

interna, y se tendría que incluir en dicho ámbito la totalidad de los procesos de la
organización, no limitándose solamente a algunos de ellos, como por ejemplo la
contabilidad y las finanzas.

Normas relacionadas
En las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, dentro

de las Normas sobre Atributos, encontramos tres normas que se refieren al Estatuto:
NORMAS SOBRE ATRIBUTOS

1000 Propósito, Autoridad y Responsabilidad
El propósito, la autoridad y la responsabilidad de la actividad de auditoría
interna deben estar formalmente definidos en un estatuto, de conformidad con
las Normas, y estar aprobados por el Consejo.
1000.A1 La naturaleza de los servicios de aseguramiento proporcionados a la

organización debe estar definida en el estatuto de auditoría. Si los servicios de
aseguramiento fueran proporcionados a terceros ajenos a la organización, la
naturaleza de esos servicios también deberá estar definida en el estatuto.
1000.C1 La naturaleza de los servicios de consultoría debe estar definida en el
estatuto de auditoría.
La norma 1000 señala que debe existir un estatuto formalmente aprobado por el Consejo,
según las características ya mencionadas, y añade que esté en conformidad con las Normas.
Merece destacarse que esta es la primera de las Normas, lo que da una idea de la
importancia que las Normas atribuyen al estatuto.
Las normas de implantación 1000.A1 y 1000.C1 coinciden en indicar que en el estatuto se

debe definir la naturaleza de los servicios dados por la auditoría interna, sean estos de
aseguramiento o de consultoría. En el caso de aseguramiento, la norma es extensiva a
servicios proporcionados por terceros.
Contenido del estatuto
Además de los puntos esenciales ya mencionados, en el estatuto se pueden incluir otros

asuntos, que podrán variar según las necesidades de cada organización, como por ejemplo
los siguientes:
− Atribuciones del Director ejecutivo de auditoría para definir políticas y normas

para la actividad de auditoría interna.
− Responsabilidad de elaborar un plan anual de auditoría y de rendir cuenta sobre
su cumplimiento.
− Responsabilidad de realizar revisiones y evaluaciones sobre control interno, la
gestión de riesgos y gobierno de la organización.
− Responsabilidad de verificar el cumplimiento de leyes y demás normas que
regulan la actividad de la organización.

− Responsabilidad de emitir informes con opinión acerca de los procesos revisados,

incluyendo recomendaciones para mejorar los procesos.
− Responsabilidad y autoridad de la función de auditoría de sistemas
− Autoridad de la auditoría interna para exigir que se dé la debida consideración a
las observaciones y recomendaciones incluidas en los informes de auditoría.
− Participación de los auditores internos en trabajos de consultoría.
− Disponibilidad para realizar trabajos no planificados.
− No participación de la auditoría interna en controles y tareas operativas propias
de la administración de la organización que pudieran menoscabar su
independencia.
− Requisito de capacitación continua para los auditores internos.
− Relación con los auditores externos.
− Responsabilidad por el cumplimiento de normas externas que regulen la
actividad de auditoría interna en la organización
− Papel de la auditoría interna ante situaciones de fraudes o actos ilegales,
comprobados o presuntos.
− Responsabilidad de colaborar con las revisiones externas que se realicen sobre la
actividad de auditoría interna.
− Adhesión de la organización a las Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna.
Declaración de funciones y responsabilidades
En muchas organizaciones existe un manual de organización o algún documento

equivalente en el que se describe la estructura de la organización y se definen el objetivo de
cada departamento junto con sus misiones y funciones, como así también la autoridad y la
responsabilidad de los principales puestos. Cuando se da esta situación, el estatuto de
auditoría interna podrá estar constituido por la parte del documento correspondiente a la
actividad de auditoría interna, más un documento específico para auditoría interna
conteniendo la declaración de funciones y responsabilidades.
Redacción del estatuto
El estatuto es un elemento básico para la actividad de auditoría interna. Al crearse en una

organización un nuevo departamento de auditoría interna, entre las primeras tareas a
realizar estará la redacción del estatuto. Si bien el estatuto deberá ser aprobado por el
Consejo, la redacción del mismo debería ser realizada por un especialista en auditoría
interna que tenga conocimiento de las Normas. Puede ser redactado por el responsable de la
auditoría interna, o bien por alguien bajo su supervisión.
No existe una fórmula única ni una estructura predefinida para redactar el estatuto de
auditoría interna. El mismo debe diseñado según las necesidades específicas de cada
organización. Normalmente no necesita tener una gran extensión.

Por otra parte, una vez redactado y aprobado el estatuto, no necesariamente se deberá
mantener intacto por tiempo indefinido, sino que podrá sufrir cambios a través del tiempo a
medida que varíen las necesidades de la organización. De todos modos, no es de esperar
habitualmente que los cambios al estatuto sean grandes ni que se produzcan con frecuencia.
Es razonable que cada uno o dos años se evalúe la conveniencia de introducir
modificaciones al estatuto.
En el caso de que un nuevo responsable asuma al frente de un departamento de auditoría

interna y descubriera que no existe el estatuto o que el que hay no es apropiado, deberá
ocuparse prioritariamente de la redacción del mismo, para luego procurar su aprobación por
el Consejo. Si no hay un estatuto pero sí hay una definición formal de la estructura de la
organización, incluyendo del objetivo y misión de cada departamento y su dependencia
jerárquica, el primer paso sería verificar que las definiciones para el departamento de
auditoría interna sean apropiadas, y de no ser así procurar su modificación.
Aprobación del estatuto
Durante la preparación del estatuto (o de las modificaciones al mismo) el Director ejecutivo

de auditoría deberá mantener un fluido diálogo con los miembros del Consejo y tener en
cuenta sus sugerencias o expectativas. Sería un error presentar para su aprobación una
propuesta de estatuto cuyo contenido fuese totalmente desconocido para los miembros del
Consejo. La aprobación surgirá luego de una serie de negociaciones y reuniones en las que
se discutirá sobre puntos conflictivos y se aclararán aspectos de más difícil comprensión.
Una vez finalizada la redacción del estatuto, se presentará ante el Consejo solicitando su
aprobación formal. En caso de existir un comité de auditoría, podrá ser este quien apruebe
el estatuto.
Si se produjeran controversias acerca del contenido del estatuto, el Director ejecutivo de

auditoría deberá esforzarse especialmente para lograr que los aspectos esenciales se
resuelvan apropiadamente, pudiendo mostrarse más flexible en otros asuntos. Entre estos
aspectos esenciales se encuentra la definición del propósito, autoridad y responsabilidad de
la actividad de auditoría interna, su ámbito de actuación y posición dentro de la
organización, y la autorización para acceder a registros, personal y bienes.
Comunicación
El Director ejecutivo de auditoría deberá asegurarse de que el estatuto sea conocido en toda
la organización, especialmente por parte del personal directivo a todos los niveles. Para que
resulte manifiesto el respaldo de la alta dirección, se procurará que la comunicación del
estatuto a los responsables de las distintas áreas de la organización provenga del propio
Consejo.
Si durante la realización de un trabajo el auditor interno percibiera reticencia en el personal

del área donde se realiza el trabajo para facilitar el acceso, podrá ser el propio auditor quien

recuerde o dé a conocer el estatuto a su interlocutor, aclarando las dudas que la persona

pudiera tener acerca de la potestad del auditor interno para requerir los elementos
pertinentes para llevar a cabo el trabajo. Asimismo, ante tal situación el Director ejecutivo
de auditoría deberá cerciorarse de que los mecanismos previstos para la comunicación del
estatuto sean suficientes y eficaces.
Generalidades.
El planeamiento constituye la base de la tarea de auditoría interna, sobre la cual se

desarrollará el resto del trabajo.
Sirve a mútliples propósitos, entre ellos podemos citar:
Para interesar y comprometer más al Consejo sobre la actividad de auditoría interna.

Para evaluar el cumplimiento de los objetivos de auditoría..
Para tener bajo control adecuado a la actividad de auditoría interna.
Para informar a terceros interesados (p.ej: auditoría externa) del alcance del trabajo.
La necesidad de un adecuado planeamiento figura en las normas para el ejercicio

profesional de la auditoría interna, las cuales establecen que el planeamiento debe estar
basado en una adecuada evaluación de los riesgos a los cuales se encuentra sometida la
organización.
En el capítulo II vimos como la auditoría interna, debía evaluar, mediante el uso de un

marco adecuado los diferentes riesgos que amenazaban a la organización.
Recordamos que riesgo, es la probabilidad que hechos u acciones impacten negativamente

en el cumplimiento de los objetivos de una organización y se miden de acuerdo a su
gravedad y probabilidad de ocurrencia.
Para poder realizar una evaluación se recurre a los factores de riesgo que son aquellos
criterios que se utilizan para establecer la gravedad y la probabilidad de ocurrencia.
De una oportuna y completa evaluación de los riesgos, debe surgir, un ranking de riesgos
de las diferentes actividades auditables y el auditor deberá programar su actividad de
auditoría interna teniendo cuidado de adjudicar una mayor dedicación a aquellas
actividades que fueron consideradas como de mayor riesgo.
Norma 2010
El director ejecutivo de auditoría interna debe establecer planes basados en los riesgos
para determinar las prioridades de la actividad de auditoría interna consistente con las
metas de la organización.
Planeamiento de los trabajos.
Las normas para el ejercicio profesional de la auditoría interna establecen que al realizar el
planeamiento de su auditoría, los auditores internos deben considerar:
Los objetivos de la actividad y la forma de controlar su desempeño.
Los riesgos significativos, sus objetivos, recursos y operaciones y las maneras de

mantener el riesgo bajo control.
La adecuación y eficacia de la administración del riesgo y control.
Las oportunidades de realizar mejoras significativas en el riesgo y el control.

Como vemos, la consideración de objetivos, riesgos y control está presente en el momento
de planificar el trabajo.
Ejemplo de un plan de auditoría.
Programa de auditoría para el Departamento de Compras.
Objetivo de la actividad: Conseguir precios adecuados para bienes y servicios.
Las letras en mayúsculas entre paréntesis, indican la gravedad del riesgo que va de A a C
(mayor a menor gravedad del riesgo).
Riesgo Controles Pruebas Ref. P/T Comentarios
Que la Revisión Examinar

organización no periódica de los procedimientos
cuente con procedimientos para verificar su
procedimientos de compra. actualización y
escritos de adecuada
compra.(A) aprobación.
Falta de Previsión de Examinar la

adecuada rotación rotación y
rotación de los periódica de los vacaciones de
compradores. compradores. los compradores.
Permitir que se Requerimiento
familiarizen con que todos los
algunos de ellos compradores
y los favorezcan tomen
(B). vacaciones.
Como puede verse la planificación del trabajo se encuentra basada en el riesgo y en función
de ello se enumeran los controles con que la organización cuenta para enfrentarlos.
Orientado hacia los riesgos el auditor interno planifica las actividades que van a
proporcionarle una seguridad razonable sobre el funcionamiento adecuado de los controles
con lo cual los riesgos se encontrarán bajo un nivel aceptable.
Objetivos del trabajo.
Concepto y relación con objetivos operativos.
Los objetivos del trabajo están relacionados con los objetivos operativos de la actividad que
se está auditando.
Los objetivos operativos de la actividad son fijados por la dirección operativa de la
actividad y pueden ser por ejemplo, para la actividad de compras:
“Conseguir las mercaderías en el precio correcto y el momento oportuno para

satisfacer las necesidades de la organización”
“Aceptar solo aquellos productos de los proveedores que alcanzen las especificaciones
y las cantidades ordenadas”
En cambio los procedimientos operativos están diseñados para asegurarse que se cumplan
los objetivos.
El conjunto de procedimientos operativos conforman el programa de trabajo, que según las

normas debe figurar por escrito.
Un ejemplo sería:
“Contar con especificaciones claras para las mercaderías”

“Utilizar métodos estadísticos para determinar las cantidades recibidas”.
“Operaciones de inspección técnica”.
Los objetivos del trabajo se diseñan para asegurarse que los objetivos de la actividad bajo
revisión se están alcanzando.
Los procedimientos de auditoría, por último, son los medios mediante los cuales el auditor
se asegure que el objetivo del trabajo de auditoría se está cumpliendo.
Relación con riesgos, controles y procesos de gobierno.
Las Normas también indican que los objetivos del trabajo deben estar dirigidos a los
riesgos, controles y procesos de gobierno asociados con las actividades bajo revisión.
Como vimos antes, en el ejemplo anterior el objetivo operativo de la división de compras
de la organización era “obtener las mercaderías pagando el precio adecuado y en el
momento adecuado”.
En función de ello se establecen los riesgos que pueden amenazar dicho objetivo operativo
y los controles establecidos para mantenerlo en niveles adecuados.
El objetivo del trabajo de auditoría del ejemplo puede formularse como “asegurarse que el
departamento de compras paga el precio adecuado por sus mercaderías, las recibe en el
momento oportuno y las especificaciones de las mismas están de acuerdo a sus
necesidades”.
En este caso, se tuvo en cuenta el objetivo de la actividad, los riesgos que esta presenta y
los controles que se han establecido para mantenerlos bajo control.
Comunicación y aprobación.
La norma 2020 dice:
“El director ejecutivo de auditoría interna debe comunicar los planes de la actividad de
auditoría interna y los requerimintos de recursos, incluídos los cambios intermedios a la
Alta dirección y al Consejo para su aprobación y revisión.
El director ejecutivo de auditoría interna debe comunicar también el impacto de la
restricción de recursos”.
Los planes de la actividad, deben estar aprobados por el Consejo y es recomendable que
también los sean por el Comité de Auditoría.
Esto es importante porque tanto el Consejo y/o el Comité y el director ejecutivo de
auditoría interna pueden discutir distintas cuestiones en lo referente a:
Si se están cubriendo apropiadamente todas las áreas de actividad.
Si se pueden cubrir otras áreas, que no están siendo cubiertas.
Si es necesario o conveniente modificar el alcance propuesto.
Las dificultades que deberían preverse en el transcurso de los trabajos.
La misma dirección puede manifestar las áreas donde desea que la actividad de
auditoría interna ponga un mayor énfasis.
Además el hecho de aprobar los planes hace que el Consejo y el Comité se involucren más
en la actividad de auditoría interna, con lo cual aumenta el grado de compromiso que
adquieren.
Información, monitoreo y seguimiento.
2060 – Informe al Consejo y a la Dirección Superior
El director ejecutivo de auditoría debe informar periódicamente al Consejo y a la alta

dirección sobre la actividad de auditoría interna en lo referido a propósito, autoridad,
responsabilidad y desempeño de su plan. El informe también debe incluir exposiciones de
riesgo relevantes y cuestiones de control, cuestiones de gobierno corporativo y otras
cuestiones necesarias o requeridas por el Consejo y la alta dirección.
Una vez comunicado el plan de trabajo al Consejo el auditor debe mantenerlo informado
sobre la marcha del mismo.
La información debe abarcar otras cuestiones además de la marcha del plan en sí mismo
como el propósito y la autoridad de la actividad definidos en el Estatuto.
3. Reportar cuestiones significativas.

4. Comunicar indicadores clave al Consejo de forma regular
Concepto.
Una vez que el auditor interno haya llegado a una opinión fundada debe comunicarla, en
general, dicha comunicación se realiza generalmente a través de reportes escritos aunque a
veces puede ser en forma oral.
La comunicación de las observaciones es importante por varios motivos:
Mueve a la acción, es decir al ponerse en evidencia las deficiencias invita a que el

gerente las solucione.
Es una excelente oportunidad para que el auditor pueda demostrar de que forma puede
ayudar a la organización en el cumplimiento de sus objetivos.
Involucra y compromete a la dirección para encontrar una respuesta a los problemas
encontrados.
Si se trata de un reporte escrito, permite dejar evidencia escrita de las observaciones
halladas con el objeto de deslindar responsabilidades.
Normas relacionadas.
Existen una serie de normas que se encuentran relacionadas con la comunicación de los
resultados, entre ellas podemos citar a:
2400 – Comunicación de Resultados

Los auditores internos deben comunicar los resultados del trabajo oportunamente.
Las normas anteriores, hablaban de la necesidad de efectuar reportes escritos, y a veces en

forma orales si se trataba de reportes intermedios.
El nuevo juego de normas para el ejercicio profesional de la auditoría interna se limita a
indicar que el resultado debe comunicarse en forma oportuna.
Por oportuna entendemos que se refiere en el momento adecuado para tomar las medidas
correctivas necesarias.
Obviamente que existirán ocasiones, donde, cuando llega el auditor y descubre el problema
sea tarde para ensayar medidas correctivas.
2410 – Criterios para la Comunicación

Las comunicaciones deben incluir los objetivos y alcance del trabajo así como las
conclusiones correspondientes, las recomendaciones, y los planes de acción.
2410.A1 - La comunicación final de resultados debe incluir, si corresponde,
la opinión general del auditor interno.
2410.A2 – En las comunicaciones del trabajo se debe reconocer cuando se
observa un desempeño satisfactorio.
2410.A3.-En la información de los resultados del trabajo a partes externas

de la organización la comunicación puede incluir limitaciones en la
distribución y el uso de sus resultados.
2410.C1 – Las comunicaciones sobre el progreso y los resultados de los
trabajos de consultoría variarán en forma y contenido dependiendo de la
naturaleza del trabajo y las necesidades del cliente.
La forma de reportar los hallazgos de auditoría incluye:
Las observaciones que, el auditor encontró como resultado de su trabajo.

Las acciones correctivas que se hubieran adoptado para corregirlas.
Los comentarios y la opinión del auditor sobre las actividades auditadas.
Con el objeto de fomentar y resaltar el buen desempeño, las nuevas normas,
recomiendan que el auditor también destaque el comportamiento satisfactorio.
Características de la información.
2420 – Calidad de la Comunicación

Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas,
completas y oportunas.
2421 - Errores y Omisiones
Si una comunicación final contiene un error u omisión significativos, el director
ejecutivo de auditoría debe comunicar la información corregida a todas las

personas que recibieron la comunicación original.
La norma 2420 indica las características que debe tener la información de auditoría, entre
otras, indica que la información debe ser objetiva, clara, concisa, constructiva, completa y
oportuna.
Objetiva.
Las normas indican la necesidad que las comunicaciones sean objetivas, es decir, deben
estar fundadas en evidencia.
Cada hecho que el auditor informe debe estar soportado por evidencia suficiente.
Por “evidencia” entendemos la información que el auditor puede obtener en el transcurso
de su trabajo que proporcione una base objetiva para sus opiniones, conclusiones y
recomendaciones.
Si el auditor indica que “no se cumplen las normas de higiene y seguridad en el depósito de
materiales”, deberá probarlo.
En tal caso, una foto puede ser evidencia suficiente para que el resto de la organización le
crea.
También la frecuencia de accidentes anteriores puede ser una evidencia que se están
vulnerando las normas de seguridad de alguna forma.
Sea como fuere, el adecuado soporte de las observaciones de auditoría refuerza la
credibilidad de la auditoría interna sobre su trabajo.
Precisa
Con relación a la precisión la objetividad implica precisión. A veces las palabras confusas
no son claras y hacen que el lector pueda sentirse confundido.
La expresión del auditor “no todas las ordenes de compra estaban suficientemente
autorizadas” no resulta ser clara y lleva a la confusión.
No se sabe cuanto es “no todas” y si el auditor quiere ser más preciso y claro podría
identificar cuales fueron las ordenes de compra que no contaban con una autorización
apropiada.
La observación anterior sería más clara y precisa si el auditor la hubiera redactado de esta
forma. “ las órdenes de compra abajo detalladas (o en el cuadro anexo al presente informe)
no contaban con la autorización que indican las normas de procedimiento de compras”.
Clara.
Un escrito es claro cuando el sentido puede ser interpretado fácilmente y sin lugar a dobles
interpretaciones.
Esto, como se verá, no es tan fácil de lograr y muchos auditores fallan en este tema y
convierten a sus informes en poco claros.
Para que un auditor pueda transmitir con claridad debe tener en claro sus ideas, es por eso
que antes de sentarse a escribir debe estar seguro de sus conclusiones y luego, si podrá
transmitirlas en forma clara.
Un lenguaje claro sin tecnicismos y con frases entendibles ayuda mucho en la tarea de
hacer los reportes más claros.
Concisa.
Por información concisa entendemos aquella que contiene sólo lo necesario, donde
cualquier lo irrelevante o lo inmaterial fue eliminado.
Esto no implica brevedad o escribir en “estilo telegráfico” sino que implica decir lo que
está relacionado con el tema central y nada más.
Como muchas veces lo que es conciso para un nivel puede tener falta de información para
otro lo común es que se realicen reportes con diferente grado de detalle: un resumen para la
dirección y un reporte más detallado para la dirección operativa.
Constructiva.
El tono constructivo indica que el informe no debe remarcar los errores ni identificar
individuos.
Debe resaltar la necesidad de mejoras pero no debe enfatizar siempre los errores.
Las nuevas normas, cuando indican la necesidad de resaltar el buen comportamiento están
tratando de hacer más constructiva las comunicaciones de auditoría.
Oportuna.
Uno de los fines de la información de auditoría es llamar a la acción, llamar la atención de

la gerencia o los responsables operativos sobre determinados hechos o circunstancias que
están afectando o pueden afectar adversamente el cumplimiento de los objetivos.
Si el reporte de los hechos no es oportuno, pierde eficacia toda la acción posterior de la
auditoría interna.
Puede ocurrir que, mientras se efectúa la auditoría aparezcan signos que pueden indicar la
existencia de un posible fraude: en ese caso es necesario que el auditor lo comunique a la
gerencia y recomiende el inicio de una investigación.
Es evidente que si el auditor demora la comunicación el fraude puede avanzar y eso le haría
perder eficiencia.
También es importante tener en cuenta lo que se llama “tiempo de ciclo” que es el tiempo
que va desde que se planifica la actividad hasta que se informan los resultados.
Una de las mejoras más importantes que puede hacerse a la auditoría es reducir el tiempo
de ciclo con el objetivo de que la información de auditoría sea lo más oportuna posible.
Completa.
Por información completa entendemos aquella que contiene todas los hechos o
circunstancias que describen la situación y que pueden ayudar a que la dirección operativa
o el Consejo tome una mejor acción correctiva.
Cuando el auditor indica una observación debe indicar todas las circunstancias relacionadas
relevantes a ella, de modo que aquel que sea responsable de tomar una decisión pueda
hacerlo con la mejor información disponible.
Si el auditor informa que “no se cumplen los procedimientos de autorización de compras”
pero omite indicar que “el personal operativo no los comprende adecuadamente porque los
mismos no son claros” está informando en forma parcial con lo cual también impide que la
dirección pueda tomar una acción correctiva más eficaz, o sea modificar los procedimientos
para hacerlos más claros y entendibles.
En este caso, como en tantos otros, el auditor deberá ejercer su juicio profesional para
determinar el alcance adecuado de su información: que no debe faltar porque es esencial e
importante y que puede ser eliminado por superfluo.
En definitiva la mejor información es aquella que tiene un adecuado balance entre la
integridad y la concisión o dicho de otro modo: no falta ni sobra nada.
Destinatarios de los reportes.
2440 – Difusión de Resultados

El director ejecutivo de auditoría debe difundir los resultados a las partes apropiadas.
2440.A1 - El director ejecutivo de auditoría es responsable de comunicar los
resultados finales a las partes que puedan asegurar que se dé a los resultados la
debida consideración.
El auditor debe asegurarse que al comunicar el resultado de su trabajo lo esté haciendo al
nivel necesario para que se tomen las medidas correctivas.
No olvidemos que uno de los objetivos de la comunicación de los resultados es atraer la
atención y mover a la acción de la dirección sobre determinados hechos o situaciones.
Si el auditor informa a quien no tiene autoridad para tomar medidas correctivas, es decir
para subsanar o corregir los defectos encontrados, su comunicación perdería toda eficacia.
2440.A2- Si de otra forma no se obligue por requerimientos legales, estatutarios o

regulatorios, antes de suministrar los resultados a partes fuera de la organización , el
director ejecutivo de auditoría interna debe:
Evaluar los riesgos potenciales a la organización.

