Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Marco normativo
Los informes emitidos por auditoría interna son el producto final de su trabajo, y son los
entregables que se distribuye a las partes interesadas, razón por la cual es fundamental
que tanto su estructura como su contenido reflejen un nivel adecuado de calidad así como
el cumplimiento de las Normas Internacionales de Auditoría, según lo establece la norma
2060-Informe a la Alta Dirección y al Consejo, que define las directrices sobre los reportes
que debe presentar el auditor de la siguiente forma:
www.auditool.org 1
Un problema significativo puede acarrear una exposición inaceptable a riesgos
internos y externos, incluyendo factores relacionados con la debilidad de control,
fraude, irregularidades, actos ilegales, pérdida, inefectividad, conflictos de interés y
viabilidad financiera.
4. La Alta Dirección y el Consejo toman las decisiones sobre las medidas apropiadas a
adoptar en caso de problemas significativos. Pueden decidir asumir el riesgo de
no corregir la situación informada debido a su costo u otras consideraciones. El
Consejo debe estar informado de las decisiones tomadas por la Alta Dirección
sobre los problemas significativos derivados del trabajo
De esta manera, presentamos en esta guía los lineamientos que debe contener todo
informe de auditoría interna, así como una descripción de cada una de las etapas que
debe cubrir un informe antes de su emisión oficial, y los aspectos a considerar para
comunicar los resultados a la Gerencia, al Comité de Auditoría y la fase de seguimiento
a las recomendaciones propuestas.
Generalidades
El modelo de informe de auditoría definido para presentar los resultados del trabajo realizado
por la Unidad de Auditoría Interna debe ser previamente informado a la Gerencia de la
organización, de tal forma que la Administración conozca la estructura y comprenda la razón
de ser de cada uno de los puntos que conforman el informe, entre ellos el rating a emplear
para calificar el resultado de la supervisión, y que se evalúan las recomendaciones que tenga
la Administración sobre el mismo, de tal forma que se tenga un modelo acordado entre las
partes.
www.auditool.org 2
Es importante acordar con la Administración si los informes de auditoría serán emitidos en
su totalidad por el área de auditoría, y especificar aquellos casos en que se pueden
entregar informes que son el insumo de un informe oficial emitido por algún otro proveedor
de aseguramiento en el ámbito de la empresa, de modo que quede evidente el grado de
involucración real del área de auditoría interna.
Al orientarnos en la estructura del informe iniciaremos con el informe detallado. Este tipo
de informe se caracteriza principalmente por el nivel de especificidad y descripción de las
oportunidades de mejora identificadas durante la etapa de ejecución de las pruebas, por
lo que debe ser elaborado por el auditor encargado de ejecutar la auditoría.
De otra parte, el informe debe referenciar tanto los riesgos como la calificación de los
mismos para cada una de las situaciones observadas, por lo cual es importante que el
auditor defina la calificación partiendo de la matriz de riesgos del entendimiento de
proceso, sobre los cuales se realizó el diseño de las pruebas.
Por otra parte, la Guía de implementación 2410-1 establece, entre otras, las siguientes
recomendaciones en relación con la estructura del informe:
1. “Si bien el formato y contenido de las comunicaciones finales del trabajo varían
según la organización o el tipo de trabajo, deben contener, como mínimo, el
prepósito, alcance y resultados del trabajo.
3. La explicación del propósito describe los objetivos del trabajo y puede informar al
lector sobre las razones que motivaron la realización del trabajo y lo que se espera
conseguir.
www.auditool.org 3
5. Los resultados incluyen observaciones, conclusiones, opiniones, recomendaciones
y planes de acción.
8. Las conclusiones y opiniones son las evaluaciones que hace el auditor interno sobre
los efectos de las observaciones y recomendaciones de la actividad revisada.
Generalmente, las conclusiones y opiniones sitúan a las observaciones y
recomendaciones en una perspectiva basada en todas sus implicaciones. Identifican
claramente las condiciones del trabajo en el informe de auditoría.
Las conclusiones pueden referirse a todo el ámbito del trabajo o solo a aspectos
determinados. Aunque no están limitadas a ellos, pueden abarcar aspectos tales como
la determinación de si los objetivos y metas de programas y operaciones están en
consonancia con los de la organización, si estos últimos se están cumpliendo y si la
actividad revisada funciona como se pretende. Una opinión puede incluir una
evaluación general de controles o puede estar limitada a determinados controles o
aspectos del trabajo.”
www.auditool.org 4
Teniendo en cuenta las anteriores indicaciones, tanto de la Norma como de la Guía de
Implementación, se sugiere integrarlo con los siguientes aspectos al momento de construir
los informes:
Todos los aspectos citados en los informes deben contar con la respectiva
documentación soporte, de forma que en ningún momento se cuestione el trabajo
de los auditores por falta de evidencia.
