XXXII CONFERENCIA INTERAMERICANA DE CONTABILIDAD

TRABAJO NACIONAL

TITULO:
“Auditoría Interna y la Gestión de Riesgos en una perspectiva de 360º”

Área: 2. Normas y Practica de Auditoria

Tema 2.2: Ubicación de la Auditoria Interna como una unidad interna de gestión, nuevo
paradigma; la auditoria y la gestión de riesgos

Autor:
Armando Villacorta Cavero

PAÍS AL QUE REPRESENTA

PERÚ
 RESUMEN EJECUTIVO

El presente trabajo se ha desarrollado en base a los nuevos requerimientos que

enfrenta el auditor interno en las organizaciones que apoya.

Un enfoque en una perspectiva de 360º implica una nueva visión que debe ir
acompañado de nuevos conocimientos, por tanto, el presente trabjo se desarrolla en
cuatro secciones.

La primera parte del trabajo de investigación revisa los temas claves de riesgos que un
auditor interno debe conocer en la idea de centrar sus actividades en un enfoque
basado en riesgos y con una cobertura amplia.

La segunda parte, comentama los alcances de las Normas Internacionales de

Auditoría interna y las labores del auditor interno en relación a la Gestión de Riesgos.

En la tercera parte, describimos las principales herramientas que el presente trabajo

plantea para una labor de auditoría interna de riesgos de 360º.

En la parte final, evaluaremos los números y estadísticas alrededor de una auditoria de

riesgos de 360º que las mejores practicas sugieren, basados en encuestas realziadas
en la región por empresas representativas de la profesión y el Instituto de Auditores
Internos Global.

Finalmente, presentamos las conclusiones sobre el trabajo de investigación realizado y

una guia de preguntas de discusión para ser sometidas a los interesados en el tema
en la profesión contable.

PALABRAS CLAVES

Auditoría interna

Gestión de riesgos
Normas Internacionales de la profesión de auditoria interna

Apetito de riesgos

Tolerancia al riesgo

Universo de riesgos

Matriz de riesgos

Plan estratégico de auditoría interna

Perspectiva de 360º

INTRODUCCION

El mundo de los riesgos es muy volátil, porque la velocidad de cambio en el mundo es

muy rápido y a veces sorprendente. Por tanto, el entorno donde los auditores internos
deben realizar sus actividades es muy complejo, cambiante, interrelacionado y
multidisciplinario.
Hoy podemos citar algunas referencias a un mundo cambiante a través de la Encuesta
de parámetros de auditoría de tecnología mencionadas por Protivity e ISACA (2015):
(i) Cambios en la infraestructura y tecnologías emergentes, (ii) Seguridad Cibernética
(presencia de redes sociales en las empresas), (iii) Recursos, personal y habilidades
en un nuevo mundo de tecnología, (iv) Computación en la nube, (v) Conectar la
tecnología con el negocio (por ejemplo la Uberización: término inspirado en el impacto
de la empresa Uber), (vi) Macrodatos y herramientas de análisis, y (vii) Cumplimiento
de nuevas regulaciones.

En tal sentido, si deseamos tener un auditor interno involucrado con los riesgos en una
perspectiva de 360º, ya no es válido tener a un auditor en una zona de confort con
trabajo de auditoría interna predecible y cíclica; sino por el contrario, tener un auditor
relevante frente a los riesgos, capaz de enfrentar un panorama de negocios incierto y
desafiante.

En este contexto, el presente trabajo enfocado en una perspectiva de auditoría de

riesgos de 360º debe tener en cuenta lo siguiente: (i) los riesgos cambian a una mayor
velocidad que el plan de trabajo del auditor, incluso cambian durante el desarrollo de
un encargo y pueden afectar significativamente a la empresa; (ii) la cultura de gestión
de riesgos en los auditados es muy débil, (iii) los nuevos riesgos requieren integrar
perspectivas de diferentes disciplinas y una buena comunicación; (iv) se requiere
desarrollar nuevas metodologías de auditoría no convencionales (dejar el enfoque
centrado en la revisión del pasado y pensar continuamente en el futuro); (v) cubrir las
operaciones del negocio en un marco de tiempo 24 x 7 (la auditoría interna no
descansa en un entorno moderno); (vi) vivimos un entorno normativo más complejo y
con multas en aumento; y (vii) los auditores internos deben aprovechar la información
y hacer uso de técnicas apoyadas en el computador para su análisis.

Capítulo I – Temas claves de Riesgos que un Auditor interno debe conocer

En un mundo cambiante, se requiere un auditor interno claro en las definiciones

relacionados con gestión de riesgos, por lo cual, a continuación describiremos los
temas centrales que consideramos necesarios para el entendimiento del presente
trabajo.
Apetito de Riesgos

Se define el Apetito de Riesgos al nivel de riesgos que la empresa desea asumir en la

consecución de sus objetivos (Fabrica del pensamiento, IIA España, 2013).

El apetito de riesgos es un elemento esencial en un sistema integral de gestión de

riesgos, pues permite a una organización contrastar la adecuación de sus riesgos que
afronta con el nivel de riesgos que desea aceptar.

En la determinación del apetito de riesgos, se deben contemplar otros aspectos

complementarios que son la tolerancia y la capacidad de la empresa frente al riesgo.
De esta manera, mientras que el apetito es el nivel de riesgos donde la empresa se
siente cómoda o confortable; la tolerancia será la desviación respecto al nivel
aceptado. Por otro lado, la capacidad de asumir riesgos, será el nivel máximo de
riesgo que una empresa puede soportar en la consecución de sus objetivos. Así la
tolerancia servirá como alerta para evitar que la empresa llegue al nivel establecido
por su capacidad, algo que podría en peligro la continuidad del negocio (Fabrica del
pensamiento, IIA España, 2013).