Consultar, si fuera apropiado, con la dirección o abogados.
Aumentar el control mediante la restricción de los resultados.
La última actualización que sufrieron las normas en enero del 2004 introdujeron la
necesidad que el director ejecutivo de auditoría interna tenga en cuenta los riesgos de
suministrar información confidencial a terceras partes fuera de la organización.
Responsable de la comunicación.
2440.C1 – El director ejecutivo de auditoría es responsable de comunicar los

resultados finales de los trabajos de consultoría a los clientes.
Encarga en el director ejecutivo de auditoría interna, máximo responsable de la
actividad, la responsabilidad de comunicación a los clientes.
Cuestiones de riesgo, control y proceso de gobierno.
2440.C2 – Durante los trabajos de consultoría pueden ser identificadas cuestiones
referidas a gestión de riesgo, control y gobierno. En el caso de que estas cuestiones
sean significativas, deberán ser comunicadas a la dirección superior y al Consejo.
La modificación de las normas, trajo como consecuencia que se preste más atención en las
cuestiones de riesgo, control y proceso de gobierno.
Como vimos en el capítulo II de esta obra, el auditor debe basar todo su planeamiento de
auditoría en una evaluación de riesgos.
Debe identificar los riesgos y los controles asociados que los mitiguen y tomar las pruebas
de cumplimiento necesarias para asegurarse que están funcionando adecuadamente.
Posibilidad de errores u omisiones.
2421 - Errores y Omisiones
Si una comunicación final contiene un error u omisión significativos, el director

ejecutivo de auditoría debe comunicar la información corregida a todas las partes que
recibieron la comunicación original.
La última modificación de las Normas incluye la obligación de comunicar los errores

que se hubieren cometido a todas las personas que recibieron la comunicación original lo
cual es lógico a los fines que todos los interesados manejen la misma información.
No cumplimiento o “non compliance” con las Normas.
2430 – Declaración de Incumplimiento con las Normas
Cuando el incumplimiento con las Normas afecta a una tarea específica, la comunicación
de los resultados debe exponer:
•Las Normas con las cuales no se cumplió totalmente
•Las razones del incumplimiento, y
•El impacto del incumplimiento en la tarea
Uno de los objetivos de las normas de auditoría es servir como referencia sobre la calidad
del trabajo realizado.
Las normas incluyen ciertas pautas y características sobre los atributos y el desempeño
profesional del auditor interno que, si son cumplidas, aseguran que el trabajo de auditoría
interna fue desempeñado satisfactoriamente por lo cual merece la confianza de cualquier
usuario de la información emitida.
Si por alguna razón el auditor se apartó de esas Normas el usuario de la información debe
conocerlo con el objeto que las decisiones que se tomen teniendo en cuenta esa información
no se vea afectada por dicha falta de cumplimiento.
Información periódica al Consejo.
Una vez informados y aprobados los planes de auditoría por el Consejo, la labor de
auditoría no se reduce a realizar el trabajo de campo y emitir sus informes.
Es importante que el Consejo reciba información periódica sobre la marcha de la función de
auditoría y sobre el grado de cumplimiento de sus objetivos para poder realizar un
monitoreo de la función y determinar si está actuando con eficiencia y eficacia en el
cumplimiento de la gestión encomendada.
En cuanto a la periodicidad de esta información, en la mayoría de los casos, la información
al consejo se realiza en forma anual, aunque a veces es usual realizar información
semestralmente.
Indicadores clave de gestión.
Aquellas cuestiones que aparezcan en el transcurso del trabajo y que impliquen alguna
modificación importante al plan trazado, tanto sea en el alcance como en el tiempo previsto
para alcanzar el trabajo, en principio deberían ser informadas al Consejo.
Los auditores internos deben periódicamente llamara la atención del Consejo para informar
los logros tanto monetarios como no monetarios con el fin de demostrar el valor agregado
de la función.
Comparación entre el trabajo previsto y el realizado (diferencia entre las horas
presupuestadas y las horas reales).
El presupuesto de auditoría es la referencia más válida de la cual se dispone para evaluar la

eficiencia.
Los desvíos significativos del presupuesto deben ser convenientemente explicados y
aclarados.
Modificaciones importantes al alcance y al plan previstos.

Si se producen modificaciones significativas al alcance o al plan previstos es recomendable
que el Consejo se encuentre informado al respecto.
Número y diversidad de actividades auditadas.Opinión sobre controles y desempeño.
Particularmente en grandes organizaciones, la auditoría puede afectar varios sectores, por lo
cual la auditoría puede ser muy compleja.
Es útil agregar la información sobre controles y desempeño de las distintas actividades
auditadas.
Ahorros monetarios y recuperos que fueron alcanzados en forma directa por la función
de auditoría.
De todos ellos, la magnitud de ahorros que ha contribuido la auditoría tiene una
importancia fundamental.
Muchas veces, estos ahorros no pueden ser valuados cuantitativamente. En tal caso la
auditoría o el mismo Consejo deberá encontrar alguna manera alternativa para valorizar los
aportes.
Un acuerdo sobre el auditado puede ser útil cuando se trata de eliminación de tareas
improductivas o reasignación de puestos.
Costo de operación del departamento de auditoría.

Debido a que es importante medir la eficiencia del departamento se debe proporcionar el
costo del departamento en los distintos clases de gastos que lo componen (sueldos, cargas
sociales, vacaciones, alquileres, honorarios, materiales, etc) y la comparación con los
valores presupuestados.
Cualquier diferencia deberá ser analizada, explicada e informada.
Cuantificación de las mejoras en los servicios de la organización.
En este caso cualquier mejora a los servicios de la organización debería ser, en lo posible,
cuantificada, e informada.
Coordinación con el trabajo de auditoría interna.
La coordinación de esfuerzos con auditoría interna es importante por los ahorros que
significa.
Es necesario que departamento de auditoría mantenga información suficiente sobre estos
datos para poder informarlos adecuadamente.
Reportes de actividad.
El objetivo de estos reportes es mantener informado al Consejo sobre los resultados de la
función de auditoría durante el período analizado.
Es importante suministrar información sobre los ahorros conseguidos, los hallazgos
encontrados, las mejoras a los procesos obtenidas, los resultados de las auditorías realizadas
y las opiniones que obtuvieron los auditores de las áreas bajo revisión.
Algunas de las cuestiones que el reporte debería incluir son:
Especifique claramente el o los objetivos de la función de auditoría.
Determine, en cifras, el esfuerzo realizado por auditoría en el período bajo análisis.
Es importante que se compare contra las cifras presupuestadas y se haga mención de la
cantidad de informes de auditoría emitidos.
Se haga referencia, en forma resumida, al tipo de auditoría realizada. Es decir, las áreas
donde se focalizó el esfuerzo de auditoría.
Es muy útil que se indiquen el porcentaje de opiniones satisfactorias que surgieron de
las distintas áreas analizadas. De esta forma, el lector de la información , tiene idea de
la marcha de los distintos sectores auditados a través del tiempo.
El origen de las distintas deficiencias halladas (falta de controles, errores) y si se
tomaron acciones correctivas apropiadas.
La opinión del auditor sobre las causas de esas deficiencias (presión por obtener
resultados, desconocimiento, falta de conciencia de control).
Los trabajos especiales requeridos por la dirección (asistencia a auditores externos,

análisis de costos, revisión de controles, investigación sobre faltantes de material).
El monto de los ahorros y recuperos conseguidos.
Los planes futuros del departamento.
2100 – Naturaleza del Trabajo
La actividad de auditoría interna evalúa y contribuye a la mejora de los sistemas de

gestión de riesgos, control y gobierno utilizando un enfoque sistemático y disciplinado
2110 – Gestión de Riesgos

La actividad de auditoría interna debe asistir a la organización mediante la
identificación y evaluación de las exposiciones significativas a los riesgos, y la
contribución a la mejora de los sistemas de gestión de riesgos y control.
2110.A1 - La actividad de auditoría interna debe supervisar y evaluar la
eficacia del sistema de gestión de riesgos de la organización.
El auditor no sólo debe basar su planeamiento en los objetivos, riesgos y controles de las
actividades auditadas sino que además desempeña un rol activo en la evaluación y el
mejoramiento de los procesos de riesgo, control y gobierno.
Estos conceptos están incluidos en la propia definición de la auditoría interna que dice:
...”un enfoque disciplinado para evaluar y mejorar la eficacia de los procesos de
administración del riesgo, control y proceso de gobierno”...
La responsabilidad de la administración del riesgo recae en la dirección porque debe
asegurar que el proceso de administración de riesgo se encuentra implementado y
supervisar su correcto funcionamiento.
El rol del auditor consiste en asistir a la Dirección y al Comité de Auditoría en el examen,
evaluación, informe y recomendación de mejoras en la adecuación y efectividad del
proceso de administración de riesgos.
De esta manera, el auditor participa del proceso de riesgo y puede aportar su opinión que es
importante porque tiene la habilidad y el conocimiento adecuados para ofrecer una visión
objetiva y profesional sobre el riesgo de toda la organización.
Al mismo tiempo, la información que surja de este trabajo de evaluación puede servir en el
planeamiento de su trabajo.
Exposiciones al riesgo.
2110.A2 – La actividad de auditoría interna debe evaluar las exposiciones al riesgo

referidas a gobierno, operaciones y sistemas de información de la organización, con
relación a lo siguiente:
• Confiabilidad e integridad de la información financiera y
operativa,
• Eficacia y eficiencia de las operaciones,
• Protección de activos, y
• Cumplimiento de leyes, regulaciones y contratos.
Las exposiciones al riesgo deben estar interpretadas a la luz de la categoría de objetivos

enumerados en el Marco Integrado de Control del Informe COSO3.
Este informe, trata de proporcionar una definición común sobre el control interno y
establecer un standard de control contra el cual puedan compararse las diferentes
organizaciones.
En tal sentido, define al control interno como “el proceso efectuado por el Consejo de
Administración, la dirección y el resto del personal diseñado con el objeto de proporcionar
un grado de seguridad razonable en cuanto al cumplimiento de los objetivos en estas
categorías:
Eficacia y eficiencia de las operaciones.
Fiabilidad de la información financiera.
Cumplimiento de las leyes y regulaciones”.
Relación con los objetivos.
2110.C1 – Durante los trabajos de consultoría, los auditores internos deben

considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la
existencia de otros riesgos significativos.
2110.C2 – Los auditores internos deben incorporar los conocimientos del riesgo
obtenidos de los trabajos de consultoría en el proceso de identificación y
evaluación de las exposiciones de riesgo significativas en la organización.
Los nuevos conceptos del control interno (Informe COSO).Comité de organizaciones patrocinadoras de la
Comisión Treadway.
Como se había definido en el capítulo II de esta obra el riesgo puede ser definido como la
probabilidad de que circunstancias adversas puedan afectar el cumplimiento de los
objetivos.
El formulamiento de los objetivos es necesario como un paso previo para la evaluación del
riesgo.
Para identificar adecuadamente los riesgos es necesario pensar en las amenazas que
comprometen el cumplimiento de los objetivos.
Por ejemplo:
Auditoría de: Departamento de distribución.
Objetivo de la función: Seleccionar los transportistas y rutas que proporcionen el envío más
económico y oportuno para los envíos.
Riesgos identificados:
Rutas económicas e ineficientes, este riesgo está claramente identificado con la categoría
de eficacia y eficiencia de las operaciones.
Que los transportes no estén adecuadamente habilitados y cumplan con las

reglamentaciones vigentes en materia de transporte, relacionado con la categoría de
cumplimiento de las leyes y regulaciones.
6. Soportar al Consejo en una evaluación amplia de los riesgos de la

organización.
7. Revisar el posicionamiento de la función de auditoría interna en el marco
del manejo de riesgo de la organización.
Uno de los componentes del control interno que enumera el citado informe COSO4
es la evaluación de riesgos.
El mismo informe define a la evaluación de riesgos de esta forma:
....”La evaluación del riesgo es la identificación y el análisis de los riesgos relevantes

para el cumplimiento de los objetivos y forma una base para determinar como deben
ser manejados los riesgos. Porque las condiciones económicas, industriales,
regulatorias y operativas se encuentran cambiando continuamente es necesario que se
identifiquen mecanismos para tratar los riesgos especiales asociados con el cambio”...
Relación con objetivos y controles.
El concepto del informe COSO es que los objetivos y controles se encuentran relacionados
de alguna manera u otra con los riesgos.
El mismo informe señala que la formulación de objetivos es un prerrequisito para la
identificación de los riesgos porque, lógicamente, no se pueden establecer riesgos si no se
sabe cuál es el objetivo que se encuentra amenazado.
Los controles son los medios con los que cuenta la organización para controlar los riesgos y
mantenerlos bajo un cierto nivel de control.
El informe establece tres categorías de controles que son los siguientes:
4
Op. cit pág. 116.
Operacionales, están relacionados con la eficacia y eficiencia de la operación de la

organización, los objetivos de rentabilidad y la salvaguarda de recursos.
De información financiera, relacionados con la presentación de estados financieros
confiables incluyendo la prevención del fraude.
De cumplimiento, relacionados con la adherencia a leyes y regulaciones a los cuales la
organización se encuentra sujeta.
Soportando la evaluación de riesgos.
El proceso de evaluación de riesgos, que forma parte de uno de los componentes del control
interno como indica el informe COSO es responsabilidad de la dirección y reside en toda la
organización.
Toda la organización debe ser capaz de identificar los riesgos que pueden amenazar el
cumplimiento de sus objetivos, realizar un apropiado “ranking de riesgos” considerando la
gravedad y probabilidad de ocurrencia y ensayar controles o medios para mitigarlos es
decir reducir o eliminar sus consecuencias negativas.
Pero, si la responsabilidad de la evaluación reside en la dirección y en la organización ¿cuál
es el aporte de la auditoría interna en la evaluación de riesgos?.
La auditoría tiene una función importante que es la de actuar de soporte en este proceso.
Volviendo a la definición de auditoría interna, que se comentara en el punto anterior
recordamos que hablaba de la auditoría interna como aquella función que evalúa ... y
mejora los procesos de... riesgo.
¿Cómo soporta el proceso de evaluación de riesgos la función de auditoría interna?
La función de auditoría interna soporta el proceso de evaluación de riesgos cuando realiza

su trabajo.
En toda la realización de su proceso de trabajo el auditor interno está evaluando riesgos:
desde la planificación, que debe estar basada en el riesgo, en el desarrollo de sus programas
de trabajo que deben considerar los riesgos y controles involucrados pasando por el
desarrollo del trabajo en el cual prueba controles que mitigan riesgos y en la recomendación
de mejoras y monitoreo donde recomienda mejoras a los procesos de riesgo y control.
El auditor hace su aporte:
Identificando y midiendo la gravedad y probabilidad de los riesgos.
Identificando controles que reduzcan la probabilidad de ocurrencia o su gravedad y

determinando, a través de pruebas adecuadas, si se encuentran trabajando de acuerdo a
lo previsto.
Proponiendo mejoras a los controles existentes o identificando riesgos no contemplados
o estableciendo exposiciones al riesgo diferentes a las que la administración estableció.
Como los controles establecidos, aún si ellos funcionan adecuadamente, no neutralizan
completamente el riesgo sino proporcionan un grado razonable de seguridad sobre el
cumplimiento de los objetivos siempre subsiste un grado de riesgo llamado residual
que es aquel que permanece luego de aplicados e implementados los mecanismos de
control. El auditor, en el transcurso de su evaluación de riesgos, determina el grado de
riesgo residual que tiene el cumplimiento de los objetivos y si juzga que el mismo es
inaceptable para la organización debe discutirlo con la dirección operativa y con el
Consejo si fuera necesario.
2600 - Aceptación de los Riesgos por la Dirección
Cuando el director ejecutivo de auditoría considere que la alta dirección ha aceptado un

nivel de riesgo residual que puede ser inaceptable para la organización, debe discutir esta
cuestión con la alta dirección. Si la decisión referida al riesgo residual no se resuelve, el
director ejecutivo de auditoría y la alta dirección deben informar esta situación al Consejo
para su resolución.
Aplicación práctica.
El auditor, una vez que la organización haya definido sus objetivos piensa en que cosas
pueden afectar esos objetivos.
Utiliza su ingenio, imaginación y conocimiento de la actividad para listar posibles riesgos
de la actividad.
Por ejemplo los objetivos de un depósito de materiales de una organización puede ser
definido como:
Almacenar los materiales en forma adecuada para prevenir su deterioro y/o robo o
hurto.
Recibirlos y entregarlos en forma adecuada de acuerdo a las necesidades de los clientes
internos y externos
Cumplir las reglamentaciones de seguridad, higiene y medio ambiente en el manejo de

los materiales y el cuidado del personal.
Mantener actualizados los registros contables de las existencias y emitir en forma
adecuada y oportuna los vales de entrada y salida de los materiales.
Estos objetivos son variados y están dirigidos a diversas categorías operativas, de

cumplimiento y financieros.
Proceso de identificación de riesgos.
Una vez definidos los objetivos el auditor interno o la organización están en condiciones
de identificar los hechos adversos que puedan comprometer el logro de objetivos.
Que no existan procedimientos sobre la seguridad de los bienes y personas en el

depósito o los mismos no sean claros o no se cumplan efectivamente.
Que a raíz de ineficiencias por desconocimiento, inexperiencia, irresponsabilidad o

negligencia la entrega y recepción de las mercaderías se demore excesivamente.
Que el personal del depósito no registre adecuadamente la entrada y salidas de los

materiales.
Identificación de los controles asociados.

Para cada riesgo puede existir o no uno o más controles que mitiguen los riesgos.
Recordamos que una de las maneras que la organización cuenta para manejar sus riesgos es
el control.
Las otras son la transferencia de los riesgos a un tercero mediante la contratación de un
seguro, la aceptación del riesgo y el retiro de la actividad.
En el caso del ejemplo para el riesgo de la no existencia de procedimientos puede existir
una reunión periódica con los empleados para comentar y comunicar los procedimientos,
que se asegure la actualización de los procedimientos mediante reuniones entre la dirección
del depósito y la dirección operativa.
Proceso de evaluación de riesgos.

