Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Propósito. Destinatarios.
Este libro constituye un esfuerzo del Instituto de Auditores Internos de Argentina para
brindar un apoyo en la preparación de su examen CIA ® a todos aquellos candidatos
hispanoparlantes y para dar a conocer a los profesionales que trabajan en las áreas de
auditoría interna cuáles son las mejores prácticas de la profesión basadas en el Marco
para el ejercicio profesional de la Auditoría Interna emitido por el The Institute of Internal
Auditors, Inc.
Este examen, que ya lleva 30 años de administración exitosa por el The Institute of Internal
Auditors, Inc. ha sufrido recientemente una modificación importante en cuanto a su
contenido y a la manera de examinación.
Luego de encuestas realizadas a través de todo el mundo durante el año pasado el Consejo
de Regentes del The Institute of Internal Auditors, Inc. decidió la modificación del temario
del examen que está incluyendo nuevos temas tales como manejo estratégico, análisis
estructural, ambientes globales de negocios, comportamiento organizacional y habilidades
de negocio incluidos en la parte IV del examen.
Ciertos contenidos que anteriormente estaban en la parte IV del examen fueron llevados a
la parte III, especialmente aquellos relacionados con contabilidad financiera y
administrativa.
Incluye también una modificación en el tratamiento de los temas de tecnología de la
información incorporándolos en las evaluaciones de riesgo y control debido a que la
modificación recientemente introducida en las Normas exige un conocimiento de los
riesgos y los controles que implican el manejo de la tecnología de la información y de las
técnicas de auditoría basadas en la tecnología.
Focaliza la acción del auditor en la prevención del fraude, el manejo de los riesgos y los
controles y enfatiza la tarea del auditor en su rol de consultor de la alta dirección.
Comprende también el tratamiento de los temas relacionados con los procesos de gobierno
corporativo y de seguridad y privacidad de datos que alcanzaron gran repercusión a raíz de
los sucesos públicamente conocidos y a la aparición de nuevos marcos regulatorios.
Implica un gran desafío en la tarea de alinear a la auditoría en la problemática de los
negocios del siglo XXI y de ubicar a los auditores internos en particular y a la función de
auditoría interna en general en un lugar de privilegio como asesor y consejero de la alta
dirección y el consejo.
Por último, es necesario agradecer a todos los profesionales que han colaborado en la
redacción de este libro y particularmente al Instituto de Auditores Internos de Argentina, a
su presidencia, vicepresidencia y honorable comisión directiva por el apoyo y el respaldo
brindado en todo momento para llevar adelante este proyecto que hoy se hace realidad.
Colaboradores:
Equipo de redactores:
El examen CIA ®.
El Instituto considera que las partes I a III integran un “cuerpo global de conocimientos”
mientras que la parte IV constituye un área de conocimiento de administración general de
negocios y, para ciertos profesionales, se otorga un crédito por reconocimiento profesional.
El examen ha modificado recientemente su formato: a partir de mayo del 2004 incluirá 125
preguntas de opción múltiple para cada una de las cuatro partes manteniendo la duración
de tres horas y media para cada una de las cuatro partes.
El puntaje mínimo para aprobar los exámenes se mantiene en 600 puntos y se incluirán un
mínimo de 25 preguntas que no se calificarán.
Las fechas se mantienen en dos turnos en mayo y noviembre de cada año.
Mayor información disponible sobre el formato de examen, las fechas y los costos de los
derechos de examen podrá encontrarse en la página del Instituto de Auditores Internos de
Argentina www.iaia.org.ar o en la del de Estados Unidos www.theiia.org.
Estructura de la obra.
La obra se encuentra estructurada en base a los nuevos lineamientos de los contenidos del
examen CIA®.
En este sentido la obra se encuentra divida en cuatro partes:
Cada capítulo corresponde a un punto del temario del examen y para las partes I y II se
siguieron los lineamientos del Marco para la Práctica Profesional de la Auditoría Interna
emitidos por el The Institute of Internal Auditors, Inc. para el desarrollo de los distintos
temas.
La obra se encuentra actualizada con la última modificación de las Normas cuya vigencia
rige desde el 1 de enero del 2004.
Al final de cada capítulo se incluye un listado de la bibliografía consultada para elaborar la
obra.
PARTE I
CAPITULO I.
CAPITULO II.
CAPITULO III
Entendiendo el rol de la actividad de auditoría interna en el
gobierno organizacional.
1. Obtener la aprobación por parte del Consejo de estatuto de Auditoría.
2. Comunicar el plan de trabajo.
3. Reportar asuntos de auditoría significativos.
CAPITULO IV
Elementos de gobierno, riesgo y control.
1. Modelos alternativos para el gobierno corporativo.
2. Marcos alternativos de control.
3. Conceptos y vocabularios de riesgo.
4. Técnicas de administración de riesgos.
5. Implicaciones de riesgo y control de las diferentes estructuras
organizacionales.
6. Implicaciones de riesgo y control de los distintos estilos de liderazgo.
7. Administración del cambio.
CAPITULO V.
Planificación de trabajos
CAPITULO I.
En junio de 1999, la Junta de Directores del IIA aprobó la definición de Auditoría Interna:
□ Normas de Implementación
Las Normas sobre Atributos tratan sobre las características de la organización y los
individuos que desarrollan actividades de auditoría interna.
Las Normas de Implementación aplican las Normas sobre Atributos y sobre Desempeño a
tipos específicos de trabajo.
Las Normas son parte del Marco Profesional para la Práctica profesional. El marco para la
práctica profesional incluye la definición de auditoría interna, el código de Etica, las
Normas y otras guías. Las guías se refieren a cómo las Normas pueden ser aplicadas e
incluyen los Consejos para la práctica que son emitidos por el Comité de Asuntos
Profesionales del Instituto.
En esta primera parte nos vamos a referir las a Normas sobre Atributos, las que se
encuentran en la serie 1000 de las Normas y Estándares de Auditoría Interna.
Además de los estándares los Auditores Internos deben de cumplir con el Código de Ética
de IIA el que según el Glosario del mismo Instituto se define como:
El Código de Ética abarca más que la definición de auditoría interna, llegando a incluir dos
componentes esenciales:
Además de las normas el Instituto emite los Consejos para la Práctica, que equivalen a los
lineamientos no-obligatorios que representan el grueso de lo que contenían los Normas
anteriores. Los Consejos para la Práctica han sido desarrollados utilizando algunos de los
lineamientos anteriores y creando nuevos en áreas no cubiertas anteriormente. Aunque no
son obligatorios, representan los mejores enfoques y clarificaciones apoyadas por el IIA
como formas para implementar las Normas. En parte, los Consejos para la Práctica
Este Consejo establece amplios parámetros para ser tenidos en cuenta en todos los
trabajos de consultoría. La consultoría puede abarcar un amplio rango, desde
trabajos formales, definidos por acuerdos escritos, hasta actividades de consulta,
tales como la participación en comités permanentes o temporarios de la dirección o
en equipos de proyectos. Los auditores internos deberán utilizar su criterio
profesional para determinar el grado de aplicación de la guía proporcionada por
este Consejo en cada situación en particular. Los trabajos especiales de
consultoría, tales como la participación en un proyecto de fusión o adquisición, o
en trabajos de emergencia, tales como la recuperación de desastres, pueden
requerir desviarse de los procedimientos normales o establecidos para realizar
trabajos de consultoría.
Los auditores internos deben tener en cuenta los siguientes principios guía al
desempeñar trabajos de consultoría. Esta guía no pretende abarcar todas las
consideraciones que puedan ser necesarias al desempeñar un trabajo de
consultoría, y los auditores internos deberán tomar precauciones adicionales para
determinar que la dirección y el Consejo de Administración comprendan y
acuerden con el concepto, las guías operativas, y las comunicaciones requeridas en
auditoría interna no debería verse afectada por las decisiones tomadas por la
dirección.
Norma 1000.C1, esta guía comprende también las Normas 1130.C1 y C2; 1210.C1;
1220.C1; 2010.C1; 2110.C1 y C2; 2120.C1 y C2; 2130.C1; 2201.C1; 2210.C1;
2220.C1; 2240.C1; 2330.C1; 2410.C1; 2440.C1 y C2; y 2500.C1. La referencia a
cada una de las mencionadas Normas está indicada entre paréntesis en los títulos
de este Consejo para la Práctica
Naturaleza de este Consejo para la Práctica: Este Consejo para la Práctica cubre
un tema similar al del Consejo 1000.C1-1, que comenta los Principios que Guían el
Desempeño de los Servicios de Consultoría. Ambos Consejos son de utilidad para
el auditor interno en el desempeño de sus actividades de consultoría. La definición
de auditoría interna establece que “La auditoría interna es una actividad
independiente de aseguramiento y consulta, concebida para agregar valor y
mejorar las operaciones de una organización. Ayuda a una organización a cumplir
sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.” Se
recuerda a los auditores internos que las Normas sobre Atributos y sobre
Desempeño se refieren a los auditores internos que realizan trabajos de
aseguramiento así como trabajos de consultoría.
Este Consejo establece amplios parámetros para ser tenidos en cuenta en los
trabajos formales de consultoría. La consultoría puede abarcar un amplio rango,
desde trabajos formales, definidos por acuerdos escritos, hasta actividades de
consulta, tales como la participación en comités permanentes o temporarios de la
dirección o en equipos de proyectos. Los auditores internos deberán utilizar su
criterio profesional para determinar el grado de aplicación de la guía
proporcionada por este Consejo en cada situación en particular. Los trabajos
especiales de consultoría, tales como la participación en un proyecto de fusión o
adquisición, o en trabajos de emergencia (por ejemplo, la revisión de actividades
de recuperación de desastres), pueden requerir desviarse de los procedimientos
normales o establecidos para realizar trabajos de consultoría.
• La extensión del trabajo necesario para alcanzar los objetivos del trabajo.
13. Los programas de trabajo para las consultorías formales deben documentar los
objetivos y el alcance del trabajo, así como la metodología a utilizar para
satisfacer los objetivos. La forma y el contenido de programa podrá variar
dependiendo de la naturaleza del trabajo. Al establecer el alcance del trabajo, los
auditores internos pueden expandir o limitar el mismo de modo de satisfacer la
solicitud de la dirección. Sin embargo, el auditor interno debe satisfacerse de que el
alcance proyectado sea el adecuado para alcanzar los objetivos del trabajo. Los
objetivos, alcance y términos del trabajo deben ser periódicamente reevaluados y
ajustados durante el transcurso del trabajo.
14. Los auditores internos deben observar la eficacia de los procesos de gestión de
riesgos y control durante los trabajos de consultoría formales. Las exposiciones
significativas al riesgo o las debilidades materiales de control deben ser llevadas a
la atención de la dirección. En algunas situaciones, las preocupaciones del auditor
también deberían ser comunicadas a la dirección ejecutiva, al comité de auditoría,
y/o al Consejo de Administración. Los auditores deben utilizar su juicio
profesional (a) para determinar la significatividad de las exposiciones o
debilidades y las acciones tomadas o contempladas para mitigar o corregir las
mismas, y (b) para indagar las expectativas de la dirección ejecutiva, el comité de
auditoría y el Consejo de ser informados sobre estos asuntos.
18. Los auditores internos deben documentar las tareas realizadas para alcanzar
los objetivos de un trabajo de consultoría formal y para soportar sus resultados.
Sin embargo, los requerimientos de documentación aplicables a los trabajos de
aseguramiento no necesariamente son aplicables a los de consultoría.
20. La actividad de auditoría interna debe supervisar los resultados de los trabajos
de consultoría, hasta el punto que se haya acordado con el cliente. Diversos tipos
de supervisión pueden ser adecuados para los diversos tipos de trabajos de
consultoría. La tarea de supervisión puede depender de factores tales como el
interés explícito que tenga la dirección en ese trabajo, o la evaluación de los
riesgos del proyecto que efectúe el auditor interno, o el valor para la
organización.
En lo que respecta al Estatuto no alcanza con que la organización lo tenga, sino que el
mismo debe ser distribuido en toda la organización, a fin de que se conozca la autoridad
que le ha sido otorgada a la Auditoría Interna para que lleve a cabo su trabajo.
□ Revisar los medios utilizados para salvaguardar los bienes, además de verificar
la existencia de dichos activos.
□ Evaluar la economía y eficiencia con las cuales se han empleado los recursos.
□ Evaluar los planes y medidas tomadas para corregir las condiciones informadas.
Si la medida correctiva, es considerada insatisfactoria, seguir debatiendo el
tema para lograr una disposición aceptable.
Para lo cual el nivel organizacional del que dependa la Auditoría Interna debe ser tal que le
asegure una adecuada consideración y acción ante las recomendaciones de la auditoría, es
decir que debe encontrarse dependiendo del nivel más alto de la organización.