La redacción en los informes debe ser lo suficientemente concreta, concisa y puntal,
de modo que el lector no tenga dudas de interpretación.
El lenguaje del informe debe ser claro; cualquier persona debe poder entenderlo.
Los informes deben mantener la objetividad, por lo cual los hechos descritos no
deben hacer referencia a las personas.
Los informes deben ser emitidos oportunamente, es decir, una vez es finalizada
la auditoría su informe oficial es entregado en un tiempo razonable.
En el caso no recomendable de que el informe sea emitido sin planes de acción,
se deberá registrar la fecha de compromiso de la Administración para su
correspondiente emisión.
La estructura del informe debe permitir al lector identificar en primer plano las
situaciones de mayor relevación y/o criticidad, y por último aquellas acciones que
si bien requieren mejora, tienen impacto dentro de la organización que no es alto.
Esto llevará a que el lector centre su atención en el informe desde el inicio de su
lectura. Debido a esto, se deberá calificar la importancia relativa de las conclusiones.
En caso de que durante la realización de la auditoría se hayan tenido limitaciones
para la ejecución del trabajo, se sugiere incluir un párrafo que especifique dicha
situación, lo cual servirá para salvaguardar al auditor en relación con el trabajo
adelantado, dejando evidencia de las posibles limitaciones al alcance del trabajo
efectuado.
Las oportunidades de mejora identificadas deben incluir en su descripción lo
siguiente: cuándo, qué, quién (cargos), cómo, dónde y cuántos (es decir, de la
muestra seleccionada qué porcentaje identificamos que presentarán dicha
situación, de forma que la Administración pueda cuantificar el impacto).
El auditor debe integrar en una misma oportunidad de mejora aquellas situaciones
que son generadas por una misma debilidad de control.
Las recomendaciones planteadas por el auditor deben ser tanto correctivas como
preventivas y deben enfocarse en subsanar las situaciones identificadas, puesto que,
si bien pretenden corregir la situación observada, también se orientan a la causa
que genera la situación. De igual forma, las recomendaciones deberán ser
proyectadas luego de un análisis previo de costo-beneficio para la organización; sin
embargo, lo anterior no implica que se omitan recomendaciones porque se considera
que tienen un alto costo para la organización, pues dicha decisión es de la
Administración.
www.auditool.org 5
Las recomendaciones pueden ser proyectadas partiendo del conocimiento de la
industria.
Dado que los informes de auditoría no estarán acabados hasta que la última de las
recomendaciones asumidas por la Administración haya sido implementada, en los
informes sobre supervisión de los planes de acción debe informarse de las nuevas
fechas prevista para atender los planes de remediación establecidos, así como las
razones que justifiquen los incumplimientos.
Es importante destacar que, según las distintas metodologías definidas en los Manuales de
Auditoría, se pueden definir diversos criterios de análisis; sin embargo, en cualquiera de
ellos la discusión del informe debe hacerse de forma oportuna y sin condicionantes de
ningún tipo para los auditados, es decir, en el menor tiempo posible después de finalizado
el trabajo de campo, y dejando plena libertad para que nos aporten su opinión, pero
tampoco sin dejarnos influir, sin razones objetivas, por su posición respecto del trabajo
realizado. Estamos hablando de análisis, no de negociación.
Los informes detallados son primero revisados por el líder de auditoría y/o Gerente
antes de la primera presentación preliminar al responsable del proceso auditado. El
líder o Gerente de Auditoría podrá solicitar ampliar algunos comentarios, realizar
preguntas que complementen los resultados, solicitar modificaciones de redacción
o solicitar retirar del informe alguna situación descrita que considera que no se
debería incluir.
Una vez se han realizado los ajustes solicitados por el Gerente de Auditoría, se debe
proceder a la programación de una reunión de presentación oficial del Informe
borrador de Auditoría con el responsable del proceso auditado. Para dicha reunión
se sugiere invitar adicionalmente a los funcionarios clave del proceso, de tal forma
que se puedan conocer sus apreciaciones y se pueda cerrar dicha discusión
formalmente antes de la emisión oficial del informe; también se debe realizar un acta
de finalización que registre la aceptación o divergencias con respecto al trabajo
realizado, la cual se adjunte a la documentación del proyecto.
www.auditool.org 6
De otra parte, durante las discusiones con el responsable del proceso auditado se
debe hacer una solicitud formal de los planes de acción a seguir para cada una de
las oportunidades de mejora identificadas, propendiendo por que el informe
definitivo sea emitido con sus correspondientes planes de acción.
Los resultados de la revisión de los informes se sugieren que sean archivados como
parte de los papeles de trabajo, evidenciando los niveles de revisión y ajustes de
los mismos.