El riesgo está definido como la probabilidad que hechos o acciones afecten negativamente
el cumplimiento de objetivos.
Los riesgos se miden a través de los llamados factores de riesgo que son aquellos criterios
utilizados para determinar la gravedad o la probabilidad de ocurrencia de los riesgos.
Se pueden enumerar diferentes factores de riesgo, entre ellos podemos citar a:
El clima ético y la presión de la dirección por el cumplimiento de los objetivos.
La competencia, la adecuación y la integración del personal.
El volumen de transacciones, la liquidez y el tamaño de los activos.
Las condiciones financieras y económicas.
Las condiciones competitivas.
La complejidad y volatilidad de las operaciones.
El impacto de los clientes, proveedores y regulaciones gubernamentales.
La dispersión geográfica de las operaciones.
La adecuación y efectividad del sistema de control interno.
La aceptación de las observaciones de auditoría y de las acciones correctivas tomadas.
Fecha y resultados de las auditorías anteriores.
Técnicas para evaluar el riesgo.

En general las dos dimensiones mediante las cuales se pondera el riesgo se tienen en cuenta
que son:
La gravedad, se acostumbra a calificar la gravedad con una escala numérica que va de 1
a 5 y estará dada por una escala parecida a esta:
1: menor a $1000.
2: entre $1001 y $10000
3: entre $10001 y $100000
4: entre $100000 y $500000
5: más de $500000
Se otorga la calificación que corresponda de acuerdo a la potencial pérdida que se daría

si se produce la amenaza.
Existen algunos riesgos cuya ponderación en valores monetarios de los daños sufridos
no es fácil ni posible. En ese caso, una alternativa es considerar una escala cuantitativa
y luego asignarle un valor numérico.
Ejemplo:
1: poco grave.
2: medianamente grave.
3: grave
4: muy grave.
La probabilidad de ocurrencia, es decir que tan probable es la posibilidad de que

materialize el riesgo.
1: remota.
2: medianamente probable
3: muy probable.
La multiplicación de la gravedad por la probabilidad de ocurrencia nos dará el nivel de
riesgo.

9. Monitorear el cumplimiento del código de conducta o el de negocios.
El rol de la auditoría en el cumplimiento y la ética.
Gobierno y clima ético.

El proceso de gobierno puede ser definido aquel a través del cual los valores y las metas se
establecen y comunican, se monitorea el cumplimiento de los objetivos, se asegura la
rendición de cuentas y se preservan los valores.
Dentro de est proceso los códigos de conducta juegan un rol fundamental: son importantes
declaraciones de los valores y metas de la organización, el comportamiento esperado de su
gente y las estrategias para mantener una cultura que se pueda estar en línea con las
responsabilidades legales, éticas y sociales.
El rol de la auditoría interna en la cultura ética de la organización.

Los consejos para la práctica del Instituto aconsejan que el rol de la auditoría interna en la
cultura ética de la organización varíe de acuerdo al grado de desarrollo de la cultura ética de
la organización.
Naturaleza del proceso de gobierno y la cultura ética de la organización.
Una organización utiliza distintas formas legales, estructuras y estrategias con el objeto de
asegurar que:
Se cumple con las reglas legales y regulatorias de la sociedad.
Se satisfacen las normas de negocio, preceptos éticos y expectativas sociales de la
sociedad.
Se proporcione un beneficio a la sociedad y se tiene en cuenta los intereses específicos
de los interesados tanto en el largo como en el corto plazo.
Se informa completa y verazmente a los propietarios, reguladores, otros interesados y al
público en general para asegurar la rendición de cuentas por las decisiones, acciones,
conducta y desempeño.
La forma en que una organización elige para conducir sus negocios para alcanzar las cuatro
responsabilidades se llama comúnmente su proceso de gobierno.
El consejo de administración o consejo directivo y su alta dirección deben rendir cuentas
por la eficacia del proceso de gobierno.
Las prácticas de gobierno de la organización constituyen una única y cambiante cultura que
afecta roles, especifica conductas, fija objetivos y estrategias, mide desempeño y define los
términos de rendición de cuentas.
La cultura determina los valores, los roles y las responsabilidades que serán toleradas y
determinarán el grado de sensibilidad que tendrá la organización en alcanzar su
responsabilidad a la sociedad.
Responsabilidad por la cultura ética de la organización.
Todas las personas en la organización comparten cierta responsabilidad en la cultura ética
de la organización.
Debido a la complejidad y a la dispersión de los procesos de toma de decisiones en la
mayoría de las empresas, cada individuo debe ser alentado para convertirse en un defensor
activo de la ética.
En los últimos tiempos, un número creciente de organizaciones han designado un
encargado ético como asesor de ejecutivos, directores y otros en materia de ética de
negocios para hacer “lo correcto” es decir, “lo que se debe”.
La auditoría como soporte de la cultura ética.
Los auditores internos y la actividad de auditoría interna en particular debe tener un rol
activo en el soporte de la cultura ética de la organización.
Los auditores gozan de mucho prestigio y confianza dentro de la organización y tienen las
habilidades necesarias como para ser promotores eficaces de una conducta ética.
Como tienen la competencia y la capacidad de atraer a los líderes, directores y otros
empleados para cumplir con las responsabilidades legales, éticos y sociales.
El auditor puede desempeñar distintos roles en la ética de la organización:
Ombudsman.
Funcionario de cumplimiento.
Asesor ético
Experto ético.
Miembro de un consejo de ética interna.
Asesor ético de la organización.
Evaluación de la cultura ética de la organización.
Como mínimo la actividad de auditoría interna debe periódicamente evaluar el estado del
clima ético de la organización y la eficacia de sus estrategias, tácticas, comunicaciones y
otros procesos en obtener el nivel deseado de cumplimiento legal y ético.
El auditor debería al menos, evaluar lo siguiente:
Si existe un código formal de conducta, que sea claro y comprensible y procedimientos

y políticas (que incluyan procedimientos contra el fraude y la corrupción) y otras
expresiones de aspiración.
Si existen comunicaciones frecuentes y demostraciones de actitudes éticas esperadas y
comportamiento por los líderes influyentes de la organización.
Si existen estrategias para soportar y mejorar la cultura ética con programas regulares
para actualizar y renovar el compromiso de la organización con una cultura ética.
Si existen formas para que la gente pueda realizar en forma anónima y confidencial
denuncias sobre violaciones a la ética y a su código.
Si existe una delegación clara de responsabilidades para asegurar que las consecuencias
éticas son evaluadas, se proporciona asesoramiento confidencial, se investigan las
denuncias por falta de comportamiento ético y se informan los hallazgos encontrados.
Si existe una manera fácil de aprender oportunidades de facilitar que todos los
empleados sean promotores de una cultura ética.
Si existen prácticas personales positivas que alienten que cada empleado contribuya al
clima ético de la organización..
Si existen investigaciones de empleados, proveedores y clientes que determinen el
estado del clima ético de la organización.
Si existen revisiones regulares de procesos formales o informales dentro de la
organización que puedan potencialmente crear presiones y sesgos que socaven la
cultura ética.
Si en los procesos de incorporación de personal se encuentran previstos la averiguación
de antecedentes y referencias y pruebas de integridad ética.
10. Informar la eficacia del marco de control.
Rol de la auditoría interna en la evaluación de los controles.

Los auditores internos pueden convertirse en buenos auxiliares para la administración
evaluando los sistemas de control interno e indicando las debilidades del control interno.
En la evaluación de los controles internos el auditor interno debe tener presente que los
controles están diseñados para asegurar el cumplimiento de los objetivos.
A raíz de la sanción de la Ley Sarbannes Oxley , se requiere al menos en los EEUU, que las
sociedades que realicen oferta pública de sus acciones deban informar específicamente
sobre la efectividad de los controles internos y su efecto sobre la información financiera.
En tal sentido adquiere una particular importancia el rol que pueda desempeñar la auditoría
interna en la asistencia de dicha responsabilidad.
El marco de control.
De todas las definiciones que se conocen del control interno recordamos la del conocido
informe COSO, que lo señala como un proceso llevado a cabo adelante por toda la
organización para proporcionar seguridad razonable del cumplimiento de los objetivos
relacionados con la eficacia y la eficiencia de las operaciones, la confiabilidad de la
información financiera y el cumplimiento con las regulaciones y leyes aplicables.
Por su parte, el glosario incluido en las Normas de auditoría definen al control como
“cualquier acción tomada por la dirección, el consejo y otras partes para manejar el
riesgo e incrementar la probabilidad que se puedan obtener los objetivos y metas sean
alcanzados.
La administración planea, organiza y dirige el desempeño de acciones suficientes para
proporcionar razonable seguridad que las metas y objetivos sean alcanzados”.
Relación con las normas.
2120 – Control
La actividad de auditoría interna debe asistir a la organización en el mantenimiento de

controles efectivos controlando su eficacia y efectividad y promoviendo su mejora
continua.
Las normas de auditoría establecen la necesidad que el auditor interno asista a la

organización en el mantenimiento de controles efectivos y eficientes y promoviendo la
mejora continua de los mismos.
Sistemas de control.
Elementos.
Los medios de control incluyen las personas, reglas, presupuestos, agendas y otros
componentes.
Importancia.
El control es especialmente importante en las grandes organizaciones. Los gerentes son
incapaces de supervisar personalmente todo sobre lo cual tengan responsabilidad.
Por lo cual deben delegar autoridad a los subordinados y junto a la delegación de
responsabilidad se debe asegurar la rendición de cuentas, que no es más que demostrar que
las cosas se hicieron como estaban planeadas. Ello es una forma de control.
La auditoría de controles.
El objetivo de auditar los controles es determinar que:
Los controles se encuentran implementados.
Los controles están estructurados.
Están diseñados para cumplir un objetivo específico o para alcanzar el cumplimiento de
determinados requerimientos.
Los controles están siendo utilizados.
Son un eficientes y eficaces sirviendo su propósito.
La dirección utiliza el resultado del sistema de control.
El auditor debe:
Determinar los objetivos del sistema de control.
Revisar los objetivos para determinar si son consistentes con las políticas de la
organización y están diseñados para asegurar el cumplimiento de los requerimientos
externos o internos.
Examinar y analizar los sistemas de control para determinar si su anatomía es sana si
existe un criterio, un método para medir las condiciones y una evaluación de las
desviaciones y un método de información.
Determinar si el resultado de los controles está diseñado para cumplir con su propósito.
Revisar las operaciones del sistema de control.
¿Se usan los resultados?

¿Es el ingreso de los datos al sistema válido, preciso, razonable?
¿Si el sistema está computarizado, está funcionando correctamente?
¿Es el resultado del control válido?
Determinar si el sistema de control tiene las características de:
Flexibilidad.
Oportunidad.
Rendición de cuentas.
Identificación de causas.
Relación con objetivos y riesgos.
La auditoría interna cumple una función importante en la evaluación de riesgos y controles.
Según las normas de auditoría el auditor debe evaluar la eficacia de los procesos de manejo,
de riesgo y de controles.
El auditor comienza elaborando una lista de riesgos que amenacen el cumplimiento de
objetivos de la organización.
A continuación, se establece el nivel de riesgo al cual está expuesta la organización
mediante un examen de los controles asociados a esos riesgos.
De esta forma el auditor puede dar una amplia opinión sobre los riesgos y los controles que
los mitigan.
Entre otras cosas, se establecen
Una identificación de los riesgos, que amenazan el cumplimiento de los objetivos.
El grado de eficacia y eficiencia de los controles asociados a los riesgos, dicho de otro
modo el funcionamiento de los controles.
La independencia del auditor externo.

Uno de las cuestiones que ha alcanzado mayor importancia en los últimos tiempos es
asegurar la independencia del auditor externo.
En algunos países la tarea del aseguramiento de la independencia recae en el Consejo pero
a veces esta función la delega en el Comité de Auditoría, que es el organismo creado para
descargar sus responsabilidades en lo que hace a la supervisión del sistema de control
interno, los mecanismos destinados a asegurar la confiabilidad de la información financiera
de uso público y la supervisión general de la función de auditoría interna y externa.
El rol de la auditoría interna en la evaluación de la independencia.
Uno de los objetivos del control interno es proporcionar un grado razonable de seguridad
sobre el cumplimiento del objetivo de confiabilidad de la información financiera.
El pilar más importante sobre el cual descansa este objetivo es la independencia del auditor
externo quien va a dictaminar sobre la corrección de la información financiera que la
organización emita.
En tal sentido, y para asegurar que efectivamente la independencia del auditor externo es
importante que el Consejo o el Comité de Auditoría soportado por la función de auditoría
interna realicen al menos anualmente una evaluación cuyo objetivo sea la independencia
del auditor externo y su eficiencia.
Evaluando la eficacia y la independencia.

El consejo o el comité de auditoría juegan un rol fundamental en el aseguramiento de la
independencia de los auditores externos.
En tal sentido algunas de las funciones que el consejo o el comité de auditoría deben llevar
adelante con los relación a los auditores externos son:
La aprobación por parte del Consejo o del Comité de aquellos servicios, que quieran
llevar adelante los auditores externos que no fueran de auditoría y que pudieran crear un
conflicto de intereses.
Que el Consejo o el Comité de Auditoría requieran de la firma responsable de la
auditoría externa, por lo menos anualmente:
Una declaración escrita sobre aquellas situaciones que pudieren afectar su

independencia.
Un reporte donde se especifique, entre otros: los procedimientos de control interno de la
firma, cualquier cuestión surgida de la revisión de los procedimientos de control interno
o de una investigación requerida o pedida por cualquier organismo profesional o
gubernamental, dentro de los cinco años, respecto de las auditorías independientes
llevadas adelante y los pasos seguidos adelante para tratarlos.
Que el comité o el consejo discutan con el auditor externo y la Dirección los reportes
financieros anuales o cuatrimestrales y aquellos asuntos que resulten en una diferencia
de tratamiento contable entre los auditores externos y la Dirección y/o el Consejo.
Que el consejo o el comité de auditoría sean responsables del nombramiento, remoción,
elección de la firma responsable de llevar adelante el trabajo de auditoría externa como
así también de la supervisión de su trabajo.
Que el consejo o el comité de auditoría consideren conjuntamente con los auditores
internos o externos cualquier cambio en los principios contables y su efecto en la
medición y exposición de los resultados financieros.
Al mismo tiempo es conveniente que se evalúe la eficacia del auditor externo verificando:
La extensión o el alcance del plan de auditoría externa.
La competencia y el conocimiento del personal.
La adecuación de los recursos con los que se cuenta para llevar adelante el plan
previsto.
Políticas adecuadas para asegurar la independencia.
Existen numerosas políticas para asegurar la independencia de los auditores externos.
Al menos el consejo deberá asegurarse que:
Se establezca la rotación periódica en la asignación de los auditores externos y de los
socios responsables de la firma de auditoría externa.
Que las personas que fueron auditores o socios de la firma auditora no pueden ser
empleados o directores sin dejar transcurrir un tiempo razonable (al menos un año).
Se prohiba que los auditores externos puedan realizar tareas que no son estrictamente de
auditoría y pudiera entrar en conflicto de intereses con aquella, como por ejemplo: tax
planning, servicios relacionados con fusiones y adquisiciones (due dilligence),
reclutamiento de personal ejecutivo, valuaciones o tasaciones significativas, diseños e
implementaciones de sistemas de información financiera y otros servicios que los
auditores puedan requerir en el transcurso de su auditoría.
La ley Sarbannes-Auxley y la independencia del auditor externo.

En EEUU, una de las reformas más importantes que significó la sanción de la llamada ley
Sarbannes-Auxley es el establecimiento de claras responsabilidades del Comité de
Auditoría sobre los auditores externos en particular sobre su nombramiento, la fijación de
sus honorarios y en la supervisión de su trabajo.
En tal sentido, la ley pretende realizar un aporte importante en la independencia del auditor
externo.
12. Evaluar el cumplimiento con políticas en áreas específicas.
13. Conducir el monitoreo y la información de la respuesta de la dirección a

revisiones de cuerpos regulatorios.
Importancia.
La organización se encuentra sometida, según el tipo del cual se trate, a un sinnúmero de

regulaciones muchas de ellas importantes y que a veces no son convenientemente
cumplidas.
Su incumplimiento, puede devenir según las reglamentaciones de cada país, en fuertes
multas y a veces hasta en la prohibición de seguir operando.
Es por ello que la evaluación del cumplimiento de las regulaciones y el monitoreo de la
respuesta a las eventuales requerimientos de información de los cuerpos regulatorios resulta
importante para la prevención de los riesgos involucrados.
A continuación citamos algunos de los temas sobre los cuales el auditor deberá poner un
énfasis especial:
Medio ambiente.
Higiene y seguridad del trabajo.
Regulaciones técnicas específicas de la actividad (seguros, banca).
Superintendencias o cuerpos regulatorios sobre actividades específicas sujetas a un
control especial por parte del gobierno (alimentos, energía, transporte, comunicaciones,
educación, salud).
Agencias gubernamentales de control en materia de impuestos y seguridad social.
Auditorías de cumplimiento o “compliance”.

Uno de los objetivos del control interno es proveer razonable seguridad sobre el
cumplimiento de las regulaciones y reglamentaciones aplicables.
En ese sentido el plan de auditoría deberá incluir aquellos aspectos relacionados con esos
temas.
Respuesta a los organismos de control o de revisión.

Es habitual que en el ejercicio de su actividad específica de control y supervisión sobre las
actividades sujetas a su jurisdicción las agencias reguladoras u organismos de revisión
realicen inspecciones y controles los cuales pueden devenir en pedidos de información,
reclamos de acciones correctivas, multas, clausuras y hasta prohibiciones para continuar la
operación.
Es importante que los requerimientos de estos organismos sean constestados en la forma y
el tiempo adecuados para evitar posibles sanciones.
Para el auditor interno, cualquier investigación realizada por los cuerpos regulatorios
adquiere una importancia fundamental.
Puede implicar la aparición de riesgos no contemplados anteriormente y la ocasión para
realizar las acciones correctivas necesarias.
El auditor deberá prestar especial atención a lo siguiente:
Si se encuentra previsto que se notifique apropiadamente a la Dirección y a auditoría
sobre cualquier investigación o reclamo iniciado por los organismos regulatorios.
Si una vez notificado del reclamo el sector responsable lleva adelante las acciones
necesarias (información, investigación o corrección de los problemas advertidos).
Si el organismo regulatorio recibe la información requerida en el tiempo previsto y en la
forma adecuada.
Si efectivamente, las acciones correctivas fueron llevadas adelante o la información
entregada al organismo se ajusta a la realidad verificable.
En caso que así no fuera, asegurarse que la Dirección tomó en cuenta los riesgos
involucrados.
Si de la inspección de los organismos de control derivara algún tipo de irregularidad
comprobable averiguar las causas de la misma (desconocimiento, falta de capacitación,
razones económicas, etc) y recomendar acciones para evitar su repetición.

