PG Informes de Auditoria PDF

Guías Complementarias
Guías para la Práctica
Informes de auditoría
Comunicación de los resultados
de un trabajo de aseguramiento
The Institute of Internal Auditors I Global 1 www.globaliia.org I www.theiia.org

Guías para la Práctica / Informes de auditoría
Índice
Resumen ejecutivo .....................................................................................................................3
Introducción ................................................................................................................................5
Desafíos, oportunidades y significatividad para el negocio..............................................5
Pautas generales para informes de auditoría .............................................................................6
Comprendiendo a las partes interesadas/usuarios del informe de auditoría interna .......6
Contenido y estructura del informe ..................................................................................7
Emisión del informe .........................................................................................................9
Consideraciones sobre el estilo de escritura ................................................................. 11
El resumen ejecutivo ....................................................................................................................
................................................................................................................................................. 11
Introducción y alcance del trabajo de auditoría interna .................................................. 13
Conclusiones sobre el trabajo de auditoría interna ........................................................ 13
Resumen de las observaciones significativas ................................................................ 13
Repetición de observaciones de auditorías anteriores .................................................. 14
Elementos del informe de auditoría .......................................................................................... 14
Objetivos y alcance ........................................................................................................ 15
Observaciones ............................................................................................................... 15
Recomendaciones ......................................................................................................... 20
Planes de acción de la administración ........................................................................... 21
Proceso de revisión del informe ............................................................................................... 23
Comunicación de los resultados ............................................................................................... 25
Presentación de los resultados del trabajo: tipos de comunicación ............................... 25
Acciones de seguimiento planificadas por la auditoría interna ................................................. 26
Apéndice A: Normas claves del IIA ......................................................................................... 28
Apéndice B: Glosario ................................................................................................................ 32
Apéndice C: Plantilla de informe de auditoría ........................................................................... 34
Apéndice D: Ejemplos de informes de auditoría ....................................................................... 36
Autores/colaboradores.............................................................................................................. 47

Resumen ejecutivo
A medida que la demanda del valor de las auditorías internas pase de tener una mirada
retrospectiva para adoptar una mirada prospectiva, se espera que los auditores internos se
adapten a métodos innovadores para evaluar y comunicar los resultados de las auditorías
internas. Cuando los resultados del trabajo se comunican de manera efectiva, la dirección
puede tomar acciones correctivas oportunas.
La comunicación oportuna y competente de los resultados de la auditoría interna puede
incrementar la efectividad de la gobernanza y la gestión de riesgos, ofrecer oportunidades
para mejorar procesos e influir para el cambio positivo. Esta Guía para la Práctica se centra
específicamente en comunicar los resultados de una auditoría interna a través de informes
escritos y brinda orientación sobre cómo realizar lo siguiente:
• Identificar los componentes claves de una presentación o un informe efectivo de
auditoría interna.
• Crear y organizar un informe efectivo de auditoría interna escrito.
• Presentar los resultados del trabajo de auditoría interna a las principales partes
interesadas.
•Desarrollar un proceso de seguimiento para monitorear e informar las

acciones correctivas tomadas por la dirección e informar al respecto.
Los resultados del trabajo pueden comunicarse mediante una entrevista de cierre o una
presentación formal, en vez de un informe de auditoría interna tradicional por escrito. El
método para comunicar los resultados puede variar según la estructura de la organización, el
tipo de auditoría interna y las recomendaciones correspondientes. Sin embargo, la
información comunicada no puede dejar de incluir los conceptos claves incluidos en estas
guías. Las pautas para comunicar los resultados del trabajo deben establecerse con el
Consejo y la alta dirección.
A través de estas guías, el auditor interno comprenderá lo siguiente:
• Las partes interesadas tienen necesidades diversas. Los informes escritos pueden
estructurarse para numerosos tipos de destinatarios, o es probable que se necesite
más de un tipo de informe según las necesidades de las partes interesadas.

• Toda comunicación efectiva de auditoría interna debe ser precisa, objetiva,
clara, concisa, constructiva, completa y oportuna para que sea relevante.
• El informe de auditoría interna debe incluir los objetivos, el alcance y los
resultados del trabajo.
• También debe incluir los planes de acción de la administración, ya que, con el paso
del tiempo, estos suelen constituir la sección más consultada del informe. Es
importante asegurarse de que el tono y el cumplimiento de la respuesta prevista sean
congruentes con la significatividad y la urgencia del tema.
• Además, es fundamental llevar a cabo una revisión completa del contenido para
validar la precisión fáctica, verificar la completitud de los informes y garantizar que los
resultados del trabajo y las conclusiones sobre este último estén respaldados por
información suficiente, confiable, pertinente y útil.
• Un resumen ejecutivo conciso puede destacar las buenas prácticas observadas

durante el trabajo, así como todos los pasos que la dirección haya seguido para
mejorar la gobernanza, la gestión de riesgos y los controles internos (ver la
Norma 2410.A2). También es importante incluir descripciones directas y temáticas
de los problemas que, de ser necesario, puedan adaptarse para ser expuestas como
presentación ante la alta dirección o el Consejo.
• El director ejecutivo de auditoría debe validar y aprobar la distribución del informe

a fin de garantizar que llegue a manos de los destinatarios previstos y que se
difunda entre las partes encargadas de asegurar que los resultados reciban la
debida consideración.

Introducción
Los auditores internos deben comunicar los resultados de los trabajos (Norma 2400
[Comunicación de resultados]). Sin embargo, el formato, el contenido y los tiempos de estas
comunicaciones pueden variar según la organización y el tipo de trabajo. Acordar un plan de
comunicación con las partes interesadas durante la planificación del trabajo permitirá decidir
cómo, cuándo y a quiénes se comunicarán los resultados provisionales y finales. Los
informes escritos de auditoría interna constituyen un medio formal para notificar las
observaciones de auditoría, los riesgos relacionados y las áreas por mejorar a la alta
dirección, al Consejo y a otras partes interesadas. Muchas actividades de auditoría interna
comunican los resultados de los trabajos mediante informes, que incluyen los objetivos del
trabajo, el alcance, las conclusiones pertinentes, las recomendaciones y los planes de acción
de la administración. Esta guía se centra específicamente en comunicar los resultados de un
trabajo de aseguramiento mediante un informe de auditoría interna por escrito.
Desafíos, oportunidades y significatividad para el negocio
Un informe de auditoría bien redactado permite a la alta dirección, al Consejo y a otras partes
interesadas comprender mejor la gobernanza, la gestión de riesgos y los procesos de control
de la actividad auditada. También ofrece la oportunidad de señalar los medios por los cuales
el impacto posible de un riesgo significativo puede mantenerse en un nivel aceptable y de
reconocer el desempeño satisfactorio del cliente del trabajo. Además, un informe de auditoría
bien redactado representa una oportunidad para promocionar la actividad de auditoría interna,
dado que permite demostrar, por un lado, los completos conocimientos de los auditores
internos en materia de procesos de negocio de la organización y, por otro lado, la voluntad de
asociarse con la dirección y formular recomendaciones para mejorar.
Los informes de auditoría desactualizados, imprecisos y de mala calidad pueden desacreditar
la importancia de las tareas que se llevan a cabo en el marco de la actividad de auditoría
interna. Al redactar el informe, los auditores internos deben procurar evitar estos posibles
problemas:
• Errores y omisiones significativos.
• Lenguaje demasiado técnico o con demasiada jerga.
• Observaciones y recomendaciones mal formuladas.

• Falta de reconocimiento del desempeño satisfactorio.
• Omisión o falta de explicación de las limitaciones del alcance.
• Emisión de informes tardía o para las partes inadecuadas.
Estos problemas pueden evitarse si el informe de auditoría se prepara minuciosamente y se

lo revisa antes de publicarlo. Esta Guía para la Práctica tiene en cuenta los desafíos, las
oportunidades y la significatividad para la empresa que implica la redacción del informe de
auditoría.
Pautas generales para informes de auditoría
Comprendiendo a las partes interesadas/usuarios del informe de auditoría interna

Los informes de auditoría interna deben tener en cuenta la diversidad de destinatarios a
quienes están dirigidos y las necesidades particulares de información de estos últimos. Los
destinatarios del informe pueden variar según la estructura de la organización, el tipo de
auditoría interna y las recomendaciones correspondientes. El director ejecutivo de auditoría
(DEA) debe establecer pautas para distribuir los informes al Consejo y a la alta dirección
(como el gerente general, el director financiero, el abogado, etc.). Los informes de auditoría
interna suelen distribuirse a las siguientes partes interesadas:
• Responsables del proceso y dirección.

• Alta dirección.
• Consejo.
• Otras partes interesadas, según sea necesario (por ejemplo, auditores externos).
Según la Norma 2440 (Difusión de resultados), “el director ejecutivo de auditoría debe difundir
los resultados a las partes apropiadas”. Suele existir una lista de distribución estándar, que
debe ajustarse de acuerdo con el trabajo de auditoría interna en particular. Entre los
destinatarios, puede incluirse a gerentes que tengan responsabilidad directa sobre la actividad
auditada, así como a personas con la autoridad necesaria para realizar acciones en función de
las recomendaciones de la auditoría interna. El DEA —o persona designada— podrá

coordinar con la dirección para elaborar una lista de distribución adecuada, a fin de dar la
consideración debida a los resultados. Es responsabilidad última del DEA realizar la
comunicación final del trabajo y decidir a quién se difundirá y de qué manera.
Los informes de auditoría interna son documentos confidenciales y deben distribuirse solo
cuando sea necesario conocerlos. Pueden redactarse versiones resumidas de los informes si
se planea compartir cierta información con otras entidades o unidades de la organización.
Pueden crearse distintos formatos dependiendo del destinatario (por ejemplo, el Consejo
puede recibir un resumen ejecutivo en lugar del informe detallado completo).
Además, en algunos sectores —como en el ámbito público—, los informes pueden estar
disponibles para el público. Con respecto a la distribución de los informes de auditoría
interna fuera de la organización, la Norma 2440.A2 establece lo siguiente: “A menos de que
exista obligación legal, estatutaria o de regulaciones en contrario, antes de enviar los
resultados a partes ajenas a la organización, el director ejecutivo de auditoría debe: evaluar
el riesgo posible para la organización; consultar con la alta dirección y/o el consejero legal,
según corresponda; y controlar la difusión, restringiendo la utilización de los resultados”.
Contenido y estructura del informe

El estilo y el formato de los informes de auditoría interna por escrito varían según la
organización. La estructura del informe de auditoría interna puede ser congruente con las
plantillas y las prácticas de comunicación que tenga la organización, reflejar su cultura y/o
incorporar sugerencias de la alta dirección y del Consejo.
Según la Norma 2420 (Calidad de la comunicación), “las comunicaciones deben ser

precisas, objetivas, claras, concisas, constructivas, completas y oportunas”. El contenido y el
nivel de detalle deben estar sujetos a las necesidades de la audiencia. En este sentido,
algunas organizaciones pueden considerar apropiado utilizar diferentes formatos/versiones
que se personalicen según los destinatarios. Analice estas preguntas sobre la audiencia a la
hora de personalizar los informes:
• ¿Quiénes son los lectores más importantes del informe?