En la solicitud de los planes de acción es fundamental explicar al auditado que los mismos
deberán contener como mínimo los siguientes puntos:
Fechas de implementación.
Responsable de realizarlos, lo cual incluye la descripción del cargo y el nombre del
funcionario.
Actividad a realizar, es decir, cuál será la acción a seguir con la cual se aprovechará
la oportunidad de mejora identificada.
Al recibir los planes de acción por parte del dueño del proceso, y previamente a su
inclusión en el informe definitivo, los mismos deberán ser objeto de un proceso de revisión
por parte de auditoría, de tal forma que se pueda comunicar al auditado si se estima que
los planes de acción corrigen las situaciones observadas o si, por el contrario, deberían
ser reconsiderados nuevamente para poder mejorar sus resultados.
En caso de no ser atendidos los comentarios del área de auditoría, el informe definitivo se
difundirá en los términos decididos por el auditado, pero en la nota de presentación y envío
a las partes interesadas de la organización, auditoría expondrá las reservas que le
sugieran los planes de acción asumidos por el responsable del ente auditado.
Durante la definición de los planes de acción y dados los avances en tecnología que tienen
las organizaciones hoy en día, se pueden recibir respuestas en las que el auditado indique
que el plan de acción es la implementación de un nuevo software o desarrollo tecnológico
en una aplicación, en cuyo caso la fecha de implantación deberá ser asumida por los
responsables de Tecnología de la Información.
www.auditool.org 7
Respecto a esto, la norma 2440-Difusión de resultados, establece que el Director de
Auditoría Interna debe difundir los resultados a las partes apropiadas, y la Guía de
Implementación 2440-1 establece en el numeral 4 que “el DEA distribuye las
comunicaciones finales del trabajo a la gerencia de la actividad auditada y a aquellos
miembros de la organización que puedan asegurar que se prestará debida atención a los
resultados del trabajo y s e seguirán las acciones correctivas o se asegurarán de que se
sigan las mismas. Cuando sea apropiado, el Director de Auditoría puede enviar una
comunicación resumida a los miembros de más alto nivel en la organización. Cuando lo
exija el estatuto de auditoría o la política de la organización, el Director de Auditoría Interna
también enviará las comunicaciones a otros interesados o partes afectadas, tales como
los auditores externos”.
De otra parte, los planes de acción deberán ser registrados por el auditor, bien sea en el
software de auditoría o en una base manual que contemple las oportunidades de mejora,
cada una de las recomendaciones (una misma oportunidad de mejora puede tener varias
recomendaciones), el plan de acción definido para cada recomendación, el responsable
de la implementación y la fecha, de tal forma que posteriormente se pueda hacer su
seguimiento.
Informe ejecutivo
www.auditool.org 8
Dicho informe puede ser presentado al Comité de Auditoría, por lo cual se sugiere que se
evalué si, partiendo del mismo, se prepara una presentación gráfica que incluya la
calificación de cada oportunidad de mejora dentro del mapa de riesgos, facilitando así la
atención del lector y/o auditorio.
Así como lo habíamos descrito anteriormente, es fundamental que tanto el auditado como
el Gerente de Auditoría estén previamente de acuerdo en relación con las situaciones a
presentar; sin embargo, en caso de existir diferencias que no fue posible de conciliar en la
etapa de discusión del informe detallado, las mismas deberán ser expuestas al Comité
para que sean ellos quienes definan lo que se debe hacer.
No obstante, estas últimas situaciones deben ser llevadas al Comité solo cuando han
tenido un proceso de revisión con la Administración y no se ha recibido una respuesta
positiva por parte de la ésta.
www.auditool.org 9
2. El seguimiento es un proceso por el cual los auditores internos evalúan la
adecuación, eficacia y oportunidad de las medidas tomadas por la Dirección con
relación a las observaciones y recomendaciones del trabajo, incluso aquellas
efectuadas por los auditores externos y otros. Este proceso también incluye
determinar si la Alta Dirección o el Consejo de Administración han asumido el riesgo
de no tomar medidas correctivas sobre las observaciones informadas.
Para realizar dicho seguimiento se sugiere solicitar, por medio de una comunicación formal
a la Administración, el estado de implementación de dichos planes según la fecha
establecida, de tal forma que el responsable de Auditoría evalué si inicia un proceso de
seguimiento o si, por el contrario, informa al Comité que éste no se puede iniciar, dado que
no se ha dado cumplimiento a la implementación de los planes de acción.
Finalmente, la fase de seguimiento debe partir tanto del desarrollo de entrevistas como de
la ejecución de pruebas que permitan validar la implementación de los mismos; sin
embargo, el Gerente de Auditoría deberá definir el alcance que tendrá la revisión de dichos
planes de tal forma que pueda asegurar su correcta implementación y, por tanto, una
disminución en el nivel de riesgo identificado.
www.auditool.org 10