GUÍA DE AUDITORÍA INTERNA.

FASE IV: EMISIÓN DE INFORMES Y SEGUIMIENTO

 FASE IV: EMISIÓN DE INFORMES Y SEGUIMIENTO

Marco normativo

Los informes emitidos por auditoría interna son el producto final de su trabajo, y son los
entregables que se distribuye a las partes interesadas, razón por la cual es fundamental
que tanto su estructura como su contenido reflejen un nivel adecuado de calidad así como
el cumplimiento de las Normas Internacionales de Auditoría, según lo establece la norma
2060-Informe a la Alta Dirección y al Consejo, que define las directrices sobre los reportes
que debe presentar el auditor de la siguiente forma:

“El director de auditoría interna debe informar periódicamente a la Dirección y al Consejo

sobre la actividad de auditoría interna en lo referido al propósito, autoridad, responsabilidad
y desempeño de su plan. El informe también debe incluir exposiciones al riesgo y
cuestiones de control significativas, cuestiones de gobierno y otros asuntos necesarios o
requeridos por la Alta Dirección y el Consejo”.

De otra parte, la Guía de implementación 2060-1, en los numerales 1 al 6, recomienda los

siguientes puntos:

1. “El propósito del informe es proporcionar garantía a la Alta Dirección y al Consejo

con respecto a los procesos de gobierno (Norma 2110), la gestión de riesgos (Norma
2120), y el control (Norma 2130). La Norma 1111 estipula que “El director de
auditoría interna debe comunicarse e interactuar directamente con el Consejo de
Administración”.

2. El Director de auditoría interna (DAI) debe ponerse de acuerdo con el Consejo

sobre la frecuencia y la naturaleza de los informes de auditoría interna (por
ejemplo, propósito, autoridad, responsabilidad) y desempeño. El informe sobre
desempeño debe estar relacionado con el último plan aprobado para informar a
la Alta Dirección y al Consejo sobre las modificaciones más importantes surgidas
del plan de auditoría; sobre planes de personal y presupuestos aprobados; sobre
las razones de las modificaciones, y las medidas que se han implementado o
necesitan implementarse. La Norma 1320 estipula que “el director de auditoría
interna debe comunicar los resultados del programa de aseguramiento y mejora
de la calidad a la Alta Dirección y al Consejo”.

3 . La exposición al riesgo y los problemas de control significativos son, a juicio del

director de auditoría interna, f actores que podrían afectar negativamente a la
organización y su habilidad para alcanzar sus objetivos estratégicos,
operacionales, de cumplimiento y los relacionados con los informes financieros.

www.auditool.org 1
 Un problema significativo puede acarrear una exposición inaceptable a riesgos
internos y externos, incluyendo factores relacionados con la debilidad de control,
fraude, irregularidades, actos ilegales, pérdida, inefectividad, conflictos de interés y
viabilidad financiera.

4. La Alta Dirección y el Consejo toman las decisiones sobre las medidas apropiadas a
adoptar en caso de problemas significativos. Pueden decidir asumir el riesgo de
no corregir la situación informada debido a su costo u otras consideraciones. El
Consejo debe estar informado de las decisiones tomadas por la Alta Dirección
sobre los problemas significativos derivados del trabajo

5. Cuando el Director de Auditoría Interna considere que la Alta Dirección ha aceptado

un nivel de riesgo que pueda ser inaceptable para la organización, debe tratar este
asunto con la Alta Dirección, tal y como se establece en la Norma 2600. El Director
de Auditoría Interna debe entender los motivos de la Alta Dirección para tomar sus
decisiones, identificar la causa de las discrepancias que puedan surgir, y determinar
si la Alta Dirección tiene autoridad para aceptar el riesgo. Las discrepancias pueden
estar relacionadas con la probabilidad y exposición potencial de riesgos, el
entendimiento del apetito de riesgo, el costo y nivel de control. Preferentemente, el
Director de Auditoría Interna debe resolver las discrepancias con la Alta Dirección.