• ¿Cuánto saben acerca de la actividad auditada?
• ¿Cómo prevén usar el informe?
• ¿De qué manera afectan al lector los problemas identificados?

La estructura del informe suele incluir los siguientes elementos:
1) Título del informe de auditoría.

2) Objetivo (propósito del trabajo).
3) Alcance (actividades auditadas, naturaleza y extensión del trabajo, limitaciones del
alcance).
4) Antecedentes (breve descripción de la actividad que se está auditando o
explicación del proceso).
5) Reconocimiento (aspectos positivos del área o la actividad auditada, o
valoración de la cooperación).
6) Valoración del trabajo (posicionamiento, resultado [satisfactorio, marginal,
insatisfactorio, aprobado, desaprobado]).
7) Conclusiones (opinión/evaluación resumida del trabajo en la que se suelen
resaltar las observaciones fundamentales).
8) Observaciones (también denominadas 'hallazgos'). Cada observación debe
enumerarse en orden de importancia —agrupadas por actividad, de
corresponder— y suelen incluir lo siguiente:
a. Título y referencia.
b. Calificación de criticidad (medida de la significatividad del riesgo: alto,
medio, bajo, crítico, significativo).
c. Enunciación de los hechos —condición, criterios, causa,
efecto/riesgo—, que pueden respaldarse con ejemplos, datos,
análisis, tablas o cuadros pertinentes.
d. Recomendaciones de auditoría (acciones correctivas para mitigar el riesgo
que se identifique en la observación).
e. Planes de acción de la administración (acción correctiva, propietario de la
actividad y fecha límite para su finalización).
9) Lista de distribución.
Manifestar que los trabajos son “realizados en conformidad con las Normas
Internacionales para el Ejercicio Profesional de la Auditoría Interna” (Norma 2430)
es apropiado solo si los resultados del programa de aseguramiento y mejora de la
calidad respaldan dicha afirmación.

En el Apéndice C, se incluye una plantilla de informe de auditoría y en el Apéndice D se

consignan ejemplos de informes de auditoría simplificados.
Emisión del informe

Los resultados del trabajo deben comunicarse según el plan de comunicación acordado.
Una comunicación oportuna permite a la dirección implementar las acciones correctivas
necesarias. La publicación oportuna de los informes escritos puede depender de los
siguientes factores:
• Tipo de trabajo de auditoría.

o En los trabajos de auditoría regulares —como los que se reflejan en el plan
anual de auditoría interna—, el DEA establece el calendario de publicaciones
según las políticas y los procedimientos definidos. Una buena práctica para
garantizar que tanto la comunicación de los resultados del trabajo como la
ejecución de los planes de auditoría interna sean oportunas consiste en
publicar el informe preliminar pocos días después de las reuniones de cierre y
el informe escrito final dentro de las dos semanas de publicado el documento
preliminar.
o En trabajos especiales —como los que solicita la dirección fuera del plan de
auditoría interna para abordar un problema urgente—, la publicación de un
informe suele tener prioridad respecto de los trabajos regulares. Esto es
esencial para resolver situaciones de mayor riesgo de forma eficaz.
o En trabajos de auditoría interna largos y complejos donde se auditan múltiples
actividades —como es el caso de las sucursales o unidades con muchos
departamentos—, pueden publicarse informes provisionales o actualizaciones
de estado tras la finalización de cada actividad auditada. Así, pueden
analizarse las observaciones de inmediato y aplicarse las acciones correctivas.
• Consideraciones sobre comunicaciones provisionales.

o En el caso de las observaciones de alto riesgo, el DEA suele debatir oralmente
los temas —lo cual es prudente— mucho antes de que se prepare el informe
formal por escrito. Además de esto, el DEA también puede autorizar la
publicación de un informe provisional para la dirección a fin de que se puedan

implementar planes de acción de inmediato, antes de publicar el informe

escrito final.
o En las observaciones de riesgo medio, puede redactarse un informe
provisional dirigido a la dirección para que las acciones sean más
oportunas. En estas observaciones, el informe final por escrito también
puede publicarse siguiendo el procedimiento de los trabajos regulares de
auditoría interna.
o En las observaciones de bajo riesgo, pueden considerarse otras
alternativas, como informar las observaciones oralmente al área
responsable o publicar un comunicado separado dirigido a la dirección.
• Destinatario del informe.

o Como ya se ha señalado, durante el trabajo de auditoría interna, debe existir
una comunicación continua —verbal y/o escrita— con los propietarios del
proceso de la actividad y la dirección. Además de los informes provisionales, los
auditores internos pueden considerar la opción de que la dirección analice un
borrador con observaciones y recomendaciones preliminares. Esta práctica
permite forjar una alianza con la organización y reduce los errores, los
malentendidos y las discrepancias en las observaciones del trabajo.
o La frecuencia y el tipo de comunicación con el Consejo varían de acuerdo con
la organización. Pueden presentarse informes de auditoría interna o
resúmenes ejecutivos por escrito al Consejo una vez finalizados todos los
trabajos de auditoría interna. En su defecto, puede programarse una
actualización de estado en intervalos regulares —cada tres meses—, o según
sea necesario, donde se destaquen los resultados de la auditoría interna. Estos
informes suelen contener las observaciones de auditoría interna más
significativas —el resumen ejecutivo del informe de auditoría suele ser
suficiente—, la conclusión de la auditoría y el progreso del seguimiento que
realiza la dirección.
o Además, pueden redactarse informes para auditores externos, otras partes
interesadas y/o partes externas, como entes reguladores, según sea necesario.
Por ejemplo, los auditores externos y/o las partes externas pueden solicitar un
resumen de los trabajos de auditoría interna que se hayan completado en un

período específico. Además, los informes de auditoría interna para el gobierno y

el sector público pueden ser registros públicos según la ubicación geográfica
y/o la industria de la organización y tal vez requieran un enfoque diferente.
El informe de auditoría interna por escrito debe emitirse de manera oportuna una vez
concluido el trabajo de auditoría y no debe contener sorpresas.
Consideraciones sobre el estilo de escritura

Al redactar el informe de auditoría interna, deben tenerse en cuenta las necesidades de los
lectores. Los resultados deben presentarse de forma organizada. Por ejemplo, las
observaciones deben disponerse por orden cronológico o de importancia, o agruparse por
tema, causa o efecto/riesgo. Para lograrlo, la redacción debe ser simple, deben mantenerse al
mínimo los tecnicismos, y las oraciones deben ser breves y concisas. Utilizar cuadros,
gráficos, diagramas, tablas e ilustraciones permite destacar los datos más relevantes. El tono
del informe debe ser constructivo, no de confrontación.
El estilo de escritura debe seguir los protocolos de la organización para sus

comunicaciones escritas. Pueden encontrarse guías adicionales en Auditoría Interna:
Servicios de aseguramiento y consultoría1, Sawyer’s Guide for Internal Auditors2, y Clarity,
Impact, Speed: Delivering Audit Reports That Matter.3
El resumen ejecutivo
El deseo de la parte interesada de seguir leyendo un informe suele depender de la

impresión que deja el resumen ejecutivo, el cual está diseñado para brindar un panorama
claro y conciso de los resultados del trabajo y para comunicar información crítica de manera
eficaz, con un mensaje persuasivo y bien fundado dirigido a los interesados.
1 Kurt F. Reding y otros. Tercera edición, pp. 14-26

2 Fundación de Investigaciones del Instituto de Auditores Internos (IIARF), vol. 2, pp. 238-277, 2012
3 Sally F. Cutler, The IIARF Handbook Series, 2011

El resumen ejecutivo suele destacar las buenas prácticas observadas durante la auditoría, así
como todos los pasos significativos que la dirección haya seguido para mejorar la
gobernanza, la gestión de riesgos y los controles internos de la organización. El resumen no
debe contener tecnicismos ni metodologías de auditoría interna. Esta información puede
mencionarse en el informe detallado en caso de que el lector la necesite para comprender los
datos presentados con mayor profundidad.
Entre los componentes claves de un resumen ejecutivo, suelen encontrarse los siguientes:
• Introducción, objetivos, alcance y resultados del trabajo.

• Conclusiones para la actividad o los procesos auditados.
• Resumen de observaciones significativas o mensajes claves.
• Problemas relacionados con la dirección vinculados con la aplicación de acciones
correctivas, fechas límite y/o situaciones donde el DEA concluye que la dirección
aceptó un nivel de riesgo que puede no ser aceptable para la organización.