A continuación se muestra un ejemplo que puede ayudar a comprender la interrelación

entre los tres conceptos:

Usando un ejemplo sencillo como la velocidad a la que circula un coche, podría

decirse que el coche admite una velocidad máxima de 200 Km/h, o que su capacidad
es de 200 Km/h. Pero su conductor, teniendo en cuenta su habilidad para conducir, el
tipo de vía, la climatología y las prestaciones del vehículo, toleraría ir a un máximo de
160 km/h. Aún así, considerando que su objetivo es llegar a su destino lo antes
posible, pero de forma segura, decide conducir a 110Km/h, ya que es la velocidad que
le permite hacer el recorrido respetando los límites establecidos, en un tiempo
adecuado y sintiéndose confortable en la conducción; éste sería, por lo tanto, su nivel
de apetito (Fabrica del pensamiento, IIA España, 2013).

Riesgo Inherente

Riesgo para la entidad en ausencia de cualquier acción realizada por la administración

para alterar la probabilidad o el impacto (COSO ERM, 2004).

En la evaluación del riesgo inherente lo que se pretende es apreciar la importancia de

las hipotéticas amenazas en ausencia de cualquier tipo de control o tratamiento. Incidir
sobre los riesgos inherentes pretende objetivar la identificación de las distintas
amenazas que puedan afectar a las metas empresariales, pero de la forma más
exhaustiva y extensa posible, y desde una perspectiva teórica, de manera que en el
mapa de riesgos que construyamos estén representados todos aquellos peligros que
pudieran afectar a los procesos empresariales.

Es decir, lo que se derivaría del análisis de los riesgos inherentes es la seguridad de

que estemos contemplando todas las amenazas que podrían interferir en el resultado
de los objetivos empresariales (Universo de Riesgos).

Riesgo Residual
Riesgo remanente después de la acción realizada por la administración para alterar su
probabilidad o impacto (COSO ERM, 2004).

Las amenazas deben estar debidamente gestionadas, para lo cual, resultará necesario
estimar la situación real de estos riesgos, a través de la cuantificación de los riesgos
residuales en los procesos empresariales.

Identificados y valorados todos los riesgos inherentes, debemos ubicarnos en los

procesos donde se puedan materializar, pero, ahora sí, considerando los controles ya
existentes, lo que nos permitirá recalcular el impacto y la probabilidad de ocurrencia
esperada por dichos riesgos en los procesos considerados, ordenándolos por su
criticidad en función de su alejamiento respecto de la tolerancia al riesgo que se haya
fijado, adoptando posteriormente las medidas correctoras que correspondan.

Esta forma de proceder es fundamental para la actividad auditora, puesto que permite
posicionar objetivamente al auditor interno, y sin la influencia de la opinión subjetiva de
los gestores respecto de la situación por ellos estimados sobre los procesos. También,
ayuda a direccionar la verificación de que los controles realmente aplicados sitúan a
los riesgos dentro de la zona de tolerancia que se han establecido en la organización.

Matriz de Riesgos

Es una presentación gráfica en forma de Matriz, que construida de acuerdo a una

metodología, permite identificar y priorizar los principales riesgos y exposiciones al
riesgo que afectan a los procesos y en consecuencia a la posibilidad de alcanzar los
objetivos institucionales (COSO ERM, 2004).

Por tanto, la matriz debe ser una herramienta flexible que documente y evalúe de
manera integral el riesgo de una organización, a partir de lo cual se realiza un
diagnóstico objetivo de la situación global de riesgo de la empresa.

¿Cómo se construye una matriz de riesgos?

Para su construcción, es necesario identificar la mayor cantidad de variables que

potencialmente afectan las actividades que se desarrollan en una organización.

Una vez establecidas todas las actividades, se deben identificar las fuentes o factores
que intervienen en su manifestación e impacto. Con todos estos datos, se puede
responder a las preguntas: ¿Qué áreas son más riesgosas? ¿Cómo priorizamos?
¿Quién es el responsable por su gestión?, etc. Esta es la importancia de la matriz de
riesgos: entregar información para gestionar en forma proactiva los niveles de riesgo
existentes en las actividades de una organización, en función de haber definido niveles
de probabilidad e impacto.

El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra y un

cálculo de los efectos potenciales (impacto). La valoración del riesgo implica un
análisis conjunto de la probabilidad de ocurrencia y el efecto en los resultados; puede
efectuarse en términos cuantitativos, dependiendo de la importancia o disponibilidad
de información.
Una vez que los riesgos han sido valorizados, se procede a evaluar la “calidad de la
gestión”, a fin de determinar qué tan eficaces son los controles establecidos por la
empresa para mitigar los riesgos identificados. En la medida que los controles sean
más eficientes y la gestión de riesgos proactiva, el indicador de riesgo será más
aceptable para la organización.

Figura No 1 – Visión matricial del nivel de riesgos

Como se puede apreciar en la figura No 1, desde su concepción metodológica las

matrices se componen de dos vectores, uno de impacto y otro de probabilidad, cuya
combinación define el nivel de riesgo de una operación en particular.

Una vez definidos los parámetros, los mismos permiten absorber la información de las
fuentes definidas, para valorizarla en los respectivos vectores de impactos y
probabilidad.

Cabe aclarar que el nivel de riesgo cero no existe en la naturaleza por definición.

A nivel teórico existe el cálculo del riesgo a partir de los valores agregados de impacto
y probabilidad, y se obtiene multiplicando ambas variables (Cox 2008; UIF de Australia
2006).