6. Si el Director de Auditoría Interna y la Alta Dirección no llegan a un acuerdo, la Norma

2600 indica que el DAI debe informar al Consejo. Si fuera posible, el DAI y la Alta
Dirección expondrán conjuntamente las razones del conflicto. Para asuntos
relacionados con informes financieros, el DAI debe considerar tratarlos con los
auditores externos de la manera oportuna”.

De esta manera, presentamos en esta guía los lineamientos que debe contener todo
informe de auditoría interna, así como una descripción de cada una de las etapas que
debe cubrir un informe antes de su emisión oficial, y los aspectos a considerar para
comunicar los resultados a la Gerencia, al Comité de Auditoría y la fase de seguimiento
a las recomendaciones propuestas.

Generalidades

El modelo de informe de auditoría definido para presentar los resultados del trabajo realizado
por la Unidad de Auditoría Interna debe ser previamente informado a la Gerencia de la
organización, de tal forma que la Administración conozca la estructura y comprenda la razón
de ser de cada uno de los puntos que conforman el informe, entre ellos el rating a emplear
para calificar el resultado de la supervisión, y que se evalúan las recomendaciones que tenga
la Administración sobre el mismo, de tal forma que se tenga un modelo acordado entre las
partes.

www.auditool.org 2
Es importante acordar con la Administración si los informes de auditoría serán emitidos en
su totalidad por el área de auditoría, y especificar aquellos casos en que se pueden
entregar informes que son el insumo de un informe oficial emitido por algún otro proveedor
de aseguramiento en el ámbito de la empresa, de modo que quede evidente el grado de
involucración real del área de auditoría interna.

Estructura del Informe

Al orientarnos en la estructura del informe iniciaremos con el informe detallado. Este tipo
de informe se caracteriza principalmente por el nivel de especificidad y descripción de las
oportunidades de mejora identificadas durante la etapa de ejecución de las pruebas, por
lo que debe ser elaborado por el auditor encargado de ejecutar la auditoría.

De otra parte, el informe debe referenciar tanto los riesgos como la calificación de los
mismos para cada una de las situaciones observadas, por lo cual es importante que el
auditor defina la calificación partiendo de la matriz de riesgos del entendimiento de
proceso, sobre los cuales se realizó el diseño de las pruebas.

Por otra parte, la Guía de implementación 2410-1 establece, entre otras, las siguientes
recomendaciones en relación con la estructura del informe:

1. “Si bien el formato y contenido de las comunicaciones finales del trabajo varían
según la organización o el tipo de trabajo, deben contener, como mínimo, el
prepósito, alcance y resultados del trabajo.

2. Las comunicaciones finales del trabajo pueden incluir antecedentes y resúmenes.

Los antecedentes pueden identificar las unidades y actividades revisadas de la
organización y proporcionar información aclaratoria. También pueden incluir las
situaciones de las observaciones, conclusiones y recomendaciones de informes
anteriores. Asimismo, pueden indicar si el informe se refiere a un trabajo planificado
o si responde a una petición. Los resúmenes son una expresión equilibrada del
contenido de la comunicación del trabajo.

3. La explicación del propósito describe los objetivos del trabajo y puede informar al
lector sobre las razones que motivaron la realización del trabajo y lo que se espera
conseguir.

4. La explicación del alcance identifica las actividades auditadas y puede incluir

información de soporte, por ejemplo, el período revisado y las actividades
relacionadas que no fueron revisadas, con el fin de definir los límites del trabajo.
También puede describir la naturaleza y extensión del trabajo realizado.

www.auditool.org 3
 5. Los resultados incluyen observaciones, conclusiones, opiniones, recomendaciones
y planes de acción.

6. Las observaciones son exposiciones pertinentes de los hechos. El auditor interno

comunica aquellas observaciones que sean necesarias para apoyar sus
conclusiones y recomendaciones, o para evitar equívocos derivados de éstas. El
auditor interno puede comunicar las observaciones o recomendaciones que sean
menos significativas de manera informal.