Introducción y alcance del trabajo de auditoría interna

La introducción incluye información básica sobre la entidad, la actividad o el proceso
auditado. El alcance puede indicar el período cubierto, el tipo de auditoría interna que se
realiza —trabajo de aseguramiento, trabajo de consultoría o auditoría de seguimiento—,
riesgos específicos, sistemas pertinentes y/o los departamentos o las funciones que se
hayan evaluado.
Conclusiones sobre el trabajo de auditoría interna

La Norma 2410.A1 establece lo siguiente: “La comunicación final de los resultados del trabajo
debe incluir las conclusiones aplicables, así como también las recomendaciones aplicables
y/o los plantes de acción. Se debe proporcionar la opinión del auditor interno cuando resulte
apropiado. Una opinión debe considerar las expectativas del Consejo, la alta dirección y otras
partes interesadas y debe estar soportada por información suficiente, fiable, relevante y útil”.
La conclusión a la que lleguen los auditores internos sobre la condición de la actividad o del
proceso auditado permite al lector comprender la importancia de las observaciones. El
impacto económico causado por debilidades o irregularidades en el control interno también
puede utilizarse para transmitir la significatividad de las observaciones. En la Guía para la
Práctica del IIA “Formulación y Expresión de Opiniones de Auditoría Interna”, se incluyen
guías sobre las opiniones de la auditoría interna.
Resumen de las observaciones significativas

El resumen ejecutivo suele contener observaciones significativas o mensajes claves del
informe de auditoría interna. También puede incluir inquietudes relacionadas con la dirección
en cuanto a la aplicación de acciones correctivas. Suele ser útil incluir un cuadro que
enumere los hallazgos en forma de tabla, donde se describa la cantidad de
observaciones/recomendaciones por actividad auditada, de acuerdo con su importancia.
Las observaciones claves pueden resumirse de manera positiva (haciendo hincapié en las
mejoras) o negativa (haciendo hincapié en los puntos débiles). Se recomienda que la auditoría
interna reconozca el desempeño satisfactorio cuando corresponda y que muestre la tendencia
—positiva o negativa— respecto de auditorías previas de la misma actividad.

Repetición de observaciones de auditorías anteriores

El resumen ejecutivo puede repetir observaciones de una auditoría anterior. Además,
también puede incorporarse información sobre planes de acción de auditorías previas que
no se hayan completado, o cuyas fechas de implementación hayan vencido. En esos casos,
se recomienda incluir información histórica sobre las observaciones repetidas y los planes
de acción de la administración.
Elementos del informe de auditoría

La Figura 1 ilustra el flujo de los procesos relacionados con los elementos de auditoría.
Norma 2200 Norma 2300 Norma 2400 Norma 2500

Planificar Realizar Comunicar Supervisar
trabajo trabajo resultados progreso
Documento de planificación Borrador preliminar Informe de auditoría Seguimiento del

del informe estado de los
planes de acción
Objetivos y alcance de la
Resumen ejecutivo
Programa de administración
ºObjetivos
auditoría ºAlcance
interna ºResultados
*Observación
ºCondición
ºCriterios
ºCausa Vinculación
ºEfecto
ºValoración Detalle Seguimiento
*Recomendación
Detalle
*Observación Seguimiento
*Recomendación
Auditores internos *Respuesta de la dirección
*Respuesta
Comunicación
*Respuesta
de la dirección
Dirección ºPlan de acción
ºPersonal responsable
ºFecha límite
Figura 1: Flujo de información sobre los elementos del informe de auditoría.

Objetivos y alcance
Los objetivos y el alcance del informe de auditoría interna deben ser coherentes con el plan
de trabajo aprobado. Esta sección suele describir el propósito, los riesgos, el alcance y la
limitación del alcance —en caso de existir— de la auditoría. A continuación, en el
Documento A, se muestra un ejemplo.
La Norma 2410 (Criterios para la comunicación) establece lo siguiente: “Las

comunicaciones deben incluir los objetivos, alcance y resultados del trabajo”.
Documento A: Ejemplo de objetivos y alcance
Objetivos y alcance
El objetivo de nuestra auditoría ha sido garantizar que se disponga de

procedimientos y procesos adecuados para justificar en forma apropiada los
ingresos del complejo deportivo Sportsplex, y que el contratista haya presentado
todos los informes obligatorios ante la dirección de Parques y Recreación.
Esta auditoría incluyó el complejo deportivo Sportsplex, que pertenece a la

ciudad y que es administrado por el contratista a través de contratos de gestión
celebrados con la ciudad.
No incluyó ni transacciones ni actividades en otros departamentos o centros que

estén bajo la dirección de Parques y Recreación (limitación del alcance).
La auditoría abarcó los ingresos correspondientes al año calendario 2015.

Nuestro trabajo de campo finalizó el 15 de febrero de 2016.
Observaciones
Las observaciones (también denominadas ‘hallazgos’), las recomendaciones y los planes de
acción de la administración (respuestas) conforman la parte central del informe de auditoría
interna por escrito. Estos elementos mejoran la comunicación entre los auditores internos y
las partes interesadas, que se vinculan como se ilustra en la Figura 2, de la página 16. El
punto de partida utilizado para elaborar la observación es la “condición”. La meta consiste en
formular una recomendación o un plan de acción de la dirección basada en una condición y
una causa raíz.

Guía para la Práctica / Informes de auditoría
Observación Recomendación Plan de acción de la

dirección
Efecto real Efecto posible
Recomendación Plan de acción

Condición basada en basado en
una condición una condición
Condición Brecha
Causa
Recomendación Plan de acción

Causa originaria basada en basado en
una causa originaria una causa originaria
Valoración de la
observación
Figura 2: Observación, recomendación y plan de acción de la dirección.
Los planes de acción basados en una causa raíz son ideales, ya que mitigan la causa
subyacente de la condición que dio lugar a la observación. Los auditores internos deben
comprender el significado de condición, causa y causa raíz, así como los efectos relacionados
y las recomendaciones, para emitir recomendaciones basadas en una causa raíz. Este
concepto se ilustra en la Figura 3 de la página 17.

Recomendación basada
Efecto real Condición en la condición
Manchas en el Manchas en el Limpiar las manchas

empapelado empapelado
Recomendación
Efecto real Causa basada en la causa
Piso mojado en el Tubería rota Reparar tubería

armario
Recomendación
Efecto posible Causa originaria
basada en la causa
originaria
Futuros daños en Falta de inspección debido Implementar proceso de
edificio y muebles a vencimiento del contrato gestión de contratos
de mantenimiento
Figura 3: Ejemplos de condición, efecto, causa, causa raíz y recomendación.
Las observaciones incluyen la condición, los criterios, la causa, el efecto y la valoración.

Deben redactarse de tal manera que la parte correspondiente entienda y acepte la evaluación
del riesgo que ha realizado la auditoría interna, así como su impacto en los objetivos de la
organización. Además, deben basarse en evidencia, ser breves, estar organizadas y explicar
con palabras sencillas cómo se comparó la condición con un conjunto de criterios. Las
recomendaciones, que se explican en la siguiente sección, deben brindar una solución
práctica y factible para mitigar los riesgos identificados en las observaciones y, así, generar
una respuesta positiva por parte del cliente del trabajo.

Las observaciones incluyen los siguientes elementos:
• Condición: Evidencia fáctica identificada durante el transcurso del trabajo (lo que
existe). La condición es el elemento clave que el auditor interno tiene en cuenta y que
puede medirse y observarse.
• Criterios: Normas, medidas o expectativas utilizadas para realizar una evaluación y/o
verificar una observación (lo que debería existir). Los criterios se usan para comparar y
evaluar las condiciones existentes, y pueden consistir en políticas escritas,
procedimientos, leyes, reglamentos y/o pautas. Los criterios también pueden ser
prácticas establecidas en la organización, expectativas basadas en el diseño del
control e, incluso, procedimientos de sentido común que puedan no estar
documentados formalmente y que deban ser evaluados según la opinión profesional
del auditor interno.
Los auditores internos deben definir los criterios adecuados o el marco de referencia
que permitirán evaluar la actividad auditada (consultar la Norma 2210.A3 para ver
guías adicionales). La elección de los criterios adecuados permite al auditor interno
llegar a conclusiones apropiadas y, en consecuencia, brindar un aseguramiento
significativo a la alta dirección y al Consejo. Algunos ejemplos de criterios
adecuados son los siguientes:
• Internos (políticas y procedimientos).

• Externos (leyes y regulaciones).
• Prácticas destacadas (mejores prácticas de la industria, guías
profesionales, medidas del desempeño fundamentales).
Al definir los criterios adecuados para la auditoría interna, es importante tener en

cuenta los objetivos del trabajo, que son establecidos por la auditoría interna según
una evaluación de riesgo de la actividad que se va a analizar (consultar la
Norma 2210, Objetivos del trabajo).

• Causa: Razón que subyace en la diferencia entre los criterios y la condición (por qué
existe una diferencia). Responde las preguntas: “¿Qué elemento permite que exista la
condición?” y “¿Por qué se produjo la condición?”. Es esencial que la auditoría interna
trabaje con la dirección para identificar la causa raíz de la brecha.
El solo hecho de solucionar el problema no resuelve el factor que lo produjo ni mejora

la gobernanza general, ni el riesgo ni el entorno de control. Si se halla y se aborda la
causa raíz de manera adecuada, se reducirá —y también, idealmente, se eliminará—
la futura recurrencia de la condición.
• Efecto: Riesgo o exposición encontrada cuando la condición no coincide con los

criterios (consecuencia de la diferencia). Al determinar el grado de riesgo o exposición,
los auditores internos consideran el efecto que las observaciones del trabajo pueden
tener sobre las operaciones de la organización y/o el proceso de información
financiera. Los efectos pueden ser existentes o posibles.
o Los efectos existentes (reales) son fácticos y se observan como resultado de la
condición.
o Los efectos posibles son exposiciones donde aún no han ocurrido efectos
reales ni se los ha hallado.
Además de las observaciones y recomendaciones de auditoría interna, los riesgos

identificados deben documentarse en el informe de auditoría, junto con el impacto,
para aportar claridad al cliente del trabajo y a las partes interesadas acerca del
problema.
• Valoración: Componente de la conclusión. Puede ser una herramienta de

comunicación efectiva para transmitir la importancia de cada observación y puede
asistir tanto a la dirección, al priorizar sus planes de acción, como a los auditores
internos, al priorizar el seguimiento. Considerar las valoraciones individuales de la
observación dentro del informe suele tener un impacto en la conclusión general del
trabajo (como ya se mencionó en la sección titulada “Conclusiones sobre el trabajo de
auditoría interna”). Cuando se utilizan valoraciones, se deben definir claramente los
criterios utilizados y se los debe aplicar de manera coherente en todos los informes de
auditoría interna para trabajos de aseguramiento.