15. Evaluar la adecuación del sistema de medición del desempeño de los
logros de los objetivos corporativos.
La información, base para el control.
Una completa y oportuna información es importante para que se pueda monitorear el
cumplimiento de las metas y objetivos.
En ese sentido resulta decisivo que el Consejo reciba información completa, veraz y
oportuna sobre la marcha de los negocios.
Deben existir procedimientos claros sobre que, cómo, cuando y a quién informar.
Esos procedimientos pueden ser formales o informales pero deben ser conocidos y
respetados por todos los funcionarios.
Asi como es recomendable que exista conciencia de control en la organización es
importante que existe la conciencia de que la información oportuna y confiable es clave
para ejercer un buen control y tomar las acciones correctivas en el tiempo oportuno y por el
nivel adecuado.
Evaluando el mecanismo de información.
El auditor deberá evaluar la adecuación de los mecanismos de información al Consejo u
organismo decisorio.
Algunas cuestiones que deberán tenerse en cuenta son:
Si se encuentran previstos procedimientos que identifiquen la manera y la oportunidad
de información al Consejo.
Si tales procedimientos se encontraran previstos verificar su cumplimiento y su
razonabilidad.
La información que se reciba no debe ser excesiva: unos pocos índices pueden servir
para conocer la tendencia y la marcha de los negocios. Si fuera necesario, se podrá
informar con mayor detalle aquellas cuestiones que lo merezcan.
La periodicidad de información con mayor grado de detalle puede ser mensual pero
deberá siempre tenerse en cuenta que muchas veces puede ser necesario reportar con
urgencia cuestiones que no pueden esperar ni siquiera una semana hasta la próxima
reunión del consejo. En tal caso es necesario mantener siempre abiertas las puertas de la
comunicación y de la información entre las direcciones operativas y el consejo.
Si quedan evidencias escritas de las informaciones recibidas, a través de reportes o
memos escritos o se acostumbra a reportar algunas cuestiones a través del teléfono o de
conversaciones informales.
Si esos reportes resultan tener un apropiado tratamiento por el consejo y, en caso de

deficiencias o irregularidades, se toman las medidas correctivas necesarias.
Si en el transcurso de las auditorías se revelan situaciones que debieron tener un
adecuado conocimiento por parte del consejo y fueron ocultadas por desconocimiento o
negligencia.
Realizar las recomendaciones y mejoras al sistema de información que, a juicio del
auditor, deberían adoptarse.
Sistema de medición de desempeño.
Importancia.
Asi como es importante que el consejo reciba información adecuada y oportuna para que
pueda tomar las decisiones más convenientes para la organización, también es necesario
que la organización cuente con un sistema de medición eficiente de objetivos para conocer
si se están cumpliendo en el grado y en la oportunidad prevista.
Sistemas de medición de objetivos.
Una de las condiciones que deben tener los objetivos es que sean medibles. Los objetivos
deben ser medibles para que puedan compararse y para que la organización conozca si ha
arribado a los resultados esperados y en caso que así no fuera, tomar las medidas
correctivas necesarias en el tiempo oportuno.
Muchas veces la organización establece premios o incentivos al personal que estarán en
relación con el desempeño logrado. Estas también resultan ser razones importantes para que
los objetivos sean medidos en forma correcta.
La contabilidad ofrece la fuente primaria de la gran mayoría de las mediciones.
El presupuesto que es el reflejo cuantitativo de los planes de la organización suele ser el
mejor y más efectivo medio de medición de desempeño.
Un buen presupuesto, con objetivos claros, realizables, medibles y con clara asignación de
responsabilidades suele ser el primer paso de un buen sistema de información de
desempeño.
Utilización de indicadores.
Además de la información presupuestaria y de las comparaciones que suelen realizarse en
forma periódica para saber como se está cumpliendo se suelen utilizar distintos indicadores.
Algunos de ellos pueden ser ratios financieros por ejemplo:
% de utilidad neta o % de utilidad bruta,
monto de gastos operativos por número de personal
altas, bajas y modificaciones del staff,
número de unidades producidas y vendidas, retorno sobre el capital empleado, monto de

intereses sobre resultados totales.
En fin la lista puede ser variada y muy extensa y dependerá del tipo y clase de objetivo que
se quiere medir.
Lo importante es que los ratios informados estén relacionados con el objetivo que se quiera
evaluar.
Si se trata de una empresa telefónica y el objetivo de ventas determinado es alcanzar un
determinado número de líneas es obvio que se deberá llevar un buen registro de las líneas
vendidas para poder monitorear el cumplimiento del objetivo.
Evaluación del sistema de información.

El auditor deberá observar si el sistema de información es adecuado principalmente en lo
referente a:
Ofrece una descripción razonable del cumplimiento de los objetivos que pretenden
medir.
Los datos o índices resultan fáciles de obtener y los costos de su procesamiento y
obtención son menores que los beneficios que reportan.
Son de fácil interpretación, conocidos por todo el personal y confiables.
Tablero de control. Balanced Scorecard.

Este tema será analizado con mayor detalle en la parte III de esta obra pero podemos
adelantar que se trata de un sistema balanceado de medición de desempeño que relaciona
mediciones operativas y financieras clave.
Como las mediciones financieras no resultaban adecuadas porque reflejaban simplemente el
resultado de acciones ya realizadas se establecen mediciones operativas que son las
verdaderas impulsoras del desempeño financiero futuro.
El sistema establece cuatro perspectivas: aprendizaje y crecimiento, procesos operativos,
clientes y finanzas.
Considera que el componente actitudinal del personal es la base de los procesos operativos,
de la relación con los clientes y en última instancia de los resultados financieros que podrán
obtenerse.
El modelo del tablero de control ofrece un modelo de negocios muy útil para la auditoría
porque proporciona una serie de mediciones clave de las actividades y sirve como
orientador de los esfuerzos de auditoría.
16. Conducir el seguimiento y el reporte de la respuesta de la dirección a la

auditoría externa.
Necesidad de coordinación.
Los esfuerzos de la auditoría interna y externa deben estar coordinadas de manera que los
dos puedan brindar un mejor servicio a la organización.
Respuesta de la dirección a la auditoría externa.
Los auditores externos tienen diferentes objetivos a los auditores internos: su objetivo es
obtener un dictamen sobre los estados financieros de la organización.
En el transcurso de su auditoría es común que hagan observaciones y requerimientos a la
dirección sobre diferentes asuntos.
Es importante que entre las diferentes funciones de la auditoría interna, los auditores
conduzcan el proceso de respuesta a los auditores externos.
Por sus competencias los auditores internos pueden convertirse en buenos asesores de la
dirección para dirigir el proceso de respuesta a los auditores externos.
El objetivo es asegurar que los auditores externos reciban la respuesta en el tiempo y de la
forma adecuada.
Evaluación del proceso de respuesta.
Los auditores internos deberán tener en cuenta, entre otros los siguientes aspectos:
Si la respuesta de la organización a los auditores externos es relevante, completa,
oportuna y verificable con la realidad.
Si las cuestiones observadas por los auditores externos pueden derivar en ampliacioens
al alcance de la auditoría interna o en posibilidades de una mejor coordinación de sus
tareas con la auditoría externa en un futuro.
Si se otorga a los auditores externos la posibilidad de aplicar procedimientos
adicionales para satisfacer su objetivo.
Si las cuestiones observadas pueden derivar en riesgos no contemplados anteriormente
por la organización o por los propios auditores internos en sus procesos de evaluación y
manejo de riesgos.
Si de la observación o requerimiento efectuado por los auditores externos derivara la
necesidad de efectuar acciones correctivas o mejorar algún proceso o actividad es
importante que los auditores internos verifiquen que la dirección las haya tomado
efectivamente.
17. Desarrollar otros roles y responsabilidades de la auditoría interna.
a) El rol como promotor de la Ética y el cumplimiento.

El consejo para la práctica 2130-1 “Rol de la actividad de la auditoría interna y el auditor

interno en la cultura ética de la organización” es la interpretación del stándard del mismo
número que determina, entre otras cosas, el rol que debe desempeñar la actividad del
auditor interno como promotor de la ética de la organización.
Este consejo resalta la necesidad de que el auditor interno en particular y la actividad de
auditoría interna en general desempeñen un rol activo en soporte de la cultura ética de la
organización.
Debido a su preparación, competencias, la integridad y la confianza que los auditorores

merecen son aquellos más indicados para desempeñar el rol de defensor ético en la
organización. También tienen la capacidad y competencia necesarias para apelar a los
líderes de la empresa y a los empleados a cumplir con las responsabilidades éticas, legales y
de cumplimiento de la organización.
Los roles que pueden asumir los auditores internos como un defensor y promotor de la ética
en la organización puede ser varios: ombudsman, asesor o experto ético.
b) El rol en la administración del riesgo.
La administración del riesgo es una responsabilidad clave de la dirección quien para poder
alcanzar sus objetivos la dirección debe asegurarse que el proceso se encuentra
implementado y está funcionando adecuadamente.
El consejo de auditoría y el consejo tienen la responsabilidad de supervisar que el proceso
se encuentra implementado y funciona adecuadamente.
Los auditores internos tienen un rol de asesoramiento o consultivo para que la organización
pueda identificar, evaluar e implementar metodologías apropiadas para manejar y controlar
los riesgos.
El director ejecutivo de auditoría interna debe conseguir un conocimiento completo del
consejo y de la dirección sobre las expectativas que tienen de la auditoría interna en el
proceso de manejo de riesgos.
Más específicamente el rol de la auditoría interna en los procesos de manejo de riesgo
puede variar con el transcurso del tiempo desde:
No desempeñar ningún rol.

Auditar el proceso de manejo de riesgos como parte del plan de auditoría.
Desempeñar un rol activo soportando continuamente e involucrándose ampliamente en
el manejo de riesgos participando en actividades tales como comités de supervisión,
actividades de monitoreo e informes del estado.
Coordinar y administrar el proceso de manejo de riesgos.
La dirección y el comité de auditoría deberán determinar cual debe ser el rol de la auditoría
en el proceso de manejo de riesgos.
Algunos factores tales como la cultura de la organización, las habilidades o competencias
del personal de la auditoría interna y las condiciones locales incidirán en la determinación
del rol que tendrá la auditoría en el proceso del manejo de riesgos en la organización.
c) El rol de la auditoría en la protección de los derechos a la intimidad o privacidad.
Definición e introducción.
La privacidad generalmente se refiere a la información que puede ser asociada con un

individuo específico o que tenga características identificativas que, asociada con otra
información, pueda utilizarse con el mismo fin.
Este tipo de información, es decir, aquella capaz de ser asociada con un individuo en
particular se llama información personal identificable (personally identifiable information)
y se considera sujeta a todas las consideraciones que hacen a la privacidad del individuo.
Se trata de información considerada como sensitiva y se puede referir a los gustos,
consumos, nivel ecónomico, estado de salud (enfermedades padecidas) y requiere una gran
protección sobre el manejo de los datos.
Protección legal a dicha información.
La mayoría de las legislaciones protegen aquellos datos que hacen a la privacidad de las
personas y limitan el poder del Estado y de las organizaciones de avanzar sobre los
derechos individuales que consagran la privacidad de los individuos.
Impacto de Internet.
El creciente uso de internet provocó por un lado una mayor exposición de aquella
información considerada como sensible y al mismo tiempo, los desarrollos tecnólogicos
facilitaron el procesamiento, almacenamiento y distribución de grandes volúmenes de datos
en un muy corto lapso de tiempo y aumentaron los riesgos involucrados.
Cuidado acerca de los datos.
Las organizaciones se ven obligadas a realizar un manejo muy cuidadoso de los datos que
posean de sus clientes y puedan ser considerados como sensibles o susceptibles de
protección legal contra su difusión o conocimiento por personas no autorizadas.
Existen múltiples razones pero entre ellas, podemos citar:
Las organizaciones se exponen a multas y otros castigos si no cumplen las regulaciones

sobre protección a la privacidad de los individuos existentes.
Muchos países europeos cuentan con limitaciones a la transferencia de datos a países
que no alcancen los estándares mínimos de protección de información privada.
La reputación y el precio de las acciones de la empresa pueden verse afectados
negativamente si se producen violaciones a la privacidad de los datos.
El rol de la auditoría en la protección de la privacidad.
La protección de la privacidad proporciona distintas áreas para que el auditor pueda

desarrollar revisiones en la seguridad de los datos.
Se puede seguir la pista de los datos desde su captura pasando por su utilización,
almacenamiento, difusión y terminando por su destrucción.
El auditor puede colaborar ampliamente en la mitigación de los riesgos y desarrollar
controles apropiados donde se hayan identificado vulnerabilidades.
El auditor puede desarrollar una serie de actividades con el fin de facilitar, influenciar sobre
y evaluar el programa y las políticas de privacidad de los datos de la organización.
Entre ellas podemos citar:
Evaluación de las políticas de privacidad de datos.

Facilitar el desarrollo de un programa de privacidad.
Evaluación de las políticas de privacidad de los empleados y protección de los datos.
Revisión de la protección de los datos y monitoreo de las intrusiones.
Revisión de la clasificación, retención, archivo y eliminación de los datos.
Evaluación de la privacidad en e-commerce.
Evaluación de la seguridad y privacidad de la red de comunicación.
d) El rol del auditor interno en la seguridad física y de los datos.
La seguridad de los datos y la seguridad física constituyen dos cuestiones muy importantes
que tienen que ver con la tecnología de la información.
Seguridad de datos.
Los controles sobre los datos previenen accesos no autorizados sobre el más importante
activo que pueden tener la organización hoy en día, que son sus datos.
El acceso lógico permite saber que usuarios están autorizados a entrar al sistema y cuáles
son las funciones que pueden desempeñar en el mismo.
Las características que debe reunir un buen sistema de seguridad de datos son:
Sólo los usuarios autorizados tienen acceso a los datos.

El nivel de acceso es adecuado a las necesidades del usuario.
Las modificaciones de los datos deben estar acompañadas de una pista de auditoría
completa.
El acceso no autorizado es denegado y se reporta adecuadamente el intento.
La función más importante y difícil resulta ser la autenticación del usuario. Las passwords
resultan ser hoy por hoy la forma más sencilla y fácil de autenticar al usuario.
Los softwares de seguridad de datos cumplen ciertas funciones:
Encripción de datos para que no puedan ser leídos por los programadores.
Obligan a cambiar las passwordas cada cierto lapso de tiempo.
Requieren que las passwords tengan cierta estructura: al menos cinco o seis caracteres,
sin vocales e incluir algunos números, para evitar que puedan ser fácilmente deducidas.
Los softwares de seguridad de datos tienen otras funciones, por ejemplo restringen el
acceso a determinados archivos a aquellos usuarios que por sus funciones no tienen
necesidad de acceder, pueden permitir que determinadas tareas se hagan exclusivamente
desde una sola terminal, pueden restringir el uso de las terminales a determinado horario
del día y de la semana, bloquean las terminales luego de un período determinado sin
actividad y pueden pedir el uso de la password antes de efectuar cada transacción
importante.
Seguridad física.
Los controles de seguridad física previenen el acceso a personas no autorizadas al sitio del
centro de datos y otorgan protección de las instalaciones donde se procesan los datos contra
fuego, inundaciones y cortes de corriente.
Hoy por hoy existen medios sofisticados para impedir el acceso a personas no autorizados
al centro de procesamiento como ser tarjetas magnéticas que guardan la información de la
persona en una tarjeta magnética, controles de acceso biométrico que leen la características
del iris de la persona para determinar su acceso o las carácterísticas de la mano o reconocen
su voz.
En cuanto a los controles sobre la seguridad física podemos destacar los sistemas de
prevención contra incendio que generalmente comprenden a los detectores de humo y a las
alarmas contra incendio.
Por último los dispositivos más comunes contra los cortes de corriente son los equipos
electrógenos que permiten la continuidad de las operaciones ante cortes de energía y los
equipos estabilizadores de corriente que previenen los daños que las variaciones en el
voltaje de la energía pueden ocasionar a los equipos.
El tema de seguridad de datos será tratado con mayor profundidad en la parte II de la obra.
CAPITULO IV
E- Elementos de gobierno, riesgo y control.
1. Modelos alternativos para el gobierno corporativo.

2. Marcos alternativos de control.
5. Implicaciones de riesgo y control de las diferentes estructuras
organizacionales.
6. Implicaciones de riesgo y control de los distintos estilos de liderazgo.
9. Técnicas de administración del control.
10. Tipos de control (preventivo, detectivo).
1. Modelos alternativos de gobierno corporativo.

Proceso de gobierno.
Las Normas para la Práctica Profesional de la Auditoría Interna definen al proceso de

gobierno como aquellos procedimientos utilizados por los representantes de los accionistas
y otros interesados en la organización con el objeto de proporcionar una adecuada
supervisión de los procesos de riesgo y control administrados por la Dirección.
Norma para la Práctica relacionada.
Norma para el Desempeño 2130.
La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas

para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos:
Promover una ética y valores apropiados en la organización.

Asegurar un efectivo desempeño directivo y una rendición de cuentas adecuada.
Efectiva comunicación de los riesgos e información de control a las áreas apropiadas
de la organización.
Efectiva coordinación de las actividades y comunicación de la información entre el
Directorio, los auditores externos e internos y la alta dirección.
Los consejos para la Práctica relacionados:
El consejo para la práctica relacionado es el 2130-1: Rol de la actividad de auditoría

interna y el auditor interno en la cultura ética de una organización.
2130. Gobierno.
La actividad de auditoría interna debe contribuir al proceso de gobierno de la

organización evaluando y mejorando el proceso a través del cual:
(1) los valores y las metas se establecen y comunican
(2) se monitorea el cumplimiento de las metas
(3) se asegura la rendición de cuentas
(4) se preservan los valores.
Naturaleza de este consejo para la práctica:
Los auditores internos deben considerar lo siguiente en la determinación del rol para jugar
en la cultura ética de la organización.
Este rol puede variar dependiendo de la existencia, falta o grado de desarrollo de la
cultura ética de la organización. Est guía no intenta representar todos los procedimientos
que pueden ser necesarios para un aseguramiento completo o trabajo de consultoría
relacionado con la cultura ética de la organización El cumplimiento de este Consejo es

opcional.
Como puede verse las nuevas normas asignan a la Auditoría Interna una gran
responsabilidad sobre los procesos de gobierno corporativo.
Como dicen las recomendaciones que propuso el Instituto en un intento de mejorar el
gobierno corporativo como respuesta a los sucesos públicamente conocidos, la Auditoría
Interna resulta ser una de las bases sobre las cuales debe edificarse un eficiente gobierno
corporativo.
Las otras bases, sobre las cuales se asienta el modelo, son el Consejo de Dirección, la
Dirección y los auditores externos.
Naturaleza del proceso de gobierno.
La organización utiliza su forma legal, estructura, estrategias y procedimientos para

asegurar que:
Se cumpla con la leyes y reglamentaciones.
Se satisfagan los preceptos éticos y las expectativas sociales de la organización.
Se proporcione un adecuado beneficio a la sociedad y se aseguren los intereses de los

accionistas y otros interesados en la organización (proveedores, clientes, empleados)
tanto en el largo como en el corto plazo.
Se informe completa y verdaderamente a los propietarios, entes reguladores, otros

interesados y al público en general para asegurar la rendición de cuentas por las
decisiones, acciones, conducta y desempeño.
La forma en que la organización elige para conducir estos asuntos y alcanzar estas cuatro
responsabilidades se llama comúnmente proceso de gobierno.
El consejo de dirección y la alta dirección deben rendir cuentas por la efectividad del
proceso de gobierno.
Responsabilidad compartida por la cultura ética de la organización.
Toda las personas de la organización están comprometidas y comparten alguna

responsabilidad por el estado de la cultura ética.
En razón de la complejidad y de la dispersión del proceso de toma de decisiones en muchas
organizaciones cada individuo debe ser un defensor de la ética.
Los códigos de conducta y las declaraciones de visión y política son declaraciones
importantes de los valores y los objetivos de la organización, el comportamiento afectado
de su gente y de la estrategia para mantener una cultura alineada con sus responsabilidades
legales, éticas y sociales.
La actividad de la auditoría interna como promotora de la ética organizacional.
Los auditores internos y la actividad de auditoría interna deben tomar un rol activo en el
soporte de la cultura ética de la organización.
Evaluación del clima ético de la organización.
Como mínimo la actividad de auditoría interna debe periódicamente evaluar el estado del
clima ético de la organización y la eficacia de sus estrategias, tácticas, comunicaciones y
otros procesos para cumplimentar el nivel deseado de cumplimiento legal y ético.
Los auditores deben evaluar la eficacia de los siguientes rasgos de una cultura ética.
Código formal de conducta, el cual es claro y entendible.
Comunicaciones frecuentes y demostraciones de actitudes y comportamiento ético por

los líderes de la organización.
Estrategias explícitas para soportar y mejorar la cultura ética con programas regulares
para actualizar y renovar el compromiso de la organización con una cultura ética.
Revisiones regulares de los procesos de la organización que puedan crear presiones y

debilitar la cultura ética.
El nuevo marco que propone el Instituto.
En respuesta a los distintos sucesos que ocurrieron en EEUU hace unos años Instituto
propuso un marco en el intento de mejora del gobierno corporativo el cual sintéticamente
delineamos:
Que los organismos que supervisan a las empresas que cotizan en forma pública sus
títulos valores en Estados Unidos (Bolsa de Valores de Nueva York, Bolsa de Valores
Americana y el NASDAQ) emitan una serie uniforme de principios para las empresas
públicas (en Estados Unidos aquellas que realizan oferta pública de títulos valores).
Que el directorio emita, junto a su reporte anual, una declaración sobre el alcance del
cumplimiento de esos principios.
Asimismo el Directorio debe informar sobre la evaluación de la efectividad del control

interno en la organización. Estas declaraciones deben tener un alcance amplio, esto es
no estar limitadas a los controles sobre el registro e información de los datos
financieros.
Por último todas las empresas públicas deben establecer y mantener una función de
auditoría interna independiente, competente y con los recursos adecuados para
proporcionar al Comité de Auditoría y a la Dirección una evaluación continua de los
procesos de riesgo y del sistema de control interno.
Si la función de auditoría interna no está presente el Directorio debe informar , en su
reporte anual porque la función no está implementada.
Los principios del gobierno corporativo.
En la misma línea el Instituto adoptó los Principios del Siglo XXI para las empresas
públicas americanas emitidos por Centro de Gobierno Corporativo de la Universidad
Estatal de Kennesaw estado de Georgia. Estos principios son:
Interacción. El gobierno corporativo requiere una interacción efectiva entre el

Directorio, la Dirección, los auditores externos e internos.
Propósito del Directorio. El Directorio debe entender que su propósito es proteger

los intereses de los accionistas mientras considera los intereses de otros interesados
(acreedores, empleados, etc).
Responsabilidades del Directorio. Las mayores áreas de responsabilidad del