7. Las observaciones y recomendaciones del trabajo surgen de un proceso de

comparación entre el criterio (el estado correcto) y la condición (el estado actual).
Si el auditor interno encuentra diferencias entre ambos, ésta será la base para
elaborar su informe. Cuando la condición cumple con el criterio establecido, puede ser
conveniente comunicar ese desempeño satisfactorio. Las observaciones y
recomendaciones se basan en los siguientes atributos:

 Criterio: los estándares, medidas, o supuestos utilizados al hacer una evaluación

y verificación (el estado correcto),
 Condición: la evidencia, los hechos que el auditor interno encuentra durante
la realización de su trabajo (el estado actual),
 Causa: La razón de la diferencia entre las situaciones esperadas y las reales,
 Efecto: el riesgo o exposición en que se encuentra la organización u otros
terceros, debido a que la condición no coincide con el criterio (el impacto de
la diferencia). Para determinar el grado de riesgo o exposición, el auditor interno
tiene en cuenta el efecto que las observaciones y recomendaciones puedan
tener sobre las operaciones y los estados financieros de la organización.

8. Las conclusiones y opiniones son las evaluaciones que hace el auditor interno sobre
los efectos de las observaciones y recomendaciones de la actividad revisada.
Generalmente, las conclusiones y opiniones sitúan a las observaciones y
recomendaciones en una perspectiva basada en todas sus implicaciones. Identifican
claramente las condiciones del trabajo en el informe de auditoría.

Las conclusiones pueden referirse a todo el ámbito del trabajo o solo a aspectos
determinados. Aunque no están limitadas a ellos, pueden abarcar aspectos tales como
la determinación de si los objetivos y metas de programas y operaciones están en
consonancia con los de la organización, si estos últimos se están cumpliendo y si la
actividad revisada funciona como se pretende. Una opinión puede incluir una
evaluación general de controles o puede estar limitada a determinados controles o
aspectos del trabajo.”

www.auditool.org 4
Teniendo en cuenta las anteriores indicaciones, tanto de la Norma como de la Guía de
Implementación, se sugiere integrarlo con los siguientes aspectos al momento de construir
los informes:

 Todos los aspectos citados en los informes deben contar con la respectiva
documentación soporte, de forma que en ningún momento se cuestione el trabajo
de los auditores por falta de evidencia.
 La redacción en los informes debe ser lo suficientemente concreta, concisa y puntal,
de modo que el lector no tenga dudas de interpretación.
 El lenguaje del informe debe ser claro; cualquier persona debe poder entenderlo.
 Los informes deben mantener la objetividad, por lo cual los hechos descritos no
deben hacer referencia a las personas.
 Los informes deben ser emitidos oportunamente, es decir, una vez es finalizada
la auditoría su informe oficial es entregado en un tiempo razonable.
 En el caso no recomendable de que el informe sea emitido sin planes de acción,
se deberá registrar la fecha de compromiso de la Administración para su
correspondiente emisión.
 La estructura del informe debe permitir al lector identificar en primer plano las
situaciones de mayor relevación y/o criticidad, y por último aquellas acciones que
si bien requieren mejora, tienen impacto dentro de la organización que no es alto.
Esto llevará a que el lector centre su atención en el informe desde el inicio de su
lectura. Debido a esto, se deberá calificar la importancia relativa de las conclusiones.
 En caso de que durante la realización de la auditoría se hayan tenido limitaciones
para la ejecución del trabajo, se sugiere incluir un párrafo que especifique dicha
situación, lo cual servirá para salvaguardar al auditor en relación con el trabajo
adelantado, dejando evidencia de las posibles limitaciones al alcance del trabajo
efectuado.
 Las oportunidades de mejora identificadas deben incluir en su descripción lo
siguiente: cuándo, qué, quién (cargos), cómo, dónde y cuántos (es decir, de la
muestra seleccionada qué porcentaje identificamos que presentarán dicha
situación, de forma que la Administración pueda cuantificar el impacto).
 El auditor debe integrar en una misma oportunidad de mejora aquellas situaciones
que son generadas por una misma debilidad de control.
 Las recomendaciones planteadas por el auditor deben ser tanto correctivas como
preventivas y deben enfocarse en subsanar las situaciones identificadas, puesto que,
si bien pretenden corregir la situación observada, también se orientan a la causa
que genera la situación. De igual forma, las recomendaciones deberán ser
proyectadas luego de un análisis previo de costo-beneficio para la organización; sin
embargo, lo anterior no implica que se omitan recomendaciones porque se considera
que tienen un alto costo para la organización, pues dicha decisión es de la
Administración.