Para ver un ejemplo de cómo comunicar las observaciones, consulte el Documento B que se
presenta a continuación.
Documento B: Ejemplo de observaciones
N.o 1: Ingresos insuficientemente declarados

Valoración: Baja
Observación
El informe de ingresos anuales generados en el complejo deportivo
Sportsplex correspondiente a 2015 no incluyó ingresos por concesión ni
ingresos por sociedad —RUSH Soccer—, que ascendían a
$242.890. De acuerdo con los contratos de gestión del contratista, este último
debe presentar un informe detallado donde se incluya la totalidad de los ingresos
en bruto que recibió el contratista —Administrador— por el año calendario anterior,
que, asimismo, debe estar certificado por el director financiero o por el director
ejecutivo del contratista para constatar su precisión. El informe detallado deberá
incluir concesiones y otros ingresos que haya percibido el contratista. Como los
montos estaban alejados de los umbrales de participación en los ingresos
($850.000 para el complejo deportivo Sportsplex), el proceso de información de
ingresos fue bastante informal y no muy preciso. Por lo tanto, el informe anual de
ingresos fue incompleto y presentó omisiones para el año calendario.
El contrato de administración requiere que las concesiones se notifiquen utilizando el
25% de los ingresos de concesión reales o de los ingresos de concesión
proyectados, el monto que resulte mayor.
Recomendaciones
Las recomendaciones son sugerencias de los auditores internos para corregir las condiciones e
identificar su causa y, así, evitar que se repitan (o que se creen nuevas condiciones). Las
recomendaciones ofrecen una manera eficaz de abordar las brechas identificadas entre la
condición y los criterios.
Las recomendaciones se dividen en dos categorías. Puede ser adecuada una
combinación de recomendaciones basadas en una condición con otras basadas en una
causa raíz, dependiendo de cada observación.

• Recomendaciones basadas en una condición: Ofrecen una solución provisional

para corregir la condición actual (por ejemplo, eliminar un acceso inadecuado).
• Recomendaciones basadas en una causa: Detallan las acciones necesarias para
impedir que la condición/observación vuelva a ocurrir. Las recomendaciones basadas
en la causa raíz suelen ser soluciones a más largo plazo y pueden llevar más tiempo
(por ejemplo, crear e implementar una política de revisión de accesos).
Aunque muchas actividades de auditoría interna incluyen recomendaciones en el

informe preliminar, estas pueden reemplazarse por acciones acordadas si se alinean
con los planes de acción de la administración. Para ver un ejemplo de cómo comunicar
las recomendaciones, consulte el Documento C que se presenta a continuación.
Documento C: Ejemplo de recomendaciones
Recomendación
La dirección de Parques y Recreación debe realizar lo siguiente:
1.1 Elaborar una plantilla para que el contratista presente el informe con los
ingresos anuales detallados que incluirían la totalidad de ingresos, en
especial, las concesiones y los patrocinios.
1.2 Revisar el informe de ingresos anuales detallado que presentó el
contratista para asegurar que las cifras notificadas estén completas y
sean razonables. Cualquier discrepancia debe resolverse con el
contratista de manera inmediata.
Planes de acción de la administración

De acuerdo con la Norma 2410.A1, las recomendaciones y/o los planes de acción deben
incluirse en la comunicación final de los resultados del trabajo. Las acciones que hayan sido
iniciadas por la dirección durante el trabajo de auditoría interna pero antes de publicarse el
informe escrito pueden reconocerse en la comunicación final del trabajo.

Los planes de acción que surjan de las recomendaciones de los auditores internos tienen el
potencial de transformar los procesos de negocio y ayudar a la organización a alcanzar sus
metas. Los planes de acción son efectivos cuando se diseñan y ejecutan de tal manera que
se aborda la causa raíz. Es fundamental que el cliente del trabajo valide el plan de acción
para asegurarse de que se aborden las cuestiones importantes de manera efectiva, y que al
mismo tiempo se respeten los objetivos de la organización. Aunque los auditores internos
pueden ser expertos en gobernanza, gestión de riesgos y controles internos, no pueden
asumir responsabilidades gerenciales por los planes de acción ni sostener que conocen el
negocio mejor que el cliente del trabajo.
Una buena práctica consiste en crear un informe preliminar (también denominado 'memo de
auditoría', 'planilla de observaciones' o 'remito con comentarios de auditoría') como
herramienta para comunicarse con la alta dirección y los directores de línea, y mejorar el
proceso de trabajo. Podría incluir una versión preliminar de la condición, los criterios, la causa,
el efecto y las recomendaciones. Ese informe puede ser útil para comenzar un debate
constructivo que permita hallar soluciones razonables —acciones acordadas—, incluso en las
primeras etapas del trabajo de auditoría interna. Si las condiciones son críticas, la dirección
puede abordarlas antes de que otras áreas de la organización se vean afectadas.Trabajando
junto con los auditores internos, la dirección presenta planes de acción basados en las
observaciones y las recomendaciones de la auditoría interna, que incluyen lo siguiente:
• Acción acordada: Las acciones que realizará la dirección para corregir la condición y
las causas actuales con el fin de prevenir futuras repeticiones. Por lo general, los
planes de acción de la administración se correlacionan con las recomendaciones de la
auditoría interna. Si la dirección no está de acuerdo con la observación o con los
hechos identificados por la auditoría interna, o bien pueden brindarse más detalles
para llegar a un acuerdo, o bien la dirección debe dar una explicación fundamentada
para discutir y lograr una solución.
• Personal responsable: Identifica a la persona o al grupo responsable por la acción.
Puede ser el propietario de la actividad o del proceso, un director o la alta dirección.

• Fecha límite para el plan de acción: Fecha propuesta para completar el plan de
acción. El DEA debe asegurarse de que el calendario propuesto sea adecuado para
el nivel de riesgo.
Si el DEA encuentra inconvenientes con la dirección al establecer acciones correctivas y

plazos, y no puede resolverlos tras haberlos derivado a la alta dirección, debe tratar el tema
con el Consejo para poder resolverlo. Estos inconvenientes pueden estar relacionados con
la suficiencia del plan de acción de la dirección, el plazo para realizar acciones o la
clasificación o la descripción de la observación. En el Documento D que se presenta a
continuación, se muestra un ejemplo de comunicación de los planes de acción de la
administración.
Documento D: Ejemplo de planes de acción de la administración
Plan de acción
1.1 Se elaboró una plantilla y se la entregó al contratista. Se requiere que este la
utilice para presentar los informes de ingresos que incluyan todo tipo de
ingresos.
1.2 El director de Parques y Recreación revisará cada año todos los informes
de ingresos que haya presentado el contratista.
Empleado responsable
Director de Parques y Recreación
Fecha límite
15 de abril de 2016
Proceso de revisión del informe
Como se señala en la Norma 2440 (Difusión de resultados), el DEA es responsable de

revisar y aprobar la comunicación final del trabajo antes de su emisión. Este paso es
importante para garantizar que el trabajo se haya realizado adecuadamente y que las
recomendaciones sean congruentes con los objetivos de negocio de la organización.

El DEA revisa y aprueba la comunicación final del trabajo antes de su publicación y

decide a quién y cómo se difundirá para que los resultados sean tenidos en cuenta.
Aunque el proceso de revisión varía dependiendo del tamaño de la actividad de auditoría
interna, el DEA —o persona designada— debe establecer uno para validar las
observaciones del informe.
De acuerdo con la cantidad de miembros del personal de auditoría interna, el proceso de
revisión puede incluir los siguientes pasos:
• Revisar los registros del trabajo para garantizar lo siguiente:

o Que la tarea se haya realizado en consonancia con el alcance de la auditoría,
los objetivos del trabajo y las Normas (cuando se aclare que se actúa de
conformidad con ellas).
o Que las observaciones y las recomendaciones se presenten con
claridad y que estén respaldadas por evidencia suficiente, confiable,
pertinente y útil.
• Redactar el informe de auditoría interna con la colaboración del equipo de auditoría
interna.
• Validar el informe provisional y enviarlo al DEA —o persona designada— para su
revisión.
• El DEA —o persona designada— revisa el informe provisional y lo vuelve a enviar
al equipo de auditoría interna en caso de que haya cuestiones que requieran ser
aclaradas.
• El DEA —o persona designada— autoriza la comunicación de observaciones a la
dirección para obtener feedback antes de publicar el informe final de auditoría interna
por escrito.
• Tras revisar y acordar con la dirección los planes de acción y las fechas de
finalización, el DEA —o persona designada— autoriza la emisión del informe final
de auditoría.
• El DEA continúa siendo el responsable general de las comunicaciones del trabajo
final, aun cuando delegue las responsabilidades de revisión.