□ Revisar que los procedimientos y los registros sean adecuados para cumplir con
los objetivos fijados por la organización, y evaluar las políticas y
planificaciones relacionadas con la actividad o función bajo revisión de
auditoría.
□ Evaluar la adecuación de las medidas tomadas por las gerencias auditadas para:
1) corregir las condiciones deficientes informadas por la Auditoría Interna; 2)
aceptar las medidas correctivas propuestas y adecuadas; 3) continuar las
revisiones en forma conjunta con el personal gerencial adecuado, sobre todas
aquellas medidas que el director de auditoría considera inadecuadas hasta tanto
se logre una resolución satisfactoria del tema.
Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en
cuenta las siguientes sugerencias al evaluar la independencia y objetividad. Esta
guía no pretende abarcar todas las consideraciones que pudieran ser necesarias al
realizar tal evaluación, sino ser simplemente un conjunto de temas recomendados
para ser tenidos en cuenta. El cumplimiento de este Consejo para la Práctica es
opcional.
3. Este Consejo para la Práctica también reconoce que las líneas de reporte
del DEA reciben el impacto de la naturaleza de la organización (ya sea
pública o privada, así como su tamaño relativo); de las prácticas comunes en
cada país; del grado de complejidad creciente de las organizaciones (joint
ventures, corporaciones multinacionales con subsidiarias); y de la tendencia
de los grupos de auditoría interna a proporcionar servicios de valor agregado
con una mayor colaboración de sus clientes sobre las prioridades y alcance.
En consecuencia, si bien el IIA considera que existe una estructura de reporte
ideal, que es la del reporte funcional al Comité de Auditoría y el reporte
administrativo al Director General (chief executive officer – CEO), puede
haber otro tipo de relaciones eficaces en tanto existan claras distinciones
entre las líneas de reporte funcional y administrativo y apropiadas
actividades en cada línea, de modo de asegurar que se mantengan la
independencia y el alcance de las actividades. Los auditores internos deberán
ejercer su criterio profesional para determinar el grado de aplicación de la
guía proporcionada por este Consejo en cada situación en particular.
7. Sin importar cuál sea la relación de reporte que elija la organización, hay
varias acciones clave que pueden ayudar a asegurar que las líneas de reporte
apoyen y permitan la eficacia e independencia de la actividad de auditoría
interna.
• Reporte Funcional:
• Reporte Administrativo:
8.º Los directores ejecutivos de auditoría también deben tener en cuenta sus
relaciones con otras funciones de control y supervisión (gestión de riesgos,
cumplimiento, seguridad, legal, medioambiental, auditoría externa) y facilitar
la información de asuntos de control y riesgo materiales al comité de
auditoría.
Los auditores internos deben tener una actitud imparcial, neutral y evitar
conflictos de intereses.
3. Los auditores internos deben tener en cuenta los siguientes factores para
determinar el curso de acción apropiado cuando se les presente la
oportunidad de aceptar la responsabilidad de una función distinta de
auditoría:
Tal como lo establecen los estándares del IIA los auditores internos deben ser
independientes de las actividades que auditen, por lo tanto existen dos elementos básicos
para alcanzar la independencia que son:
□ Libertad de juicio
□ Objetividad
Asimismo, el Código de Ética en su parte referida a los principio del auditor interno
establece que los auditores internos deben exhibir el más alto nivel de objetividad
profesional al reunir, evaluar y comunicar información sobre la actividad o proceso a ser
examinado. Los auditores internos deben hacer sus juicios sin dejarse influir indebidamente
por sus propios intereses o por otras personas.
El mismo Código, haciendo referencia a las reglas de conducta que debe cumplir el auditor
interno establece que:
3. Divulgaran todos los hechos materiales que conozcan y que, de no ser divulgados
puedan distorsionar el informe de las actividades sometidas s revisión.
A mí entender, y a forma de resumen creo que donde mejor se encuentra expresado que se
debe entender por objetividad es en el Glosario, donde se establece:
Los trabajos deben cumplirse con pericia y con el debido cuidado profesional.
Naturaleza de este Consejo para la Práctica: Los auditores internos deben tener en
cuenta las siguientes sugerencias al desempeñar sus trabajos. Esta guía no
pretende abarcar todas las consideraciones que pudieran ser necesarias, sino ser
simplemente un conjunto de temas recomendados para ser tenidos en cuenta. El
cumplimiento de este Consejo para la Práctica es opcional.
1210 - Pericia
Los auditores internos deben reunir los conocimientos, las aptitudes y otras
competencias necesarias para cumplir con sus responsabilidades
individuales. La actividad de auditoría interna, colectivamente, debe reunir
u obtener los conocimientos, las aptitudes y otras competencias necesarias
para cumplir con sus responsabilidades
2. Los auditores internos deben poseer cualidades para tratar con las
personas y comunicarse de forma eficaz. Los auditores internos deben
comprender las relaciones humanas y mantener relaciones satisfactorias
con los clientes de sus trabajos.
o Fusiones y adquisiciones.
Según lo establecen los estándares de auditoría en la serie 1200 los trabajos de auditoría
deben cumplir con los requisitos de pericia y debido cuidado profesional.
La Gerencia de Auditoría Interna deberá contar para ello con un grupo multidisciplinario
(profesionales de distintas carreras de grado) que posea n la habilidad de trabajar en forma
conjunta.
Una de las recientes modificaciones que sufrieron las Normas es la referida a la necesidad
que los auditores posean conocimientos sobre los riesgos y controles que implica el manejo
Decimos que los profesionales deben poseer ciertas habilidades dado que el trabajo de
auditoría interna requiere:
2. La autoridad que posee la auditoría interna es sólo para llevar a cabo si trabajo y
no para efectuar tareas ejecutivas. (ya nos referimos ampliamente a ese tema en
los puntos A.1. y A.2.)
3. El auditor debe procurar evitar los posibles roces y/o fricciones que se produzcan
como consecuencia de sus tareas.
Se ha escrito mucho sobre las cualidades y/o perfil que debe posee el auditor interno, a tal
vez, y a modo de ejemplo, se puedan detallar las características y/o requisitos mencionados
mas comúnmente:
4. Discreto y reservado.
14. Habituado al trato social y con capacidad para relacionarse con naturalidad.
Además de los estándares debemos tener en cuenta que el Código de Ética en su parte
pertinente a este punto establece las reglas para su integridad, confidencialidad y
competencia. Para lo cual el Auditor interno deberá:
2. Respetar las leyes y divulgar lo que corresponda de acuerdo con las leyes y la
profesión.
6. No utilizar para lucro personal o de alguna manera que fuera contraria a la ley o
en detrimento de los objetivos legítimos y éticos de la organización.
7. Participar sólo en aquellos servicios para los cuales tenga los suficientes
conocimientos, aptitudes y experiencia.
El estándar 1200 y en especial el 1210 se refieren al perfil que debe poseer el auditor
interno. La forma de lograr obtener todos los conocimientos requeridos para el desarrollo
de la auditoría interna es a través de la capacitación y formación, en primer lugar por la
carrera de grado y luego por las certificaciones, postgrados y cursos de capacitación.
1220.A3 - El auditor interno debe estar alerta a los riesgos materiales que
pudieran afectar los objetivos, las operaciones, o los recursos. Sin embargo,
los procedimientos de aseguramiento por sí solos, incluso cuando se llevan a
cabo con el debido cuidado profesional, no garantizan que todos los riesgos
materiales sean identificados.
Se supone que el auditor debe llevar adelante su trabajo con pericia, conocimiento y
profesionalidad adecuadas pero ello no va a traer como consecuencia la infabilidad.
La modificación reciente de las Normas incluyó la necesidad que el auditor tenga
conocimiento sobre las llamadas técnicas de auditoría asistidas por computadora, CATS
(computer assisted tecniques), las cuales serán analizadas con mayor detalle en la parte II
de esta obra.
Además existen otras certificaciones de interés para los auditores internos que son
otorgadas por otras organizaciones:
11. Aprobación de la gerencia y del Consejo – El DEA debe hacer que la alta
gerencia y el Consejo participen en el proceso de selección de un revisor
externo y obtener su aprobación.
14. Un equipo bajo la dirección del DEA debe realizar el proceso de auto-
evaluación. El Manual de Evaluación de Calidad del IIA contiene un
ejemplo del proceso, incluyendo las pautas y herramientas para la auto-
evaluación. Un revisor independiente cualificado debe realizar pruebas
limitadas de la auto-evaluación para validar los resultados y expresar una
opinión sobre el nivel indicado de la conformidad de la actividad con las
Normas.
16. Aunque con una revisión externa completa se logre obtener el beneficio
máximo para la actividad y dicha revisión deba incluirse en su programa
de calidad, la auto-evaluación con validación independiente suministra un
medio alternativo para cumplir con esta Norma 1312.
o Las respuestas del DEA que incluyan un plan de acción y sus fechas
de implementación.
Como todos sabrán las Normas de Auditoría han sufrido cambios, siendo probablemente la
sección sobre aseguramiento de calidad la que muestre con mayor claridad el nuevo
enfoque de las Normas –realmente muestra el nuevo énfasis para agregar valor. En las
Normas anteriores, no había una Norma sobre aseguramiento de calidad. Había una
sección guía titulada “Aseguramiento de Calidad” dentro de la Norma 500, Administración
del Departamento de Auditoría Interna. Ahora existen siete Normas separados y
obligatorios sobre aseguramiento de calidad y programas de mejoramiento. Siendo estas
las expuestas más arriba e identificadas como serie 1300.
La parte inherente a la tarea de administrar una actividad de Auditoría Interna dentro del
Marco de Aseguramiento de Calidad, incluye los siguientes aspectos:
El alcance de las tareas de Aseguramiento de Calidad incluye los siguientes elementos clave de
la práctica profesional de auditoría interna:
5. Las Normas, incluyendo las cinco categorías principales del IIA de objetivos del control
interno.
Hasta ahora nos hemos referido solo a la normas de auditoría interna pero no debemos de
olvidar que existen otras normas que son y deben ser aplicadas por otros profesionales que
integran los equipos de auditoría, es este caso nos referimos a los auditores de sistemas de
información.
□ Normas de Auditoría de SI
□ Directivas de Auditoría de SI
□ Procedimientos de Auditoría de SI
El trabajo de los auditores, sean externos o internos, se rigen en general por estándares
desarrollados por una cantidad de organizaciones profesionales, cada una de las cuales
busca asegurarse de la calidad del trabajo de auditoría que se realiza.
El Código de Ética Profesional de ISACA exige que los miembros de la Asociación y los
titulares de la designación CISA (Auditor Certificado de Sistemas de Información) cumplan
con las Normas de Auditoría de Sistemas de Información adoptadas por ISACA.
Bibliografía consultada:
CAPITULO II.
Norma 2010:
El director ejecutivo de auditoría debe establecer planes basados en los riesgos a fin de
determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán
ser consistentes con las metas de la organización.
Objetivos y metas.
Políticas, planes, procedimientos, leyes, regulaciones y contratos que pudieran tener
un impacto significativo en las operaciones y reportes.
Información organizacional acerca del número de empleados, descripciones de
puesto y detalles sobre los cambios recientes en la organización incluidos cambios
de sistemas que fueren significativos.
Información del presupuesto, resultados operacionales y datos financieros de la
actividad bajo revisión.
Resultados de otros trabajos incluido el trabajo de auditores externos.
Papeles de trabajo anteriores.
Como vimos los riesgos pueden tener fuentes externas o internas, a continuación
algunos riesgos o barreras que pueden obstruir la obtención de los objetivos:
Una nueva ley o regulación que distrae recursos de las operaciones requeridas para
alcanzar los objetivos.
Un competidor introduce un nuevo producto o servicio que requiere acción
inmediata y crea un nuevo objetivo que disminuye la prioridad de los anteriores
objetivos.
Un cambio tecnológico convierte a uno o más objetivos obsoletos.
Como la lista de objetivos parece sin fin, el propósito de la evaluación de riesgos es dar
sentido, orden y limitación a esta lista. Por otra parte, el número de riesgos no es
estático: cambian continuamente y aparecen nuevos riesgos.
El proceso de evaluación de riesgos debe ser organizado y realizado de una forma
ordenada.
En realidad no solo el auditor debe basar su plan de auditoría en una evaluación de los
riesgos, sino que los propios objetivos de auditoría deben proporcionar a la
administración información para mitigar los riesgos asociados con el cumplimiento de
Objetivos globales.
Objetivos particulares.
Conexión de los objetivos de cada actividad con los objetivos globales y planes
estratégicos.
La coherencia entre los objetivos de cada actividad.
Relevancia de dichos objetivos para los procesos empresariales importantes.