www.auditool.org 5
  Las recomendaciones pueden ser proyectadas partiendo del conocimiento de la
industria.
 Dado que los informes de auditoría no estarán acabados hasta que la última de las
recomendaciones asumidas por la Administración haya sido implementada, en los
informes sobre supervisión de los planes de acción debe informarse de las nuevas
fechas prevista para atender los planes de remediación establecidos, así como las
razones que justifiquen los incumplimientos.

Análisis del informe detallado

Es importante destacar que, según las distintas metodologías definidas en los Manuales de
Auditoría, se pueden definir diversos criterios de análisis; sin embargo, en cualquiera de
ellos la discusión del informe debe hacerse de forma oportuna y sin condicionantes de
ningún tipo para los auditados, es decir, en el menor tiempo posible después de finalizado
el trabajo de campo, y dejando plena libertad para que nos aporten su opinión, pero
tampoco sin dejarnos influir, sin razones objetivas, por su posición respecto del trabajo
realizado. Estamos hablando de análisis, no de negociación.

 Los informes detallados son primero revisados por el líder de auditoría y/o Gerente
antes de la primera presentación preliminar al responsable del proceso auditado. El
líder o Gerente de Auditoría podrá solicitar ampliar algunos comentarios, realizar
preguntas que complementen los resultados, solicitar modificaciones de redacción
o solicitar retirar del informe alguna situación descrita que considera que no se
debería incluir.

 Una vez se han realizado los ajustes solicitados por el Gerente de Auditoría, se debe
proceder a la programación de una reunión de presentación oficial del Informe
borrador de Auditoría con el responsable del proceso auditado. Para dicha reunión
se sugiere invitar adicionalmente a los funcionarios clave del proceso, de tal forma
que se puedan conocer sus apreciaciones y se pueda cerrar dicha discusión
formalmente antes de la emisión oficial del informe; también se debe realizar un acta
de finalización que registre la aceptación o divergencias con respecto al trabajo
realizado, la cual se adjunte a la documentación del proyecto.

 Es importante que el auditor genere espacios de discusión, de forma que pueda

conocer las apreciaciones del auditado, revisar aquellos puntos en que el auditado
solicita aclaración y que previamente no fueron revisados, para que al momento de
presentar los resultados al Comité de Auditoría las dos partes estén de acuerdo, y
se generen espacios de confianza con el auditado, que lleven a tener la visión de
una auditoría como un ente de apoyo y no de señalamiento.

www.auditool.org 6
  De otra parte, durante las discusiones con el responsable del proceso auditado se
debe hacer una solicitud formal de los planes de acción a seguir para cada una de
las oportunidades de mejora identificadas, propendiendo por que el informe
definitivo sea emitido con sus correspondientes planes de acción.

 Los resultados de la revisión de los informes se sugieren que sean archivados como
parte de los papeles de trabajo, evidenciando los niveles de revisión y ajustes de
los mismos.

En la solicitud de los planes de acción es fundamental explicar al auditado que los mismos
deberán contener como mínimo los siguientes puntos:

 Fechas de implementación.
 Responsable de realizarlos, lo cual incluye la descripción del cargo y el nombre del
funcionario.
 Actividad a realizar, es decir, cuál será la acción a seguir con la cual se aprovechará
la oportunidad de mejora identificada.

Al recibir los planes de acción por parte del dueño del proceso, y previamente a su
inclusión en el informe definitivo, los mismos deberán ser objeto de un proceso de revisión
por parte de auditoría, de tal forma que se pueda comunicar al auditado si se estima que
los planes de acción corrigen las situaciones observadas o si, por el contrario, deberían
ser reconsiderados nuevamente para poder mejorar sus resultados.