Comunicación de resultados
Una parte constitutiva e importante del trabajo de auditoría interna es la presentación de la

labor realizada y de los resultados obtenidos. En consecuencia, se requiere una preparación
meticulosa, dado que la difusión del trabajo de auditoría final refleja la labor de los auditores
internos ante la alta dirección, el Consejo y otras partes interesadas, y puede, asimismo,
utilizarse como referencia para trabajos de aseguramiento y/o consultoría futuros. Según lo
establecido en la Norma 2440.A1, “el director ejecutivo de auditoría es responsable de
comunicar los resultados finales a las partes que puedan asegurar que se dé a los resultados
la debida consideración”.
Presentación de los resultados del trabajo: tipos de comunicación

Existen Normas que establecen requisitos relativos a la difusión de resultados (ver
Norma 2410 [Criterios para la comunicación] y Norma 2420 [Calidad de la comunicación]). Sin
embargo, no se requiere un modelo definitivo para presentar los resultados de trabajos de
auditoría interna y/o informes de auditoría escritos. Las organizaciones pueden utilizar
formatos diversos y variados; no obstante, en la mayoría de las presentaciones e informes se
aplican lineamientos generales. Dichas presentaciones y/o informes deben cumplir con lo
siguiente:
• Garantizar que estén incluidos los objetivos, el alcance y los resultados del trabajo.
• Ser claros, concisos y fáciles de leer y/o comprender.
• Contener información precisa y completa que sea presentada de manera objetiva,
constructiva y oportuna.
• Garantizar que las conclusiones y los resultados del trabajo se apoyen en
información que sea suficiente, confiable, pertinente y útil, basada en análisis y
evaluaciones apropiadas.
• Relacionar el objetivo del trabajo realizado con los objetivos estratégicos de la
organización.
• Identificar y analizar el origen de los problemas para apoyar las recomendaciones y
los planes de acción a fin de mejorar el negocio (cuando sea procedente).

Los medios por los cuales se distribuyen los informes y los resultados finales de los
trabajos de auditoría interna también pueden variar; sin embargo, por lo general se los
envía a través de sistemas seguros de correo electrónico. Normalmente, para las
presentaciones orales —en particular, durante los intercambios de ideas sobre
observaciones y recomendaciones con la dirección del cliente del trabajo—, se utiliza
material en papel o documentos impresos.
En el Apéndice C, se incluye una plantilla de informe de auditoría y en el Apéndice D se

consignan ejemplos de informes de auditoría simplificados.
Acciones de seguimiento planificadas por la auditoría interna
De acuerdo con la Norma 2500 (Seguimiento del progreso), “el director ejecutivo de
auditoría debe establecer y mantener un sistema para vigilar la disposición de los resultados
comunicados a la dirección”. Si la dirección no actúa de conformidad con los planes de
acción acordados, los resultados del trabajo de auditoría interna serán de poca utilidad para
la organización. Según la Norma 2500.A1, el director ejecutivo de auditoría debe establecer
un proceso de seguimiento para asegurar que los planes de acción se hayan implementado
de manera efectiva o que la alta dirección haya aceptado el riesgo de no tomar medidas.
El seguimiento del plan de acción se realiza a través de la actividad de auditoría interna. Una
de las mejores prácticas consiste en crear una planilla o un sistema de seguimiento que
incluya la observación de auditoría, el plan de acción, el personal responsable y las fechas de
finalización del objetivo. Una vez que se completen las acciones correctivas, se cierra la
observación de auditoría, se genera un análisis de antigüedad para todas las observaciones
abiertas y vencidas, y se notifica a la dirección según sea necesario. El seguimiento y análisis
de antigüedad también es una buena herramienta para compartir con la alta dirección y con el
Consejo.
Las actividades de seguimiento pueden llevarse a cabo en intervalos de tiempo específicos o

en forma permanente. En el primer caso, el DEA puede programar tareas específicas en el

plan de auditoría interna anual a fin de hacer el seguimiento de planes de acción incompletos
o vencidos de años anteriores. En cambio, cuando las actividades de seguimiento se realizan
en forma permanente, el proceso de seguimiento suele llevarse a cabo todos los meses o
cada tres meses y se compone de tres pasos: recopilar información, verificar que se haya
completado el plan de acción y notificar los resultados al cliente de trabajo, a la alta dirección
y, en forma periódica, al Consejo (en ciertos casos, puede ser necesario presentar informes
ante los organismos de control).
• Recopilar información: Los auditores internos a cargo del proceso de seguimiento

deben recopilar información de la dirección para conocer el estado de los planes de
acción (es decir, determinar cuáles han sido completados, cuáles están en curso,
cuáles aún no se implementaron —total o parcialmente— y cuáles están vencidos).
• Verificar que se hayan completado los planes de acción: En el caso de los planes
de acción que según la dirección se hayan implementado, los auditores internos
deben verificar que las observaciones y los riesgos asociados que surgieron
originalmente sean mitigados de manera apropiada. La verificación puede efectuarse
ya sea para todos los planes de acción completados o bien en forma selectiva, según
la significatividad del riesgo.
o En aquellos casos en que la dirección determine que ciertos planes de acción
dejaron de ser necesarios, el DEA debe considerar el caso junto con la alta
dirección. El DEA debe comunicar al Consejo toda cuestión irresuelta (ver
Norma 2600 [Comunicación de la aceptación de los riesgos]).
Existen varias herramientas en el mercado que facilitan el proceso de seguimiento y permiten

a la auditoría interna utilizar el flujo de trabajo desde la evaluación de riesgos, hasta la
presentación de informes y el seguimiento del plan de acción. A modo ilustrativo, el flujo de
trabajo podría permitir el envío automático de correos electrónicos cuando un plan de acción
se aproxima a su fecha de finalización propuesta. Los auditores internos no deben perder de
vista que el principal objetivo del proceso de seguimiento consiste en asegurar que las
acciones acordadas se hayan implementado y estén funcionando de manera efectiva.

Apéndice A: Normas claves del IIA

El Marco Internacional para la Práctica Profesional (MIPP) describe las siguientes Normas
Internacionales para el Ejercicio Profesional de la Auditoría Interna con respecto a la
notificación de los resultados de las auditorías.
Norma 2210 del IIA: Objetivos del trabajo
Deben establecerse objetivos para cada trabajo.
2210.A3: Se requieren criterios adecuados para evaluar el gobierno, la gestión de riesgos y

los controles Los auditores internos deben cerciorarse de que la dirección y/o el Consejo
han establecido criterios adecuados para determinar si los objetivos y metas han sido
cumplidos. Si fuera apropiado, los auditores internos deben utilizar dichos criterios en su
evaluación. Si no fuera apropiado, los auditores internos deben identificar criterios de
evaluación adecuados junto con la dirección y/o el Consejo.
Interpretación
Los tipos de criterios pueden incluir los siguientes:
 Internos (políticas y procedimientos de la organización)
 Externos (leyes y regulaciones impuestas por órganos estatutarios)
 Prácticas líderes (guía profesional o del sector)
Norma 2400 del IIA: Comunicación de resultados
Los auditores internos deben comunicar los resultados de los trabajos.
Norma 2410 del IIA: Criterios para la comunicación
Las comunicaciones deben incluir los objetivos, alcance y resultados del trabajo.
2410.A1: La comunicación final de los resultados del trabajo debe incluir las conclusiones
aplicables, así como también las recomendaciones aplicables y/o los planes de acción. Se
debe proporcionar la opinión del auditor interno cuando resulte apropiado. Una opinión debe
considerar las expectativas del Consejo, la alta dirección y otras partes interesadas y debe
estar soportada por información suficiente, fiable, relevante y útil.

Interpretación
Las opiniones en los trabajos de auditoría pueden ser clasificaciones (ratings), conclusiones
u otras descripciones de los resultados. Un trabajo de auditoría puede estar relacionado con
controles sobre un proceso específico, riesgo o unidad de negocio. La formulación de
opiniones al respecto requiere de la consideración de los resultados del trabajo y su
importancia.
2410.A2: Se alienta a los auditores internos a reconocer en las comunicaciones del
trabajo cuando se observa un desempeño satisfactorio.
Norma 2420 del IIA: Calidad de la comunicación
Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas,

completas y oportunas.
Interpretación
Las comunicaciones precisas están libres de errores y distorsiones, y son fieles a los hechos
que describen. Las comunicaciones objetivas son justas, imparciales y sin desvíos, y son el
resultado de una evaluación justa y equilibrada de todos los hechos y circunstancias
relevantes. Las comunicaciones claras son fácilmente comprensibles y lógicas, evitan el
lenguaje técnico innecesario y proporcionan toda la información significativa y relevante. Las
comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles
superfluos, redundancia y uso excesivo de palabras.
Las comunicaciones constructivas son útiles para el cliente del trabajo y la organización, y
conducen a mejoras que son necesarias. A las comunicaciones completas no les falta nada
que sea esencial para los receptores principales e incluyen toda la información y
observaciones significativas y relevantes para apoyar a las recomendaciones y conclusiones.
Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes,
dependiendo de la significatividad del tema, lo cual permite a la dirección tomar la acción
correctiva apropiada.
Norma 2430 del IIA: Uso de “Realizado de conformidad con las Normas Internacionales
para el Ejercicio Profesional de la Auditoría Interna”
Manifestar que los trabajos son “realizados en conformidad con las Normas Internacionales
para el Ejercicio Profesional de la Auditoría Interna” (Norma 2430) es apropiado solo si los

resultados del programa de aseguramiento y mejora de la calidad respaldan dicha afirmación.
Norma 2440 del IIA: Difusión de resultados
El director ejecutivo de auditoría debe difundir los resultados a las partes apropiadas.
Interpretación
El director ejecutivo de auditoría debe revisar y aprobar la comunicación final del trabajo
antes de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación. El
director ejecutivo de auditoria retiene la responsabilidad última, aunque delegue estas tareas.
2440.A1: El director ejecutivo de auditoría es responsable de comunicar los resultados finales

a las partes que puedan asegurar que se dé a los resultados la debida consideración.
2440.A2: A menos de que exista obligación legal, estatutaria o de regulaciones en

contrario, antes de enviar los resultados a partes ajenas a la organización, el director
ejecutivo de auditoría debe:
• Evaluar el riesgo potencial para la organización.
• Consultar con la alta dirección y/o el consejero legal, según corresponda.
• Controlar la difusión, restringiendo la utilización de los resultados.
Norma 2500 del IIA: Seguimiento del progreso
El director ejecutivo de auditoría debe establecer y mantener un sistema para vigilar la

disposición de los resultados comunicados a la dirección.
2500.A1: El director ejecutivo de auditoría debe establecer un proceso de seguimiento para

vigilar y asegurar que las acciones de la dirección hayan sido implantadas eficazmente o
que la alta dirección haya aceptado el riesgo de no tomar medidas.
Norma 2600 del IIA: Comunicación de la aceptación de los riesgos
Cuando el director ejecutivo de auditoría concluya que la dirección ha aceptado un nivel de

riesgo que pueda ser inaceptable para la organización, debe tratar este asunto con la alta
dirección. Si el director ejecutivo de auditoría determina que el asunto no ha sido resuelto, el
director ejecutivo de auditoría debe comunicar esta situación al Consejo.