Directorio deberían ser monitorear al Chief Executive Officer o Presidente,
supervisar la estrategia de la corporación, monitorear riesgos y el sistema de control
interno de la corporación. Los directores deberían ejercer un sano escepticismo en el
cumplimiento de estar responsabilidades.
Independencia. Las bolsas de valores deberían definir como director independiente

a aquel que no tiene intereses profesionales ni personales (actuales o anteriores) con
la corporación o su dirección más que el servicio como director. La vasta mayoría
de los directores debe ser independiente en hechos y apariencias para promover una
supervisión amplia.
Experiencia. Los directores deberían poseer experiencia adecuada en la industria,

compañía, área funcional o gobierno. Deberían reflejar una combinación de
perspectivas y antecedentes. Todos los directores deben recibir orientación y
educación continua para asegurar que cumplimentan y mantienen el nivel necesario
de experiencia.
Reuniones e Información. El directorio debe reunirse en forma frecuente y extensa
y tener acceso a la información y al personal que necesite para desarrollar sus
responsabilidades.
Liderazgo. Las posiciones de CEO y de director deben estar convenientemente

separadas.
Declaración . Las comunicaciones deberían reflejar las actividades del Directorio y

las transacciones en una forma transparente y oportuna.
Comités. Los comités de auditoría deben estar compuestos por directores

independientes.
Auditoría interna. Todas las compañías con cotización pública de sus títulos
valores deben mantener una función de auditoría interna efectiva y de tiempo
completo que reporte directamente al Comité de Auditoría.
El Instituto cree que estos principios involucran un modelo para el Gobierno Corporativo
porque el gobierno corporativo depende de la sinergia generada entre los cuatro
componente del sistema de gobierno: el Directorio, la dirección, los auditores internos y
los auditores externos.
Para lograr un proceso de gobierno efectivo los cuatro grupos deben estar presentes y
trabajar en forma conjunta.
Estos cuatro grupos proporcionan un efectivo sistema de controles y balances que
combinan conocimiento interno del negocio con evaluación externa independiente.
Reportes sobre el control interno.
Uno de los principios que postula este modelo es que el directorio emita una declaración
sobre la evaluación del control interno en las organizaciones.
Estas declaraciones deberían estar dirigidas a los controles internos en forma amplia y no
limitarse sólo a los controles sobre el registro y la información financiera.
En opinión del Instituto, esta es una herramienta poderosa para proteger a los accionistas e
inversores.
Para asegurar un reporte efectivo la auditoría interna debería reportar al Comité de
Auditoría sobre la adecuación y efectividad del control interno.
El reporte debería incluir las opiniones de la Dirección sobre la suficiencia del control
interno, el resultado de las pruebas de control interno efectuadas por los auditores internos
y el trabajo del auditor externo.
El Comité de auditoría debería evaluar la adecuación del reporte y realizar las
recomendaciones apropiadas al Directorio para el reporte externo.
Auditoría Interna.
Los auditores internos y el comité de auditoría se soportan mutuamente. La consideración

del trabajo de los auditores internos es esencial para el Comité de Auditoría para obtener un
completo entendimiento de las operaciones de la organización.
La auditoría moderna está basada en la identificación de los riesgos que debe enfrentar la
organización y de la evaluación de los controles que se implementaron para mitigar
aquellos riesgos dentro de un contexto dinámico.
2. Marcos Alternativos de control.
Para el Instituto de Auditores Internos, el marco más efectivo de control disponible es el

Marco Integrado de Control, publicado por el Comité de organizaciones patrocinadoras
de la Comisión Treadway (COSO)5.
Según el informe COSO, el control interno es un proceso efectuado por el Consejo de
Administración, la dirección y el resto del personal diseñado con el objeto de proporcionar
un grado razonable de seguridad en cuanto al cumplimiento de objetivos dentro de las
siguientes categorías:
Eficacia y eficiencia de las operaciones.
Fiabilidad de la información financiera.
Cumplimiento de las leyes y normativas aplicables.
Según el informe COSO “el control interno es un proceso, lo cual significa que no
constituye un hecho aislado sino una serie de acciones que se extienden por todas las
actividades de la entidad.
Los procesos del negocio, que se llevan a cabo dentro de las unidades y funciones de la
organización o entre las mismas, se coordinan en función de procesos básicos de
planificación, ejecución y supervisión.
El control interno es parte de dichos procesos y está integrado en ellos, permitiendo su

funcionamiento adecuado y supervisando su comportamiento y aplicabilidad en cada
momento.
Constituye una herramienta útil para la gestión pero no un sustituto de ésta.
Este concepto de control interno dista mucho de la perspectiva de algunos observadores,

que ven al control interno como un elemento añadido a las actividades de una entidad o
como una carga inevitable impuesta por los organismos reguladores o por el dictado de
una burocracia excesiva”.
5
Los nuevos conceptos del control interno (Informe COSO). Ed. Coopers & Lybrand. Ediciones
Díaz de Santos.
Las personas y el control interno.
El control interno lo llevan adelante las personas, en este caso, el Consejo de

Administración, la dirección y los demás miembros de la entidad.
Los empleados deben conocer sus responsabilidades y los límites de su autoridad. Ha de
existir un vínculo estrecho entre las funciones de cada individuo y la forma de ejecución de
dichas funciones.
Seguridad razonable.
El control interno sólo puede aportar un grado razonable de seguridad a la Dirección y al

Consejo de Administración acerca de las consecuencias de los objetivos.
Las limitaciones de todos los sistemas de control interno son:
Las opiniones en que se basan las decisiones pueden ser erróneas.
Los empleados encargados del establecimiento del control tienen que establecer los
costos y beneficios relativos.
Pueden producirse problemas a raíz de fallos humanas.
Pueden esquivarse los controles si dos o más personas se lo proponen.
La alta dirección puede eludir el sistema si lo estima oportuno.
Los cinco componentes del control interno y su relación con objetivos y procesos.
Los componentes del control interno que el informe COSO determina son los siguientes:
Ambiente de control:
Constituye la integridad, los valores éticos y la competencia, consiste en la filosofía de la

dirección y su estilo operativo y los métodos de asignación de autoridad y responsabilidad
así como el desarrollo y la organización del personal.
Incluye el basamento sobre el cual se edifica el control interno.
La evaluación de riesgos es la identificación y el análisis de los riesgos relevantes para el

cumplimiento de los objetivos y la forma en que se manejan o administran los riesgos en un
entorno cambiante y dinámico.
Las actividades de control son las políticas y procedimientos para la aprobación,

autorización, verificación, reconciliación, revisión de operaciones, seguridad de los
activos y segregación de responsabilidades.
Las informaciones pertinentes deben ser comunicadas para permitir que las personas
puedan llevar adelante sus responsabilidades.
Monitoreo.
El sistema de control interno necesita ser monitoreado para determinar la calidad del su
desempeño.
Los objetivos.
Cada entidad tiene una misión la cual determina sus objetivos y las estrategias necesarias
para alcanzarlos.
Pueden existir objetivos globales, es decir para toda la organización o específicos para
una determinada actividad.
El informe COSO clasifica a los objetivos en tres categorías:
Operacionales: son aquellos relacionados con una utilización eficaz y eficiente de los
recursos.
Información financiera: son aquellos dirigidos a la preparación y publicación de estados

financieros fiables.
Cumplimiento. son los que están relacionados con en el cumplimiento de las leyes, normas
y regulaciones.
Relación entre los objetivos y los componentes.
Existe una relación entre los objetivos, que es lo que la organización pretende conseguir y
los componentes que son los elementos necesarios para cumplir con esos objetivos.
Esta relación puede ilustrarse mediante una matriz tridimensional, tal como se presenta
abajo:
Las tres categorías de objetivos son las columnas verticales.

Los cinco componentes están representados por filas.
Las unidades o actividades están representadas por la tercera dimensión de la matriz.
El control interno, componentes, objetivos y unidades, actividades.
OBJETIVO
miento
Cumpli
iones
Operac
Infiorm
financi
acion
era
Unidad 1
Actividad 1
SUPERVISION
INFORMACION Y
COMUNICACION UNIDADES/
ACTIVIDAD
COMPONENTES
ACTIVIDADES DE CONTROL
EVALUACION DE RIESGOS
AMBIENTE DE CONTROL
Eficacia del control.
El control interno puede considerarse eficaz en cada una de las 3 categorías si el consejo de
Administración y la Dirección tienen una seguridad razonable que:
Disponen de información adecuada sobre hasta que punto se están logrando los
objetivos operacionales.
Se preparan en forma fiable los estados financieros públicos.
Se cumplen las leyes y las normas aplicables.
La actividad de auditoría interna y el control.
Según la norma de desempeño 2120, la actividad de auditoría interna debe asistir a la

organización en el mantenimiento de controles efectivos y evaluando su eficacia y
eficiencia y promoviendo su mejora continua.
Con lo cual, las Normas otorgan a la función de auditoría una responsabilidad importante
sobre la supervisión en el control y su mejoramiento.
Es importante, recalcar que, la actividad de auditoría no tiene una responsabilidad primaria
sobre el control la cual recae en las unidades operativas, la alta dirección y el Consejo, es
decir, en la organización misma como un conjunto.
En cambio, establece responsabilidades claras e indudables de asesoramiento y supervisión
sobre las actividades de control de la organización.

Riesgo. Concepto.
Se define al riesgo como la probabilidad de que un hecho o una acción adversa puede
afectar negativamente el cumplimiento de los objetivos de una organización.
El riesgo se mide en términos de la probabilidad de su ocurrencia y la gravedad que el

mismo encierra para la organización.
La organización en su conjunto y todas las actividades que esta realiza se enfrenta a un

sinnúmero de riesgos algunos de los cuales provienen del ambiente externo en el cual la
organización opera y otros tienen su origen en la propia organización.
El riesgo debe ser manejado en forma adecuada a través de controles eficientes y eficaces
pero como se debe tener presente siempre el concepto de economía del control, cierto nivel
de riesgo queda presente y debe ser soportado por la organización.
La forma de administrar el riesgo y la magnitud de riesgo no controlado es responsabilidad

de la administración pero el consejo de dirección y el comité de auditoría tienen la
responsabilidad de determinar si el proceso de manejo de riesgos se encuentra
implementado y recomendar mejoras para su adecuación y mejora.
Riesgo inherente.
Por riesgo inherente entendemos aquel riesgo en ausencia de cualquier control.

Es el riesgo inherente al negocio de la organización.
Este riesgo puede ser diferente según la organización y el tipo de actividad de la cual se
trate.
El riesgo inherente de una organización que se dedica a la prospección y extracción de

petróleo y gas puede ser mayor que una que se dedique a la distribución y comercialización
de alimentos y posea una oferta muy diversificada.
Del mismo modo, el riesgo inherente sobre una valuación errónea sobre el rubro de cuentas
a cobrar es mayor que la aseveración del auditor interno sobre la continuidad del negocio.
También puede variar de acuerdo a la complejidad de los cálculos: la posibilidad de errores

en el cálculo de la amortización utilizando el método de la línea es menor que la de que
existan errores en el calculo de los gastos por pensiones.
El tipo de activo del cual se trate también tiene incidencia en el grado del riesgo inherente:
el efectivo presenta un mayor riesgo de robo que un inventario de material para la
construcción.
El auditor interno puede evaluar el riesgo inherente del cliente observando la industria en su
conjunto.
Si bien puede parecer, que el riesgo inherente proveniente exclusivamente del ambiente
externo, es decir del ambiente donde la empresa opera, existen ciertas situaciones que
hacen que las organizaciones se enfrenten a riesgos inherentes que provienen de decisiones
tomadas en el ámbito interno de la empresa y que la exponen a riesgos, que otras
organizaciones que operan en la misma industria no tienen.
Tal sería el caso de aquella organización que, para tener una respuesta más flexible y rápida
a los requerimientos de los clientes y a los cambios del mercado elige no tener
procedimientos y políticas escritas.
Estos riesgos creados por la cultura de la organización son riesgos inherentes al estilo de la
organización.
El auditor debe tener un interés especial en el riesgo inherente.

En él influyen la naturaleza de los procesos de negocio y el estilo de la dirección.
Para especificarlo mejor, dos organizaciones que trabajan en la misma industria tienen
riesgos inherentes comunes porque participan del mismo ambiente externo pero sus grados
de riesgo pueden ser diferentes porque una posee normas escritas y estructuras
organizativas más sólidas y competentes que la otra.
Riesgo de control.
Cuando se ha considerado apropiadamente el riesgo inherente es necesario pasar a

considerar las acciones de control que la organización ha tomado para hacer frente a ese
riesgo.
En ese sentido, el riesgo de control es que un error o una situación falsa o errónea no sea
detectado por el sistema de control interno de la entidad, sus políticas o procedimientos.
La organización comienza sus operaciones con determinados riesgos inherentes y grados de

exposición a ese riesgo motivados por el ambiente externo en el cual opera y por su estilo
de liderazgo que, como vimos, pueden influir en el grado de riesgo inherente que una
organización puede estar enfrentando.
Una vez implementados los controles necesarios para mitigar las consecuencias de los
riesgos queda siempre un nivel de riesgo y que constituye aquel denominado riesgo del
control.
Esta situación se produce por el concepto de razonable seguridad o principio de economía

de control que hace que deban balancearse los costos del establecimiento de los controles y
los potenciales beneficios que estos traerán.
Dicho de otra manera no sería económico controlar el 100% de los procesos y de las
operaciones y ello siempre deja un margen de exposición al riesgo, lo que se llama
comúnmente riesgo residual.
Riesgo de detección.
Consiste en que el auditor no detecte los errores o inexactitudes sobre las aseveraciones de
la organización.
Ocurre, por varias razones, algunas de ellas pueden ser:
El auditor, por razones de economía de control, no revisa la totalidad de las

transacciones, sino que trabaja en función de muestras significativas de la población
bajo estudio.
Pueden existir incertidumbres, errores, fallas por la selección de procedimientos de
auditoría que no resultan ser adecuadas o apropiados, errores en la aplicación de los
mismos o en la interpretación de los resultados de las pruebas que el auditor lleva
adelante.
Muchas de estas incertidumbres pueden ser reducidas a través de una adecuada

planificación y supervisión.
De la misma forma que existe un riesgo de control, entre otras cosas, porque la
organización aplica controles selectivos y parciales y no puede controlar el 100% de las
operaciones existe un riesgo de detección en razón de la naturaleza del trabajo de auditoría.
El auditor en su esfuerzo de trabajo realiza distintos procedimientos con la intención de

reducir el riesgo de detección a un nivel aceptable.
Puede decirse que cuanto mayor sean los riesgos inherentes y de control menor será el nivel
aceptado de riesgo de detección, es decir la posibilidad que el auditor no detecte
determinadas condiciones, hechos o situaciones.
El auditor modifica la naturaleza, extensión y oportunidad de sus pruebas sustantivas para

modificar el riesgo de detección, con el objeto de llevarlo a niveles aceptables o
satisfactorios.
El proceso de riesgo en la organización.
RIESGO DE
DETECCION
Evaluació
n de
riesgos y
controles
Auditoría
interna
RIESGO DE
CONTROL
Adminis
tración
del
riesgo
Procedimien
tos y
políticas de
control
Ambiente RIESGO Estilo de

externo INHERENTE dirección
Normas para la práctica relacionadas.
La norma para la Práctica Profesional de la Auditoría relacionada con este tema es la

Norma de desempeño 2100 Naturaleza del trabajo que dice:
2100. Naturaleza del trabajo.
La actividad de auditoría interna evalúa y contribuye a la mejora de los sistemas de

manejo de riesgo, control y gobierno.
Por su parte el Consejo para la práctica relacionado 2100-3 dice:
...”Los auditores internos tienen un rol clave para jugar en el manejo del riesgo de la
organización para determinar si están implementados los procesos de administración del
riesgo y si esos procesos son adecuados y eficaces.
La auditoría debe asistir al comité de auditoría y a la dirección para examinar, evaluar,
informar y recomendar mejoras en la adecuación y eficacia del proceso de manejo de
riesgos.
La dirección y el Consejo de dirección son responsables por los procesos de riesgo y
control de la organización pero los auditores actúan como consultores de la organización
en identificar, evaluar e implementar metodologías y controles dirigidos a aquellos
riesgos...”.
Técnicas de administración de riesgos.
Una vez identificados los riesgos es necesario tomar determinadas decisiones con el
objetivo de mantener la exposición al riesgo de la organización en niveles razonables.
Como hemos visto la posibilidad de eliminar los riesgos en forma completa no existe
porque, el riesgo se encuentra implícito en cualquier actividad que la organización encare.
Si se quisiera eliminar el riesgo sería necesario aumentar el control al 100% de las
actividades o deja de desempeñar toda actividad, lo cual implica, la desaparición de la
organización.
La organización cuenta con determinadas acciones que tomar en cuanto a lo que se llama
administración del riesgo.
Estas acciones mitigan las consecuencias del riesgo. En tal sentido estas acciones son:
Transferir las consecuencias del riesgo a un tercero, a través de la constitución de

pólizas de seguro o acuerdos de cobertura (swaps, contratos a término).
Implementar medidas de control que mitiguen las consecuencias del riesgo (tomar
inventarios, establecer políticas de seguridad de los bienes).
Aceptar las consecuencias del riesgo. En este caso no se toma ninguna acción y se
decide “correr el riesgo” es lo que se llama riesgo residual y debe esta decisión debe ser
tomada por el máximo nivel de la organización.
Por último, la organización puede decidir no aceptar el riesgo y abandonar la o las

actividades que estaba desempeñando.
En cuanto al riesgo residual es necesario aclarar, que las Normas, además de asignar un rol
importante a la auditoría interna en la evaluación y la administración de los riesgos también
determinan la necesidad que el auditor interno discuta con la alta dirección si considera
que, a su criterio, el riesgo residual que ha asumido es demasiado alto. Si la decisión no
puede ser resuelta entre el auditor y la alta dirección, es necesario, que el auditor informe al
Consejo de Dirección.
2600. Aceptación de los Riesgos por la Dirección
Cuando el director ejecutivo de auditoría considere que la alta dirección ha aceptado un

nivel de riesgo residual que es inaceptable para la organización, debe discutir esta
cuestión con la alta dirección. Si la decisión referida al riesgo residual no se resuelve, el
director ejecutivo de auditoría y la alta dirección deben informar esta situación al Consejo
para su resolución.
El proceso de administración de riesgos y la auditoría interna.
El proceso de administración de riesgos consiste en el mantenimiento del riesgo a niveles

razonables para la organización.
Ello implica, como hemos visto, un balance razonable entre el riesgo y el control.
La dirección debe asegurarse que el proceso está implementado y funcionando.
Según las Normas, la auditoría interna debe asistir a la Dirección y al Comité de Auditoría
en el examen, evaluación, informe y recomendaciones de mejora en la adecuación y
eficacia del proceso de manejo de riesgos.
Para ello es necesario que el director ejecutivo de auditoría interna obtenga un
conocimiento de las expectativas de la Dirección y el Consejo de Administración sobre el
rol de la auditoría interna en el proceso de manejo de riesgos.
Además como se trata de un trabajo realizado en conjunto las actividades y
responsabilidades de los dos grupos (Dirección y Auditoría Interna) deben estar
coordinadas.
En este sentido, es recomendable que se encuentren apropiadamente documentadas en los
planes estratégicos de la organización, políticas de la Dirección, directivas y
procedimientos operativos.
Así como cualquier tipo de decisión de la organización reside en distintos niveles según la
importancia de la misma, las tipos de decisiones sobre riesgo se deben encontrar
apropiadamente asignadas de acuerdo a lo siguiente:
La aceptación del riesgo residual debe ser asignada al nivel ejecutivo de dirección.
La alta dirección debe ser la propietaria de los riesgos.
Las actividades de identificación, evaluación, mitigación y monitoreo puede ser

asignada a cada nivel operativo, con el objetivo que toda la organización pueda
identificar los riesgos que impliquen las actividades que desempeñan y las medidas que
pueden ser tomadas para mitigarlos. En ese sentido esta recomendación es importante
porque crea una “cultura del riesgo y del control” en la organización.
La auditoría interna tiene la responsabilidad de una evaluación y aseguramiento

periódico, ello incluye una apropiada identificación y evaluación de exposición de
riesgo significativo de la Dirección. Hay que aclarar que el proceso de evaluación de
riesgos es diferente que la utilización del riesgo en la planificación de la auditoría, sin
embargo la información sobre la identificación y los intereses de la Dirección sobre los
riesgos puede ser utilizada por la auditoría interna en el planeamiento de sus
actividades.
Los distintos roles que la actividad de auditoría interna pueden desempeñar en el

proceso de administración de riesgos pueden variar a través del tiempo y pueden ser:
No desempeñar ningún rol.
Incluír el proceso de evaluación de riesgos como parte del plan de auditoría interna.
Dar un soporte continuo y activo en la evaluación de riesgos tal como la participación

de la auditoría interna en comités de supervisión, actividades de monitoreo e informes
de estado.
Administrar y coordinar el proceso de administración de riesgos.
En última instancia, es responsabilidad del Comité de Auditoría y de la Dirección la

determinación del rol que la Auditoría Interna va a desempeñar en el proceso de
administración de riesgos.
Esta determinación estará influenciada por un conjunto de factores los cuales, entre
otros, serán:
La cultura de la organización.
Las capacidades del personal de auditoría interna.
Las condiciones y costumbres locales.
5. Implicaciones de riesgo y control en las diferentes