En caso de no ser atendidos los comentarios del área de auditoría, el informe definitivo se
difundirá en los términos decididos por el auditado, pero en la nota de presentación y envío
a las partes interesadas de la organización, auditoría expondrá las reservas que le
sugieran los planes de acción asumidos por el responsable del ente auditado.

Durante la definición de los planes de acción y dados los avances en tecnología que tienen
las organizaciones hoy en día, se pueden recibir respuestas en las que el auditado indique
que el plan de acción es la implementación de un nuevo software o desarrollo tecnológico
en una aplicación, en cuyo caso la fecha de implantación deberá ser asumida por los
responsables de Tecnología de la Información.

Si la fecha estimada para la solución definitiva se demorase en exceso, se recomienda,

cuando ello se estime posible, que el auditor le solicite al dueño del proceso que se valore
la oportunidad de establecer un plan de acción alternativo manual, que dé cubrimiento de
forma temporal a la oportunidad de mejora identificada hasta tanto se implemente la nueva
aplicación, pues no establecer ningún tipo de control alterno deja expuesta a la
organización a la materialización del riesgo identificado.

www.auditool.org 7
Respecto a esto, la norma 2440-Difusión de resultados, establece que el Director de
Auditoría Interna debe difundir los resultados a las partes apropiadas, y la Guía de
Implementación 2440-1 establece en el numeral 4 que “el DEA distribuye las
comunicaciones finales del trabajo a la gerencia de la actividad auditada y a aquellos
miembros de la organización que puedan asegurar que se prestará debida atención a los
resultados del trabajo y s e seguirán las acciones correctivas o se asegurarán de que se
sigan las mismas. Cuando sea apropiado, el Director de Auditoría puede enviar una
comunicación resumida a los miembros de más alto nivel en la organización. Cuando lo
exija el estatuto de auditoría o la política de la organización, el Director de Auditoría Interna
también enviará las comunicaciones a otros interesados o partes afectadas, tales como
los auditores externos”.

De otra parte, los planes de acción deberán ser registrados por el auditor, bien sea en el
software de auditoría o en una base manual que contemple las oportunidades de mejora,
cada una de las recomendaciones (una misma oportunidad de mejora puede tener varias
recomendaciones), el plan de acción definido para cada recomendación, el responsable
de la implementación y la fecha, de tal forma que posteriormente se pueda hacer su
seguimiento.

Informe ejecutivo

Partiendo de lo establecido en la norma 2060 - Informe a la Alta Dirección y al Consejo,

con relación a que el “director de auditoría interna debe informar periódicamente a la Alta
Dirección y al Consejo sobre la actividad de auditoría interna en lo referido al propósito,
autoridad, responsabilidad y desempeño de su plan. El informe también debe incluir
exposiciones al riesgo y cuestiones de control significativas, cuestiones de gobierno y otros
asuntos necesarios o requeridos por la Alta Dirección y el Consejo”, se considera oportuno
que se prepare un informe ejecutivo para el Comité de Auditoría, en que se realice la
exposición de las oportunidades de mejora de mayor impacto y probabilidad, es decir, las
situaciones que en el informe detallado fueron presentadas al inicio.

Para dicho informe se recomienda seguir los siguientes parámetros en su estructura:

 Especificar objetivo, alcance y limitaciones,

 Describir las oportunidades de mejora identificadas,
 Descripción del impacto de las situaciones identificadas,
 Planes de acción,
 Ser sucinto y claro durante la redacción del documento, dado que es el informe
ejecutivo.

www.auditool.org 8
Dicho informe puede ser presentado al Comité de Auditoría, por lo cual se sugiere que se
evalué si, partiendo del mismo, se prepara una presentación gráfica que incluya la
calificación de cada oportunidad de mejora dentro del mapa de riesgos, facilitando así la
atención del lector y/o auditorio.