Interpretación
La identificación del riesgo aceptado por la dirección puede observarse a través de un

trabajo de aseguramiento o consultoría, a través del seguimiento del progreso sobre las
acciones tomadas por la dirección como resultado de anteriores trabajos, o a través de otros
medios. El director ejecutivo de auditoría no tiene la responsabilidad de resolver el riesgo.

Apéndice B: Glosario4
Actividad de auditoría interna
Un departamento, división, equipo de consultores, u otro/s profesional/es que proporciona/n

servicios independientes y objetivos de aseguramiento y consulta, concebidos para agregar
valor y mejorar las operaciones de una organización. La actividad de auditoría interna ayuda
a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado
para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y
gobernanza.
Consejo
Cuerpo de gobernanza de más alto nivel de una organización (por ejemplo: junta directiva,
consejo supervisor o administradores, patronato, directorio) que tiene la responsabilidad de
dirigir y/o supervisar las actividades y al que la alta dirección rinde cuentas. Aunque el
funcionamiento del Consejo varía entre jurisdicciones y sectores, generalmente el Consejo
incluye a miembros que no son parte de la dirección. Si no existe Consejo, la palabra
“Consejo” se refiere a un grupo o persona encargada de la gobernanzade la organización.
Además, el “Consejo” en las Normas puede referirse a un comité u otro cuerpo en el que el
órgano de gobernanza haya delegado ciertas funciones (por ejemplo, comité de auditoría).
Director Ejecutivo de Auditoría (DEA)
Director ejecutivo de auditoría se refiere a la función de una persona en un puesto de alta

jerarquía responsable de la gestión efectiva de la actividad de auditoría interna de acuerdo
con el estatuto de auditoría interna y los elementos obligatorios del Marco Internacional para
la Práctica Profesional. El director ejecutivo de auditoría y las personas a su cargo tendrán las
certificaciones y cualificación apropiadas. El nombre del puesto específico y/o las
responsabilidades del director ejecutivo de auditoría pueden variar según la organización.
Objetivos del trabajo
Declaraciones generales establecidas por los auditores internos que definen los
logros pretendidos del trabajo.
4 https://global.theiia.org/certification/Public Documents/Glossary.pdf

Opiniones de los trabajos
La valoración, conclusión, y/u otra descripción de los resultados de un trabajo de auditoria

interna individual, relacionados con los objetivos y el alcance del trabajo.
Riesgo
La posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los

objetivos. El riesgo se mide en términos de impacto y probabilidad.
Servicios de aseguramiento
Examen objetivo de evidencias con el propósito de proveer una evaluación independiente de

los procesos de gestión de riesgos, control y gobernanza de una organización. Por ejemplo:
trabajos financieros, de desempeño, de cumplimiento, de seguridad de sistemas y de
diligencia debida.
Servicios de consultoría
Actividades de asesoramiento y servicios relacionados, proporcionadas a los clientes, cuya

naturaleza y alcance se acuerdan con los mismos, con el objetivo de añadir valor y mejorar
los procesos de gobernanza, gestión de riesgos y control de una organización, sin que el
auditor interno asuma responsabilidades de gestión. Algunos ejemplos son la orientación,
el asesoramiento, la facilitación y la formación.
Trabajo
Una asignación específica de auditoría interna, tarea o actividad de revisión, tal como auditoría
interna, revisión de autoevaluación de control, examen de fraude, o consultoría. Un trabajo puede
comprender múltiples tareas o actividades concebidas para alcanzar un grupo específico de
objetivos relacionados.

Apéndice C: Plantilla de informe de auditoría
Resumen Ejecutivo
Objetivos:
Objetivos específicos del trabajo de auditoría interna que se relacionan con los objetivos del cliente.
Alcance:
Alcance del trabajo con respecto a los objetivos según lo mencionado más arriba. El alcance y
los objetivos deben estar en consonancia con las normas pertinentes.
Antecedentes:
Información sobre los antecedentes relacionados con la actividad que está en revisión.
Conclusión:
Resumen de los resultados del trabajo y conclusiones de los objetivos de la auditoría.
Opinión de la auditoría interna:
Opinión de la auditoría acerca del riesgo y del entorno de control correspondientes al proceso que está
en revisión.
Respuesta de la dirección:
La dirección formulará un plan de acción detallado para abordar las observaciones del trabajo.

Detalles de la revisión
1. NOMBRE DE LA OBSERVACIÓN (Impacto del riesgo)
Descripción de la observación, es decir, situación actual dentro del

Descripción
proceso que está en revisión y explicación de las normas a partir de las
cuales se mide la observación (condición, criterios).
Describir la razón que subyace en la diferencia entre los criterios y la

Causa
condición.
Identificar los riesgos o la exposición como resultado de la incongruencia

Efecto/Riesgo
entre la condición y los criterios.
Recomendación / Se requieren acciones correctivas para salvar la brecha entre los

Acción acordada criterios y la condición.
Persona responsable Persona responsable de la acción.
Fecha límite Fecha prevista para completar la acción.
2. NOMBRE DE LA OBSERVACIÓN (Impacto del riesgo)
Descripción de la observación, es decir, situación actual dentro del

Descripción
proceso que está en revisión y explicación de las normas a partir de las
cuales se mide la observación (condición, criterios).
Describir la razón que subyace en la diferencia entre los criterios y la

Causa
condición.
Identificar los riesgos o la exposición como resultado de la incongruencia

Efecto/Riesgo
entre la condición y los criterios.
Recomendación / Se requieren acciones correctivas para salvar la brecha entre los

Acción acordada criterios y la condición.
Persona responsable Persona responsable de la acción.
Fecha límite Fecha prevista para completar la acción.

Apéndice D: Ejemplos de informes de auditoría

En las siguientes páginas se presentan dos ejemplos de informes de auditoría
simplificados en los que se muestran cómo podrían incluirse los componentes de ese tipo
de informes en un informe de auditoría interna:
• El primer ejemplo corresponde a un informe de auditoría del Departamento de Parques y

Recreación de la Ciudad.
• El segundo ejemplo corresponde a un informe de ABC Unlimited.

Oficina del Auditor de la Ciudad
Guías para la Práctica / Informes de auditoría Auditoría del contrato con el
complejo deportivo Sportsplex
Propósito
El propósito de esta auditoría fue asegurar que el contratista hubiera cumplido los términos del
contrato celebrado con el complejo deportivo Sportsplex, y se hizo especial énfasis en los pagos que el
contratista debía a la ciudad. Esta auditoría fue solicitada por la dirección del Departamento a través
del proceso de evaluación de riesgos anual que llevó adelante la Oficina del Auditor de la Ciudad.
Objetivos y alcance
El objetivo de nuestra auditoría ha sido garantizar que se disponga de procedimientos y procesos
adecuados para justificar en forma apropiada los ingresos del complejo deportivo Sportsplex, y que el
contratista haya presentado todos los informes obligatorios ante la dirección de Parques y
Recreación.
Esta auditoría incluyó el complejo deportivo Sportsplex, que pertenece a la ciudad y que es
administrado mediante contratista a través de contratos de gestión celebrados con la ciudad.
Su alcance no incluyó ni transacciones ni actividades en otros departamentos o centros que estén

bajo la dirección de Parques y Recreación (limitación del alcance).
La auditoría abarcó los ingresos correspondientes al año calendario 2015. Nuestro trabajo de campo
finalizó el 15 de febrero de 2016.
Reconocimientos
Quisiéramos agradecer a la dirección y al personal de del Departamento de Parques y Recreación,
así como a la dirección de Hometown Sports Management, por la gentileza y la pronta asistencia
que nos brindaron durante nuestra auditoría.
Conclusión
En términos generales, a partir de los resultados de nuestra auditoría, el contratista —Hometown
Sports Management— cumplió con todos los términos del contrato de administración celebrado con la
Ciudad en relación con el complejo deportivo Sportsplex. Señalamos, en efecto, que el proceso de
presentación de informes sobre ingresos puede optimizarse para mejorar la rendición de cuentas, si se
implementan nuestras recomendaciones respecto de la presentación de informes sobre todos los
ingresos y al envío de todos los informes de gestión requeridos por la Ciudad.
Antecedentes
En abril de 2009, la Ciudad ejecutó dos contratos (contratos de gestión) con Hometown Sports
Management (HSM), LLC por un plazo de dieciséis años, es decir, hasta 2025. HSM es responsable
de la supervisión, la gestión, el mantenimiento de rutina y la reparación de las instalaciones y los
estacionamientos. HSM también tiene la responsabilidad de realizar un mínimo de treinta y cinco
eventos por año calendario en cada instalación. Parques y Recreación se encarga de administrar y
gestionar el contrato. Uno de los términos del contrato obliga a HSM a compartir con la Ciudad el
5% de los ingresos brutos anuales por encima de $850.000 generados a través de Sportsplex.