estructuras organizacionales..
Estructura organizativa.
La estructura de la organización proporciona el marco en que se producen los procesos de

planificación, ejecución, control y supervisión con el objeto de cumplir con los objetivos
establecidos.
Entre los temas más importantes que tienen que ver con el riesgo y control están las
definiciones de las áreas de autoridad y responsabilidad.
En general, las organizaciones, adoptan las estructuras que mejor se adaptan a sus
necesidades.
Algunas entidades adoptan estructuras centralizadas otras descentralizadas.
La estructura depende de su tamaño y de la naturaleza de las actividades que desarrollan.
Una organización con estructuras muy rígidas y con líneas de autoridad y responsabilidad
altamente formalizadas puede resultar adecuada para una organización que posea varias
divisiones operativas.
Pero, quizás esa misma estructura, puede ser inconveniente para organizaciones más chicas
que necesitan estructuras más flexibles con líneas de autoridad y responsabilidad más
informales.
Asignación de autoridad y responsabilidad.
Esto incluye tanto la asignación de autoridad y responsabilidad para las actividades de

gestión como para el establecimiento de las relaciones de jerarquía y de las políticas de
autorización.
Está relacionada con la forma que se impulsa y fomenta a nivel individual y colectivo a
emplear la iniciativa cuando se encaran temas y formulan soluciones y determinar los
límites a la autoridad.
También tiene relación con el descubrimiento de las prácticas adecuadas, habilidades y

competencia del personal y los recursos que se ponen a su disposición para llevar adelante
los objetivos que se le encomendaron.
Muchas organizaciones tienen la tendencia a la delegación de funciones, es decir, a tratar

que las decisiones se tomen en el nivel más bajo posible de la organización.
Esto puede favorecer la respuesta a las satisfacciones del cliente o hacer que la
organización se muestre más flexible a los requerimientos y necesidades del mercado en el
cual opera.
En general para que la delegación sea eficaz y eficiente debe haber límites claros y en que
se delegue únicamente para satisfacer mejor los objetivos.
En tal sentido es necesario garantizar que los riesgos se asumen en forma responsable y que
los empleados poseen la capacidad y tienen la competencia necesaria.
Es importante, además, que cada empleado entienda como se relaciona con el resto de la
organización y la forma en que su actividad contribuye en el cumplimiento del objetivo
global.
¿Qué evaluar?
El auditor en su evaluación de la estructura organizativa debe prestar atención:
La idoneidad de la estructura organizativa de la entidad y su capacidad para

proporcionar el flujo de información para gestionar las actividades.
La suficiencia de la definición de las responsabilidades de los directivos clave y sus

conocimientos de los mismos.
La suficiencia de los conocimientos y experiencia a de los directivos clave teniendo en

cuenta sus responsabilidades y conocimientos.
La asignación de responsabilidad y delegación de autoridad para hacer frente a las

metas y objetivos, funciones operativas y requisitos reguladores incluyendo la
responsabilidad en cuanto a los sistemas de información y gestión de los cambios.
La suficiencia de las normas y procedimientos relacionados con el control.
El número de personas adecuado, sobre todo en relación con las funciones del
procesamiento de datos y la contabilidad teniendo en cuenta el tamaño de la entidad así
también como la naturaleza y complejidad de sus actividades y sistemas.
Las políticas y procedimientos adecuados para la contratación, formación, promoción y

remuneración de los empleados.
La capacidad de los criterios para retener y promocionar y las evaluaciones de

desempeño y su relación con el código de conducta y otras prácticas.
6. Implicaciones de riesgo y control de los distintos estilos

de liderazgo.
Concepto de liderazgo.
El liderazgo puede ser definido como el arte de estimular e influenciar el desempeño de

otros.
El liderazgo proviene del poder pero ese poder puede ser un poder coercitivo o carismático.
Los diferentes estilos de liderazgo.
Los estilos de liderazgo pueden ser definidos como:
Autocrático: Se trata de líder que orden al resto de la gente lo que tiene que hacer.
Consultivo: En este caso el líder tiene confianza en sus empleados, proporciona

recompensas con el objetivo de motivar y castigos cuando es adecuado.
Desarrolla canales de comunicación adecuados tanto hacia arriba como hacia abajo.
Este líder escucha a los empleados pero se reserva para sí el poder de decisión.
Participativo: Los empleados pueden proporcionar información necesaria para la toma de

decisiones y el líder incluye los puntos de vista de ellos cuando toma las decisiones.
Liberal.: En este caso el líder adopta una actitud de “dejar hacer” en donde los empleados
toman sus propias decisiones.
Relaciones con el riesgo y control.
El control puede ser desarrollado de distintas maneras. El control impuesto es el tradicional.

En este caso se mide el desempeño contra los standard impuestos se toman acciones
correctivas y se monitorea si esta acción trae los resultados esperados.
Pero este control trae connotaciones negativas: el control, al comparar y resaltar las
acciones equivocadas de las personas produce una disminución en su autoestima.
Además los empleados tienen tendencia a evitar que personas ajenas al grupo ejerzan
funciones de control y por eso tiende a sabotear y resistir los controles.
Por tal motivo muchos gerentes toman las siguientes medidas.
Participan a los empleados en el establecimiento de controles.
Se aseguran que los objetivos de los controles sean comunicados ampliamente.
Utilizan los controles con el fin de conseguir los objetivos y no para imponer reglas
estrictas que provoquen censuras o castigos.
Es evidente, que los estilos de liderazgo participativos fomentan y alientan el

establecimiento de controles por parte de los empleados o responsables operativos del
proceso y requieren de ellos sus opiniones, deseos y sugerencias a los fines de lograr una
mayor participación y en definitiva una mejor aceptación y compromiso.
Este proceso, alentado por la Dirección y llevado adelante por los propios responsables del
proceso resulta ser altamente positivo porque eliminan muchos de los problemas que trae el
establecimiento de controles impuestos “desde afuera “ del proceso.
Los controles establecidos desde dentro del proceso resultan ser mucho más efectivos y
gozan de una mejor aceptación por parte de los empleados involucrados en el proceso.
En cambio, los líderes autocráticos, tienden a implementar estructuras de control más
rígidas y formales poco participativas y con alto grado de imposición.
A continuación vemos el siguiente cuadro que ejemplifica y relaciona los distintos estilos
de liderazgo y su relación con los riesgos y controles.
Estilo de liderazgo Estructuras de control Efectos sobre el control
Autocrático Rígidas, formales e Control que puede ser

impuestas discutido y no aceptado.
Posibilidades de sabotaje y
elusión. Bajo grado de
compromiso en los
responsables de las tareas. El
desarrollo e implementación
de este tipo de controles
suele ser más rápida.
Participativo Flexibles, informales y Auto-control. Los
participativos. responsables del proceso
diseñan e implementan sus
propios controles. Requiere
una gran dosis de
compromiso, responsabilidad
y conocimiento de las
objetivos y las tareas por
parte de los empleados.

El citado informe COSO, cita lo siguiente con relación a lo que se llama “gestión del
cambio”
...”Los cambios producidos en la economía, el sector de la actividad, la reglamentación y

las actividades de la empresas hacen que un sistema de control interno que se considera
eficaz en un entorno quizás no lo sea en otro.
En el contexto del análisis del riesgo resulta fundamental que exista un proceso para
identificar las condiciones que han cambiado y tomar acción sobre los cambios que se
produjeron.
Aunque todas las actividades necesitan tener un proceso ya sea formal o informal para
identificar las circunstancias que puedan afectar de forma significativa su capacidad
para conseguir objetivos.
Una parte clave de dicho proceso son los sistemas de información que están en
condiciones de captar, procesar y suministran información sobre los acontecimientos,
actividades y condiciones que indican la existencia de cambios ante los cuales es
necesario que la organización reaccione.
Este proceso supone la identificación de la circunstancia que ha cambiado (pueden
tratarse de cambios en la tecnología, condiciones de la competencia, aparición de nuevos
productos, tendencias, modas, regulaciones etc) y el análisis de las oportunidades y
riesgos asociados.
Tal análisis incluye la determinación de las posibles causas del cumplimiento o no
cumplimiento de un objetivo, la evaluación de la probabilidad de que tales causas se
produzcan, la evaluación del posible efecto sobre el incumplimiento de los objetivos y la
consideración de hasta que punto puede ser controlado dicho riesgo o aprovechada esta
oportunidad.”..
El cambio y el control
Los factores siguientes deben ser objeto de una atención especial:
Cambios en el entorno operacional.
Si se producen cambios en las leyes o en el entorno económico pueden aparecer nuevos

competidores o desaparecer otros y motivar la aparición de riesgos que no existían hasta
entonces.
Nuevos empleados.
Un alto nivel de rotación junto con la ausencia de sistemas eficaces de formación y

supervisión pueden ser las causas de incidencias y problemas de control.
Sistemas de información nuevos.
La aparición de nuevos sistemas de información está muy relacionada con el control porque
generalmente la implementación de nuevos sistemas de información convierte en ineficaces
los sistemas de control que se venían utilizando.
Crecimiento rápido.
Cuando el volumen de operaciones crece en forma rápida y muy importante es posible que
los sistemas existentes se vean sometidos a una presión tan grande que los controles dejen
de funcionar.
Nuevas tecnologías.
La incorporación de nuevos sistemas o tecnologías de producción provocará que los

sistemas de control deban ser modificados.
La automatización de los procesos hace que muchas veces los controles manuales que se
venían realizando no puedan seguir llevándose adelante y deban ser reemplazados por
otros.
Conflicto.
El conflicto está presente en todas las organizaciones y se muestra en una variedad de

grados.
En muchas organizaciones se mantiene razonablemente bajo control y es causado por
diferencias entre la gente o las organizaciones por:
Métodos de desarrollo de actividades.
Problemas con áreas de responsabilidad.
Compromiso de recursos.
Ideología y ética.
Los conflictos entre el auditor y el auditado son comunes. En razón de que el auditor toma
un actitud adversaria se producen las bases para el conflicto.
Los conflictos pueden ser resueltos por:
Arbitraje
Mediación
Compromiso.
Técnicas para resolver conflictos.
Los auditores deben estar preparados para el conflicto y la disputa porque son inherentes a
su trabajo.
Tienen que ser capaces de resolver disputas, soportar adecuadamente las evidencias y
ampliar las pruebas sin dificultad ni tardanza.
Una buena técnica consiste en preparar una lista de objeciones y las posibles respuestas que
se pueden interponer para contestarlas.
En definitiva, cuanto mejor preparado esté el auditor para defender sus observaciones
mayor será la credibilidad que tendrá su informe y más fácilmente serán aceptadas sus
recomendaciones.
Se dice que el auditado está siempre a la defensiva. Pero esa barrera puede ser removida y
alcanzado los acuerdos.:
Mantener buenos modales. La utilización, por parte del auditor, de frases tales como
“Estoy en desacuerdo con usted”, “Usted está equivocado” o el empleo de frases
hirientes u ofensivas provoca una actitud defensiva del auditado y destruye la

comunicación e impide el cumplimiento de los objetivos del auditor.
Utilizar frases no personales. Cuando se está en desacuerdo se deben evitar, las frases
que tienen un connotación personal.
Frases de tono más impersonal como “Valdría la pena considerar” o “Quizás puede ser
útil investigar” hacen que sea menos probable que se enciendan las emociones.
Utilizar el sentido común. Existen ocasiones donde es recomendable dejar algunos
temas un tiempo hasta que puedan volver a ser discutidos con mayor tranquilidad y
menos emocionalmente.
No poner a nadie contra la pared. El objetivo del auditor es que se lleven a cabo sus
recomendaciones y conclusiones no que los auditados cambien su parecer.
No confundir los puntos de vista con un desacuerdo. Ellos realmente no están en
desacuerdo sino simplemente quieren una chance para justificar la posición o explicar
las razones de su posición.
Cuando no se puede llegar a un acuerdo es importante que el auditor incluya los puntos de
vista del auditado en su informe.
También es importante que los auditores estén dispuestos a modificar el lenguaje y las
frases de su reporte para utilizar las palabras sugeridas por el auditado si es que no se
modifica el sentido de sus recomendaciones y sugerencias.
Por último el auditor debe estar seguro de esta considerando sólo aquellos aspectos que son
relevantes y estar dispuesto a realizar los cambios necesarios en beneficio de su reporte.
Involucrar al auditado en la formulación de las recomendaciones.
Uno de los métodos que reducen los conflictos entre el auditado y el auditor fue formulado
por W.L.Kendig6.
Se propone que el auditor emita sus reportes sin las recomendaciones y sugerencias. En su
lugar se le pide al auditado que elija entre al menos dos alternativas diferentes para
solucionar las observaciones.
El auditado debe elegir alguna de las dos posibilidades y justificarla.

Por su parte el auditor evalúa las soluciones elegidas por el auditado y si entiende que
deben ser rechazadas, debe explicar las razones.
El método elimina la necesidad de que el auditor tenga que defender sus recomendaciones
posibilitando que el auditado elija la alternativa más conveniente y de esa forma se sienta
más predispuesto a llevarlas adelante.
6
W.L.Kendig, “Finding without recommendations”. The Internal Auditor June 1983 45-47.
Sugerencias para mejorar las respuestas del auditado a las observaciones y

recomendaciones.
Las recomendaciones deben ser específicas con el fin de facilitar la medición de las
medidas correctivas.
Si las recomendaciones involucran aspectos operativos deben ser discutidas con los
responsables de línea para facilitar y posibilitar su implementación.
Los auditores internos deben estar al tanto de los nuevos planes, operaciones y
actividades que se encaren y proponer las recomendaciones tendientes a la mejora. Sin
embargo no deben interferir sobre la autoridad o el proceso de toma de decisiones de la
dirección.
Finalmente existen algunos principios7 que es conveniente tener en cuenta si se quiere

mejorar la aceptación de las observaciones que el auditor realice:
Calidad de las recomendaciones: Las recomendaciones deben ser útiles y valiosas,

claras, convincentes y posibles. Su utilidad y relevancia debe ser reevaluada a través de
la acciones de seguimiento.
Compromiso: Es importante que la auditoría y los auditores demuestren tener una

compromiso con el cambio en la organización.
Monitoreo y seguimiento: Los auditores deben tener un sistema útil para realizar el
monitoreo y seguimiento de las recomendaciones que efectúen a sus auditados. Al
mismo tiempo, deben evaluar si las unidades auditadas cuentan con sistemas adecuados
y apropiados para realizar el monitoreo y seguimiento de las recomendaciones de
auditoría.
Por último el estudio de la GAO citado aconseja que, para ser efectivas, las
recomendaciones deben:
Atacar las causas subyacentes de los problemas.
Ser factibles
Ser costo-efectivas, es decir que los beneficios que traerán las soluciones sean mayores
que los costos de su implementación y puesta en marcha.
Considerar alternativas.
7
“How to get action on Audit Recommendations”, GAO (General Accounting Office).
9. Técnicas de administración de control.
Definición del control interno.
Recordando la definición que el citado informe COSO8 proporciona del control interno
“un proceso realizado por el directorio, las gerencias y demás personal de la empresa
con el objeto de brindar una razonable seguridad sobre el logro de los objetivos en las
siguientes categorías:
Efectividad y eficacia de las operaciones.
Cumplimiento de las leyes y reglamentaciones aplicables.
Confiabilidad de la información financiera.”
Elementos del sistema de control.
Los elementos que un sistema de control tiene son:

Personas.
Reglas.
Presupuestos.
Cronogramas.
Medios para alcanzar el control.
Algunos de los medios con que una organización cuenta para alcanzar el control son:
Organización.
Políticas.
Procedimientos.
8
Control Interno, Marco Integrado , Comité de Organizaciones patrocinadoras de la Comisión
Treadway.
Personal.
Contabilidad.
Presupuestos.
Información.
Organización:
La organización es la estructura intencionada de los roles que se asignan a las personas

para que la empresa pueda cumplir sus objetivos de una manera económica y eficiente.
Los gerentes deben tener la autoridad necesaria para tomar sus decisiones de manera
de descargar sus responsabilidades.
Las responsabilidades pueden ser divididas de forma tal que una persona no
concentre todas las responsabilidades del proceso.
El funcionario que asigna responsabilidad y delega autoridad debe tener un sistema
efectivo de seguimiento para asegurar que las responsabilidades se llevaron a cabo
de acuerdo a lo previsto.
La definición de la responsabilidad de los individuos en la organización debe ser
clara de forma tal que no sea excedida o eludida.
Los superiores deben requerir una apropiada rendición de cuentas sobre el
cumplimiento de las responsabilidades asignadas.
La organización debe ser flexible a los cambios de planes, políticas y objetivos.
La estructura de la organización debe ser lo más simple posible.
Para un mejor conocimiento de las jerarquías de autoridad, tareas y asignación de
responsabilidades es conveniente la preparación de organigramas.
Políticas.
Una política es una declaración de principios que requiere, proporciona directivas o

limita las acciones.
Los rasgos que debe contener una buena política son:
Las políticas deben estar claramente establecidas por escrito en manuales y

apropiadamente aprobadas.
Deben ser comunicadas en forma sistemática a todos los empleados de la
organización.
Deben estar de acuerdo con las leyes y regulaciones y consistentes con los objetivos
y metas de la organización.
Deben promover la utilización eficaz y eficiente de los recursos y la protección de
los activos.
Deben ser revisadas y actualizadas en forma periódica.
Procedimientos.
Los procedimientos son los medios de que se valen los empleados para llevar adelante
las actividades de acuerdo a las políticas emitidas.
Los mismos principios que se comentaron para las políticas deberían aplicarse a los
procedimientos.
Deberían tenerse en cuenta además lo siguiente:
Es importante que se aplique el principio del llamado “control por oposición” para
evitar la posibilidad de fraude o malversación. En este caso la actividad realizada
por un empleado es chequeada por otro que está realizando funciones separadas. Est
Este principio halla su limitación en el grado de riesgo involucrado en la operación
a controlar, el costo de los procedimientos preventivos, la disponibilidad de
personal y en definitiva el principio de costo-beneficio del control donde los
beneficios que trae la implementación de medidas de control deben ser mayores a
los costos de su implementación.
En el caso de operaciones que no sean mecánicas los procedimientos no deben ser
tan detallados como para impedir la utilización del juicio o sentido común del
empleado.
Para promover la máxima eficiencia y economía los procedimientos prescriptos
deben ser tan simples y económicos como sea posible.
No deben ser conflictivos o duplicados.
Personal
El personal asignado debe tener las competencias necesarias para realizar el trabajo. La
mejor forma de control sobre el personal es la supervisión. En consecuencia, se deben
establecer altos estándares de desempeño.
Las siguientes prácticas ayudan a mejorar el control:
Los empleados nuevos deben ser investigados, particularmente en lo referente a su
honestidad y confiabilidad.
Los empleados deben tener la oportunidad de mantenerse capacitados, actualizados
e informados de las nuevas políticas y procedimientos.
También deben ser informados sobre las responsabilidades y deberes de los puestos
del resto de la organización con el objeto que puedan entender mejor como sus
puestos se insertan en el resto de la organización como un todo.
El desempeño de todos los empleados deben ser revisados periódicamente para ver
si están cumpliendo sus objetivos. El desempeño suficiente debe tener un
reconocimiento apropiado y en caso que el mismo no fuera el apropiado esta
situación debe ser discutida con los empleados para que tengan oportunidad de
mejorar su desempeño o mejorar sus competencias.
Contabilidad.
La contabilidad es el medio indispensable para conseguir el control financiero sobre las

actividades y recursos.
Algunos principios sobre los sistemas de contabilidad:
La contabilidad debe estar alineada a las necesidades de los gerentes para la toma de
decisiones.
Debe estar basada en las líneas de responsabilidad.
Los reportes financieros de resultados operativos deben seguir a las unidades
organizacionales que llevan adelante las operaciones.
La contabilidad debe permitir que se puedan identificar aquellos costos

controlables.
Presupuesto.
Un presupuesto es una declaración de resultados esperados expresadas en términos

numéricos. Como una forma de control fija un standard para la asignación de recursos
y lo que se pretende alcanzar como ingreso o producto.
Es conveniente que:
Participen aquellos que son responsables de su cumplimiento.
Se suministre información a los responsables del presupuesto sobre la comparación
entre los resultados alcanzados y los presupuestados y las causas de las
desviaciones.
Todos los presupuestos de las distintas unidades de negocio deben estar alineados
con el presupuesto global de la organización.
Los presupuestos deben implicar objetivos medibles.
El presupuesto es una manera de disciplina y coordinación porque implica alinear
objetivos que a veces pueden ser contrapuestos.
Informes
La información sirve para la toma de decisiones porque generalmente, en base a ello se

toman los gerentes toman sus decisiones.
En tal sentido, la información debe ser oportuna, precisa, relevante y económica.
Algunos de los principios que debe tener un buen sistema de información son:
Los informes deben ser hechos de acuerdo a la asignación de responsabilidades.
Se debe requerir que los individuos o las unidades reporten sólo sobre los asuntos
sobre los cuales son responsables.
Los costos de la obtención de los datos y preparar la información deben ser
comparados con los beneficios de obtenerlos.
Los informes deben ser tan simples como lo posible y consistentes con la naturaleza
de su objeto. Deben incluir sólo la información que sirva a las necesidades de los
lectores.
Cuando sea apropiado, los reportes deben incluir comparaciones con los estándares
de calidad, desempeño, costo y cantidad.
Cuando el desempeño no pueda ser informado en términos cuantitativos los
informes deben ser diseñados para enfatizar las excepciones u otros asuntos o
cuestiones que deban requerir la atención de la Dirección.
Para maximizar su valor los reportes deben ser oportunos. Los reportes oportunos
basados parcialmente en estimaciones suelen ser más valiosos que aquellos reporte
más precisos pero presentados tardíamente.
Periódicamente se deben realizar encuestas para asegurarse que aquellos que los
receptores de los reportes son los apropiados y si pueden ser mejorados.
10. Tipos de control.