Idoneidad de los recursos con relación a los objetivos.
Identificación de los objetivos de cada actividad que son importantes o críticos para
el cumplimiento de los objetivos generales.
Participación en la determinación de los objetivos de los empleados que ocupan
puestos de responsabilidad en todos los niveles y grado de compromiso con el
cumplimiento de los mismos.
Riesgos.
Gestión de cambios.
1
Control Interno, Marco Integrado , Comité de Organizaciones patrocinadoras de la Comisión
Treadway.
...”Cada organización se enfrenta con riesgos externos e internos que debe evaluar.
Una precondición para la evaluación de riesgos es el establecimiento de objetivos
enlazados en diferentes niveles y consistentes entre sí. La evaluación del riesgo es la
identificación y análisis de los riesgos relevantes para el logro de los objetivos de la
organización, determinando una base para determinar como se deben manejar los
riesgos. En razón que las condiciones económicas, industriales, regulatorias y
operativas seguirán cambiando se debe implementar mecanismos que identifiquen y
traten convenientemente aquellos riesgos asociados al cambio”...
La herramienta de componentes detalla los cinco componentes del control interno, que
fueron anteriormente comentados:
Ambiente de control.
Evaluación de riesgos.
Actividades de control.
Información y comunicación.
Monitoreo.
Esta herramienta está diseñada para evaluar cada uno de los componentes en la
organización. Cada componente se encuentra subdividido en objetivos y a su vez estas
cuestiones están comprendidas por uno o más medios para asegurar su cumplimiento
que son denominados puntos donde centrar las acciones.
Exhibit 8.3
Compromiso de competencia.
La Dirección debe especificar el nivel de competencia necesaria para los puestos y
traducir los niveles deseados de competencia en requisitos de conocimientos y
habilidades.
Descripciones de puesto formales o informales u otros medios para definir
tareas que comprendan los puestos. Por ejemplo considerar si:
La dirección ha analizado, en una base formal o informal, las tareas que
comprenden determinados puestos, considerando factores tales como el alcance
de la autoridad y la supervisión requerida.
Análisis del conocimiento y habilidades necesarias para desempeñar el puesto
en forma adecuada. Por ejemplo considerar si:
La dirección ha determinado una extensión adecuada al conocimiento y
habilidades necesarias para desempeñar un puesto en particular.
Existe evidencia que indique que los empleados aparentan tener los requisitos y
habilidades necesarios.
Compromiso de competencia.
Objetivos
Categoría de objetivos: que puede ser operacional, financiera o de cumplimiento.
Factores de riesgo: que son los riesgos específicos que pueden impedir el
cumplimiento de los objetivos.
Probabilidad: la probabilidad de ocurrencia de los riesgos que amenazan el
cumplimiento de los objetivos
Actividades de control, que son las actividades de control que pueden prevenir o
detectar la ocurrencia de los riesgos.
Otros objetivos afectados, la referencia cruzada a otros objetivos que pueden verse
afectados por los riesgos o las actividades de control.
Evaluación y conclusión, que es la opinión del auditor interno sobre la efectividad
del control en el manejo del riesgo que amenaza el cumplimiento de los objetivos.
Factores de riesgo: que las cantidades realmente recibidas no sean iguales a las
cantidades indicadas en la orden de compra o documento de embarque del proveedor.
Probabilidad: media / baja.
1. ¿Cuál es el objetivo?
2. ¿Cuáles son lo/s riesgo/s que amenazan dicho objetivo?
3. ¿Cuál es la probabilidad/es de ocurrencia/s de dicho/s riesgo/s?
4. ¿Cuáles son las actividades de control implementadas para hacer frente a dicho/s
riesgo/s?
5. ¿Es suficiente el control implementado para hacer frente a el/los riesgo/s
identificado/s?
IDENTIFICAR ACTIVIDADES
AUDITABLES
DETERMINAR FACTORES DE
RIESGO
EVALUAR Y DESARROLLAR
ACTIVIDADES AUDITABLES.
EVALUAR Y DESARROLLAR
PLANES.
Por actividad auditable entendemos toda aquella que puede ser definida y evaluada. En
términos prácticos la lista es muy extensa. A modo de ejemplo podemos citar:
Factores de riesgo.
Una vez elegida la actividad auditable es necesario conocer los factores de riesgo que
amenezan el cumplimiento de los objetivos.
Los factores de riesgo son según el SIAS 9 2aquellos criterios utilizados para evaluar la
significación relativa y la probabilidad de que eventos o hechos puedan afectar
adversamente la organización. Entre ellos podemos citar:
2
Statement on Internal Auditing Standard, Risk Assesment. Institute of Internal Auditors.
La ponderación de los factores de riesgo implica asignar una calificación a los riesgos:
Muy importante
Importancia promedio.
Baja importancia.
La ponderación puede ser llevada a una escala numérica basada en información cualitativa
o cuantitativa, por ejemplo:
1= controles fuertes.
5= controles inadecuados.
1=<$50000
5=>$1000000
1= reciente.
5= 5 y + años.
Planificación de la auditoría.
Recursos presupuestarios.
Recursos de personal.
Pedidos de trabajos especiales de auditoría.
Magnitud de las operaciones.
Intención de cubrir distintos aspectos de la organización.
Experiencia del auditor.
En función de todo ello debe elegirse aquellas actividades auditables que proporcionarán un
adecuado balance entre los requerimientos de la organización y las posibilidades de la
auditoría.
Como dijimos antes la planificación basada en el riesgo implica orientar los esfuerzos del
departamento de auditoría interna en tono con los riesgos que implican las actividades que
la organización realiza.
Bibliografía consultada:
CAPITULO III.
Definición de Estatuto
El eficaz ejercicio de la auditoría interna requiere que los auditores internos puedan llevar a
cabo su trabajo con independencia, y sin obstáculos para acceder a la información o a las
personas pertinentes. El trabajo no podría llevarse a cabo correctamente si las personas a
entrevistar fuesen inaccesibles, o si el auditor interno se viese inhibido de hacer
observaciones sobre las deficiencias halladas por temor a sufrir represalias. Otra posible
dificultad es que no se le permita al auditor interno consultar documentación o registros de
información confidencial relevante para su trabajo. Pero aún habiendo contactado a las
personas apropiadas y habiendo accedido a la información conveniente, la labor del auditor
interno no sería eficaz si la organización no diera la debida consideración a las
observaciones y recomendaciones resultantes del trabajo, las que son habitualmente
expresadas en el informe de auditoría.
Pero aún dependiendo del nivel jerárquico más elevado, el trabajo del auditor interno se
vería dificultado sin un fuerte y permanente apoyo de la alta dirección. El respaldo de la
alta dirección a la actividad de auditoría interna se instrumenta en el estatuto o charter de
auditoría interna. El estatuto establece el marco y las pautas básicas para el desarrollo de la
labor de auditoría interna dentro de la organización.
− El Estatuto es un documento formal, que debe ser aprobado por el Consejo para
tener validez. Dicha aprobación constará en el correspondiente libro de actas. El
texto del Estatuto deberá estar incluido en el acta de aprobación, posiblemente como
un anexo.
Normas relacionadas
La norma 1000 señala que debe existir un estatuto formalmente aprobado por el Consejo,
según las características ya mencionadas, y añade que esté en conformidad con las Normas.
Merece destacarse que esta es la primera de las Normas, lo que da una idea de la
importancia que las Normas atribuyen al estatuto.
No existe una fórmula única ni una estructura predefinida para redactar el estatuto de
auditoría interna. El mismo debe diseñado según las necesidades específicas de cada
organización. Normalmente no necesita tener una gran extensión.
Por otra parte, una vez redactado y aprobado el estatuto, no necesariamente se deberá
mantener intacto por tiempo indefinido, sino que podrá sufrir cambios a través del tiempo a
medida que varíen las necesidades de la organización. De todos modos, no es de esperar
habitualmente que los cambios al estatuto sean grandes ni que se produzcan con frecuencia.
Es razonable que cada uno o dos años se evalúe la conveniencia de introducir
modificaciones al estatuto.
Una vez finalizada la redacción del estatuto, se presentará ante el Consejo solicitando su
aprobación formal. En caso de existir un comité de auditoría, podrá ser este quien apruebe
el estatuto.
Comunicación
El Director ejecutivo de auditoría deberá asegurarse de que el estatuto sea conocido en toda
la organización, especialmente por parte del personal directivo a todos los niveles. Para que
resulte manifiesto el respaldo de la alta dirección, se procurará que la comunicación del
estatuto a los responsables de las distintas áreas de la organización provenga del propio
Consejo.
©2004 Instituto de Auditores Internos de Argentina 100 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Generalidades.
Para poder realizar una evaluación se recurre a los factores de riesgo que son aquellos
criterios que se utilizan para establecer la gravedad y la probabilidad de ocurrencia.
De una oportuna y completa evaluación de los riesgos, debe surgir, un ranking de riesgos
de las diferentes actividades auditables y el auditor deberá programar su actividad de
auditoría interna teniendo cuidado de adjudicar una mayor dedicación a aquellas
actividades que fueron consideradas como de mayor riesgo.
Norma 2010
El director ejecutivo de auditoría interna debe establecer planes basados en los riesgos
para determinar las prioridades de la actividad de auditoría interna consistente con las
metas de la organización.
©2004 Instituto de Auditores Internos de Argentina 101 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Las normas para el ejercicio profesional de la auditoría interna establecen que al realizar el
planeamiento de su auditoría, los auditores internos deben considerar:
Las letras en mayúsculas entre paréntesis, indican la gravedad del riesgo que va de A a C
(mayor a menor gravedad del riesgo).
©2004 Instituto de Auditores Internos de Argentina 102 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Como puede verse la planificación del trabajo se encuentra basada en el riesgo y en función
de ello se enumeran los controles con que la organización cuenta para enfrentarlos.
Orientado hacia los riesgos el auditor interno planifica las actividades que van a
proporcionarle una seguridad razonable sobre el funcionamiento adecuado de los controles
con lo cual los riesgos se encontrarán bajo un nivel aceptable.
Los objetivos del trabajo están relacionados con los objetivos operativos de la actividad que
se está auditando.
Los objetivos operativos de la actividad son fijados por la dirección operativa de la
actividad y pueden ser por ejemplo, para la actividad de compras:
En cambio los procedimientos operativos están diseñados para asegurarse que se cumplan
los objetivos.
©2004 Instituto de Auditores Internos de Argentina 103 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Un ejemplo sería:
Las Normas también indican que los objetivos del trabajo deben estar dirigidos a los
riesgos, controles y procesos de gobierno asociados con las actividades bajo revisión.
Como vimos antes, en el ejemplo anterior el objetivo operativo de la división de compras
de la organización era “obtener las mercaderías pagando el precio adecuado y en el
momento adecuado”.
En función de ello se establecen los riesgos que pueden amenazar dicho objetivo operativo
y los controles establecidos para mantenerlo en niveles adecuados.
El objetivo del trabajo de auditoría del ejemplo puede formularse como “asegurarse que el
departamento de compras paga el precio adecuado por sus mercaderías, las recibe en el
momento oportuno y las especificaciones de las mismas están de acuerdo a sus
necesidades”.
En este caso, se tuvo en cuenta el objetivo de la actividad, los riesgos que esta presenta y
los controles que se han establecido para mantenerlos bajo control.
Comunicación y aprobación.
©2004 Instituto de Auditores Internos de Argentina 104 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
“El director ejecutivo de auditoría interna debe comunicar los planes de la actividad de
auditoría interna y los requerimintos de recursos, incluídos los cambios intermedios a la
Alta dirección y al Consejo para su aprobación y revisión.
El director ejecutivo de auditoría interna debe comunicar también el impacto de la
restricción de recursos”.
Los planes de la actividad, deben estar aprobados por el Consejo y es recomendable que
también los sean por el Comité de Auditoría.
Esto es importante porque tanto el Consejo y/o el Comité y el director ejecutivo de
auditoría interna pueden discutir distintas cuestiones en lo referente a:
La misma dirección puede manifestar las áreas donde desea que la actividad de
auditoría interna ponga un mayor énfasis.
Además el hecho de aprobar los planes hace que el Consejo y el Comité se involucren más
en la actividad de auditoría interna, con lo cual aumenta el grado de compromiso que
adquieren.
©2004 Instituto de Auditores Internos de Argentina 105 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Una vez comunicado el plan de trabajo al Consejo el auditor debe mantenerlo informado
sobre la marcha del mismo.
La información debe abarcar otras cuestiones además de la marcha del plan en sí mismo
como el propósito y la autoridad de la actividad definidos en el Estatuto.
©2004 Instituto de Auditores Internos de Argentina 106 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Concepto.