Capítulo 2 – Las Normas Internacionales de Auditoría interna y la Gestión de

Riesgos
De acuerdo a las Normas de Auditoría Interna (Norma 2120), determinar si los
procesos de gestión de riesgos son eficaces es un juicio que resulta de la evaluación
que efectúa el auditor interno de que: (i) los objetivos de la organización apoyan a la
misión de la organización y están alineados con la misma, (ii) los riesgos significativos
están identificados y evaluados, (iii) se han seleccionado respuestas apropiadas al
riesgo que alinean los riesgos con la aceptación de riesgos por parte de la
organización, y (iv) se capta información sobre riesgos relevantes, permitiendo al
personal, la dirección y el Consejo cumplir con sus responsabilidades, y se comunica
dicha información oportunamente a través de la organización.

La actividad de auditoría interna reúne la información necesaria para soportar esta

evaluación mediante múltiples trabajos de auditoría. El resultado de estos trabajos,
observado de forma conjunta, proporciona un entendimiento de los procesos de
gestión de riesgos de la organización y su eficacia.

El Consejo para la Práctica 2120-2 (2011), nos ayuda a complementar la perspectiva

de los riesgos de la empresa, con los riesgos que la práctica de la auditoría interna
enfrenta, que se clasifican en: fracaso de la auditoría, falso aseguramiento y riesgos
de reputación. El Consejo precisa lo siguiente:

1. La importancia de la auditoría interna y el papel que desempeña han crecido

enormemente, y las expectativas de las partes interesadas (por ejemplo, el Directorio,
la alta dirección) continúan aumentado. Las actividades de auditoría interna han
ampliado mandatos para cubrir los riesgos financieros, operacionales, de tecnologías
de la información, legales/regulatorios y estratégicos. Al mismo tiempo, muchas
actividades de auditoría interna se enfrentan a desafíos relacionados con la
disponibilidad de personal cualificado en los mercados laborales en todo el mundo, el
aumento de los costos de compensación y la alta demanda de recursos especializados
(por ejemplo, sistemas de información, fraude, derivados, impuestos). La combinación
de estos factores da lugar a un alto nivel de riesgo para una actividad de auditoría
interna. Así pues, los directores de auditoría interna (DAI) necesitan también incluir los
riesgos relacionados con sus actividades de auditoría interna y la consecución de sus
objetivos.

2. La actividad de auditoría interna no es inmune a los riesgos. Deben tomarse las

medidas necesarias para garantizar que auditoría interna gestiona sus propios riesgos.

3. Los riesgos de las actividades de auditoría interna se clasifican en tres amplias

categorías: fracaso de la auditoría, falso aseguramiento y riesgos de reputación. El
análisis del auditor interno enfatiza las cualidades claves relacionadas con estos
riesgos y algunas medidas que una actividad de auditoría interna debe considerar
controlar mejor.

4. Toda organización experimentará fallos de control. Con frecuencia, cuando los

controles fallan u ocurren fraudes, alguien podrá preguntar: ¿Dónde estaban los
auditores internos? La actividad de auditoría interna podría ser un factor contributivo
debido a: (i) el incumplimiento de las Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna, (ii) un programa de aseguramiento y mejora de la
calidad inadecuado (Norma 1300), en el que se incluyen los procedimientos de
supervisión de la independencia y objetividad del auditor, o (iii) la carencia de un
proceso de evaluación de riesgos efectivo para la identificación de las áreas clave de
auditoría durante la evaluación estratégica de riesgos, así como de las áreas de alto
riesgo durante la planificación de auditorías individuales.

5. Los fallos de auditoría interna no solo son incómodos para las actividades de
auditoría interna, sino que también exponen a una organización a un riesgo
significativo. Mientras no haya garantía absoluta de que no van a ocurrir fallos de
auditoría, una actividad de auditoría interna puede implantar las siguientes prácticas
para mitigar dicho riesgo:

· Programa de aseguramiento y mejora de la calidad: para toda actividad de auditoría

interna es crucial implantar un programa de aseguramiento y mejora de la calidad
efectivo.

· Análisis periódico del universo de la auditoría: analizar la metodología para

determinar el universo de la auditoría en su totalidad mediante la evaluación rutinaria
del perfil de riesgo dinámico de la organización.

· Análisis periódico del plan de auditoría: analizar el plan de auditoría actual para
evaluar qué tareas son las de mayor riesgo. Mediante la identificación de las tareas de
mayor riesgo, la dirección de la actividad de auditoría interna obtiene mejor visibilidad
y puede dedicar más tiempo a la comprensión del enfoque de las tareas críticas.

· Planificación efectiva: no existe sustituto para la planificación de auditoría efectiva.

Un proceso de planificación meticuloso que incluya hechos relevantes y actualizados

sobre el cliente interno y el desempeño de una evaluación de riesgos efectiva puede
reducir significativamente los riesgos de fracaso de la auditoría. Además, la
comprensión del alcance del trabajo y los procedimientos de auditoría interna a
realizar son elementos importantes en el proceso de planificación, lo que reducirá los
riesgos de fracaso de la auditoría. También se vuelven esenciales la creación de
puntos de control en la dirección de la actividad de auditoría interna en el proceso y la
aprobación de cualquier desviación del plan acordado.

· Diseño de auditoría efectivo: En la mayoría de los casos, se dedica suficiente tiempo

a la comprensión y análisis del diseño del sistema de controles internos para
determinar si este proporciona el control adecuado con anterioridad al inicio de las
pruebas de efectividad. Esto proporciona una base firme para los comentarios de
auditoría interna sobre las causas principales, que a veces pueden ser el resultado de
un diseño de control deficiente, más que sobre los síntomas. También reducirá la
posibilidad de fracaso de la auditoría mediante la identificación de los controles que
faltan.

· Análisis de la dirección y procedimientos de jerarquización efectivos: La implicación

de la dirección de auditoría interna en el proceso de auditoría interna (esto es, antes
del borrador del informe) juega un papel importante a la hora de mitigar el riesgo de
fracaso de la auditoría. Esta implicación puede incluir análisis de los documentos de
trabajo, discusiones a tiempo real relacionadas con los hallazgos o una reunión de
cierre. Al incluir la dirección de la actividad de auditoría interna en el proceso de
auditoría interna, pueden identificarse problemas potenciales y evaluarse antes en la
tarea. Además, una actividad de auditoría interna puede tener procedimientos de
orientación que perfilen cuándo y qué tipos de asuntos transferir y a qué nivel de
dirección de auditoría interna.

· Asignación de recursos apropiados: Es esencial asignar al personal adecuado a cada

trabajo de auditoría interna, sobre todo al planificar un riesgo mayor o un trabajo muy
técnico. Asegurarse de que el equipo posea las competencias adecuadas puede jugar
un papel significativo a la hora de reducir el riesgo de fracaso de la auditoría.

Además de las competencias adecuadas, es importante garantizar que el equipo

posee el nivel apropiado de experiencia, incluyendo grandes habilidades de gestión de
proyectos para aquellos que lideran un trabajo de auditoría interna.

6. Una actividad de auditoría interna puede proporcionar involuntariamente algún tipo

de falso aseguramiento. El “falso aseguramiento” es un nivel de confianza o
aseguramiento basado en percepciones o asunciones más que en hechos. En muchos
casos, el mero hecho de que la actividad de auditoría interna esté implicada en un
problema puede crear algún nivel de falso aseguramiento.

7. El uso de los recursos de auditoría interna para ayudar a la organización a

identificar y evaluar exposiciones de riesgo significativas debe estar claramente
definido para los otros proyectos aparte de las auditorías internas. Por ejemplo, una
unidad de negocio solicitó una actividad de auditoría interna para proporcionar algunos
“recursos” de ayuda para la implantación de un nuevo sistema informático en toda la
empresa. La unidad de negocio utilizó estos recursos para probar el nuevo sistema.
Tras ese uso, un error en el diseño del sistema dio lugar a una repetición de las
declaraciones financieras. Cuando se le preguntó por la causa, la unidad de negocio
respondió que la actividad de auditoría interna había estado involucrada en el proceso
y no había identificado el problema. La implicación de los auditores internos creó un
nivel de falso aseguramiento que no era consistente con su papel real en el proyecto.

8. Aunque no existe forma de atenuar los riesgos del falso aseguramiento, una
actividad de auditoría interna puede manejar proactivamente su riesgo en esta área.
Una comunicación frecuente y clara es una estrategia clave para controlar el falso
aseguramiento.

9. La reputación creíble de una actividad de auditoría interna es parte esencial de su

efectividad. Las actividades de auditoría interna que se tienen en gran estima son
capaces de atraer a profesionales con talento y son altamente valorados en sus
organizaciones.

Mantener una “marca” fuerte es primordial para el éxito de las actividades de auditoría
interna y su habilidad para contribuir con la organización. En la mayoría de los casos,
la marca de la actividad de auditoría interna se ha creado durante varios años a través
de trabajo consistente y de alta calidad. Desgraciadamente, esta marca puede
destruirse instantáneamente por un acontecimiento desfavorable de alto nivel.

10. Por ejemplo, una actividad de auditoría interna puede tenerse en gran estima por
haber tenido a los ejecutivos financieros clave realizando tareas rotativas como
auditores internos, lo que se vería como campo de formación para los futuros
ejecutivos.

Sin embargo, una serie de repeticiones significativas e investigaciones regulatorias

impactarían la reputación de la actividad de auditoría interna. El comité de auditoría y
el Directorio podrían preguntar si la actividad de auditoría interna dispone de los
expertos y del programa de aseguramiento y mejora de la calidad adecuados para
apoyar a la organización.

11. En otro ejemplo, durante una auditoría del departamento de recursos humanos, los
auditores internos pueden descubrir que las verificaciones de antecedentes no se han
revisado adecuadamente. El descubrimiento de que auditores internos recién
contratados no tenían la educación apropiada, mientras que otros han estado
involucrados en actividades criminales, podría impactar gravemente la credibilidad de
la actividad de auditoría interna.

12. Situaciones como estas no solo son embarazosas, sino que también dañan la
efectividad de la actividad de auditoría interna. Proteger la reputación de la “marca” de
la actividad de auditoría interna no tan esencial para la actividad de auditoría interna,
como para la organización en su totalidad. Es importante que las actividades de
auditoría interna consideren a qué tipos de riesgos se enfrentan que podrían impactar
en su reputación y desarrollen estrategias atenuantes para tratar estos riesgos.

Por tanto, el presente trabajo colabora con los profesionales que se desempeñan en el
campo de la auditoría interna brindándoles un enfoque de 360º sobre la base del
Marco para la Práctica Profesional de la Auditoría interna, que implica una análisis de
los hechos internos y externos, y de las noticias más relevantes de la actualidad
mundial y empresarial con especial énfasis en la gestión de riesgos, y que considera
todas las relaciones representativas que tiene la empresa, el auditado y el auditor
interno en esta materia.

La evaluación de 360 grados pretende dar a los auditores internos y a su empresa,

una perspectiva de su desempeño en gestión de riesgos lo más adecuada posible, al
obtener inputs desde todos los ángulos: alta dirección, proveedores, clientes internos,
etc.

El propósito de aplicar la evaluación de la gestión de riesgos de 360 grados es darle al

auditor interno la retroalimentación necesaria, y dar a la alta dirección de la empresa
la información necesaria para tomar decisiones en el futuro.
Capítulo 3 – Herramientas para una labor de auditoría interna basada en una
gestión de riesgos de 360º

Es importante en este trabajo enfocar esfuerzos en herramientas claves. A

continuación desarrollamos las que consideramos claves e innovadoras, y alineadas al
enfoque integral o de 360º que es el objetivo del presente trabajo técnico.

3.1 Plan estratégico de Auditoría interna

La Misión de Auditoría Interna se define como: “Mejorar y proteger el valor de la

organización proporcionando aseguramiento, asesoría y análisis en base de sus
riesgos” (The Institute of Internal auditors, 2016).

Por tanto, el desarrollo de un plan estratégico de auditoría interna permite enfocar los
recursos humanos y financieros al logro de los objetivos determinados en la misión de
la unidad de auditoría interna, los que deben a su vez, contribuyen al logro de los
objetivos de la organización.

El Plan Estratégico de Auditoría Interna debería formularse idealmente, para un

periodo de 4 años y revisarse periódicamente, al menos una vez al año. Lo que implica
que todas las decisiones, actos administrativos, disposiciones y cualquier otro
antecedente relevantes en la organización, incidan de alguna manera en el quehacer
de la organización por ese periodo de tiempo, y deberán formar parte del análisis que
se desarrolle para la formulación de dicho plan.

El plan estratégico del auditor interno debe desarrollar en su primera parte la misión,
visión y valores fundamentales del departamento, así como su relación con los ejes
estratégicos de la empresa. Por tanto, el Auditor Interno debe comprender los
elementos estratégicos de la organización como son la visión, misión, los objetivos
estratégicos, las metas, las estrategias específicas y el presupuesto. Por otra parte,
también se debe estudiar el modelo para análisis e implementación de la estrategia y
la misión en la organización, por ejemplo; el Análisis FODA (Fortalezas -
Oportunidades - Debilidades - Amenazas). También deben considerarse las
expectativas de otras partes interesadas internas y externas a la organización

La segunda parte incluye detalles relacionados con los objetivos estratégicos del
departamento y sus planes de acción, incluidas las medidas específicas a tomar que
contribuyan a alcanzar el objetivo y una fecha estipulada para cada fecha a tomar.
Los objetivos y planes de acción abarcan de uno a dos años (se recomienda un
horizonte de tres años).

En esta sección, el análisis de los factores críticos de éxito es clave. Estos factores se
pueden definir como; elementos estratégicos internos y externos a la unidad de
auditoría interna, que necesariamente deben tener resultados satisfactorios en la
implantación de la estrategia de auditoría interna, para que esta alcance su misión,
visión y objetivos.

Estos factores proporcionan los elementos esenciales contra los cuales todas las
estrategias de la auditoría interna deben ser revisadas para ayudar a que los recursos
se centren en las actividades más importantes. Por ejemplo, posicionamiento
organizacional, proceso de trabajo, recursos humanos.
Finalmente, Con el fin de asegurarse que el Plan Estratégico de Auditoría Interna
cumpla con los resultados deseados, debe realizarse una supervisión de su ejecución
y su impacto en forma adecuada.

El control de avance de la implementación del Plan Estratégico de Auditoría Interna

también puede apoyarse en la información proveniente de auditados y partes
interesadas, en cuanto a la evolución de la función de auditoría interna que ellos
perciben en la práctica respecto de los compromisos planteados.

Como resultado de este análisis auditoria interna puede añadir nuevos objetivos y
medidas a tomar según sea necesario y modificar el cronograma.

El Documento Técnico N° 83 Versión 0.1 del Consejo de auditoria Interna del Gobierno
de Chile de junio 2015 nos ilustra una estructura que mostramos a continuación (figura
No 2).
 Figura No2 – Formato de plan Estratégico

Fuente: Documento Técnico N° 83 Versión 0.1 del Consejo de auditoria Interna del
Gobierno de Chile de junio 2015

3.2 Plan anual de Auditoría Interna

Elaborar un plan anual de auditoría es un reto importante para los profesionales en

auditoría interna. Tradicionalmente esta labor consiste en identificar unidades
organizacionales con mayor impacto según el valor o volumen de transacciones. El
diseño de un plan anual de auditoría interna se debe centralizar en aquellas áreas de
negocios o procesos significativos respecto al tipo de riesgo que enfrenta la empresa.

En la formulación del Plan Anual de Auditoría Interna, como primer paso, se debe
determinar el Universo de Auditoría, a través de la consulta de diversas fuentes de
riesgos para obtener información de todos los elementos y temas relevantes para la
empresa, tanto de nivel estratégico, legal, entorno, organizacional, sistemas de
información, recursos humanos y financieros.

Determinado el Universo de Auditoría, es necesario examinar y determinar los

contextos críticos globales que pueden afectar a la empresas, considerando aquellos
de carácter externo, como los económicos, medioambientales, sociales, tecnológicos y
de regulación, y los de carácter interno, tales como los de infraestructura, personal,
procesos, tecnologías, comunicaciones y presupuesto

Posteriormente, es necesario priorizar las materias contenidas en el Universo de

Auditoría para incluirlas en el Plan Anual de Auditoría Interna, que considera
establecer los criterios y ranking de prioridades basado en los riesgos y el nivel de
impacto de los procesos, programas, proyectos, áreas o funciones para el éxito de la
empresa y el cumplimiento de sus objetivos estratégicos. De acuerdo a la priorización
realizada en el Ranking, se formula el Plan Anual de Auditoría Interna, el que debe
reflejar entre otros; los objetivos, los tipos de auditoría a realizarse, el tema a
auditarse, los riesgos cubiertos, el alcance general de las auditorías y las estimaciones
de uso de recursos para el período.
Una vez formulado el Plan Anual de Auditoría Interna, se debe presentar al comité de
auditoría o directorio, para su aprobación final, antes de comenzar a aplicarlo en el
período para el cual se formuló.

Por último, el avance de la ejecución del Plan Anual de Auditoría, debe ser evaluado y
controlado por el Jefe de Auditoría Interna con la finalidad de tomar las medidas
necesarias cuando se produzcan demoras u obstáculos que pongan en riesgo la
ejecución total o parcial de dicho Plan.

3.3 ECR (Evaluación continua de riesgos)

El proceso de evaluación de riesgos debe incluir al menos una evaluación anual de

acuerdo a las normas de auditoría interna, que debería complementarse con un nuevo
punto de partida o actualización a la mitad del año y una evaluación continua de
riesgos (ECR), que se debería documentar formalmente en los trimestres donde no se
realiza la evaluación anula ni la actualización.

La evaluación anual y el nuevo punto de partida o actualización a la mitad del año de

los riesgos, se incluyen en varios entregables, como son: el plan estratégico, el plan
operativo anual, memorándums de planeamiento entre otros.

Mientras que el ECA es una lista de vigilancia de los riesgos críticos y emergentes que
tienen implicancia en las labores de auditoría interna programadas, y/o son sensibles a
los objetivos de la organización. Estos se incluyen generalmente en los encargos de
auditoría específicos o permiten ajustar el plan anual de auditoria.

El respaldo documentario de estas acciones requiere una lista de áreas o procesos

fundamentales, gráficos con tendencias de riesgos, horas del plan operativo anual por
clasificación de riesgos, cuadros comparativos de apreciación del riesgo, entre otros.

3.4 Auditoría Continua

La auditoría continua es un método empleado para realizar evaluaciones de riesgos y

controles de manera automática y más frecuente (IIA Global).

Un enfoque de auditoría interna continua, potenciado con adecuada tecnología ayuda

a planificar, ejecutar y concluir trabajos de auditoría interna más eficaces y eficientes,
agregar valor a la labor, mostrarlo mejor y de manera más fácil a la alta dirección de la
organización, y a minimizar los costos debido a que implica una salto cualitativo en sus
procesos, método de trabajo y aprovechamiento de la tecnología.

En este sentido, la auditoría continua modifica el paradigma de la auditoría tradicional,

dejando de ser una mera de revisión de transacciones basada en muestreo
estadístico para transformarse en procedimientos continuos de auditoría que evalúen
el 100% de las transacciones, es por ello que el proceso de la auditoría continua
conlleva la utilización de una tecnología propia de este proceso que se involucra en las
operaciones y transacciones de las empresas y pretende, bajo la utilización de la
información del día a día, obtener información de validación de procesos o
transacciones, en tiempo real para que de haber desviaciones dentro del marco de
cumplimiento, sea este interno o externo, sean tomadas las acciones pertinentes en
tiempo real y se evite de esta forma exponer a la empresa a la materialización de
riesgos evitando con ello pérdidas.

Es por ello que las compañías en esta época de cambio deberán encaminar esfuerzos
en la obtención o el desarrollo de tecnología que permitan el logro de la
automatización de los procesos de la auditoría interna y convierta a este
departamento, en una “consola” donde los tableros de control monitoreen
continuamente las operaciones y transacciones realizadas con el fin de prevenir el
error, el fraude y la desviación de indicadores en la ejecución de las actividades que
contribuyen a la generación de bienes o servicios

Nuevos procesos de auditoría

La implementación de un proceso de auditoría continua requiere de al menos, los

siguientes pasos:

– Definición de objetivos de la auditoría continúa. En esta etapa lo más importante es

obtener el respaldo de la alta dirección y gestionar el desarrollo de relaciones con la
gestión tecnológica de la compañía

– Uso y acceso a los datos. Contar con las herramientas de análisis que permitan
desarrollar capacidad de acceso y análisis en tiempo real de los procesos y
transacciones de la compañía previa la verificación de la integralidad y fiabilidad de los
datos.
– Evaluación continua del riesgos y del control. La auditoría deberá identificar los
puntos de control crítico con el propósito de encaminar sus esfuerzos a identificar
deficiencias o ineficiencias y operaciones inusuales.

– Informar y gestionar resultados. Establecer prioridades y determinar la frecuencia

con la cual se monitorean procesos y transacciones con el fin de obtener de tales
trabajos, informes en tiempo real que puedan conllevar a la toma de decisiones de
carácter inmediato en la posible obtención de evidencia que permita medir la comisión
de posible errores, fraudes o desviaciones de actividades que potencialicen la
materialización de riesgos.

En resumen, para el desarrollo de la auditoría continua, la compañía debe contar con

un equipo interdisciplinario de auditoría, capaz de la interpretación de la evidencia en
tipo real, con altas competencias.

3.5 Pensamiento Crítico

El pensamiento crítico es un proceso que se propone analizar, entender o evaluar la

manera en la que se organizan los conocimientos que pretenden interpretar y
representar el mundo, en particular las opiniones o afirmaciones que en la vida
cotidiana suelen aceptarse como verdaderas (2008, Julián Pérez Porto y María
Merino)

En tal sentido, para potenciar las competencias del auditor interno no solo tenemos
que hacer un mejor uso de las tecnologías, mejorar las habilidades de comunicación o
ser capaces de responder a las expectativas de nuestros grupos de interés; sino
también, desarrollar la cualidad del auditor de la que apenas se habla, la habilidad
para emplear el pensamiento crítico (en el sentido positivo del término).

Uno de los pasajes más curiosos del último libro de Daniel Lacalle, que tenéis
referenciado en la página de 'Lecturas obligadas' del blog, es aquél en el que cuenta
cómo fue contratado por uno de los mayores fondos de inversión de la City, a pesar de
ser algo mayor para el puesto. Este empleador le contrató por su capacidad de
proponer ideas diferentes, ya que exactamente buscaban a alguien capaz de pensar
en contra de las ideas establecidas.

Kenichi Omahe, también conocido como Mister Strategy, es autor de más de 200
libros, algunos tan interesantes como La Mente del Estratega o El próximo escenario
global. Pues bien, según Omahe el método del estratega consiste en enfrentarse a las
ideas predominantes con una simple pregunta: ¿por qué?

Los auditores internos contamos con unas condiciones ambientales e inherentes que
son claves para el ejercicio del pensamiento crítico. Me refiero a la independencia de
la organización y a la objetividad individual. A esto hay que añadirle nuestra
propensión natural a actuar con el debido cuidado y escepticismo profesional. Por
tanto la capacidad de observación y de plantearnos el porqué de las ideas
predominantes, parafraseando a Omahe, deberían estar muy presentes a la hora de
realizar cualquier trabajo. Creo que así podremos aportar respuestas más valiosas a
nuestros grupos de interés y contribuir a nuestra misión, como protectores del valor de
las organizaciones.
Capítulo 4 – Los números y estadísticas alrededor de una auditoria de riesgos de
360º

Las siguientes estadísticas nos ayudan a mejorar la percepción de una necesidad de

un enfoque de 360º.

Fuente: Estudio sobre el estado de la profesión de auditoría interna de 2013 –

PWC

El estudio manifiesta que, la función de auditoría interna se está esforzando para

desarrollar aún más sus capacidades y el valor aportado, donde todavía hay margen
de mejora. Aunque las empresas están subiendo el listón de su propio rendimiento
para poder hacer frente a un panorama de riesgos en constante evolución y unas
mayores expectativas de las autoridades reguladoras y los stakeholders, parece que
en ocasiones no están haciendo lo propio con la función de auditoría interna. Nuestros
datos indican que, aunque estas funciones se esfuerzan por alcanzar la excelencia en
ocho atributos clave (véase la Figura 4), su capacidad para aportar el valor adecuado
a sus organizaciones tiene todavía capacidad de mejora.

También menciona el estudio que, estos datos sacan a la luz la necesidad de que
auditoría interna siga mejorando sus capacidades y su aportación de valor en las
áreas de riesgo más críticas para las organizaciones. Si no se prepara un plan y se
tratan de alcanzar nuevas metas, auditoría interna corre el riesgo de convertirse en
una función menos relevante de lo que le corresponde, lo que le puede llevar a no
jugar el papel decisivo que debe tener en las organizaciones.
Fuente: Estudio sobre el estado de la profesión de auditoría interna de 2013 –
PWC

Tal y como se ilustra en la (Figura 5), las empresas del estudio parecen reconocer la
importancia del análisis masivo de datos. Sin embargo, las conclusiones muestran
también que las empresas parecen estar muy lejos de aprovechar plenamente estas
herramientas. Solo el 31% utiliza el análisis masivo de datos de manera habitual, y de
entre las que tienen intención de ampliar el uso de estos análisis, el 71% carece de un
plan convenientemente desarrollado al respecto. Los responsables de auditoría interna
han afirmado que las principales barreras para la integración de estos análisis son la
ineficiencia de los procesos de recopilación de datos (48%) y la obtención de perfiles y
recursos que respalden su visión y les permitan alcanzar el estatus deseado (46%).
Fuente: Estudio sobre el estado de la profesión de auditoría interna de 2013 –
PWC

El estudio menciona que, promover la mejora de la calidad y el aprovechamiento de la

tecnología para que las auditorías resulten más sólidas son pasos que las funciones
de auditoría interna deben dar para perfeccionar su aportación en las organizaciones.
Para ello, además de mejorar los resultados en todos los demás atributos, auditoría
interna debe contar con el personal adecuado. Contar con los recursos apropiados
resulta fundamental para que la función de auditoría interna tenga unas bases sólidas,
además de ser un requisito para mejorar el rendimiento de la función y ampliar su
alcance para proporcionar aseguramiento sobre un mayor número de riesgos críticos.

Las bajas puntuaciones obtenidas en el ámbito de la gestión del talento indican que lo
primero que ha de solucionarse es la obtención de recursos, ya que las funciones no
pueden sentar sus bases y asumir mayores retos si no cuentan con las personas
adecuadas. Solo un tercio de los encuestados afirma que la función de auditoría
interna obtiene buenos resultados en la contratación y formación del talento. Además,
los stakeholders han mencionado la falta de experiencia, la falta de talento suficiente y
la carencia del nivel adecuado de competencias entre las principales barreras para la
mejora de resultados por parte de la función de auditoría interna. Los responsables de
esta función son conscientes de la necesidad de incorporar talento y muchos (la
mayoría) tienen previsto hacerlo (Figura 6).
CONCLUSIONES

1.1 El objetivo general del presente trabajo fue el desarrollo de un conjunto de

herramientas (plan estratégico de auditoría interna, plan anual de auditoría basado
en riesgos, evaluación continua de riesgos, auditoría continua y pensamiento
crítico), para poder desarrollar un enfoque de auditoría interna orientada por un
enfoque de riesgos de 360º, que implica un enfoque integral, 24X7 (es decir todo
el día todo el año), evaluación de controles de tecnología de la información sobre
los procesos y sus responsables, así como la comunicación de deficiencias y las
acciones de control diseñadas para la prevención y detección de fraudes entre lo
principal.

1.2 Los planes estratégicos y programas de auditoria interna deberían estructurarse

para proporcionar una evaluación del diseño, implementación y eficiencia de los
procedimientos de control y de gestión de riesgos de los procesos críticos
relacionados con los objetivos estratégicos de la entidad.

1.3 Proponer una mejora en las técnicas de auditoría interna en el país, que tiene por
finalidad incorporar nuevas herramientas que mejoren el desempeño en las
actividades de evaluación del sistema de control interno y gestión de riesgos.

1. 4 La aplicación de las herramientas para la evaluación de las actividades de

control, supervisión y monitoreo de un sistema de control interno y la gestión de
riesgos de riesgos requieren de un equipo multidisciplinario, donde el contador
público puede obtener una presencia importante basado en su experiencia en
auditoría frente a otros profesionales.

1.5 Los usuarios de la auditoría interna esperan una mayor interacción con sus
auditores de manera proactiva e interactiva.
GUIAS DE DISCUSION

¿Qué conocimientos de riesgos deben ser consolidados por un auditor interno para
aplicar un enfoque basado en riesgos?

¿Qué normas internacionales de auditoría interna soportan las labores de gestión de

riesgos de un auditor interno en una perspectiva de 360º

¿Qué herramientas puede un auditor interno usar para abarcar sus labores en una
Perspectiva de 360º?

¿Qué requieren hoy las empresas de un auditor interno en relación a la exposición a

riesgos de su negocio?

¿Qué reflexiones podemos obtener de las estadísticas que las firmas profesionales
han obtenido del mercado mundial?

¿Qué habilidades se deben consolidar en un auditor interno para poder ser un

profesional que desarrolla sus labores en base a riesgos en una perspectiva de 360º?

¿Qué implica ser un auditor interno en una perspectiva de 360º para los stakeholders?

¿Qué implica generar valor agregado en una auditoría interna con una perspectiva de
360º?
BIBLIOGRAFIA

Committee of Sponsoring Organizations of the Treadway Commission (2013). Internal

Control — Integrated Framework- Executive Summary. USA.
PriceWaterHouseCoopers. Páginas 6-10.

Deloitte LLP. Coso Enhances Its Internal Control — Integrated Framework (2013)
Volume 20 Issue 17. 10 de Junio 2013

Ben S. (2006). Resilience: cómo construir empresas exitosas en contextos de

inestabilidad. Lima: Norma.

Koontz H, Weihrich H, Cannice M. (2012). Administración: una perspectiva global y

empresarial. Decimocuarta edición. México D.F: McGraw-Hill/Interamericana Editores.

Moyer R., McGuigan J, Kretlow W (2000). Administración financiera contemporánea

Séptima edición. México, D.F: International Thomson Editores.

Meigs R, Williams J., Haka S. (2000). Contabilidad: la base para decisiones

gerenciales. Undécima edición. Santafé de Bogotá: McGraw Hill Interamericana.

Reding, K., Sobel P., Anderson U., Head, M., Ramamoorti S., Salamasick M. (2009).
Auditoria Interna: Servicios de aseguramiento y consultoría. 2009. Fundación de
investigaciones del IIA.

Alcanzando cotas más altas: ¿Listo para emprender el viaje? – Informe de Estado de
la Profesión – PwC (2013) https://www.pwc.es/es/.../assets/informe-estado-profesion-
auditoria-interna-2013.pdf, (consultado el 1 de julio de 2017).

Fabrica del Pensamiento, Apetito de Riesgos (2013) IIA España

CURRICULUM VITAE

Candidato a doctor en el Doctorado de Administración en Centrum Catolica, Master in

Philosophy por Maastricht School of Management de Holanda, Maestría en
Informática por la Pontificia Universidad Católica del Perú. Contador Público y
Licenciado en Administración de la Pontificia Universidad Católica del Perú. Auditor
Interno Certificado (CIA) – Florida (USA) , Auditor Certificado en Risk Management
Assurance (CRMA) - Florida (USA), Auditor del Sistema Financiero (CFSA) – Florida
(USA), Auditor Gubernamental Certificado (CGAP) – Florida (USA), Auditor
Certificado en Autocontrol (CCSA) – Florida USA. Experiencia profesional en las
áreas de auditoría, control interno, gestión de riesgos y finanzas.

Ha sido Socio de la División de Gestión de Riesgos Empresariales (RAS) de RSM

Perú – Panez Chacaliaza y Asociados. Ha sido Gerente de Administración y Finanzas
en Financiera TFC. Ha sido auditor interno y Gerente de Administración y Finanzas
del Grupo Volvo, Auditor Senior del Grupo Banco Continental (BBVA) y Auditor Senior
de PriceWaterhouseCoopers. Presidente del Instituto de Auditores Internos del Perú
(2008-2010), Presidente de la Federación Latinoamericana de Auditores Internos
(FLAI) – (2007-2009), Miembro del Comité de Relaciones Internacionales del IIA
Global, y Director at Large del IIA Global ( julio 2007 – junio 2009). Ha publicado los
libros: Contabilidad para Gerentes y Emprendedores (2012); Productos y Servicios
Financieros (2006 y 2001) y Normas Internacionales de Contabilidad (2002). Ha
desarrollado cursos, conferencias y talleres de auditoría, control interno y gestión de
riesgos en República Dominicana, Puerto Rico, Nicaragua, Honduras, Uruguay,
Ecuador, Bolivia, Argentina, Venezuela, Costa Rica, Colombia, Panamá y Brasil.
Mención Honrosa en la XX Conferencia Interamericana de Contabilidad con el tema
“CONTABILIDAD AMBIENTAL UN ENFOQUE SOCIO-ECONÓMICO”.Premio
Nacional en el Congreso de Contadores Públicos de Perú (1998).
TRABAJO DE INVESTIGACION:

Auditoría Interna y la Gestión de Riesgos en una perspectiva de 360º

SEUDONIMO

LUCELA PERU 2017

Correo de contacto:

avillacorta@esan.edu.pe

511-998704856