Tipos de control.
Los controles son diseñados para llevar adelante múltiples funciones. Algunos son
instalados para prevenir resultados indeseables antes que ocurran y en ese sentido se llaman
controles preventivos.
Otros, por otra parte, intentan detectar las consecuencias indeseables cuando ocurren y se
llaman controles detectivos.
Por último, otros, pretenden asegurarse que las acciones correctivas se han tomado para
revertir las consecuencias indeseables o verificar que no vuelvan a ocurrir y se denominan
controles correctivos.
Todos intentan funcionan para verificar si se están cumplimentando los objetivos y metas
organizacionales.
Los controles preventivos son más costo-efectivos que los detectivos. A continuación
algunos ejemplos de costos preventivos:
Personal competente.
Separación de funciones, para prevenir irregularidades.
Autorización apropiada para prevenir inapropiada utilización de recursos.
Documentación y registro adecuados para desalentar transacciones irregulares.
Control físico sobre los activos para prevenir su inapropiada utilización o disposición.
Los controles detectivos son generalmente más caros que los preventivos pero ambos son
esenciales.
Primero miden la eficacia de los controles preventivos, segundo algunos errores no pueden
ser controlados eficazmente a través de un sistema de prevención deben ser detectados
cuando ocurren.
Los controles detectivos incluyen:
Revisión y comparación.
Reconciliaciones bancarias.
Circularizaciones bancarias, a proveedores y clientes..
Inventarios físicos y análisis de las variaciones.
Auditoría interna.
Los controles correctivos se utilizan cuando ya han ocurrido las consecuencias no deseadas.
No existe ningún control correctivo eficaz si las deficiencias identificadas permanecen sin
corregir o si vuelven a recurrir.
En consecuencia la dirección debe desarrollar sistemas que permitan el seguimiento de la

irregularidad hasta que sea corregida y cuando sea apropiado deben desarrollar
procedimientos para impedir su recurrencia.
Los controles correctivos cierran el círculo que comienza con los controles preventivos y
pasan desde la detección a la corrección.
Un ejemplo de ello son los controles que se establecen sobre los movimientos de fondos.
Por un lado, la organización establece controles preventivos al establecer una adecuada

segregación de funciones entre los que registran los movimientos de efectivos y los que
emiten los cheques.
Por otro lado se establecen controles detectivos al conciliar y circularizar periódicamente
las cuentas bancarias y analizar las diferencias surgidas.
Por último, si se establece alguna irregularidad en el movimiento de fondos se procede a
realizar la investigaciones correspondientes con el objeto de establecer las causas, deslindar
y establecer responsabilidades, establecer acciones correctivas e informar los resultados a la
Dirección .Estos últimos, son controles correctivos.
Es necesario, aclarar que, no existe el control interno infalible porque hay que tener
presente que los que realizan el control son personas y pueden fallar, ya sea por
incompetencia, irresponsabilidad o colusión entre dos o más personas.
La efectividad de un buen control pasa por disminuir la probabilidad de una irregularidad a
sólo una posibilidad remota de su ocurrencia.
En consecuencia los auditores internos pueden confiar razonablemente pero no
completamente en lo que parece ser un buen sistema de control interno.
Sawyer’s Internal Auditing. 4th Edition.
Normas para la Práctica Profesional de la auditoría interna y consejos para la Práctica

relacionados. Instituto de Auditores Internos.
Recomendaciones para la mejora del Gobierno Corporativo. Instituto de Auditores Internos.
CAPITULO V
F- Planificación de trabajos.
1. Iniciar y conducir una investigación preliminar en el área del trabajo.

2. Completar una evaluación detallada de los riesgos del área (priorizar o
evaluar los factores de riesgo/control).
3. Coordinar esfuerzos del trabajo de auditoría y establecer/refinar objetivos
del trabajo y finalizar el alcance del trabajo..
4. Identificar o desarrollar criterios para el aseguramiento de los
trabajos(criterios contra los que medirse).
5. Considerar el potencial de fraude cuando se planifican los trabajos.
6. Determinar procedimientos de trabajo.
7. Establecer un adecuado planeamiento y supervisión del trabajo.
1. Iniciar y conducir una investigación preliminar con el

cliente.
El contacto preliminar con el cliente.
La etapa de la investigación preliminar constituye el primer contacto con nuestro cliente y

como tal resulta particularmente importante para el éxito del trabajo posterior.
Estudio incial
El estudio inicial corresponde a la etapa donde el auditor va a tomar conocimiento del

cliente. Lo puede hacer a través de los papeles de trabajo si existe una auditoría anterior o
bien con ayuda de información especializada del área o industria en la cual la organización
se encuentra operando.
El estudio inicial, incluye entre otras tareas el análisis de:
Los organigramas, para conocer la estructura de la organización.

Las declaraciones de autoridad y responsabilidad, que obviamente deberán ser revisadas
durante el transcurso de la auditoría.
Es importante que el auditor, durante esta primera etapa, documente adecuadamente

aquellas cuestiones que le llamaron la atención con el objeto de tenerlas presente en el resto
del trabajo.
Puede ser útil elaborar listas recordatorias donde el auditor va a ir detallando las distintas
tareas que debe realizar en las distintas etapas de su trabajo, desde la planificación pasando
por el trabajo de campo hasta la conclusión.
Una vez elaboradas estas listas el auditor puede elaborar ya una “tabla de contenidos”
donde incluirá las distintas documentaciones que va a agregar a sus papeles de trabajo y
una referenciación preliminar y tentativa con el objeto de ayudarlo a la planificación y al
ordenamiento de los papeles de trabajo.
Como la auditoría debe proporcionar un valor agregado, no será nada malo que incluya
distintas formas de reducir costos en la actividad que va a auditar, a través de mejora de
procesos, eliminación de tareas o combinación con otras y eliminación de reportes
innecesarios. Puede redactar una “lista de ahorros de costos”, la cual irá revisando y
controlando a lo largo del trabajo.
Entrevistas preliminares.
Una vez desarrollado el estudio inicial (generalmente antes de visitar al cliente) el auditor
está en condiciones de comenzar con las entrevistas preliminares.
El auditor utilizará la información de los papeles de trabajo anteriores, el archivo
permanente de auditoría y los manuales de procedimiento de la actividad que va a auditar
para obtener la información necesaria para elaborar los cuestionarios.
Los cuestionarios suelen ser técnicas muy útiles en esta etapa porque permiten obtener un
rápido conocimiento de la actividad con poco esfuerzo de trabajo y orientan la actividad de
auditoría.
Las preguntas que puede formular el auditor son variadas y no vale la pena detallarlas
porque dependerán de la situación, alcance y tipo de auditoría a realizar. Sin embargo es
necesario aclarar que las preguntas que el auditor formule deberán estar orientadas a
determinar los siguientes aspectos de la actividad bajo revisión:
Estructura de la actividad (número de departamentos, secciones, divisiones)

Cantidad de personal, cómo se los entrena y evalúa
Actividades que se están desarrollando, cuales se consideran más importantes y cuales
más problemáticas o dificultosas.
La forma en que se ejerce el control sobre las diferentes actividades.
Los distintos informes o reportes que se reciben y los que se preparan y a quienes se
envían y las fuentes en que se basan.
Los estándares que se establecieron para la actividad.
Los cambios que se han producido desde la última auditoría y el estado en que se
encuentran las recomendaciones de la anterior auditoría.
Las sugerencias del cliente sobre las cuestiones en que se debería prestar atención.
Reuniones con el cliente.
Las distintas reuniones con el cliente van a permitir que el auditor pueda comentar a su
cliente el propósito y el enfoque que le va a dar a su trabajo.
La reunión representa un punto clave y le permitirá al auditor establecer:
Objetivos, metas y estándares de la actividad a auditar.

Los riesgos involucrados.
Le servirá para conocer el estilo y cultura de la dirección.
El tono que el auditor debe llevar adelante es cooperativo tratando de no entrar en disputas
o controversias en esta etapa.
Entrevistas.
Una de las habilidades más importantes con que debe contar un auditor es su capacidad
para planificar, dirigir y registrar adecuadamente las entrevistas que pueda realizar con su
cliente.
Luego de los papeles de trabajo y, quizás más que ellos, las entrevistas proporcionan la
fuente de información primaria para el desarrollo del trabajo del auditor.
De ella surgirán muchos puntos que deben ser analizados, modificaciones al planeamiento,
y hasta propuesta de mejoras a los procesos existentes.
La entrevista, como todo buen proceso, debe ser cuidadosamente preparada. El auditor
debe, antes de la fecha de la entrevista, tener en claro cuáles son los objetivos de la
entrevista y preparar las preguntas adecuadas para alcanzarlos.
Es recomendable que las entrevistas preliminares se encuentren preparadas de antemano, es

decir no sean sorpresivas.
Ya iniciada la entrevista el auditor debe presentar los objetivos de la misma a su
entrevistado y para qué va a utilizar los resultados.
El auditor cuando conduce la entrevista debe ejercer buenas técnicas de comunicación, con
el objeto que el mensaje que quiere transmitir llegue al receptor de la manera adecuada.
Algunas de las recomendaciones que el auditor debe tener en cuenta para hacer eficiente el
proceso de comunicación con el entrevistado son:
El auditor debe establecer un clima de confianza, para que el entrevistado se sienta

cómodo de transmitir información.
Se deben evitar lenguajes técnicos y mantener una lógica en los cuestionarios que se
realicen.
Adoptar una actitud positiva y evitar enfrentamientos personales.
Evitar prejuicios porque pueden bloquear el canal de información.
Saber escuchar, es importante que el auditor desarrolle buenos hábitos de escucha,
porque si no puede perjudicar el desarrollo de la entrevista.
Saber preguntar: el auditor no debe hacer preguntas que den la respuesta en la propia
pregunta o impliquen una incriminación o preguntas por sí o por no porque agregan
poca información.
Saber registrar apropiadamente las conclusiones de la entrevista: de otra manera todo el
esfuerzo habrá sido inútil ya que no es bueno confiar en la propia memoria, además que
es recomendable que quede registro de la entrevista.
2. Completar una evaluación detallada de los riesgos.

Riesgos.
Como se vió en el capítulo II de esta obra, la planificación de la auditoría debe estar basada
en el riesgo.
El auditor debe realizar una lista de actividades auditables y luego evaluar los riesgos en
cada una de ellas y otorgarles mayor esfuerzo de auditoría a aquellas actividades que
ofrezcan mayores riesgos.
Tal cual enumeran las normas “el director ejecutivo de auditoría interna debe establecer
planes basados en los riesgos para determinar las prioridades de la actividad de auditoría
interna consistentes con los objetivos de la organización”.
En la entrevista preliminar el auditor debe identificar las principales exposiciones a los

riesgos y los controles que la organización ha implementado para tenerlos bajo control.
En este caso el auditor debe estar atento a las debilidades de control que pueden estar
ocurriendo y que no mitiguen adecuadamente la exposición.
La primera entrevista va a proporcionar información importante sobre si la identificación de
los riesgos que hace la organización es completa, sobre si son periódicamente controlados
esos riesgos que se han identificado, si existen controles inadecuados que pueden ser
identificados y corregidos y que riesgos o amenazas vale la pena auditar en detalle.
Insistimos que el auditor debe basar su análisis en dos elementos principales: riesgos y
controles. Dos preguntas pueden resumir el énfasis que debe darle a su trabajo:
¿Cuáles son las exposiciones a los riesgos que se han identificado?
¿Cuáles son los controles que ayudan a mitigar dichos riesgos?
Ejemplo:
Riesgo: “Compras en exceso de la cantidad necesaria”
Control: “Las compras son ordenadas por el usuario no por los compradores”.
Riesgo: “Los empleados retiren material del inventario”
Control: “Seguridad realiza una revisión de los bolsos y pertenencias a la salida de los
empleados”
Riesgo: “Se realicen compras no autorizadas”
Control: “Se requieren autorizaciones firmadas por responsables autorizados”
3. Coordinar esfuerzos del trabajo de auditoría,establecer

objetivos del trabajo y finalizar el alcance del trabajo.
Coordinación.
Las Normas establecen lo siguiente con referencia a la coordinación de las tareas que debe
realizar la auditoría interna.
2050-Coordinación.
El director ejecutivo debe compartir información y coordinar actividades con otros

proveedores externos e internos de servicios de aseguramiento y consultoría para asegurar
una apropiada cobertura y evitar esfuerzos duplicados.
Las tareas de coordinación del director ejecutivo deben estar orientadas a repartir esfuerzos
e información básicamente con auditores externos. Sin embargo, dentro de una
organización, existen otros profesionales que pueden colaborar con la tarea del auditor
interno, como ser abogados, investigadores y asesores externos. El auditor interno debe
establecer un trato fluido con ellos, intercambiar informaciones y programas de trabajo y
utilizar una sinergia positiva para, en conjunto, brindar un valor agregado a la organización.
Objetivos del trabajo.
Las Normas establecen con relación a los objetivos los siguiente:

2210-Objetivos del trabajo.
Los objetivos deben ser establecidos para cada trabajo.
2210-A1. Los auditores internos deben conducir una evaluación preliminar de los riesgos
relevantes a la actividad bajo revisión. Los objetivos del trabajo deben reflejar los
resultado de esta evaluación.
Asi como comentamos que la planificación de la auditoría debe estar basada en el riesgo,
los objetivos del trabajo deben contemplar una evaluación de los riesgos.
Según las Normas, los objetivos del trabajo deberían estar dirigidos a los riesgos, controles
y procesos de gobierno de las actividades bajo revisión.
Relación entre los objetivos de auditoría y los objetivos operativos.
Los objetivos del trabajo de auditoría son los propósitos o el ánimo del trabajo. Sería el
¿para qué? del trabajo, en cambio los procedimientos de auditoría son las técnicas utilizadas
para lograr el objetivo, sería el ¿con qué? del trabajo.
Los objetivos de auditoría están íntimamente relacionados con los objetivos operacionales
de la actividad.
Es por tal razón que antes de formular los objetivos de auditoría el auditor debe conocer
bien los objetivos de la organización.
Tampoco se puede conocer si los objetivos se están desarrollando eficiente y
económicamente si no se puede examinar los procedimientos empleados por el personal
operativo en cumplimiento de sus objetivos.
En todos los programas de auditoría se deben identificar los objetivos operativos que el
auditor debe evaluar si se están cumpliendo.
Los objetivos de auditoría pueden ser generales, es decir aquellos relacionados con la
totalidad de la actividad de auditoría o específicos para cada trabajo.
Si el objetivo de la actividad es comprar las mercadería adecuadas el objetivo de la
auditoría va a ser establecer si realmente se están comprando las mercaderías adecuadas y si
el diseño de los sistemas puede informar sobre el grado de cumplimiento del objetivo.
Alcance de la auditoría.
Con referencia a lo que las Normas indican con referencia al alcance podemos decir que:
2220- Alcance del trabajo.
El alcance establecido del trabajo debe ser suficiente para establecer los objetivos del
trabajo.
2220.A1- El alcance del trabajo debe incluir la consideración de los sistemas,

controles, registros personal y propiedades relevantes, incluidas aquellas bajo el
control de partes externas a la organización.
El programa de auditoría debe indicar en forma clara el alcance de la auditoría, debe estar
claro lo que está cubierto y lo que no.
El alcance estará determinado por los objetivos del trabajo.
Una auditoría amplia y adecuada debería abarcar al menos la integridad y confiabilidad de
la información, el cumplimiento con las políticas, los planes, procedimientos, leyes y
regulaciones, la salvaguarda de activos, el uso económico y eficiente de los recursos y el
cumplimiento de los objetivos y metas establecidos para las operaciones y programas.
El límite del alcance es la autoridad que la alta dirección concedió a la auditoría.
En una auditoría del ciclo de gastos (desde el ordenamiento de la mercadería hasta su

correspondiente recepción y pago) estos objetivos deberían ser examinados:
Distribución de los gastos en las cuentas apropiadas.
Cumplimiento de las procedimientos y políticas de compra en lo referente a la
autorización y aprobación de las compras.
Protección de las mercaderías recibidas.
Compras en lotes económicos y autorizaciones y rendición de cuentas para el acceso a
los sistemas y datos.
Controles en los sistemas de forma tal que aseguren la integridad, confidencialidad y
disponibilidad de los datos.
Contribución al objetivo de producción entregando las mercaderías en el tiempo
oportuno.
4. Identificar o desarrollar criterios para los trabajos de

aseguramiento.
2120.A4
Se necesitan criterios adecuados para evaluar los controles. Los auditores internos deben
aseverar la extensión en que la dirección estableció criterios para determinar si los
objetivos y metas se han alcanzado.
Si resulta adecuado, los auditores internos deben usar tales criterios en su evaluación. Si
no es adecuado los auditores deben trabajar con la dirección para desarrollar criterios de
evaluación adecuados.
Criterios y estándares de medición.
En cualquier auditoría se encuentran presentes los objetivos de propiedad, eficiencia,

economía y efectividad debido a que todos los recursos deben usarse de la manera más
económica y evitando los desperdicios.
Pero para determinar que el grado de cumplimiento de esos objetivos es necesario contar
con adecuados estándares de medición.
Los estándares operativos existen en distintas áreas , por ejemplo un área de producción
establece que el control de calidad no debe rechazar más del 1% de la producción diaria.
Una vez que el estándar se ha establecido el auditor tiene algunas tareas para hacer:
Debería juzgar su validez y evaluar sus bases.

Debería comparar el estándar contra otros de industrias similares.
Ver si es razonable con relación al cumplimiento de los objetivos de la organización.
Si no existieran estándares el auditor interno debería llegar a un acuerdo con los clientes
para encontrar los estándares más apropiados.
5. Considerar el potencial de fraude cuando se planifica los trabajos.
El auditor y el fraude.
El auditor debe adoptar una actitud de escepticismo cuando planifica los trabajos de
auditoría y debe estar atento a las diferentes posibilidades de error, fraude, irregularidades y
no cumplimiento con las normas y regulaciones aplicables.
Asi como los objetivos del trabajo estarán orientados a los riesgos de la actividad bajo
revisión, también la posibilidad de fraude ocupa un lugar importante en la planificación de
los trabajos.
Si bien la auditoría no puede impedir la existencia del fraude, puede asegurar que los
controles implementados prevengan su aparición y minimicen sus consecuencias.
En cierta manera riesgo y fraude están muy relacionados y el fraude en sí mismo es uno de
los riesgos más importantes que una organización puede enfrentar.
Fraude es una representación falsa u ocultamiento de la realidad con un objetivo
intencional.
Con relación al rol del auditor en el fraude debemos considerar que las Normas indican con
que el auditor interno debe tener el suficiente conocimiento como para identificar los
indicadores de fraude pero de ninguna manera debe ser experto como aquellas personas
cuya responsabilidad primaria es la detección del fraude.
El principal objetivo del auditor, con relación al fraude, es asegurar que existan los
controles necesarios para prevenirlos y funcionen adecuadamente. La responsabilidad de la
prevención recae en la dirección.
Rol del auditor en el fraude.