Oficina del auditor de la ciudad
Auditoría del contrato con el
Guías para la Práctica / Informes de auditoría complejo deportivo Sportsplex
Observaciones y recomendaciones
N.o 1: Ingresos omitidos

Valoración: Baja
Observación
El informe de ingresos anuales generados en el complejo deportivo Sportsplex correspondiente a 2015
no incluyó los ingresos por concesión ni los ingresos por sociedad —RUSH Soccer—, que ascendían a
$242.890. De acuerdo con los contratos de administración del contratista, este último debe presentar
un informe detallado donde se incluya la totalidad de los ingresos brutos que recibió el contratista —
administrador por el año calendario anterior, y deben ser certificados por el director financiero o por el
director ejecutivo del contratista para constatar su precisión. El informe detallado deberá incluir
concesiones y otros ingresos que haya percibido el contratista. Como los ingresos compartidos
estaban alejados de los umbrales de distribución de ingresos ($850.000 para el complejo deportivo
Sportsplex), el proceso de información de ingresos fue bastante informal y la percepción de su
precisión no es muy alto.. Por lo tanto, el informe anual de ingresos quedó incompleto y presentaba
omisiones para el año calendario.
El contrato de administración requiere que las concesiones se notifiquen utilizando el 25 % de los

ingresos actuales de la concesión o de los ingresos proyectados de la concesión, el monto que resulte
mayor.
Recomendación

1.1 Elaborar una plantilla para que el contratista presente el informe con los ingresos anuales
detallados que incluirían la totalidad de ingresos, en especial, las concesiones y los
patrocinios.
1.2 Revisar el informe de ingresos anuales detallado que presentó el contratista para asegurar que
las cifras notificadas estén completas y sean razonables. Cualquier discrepancia debe resolverse
con el contratista de manera inmediata.
Plan de acción
1.3 Se elaboró una plantilla y se la entregó al contratista. Se requiere que éste la utilice para
presentar los informes de ingresos que incluyan todo tipo de ingreso.
1.4 El director de Parques y Recreación revisará cada año todos los informes de ingresos que
haya presentado el contratista.
Empleado responsable
Director de Parques y
Recreación
Fecha límite
15 de abril de 2016

Oficina del auditor de la ciudad
Auditoría del contrato con el
Guías para la Práctica / Informes de auditoría complejo deportivo Sportsplex
N.o 2: Los ingresos notificados no alcanzan los ingresos previstos

Valoración: Baja
Observación
Los ingresos durante el año calendario 2015 no alcanzaron el nivel acordado con el contratista
en los acuerdos de administración. El contratista señaló que la recesión económica y la
partida del equipo de béisbol de la ciudad fueron dos de los factores claves que repercutieron
en los ingresos. Como resultado, los ingresos generados estuvieron por debajo del umbral de
distribución de ingresos.
Recomendación
2.1 Continuar trabajando con el contratista para garantizar que las instalaciones de Sportsplex
generen el máximo de ingresos posible.
Plan de acción
2.1 Se está elaborando un proceso para entender cómo se maneja el contratista. Se preparará un
informe que se presentará ante el director de Parques y Recreación para su revisión trimestral.
Personal responsable
Director de Parques y Recreación
Fecha límite
15 de abril de 2016

Auditoría interna de ABC Unlimited
Informe de auditoría interna,
29 de abril de 2016
Auditoría de la función de tesorería
Objetivos y alcance
La auditoría abarcó la función de tesorería de ABC Unlimited. El alcance incluyó la evaluación de los
siguientes procesos: administración del acceso electrónico a cuenta bancaria, conciliación de cuenta
bancaria, seguimiento y presentación de informes sobre cuentas bancarias y libro mayor, requisitos
para préstamos diarios y disponibilidad de línea de crédito.
Proceso/evaluación Función de tesorería – Rojo
Antecedentes
La función de tesorería experimentó una tasa de rotación de personal inusualmente elevada durante
el ejercicio fiscal 2015. La dirección de la tesorería no estaba dotada de personal suficiente, lo cual
dio lugar a que las tareas no se encontraran bien distribuidas.
Opinión
La auditoría recibió la clasificación de Rojo dado que se identificaron problemas significativos en el

proceso de gestión del contrato.
Se señalaron oportunidades adicionales para mejorar respecto de la gestión del acceso a cuentas
bancarias y el proceso de conciliación bancaria mensual.
Quisiéramos agradecer a la dirección por su actitud positiva y por el apoyo que recibimos durante
nuestro trabajo.
Resumen de observaciones
Ref Título Criticidad

A.1 Proceso de gestión de contratos insuficiente Crítica
A.2 Falta de controles de acceso a cuentas bancarias Significativa
A.3 Proceso de conciliaciones bancarias inadecuado Significativa
Respuesta
Francis Financial y Miguel Money debe presentar una actualización para el 30 de mayo de 2016. A
tales efectos, deberá completarse la “última actualización” de la sección de respuesta.

29 de abril de 2016
OBSERVACIONES, RECOMENDACIONES Y RESPUESTA DE LA DIRECCIÓN
Referencia (A.1) Proceso de gestión de contratos insuficiente
Criticidad Crítica
Observación
Al momento en que se realizó esta auditoría, no pudo presentarse documentación formal sobre el
proceso de control de vencimiento y renovación contractual, ni sobre las responsabilidades de
ABC Unlimited en torno a este proceso.
Si bien el contrato de línea de crédito parece haberse renovado al momento del vencimiento del
plazo anterior, si las partes actualmente involucradas en el proceso de renovación no estuvieran
disponibles para renovaciones futuras, el acceso a la línea de crédito de la empresa a través del
banco podría estar en riesgo.
Recomendación
La dirección debe documentar formalmente el proceso a los efectos de controlar el
vencimiento y la renovación del contrato de línea de crédito mediante el uso de documentos
basados en procedimientos operativos estándares (POE).
El personal correspondiente debe encargarse de controlar el vencimiento de los contratos,
coordinar los procesos internos de renovación contractual, y mantener y archivar la
documentación, según resulte necesario. Además, se recomienda revisar y actualizar los POE
al menos una vez por año.
Acción planificada
En el año calendario 2017, la empresa actualizará su plan estratégico, lo cual será el catalizador y
el marco para desarrollar nuestro plan financiero estratégico. Este definirá, entre otras cosas, la
estructura de capital propuesta, las fuentes de capital, los requisitos de financiación para los
próximos tres años y otras cuestiones afines. En virtud de ello, nos pondremos en contacto con el
banco por adelantado —por lo general con un año de antelación— al vencimiento de nuestra
facilidad crediticia actual, para comenzar a planificar la comercialización y el funcionamiento de la
nueva facilidad.
Responsable Francis Financial, CFO
Fecha límite 1 de diciembre de 2016
Última
actualización

29 de abril de 2016
Referencia (A.2) Falta de controles de acceso a cuentas bancarias
Criticidad Significativa
Observación
Se identificaron las siguientes deficiencias en materia de controles de acceso a cuentas
bancarias:
Los ceses de empleo y los traslados a puestos de trabajo para los usuarios con acceso a
cuentas bancarias no son notificados a los administradores a cargo de la seguridad de las
cuentas bancarias, dado que el 20,9% de los usuarios —es decir, 9 de cada 43— con
acceso a las cuentas bancarias fueron despedidos o trasladados a otros puestos de
trabajo sin que se ajustaran sus privilegios de acceso a las cuentas. También se le dio
acceso a un usuario para generar informes sobre una cuenta bancaria, aunque este
usuario no tenía motivos relacionados con el negocio para acceder a ella.
Además, en la actualidad, ABC Unlimited no tiene por práctica recuperar los tokens de
acceso a las cuentas bancarias después de que un empleado haya sido despedido o
trasladado a un nuevo puesto de trabajo. Esta combinación de factores podría generar
el acceso no autorizado a cuentas de la empresa, dado que los empleados despedidos
o trasladados a nuevos puestos de trabajo conservan tanto los datos de acceso como
el token de acceso bancario que se necesitan para acceder a las cuentas de la
empresa.
Si bien las cuentas a las cuales tenían acceso los empleados despedidos o trasladados
a otros puestos de trabajo no permitían extraer fondos de la organización en forma
directa, esas personas con acceso podían procesar extracciones no autorizadas de las
cuentas de clientes. Eso podría generar la pérdida de cuentas de clientes y una
disminución en la confianza de los clientes hacia la organización.
Recomendación
La dirección debe establecer un proceso por el cual se notifique de inmediato a la
tesorería cada vez que los empleados con acceso a las cuentas bancarias sean
despedidos o trasladados a nuevos puestos dentro de la organización. Esto permitirá
reducir el riesgo de acceso no autorizado a las cuentas y ayudará a la tesorería a
mantener las autorizaciones de acceso.
Todos los años, deben revisarse las autorizaciones de acceso bancario de todos los
usuarios.

Acción planificada
La dirección coincide en la necesidad de que exista una mayor comunicación entre la
tesorería, la oficina de crédito y la de recursos humanos, a fin de garantizar que todos los
empleados con acceso bancario continúen siendo empleados en el área de crédito y
cuentas a cobrar. La tesorería establecerá un proceso de control pormenorizado —una
persona prepara y otra persona aprueba— para revisar los usuarios actuales cada tres
meses y adoptará la práctica de enviar sus tokens de identificación a los supervisores de
sus respectivas sucursales.
Responsable Miguel Money, Contralor
Fecha límite 30 de junio de 2016
Última
actualización

29 de abril de 2016
Referencia (A.3) Proceso de conciliaciones bancarias inadecuado
Criticidad Significativa
Observación
Las conciliaciones mensuales no se estaban realizando de manera regular y completa.
Tras revisar las conciliaciones de las cuentas bancarias, se observaron las siguientes
cuestiones:
• El 75% de las conciliaciones —es decir, 12 de cada 16— no contenían la fecha
en que se completó cada conciliación.
• El 19% de las conciliaciones —es decir, 3 de cada 16— contenían solo una
captura de pantalla de los saldos de cuentas, pero no estaban conciliadas con
respecto a los datos de cada cuenta bancaria.
• El 81% de las conciliaciones —es decir, 13 de cada 16— no estaban conciliadas
en uno o más meses dentro del presente año fiscal.
• El 31% de las conciliaciones —es decir, 5 de cada 16— contenían saldos no
conciliados durante más de treinta 30 días.
Cuando no se completan conciliaciones mensuales en forma regular, es posible que

no se detecten imprecisiones, errores, fraudes u otros problemas.
También se señaló que la dirección de las operaciones de tesorería se ocupa de realizar

muchas de las conciliaciones de las cuentas bancarias de la organización. Una separación
de funciones adecuada incluye la separación de las responsabilidades en materia de
custodia, registro y conciliación. Dado que la dirección de las operaciones de tesorería
está a cargo de administrar las cuentas bancarias de la organización y tiene acceso directo
a los fondos de la empresa, las responsabilidades no están separadas adecuadamente
dentro de la función de la tesorería (en lo que respecta a las responsabilidades tanto de
custodia como de conciliación).
Recomendación
La dirección debe asegurar que las conciliaciones se realicen todos los meses y que las
partidas de conciliación se resuelvan en un plazo no mayor a los 30 días desde el
momento en que se hayan identificado. Esto permitirá que se mantenga una precisión
adecuada en lo que respecta tanto al banco como a las cuentas.
Las responsabilidades de custodiar y conciliar los fondos de la empresa deben separarse.
Eso es posible si se asignan las responsabilidades de conciliar cuentas bancarias a una
persona que no tenga acceso a dichas cuentas. Separar esas funciones garantizará un
mejor control de los riesgos de fraude dentro de la organización.