Así como lo habíamos descrito anteriormente, es fundamental que tanto el auditado como
el Gerente de Auditoría estén previamente de acuerdo en relación con las situaciones a
presentar; sin embargo, en caso de existir diferencias que no fue posible de conciliar en la
etapa de discusión del informe detallado, las mismas deberán ser expuestas al Comité
para que sean ellos quienes definan lo que se debe hacer.

Presentación al Comité de Auditoría

Finalmente, quedaría por referirnos respecto a la presentación al Comité de Auditoría, en

donde adicionalmente a los resultados de cada una de las auditorías realizadas
(oportunidades de mejora de mayor impacto), se debe informar del estado de avance del
plan anual reportando las auditorías aún en fase de ejecución, los cambios ocurridos en
el alcance de las auditorías o en el plan anual para obtener su aprobación, así como los
inconvenientes presentados para el cumplimiento del plan anual, tales como demoras en
la entrega de la información, entrega de información errada y demás.

No obstante, estas últimas situaciones deben ser llevadas al Comité solo cuando han
tenido un proceso de revisión con la Administración y no se ha recibido una respuesta
positiva por parte de la ésta.

Seguimiento a los Planes de Acción

En cuanto a los planes de acción, la norma 2500.A1-Seguimiento del progreso, establece

que “El director de auditoría interna debe establecer un proceso de seguimiento para
vigilar y asegurar que las acciones de la Dirección hayan sido implementadas
eficazmente o que la Alta Dirección haya aceptado el riesgo de no tomar medidas”. De
igual forma, la Guía de implementación 2500.A1-1, establece lo siguiente en los
numerales 1 al 4:

1. “Los auditores internos determinan si la Dirección ha seguido las medidas o

implementado la recomendación. El auditor interno determina si se alcanzaron los
resultados deseados, o si la Dirección o el Consejo de Administración han
asumido el riesgo de no adoptar las medidas o implementar la recomendación.

www.auditool.org 9
 2. El seguimiento es un proceso por el cual los auditores internos evalúan la
adecuación, eficacia y oportunidad de las medidas tomadas por la Dirección con
relación a las observaciones y recomendaciones del trabajo, incluso aquellas
efectuadas por los auditores externos y otros. Este proceso también incluye
determinar si la Alta Dirección o el Consejo de Administración han asumido el riesgo
de no tomar medidas correctivas sobre las observaciones informadas.

3. El estatuto de la actividad de auditoría interna debería definir la responsabilidad del

seguimiento. El director de auditoría interna determina la naturaleza, oportunidad y
alcance del seguimiento, teniendo en cuenta los siguientes factores:

 La relevancia de las observaciones y recomendaciones informadas.

 El grado de esfuerzo y de costos necesarios para corregir la situación informada.
 El impacto que puede derivarse si no se lleva a cabo la acción correctiva.
 El período involucrado.

4. El DEA es el responsable de programar las actividades de seguimiento como parte

de la programación de trabajos realizar. La programación de seguimiento se basa
en el riesgo y la exposición del mismo, así como en el grado de dificultad y cantidad
de tiempo necesario para implementar la acción correctiva”.

De esta manera, el auditor debe contemplar dentro de la definición de su plan anual de

auditoría la realización de un seguimiento a todas aquellas oportunidades de mejora
identificadas previamente, para lo cual se recomienda apoyarse en el registro de dichos
planes bien sea en el software de auditoría o en la base manual de los planes de acción.

Para realizar dicho seguimiento se sugiere solicitar, por medio de una comunicación formal
a la Administración, el estado de implementación de dichos planes según la fecha
establecida, de tal forma que el responsable de Auditoría evalué si inicia un proceso de
seguimiento o si, por el contrario, informa al Comité que éste no se puede iniciar, dado que
no se ha dado cumplimiento a la implementación de los planes de acción.

Finalmente, la fase de seguimiento debe partir tanto del desarrollo de entrevistas como de
la ejecución de pruebas que permitan validar la implementación de los mismos; sin
embargo, el Gerente de Auditoría deberá definir el alcance que tendrá la revisión de dichos
planes de tal forma que pueda asegurar su correcta implementación y, por tanto, una
disminución en el nivel de riesgo identificado.

www.auditool.org 10