TEMA Nº 2

EL EJERCICIO DE LA AUDITORIA INTERNA

2.1 DESARROLLO DE LA AUDITORIA INTERNA

Esta fase de la auditoría interna comienza con una reunión de apertura, donde se presentan los miembros del
equipo y se revisa el plan. Asimismo, se plantean las metodologías y los procedimientos que se van a utilizar, se definen los
recursos que se necesitan y se revisan los procedimientos de seguridad y emergencia.

Posteriormente se recopila y analiza la información recolectada por el equipo auditor y se evalúa si los criterios del plan de
auditoría se están cumpliendo cabalmente.

Después de que se recopila toda la evidencia, los auditores se reúnen con la gerencia y con los responsables de las
funciones auditadas. En esta reunión se presentan los resultados, se resuelven los desacuerdos y se plantean las
conclusiones.

En este punto podemos mencionar los siguientes pasos para un desarrollo de la auditoria interna:

1.-CONOCIMIENTO

Entendimiento profundo del proceso bajo revisión (estrategia de negocio, mejores prácticas, normativas y leyes
aplicables)

2.- PLANIFICACION

Plan de auditoria basado en riesgos, que considere los objetivos del área y las expectativas del cliente.

3.- DESARROLLO TRABAJO

Identificar, analizar, evaluar y documentar información suficiente para cumplir con los objetivos del trabajo.

4.- TECNOLOGIA

Identificar información suficiente, fiable, relevante y útil de manera tal que les permita alcanzar los objetivos del
trabajo, a través del uso intensivo del análisis de datos; y la aplicación del muestreo estadístico para la selección de las
muestras.

5.- SUPERVISION TRABAJO

Los trabajos deben ser adecuadamente supervisados para asegurar el logro de sus objetivos, la calidad del resultado
de la revisión y el desarrollo del personal.

6.- INFORME ALTO IMPACTO

Crear un documento que motive al cliente a implementar una acción rápida a través de presentar planes de acción
específicos que corrijan problemas de negocios identificados.

7.- SEGUIMIENTO

Establecer y mantener un sistema de seguimiento efectivo de la disposición de las observaciones, hallazgos y

oportunidades de mejora comunicados a la dirección.
2.2 LA INDEPENDENCIA
INDEPENDENCIA: El estatuto de auditoría debe establecer la independencia de la actividad de auditoría interna
mediante la doble línea de reporte, con la dirección y con el grupo de supervisión más elevado de la organización.
Específicamente, el director ejecutivo de auditoría (DEA) debe reportar a la dirección ejecutiva en cuanto a la asistencia
para establecer dirección, apoyo y conexión administrativa; y típicamente al comité de auditoría en cuanto a la dirección
estratégica, refuerzo y obligación de rendir cuentas. Los auditores internos deben tener acceso a los registros y al personal
que necesiten, y se les debe permitir emplear técnicas de prueba apropiadas sin impedimentos.

OBJETIVIDAD: Para mantener la objetividad, los auditores internos no deben estar involucrados personal o
profesionalmente con el área auditada, ni mantener lealtad con ella; y deben tener una actitud mental imparcial y neutral
en relación con todos sus trabajos.

La independencia y la objetividad son dos componentes fundamentales de una actividad de auditoría interna eficaz.

INDEPENDENCIA Y OBJETIVIDAD.

El auditor interno ocupa una posición única, dado que está siendo empleado por la dirección y a la vez debe revisar la
conducta de la misma, lo que puede crear tensiones significativas. Por un lado, es necesario que el auditor interno sea
independiente de la dirección con el fin de evaluar objetivamente sus acciones, pero por otro lado está claro que el auditor
interno depende de la dirección al ser su empleado.

En consecuencia, la actividad de auditoría interna debe tener un mandato a través de un estatuto escrito que establezca su
propósito, autoridad y responsabilidad, de modo de apoyar su independencia y objetividad dentro de la organización.

Los auditores internos son independientes cuando ofrecen juicios imparciales y neutrales al realizar sus trabajos. Para
asegurar su independencia, las mejores prácticas sugieren que el DEA debe reportar directamente al comité de auditoría o
su equivalente. A los fines administrativos del día a día, el DEA debe reportar al ejecutivo más elevado de la organización
(por ejemplo, el director general o chief executive officer -CEO-). El DEA debe tener comunicación directa con el comité de
auditoría, lo cual refuerza la jerarquía de auditoría interna dentro de la organización, permite un apoyo total y acceso
irrestricto a los recursos de la organización, y asegura que no exista ningún menoscabo a la independencia.

Esto ofrece suficiente autoridad para asegurar una amplia cobertura de auditoría, la adecuada consideración de las
comunicaciones de sus trabajos, y la apropiada acción sobre sus recomendaciones. La independencia se mejora aún más si
el DEA reporta al consejo directivo mediante el comité de auditoría que forma parte del mismo, en lo que hace al
planeamiento, la ejecución y los resultados de las tareas de auditoría. El comité de auditoría también es responsable de la
designación, remoción y establecimiento de la compensación del DEA. El comité debe proteger la independencia aprobando
el estatuto de auditoría interna y sus mandatos periódicamente.

La objetividad es una actitud mental que los auditores internos deben tener cuando desempeñan sus trabajos. El auditor
interno debe tener una actitud mental imparcial y neutral, y evitar situaciones de conflicto de intereses, dado que
perjudicarían su capacidad de cumplir sus obligaciones objetivamente. Los resultados del trabajo de auditoría interna deben
ser revisados antes de ser emitidos, con el fin de asegurar razonablemente que el trabajo se haya desempeñado
objetivamente.

Los auditores internos no deben asumir ninguna responsabilidad operativa. Se presume que la objetividad está
menoscabada cuando los auditores internos realizan una revisión de aseguramiento de una actividad por la cual han tenido
autoridad o responsabilidad dentro del año anterior o un período lo suficientemente significativo para influenciar su juicio u
opinión. Los auditores internos no deben aceptar regalos ni favores de otras personas tales como empleados, clientes o
asociados de negocios.
Los auditores internos deben adoptar una política que contemple su compromiso de cumplir con el Código de Ética, evitar
los conflictos de intereses, y declarar toda actividad que pueda resultar en un posible conflicto de intereses. La asignación
del personal de auditoría interna debe rotar periódicamente siempre que sea posible.

2.3 CAPACIDAD PROFESIONAL

Las competencias de un auditor interno y aquellas cualidades que debe poseer cambian en la misma medida en
que lo hacen los estándares, las regulaciones, la economía o las tendencias del mundo globalizado.

Las organizaciones siempre deben estar abiertas a escuchar nuevas formas de mejorar.

Necesitan auditores internos cualificados para evaluar la eficiencia y la efectividad de sus procesos críticos, y así cumplir
con sus objetivos estratégicos. Y las competencias de un auditor interno deben apuntar al cumplimiento de esos objetivos.

Las competencias y habilidades de un auditor interno deben encontrarse en consonancia con los resultados que las
organizaciones esperan de la función de auditoría interna. Las habilidades técnicas son un requisito previo imprescindible.
Pero esas habilidades por si solas no son suficientes; además los auditores internos deben ser personas con las siguientes 6
características:

1. Pensamiento analítico
Esta es una tendencia que se impone en todas las áreas de la organización. Cada vez más, los profesionales de la calidad
buscan auditores que hagan algo más que su trabajo. Quieren auditores que puedan analizar datos “en caliente” y ofrecer
una visión estratégica.
Se dice que los ingenieros poseen esta propensión hacia el pensamiento crítico. Por ello, muchos de ellos son formados por
sus empresas para ser auditores internos.

2. Habilidades de comunicación
Atrás quedaron los días en que los auditores se atrincheraban en una oficina escondida. Hoy, un auditor interno
efectivo debe poder comunicarse de forma clara y directa con todos los miembros de la organización. Esta es una
competencia que adquiere especial relevancia en el momento en que el auditor, o el grupo de auditores,  deben comunicar
los resultados de su trabajo a la alta dirección.

3. Integridad
Si bien esta virtud es importante en cualquier entorno empresarial, es especialmente esencial en la auditoría interna. Los
auditores internos deben ser capaces de cultivar la confianza y el respeto en los demás profesionales de la organización. Y
también deben poder confiar en sus compañeros. Solo cuando los empleados confían en ellos les permiten indagar a fondo
en el funcionamiento del sistema y poder hallar lo que debe ser mejorado.

4. Razonabilidad
Escuchar que un determinado proceso, que se ha utilizado durante años, podría estar generando un riesgo para la calidad,
nunca es fácil de digerir. Por eso, el auditor interno debe ser razonable, y esforzarse por construir relaciones productivas,
altamente colaborativas y profundas con las personas con las que trabaja. Y, por supuesto, debe tener la capacidad de
reacción y recuperación cuando se enfrenta a problemas complejos.

5. Capacidad de indagación
Cuando hablamos de habilidades no técnicas, la mayoría de las organizaciones buscan un auditor que se niegue a aceptar
una explicación superficial. Tener pasión por el descubrimiento y el aprendizaje ayuda al auditor a realizar una evaluación
exhaustiva del sistema. La organización debe encontrar un auditor que tenga la capacidad de permanecer inquisitivo en
entornos que cambian con frecuencia.
6. Compromiso
Estar comprometido con una organización implica mucho más que asistir puntualmente a la auditoría y desarrollar una
checklist. Las competencias de un auditor interno efectivo deben incluir la capacidad del profesional para  sumergirse en el
negocio y la industria de la organización y aprender las complejidades de la misma con interés.

En cualquier caso, cada organización tiene su propio funcionamiento y puede precisar en diferentes grados estas y otras
cualidades en un auditor interno. De ahí, que no se pueda establecer un perfil único para el auditor eficiente. Lo que, sin
ninguna duda, es imprescindible en cualquier organización es que este profesional cuente con la formación apropiada para
el desempeño de sus tareas.

2.4 ALCANCE DEL TRABAJO

El papel que puede desempeñar la auditoría interna en una organización puede ser relevante y de gran valor para
la Comisión de Auditoría. El alcance no ha de limitarse a proporcionar a la Comisión de Auditoría garantías sobre los
controles implantados por la dirección, sino que puede enfocarse hacia un rol de consultoría, brindando así apoyo
estratégico a la Comisión de Auditoría y a la compañía.
Establecer el alcance adecuado para la función de auditoría interna no es un ejercicio simple y estándar y se debe adaptar a
cada organización concreta. Eso es lo que vamos a analizar en este nuevo artículo de la serie Comisión de Auditoría:
cuestiones clave para una supervisión eficaz.
La Comisión de Auditoría debe participar en el desarrollo del cometido, los objetivos y la misión de la auditoría
interna para cerciorarse de su adecuado papel en la función de supervisión. Un mandato claramente definido y
comunicado ayuda a eliminar duplicidades innecesarias de esfuerzos y a garantizar que los equipos de auditoría y los
conocimientos estén centrados y que se maximice la inversión en esta función.
La colaboración con la dirección y la auditoría interna para desarrollar el alcance de la función de esta última ayudará a
garantizar un equilibrio adecuado entre la evaluación del control interno y las responsabilidades de eficiencia operativa,
gestión de riesgos y otros proyectos especiales de la organización.
Pese a basarse en los riesgos, el alcance del trabajo de auditoría interna rara vez debe ser estático de un año al otro. La
Comisión de Auditoría debe participar en la revisión regular del alcance para garantizar su adecuada actualización, de
conformidad con los cambios en las actividades, mercados u otros aspectos del entorno externo de la organización que
puedan incidir en los riesgos a los que esta se enfrenta. Por ello, el establecimiento de su alcance no es algo simple y
estándar.
El alcance del trabajo de auditoría interna rara vez debe ser estático, de un año al otro
Obtener el equilibrio adecuado entre las garantías y la creación de valor puede ser complicado. En un negocio con un
entorno de control inmaduro, o que está experimentando cambios o un crecimiento significativo, el valor se obtiene
al ofrecer garantías de calidad sobre la efectividad de los controles centrales. Esto contribuye a mitigar el riesgo de
fallos en los controles y las sorpresas financieras asociadas. Las funciones de auditoría interna de reciente creación también
tienen más probabilidades de centrarse en evaluar la efectividad de los procesos y controles básicos.
Allá donde existe un sólido entorno de control, equipos experimentados y procesos de gestión de riesgos consolidados, la
auditoría interna puede realizar un trabajo de garantías menos básico y desempeñar un papel más relevante trabajando
codo con codo con la dirección como si de un socio de negocio se tratara. Este tipo de función  requiere una gestión a
conciencia para garantizar que las responsabilidades del negocio y la independencia de la auditoría interna no se
desdibujen.
Es importante recordar que la Guía Técnica sobre Comisiones de Auditoría de la CNMV desarrolla en su apartado 5 la
función de supervisión de la auditoría interna por parte de la comisión y su relación con esta.

Preguntas clave para la Comisión de Auditoría

Equilibrio entre garantías y consultoría

 ¿Cuál es el estado actual del entorno de control? ¿Se considera dicho entorno lo suficientemente maduro como
para no precisar toda la atención de la auditoría interna?
 ¿Cuál es el estado actual del proceso de gestión de riesgos de la sociedad?
 ¿Cuál es el proceso para priorizar los esfuerzos de auditoría interna? ¿Cuenta auditoría interna con el personal
adecuado para asumir roles adicionales? ¿Provocará esto retrasos en las responsabilidades de control?
 ¿Hay margen para que auditoría interna desempeñe un papel de consultoría interna? ¿Cómo se
mantendrá/garantizará la independencia de la auditoría interna si se incorpora este rol adicional a su alcance?
 ¿Está experimentando el negocio un cambio significativo en sus operaciones, o cambios en los riesgos externos?

Participación en el establecimiento del alcance

 ¿Cuenta auditoría interna con unos términos de referencia claramente definidos que articulen el alcance de su
trabajo?
 ¿Se revisa periódicamente la política de auditoría interna para garantizar que continúa siendo adecuada?
 ¿Cuál es la participación de la Comisión de Auditoría en el establecimiento del alcance del plan de auditoría
interna? ¿Se limita a la aprobación de los planes sugeridos o desempeña la Comisión de Auditoría un rol en el
establecimiento de los planes?
 ¿Cuál es el papel de la dirección en el establecimiento del alcance del plan de auditoría interna? ¿Apoya la auditoría
interna a la dirección en la evaluación del control interno sobre la información financiera? ¿Hay margen para que
auditoría interna realice labores de garantías adicionales que resulten favorables para la dirección y la Comisión de
Auditoría?
 ¿Qué criterios se utilizan para establecer los planes de auditoría interna anuales y a largo plazo? ¿Se integran estos
en el programa de gestión de riesgos?
 ¿Se coordina el plan de auditoría interna con el auditor externo?
 ¿Cómo reacciona auditoría interna a los cambios en el entorno de negocio?

Madurez del entorno de controles

 ¿Cuál es la visión de la auditoría interna acerca del entorno de control?

 ¿En qué medida se puede confiar en el plan de auditoría interna para detectar errores significativos,
irregularidades y debilidades importantes en el control interno?
 ¿Se ha comunicado alguna deficiencia de control? ¿Se han trasladado recomendaciones significativas a la dirección
acerca de mejoras en los controles? ¿Se han puesto estas recomendaciones en marcha?
 ¿Existen otras formas de garantía acerca del entorno de control, es decir, autoevaluación?

Garantías facilitadas actualmente por auditoría interna

 ¿Cuál es el alcance actual de la auditoría interna? ¿Es adecuado el nivel de garantías ofrecido?
 ¿Ofrece garantías la auditoría interna acerca del cumplimiento con las leyes y reglamentos? ¿Se ha identificado
algún caso de incumplimiento?
 ¿Cuál es el papel de auditoría interna a la hora de ofrecer garantías acerca del  cumplimiento de las políticas y
procedimientos? ¿Se ha identificado algún caso de incumplimiento?
 ¿Abarca el papel de auditoría interna la evaluación de la efectividad de las políticas y procedimientos y/o del
entorno de control?
 ¿Evalúa auditoría interna el modo en que la sociedad responde a los nuevos riesgos?
2.5 EJECUCION DEL TRABAJO DE AUDITORIA
Tradicionalmente, al ejecutar labores de auditoría interna, se adopta un enfoque basado en controles; se
inspecciona y verifica que los controles financieros operan de acuerdo con un conjunto establecido de criterios y se
atiendan los requerimientos de cumplimiento normativo. Actualmente, las áreas de auditoría están recurriendo a enfoques
basados en el riesgo, impulsados por una perspectiva más prospectiva, dirigida a abordar los riesgos potenciales que
podrían evitar que una organización logre sus objetivos.

Ahora bien, al combinar el enfoque basado en riesgo con una mentalidad de prestación de servicios, se hace evidente que
no hay un enfoque único aplicable a todos los clientes. Hay que disponer de un conjunto de enfoques, para poder
seleccionar aquel que sea óptimo para cada circunstancia. Esto trae beneficios adicionales. Los equipos de auditoría no se
sienten desgastados al repetir el mismo enfoque todas las veces y los clientes perciben innovación en lugar de estar
desconectados del tema al ver que las auditorías se prolongan durante meses con pocos resultados.  Elegir el enfoque
correcto puede ayudar a que la auditoría interna sea reconocida como un asesor confiable, promueva la participación del
cliente y conduzca a resultados más productivos.

Se presentan enseguida, diferentes enfoques de auditoría basada en riesgo, que permiten mejorar la experiencia del cliente
de un compromiso de aseguramiento o asesoramiento, con los comentarios que permiten aplicarlos de manera efectiva.

Rápido y concreto:

Este enfoque se utiliza específicamente en trabajos en los cuales los procesos y la documentación es sólida o en aquellos
casos en que los procesos han sido auditados previamente con un riesgo residual de bajo a moderado. Un enfoque rápido
implica realizar todos los pasos de un compromiso de aseguramiento estándar en un período de tiempo corto, con un
compromiso de un lapso breve para el trabajo de campo. En este enfoque hay tres fases:

 La planificación e investigación del auditor, consistente en revisar documentos de trabajo de auditoría previa y
documentación pública, preparar el programa de trabajo, enviar la lista de solicitudes, obtener acceso para ver los
repositorios de documentos y realizar pruebas.
 Trabajo de campo en el sitio, durante el cual el auditor entrevista a los clientes, realiza pruebas, obtiene solicitudes
de seguimiento, lleva a cabo reuniones al finalizar cada día y comunicación de hallazgos concretos al cliente.
 Finalizar pruebas y redacción de informes, lo cual comprende la finalización de las pruebas, finalización y archivo de
los documentos de trabajo y preparación y presentación del informe. Así mismo, se documentan las acciones
acordadas, los responsables y fechas.

Para garantizar su éxito, es importante planificar con anticipación mediante una notificación temprana y un compromiso de
tiempo del cliente de auditoría. El trabajo de auditoría debe tener un alcance bien definido y limitado. Es importante que el
auditor preste total atención a una sola auditoría a la vez, puesto que se asume más esfuerzo del habitual antes y después
del trabajo de campo para que el cliente pueda experimentar una interacción relativamente ligera durante la visita de
campo. Es deseable que el auditor tenga una fuerte disciplina de gestión de proyectos y un profundo conocimiento del
proceso a auditar.

Retroalimentación en tiempo real:

En este enfoque, el auditor evalúa las capacidades de gobierno, gestión de riesgos y control del equipo del proyecto para
identificar y gestionar los riesgos relacionados con el proyecto en tiempo real. También asume un rol de facilitador
promoviendo el diálogo de riesgo y control a lo largo de un proyecto. Se suele utilizar cuando hay implementaciones de
procesos, herramientas o programas con una fecha de finalización establecida, tal como un traslado del centro de datos, un
nuevo sitio de producción o una nueva herramienta de administración del trabajo.

Los auditores deben participar desde el inicio y el diseño hasta la construcción y configuración, pruebas y capacitación, y
finalmente implementación y monitoreo. En cada fase, la auditoría interna se asocia con el gerente del proyecto para
proporcionar comentarios en tiempo real. Para un proceso o iniciativa que afecte a una gran parte de la empresa, es vital
que haya colaboración con todos los grupos de partes interesadas para garantizar una adopción exitosa. Es deseable un
auditor con experiencia previa en la implementación de proyectos o programas, al igual que un experto en la materia o un
auditor invitado que pueda ayudar a identificar las dificultades propias del proyecto en particular.

Apoyo en autoevaluación:

Es un enfoque estilo taller, que permite que un área o departamento examine y se comprometa a mejorar la gobernanza, la
gestión de riesgos y / o los controles internos para un proceso o función. El papel de la auditoría es facilitar las acciones y/o
procesos; por ejemplo, ayudar a las áreas y/o departamentos a comprender e identificar sus objetivos, los riesgos asociados
con el logro de esos objetivos y los controles para abordar esos riesgos. La autoevaluación también puede equipar a la
gerencia para avanzar hacia una cultura de control y riesgo más sólida, al practicar la aplicación en la vida real de los
principios de riesgo y control. Para garantizar éxito, se requiere un compromiso visible del líder del proceso. El auditor debe
tener fuertes habilidades de trabajo con grupos pequeños y la capacidad de ajustar un enfoque sobre la marcha. Una
mentalidad externa y la capacidad de influir en los sólidos comportamientos de control y gestión de riesgos contribuirán en
gran medida a ayudar a un departamento a identificar y comprometerse a mejorar su respuesta a los desafíos específicos
encontrados.

Modelos de madurez:

Este enfoque, cuyo propósito es avanzar en el nivel de madurez, permite a los auditores y clientes evaluar la eficacia actual
de un proceso al tiempo que se identifican las capacidades necesarias para mejorar el proceso y cumplir los objetivos
previstos. Funciona particularmente bien con clientes que han tenido dificultades para aceptar los hallazgos de auditoría.  Al
enmarcar su proceso dentro de la construcción de un Modelo de Madurez, la auditoría interna puede dar crédito al cliente
por lo que está haciendo bien e incluir áreas para mejoras futuras. Un enfoque de modelo de madurez también es ideal
para los procesos corporativos y las áreas afectadas por las fusiones y adquisiciones o la reestructuración organizacional,
para la evolución de sus personas, procesos y tecnología.

Desglosar los procesos en componentes le permite al auditor reconocer controles sólidos e identificar los problemas que se
deben remediar. El enfoque de Modelos de madurez puede ser útil en una capacidad de asesoramiento independiente o
como un compromiso de aseguramiento que arroja resultados prácticos. El enfoque es particularmente exitoso cuando crea
una experiencia de diálogo más interactiva: el auditor permite que el cliente evalúe dónde cree que encajan en un Modelo
de Madurez y luego solicita evidencia o facilita una discusión para validar esa perspectiva.

Análisis de datos:

La auditoría incorpora técnicas analíticas de datos en los trabajos para proporcionar información más completa, mejor
monitoreo de riesgos y eficiencia de procesos. El análisis de datos se puede considerar en cada trabajo y en todas las fases
de una auditoría. Se puede ejecutar como un enfoque individual o junto con cualquiera de los otros enfoques. Hay que
considerar que, incluso los datos más básicos pueden generar información al abordar poblaciones completas y la capacidad
de conectar el riesgo con los datos. Las pruebas pueden ser muy rápidas, pero solo si la planificación rigurosa se ha trazado
primero. Los auditores deben estar preparados para investigar resultados inesperados sin llegar a conclusiones. Es
importante que el auditor sea un pensador analítico, técnico y lógico. No debe permitir que la falta de conocimiento técnico
le impida utilizar el análisis de datos.

Con una mentalidad de prestación de servicios y una propia colección de enfoques basados en el riesgo para elegir, el área
o departamento de auditoría estará en una posición sólida para seleccionar el mejor enfoque de acuerdo con cada trabajo y
así crear una relación más confiable con el cliente. Al adaptar cuidadosamente el enfoque de auditoría a cada situación
particular, la auditoría interna puede reducir la fatiga de la auditoría, conocer mejor a los clientes, brindar seguridad en
tiempo real y crear un impacto positivo en la organización.