Acción planificada
La dirección coincide en que las conciliaciones bancarias mensuales, así como la

resolución de cuestiones pendientes, son importantes en la prevención de fraudes. En la
actualidad, existe un proyecto tendiente a establecer procedimientos y procesos por los
cuales se garantice que las solicitudes diarias de efectivo en las cuentas de depósito de
efectivo permitan hacer conciliaciones de manera más oportuna y uniforme.
La dirección advierte la importancia de separar las funciones en lo referido a la
conciliación de cuentas a cargo de la dirección de la tesorería y a tener derechos
administrativos sobre las cuentas.
Sin embargo, dado el número de empleados del departamento, de los cuales tres o cuatro
se ocupan de las solicitudes de efectivo, es difícil realizar una verdadera separación de
responsabilidades, aunque sí se puede llevar adelante un proceso de preparación y
revisión. La dirección recomienda documentar el proceso de conciliación y capacitará a los
empleados para que realicen conciliaciones únicamente en las cuentas de depósito. Para
todas las conciliaciones, se realizará un proceso de revisión final, que contará con firma y
fecha a cargo del director de servicios financieros; asimismo, la resolución de todas las
partidas de conciliación y de las disputas se realizará en un plazo de entre 30 y 45 días
hábiles tras la finalización del mes en cuestión.

29 de abril de 2016
Responsable Miguel Money, Contralor
Fecha límite 15 de julio de 2016
Última
actualización
Personal y duración
Equipo de auditoría de ABC Unlimited:
Presentación de cierre: La presentación de cierre se realizó el 15 de abril de 2016.
Distribución
Miembros del Consejo:

Auditores externos:
Francis Financial, CFO;
Miguel Money, Contralor;
Susie Smarty, CAE

Autores/Colaboradores
En orden alfabético:
Brad Ames, CRMA;

Fabiano Castello, CIA, CCSA, CRMA;
Despoina Chatzaga, CIA, CCSA, CFSA;
Caroline M. Glynn, CIA;
Judy Grobler, CIA, CRMA;
Sara Lademan, CIA;
Takuya Morita, CIA;
Ranjit Singh, CRMA.

Acerca del Instituto

El Instituto de Auditores Internos (The Institute of Internal Auditors o IIA) es una asociación profesional internacional,
fundada en 1941, con sede mundial en Altamonte Springs, Florida, Estados Unidos. El IIA se constituye como la voz
global de la profesión, autoridad líder reconocida y principal defensor y educador de la auditoría interna. Para más
información, visite www.globaliia.org o www.theiia.org.
Acerca de la Guía Complementaria

La Guía Complementaria forma parte del Marco Internacional para la Práctica Profesional (MIPP) del IIA y ofrece
orientación complementaria recomendada (no obligatoria) para llevar a cabo actividades de auditoría interna. Si bien
es un complemento de las Normas, la Guía Complementaria no pretende constituirse como un eslabón directo para
lograr conformidad con las Normas. Su finalidad, en cambio, es el abordaje de áreas temáticas y cuestiones
específicas de cada sector, e incluye procesos y procedimientos detallados. Esta guía fue refrendada por el IIA
mediante procesos formales de revisión y aprobación.
Guías para la Práctica

Las Guías para la Práctica constituyen un tipo de Guía Complementaria que ofrece orientación detallada
para llevar a cabo actividades de auditoría interna. Incluyen procesos y procedimientos detallados, como
herramientas y técnicas, programas, así como enfoques paso a paso y ejemplos de entregables. Como
parte de la Guía del MIPP, se recomienda guardar conformidad con las Guías para la Práctica (no
obligatorio). Las Guías para la Práctica fueron refrendadas por el IIA mediante procesos formales de
revisión y aprobación.
Una Guía de Auditoría de Tecnología Global (GTAG) es un tipo de Guía para la Práctica redactada en
lenguaje de negocios claro y directo para abordar cuestiones oportunas relativas a la gestión de
tecnología de la información, control o seguridad.
Para acceder a otros materiales de orientación autoritativos suministrados por el IIA,

visite nuestro sitio webwww.globaliia.org/standards-guidance o www.theiia.org/guidance.
Descargo de responsabilidad
El IIA publica el presente documento con fines informativos y educativos, y no pretende brindar una respuesta
categórica a los interrogantes individuales y específicos. En este sentido, su única finalidad es servir de guía. El IIA
recomienda solicitar siempre asesoramiento de expertos independientes relacionado específicamente a cualquier
situación específica. El IIA no toma ninguna responsabilidad por quien tome estas orientaciones como su única
fuente confiable.
Derechos de autor
Copyright ® 2018 The Institute of Internal Auditors, Inc. Todos los derechos reservados. La traducción al español de este
documento fue autorizada por The Institute of Internal Auditors, Inc. y fue realizada por:
o Fundación Latinoamericana de Auditores Internos (FLAI); traductores: M. Chamorro, S. de Miguel, X. Fernández, C.

Legnazzi, P. Petrocelli; revisora: Marita Propato.
o Francisco Arauz, CIA, CRMA; revisor.
Para solicitar permiso de reproducción, escríbanos [email protected]
6 de mayo

PG Informes de Auditoria PDF

Cargado por

Copyright:

Formatos disponibles

PG Informes de Auditoria PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PG Informes de Auditoria PDF

Cargado por

Copyright:

Formatos disponibles

Guías Complementarias

Guías para la Práctica

The Institute of Internal Auditors I Global 1 www.globaliia.org I www.theiia.org

The Institute of Internal Auditors I Global 2 www.globaliia.org I www.theiia.org

• Crear y organizar un informe efectivo de auditoría interna escrito.

•Desarrollar un proceso de seguimiento para monitorear e informar las

Guías para la Práctica / Informes de auditoría

The Institute of Internal Auditors I Global 3 www.globaliia.org I www.theiia.org

• Un resumen ejecutivo conciso puede destacar las buenas prácticas observadas

• El director ejecutivo de auditoría debe validar y aprobar la distribución del informe

The Institute of Internal Auditors I Global 4 www.globaliia.org I www.theiia.org

• Lenguaje demasiado técnico o con demasiada jerga.

• Observaciones y recomendaciones mal formuladas.

The Institute of Internal Auditors I Global 5 www.globaliia.org I www.theiia.org

• Falta de reconocimiento del desempeño satisfactorio.

• Omisión o falta de explicación de las limitaciones del alcance.

• Emisión de informes tardía o para las partes inadecuadas.

Estos problemas pueden evitarse si el informe de auditoría se prepara minuciosamente y se

Pautas generales para informes de auditoría

Comprendiendo a las partes interesadas/usuarios del informe de auditoría interna

• Responsables del proceso y dirección.

The Institute of Internal Auditors I Global 6 www.globaliia.org I www.theiia.org

Contenido y estructura del informe

Según la Norma 2420 (Calidad de la comunicación), “las comunicaciones deben ser

• ¿Quiénes son los lectores más importantes del informe?

The Institute of Internal Auditors I Global 7 www.globaliia.org I www.theiia.org

La estructura del informe suele incluir los siguientes elementos:

1) Título del informe de auditoría.

The Institute of Internal Auditors I Global 8 www.globaliia.org I www.theiia.org

En el Apéndice C, se incluye una plantilla de informe de auditoría y en el Apéndice D se

Emisión del informe

• Tipo de trabajo de auditoría.

• Consideraciones sobre comunicaciones provisionales.

The Institute of Internal Auditors I Global 9 www.globaliia.org I www.theiia.org

implementar planes de acción de inmediato, antes de publicar el informe

• Destinatario del informe.

The Institute of Internal Auditors I Global 10 www.globaliia.org I www.theiia.org

período específico. Además, los informes de auditoría interna para el gobierno y

Consideraciones sobre el estilo de escritura

El estilo de escritura debe seguir los protocolos de la organización para sus

El deseo de la parte interesada de seguir leyendo un informe suele depender de la

1 Kurt F. Reding y otros. Tercera edición, pp. 14-26

The Institute of Internal Auditors I Global 11 www.globaliia.org I www.theiia.org

• Introducción, objetivos, alcance y resultados del trabajo.

The Institute of Internal Auditors I Global 12 www.globaliia.org I www.theiia.org

Introducción y alcance del trabajo de auditoría interna

Conclusiones sobre el trabajo de auditoría interna

Resumen de las observaciones significativas

The Institute of Internal Auditors I Global 13 www.globaliia.org I www.theiia.org

Repetición de observaciones de auditorías anteriores

Elementos del informe de auditoría

Norma 2200 Norma 2300 Norma 2400 Norma 2500

Documento de planificación Borrador preliminar Informe de auditoría Seguimiento del

Figura 1: Flujo de información sobre los elementos del informe de auditoría.

The Institute of Internal Auditors I Global 14 www.globaliia.org I www.theiia.org

La Norma 2410 (Criterios para la comunicación) establece lo siguiente: “Las

Documento A: Ejemplo de objetivos y alcance

El objetivo de nuestra auditoría ha sido garantizar que se disponga de

Esta auditoría incluyó el complejo deportivo Sportsplex, que pertenece a la