Una vez que el auditor interno haya llegado a una opinión fundada debe comunicarla, en
general, dicha comunicación se realiza generalmente a través de reportes escritos aunque a
veces puede ser en forma oral.
La comunicación de las observaciones es importante por varios motivos:
Normas relacionadas.
Existen una serie de normas que se encuentran relacionadas con la comunicación de los
resultados, entre ellas podemos citar a:
©2004 Instituto de Auditores Internos de Argentina 107 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Por oportuna entendemos que se refiere en el momento adecuado para tomar las medidas
correctivas necesarias.
Obviamente que existirán ocasiones, donde, cuando llega el auditor y descubre el problema
sea tarde para ensayar medidas correctivas.
Características de la información.
©2004 Instituto de Auditores Internos de Argentina 108 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
La norma 2420 indica las características que debe tener la información de auditoría, entre
otras, indica que la información debe ser objetiva, clara, concisa, constructiva, completa y
oportuna.
Objetiva.
Las normas indican la necesidad que las comunicaciones sean objetivas, es decir, deben
estar fundadas en evidencia.
Cada hecho que el auditor informe debe estar soportado por evidencia suficiente.
Por “evidencia” entendemos la información que el auditor puede obtener en el transcurso
de su trabajo que proporcione una base objetiva para sus opiniones, conclusiones y
recomendaciones.
Si el auditor indica que “no se cumplen las normas de higiene y seguridad en el depósito de
materiales”, deberá probarlo.
En tal caso, una foto puede ser evidencia suficiente para que el resto de la organización le
crea.
También la frecuencia de accidentes anteriores puede ser una evidencia que se están
vulnerando las normas de seguridad de alguna forma.
Sea como fuere, el adecuado soporte de las observaciones de auditoría refuerza la
credibilidad de la auditoría interna sobre su trabajo.
Precisa
Con relación a la precisión la objetividad implica precisión. A veces las palabras confusas
no son claras y hacen que el lector pueda sentirse confundido.
La expresión del auditor “no todas las ordenes de compra estaban suficientemente
autorizadas” no resulta ser clara y lleva a la confusión.
No se sabe cuanto es “no todas” y si el auditor quiere ser más preciso y claro podría
identificar cuales fueron las ordenes de compra que no contaban con una autorización
apropiada.
La observación anterior sería más clara y precisa si el auditor la hubiera redactado de esta
forma. “ las órdenes de compra abajo detalladas (o en el cuadro anexo al presente informe)
no contaban con la autorización que indican las normas de procedimiento de compras”.
Clara.
Un escrito es claro cuando el sentido puede ser interpretado fácilmente y sin lugar a dobles
interpretaciones.
Esto, como se verá, no es tan fácil de lograr y muchos auditores fallan en este tema y
convierten a sus informes en poco claros.
©2004 Instituto de Auditores Internos de Argentina 109 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Para que un auditor pueda transmitir con claridad debe tener en claro sus ideas, es por eso
que antes de sentarse a escribir debe estar seguro de sus conclusiones y luego, si podrá
transmitirlas en forma clara.
Un lenguaje claro sin tecnicismos y con frases entendibles ayuda mucho en la tarea de
hacer los reportes más claros.
Concisa.
Por información concisa entendemos aquella que contiene sólo lo necesario, donde
cualquier lo irrelevante o lo inmaterial fue eliminado.
Esto no implica brevedad o escribir en “estilo telegráfico” sino que implica decir lo que
está relacionado con el tema central y nada más.
Como muchas veces lo que es conciso para un nivel puede tener falta de información para
otro lo común es que se realicen reportes con diferente grado de detalle: un resumen para la
dirección y un reporte más detallado para la dirección operativa.
Constructiva.
El tono constructivo indica que el informe no debe remarcar los errores ni identificar
individuos.
Debe resaltar la necesidad de mejoras pero no debe enfatizar siempre los errores.
Las nuevas normas, cuando indican la necesidad de resaltar el buen comportamiento están
tratando de hacer más constructiva las comunicaciones de auditoría.
Oportuna.
©2004 Instituto de Auditores Internos de Argentina 110 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Completa.
Por información completa entendemos aquella que contiene todas los hechos o
circunstancias que describen la situación y que pueden ayudar a que la dirección operativa
o el Consejo tome una mejor acción correctiva.
Cuando el auditor indica una observación debe indicar todas las circunstancias relacionadas
relevantes a ella, de modo que aquel que sea responsable de tomar una decisión pueda
hacerlo con la mejor información disponible.
Si el auditor informa que “no se cumplen los procedimientos de autorización de compras”
pero omite indicar que “el personal operativo no los comprende adecuadamente porque los
mismos no son claros” está informando en forma parcial con lo cual también impide que la
dirección pueda tomar una acción correctiva más eficaz, o sea modificar los procedimientos
para hacerlos más claros y entendibles.
En este caso, como en tantos otros, el auditor deberá ejercer su juicio profesional para
determinar el alcance adecuado de su información: que no debe faltar porque es esencial e
importante y que puede ser eliminado por superfluo.
En definitiva la mejor información es aquella que tiene un adecuado balance entre la
integridad y la concisión o dicho de otro modo: no falta ni sobra nada.
©2004 Instituto de Auditores Internos de Argentina 111 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
La última actualización que sufrieron las normas en enero del 2004 introdujeron la
necesidad que el director ejecutivo de auditoría interna tenga en cuenta los riesgos de
suministrar información confidencial a terceras partes fuera de la organización.
Responsable de la comunicación.
©2004 Instituto de Auditores Internos de Argentina 112 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Cuando el incumplimiento con las Normas afecta a una tarea específica, la comunicación
de los resultados debe exponer:
•Las Normas con las cuales no se cumplió totalmente
•Las razones del incumplimiento, y
•El impacto del incumplimiento en la tarea
Uno de los objetivos de las normas de auditoría es servir como referencia sobre la calidad
del trabajo realizado.
Las normas incluyen ciertas pautas y características sobre los atributos y el desempeño
profesional del auditor interno que, si son cumplidas, aseguran que el trabajo de auditoría
interna fue desempeñado satisfactoriamente por lo cual merece la confianza de cualquier
usuario de la información emitida.
Si por alguna razón el auditor se apartó de esas Normas el usuario de la información debe
conocerlo con el objeto que las decisiones que se tomen teniendo en cuenta esa información
no se vea afectada por dicha falta de cumplimiento.
Una vez informados y aprobados los planes de auditoría por el Consejo, la labor de
auditoría no se reduce a realizar el trabajo de campo y emitir sus informes.
Es importante que el Consejo reciba información periódica sobre la marcha de la función de
auditoría y sobre el grado de cumplimiento de sus objetivos para poder realizar un
monitoreo de la función y determinar si está actuando con eficiencia y eficacia en el
cumplimiento de la gestión encomendada.
En cuanto a la periodicidad de esta información, en la mayoría de los casos, la información
al consejo se realiza en forma anual, aunque a veces es usual realizar información
semestralmente.
©2004 Instituto de Auditores Internos de Argentina 113 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Aquellas cuestiones que aparezcan en el transcurso del trabajo y que impliquen alguna
modificación importante al plan trazado, tanto sea en el alcance como en el tiempo previsto
para alcanzar el trabajo, en principio deberían ser informadas al Consejo.
Los auditores internos deben periódicamente llamara la atención del Consejo para informar
los logros tanto monetarios como no monetarios con el fin de demostrar el valor agregado
de la función.
Comparación entre el trabajo previsto y el realizado (diferencia entre las horas
presupuestadas y las horas reales).
©2004 Instituto de Auditores Internos de Argentina 114 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 115 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 116 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Evaluación de riesgos.
Estos conceptos están incluidos en la propia definición de la auditoría interna que dice:
...”un enfoque disciplinado para evaluar y mejorar la eficacia de los procesos de
administración del riesgo, control y proceso de gobierno”...
La responsabilidad de la administración del riesgo recae en la dirección porque debe
asegurar que el proceso de administración de riesgo se encuentra implementado y
supervisar su correcto funcionamiento.
El rol del auditor consiste en asistir a la Dirección y al Comité de Auditoría en el examen,
evaluación, informe y recomendación de mejoras en la adecuación y efectividad del
proceso de administración de riesgos.
De esta manera, el auditor participa del proceso de riesgo y puede aportar su opinión que es
importante porque tiene la habilidad y el conocimiento adecuados para ofrecer una visión
objetiva y profesional sobre el riesgo de toda la organización.
Al mismo tiempo, la información que surja de este trabajo de evaluación puede servir en el
planeamiento de su trabajo.
©2004 Instituto de Auditores Internos de Argentina 117 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Exposiciones al riesgo.
Los nuevos conceptos del control interno (Informe COSO).Comité de organizaciones patrocinadoras de la
Comisión Treadway.
©2004 Instituto de Auditores Internos de Argentina 118 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Como se había definido en el capítulo II de esta obra el riesgo puede ser definido como la
probabilidad de que circunstancias adversas puedan afectar el cumplimiento de los
objetivos.
El formulamiento de los objetivos es necesario como un paso previo para la evaluación del
riesgo.
Para identificar adecuadamente los riesgos es necesario pensar en las amenazas que
comprometen el cumplimiento de los objetivos.
Por ejemplo:
Objetivo de la función: Seleccionar los transportistas y rutas que proporcionen el envío más
económico y oportuno para los envíos.
Riesgos identificados:
Rutas económicas e ineficientes, este riesgo está claramente identificado con la categoría
de eficacia y eficiencia de las operaciones.
©2004 Instituto de Auditores Internos de Argentina 119 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Evaluación de riesgos.
Uno de los componentes del control interno que enumera el citado informe COSO4
es la evaluación de riesgos.
El mismo informe define a la evaluación de riesgos de esta forma:
El concepto del informe COSO es que los objetivos y controles se encuentran relacionados
de alguna manera u otra con los riesgos.
El mismo informe señala que la formulación de objetivos es un prerrequisito para la
identificación de los riesgos porque, lógicamente, no se pueden establecer riesgos si no se
sabe cuál es el objetivo que se encuentra amenazado.
Los controles son los medios con los que cuenta la organización para controlar los riesgos y
mantenerlos bajo un cierto nivel de control.
El informe establece tres categorías de controles que son los siguientes:
4
Op. cit pág. 116.
©2004 Instituto de Auditores Internos de Argentina 120 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
El proceso de evaluación de riesgos, que forma parte de uno de los componentes del control
interno como indica el informe COSO es responsabilidad de la dirección y reside en toda la
organización.
Toda la organización debe ser capaz de identificar los riesgos que pueden amenazar el
cumplimiento de sus objetivos, realizar un apropiado “ranking de riesgos” considerando la
gravedad y probabilidad de ocurrencia y ensayar controles o medios para mitigarlos es
decir reducir o eliminar sus consecuencias negativas.
Pero, si la responsabilidad de la evaluación reside en la dirección y en la organización ¿cuál
es el aporte de la auditoría interna en la evaluación de riesgos?.
La auditoría tiene una función importante que es la de actuar de soporte en este proceso.
Volviendo a la definición de auditoría interna, que se comentara en el punto anterior
recordamos que hablaba de la auditoría interna como aquella función que evalúa ... y
mejora los procesos de... riesgo.
©2004 Instituto de Auditores Internos de Argentina 121 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Aplicación práctica.
El auditor, una vez que la organización haya definido sus objetivos piensa en que cosas
pueden afectar esos objetivos.
Utiliza su ingenio, imaginación y conocimiento de la actividad para listar posibles riesgos
de la actividad.
Por ejemplo los objetivos de un depósito de materiales de una organización puede ser
definido como:
Almacenar los materiales en forma adecuada para prevenir su deterioro y/o robo o
hurto.
Recibirlos y entregarlos en forma adecuada de acuerdo a las necesidades de los clientes
internos y externos
©2004 Instituto de Auditores Internos de Argentina 122 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Una vez definidos los objetivos el auditor interno o la organización están en condiciones
de identificar los hechos adversos que puedan comprometer el logro de objetivos.
©2004 Instituto de Auditores Internos de Argentina 123 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
1: menor a $1000.
2: entre $1001 y $10000
3: entre $10001 y $100000
4: entre $100000 y $500000
5: más de $500000
©2004 Instituto de Auditores Internos de Argentina 124 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
1: poco grave.
2: medianamente grave.
3: grave
4: muy grave.
1: remota.
2: medianamente probable
3: muy probable.
La multiplicación de la gravedad por la probabilidad de ocurrencia nos dará el nivel de
riesgo.
©2004 Instituto de Auditores Internos de Argentina 125 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
La forma en que una organización elige para conducir sus negocios para alcanzar las cuatro
responsabilidades se llama comúnmente su proceso de gobierno.
El consejo de administración o consejo directivo y su alta dirección deben rendir cuentas
por la eficacia del proceso de gobierno.
©2004 Instituto de Auditores Internos de Argentina 126 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Las prácticas de gobierno de la organización constituyen una única y cambiante cultura que
afecta roles, especifica conductas, fija objetivos y estrategias, mide desempeño y define los
términos de rendición de cuentas.
La cultura determina los valores, los roles y las responsabilidades que serán toleradas y
determinarán el grado de sensibilidad que tendrá la organización en alcanzar su
responsabilidad a la sociedad.
Responsabilidad por la cultura ética de la organización.
Todas las personas en la organización comparten cierta responsabilidad en la cultura ética
de la organización.
Debido a la complejidad y a la dispersión de los procesos de toma de decisiones en la
mayoría de las empresas, cada individuo debe ser alentado para convertirse en un defensor
activo de la ética.
En los últimos tiempos, un número creciente de organizaciones han designado un
encargado ético como asesor de ejecutivos, directores y otros en materia de ética de
negocios para hacer “lo correcto” es decir, “lo que se debe”.
La auditoría como soporte de la cultura ética.
Los auditores internos y la actividad de auditoría interna en particular debe tener un rol
activo en el soporte de la cultura ética de la organización.
Los auditores gozan de mucho prestigio y confianza dentro de la organización y tienen las
habilidades necesarias como para ser promotores eficaces de una conducta ética.
Como tienen la competencia y la capacidad de atraer a los líderes, directores y otros
empleados para cumplir con las responsabilidades legales, éticos y sociales.
El auditor puede desempeñar distintos roles en la ética de la organización:
Ombudsman.
Funcionario de cumplimiento.
Asesor ético
Experto ético.
Miembro de un consejo de ética interna.
Asesor ético de la organización.
©2004 Instituto de Auditores Internos de Argentina 127 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Como mínimo la actividad de auditoría interna debe periódicamente evaluar el estado del
clima ético de la organización y la eficacia de sus estrategias, tácticas, comunicaciones y
otros procesos en obtener el nivel deseado de cumplimiento legal y ético.
El auditor debería al menos, evaluar lo siguiente:
©2004 Instituto de Auditores Internos de Argentina 128 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 129 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Por su parte, el glosario incluido en las Normas de auditoría definen al control como
“cualquier acción tomada por la dirección, el consejo y otras partes para manejar el
riesgo e incrementar la probabilidad que se puedan obtener los objetivos y metas sean
alcanzados.
La administración planea, organiza y dirige el desempeño de acciones suficientes para
proporcionar razonable seguridad que las metas y objetivos sean alcanzados”.
2120 – Control
©2004 Instituto de Auditores Internos de Argentina 130 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Sistemas de control.
Elementos.
Los medios de control incluyen las personas, reglas, presupuestos, agendas y otros
componentes.
Importancia.
El control es especialmente importante en las grandes organizaciones. Los gerentes son
incapaces de supervisar personalmente todo sobre lo cual tengan responsabilidad.
Por lo cual deben delegar autoridad a los subordinados y junto a la delegación de
responsabilidad se debe asegurar la rendición de cuentas, que no es más que demostrar que
las cosas se hicieron como estaban planeadas. Ello es una forma de control.
La auditoría de controles.
El objetivo de auditar los controles es determinar que:
Los controles se encuentran implementados.
Los controles están estructurados.
Están diseñados para cumplir un objetivo específico o para alcanzar el cumplimiento de
determinados requerimientos.
Los controles están siendo utilizados.
Son un eficientes y eficaces sirviendo su propósito.
La dirección utiliza el resultado del sistema de control.
El auditor debe:
Determinar los objetivos del sistema de control.
Revisar los objetivos para determinar si son consistentes con las políticas de la
organización y están diseñados para asegurar el cumplimiento de los requerimientos
externos o internos.
Examinar y analizar los sistemas de control para determinar si su anatomía es sana si
existe un criterio, un método para medir las condiciones y una evaluación de las
desviaciones y un método de información.
Determinar si el resultado de los controles está diseñado para cumplir con su propósito.
Revisar las operaciones del sistema de control.
©2004 Instituto de Auditores Internos de Argentina 131 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 132 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 133 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Uno de los objetivos del control interno es proporcionar un grado razonable de seguridad
sobre el cumplimiento del objetivo de confiabilidad de la información financiera.
El pilar más importante sobre el cual descansa este objetivo es la independencia del auditor
externo quien va a dictaminar sobre la corrección de la información financiera que la
organización emita.
En tal sentido, y para asegurar que efectivamente la independencia del auditor externo es
importante que el Consejo o el Comité de Auditoría soportado por la función de auditoría
interna realicen al menos anualmente una evaluación cuyo objetivo sea la independencia
del auditor externo y su eficiencia.
©2004 Instituto de Auditores Internos de Argentina 134 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 135 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 136 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Importancia.
A continuación citamos algunos de los temas sobre los cuales el auditor deberá poner un
énfasis especial:
Medio ambiente.
Higiene y seguridad del trabajo.
Regulaciones técnicas específicas de la actividad (seguros, banca).
Superintendencias o cuerpos regulatorios sobre actividades específicas sujetas a un
control especial por parte del gobierno (alimentos, energía, transporte, comunicaciones,
educación, salud).
Agencias gubernamentales de control en materia de impuestos y seguridad social.
©2004 Instituto de Auditores Internos de Argentina 137 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Para el auditor interno, cualquier investigación realizada por los cuerpos regulatorios
adquiere una importancia fundamental.
Puede implicar la aparición de riesgos no contemplados anteriormente y la ocasión para
realizar las acciones correctivas necesarias.
El auditor deberá prestar especial atención a lo siguiente:
Si se encuentra previsto que se notifique apropiadamente a la Dirección y a auditoría
sobre cualquier investigación o reclamo iniciado por los organismos regulatorios.
Si una vez notificado del reclamo el sector responsable lleva adelante las acciones
necesarias (información, investigación o corrección de los problemas advertidos).
Si el organismo regulatorio recibe la información requerida en el tiempo previsto y en la
forma adecuada.
Si efectivamente, las acciones correctivas fueron llevadas adelante o la información
entregada al organismo se ajusta a la realidad verificable.
En caso que así no fuera, asegurarse que la Dirección tomó en cuenta los riesgos
involucrados.
Si de la inspección de los organismos de control derivara algún tipo de irregularidad
comprobable averiguar las causas de la misma (desconocimiento, falta de capacitación,
razones económicas, etc) y recomendar acciones para evitar su repetición.
©2004 Instituto de Auditores Internos de Argentina 138 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 139 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 140 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 141 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 142 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 143 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Los roles que pueden asumir los auditores internos como un defensor y promotor de la ética
en la organización puede ser varios: ombudsman, asesor o experto ético.
La administración del riesgo es una responsabilidad clave de la dirección quien para poder
alcanzar sus objetivos la dirección debe asegurarse que el proceso se encuentra
implementado y está funcionando adecuadamente.
El consejo de auditoría y el consejo tienen la responsabilidad de supervisar que el proceso
se encuentra implementado y funciona adecuadamente.
Los auditores internos tienen un rol de asesoramiento o consultivo para que la organización
pueda identificar, evaluar e implementar metodologías apropiadas para manejar y controlar
los riesgos.
El director ejecutivo de auditoría interna debe conseguir un conocimiento completo del
consejo y de la dirección sobre las expectativas que tienen de la auditoría interna en el
proceso de manejo de riesgos.
Más específicamente el rol de la auditoría interna en los procesos de manejo de riesgo
puede variar con el transcurso del tiempo desde:
©2004 Instituto de Auditores Internos de Argentina 144 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
La dirección y el comité de auditoría deberán determinar cual debe ser el rol de la auditoría
en el proceso de manejo de riesgos.
Algunos factores tales como la cultura de la organización, las habilidades o competencias
del personal de la auditoría interna y las condiciones locales incidirán en la determinación
del rol que tendrá la auditoría en el proceso del manejo de riesgos en la organización.
Definición e introducción.
La mayoría de las legislaciones protegen aquellos datos que hacen a la privacidad de las
personas y limitan el poder del Estado y de las organizaciones de avanzar sobre los
derechos individuales que consagran la privacidad de los individuos.
Impacto de Internet.
El creciente uso de internet provocó por un lado una mayor exposición de aquella
información considerada como sensible y al mismo tiempo, los desarrollos tecnólogicos
facilitaron el procesamiento, almacenamiento y distribución de grandes volúmenes de datos
en un muy corto lapso de tiempo y aumentaron los riesgos involucrados.
Las organizaciones se ven obligadas a realizar un manejo muy cuidadoso de los datos que
posean de sus clientes y puedan ser considerados como sensibles o susceptibles de
protección legal contra su difusión o conocimiento por personas no autorizadas.
Existen múltiples razones pero entre ellas, podemos citar:
©2004 Instituto de Auditores Internos de Argentina 145 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
La seguridad de los datos y la seguridad física constituyen dos cuestiones muy importantes
que tienen que ver con la tecnología de la información.
Seguridad de datos.
Los controles sobre los datos previenen accesos no autorizados sobre el más importante
activo que pueden tener la organización hoy en día, que son sus datos.
El acceso lógico permite saber que usuarios están autorizados a entrar al sistema y cuáles
son las funciones que pueden desempeñar en el mismo.
Las características que debe reunir un buen sistema de seguridad de datos son:
La función más importante y difícil resulta ser la autenticación del usuario. Las passwords
resultan ser hoy por hoy la forma más sencilla y fácil de autenticar al usuario.
Los softwares de seguridad de datos cumplen ciertas funciones:
Encripción de datos para que no puedan ser leídos por los programadores.
Obligan a cambiar las passwordas cada cierto lapso de tiempo.
©2004 Instituto de Auditores Internos de Argentina 146 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Requieren que las passwords tengan cierta estructura: al menos cinco o seis caracteres,
sin vocales e incluir algunos números, para evitar que puedan ser fácilmente deducidas.
Los softwares de seguridad de datos tienen otras funciones, por ejemplo restringen el
acceso a determinados archivos a aquellos usuarios que por sus funciones no tienen
necesidad de acceder, pueden permitir que determinadas tareas se hagan exclusivamente
desde una sola terminal, pueden restringir el uso de las terminales a determinado horario
del día y de la semana, bloquean las terminales luego de un período determinado sin
actividad y pueden pedir el uso de la password antes de efectuar cada transacción
importante.
Seguridad física.
Los controles de seguridad física previenen el acceso a personas no autorizadas al sitio del
centro de datos y otorgan protección de las instalaciones donde se procesan los datos contra
fuego, inundaciones y cortes de corriente.
Hoy por hoy existen medios sofisticados para impedir el acceso a personas no autorizados
al centro de procesamiento como ser tarjetas magnéticas que guardan la información de la
persona en una tarjeta magnética, controles de acceso biométrico que leen la características
del iris de la persona para determinar su acceso o las carácterísticas de la mano o reconocen
su voz.
En cuanto a los controles sobre la seguridad física podemos destacar los sistemas de
prevención contra incendio que generalmente comprenden a los detectores de humo y a las
alarmas contra incendio.
Por último los dispositivos más comunes contra los cortes de corriente son los equipos
electrógenos que permiten la continuidad de las operaciones ante cortes de energía y los
equipos estabilizadores de corriente que previenen los daños que las variaciones en el
voltaje de la energía pueden ocasionar a los equipos.
El tema de seguridad de datos será tratado con mayor profundidad en la parte II de la obra.
©2004 Instituto de Auditores Internos de Argentina 147 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
CAPITULO IV
©2004 Instituto de Auditores Internos de Argentina 148 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
2130. Gobierno.
Los auditores internos deben considerar lo siguiente en la determinación del rol para jugar
en la cultura ética de la organización.
Este rol puede variar dependiendo de la existencia, falta o grado de desarrollo de la
cultura ética de la organización. Est guía no intenta representar todos los procedimientos
que pueden ser necesarios para un aseguramiento completo o trabajo de consultoría
©2004 Instituto de Auditores Internos de Argentina 149 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Como puede verse las nuevas normas asignan a la Auditoría Interna una gran
responsabilidad sobre los procesos de gobierno corporativo.
Como dicen las recomendaciones que propuso el Instituto en un intento de mejorar el
gobierno corporativo como respuesta a los sucesos públicamente conocidos, la Auditoría
Interna resulta ser una de las bases sobre las cuales debe edificarse un eficiente gobierno
corporativo.
Las otras bases, sobre las cuales se asienta el modelo, son el Consejo de Dirección, la
Dirección y los auditores externos.
La forma en que la organización elige para conducir estos asuntos y alcanzar estas cuatro
responsabilidades se llama comúnmente proceso de gobierno.
El consejo de dirección y la alta dirección deben rendir cuentas por la efectividad del
proceso de gobierno.
©2004 Instituto de Auditores Internos de Argentina 150 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
de su gente y de la estrategia para mantener una cultura alineada con sus responsabilidades
legales, éticas y sociales.
Los auditores internos y la actividad de auditoría interna deben tomar un rol activo en el
soporte de la cultura ética de la organización.
Como mínimo la actividad de auditoría interna debe periódicamente evaluar el estado del
clima ético de la organización y la eficacia de sus estrategias, tácticas, comunicaciones y
otros procesos para cumplimentar el nivel deseado de cumplimiento legal y ético.
Los auditores deben evaluar la eficacia de los siguientes rasgos de una cultura ética.
Estrategias explícitas para soportar y mejorar la cultura ética con programas regulares
para actualizar y renovar el compromiso de la organización con una cultura ética.
En respuesta a los distintos sucesos que ocurrieron en EEUU hace unos años Instituto
propuso un marco en el intento de mejora del gobierno corporativo el cual sintéticamente
delineamos:
Que los organismos que supervisan a las empresas que cotizan en forma pública sus
títulos valores en Estados Unidos (Bolsa de Valores de Nueva York, Bolsa de Valores
Americana y el NASDAQ) emitan una serie uniforme de principios para las empresas
públicas (en Estados Unidos aquellas que realizan oferta pública de títulos valores).
Que el directorio emita, junto a su reporte anual, una declaración sobre el alcance del
cumplimiento de esos principios.
©2004 Instituto de Auditores Internos de Argentina 151 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Por último todas las empresas públicas deben establecer y mantener una función de
auditoría interna independiente, competente y con los recursos adecuados para
proporcionar al Comité de Auditoría y a la Dirección una evaluación continua de los
procesos de riesgo y del sistema de control interno.
Si la función de auditoría interna no está presente el Directorio debe informar , en su
reporte anual porque la función no está implementada.
En la misma línea el Instituto adoptó los Principios del Siglo XXI para las empresas
públicas americanas emitidos por Centro de Gobierno Corporativo de la Universidad
Estatal de Kennesaw estado de Georgia. Estos principios son:
©2004 Instituto de Auditores Internos de Argentina 152 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Auditoría interna. Todas las compañías con cotización pública de sus títulos
valores deben mantener una función de auditoría interna efectiva y de tiempo
completo que reporte directamente al Comité de Auditoría.
El Instituto cree que estos principios involucran un modelo para el Gobierno Corporativo
porque el gobierno corporativo depende de la sinergia generada entre los cuatro
componente del sistema de gobierno: el Directorio, la dirección, los auditores internos y
los auditores externos.
Para lograr un proceso de gobierno efectivo los cuatro grupos deben estar presentes y
trabajar en forma conjunta.
Estos cuatro grupos proporcionan un efectivo sistema de controles y balances que
combinan conocimiento interno del negocio con evaluación externa independiente.
Uno de los principios que postula este modelo es que el directorio emita una declaración
sobre la evaluación del control interno en las organizaciones.
Estas declaraciones deberían estar dirigidas a los controles internos en forma amplia y no
limitarse sólo a los controles sobre el registro y la información financiera.
En opinión del Instituto, esta es una herramienta poderosa para proteger a los accionistas e
inversores.
Para asegurar un reporte efectivo la auditoría interna debería reportar al Comité de
Auditoría sobre la adecuación y efectividad del control interno.
El reporte debería incluir las opiniones de la Dirección sobre la suficiencia del control
interno, el resultado de las pruebas de control interno efectuadas por los auditores internos
y el trabajo del auditor externo.
El Comité de auditoría debería evaluar la adecuación del reporte y realizar las
recomendaciones apropiadas al Directorio para el reporte externo.
Auditoría Interna.
©2004 Instituto de Auditores Internos de Argentina 153 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 154 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Según el informe COSO “el control interno es un proceso, lo cual significa que no
constituye un hecho aislado sino una serie de acciones que se extienden por todas las
actividades de la entidad.
Los procesos del negocio, que se llevan a cabo dentro de las unidades y funciones de la
organización o entre las mismas, se coordinan en función de procesos básicos de
planificación, ejecución y supervisión.
5
Los nuevos conceptos del control interno (Informe COSO). Ed. Coopers & Lybrand. Ediciones
Díaz de Santos.
©2004 Instituto de Auditores Internos de Argentina 155 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Seguridad razonable.
Los empleados encargados del establecimiento del control tienen que establecer los
costos y beneficios relativos.
Los cinco componentes del control interno y su relación con objetivos y procesos.
Los componentes del control interno que el informe COSO determina son los siguientes:
Ambiente de control:
Evaluación de riesgos.
Actividades de control.
©2004 Instituto de Auditores Internos de Argentina 156 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Información y comunicación.
Las informaciones pertinentes deben ser comunicadas para permitir que las personas
puedan llevar adelante sus responsabilidades.
Monitoreo.
El sistema de control interno necesita ser monitoreado para determinar la calidad del su
desempeño.
Los objetivos.
Cada entidad tiene una misión la cual determina sus objetivos y las estrategias necesarias
para alcanzarlos.
Pueden existir objetivos globales, es decir para toda la organización o específicos para
una determinada actividad.
Operacionales: son aquellos relacionados con una utilización eficaz y eficiente de los
recursos.
Cumplimiento. son los que están relacionados con en el cumplimiento de las leyes, normas
y regulaciones.
Existe una relación entre los objetivos, que es lo que la organización pretende conseguir y
los componentes que son los elementos necesarios para cumplir con esos objetivos.
Esta relación puede ilustrarse mediante una matriz tridimensional, tal como se presenta
abajo:
©2004 Instituto de Auditores Internos de Argentina 157 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
OBJETIVO
miento
Cumpli
iones
Operac
Infiorm
financi
acion
era
Unidad 1
Actividad 1
SUPERVISION
INFORMACION Y
COMUNICACION UNIDADES/
ACTIVIDAD
COMPONENTES
ACTIVIDADES DE CONTROL
EVALUACION DE RIESGOS
AMBIENTE DE CONTROL
El control interno puede considerarse eficaz en cada una de las 3 categorías si el consejo de
Administración y la Dirección tienen una seguridad razonable que:
Disponen de información adecuada sobre hasta que punto se están logrando los
objetivos operacionales.
©2004 Instituto de Auditores Internos de Argentina 158 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Con lo cual, las Normas otorgan a la función de auditoría una responsabilidad importante
sobre la supervisión en el control y su mejoramiento.
Es importante, recalcar que, la actividad de auditoría no tiene una responsabilidad primaria
sobre el control la cual recae en las unidades operativas, la alta dirección y el Consejo, es
decir, en la organización misma como un conjunto.
En cambio, establece responsabilidades claras e indudables de asesoramiento y supervisión
sobre las actividades de control de la organización.
©2004 Instituto de Auditores Internos de Argentina 159 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Se define al riesgo como la probabilidad de que un hecho o una acción adversa puede
afectar negativamente el cumplimiento de los objetivos de una organización.
El riesgo debe ser manejado en forma adecuada a través de controles eficientes y eficaces
pero como se debe tener presente siempre el concepto de economía del control, cierto nivel
de riesgo queda presente y debe ser soportado por la organización.
Riesgo inherente.
Del mismo modo, el riesgo inherente sobre una valuación errónea sobre el rubro de cuentas
a cobrar es mayor que la aseveración del auditor interno sobre la continuidad del negocio.
El tipo de activo del cual se trate también tiene incidencia en el grado del riesgo inherente:
el efectivo presenta un mayor riesgo de robo que un inventario de material para la
construcción.
©2004 Instituto de Auditores Internos de Argentina 160 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
El auditor interno puede evaluar el riesgo inherente del cliente observando la industria en su
conjunto.
Si bien puede parecer, que el riesgo inherente proveniente exclusivamente del ambiente
externo, es decir del ambiente donde la empresa opera, existen ciertas situaciones que
hacen que las organizaciones se enfrenten a riesgos inherentes que provienen de decisiones
tomadas en el ámbito interno de la empresa y que la exponen a riesgos, que otras
organizaciones que operan en la misma industria no tienen.
Tal sería el caso de aquella organización que, para tener una respuesta más flexible y rápida
a los requerimientos de los clientes y a los cambios del mercado elige no tener
procedimientos y políticas escritas.
Estos riesgos creados por la cultura de la organización son riesgos inherentes al estilo de la
organización.
Para especificarlo mejor, dos organizaciones que trabajan en la misma industria tienen
riesgos inherentes comunes porque participan del mismo ambiente externo pero sus grados
de riesgo pueden ser diferentes porque una posee normas escritas y estructuras
organizativas más sólidas y competentes que la otra.
Riesgo de control.
En ese sentido, el riesgo de control es que un error o una situación falsa o errónea no sea
detectado por el sistema de control interno de la entidad, sus políticas o procedimientos.
Una vez implementados los controles necesarios para mitigar las consecuencias de los
riesgos queda siempre un nivel de riesgo y que constituye aquel denominado riesgo del
control.
©2004 Instituto de Auditores Internos de Argentina 161 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Dicho de otra manera no sería económico controlar el 100% de los procesos y de las
operaciones y ello siempre deja un margen de exposición al riesgo, lo que se llama
comúnmente riesgo residual.
Riesgo de detección.
Consiste en que el auditor no detecte los errores o inexactitudes sobre las aseveraciones de
la organización.
Ocurre, por varias razones, algunas de ellas pueden ser:
De la misma forma que existe un riesgo de control, entre otras cosas, porque la
organización aplica controles selectivos y parciales y no puede controlar el 100% de las
operaciones existe un riesgo de detección en razón de la naturaleza del trabajo de auditoría.
Puede decirse que cuanto mayor sean los riesgos inherentes y de control menor será el nivel
aceptado de riesgo de detección, es decir la posibilidad que el auditor no detecte
determinadas condiciones, hechos o situaciones.
©2004 Instituto de Auditores Internos de Argentina 162 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
RIESGO DE
DETECCION
Evaluació
n de
riesgos y
controles
Auditoría
interna
RIESGO DE
CONTROL
Adminis
tración
del
riesgo
Procedimien
tos y
políticas de
control
©2004 Instituto de Auditores Internos de Argentina 163 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
...”Los auditores internos tienen un rol clave para jugar en el manejo del riesgo de la
organización para determinar si están implementados los procesos de administración del
riesgo y si esos procesos son adecuados y eficaces.
La auditoría debe asistir al comité de auditoría y a la dirección para examinar, evaluar,
informar y recomendar mejoras en la adecuación y eficacia del proceso de manejo de
riesgos.
La dirección y el Consejo de dirección son responsables por los procesos de riesgo y
control de la organización pero los auditores actúan como consultores de la organización
en identificar, evaluar e implementar metodologías y controles dirigidos a aquellos
riesgos...”.
Una vez identificados los riesgos es necesario tomar determinadas decisiones con el
objetivo de mantener la exposición al riesgo de la organización en niveles razonables.
Como hemos visto la posibilidad de eliminar los riesgos en forma completa no existe
porque, el riesgo se encuentra implícito en cualquier actividad que la organización encare.
Si se quisiera eliminar el riesgo sería necesario aumentar el control al 100% de las
actividades o deja de desempeñar toda actividad, lo cual implica, la desaparición de la
organización.
La organización cuenta con determinadas acciones que tomar en cuanto a lo que se llama
administración del riesgo.
Estas acciones mitigan las consecuencias del riesgo. En tal sentido estas acciones son:
©2004 Instituto de Auditores Internos de Argentina 164 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Implementar medidas de control que mitiguen las consecuencias del riesgo (tomar
inventarios, establecer políticas de seguridad de los bienes).
Aceptar las consecuencias del riesgo. En este caso no se toma ninguna acción y se
decide “correr el riesgo” es lo que se llama riesgo residual y debe esta decisión debe ser
tomada por el máximo nivel de la organización.
En cuanto al riesgo residual es necesario aclarar, que las Normas, además de asignar un rol
importante a la auditoría interna en la evaluación y la administración de los riesgos también
determinan la necesidad que el auditor interno discuta con la alta dirección si considera
que, a su criterio, el riesgo residual que ha asumido es demasiado alto. Si la decisión no
puede ser resuelta entre el auditor y la alta dirección, es necesario, que el auditor informe al
Consejo de Dirección.
©2004 Instituto de Auditores Internos de Argentina 165 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Así como cualquier tipo de decisión de la organización reside en distintos niveles según la
importancia de la misma, las tipos de decisiones sobre riesgo se deben encontrar
apropiadamente asignadas de acuerdo a lo siguiente:
La aceptación del riesgo residual debe ser asignada al nivel ejecutivo de dirección.
Incluír el proceso de evaluación de riesgos como parte del plan de auditoría interna.
La cultura de la organización.
©2004 Instituto de Auditores Internos de Argentina 166 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 167 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Estructura organizativa.
Está relacionada con la forma que se impulsa y fomenta a nivel individual y colectivo a
emplear la iniciativa cuando se encaran temas y formulan soluciones y determinar los
límites a la autoridad.
Esto puede favorecer la respuesta a las satisfacciones del cliente o hacer que la
organización se muestre más flexible a los requerimientos y necesidades del mercado en el
cual opera.
En general para que la delegación sea eficaz y eficiente debe haber límites claros y en que
se delegue únicamente para satisfacer mejor los objetivos.
©2004 Instituto de Auditores Internos de Argentina 168 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
En tal sentido es necesario garantizar que los riesgos se asumen en forma responsable y que
los empleados poseen la capacidad y tienen la competencia necesaria.
Es importante, además, que cada empleado entienda como se relaciona con el resto de la
organización y la forma en que su actividad contribuye en el cumplimiento del objetivo
global.
¿Qué evaluar?
El número de personas adecuado, sobre todo en relación con las funciones del
procesamiento de datos y la contabilidad teniendo en cuenta el tamaño de la entidad así
también como la naturaleza y complejidad de sus actividades y sistemas.
©2004 Instituto de Auditores Internos de Argentina 169 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Autocrático: Se trata de líder que orden al resto de la gente lo que tiene que hacer.
Liberal.: En este caso el líder adopta una actitud de “dejar hacer” en donde los empleados
toman sus propias decisiones.
Pero este control trae connotaciones negativas: el control, al comparar y resaltar las
acciones equivocadas de las personas produce una disminución en su autoestima.
Además los empleados tienen tendencia a evitar que personas ajenas al grupo ejerzan
funciones de control y por eso tiende a sabotear y resistir los controles.
Por tal motivo muchos gerentes toman las siguientes medidas.
©2004 Instituto de Auditores Internos de Argentina 170 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Utilizan los controles con el fin de conseguir los objetivos y no para imponer reglas
estrictas que provoquen censuras o castigos.
Este proceso, alentado por la Dirección y llevado adelante por los propios responsables del
proceso resulta ser altamente positivo porque eliminan muchos de los problemas que trae el
establecimiento de controles impuestos “desde afuera “ del proceso.
Los controles establecidos desde dentro del proceso resultan ser mucho más efectivos y
gozan de una mejor aceptación por parte de los empleados involucrados en el proceso.
En cambio, los líderes autocráticos, tienden a implementar estructuras de control más
rígidas y formales poco participativas y con alto grado de imposición.
A continuación vemos el siguiente cuadro que ejemplifica y relaciona los distintos estilos
de liderazgo y su relación con los riesgos y controles.
©2004 Instituto de Auditores Internos de Argentina 171 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
El cambio y el control
Nuevos empleados.
©2004 Instituto de Auditores Internos de Argentina 172 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
La aparición de nuevos sistemas de información está muy relacionada con el control porque
generalmente la implementación de nuevos sistemas de información convierte en ineficaces
los sistemas de control que se venían utilizando.
Crecimiento rápido.
Cuando el volumen de operaciones crece en forma rápida y muy importante es posible que
los sistemas existentes se vean sometidos a una presión tan grande que los controles dejen
de funcionar.
Nuevas tecnologías.
©2004 Instituto de Auditores Internos de Argentina 173 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Conflicto.
Compromiso de recursos.
Ideología y ética.
Los conflictos entre el auditor y el auditado son comunes. En razón de que el auditor toma
un actitud adversaria se producen las bases para el conflicto.
Los conflictos pueden ser resueltos por:
Arbitraje
Mediación
Compromiso.
Los auditores deben estar preparados para el conflicto y la disputa porque son inherentes a
su trabajo.
Tienen que ser capaces de resolver disputas, soportar adecuadamente las evidencias y
ampliar las pruebas sin dificultad ni tardanza.
Una buena técnica consiste en preparar una lista de objeciones y las posibles respuestas que
se pueden interponer para contestarlas.
En definitiva, cuanto mejor preparado esté el auditor para defender sus observaciones
mayor será la credibilidad que tendrá su informe y más fácilmente serán aceptadas sus
recomendaciones.
Se dice que el auditado está siempre a la defensiva. Pero esa barrera puede ser removida y
alcanzado los acuerdos.:
Mantener buenos modales. La utilización, por parte del auditor, de frases tales como
“Estoy en desacuerdo con usted”, “Usted está equivocado” o el empleo de frases
©2004 Instituto de Auditores Internos de Argentina 174 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Cuando no se puede llegar a un acuerdo es importante que el auditor incluya los puntos de
vista del auditado en su informe.
También es importante que los auditores estén dispuestos a modificar el lenguaje y las
frases de su reporte para utilizar las palabras sugeridas por el auditado si es que no se
modifica el sentido de sus recomendaciones y sugerencias.
Por último el auditor debe estar seguro de esta considerando sólo aquellos aspectos que son
relevantes y estar dispuesto a realizar los cambios necesarios en beneficio de su reporte.
Uno de los métodos que reducen los conflictos entre el auditado y el auditor fue formulado
por W.L.Kendig6.
Se propone que el auditor emita sus reportes sin las recomendaciones y sugerencias. En su
lugar se le pide al auditado que elija entre al menos dos alternativas diferentes para
solucionar las observaciones.
El método elimina la necesidad de que el auditor tenga que defender sus recomendaciones
posibilitando que el auditado elija la alternativa más conveniente y de esa forma se sienta
más predispuesto a llevarlas adelante.
6
W.L.Kendig, “Finding without recommendations”. The Internal Auditor June 1983 45-47.
©2004 Instituto de Auditores Internos de Argentina 175 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Las recomendaciones deben ser específicas con el fin de facilitar la medición de las
medidas correctivas.
Si las recomendaciones involucran aspectos operativos deben ser discutidas con los
responsables de línea para facilitar y posibilitar su implementación.
Los auditores internos deben estar al tanto de los nuevos planes, operaciones y
actividades que se encaren y proponer las recomendaciones tendientes a la mejora. Sin
embargo no deben interferir sobre la autoridad o el proceso de toma de decisiones de la
dirección.
Monitoreo y seguimiento: Los auditores deben tener un sistema útil para realizar el
monitoreo y seguimiento de las recomendaciones que efectúen a sus auditados. Al
mismo tiempo, deben evaluar si las unidades auditadas cuentan con sistemas adecuados
y apropiados para realizar el monitoreo y seguimiento de las recomendaciones de
auditoría.
Por último el estudio de la GAO citado aconseja que, para ser efectivas, las
recomendaciones deben:
Ser factibles
Ser costo-efectivas, es decir que los beneficios que traerán las soluciones sean mayores
que los costos de su implementación y puesta en marcha.
Considerar alternativas.
7
“How to get action on Audit Recommendations”, GAO (General Accounting Office).
©2004 Instituto de Auditores Internos de Argentina 176 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Recordando la definición que el citado informe COSO8 proporciona del control interno
“un proceso realizado por el directorio, las gerencias y demás personal de la empresa
con el objeto de brindar una razonable seguridad sobre el logro de los objetivos en las
siguientes categorías:
Efectividad y eficacia de las operaciones.
Cumplimiento de las leyes y reglamentaciones aplicables.
Confiabilidad de la información financiera.”
Algunos de los medios con que una organización cuenta para alcanzar el control son:
Organización.
Políticas.
Procedimientos.
8
Control Interno, Marco Integrado , Comité de Organizaciones patrocinadoras de la Comisión
Treadway.
©2004 Instituto de Auditores Internos de Argentina 177 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Personal.
Contabilidad.
Presupuestos.
Información.
Organización:
Políticas.
©2004 Instituto de Auditores Internos de Argentina 178 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Procedimientos.
Los procedimientos son los medios de que se valen los empleados para llevar adelante
las actividades de acuerdo a las políticas emitidas.
Los mismos principios que se comentaron para las políticas deberían aplicarse a los
procedimientos.
Deberían tenerse en cuenta además lo siguiente:
Es importante que se aplique el principio del llamado “control por oposición” para
evitar la posibilidad de fraude o malversación. En este caso la actividad realizada
por un empleado es chequeada por otro que está realizando funciones separadas. Est
Este principio halla su limitación en el grado de riesgo involucrado en la operación
a controlar, el costo de los procedimientos preventivos, la disponibilidad de
personal y en definitiva el principio de costo-beneficio del control donde los
beneficios que trae la implementación de medidas de control deben ser mayores a
los costos de su implementación.
En el caso de operaciones que no sean mecánicas los procedimientos no deben ser
tan detallados como para impedir la utilización del juicio o sentido común del
empleado.
Para promover la máxima eficiencia y economía los procedimientos prescriptos
deben ser tan simples y económicos como sea posible.
No deben ser conflictivos o duplicados.
©2004 Instituto de Auditores Internos de Argentina 179 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Personal
El personal asignado debe tener las competencias necesarias para realizar el trabajo. La
mejor forma de control sobre el personal es la supervisión. En consecuencia, se deben
establecer altos estándares de desempeño.
Las siguientes prácticas ayudan a mejorar el control:
Los empleados nuevos deben ser investigados, particularmente en lo referente a su
honestidad y confiabilidad.
Los empleados deben tener la oportunidad de mantenerse capacitados, actualizados
e informados de las nuevas políticas y procedimientos.
También deben ser informados sobre las responsabilidades y deberes de los puestos
del resto de la organización con el objeto que puedan entender mejor como sus
puestos se insertan en el resto de la organización como un todo.
El desempeño de todos los empleados deben ser revisados periódicamente para ver
si están cumpliendo sus objetivos. El desempeño suficiente debe tener un
reconocimiento apropiado y en caso que el mismo no fuera el apropiado esta
situación debe ser discutida con los empleados para que tengan oportunidad de
mejorar su desempeño o mejorar sus competencias.
Contabilidad.
La contabilidad debe estar alineada a las necesidades de los gerentes para la toma de
decisiones.
Debe estar basada en las líneas de responsabilidad.
Los reportes financieros de resultados operativos deben seguir a las unidades
organizacionales que llevan adelante las operaciones.
©2004 Instituto de Auditores Internos de Argentina 180 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Presupuesto.
Informes
©2004 Instituto de Auditores Internos de Argentina 181 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Los informes deben ser tan simples como lo posible y consistentes con la naturaleza
de su objeto. Deben incluir sólo la información que sirva a las necesidades de los
lectores.
Cuando sea apropiado, los reportes deben incluir comparaciones con los estándares
de calidad, desempeño, costo y cantidad.
Cuando el desempeño no pueda ser informado en términos cuantitativos los
informes deben ser diseñados para enfatizar las excepciones u otros asuntos o
cuestiones que deban requerir la atención de la Dirección.
Para maximizar su valor los reportes deben ser oportunos. Los reportes oportunos
basados parcialmente en estimaciones suelen ser más valiosos que aquellos reporte
más precisos pero presentados tardíamente.
Periódicamente se deben realizar encuestas para asegurarse que aquellos que los
receptores de los reportes son los apropiados y si pueden ser mejorados.
©2004 Instituto de Auditores Internos de Argentina 182 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Los controles son diseñados para llevar adelante múltiples funciones. Algunos son
instalados para prevenir resultados indeseables antes que ocurran y en ese sentido se llaman
controles preventivos.
Otros, por otra parte, intentan detectar las consecuencias indeseables cuando ocurren y se
llaman controles detectivos.
Por último, otros, pretenden asegurarse que las acciones correctivas se han tomado para
revertir las consecuencias indeseables o verificar que no vuelvan a ocurrir y se denominan
controles correctivos.
Todos intentan funcionan para verificar si se están cumplimentando los objetivos y metas
organizacionales.
Los controles preventivos son más costo-efectivos que los detectivos. A continuación
algunos ejemplos de costos preventivos:
Personal competente.
Separación de funciones, para prevenir irregularidades.
Autorización apropiada para prevenir inapropiada utilización de recursos.
Documentación y registro adecuados para desalentar transacciones irregulares.
Control físico sobre los activos para prevenir su inapropiada utilización o disposición.
Los controles detectivos son generalmente más caros que los preventivos pero ambos son
esenciales.
Primero miden la eficacia de los controles preventivos, segundo algunos errores no pueden
ser controlados eficazmente a través de un sistema de prevención deben ser detectados
cuando ocurren.
Los controles detectivos incluyen:
Revisión y comparación.
Reconciliaciones bancarias.
Auditoría interna.
Los controles correctivos se utilizan cuando ya han ocurrido las consecuencias no deseadas.
No existe ningún control correctivo eficaz si las deficiencias identificadas permanecen sin
corregir o si vuelven a recurrir.