Sin perjuicio de un tratamiento con mayor detalle en la parte II de esta obra, podemos decir
que este párrafo extraído del consejo para la práctica que interpreta la norma 1210 A1,
clarifica un poco el rol del auditor en el fraude:
1.La disuasión consiste en aquellas acciones tomadas para evitar la realización del fraude
y a limitar los riesgos, si el fraude se consuma. El principal mecanismo para la disuasión
del fraude es el control. La responsabilidad principal para el establecimiento y
mantenimiento del control recae sobre la dirección.
2.Los auditores internos son responsables de ayudar en la disuasión del fraude mediante el
examen y evaluación de la adecuación y efectividad del sistema de control interno,
considerando el grado de exposición o riesgo potenciales en los diferentes segmentos de

las operaciones de la organización. Para llevar a cabo esta responsabilidad, los auditores
internos deberán, por ejemplo, determinar si:
o El ambiente de la organización favorece la conciencia de control.
o Se fijan metas y objetivos realistas para la organización.
o Existen políticas escritas (por ej.: código de conducta) que describan las actividades
prohibidas y las acciones requeridas cuando se descubre cualquier violación.
o Se han establecido y mantenido políticas apropiadas de autorización para las

transacciones.
o Se han desarrollado políticas, prácticas, procedimientos, informes y otros mecanismos

para vigilar las actividades y salvaguardar los activos, especialmente en áreas de alto
riesgo.
o Los canales de comunicación proporcionan información adecuada y confiable a la

dirección.
o Es necesario hacer recomendaciones para establecer o mejorar controles eficientes para

colaborar en la disuasión del fraude.
3.Cuando el auditor interno sospeche de la existencia de irregularidades, debe informar a

las autoridades responsables de la organización. El auditor interno puede recomendar
cualquier investigación que considere necesaria en tales circunstancias. Posteriormente, el
auditor debe efectuar un seguimiento para asegurarse de que las responsabilidades de la
actividad de auditoría interna se han cumplido.
6. Determinar los procedimientos de auditoría del trabajo.
Procedimientos de auditoría.
Vimos que los objetivos del trabajo eran aquellos fines u objetivos para los cuales se
realizaba el trabajo de auditoría, en ¿para que? del trabajo y que debían estar dirigidos a los
riesgos y controles.
Los procedimientos de auditoría están relacionados con el ¿cómo? o ¿con que? del trabajo
de auditoría.
Son las técnicas que usa el auditor interno para establecer si están cumpliendo o no los
objetivos operativos de la actividad bajo revisión.
El programa de auditoría debe explicarle a los auditores las técnicas utilizadas para cumplir
con los objetivos de auditoría.
De la misma manera que el juicio y la experiencia del auditor hará posible la adecuada
elección de aquellos objetivos de auditoría que satisfagan el cumplimiento de determinados
objetivos operacionales el auditor podrá seleccionar dentro de todas las técnicas disponibles
aquellas que harán posible probar el cumplimiento del objetivo de auditoría.
Determinación de los procedimientos adecuados.
En la determinación de los procedimientos, el auditor utiliza su juicio y su competencia.

Si un auditor quiere probar la existencia de determinado activo, no va a ser relevante
que obtenga la factura de compra aprobada, porque si bien ella prueba la propiedad de
los bienes no garantiza que efectivamente el bien se encuentre físicamente y en buenas
condiciones.
Si el auditor quiere probar que las alarmas contra incendio se encuentran instaladas y
funcionando debe realizar una prueba de ellas y hacer una inspección ocular, la revisión
de la documentación técnica de las alarmas o la de las facturas de compra no son
procedimientos de auditoría relevantes a dicho objetivo.
De la misma manera, los procedimientos de auditoría tienen distinto grado de eficacia
para el cumplimiento de un mismo objetivo: la circularización de cuentas por cobrar es
un procedimiento más adecuado que la revisión de las facturas de venta si se quiere
probar la existencia de las cuentas a cobrar.
Si se quiere asistir a la dirección en la eficacia y eficiencia del proceso de producción

un buen procedimiento es comparar los costos reales contra los estándares.
Si se quiere determinar si las compras se encuentran autorizadas es necesario verificar
si las órdenes de compra se encuentran autorizadas y no existen compras sin orden de
compra, revisar las facturas del proveedor no tendría mucho sentido si se quiere cumplir
el objetivo de auditoría.
Si el auditor quiere asegurarse que la disposición de activos está autorizada sólo la
revisión de las autorizaciones puede ayudarlo en este objetivo.
Si se quiere determinar si los precios son asignados de manera uniforme a todos los
clientes una manera de asegurase debería ser verificar si los precios se asignan de
manera objetiva.
Si se quiere asegurar que los sueldos pagados al personal contienen todos descuentos y
aportes que la ley establece verificar las cuentas contables donde se imputaron los
sueldos no sería relevante. Se debería realizar alguna prueba sobre las liquidaciones
para verificar que la liquidación de los sueldos se realiza de acuerdo a la legislación
vigente.
Si se quiere determinar si se contabilizan las notas de crédito por ventas, el único
procedimiento eficaz es tomar la documentación respaldatoria y verificar su
contabilización en los registros contables.
Si se quiere evaluar la adecuación de los estándares de calidad de la organización se
debería establecer la adecuación y precisión de los datos utilizados por la dirección para
evaluar el cumplimiento de los objetivos, determinar si los estándares de calidad se
están alcanzando no es relevante para este objetivo de auditoría y formará parte de otra
auditoría.
7. Establecer un adecuado planeamiento y supervisión del

trabajo.
Determinación de los recursos necesarios.

Las Normas establecen que los auditores internos deben determinar los recursos apropiados
para alcanzar los objetivos, ello debe estar basado en la naturaleza y el alcance del trabajo,
los requerimientos de tiempo, las competencias del personal y los recursos disponibles.
Planeamiento del trabajo.
Los auditores internos deben planificar adecuadamente su trabajo el cual debe estar
documentado e incluye:
Los objetivos y el alcance del trabajo.

Los antecedentes de la actividad bajo revisión.
La determinación de los recursos necesarios para llevar adelante el trabajo.
La comunicación a aquellas personas que necesitan conocer acerca de la existencia de
la auditoría.
Desarrollar una visita preliminar con el objeto de familiarizarse con las actividades, los
riesgos y controles de las áreas a ser auditadas y para invitar al cliente a realizar las
sugerencias y comentarios que crea necesario.
Escribir el programa de auditoría.
Determinar cómo, cuándo y a quién se deben comunicar los resultados de la auditoría.
Obtener la aprobación del programa de auditoría.
Las Normas establecen las siguientes consideraciones acerca del planeamiento de la

auditoría:
2200- Planificación del trabajo.
Los auditores internos deben desarrollar y documentar un plan para cada trabajo incluido
el alcance, objetivo, oportunidad y asignación de recursos.
2201 Consideraciones de planificación.
Cuando se planifica la auditoría los auditores internos deben considerar:
Los objetivos de la actividad bajo revisión y los medios a través de los cuales la
actividad controla su desarrollo.
Los riesgos significativos de la actividad, sus objetivos, recursos y operaciones y los

medios a través de los cuales los impactos potenciales de los riesgos se mantienen bajo
un nivel aceptable.
La adecuación y eficacia del manejo de riesgos de la actividad y el sistema de control
comparado con el marco de control o modelo relevante.
Las oportunidades para realizar mejoras significativas al manejo de riesgos y a los
sistemas de control.
Desde el primer momento, la comunicación entre el auditor y su cliente debe funcionar

adecuadamente, por eso es necesario que el auditor informe adecuadamente:
Los objetivos y alcance del trabajo planificados.

El tiempo planificado que demandará la auditoría
Cual será el canal de comunicación entre los auditados y el cliente.
Los auditores internos que serán asignados al trabajo.
La forma en que se comunicarán los resultados y se efectuará el seguimiento del
trabajo.
Supervisión del trabajo.
Las Normas establecen la necesidad que el trabajo sea supervisado adecuadamente para
asegurar que se están cumpliendo los objetivos del trabajo.
2340- Supervisión del trabajo.
Los trabajos deben estar apropiadamente supervisados para asegurar que los objetivos se
están alcanzando, se asegura la calidad y el personal se desarrolla.
El consejo para la práctica relacionado agrega, entre otras cuestiones, que el director
ejecutivo de auditoría interna es responsable de llevar adelante una adecuada supervisión de
los trabajos, que debe quedar evidencia que se realizó una supervisión adecuada y que la
supervisión del trabajo no sólo se extiende a la mera revisión de los papeles de trabajo sino
que abarca otros temas tales como el grado de capacitación, desarrollo y evaluación del
personal y el control presupuestario de los trabajos.
La supervisión del trabajo abarca todas las fases de la auditoría como vemos:
Planeamiento e introducción: Atender las reuniones inciales, hacer las presentaciones y
liderar u observar las reuniones iniciales.
Investigación preliminar: Aprobar los planes para la investigación preliminar, visitar el

sitio de la auditoría y aconsejar a los auditores a cargo sobre como llevar adelante aquellas
observaciones importantes que hayan surgido al inicio del trabajo.
Programas de auditoría: Aprobar los programas de trabajo y estar seguros sobre las
razones por las cuales se modifiquen algunos pasos o procedimientos.
Trabajo de campo: Visitar periódicamente el sitio de la auditoría para verificar que se está
llevando el trabajo en tiempo, revisar los papeles de trabajo e introducir la conciencia de
preparar buenos papeles de trabajo.
Entrevistas de salida: Puede contribuir mucho en ellas, sería conveniente que asista.
Informes: Aprobar el borrador del informe y asegurarse que se hallan incluido todas las
referencias necesarias como para que las observaciones incluidas estén adecuadamente
soportadas.
Revisión del informe: Los supervisores pueden proporcionar soporte adecuado al auditor a
cargo si los clientes tienen problemas en tratar con ellos e intervenir si existen dificultades
en la necesidad de acciones correctivas y deben tratar de asegurarse que no se produzcan
errores en el reporte final.
Cierre del proyecto: Los supervisores deben revisar los papeles de trabajo para asegurarse
que están completos antes de su archivo y que se han tomado todas las acciones correctivas
antes de que el proyecto se cierre.
En el mercado existen softwares específicos que ayudan en el trabajo de supervisión sobre
todo, para empresas y trabajos de gran volumen.
Igualmente, la tarea de supervisión , puede llevarse adelante con planillas de cálculo
preparadas por el propio auditor, que indiquen entre otras:
Las descripción de tareas de cada auditor, la estimación de tiempo asignada y la
efectivamente incurrida.
Las estadísticas sobre los reportes emitidos y la comparación contra sus metas y los días
de trabajo disponibles o todavía no asignados.
Las distintas tareas en las que se encuentran asignados los auditores y los tiempos
estimados de terminación de los trabajos.
El estado de revisión de los distintos informes de auditoría.

Las Normas establecen lo siguiente con referencia a los programas de trabajo:
2240- Programa de trabajo.
Los auditores internos deben desarrollar programas que aseguren el cumplimiento de los
objetivos del trabajo. Estos programas debe estar documentados.
2240.A1- Los programas de trabajo deben establecer los procedimientos para

identificar, analizar, evaluar y registrar información durante el trabajo. El programa de
trabajo debe estar previamente aprobado antes de su implementación y cualquier ajuste
debe ser aprobado inmediatamente.
2240.A2- Los programas de trabajos de consultoría pueden variar en forma y
conteniendo dependiendo de la naturaleza del trabajo.
Los programas son guías de trabajo que permiten a los auditores el desarrollo y
supervisión del trabajo.
Un programa de trabajo le informa al auditor sobre el contenido, la oportunidad, la
manera, las personas y el tiempo que insumirán las tareas.
Ventajas de un programa de trabajo.
Proporciona un plan sistemático para cada fase de la auditoría.

Establece los medios para controlar el presupuesto y el tiempo de los trabajos.
Ayuda a los integrantes menos expertos sobre la forma de desarrollar el trabajo.
Ayuda a familiarizar a los auditores sobre el tipo de trabajo realizado en las
auditorías anteriores.
Presenta un punto de partida desde el cual evaluar a la función de auditoría interna.
El auditor debería preparar su programa de trabajo luego de la entrevista preliminar que

es cuando ya está muy familiarizado con las actividades, riesgos y controles del cliente.
El programa de auditoría debe ser modificado en cualquier momento del desarrollo del
trabajo si las circunstancias así lo indican.
Algunas auditores trabajan con programas pro-forma es decir programas repetitivos que
se aplican a determinadas áreas, pero que es conveniente que sean lo suficientemente
flexibles como para que contemplen los cambios y modificaciones que pudieran ocurrir
en las actividades, los riesgos y controles del cliente.
Por último algunos softwares específicos desarrollan programas especiales a partir de
una evaluación de los riesgos de una actividad.
Guías y criterios para la preparación de los programas de auditoría.

El programa de auditoría va a estar muy relacionado con la información que se pudo
obtener de la entrevista preliminar.
Revisar informes, programas de trabajo y papeles de trabajo anteriores para obtener
antecedentes y resultados de las revisiones anteriores y decidir el alcance del trabajo
actual.
Desarrollar la investigación preliminar para determinar los objetivos, riesgos y
controles de la actividad bajo revisión
Revisar políticas y procedimientos, manuales, organigramas y objetivos y metas
para determinar las áreas que pueden ser evaluadas y si están cumpliendo los
objetivos que la dirección pretende de la actividad.
Preparar un flujograma de la actividad para detectar debilidades de control y obtener
un análisis visual de la actividad.
Revisar los estándares de desempeño que se han establecido y en lo posible,
compararlos contra otros de la industria para obtener una medida para evaluar la
eficacia y eficiencia de la operación y determinar si se están obteniendo los standard
de desempeño.
Entrevistar al cliente y discutir el alcance del trabajo para obtener una acuerdo con
el cliente y evitar malentendidos y sorpresas en el alcance y objetivos del trabajo.
Preparar el presupuesto de tiempo y recursos necesarios para cumplir con el trabajo
para establecer el número y tiempo necesario para alcanzar el trabajo.
Listar los riesgos materiales que deben ser considerados para asegurarse que las
cuestiones más vulnerables han recibido un apropiado tratamiento.
Para cada uno de los riesgos identificados determinar los controles que los mitiguen
para ver si existen controles que puedan eliminarlos o reducirlos.
Determinar los mayores problemas y oportunidades de la actividad para identificar
aquellas áreas de mayor dificultad y dificultad para determinar las causas y razones
y determinar sus posibles soluciones.
Criterios para el programa de auditoría.

A continuación determinamos algunos criterios que deben seguirse cuando se preparan
los programas de auditoría.
Se deben establecer en forma cuidadosa y acordar con el cliente los objetivos de la
actividad.
Los programas de auditoría deben ser realizados a medida para cada revisión, salvo
que razones especiales determinen lo contrario.
Cada paso del programa de trabajo debe estar justificado, para probar algún control
o un objetivo de la actividad.
Cuando sea posible, el programa de trabajo debe contemplar las prioridades del
trabajo, de forma de completar la parte más importante en el tiempo previsto.
Los programas deben ser flexibles como para permitir cambios de acuerdo al juicio
profesional del auditor pero al mismo tiempo es necesario que los cambios más
importantes sean adecuadamente informados a los supervisores del trabajo.
Los programas deben ser claros y en lo posible evitar información innecesaria,
incluyendo sólo lo necesario para el desarrollo del trabajo. Tal como es necesario
que el auditor redacte el informe final en un lenguaje claro y entendible es también
importante que el supervisor o quien redacte el programa de trabajo lo haga en un
lenguaje entendible que no se preste a confusiones.
Deben mostrar la evidencia de la supervisión efectuada antes de llevarse adelante.
Se deben incluir las pruebas que la dirección le pidió que el auditor realizara, si el
presupuesto lo permite o modificándolo si fuera necesario.
Ejemplos de programas de trabajo.
Actividad: Compras
Objetivo: Obtener mercaderías y servicios al precio adecuado.
Tiempo de auditoría: 5 días.
Riesgos Controles Pruebas Ref. Coment

PT arios
Inexistencia de Periódicamente el Examinar los

políticas Consejo y el registros de las
escritas de controller evalúan reuniones para
compra. las políticas de ver si se han
procedimiento de considerado las
compras distintas
cuestiones
importantes.
Compras no Un comité que Para una muestra

tenga tiempo de incluya al personal de ítems con
obtener precios de Compras debe largo tiempo de
competitivos o establecer el entrega verificar
largos tiempos cronograma de si se cumplieron
de espera para compras. los tiempos
los productos. previstos, eran
factibles y
proporcionaban
tiempos para
solicitar
cotizaciones.
Que no se Se registran las Para una muestra

proporcionen compras en forma de órdenes de
información manual o a través compra hacer el
sobre las de sistemas para seguimiento para
información de registrar las los mismos
compras compras ítems. Investigar
anteriores para repetitivas. variaciones
los mismos significativas.
productos
reteniendo
información
importante para
los
compradores.
Actividad: Marketing.
Objetivo: Impartir información, desarrollar actitudes de los consumidores e inducir
acciones benéficas a la organización.
Tiempo: 10 días.
Riesgos Controles Pruebas Ref. Co

PT me
nta
rio
s
Las comparaciones Reportes Revisar los informes

entre el mensuales para determinar
presupuesto y el comparando el precisión
real se realizan al actual y el oportunidad de las
final del año y no presupuesto revisiones.
se pueden advertir
la diferencias en las
tendencias en el
tiempo adecuado
Ausencia de Acuerdos Revisar la

acuerdos escritos escritos que razonabilidad y
con las agencias contengan los adecuación de los
publicitarias, lo cargos a facturar, cargos de
cual genera registros a ser publicidad.
disputas e mantenidos y
incertidumbres. derecho a revisar
registros y
sistemas.
Ausencia de un Los costos de Determinar como la

estimado de cargos cada proyecto dirección compara
para cada proyecto son comparados los costos, se
de publicidad. La contra el recomienda la
agencia puede presupuesto en existencia de
hacer cargos que forma frecuente. presupuestos
excedan el escritos y la
presupuesto. comparación contra
los reales.
Sawyer’s Internal Auditing 5th Edition.
Normas y Consejos para la práctica relacionadas del Instituto de Auditores Internos.

El Rol Del Auditor Interno en El Siglo X

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

El Rol Del Auditor Interno en El Siglo X

Cargado por

Copyright:

Formatos disponibles

El rol del auditor interno en el siglo XXI ©2004 Instituto de Auditores Internos de Argentina

El rol del auditor interno en los

Un aporte del Instituto de Auditores Internos de Argentina

©2004 Instituto de Auditores Internos Parte I El rol de la auditoría interna.

Juan Carlos Bernardi, CIA.

Coordinador y co-redactor del proyecto.

©2003 Instituto de Auditores Internos 2 Parte I El rol de la auditoría interna.

Dirección: Guillermo Casal, CIA, CISA,CCSA, CFE.

Dirección editorial: Carlos Zarlenga.

Pablo Fudim, CIA.

Adriana Fernández Menta, CIA.

Enrique Gonzalvo, CIA.

Juan Carlos Bernardi, CIA.

©2003 Instituto de Auditores Internos 3 Parte I El rol de la auditoría interna.

El examen CIA ® es la principal certificación profesional de reconocimiento internacional

Directores Ejecutivos de Auditoría Interna.

El formato actual del examen comprende cuatro partes:

Parte I. El rol de la actividad de la auditoría interna en el gobierno, riesgo y control.

Formato del examen y fechas.

©2003 Instituto de Auditores Internos 4 Parte I El rol de la auditoría interna.

Parte I: El rol de la actividad de auditoría interna en el gobierno, riesgo y control.

Parte II: Conduciendo el trabajo de auditoría interna.

Parte III: Análisis del negocio y tecnología de la información.

Parte IV: Habilidades de administración de negocios.

©2003 Instituto de Auditores Internos 5 Parte I El rol de la auditoría interna.

EL ROL DE LA AUDITORIA INTERNA EN EL

©2003 Instituto de Auditores Internos 6 Parte I El rol de la auditoría interna.

©2003 Instituto de Auditores Internos 7 Parte I El rol de la auditoría interna.

Cumplir con los estándares de atributos.

Establecer un plan basado en el riesgo.

©2003 Instituto de Auditores Internos 8 Parte I El rol de la auditoría interna.

4. Comunicar indicadores clave al Consejo en forma regular.

17. Desarrollar otros roles y responsabilidades de la auditoría interna.

©2003 Instituto de Auditores Internos 9 Parte I El rol de la auditoría interna.

8. Administración del conflicto.

1. Iniciar y conducir una investigación preliminar en el área del trabajo.

©2003 Instituto de Auditores Internos 10 Parte I El rol de la auditoría interna.

Cumplir con los estándares de atributos.

©2003 Instituto de Auditores Internos 11 Parte I El rol de la auditoría interna.

Cumplir con los estándares de atributos.

“La auditoría interna es una actividad independiente y objetiva de

Propósito de las Normas:

Definir principios básicos que representen el ejercicio de la auditoría interna.

□ Proveer un marco para ejercer y promover un amplio rango de actividades de

□ Establecer las bases para medir el desempeño de la auditoría interna.

□ Fomentar la mejora de los procesos y operaciones de la organización.

La actividad de Auditoría Interna se encuentra regida por las Normas y estándares de

Las Normas comprenden:

□ Normas sobre Atributos (serie 1000)

□ Normas sobre Desempeño (serie 2000)

Las Normas sobre Desempeño describen la naturaleza de la actividad de auditoría interna y

©2003 Instituto de Auditores Internos 12 Parte I El rol de la auditoría interna.

“Código de Ética – El Código de Ética de The Institute of Internal Auditors

Dicho Código establece los siguientes puntos:

□ La auditoría interna es una actividad independiente y objetiva de

□ La auditoría interna ayuda a la organización a cumplir sus objetivos

1. Principios que son relevantes para la profesión y práctica de la auditoría interna.

2. Reglas de conducta que describen las normas de comportamiento que se espera

©2003 Instituto de Auditores Internos 13 Parte I El rol de la auditoría interna.

pueden ayudar a interpretar las Normas o aplicarlos en ambientes específicos de auditoría

1. Definir propósito, autoridad y responsabilidad de la actividad

El Standard 1000 - Propósito, Autoridad y Responsabilidad establece:

El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna