La auditoría interna es una modalidad de auditoría basada en el control y la

vigilancia interna de una empresa o institución. Su realización busca la

identificación de puntos de mejora y el correcto funcionamiento dentro de un
marco normativo determinado.

or medio de la auditoría interna las empresas e instituciones tienen la

capacidad de autoexaminarse y tomar decisiones apropiadas de cara a la
reducción de riesgos y la búsqueda de puntos óptimos.

Las sociedades mercantiles y todo tipo de organismos practican de

manera continuada actividades de control interno con el objetivo de
autoevaluarse y detectar procesos o mecanismos de mejora potencial.

La inspección interna es más habitual en instituciones o empresas de gran

tamaño, tanto en el sector privado como en el sector público.

Además, esto ocurre en gran cantidad de sectores económicos con el fin de

adecuar su funcionamiento y actividad interna a las leyes que rigen en cada
territorio en que operan.

Este punto es evidente dado que a mayor tamaño de empresa mayor será
la dificultad para controlar el funcionamiento de la misma. Igual ocurre con
los distintos procesos o departamentos que compongan su organigrama
o estructura.
Características de la auditoría interna
Como mecanismo emprendido por la empresa, una auditoría interna debe
ser un instrumento capaz de cumplir una serie de objetivos para que sea
considerado como válido:

 Debe servir para localizar el punto de eficiencia a conseguir en el

corto y medio plazo. Es decir, es un elemento de optimización de
recursos.
 Se centra en cada una de las fases de la cadena de producción,
analizando y evaluando cada departamento o tarea emprendida.
 Compara las características propias de la compañía con los
estándares de su sector. Al tiempo mide su naturaleza legal respecto
al ajuste normativo en que deba situarse, de modo que pueda
disminuir posibles riesgos.
 Una auditoría interna se ha convertido en herramienta ineludible
para las sociedades a la hora de detectar anomalías legales, fraudes
o asignación ineficiente de fondos y recursos.
 Los resultados obtenidos tras auditoría no tienen porqué tener
validez legal frente a terceros, como son las organizaciones públicas y
gobiernos. Simplemente estos informes de auditoría resultantes
son útiles para la propia compañía.

Profesionales encargados de la realización de una

auditoría interna
La labor auditora supone una preparación específica en distintas materias.
De este modo, los procesos de evaluación de departamentos y procesos
como el contable, el legal y normativo, el control de riesgos laborales y
otros muchos exige a profesionales auditores altamente capacitados.

Al mismo tiempo, la toma de decisiones tras el análisis de la empresa

precisa de un fuerte elemento de independencia y objetividad.

Debido a este punto para la ejecución de este tipo de tareas se cuenta a

menudo con auditores profesionales y procedentes del exterior. Es el
concepto conocido como auditoría externa.

A los mismos la compañía debe ofrecerles total acceso a la documentación

de la empresa, de sus procesos y empleados. El fin es asegurar ofrecer una
imagen fiel y transparente, para que el auditor pueda sacar la conclusión
profesional más cercana a la realidad posible.
En ocasiones las grandes empresas no externalizan este servicio y cuentan
con departamentos de auditoria interna dependientes de la propia cúpula
de la compañía o de un comité de auditoría.

Riesgos que pueden presentarse en

auditoría interna

Al igual que cualquier otra área de la organización, auditoría interna

puede verse expuesta a diferentes riesgos que dificulten, entorpezcan
o hagan ineficiente o insuficiente su labor. A continuación te contamos
sobre algunos de estos riesgos.

El área de auditoría interna cumple un papel clave para el funcionamiento

adecuado de los distintos procesos de una organización, pues entre otras
labores se encarga de vigilar y monitorear que estos se realizan y se
cumplen correctamente, ejerce un control interno.

El objetivo de las auditorías debe ser agregar valor constante a la

empresa y aportar al cumplimiento de sus metas. Así, un auditor
interno tiene la responsabilidad de verificar si los sistemas de gestión que
ha implementado la organización funcionan de manera eficiente y eficaz.
Además, por medio de los informes de su auditoría, debe
presentar cuáles son las falencias, inconformidades y oportunidades
de mejora que tienen estos sistemas.

De esta forma el auditor ayuda a evitar la materialización de riesgos

como fraudes, lavado de dinero, operativos, incumplimientos
normativos, ataques cibernéticos, entre otros, pues recomienda cuáles
son las acciones que se deben tomar y los controles que se deben
ajustar en los sistemas para que esto no suceda.

Sin embargo, como en las demás áreas de la empresa, los auditores

internos pueden estar expuestos a riesgos al momento de realizar su
labor. Esto se conoce como riesgo de auditoría y consiste, en general,
en causas internas y externas que obstaculizan este proceso,
impidiendo muchas veces que se conozcan las vulnerabilidades o fallas
de los sistemas, evitando así que se lleven a cabo mejoras.
¿Qué es el riesgo inherente?

El riesgo inherente es aquel que puede existir de manera intrínseca en

toda actividad. Puede generarse por factores internos o externos y
afectar la rentabilidad y el capital de las empresas. No puede ser
eliminado, por lo cual su identificación debe contemplarse en los
planes de gestión de las compañías.
En las diferentes actividades industriales podemos encontrar riesgos
inherentes propios como:

 En transporte, pueden ser los accidentes en carretera o volcamientos

 En la metalmecánica se pueden presentar quemaduras y contusiones
por golpes
 En la minería se pueden ocasionar derrumbes, explosiones, caídas y
atrapamiento
 En las auditorías siempre está latente el riesgo de errores en los saldos
de una cuenta

¿Cómo identificar los riesgos inherentes y por qué es

importante medirlos?

Antes de la ejecución de cualquier proceso empresarial, los riesgos

inherentes se deben reconocer en la etapa de planeación. Recorriendo
paso a paso su desarrollo y haciendo preguntas acerca de todo lo que
pueda pasar o suceder se avanza en su identificación.
Existen varios métodos para identificar los riesgos inherentes, como
estos 3:

1. Se debe tener la información actualizada que más se pueda acercar a la de la

empresa y su control interno, como la cultura empresarial, sus valores y
objetivos, operaciones y plantilla, con el fin de hallar las principales fuentes de
riesgo inherente.
2. Se pueden diseñar, desde la misma dirección de la empresa, sistemas de
evaluación e identificación del origen de los riesgos inherentes, con información
acerca de las características de la actividad de la organización.
3. Se puede también relacionar los riesgos que se hayan identificado con las áreas y
los procesos de la empresa, para conseguir un panorama que identifique el
origen del riesgo inherente y las maneras de evitarlo.

Ya identificados los métodos, se debe proceder con la valoración del

nivel de impacto que pueda desviar el objetivo de la actividad. Estos
con el fin de tener clara la manera en la que se deberá actuar ante cada
uno de los riesgos inherentes que se hayan encontrado.

El nivel de un riesgo inherente se define mediante la cuantificación

del grado de incertidumbre asociado al mismo. Primero se debe
cuantificar la probabilidad del riesgo, y luego de ocurrido se evalúa su
nivel de impacto.
Generalmente los riesgos inherentes se
clasifican por:
 Factores externos
 Políticas y normas
 Estrategias, metas y métodos de trabajo
 Área financiera
 Control interno
 Características de la empresa, compañía u organización
 Recursos humanos y otros

Cuando se identifican las áreas y sus riesgos inherentes, se procede

con una selección más específica en relación con cada actividad. Por
ejemplo, el recurso humano se expone a múltiples riesgos inherentes
como:

 Riesgo ergonómico
 Riesgos biológicos o químicos
 Riesgo físico o mecánico
 Riesgo relacionado con la seguridad vial
 Trabajo con pantallas que afecta el sentido de la vista
 Riesgo de trabajo por turnos y en horario nocturno
 Riesgo ambiental (clima o espacios naturales)
 Riesgos psicológicos
 Videoconferencias, entre otros.
¿Cómo se debe actuar ante estos riesgos inherentes?

Todos los riesgos inherentes no son negativos. Se deben gestionar con

planeación para transformarlos en oportunidades que entreguen
resultados positivos. Algunos de estos riesgos se pueden evitar, y otros
asumir parcial o totalmente.
Cuando se asumen los riesgos inherentes, se debe minimizar su
probabilidad de ocurrencia con el objetivo de reducir su nivel de
impacto y lograr los objetivos de manera óptima. De esta forma, se
transforma el riesgo inherente en residual.
En la gestión de riesgos inherentes al negocio se deben contemplar
planes de gestión mediante programas de transferencia y métodos de
reducción y control. También análisis sobre el nivel de cobertura
existente mediante pólizas de seguros.
Algunos de los riesgos de auditoría INTERNA son:
 Desconocimiento por parte del auditor de la norma en la que
va a basar su auditoría (ISO 9001, ISO 27001, ISO 31000, entre
otras). Esto tiene que ver con una mala o incompleta aplicación de
las metodologías utilizadas para las auditorías, lo que posibilita que
no se realice correctamente según lo dispuesto por un estándar.

 Falta de apoyo y de confianza por parte de la alta

dirección. Como en todo lo que tiene que ver con la gestión de
riesgos, sin el apoyo, compromiso e interés de la alta dirección es
difícil que el auditor pueda demostrar la importancia de la labor que
realiza y lo beneficiosa que es para el mejoramiento continuo de
los procesos y por ende, para la continuidad de la empresa.

 Mala planeación de la auditoría. Es importante que el auditor

planifique el proceso adecuadamente, considerando los procesos y
personas a auditar, así como el tiempo necesario que le tomará
hacerlo. Si hay una buena planeación, no debería haber
incumplimientos en el plazo límite para terminarla.
  Planes rígidos e inmodificables. Si bien se debe seguir un plan
de auditoría, el auditor debe estar en la capacidad de adaptarlo o
ajustarlo según las condiciones que se presenten durante el
proceso porque estamos en un entorno en constante cambio y
todo puede ser susceptible de cambiar, incluso las áreas o
procesos a auditar.

 Dificultad o incapacidad para auditar algunas fuentes de

riesgo. Puede ser por falta de conocimiento o porque el auditor
prefiere ser cauteloso y tomar distancia de algunas áreas o procesos
para evitar discordias o señalamientos, sin embargo, no debe ser así
porque independiente del área y sus líderes, se debe evaluar y auditar
para garantizar que está funcionando correctamente y no representa
posibles riesgos para la empresa.

 Verificación y control ineficientes. Para realizar una buena

auditoría es fundamental estar al tanto de las regulaciones y temas
legales que le son aplicables a la empresa.

 Comunicación inoportuna. Los resultados de la auditoría y

recomendaciones a aplicar no solo deben presentarse de manera
clara y precisa, también debe hacerse oportunamente, en el menor
tiempo posible y no meses después para que la alta dirección y los
encargados de las áreas auditadas puedan tomar acción
rápidamente y prevenir así que las fallas identificadas faciliten la
materialización de riesgos.

Adicional a los anteriores, otros riesgos que pueden enfrentar los

auditores internos son: no contar con personal calificado en sus
equipos, enfocarse en encontrar culpables y no en la prevención, realizar
una investigación y evaluación incompleta, falta de información y de
recursos, entre otros.