©2004 Instituto de Auditores Internos de Argentina 183 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Es necesario, aclarar que, no existe el control interno infalible porque hay que tener
presente que los que realizan el control son personas y pueden fallar, ya sea por
incompetencia, irresponsabilidad o colusión entre dos o más personas.
La efectividad de un buen control pasa por disminuir la probabilidad de una irregularidad a
sólo una posibilidad remota de su ocurrencia.
En consecuencia los auditores internos pueden confiar razonablemente pero no
completamente en lo que parece ser un buen sistema de control interno.
©2004 Instituto de Auditores Internos de Argentina 184 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Bibliografía consultada:
©2004 Instituto de Auditores Internos de Argentina 185 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
CAPITULO V
F- Planificación de trabajos.
©2004 Instituto de Auditores Internos de Argentina 186 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Estudio incial
Entrevistas preliminares.
Una vez desarrollado el estudio inicial (generalmente antes de visitar al cliente) el auditor
está en condiciones de comenzar con las entrevistas preliminares.
El auditor utilizará la información de los papeles de trabajo anteriores, el archivo
permanente de auditoría y los manuales de procedimiento de la actividad que va a auditar
para obtener la información necesaria para elaborar los cuestionarios.
©2004 Instituto de Auditores Internos de Argentina 187 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Los cuestionarios suelen ser técnicas muy útiles en esta etapa porque permiten obtener un
rápido conocimiento de la actividad con poco esfuerzo de trabajo y orientan la actividad de
auditoría.
Las preguntas que puede formular el auditor son variadas y no vale la pena detallarlas
porque dependerán de la situación, alcance y tipo de auditoría a realizar. Sin embargo es
necesario aclarar que las preguntas que el auditor formule deberán estar orientadas a
determinar los siguientes aspectos de la actividad bajo revisión:
Las distintas reuniones con el cliente van a permitir que el auditor pueda comentar a su
cliente el propósito y el enfoque que le va a dar a su trabajo.
La reunión representa un punto clave y le permitirá al auditor establecer:
El tono que el auditor debe llevar adelante es cooperativo tratando de no entrar en disputas
o controversias en esta etapa.
Entrevistas.
Una de las habilidades más importantes con que debe contar un auditor es su capacidad
para planificar, dirigir y registrar adecuadamente las entrevistas que pueda realizar con su
cliente.
Luego de los papeles de trabajo y, quizás más que ellos, las entrevistas proporcionan la
fuente de información primaria para el desarrollo del trabajo del auditor.
De ella surgirán muchos puntos que deben ser analizados, modificaciones al planeamiento,
y hasta propuesta de mejoras a los procesos existentes.
La entrevista, como todo buen proceso, debe ser cuidadosamente preparada. El auditor
debe, antes de la fecha de la entrevista, tener en claro cuáles son los objetivos de la
entrevista y preparar las preguntas adecuadas para alcanzarlos.
©2004 Instituto de Auditores Internos de Argentina 188 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
El auditor cuando conduce la entrevista debe ejercer buenas técnicas de comunicación, con
el objeto que el mensaje que quiere transmitir llegue al receptor de la manera adecuada.
Algunas de las recomendaciones que el auditor debe tener en cuenta para hacer eficiente el
proceso de comunicación con el entrevistado son:
©2004 Instituto de Auditores Internos de Argentina 189 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Como se vió en el capítulo II de esta obra, la planificación de la auditoría debe estar basada
en el riesgo.
El auditor debe realizar una lista de actividades auditables y luego evaluar los riesgos en
cada una de ellas y otorgarles mayor esfuerzo de auditoría a aquellas actividades que
ofrezcan mayores riesgos.
Tal cual enumeran las normas “el director ejecutivo de auditoría interna debe establecer
planes basados en los riesgos para determinar las prioridades de la actividad de auditoría
interna consistentes con los objetivos de la organización”.
©2004 Instituto de Auditores Internos de Argentina 190 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Coordinación.
Las Normas establecen lo siguiente con referencia a la coordinación de las tareas que debe
realizar la auditoría interna.
2050-Coordinación.
Las tareas de coordinación del director ejecutivo deben estar orientadas a repartir esfuerzos
e información básicamente con auditores externos. Sin embargo, dentro de una
organización, existen otros profesionales que pueden colaborar con la tarea del auditor
interno, como ser abogados, investigadores y asesores externos. El auditor interno debe
establecer un trato fluido con ellos, intercambiar informaciones y programas de trabajo y
utilizar una sinergia positiva para, en conjunto, brindar un valor agregado a la organización.
©2004 Instituto de Auditores Internos de Argentina 191 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Los objetivos del trabajo de auditoría son los propósitos o el ánimo del trabajo. Sería el
¿para qué? del trabajo, en cambio los procedimientos de auditoría son las técnicas utilizadas
para lograr el objetivo, sería el ¿con qué? del trabajo.
Los objetivos de auditoría están íntimamente relacionados con los objetivos operacionales
de la actividad.
Es por tal razón que antes de formular los objetivos de auditoría el auditor debe conocer
bien los objetivos de la organización.
Tampoco se puede conocer si los objetivos se están desarrollando eficiente y
económicamente si no se puede examinar los procedimientos empleados por el personal
operativo en cumplimiento de sus objetivos.
En todos los programas de auditoría se deben identificar los objetivos operativos que el
auditor debe evaluar si se están cumpliendo.
Los objetivos de auditoría pueden ser generales, es decir aquellos relacionados con la
totalidad de la actividad de auditoría o específicos para cada trabajo.
Si el objetivo de la actividad es comprar las mercadería adecuadas el objetivo de la
auditoría va a ser establecer si realmente se están comprando las mercaderías adecuadas y si
el diseño de los sistemas puede informar sobre el grado de cumplimiento del objetivo.
Alcance de la auditoría.
Con referencia a lo que las Normas indican con referencia al alcance podemos decir que:
El alcance establecido del trabajo debe ser suficiente para establecer los objetivos del
trabajo.
©2004 Instituto de Auditores Internos de Argentina 192 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 193 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
2120.A4
Se necesitan criterios adecuados para evaluar los controles. Los auditores internos deben
aseverar la extensión en que la dirección estableció criterios para determinar si los
objetivos y metas se han alcanzado.
Si resulta adecuado, los auditores internos deben usar tales criterios en su evaluación. Si
no es adecuado los auditores deben trabajar con la dirección para desarrollar criterios de
evaluación adecuados.
Si no existieran estándares el auditor interno debería llegar a un acuerdo con los clientes
para encontrar los estándares más apropiados.
©2004 Instituto de Auditores Internos de Argentina 194 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
El auditor y el fraude.
El auditor debe adoptar una actitud de escepticismo cuando planifica los trabajos de
auditoría y debe estar atento a las diferentes posibilidades de error, fraude, irregularidades y
no cumplimiento con las normas y regulaciones aplicables.
Asi como los objetivos del trabajo estarán orientados a los riesgos de la actividad bajo
revisión, también la posibilidad de fraude ocupa un lugar importante en la planificación de
los trabajos.
Si bien la auditoría no puede impedir la existencia del fraude, puede asegurar que los
controles implementados prevengan su aparición y minimicen sus consecuencias.
En cierta manera riesgo y fraude están muy relacionados y el fraude en sí mismo es uno de
los riesgos más importantes que una organización puede enfrentar.
Fraude es una representación falsa u ocultamiento de la realidad con un objetivo
intencional.
Con relación al rol del auditor en el fraude debemos considerar que las Normas indican con
que el auditor interno debe tener el suficiente conocimiento como para identificar los
indicadores de fraude pero de ninguna manera debe ser experto como aquellas personas
cuya responsabilidad primaria es la detección del fraude.
El principal objetivo del auditor, con relación al fraude, es asegurar que existan los
controles necesarios para prevenirlos y funcionen adecuadamente. La responsabilidad de la
prevención recae en la dirección.
1.La disuasión consiste en aquellas acciones tomadas para evitar la realización del fraude
y a limitar los riesgos, si el fraude se consuma. El principal mecanismo para la disuasión
del fraude es el control. La responsabilidad principal para el establecimiento y
mantenimiento del control recae sobre la dirección.
2.Los auditores internos son responsables de ayudar en la disuasión del fraude mediante el
examen y evaluación de la adecuación y efectividad del sistema de control interno,
©2004 Instituto de Auditores Internos de Argentina 195 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
o Existen políticas escritas (por ej.: código de conducta) que describan las actividades
prohibidas y las acciones requeridas cuando se descubre cualquier violación.
©2004 Instituto de Auditores Internos de Argentina 196 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Procedimientos de auditoría.
Vimos que los objetivos del trabajo eran aquellos fines u objetivos para los cuales se
realizaba el trabajo de auditoría, en ¿para que? del trabajo y que debían estar dirigidos a los
riesgos y controles.
Los procedimientos de auditoría están relacionados con el ¿cómo? o ¿con que? del trabajo
de auditoría.
Son las técnicas que usa el auditor interno para establecer si están cumpliendo o no los
objetivos operativos de la actividad bajo revisión.
El programa de auditoría debe explicarle a los auditores las técnicas utilizadas para cumplir
con los objetivos de auditoría.
De la misma manera que el juicio y la experiencia del auditor hará posible la adecuada
elección de aquellos objetivos de auditoría que satisfagan el cumplimiento de determinados
objetivos operacionales el auditor podrá seleccionar dentro de todas las técnicas disponibles
aquellas que harán posible probar el cumplimiento del objetivo de auditoría.
©2004 Instituto de Auditores Internos de Argentina 197 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 198 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Los auditores internos deben planificar adecuadamente su trabajo el cual debe estar
documentado e incluye:
Los auditores internos deben desarrollar y documentar un plan para cada trabajo incluido
el alcance, objetivo, oportunidad y asignación de recursos.
Los objetivos de la actividad bajo revisión y los medios a través de los cuales la
actividad controla su desarrollo.
©2004 Instituto de Auditores Internos de Argentina 199 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Las Normas establecen la necesidad que el trabajo sea supervisado adecuadamente para
asegurar que se están cumpliendo los objetivos del trabajo.
Los trabajos deben estar apropiadamente supervisados para asegurar que los objetivos se
están alcanzando, se asegura la calidad y el personal se desarrolla.
El consejo para la práctica relacionado agrega, entre otras cuestiones, que el director
ejecutivo de auditoría interna es responsable de llevar adelante una adecuada supervisión de
los trabajos, que debe quedar evidencia que se realizó una supervisión adecuada y que la
supervisión del trabajo no sólo se extiende a la mera revisión de los papeles de trabajo sino
que abarca otros temas tales como el grado de capacitación, desarrollo y evaluación del
personal y el control presupuestario de los trabajos.
La supervisión del trabajo abarca todas las fases de la auditoría como vemos:
Planeamiento e introducción: Atender las reuniones inciales, hacer las presentaciones y
liderar u observar las reuniones iniciales.
©2004 Instituto de Auditores Internos de Argentina 200 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 201 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Los auditores internos deben desarrollar programas que aseguren el cumplimiento de los
objetivos del trabajo. Estos programas debe estar documentados.
Los programas son guías de trabajo que permiten a los auditores el desarrollo y
supervisión del trabajo.
Un programa de trabajo le informa al auditor sobre el contenido, la oportunidad, la
manera, las personas y el tiempo que insumirán las tareas.
©2004 Instituto de Auditores Internos de Argentina 202 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Algunas auditores trabajan con programas pro-forma es decir programas repetitivos que
se aplican a determinadas áreas, pero que es conveniente que sean lo suficientemente
flexibles como para que contemplen los cambios y modificaciones que pudieran ocurrir
en las actividades, los riesgos y controles del cliente.
Por último algunos softwares específicos desarrollan programas especiales a partir de
una evaluación de los riesgos de una actividad.
©2004 Instituto de Auditores Internos de Argentina 203 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
©2004 Instituto de Auditores Internos de Argentina 204 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Actividad: Compras
Objetivo: Obtener mercaderías y servicios al precio adecuado.
Tiempo de auditoría: 5 días.
©2004 Instituto de Auditores Internos de Argentina 205 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Actividad: Marketing.
Objetivo: Impartir información, desarrollar actitudes de los consumidores e inducir
acciones benéficas a la organización.
Tiempo: 10 días.
©2004 Instituto de Auditores Internos de Argentina 206 - Parte I El rol de la auditoría interna
Parte I El rol de la actividad de auditoría interna ©Instituto de Auditores Internos de Argentina
Bibliografía consultada:
Sawyer’s Internal Auditing 5th Edition.
Normas y Consejos para la práctica relacionadas del Instituto de Auditores Internos.
©2004 Instituto de Auditores Internos de Argentina 207 - Parte I El rol de la auditoría interna