GUÍA DE AUDITORÍA INTERNA.

FASE I: LINEAMIENTOS
 INTRODUCCIÓN

El equipo Auditool ha preparado la presente Guía con el objetivo de apoyar la función de

Auditoría Interna, de tal forma que pueda ser utilizada como uno de los puntos de referencia
para el desarrollo del trabajo sin que su uso sea excluyente.

Esta guía está conformada por cinco fases, que se inician con los lineamientos que
fundamentan el trabajo de Auditoría, pasando por las fases de planeación, ejecución e
informes y termina con la fase de control de calidad con que debe contar todo trabajo de
auditoría interna.

Fase I: Lineamientos de Auditoría Interna

Fase II: Planificación de la Auditoría Interna
Fase III: Ejecución del Plan de Auditoría Interna
Fase IV: Emisión de informes y seguimiento
Fase V: Control de Calidad

La estructura de esta Guía está constituida de conformidad con los aspectos teóricos sobre
los que debe girar la actividad de auditoría interna -lo que podríamos identificar con la
respuesta a ¿qué debemos hacer?-, así como los protocolos y manuales en los que se
describe la forma de gestionar los distintos procesos que conforman la función de auditoría
interna (la respuesta a ¿cómo hacerlo?) y, por último, diferentes herramientas específicas
para desarrollar distintos subprocesos de la actividad de forma eficiente, es decir,
determinadas mejores prácticas recomendadas para incidir en aspectos concretos de la
auditoría.

MARCO DE REFERENCIA

La presente guía se desarrolla en total alineamiento con las Normas Internacionales para el
Ejercicio Profesional de Auditoría Interna y El Código de Ética del Instituto de Auditoría
Interna.

Las Normas Internacionales para el Ejercicio Profesional de Auditoría Interna definen la

actividad de auditoría interna como “una actividad independiente y objetiva de
aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una
organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de
riesgos, control y gobierno”.

www.auditool.org 1
Estas Normas se subdividen en: Normas de Atributos, Desempeño e Implementación; las
primeras tratan de “las características de las organizaciones y los individuos que desarrollan
actividades de auditoría interna; las segundas, las de Desempeño, describen la naturaleza
de las actividades de auditoría interna y proveen criterios de calidad con las cuales puede
evaluarse el desempeño de estos servicios, y las últimas, las de Implementación, se aplican
según sean los tipos de trabajo a realizar, bien sean de aseguramiento o consulta.

El Código de Ética, por su parte, tiene como propósito promover una cultura ética en la
profesión de Auditoría interna, para lo cual incluye los siguientes componentes:

- Los Principios que son relevantes para la profesión y práctica de la auditoría interna.
- Las Reglas de conducta que describen las normas de comportamiento que se espera
sean observadas por los auditores internos. Estas reglas son una ayuda para
interpretar los Principios en aplicaciones prácticas. Su intención es guiar la conducta
ética de los auditores internos.

La estructura propuesta por COSO para atender y gestionar el control interno, así como la
administración de riesgos, es la base de nuestra guía, persiguiendo el cumplimiento de los
siguientes objetivos:

- Eficacia y eficiencia de las operaciones.

- Confiabilidad de la información financiera y operativa.
- Cumplimiento de las leyes y normas aplicables.

A los que se suma, de acuerdo con el pronunciamiento del Instituto de Auditores Internos,
el correspondiente a:

- Salvaguarda patrimonial o conservación de los activos.

Para cumplir con los objetivos mencionados, las Unidades de Auditoría Interna deben
perseguir que su trabajo brinde una seguridad razonable sobre los mismos.

PLAN DE COMUNICACIÓN

La función de Auditoría Interna tiene como uno de sus ejes fundamentales la comunicación,
por la cual el auditor debe saber escuchar, así como emitir comunicaciones directas, puntales
y efectivas, lo que hace necesario desarrollar un Plan de Comunicaciones que contribuya a
fortalecer la comunicación en cada uno de los niveles de la Organización, tales como el
Comité de Auditoría, la Alta Gerencia, los auditados y las demás partes interesadas, tanto
internas como externas.

www.auditool.org 2
La construcción del Plan de Comunicaciones debe tener como objetivo conocer las
expectativas y necesidades de la Organización, así como lo que se espera de la función de
Auditoría Interna, de tal forma que el Equipo de Auditoría pueda brindar una respuesta
efectiva y satisfactoria a dichas necesidades.

Mantener una comunicación efectiva y periódica contribuye a: (i) fortalecer los lazos de
confianza entre las partes, (ii) cumplir con el Plan de Auditoría y (iii) contribuir al cumplimiento
de los objetivos de la Organización.

Todo Plan de Comunicación de Auditoría debe establecer los tipos de comunicación, indicar
qué comunicar, cuándo comunicar, a qué nivel comunicar y los medios a utilizar para la
comunicación; estos lineamientos deben ser revisados de forma periódica y ajustados a las
nuevas necesidades de la Organización, para lo cual se recomienda que en el Acta de Inicio
de cada trabajo de auditoría se defina la comunicación entre los miembros de la compañía y
la función de Auditoría Interna, y que se haga énfasis en el cumplimiento de los tiempos de
respuesta para cada comunicación emitida, de tal forma que se pueda avanzar con los
objetivos propuestos en el Plan de Auditoría, y que, en caso de no recibir dicha respuesta,
se realice una comunicación a los niveles superiores que correspondan.

A continuación, se presenta una relación de algunos de los elementos que se sugiere incluir
dentro de un Plan de Comunicaciones:

- Definición de niveles de comunicación con los responsables funcionales y

administrativos.
- Base de datos con la información de contacto de los funcionarios clave dentro de la
Organización.
- Carta de presentación del Equipo de Trabajo.
- Actas de Inicio y Cierre de la Auditoría.
- Modelo de solicitud de información.
- Cronograma de inicio, ejecución y finalización de la Auditoría.
- Modelo de Carta de entrega de informes.
- Modelo de informes detallados y gerenciales.
- Modelo del informe de seguimiento (Planes de Acción).
- Aplicación de encuestas que permitan medir el nivel de satisfacción de los clientes.

Comunicaciones con el Consejo/Comité de Auditoría

De acuerdo con lo establecido en la norma internacional 2060 – Informe a la Alta Dirección

y al Consejo, se establece que:

“El director ejecutivo de auditoría debe informar periódicamente a la Alta Dirección y al

Consejo sobre la actividad de auditoría interna en lo referido al propósito, autoridad,
responsabilidad y desempeño de su plan. El informe también debe incluir exposiciones de
riesgo y cuestiones de control significativas, cuestiones de gobierno y otros asuntos
necesarios o requeridos por la Alta Dirección y el Consejo”.

www.auditool.org 3
Por lo anterior, se recomienda definir los lineamientos de las comunicaciones con el
Consejo/Comité de Auditoría, orientados en todo momento a mantener un contacto continuo,
transparente y directo con sus miembros; en estos lineamientos se recomienda incluir lo
siguiente:

- Reuniones en privado para comunicar situaciones delicadas.

- Realizar presentaciones periódicas y de tipo ejecutivo sobre el cumplimiento del Plan
de Auditoría y sus resultados.
- Coordinar con los “otros proveedores de aseguramiento”, entre ellos los auditores
externos, los trabajos a realizar, de tal forma que no se produzcan duplicidad de
trabajos y/o presentaciones al Comité.
- Presentación y solicitud de aprobación del Plan de Auditoría y de sus cambios.

Comunicación con la Alta Gerencia y los auditados

La función de Auditoría Interna debe desarrollar una línea de comunicación directa con la
Alta Gerencia, la Junta Directiva y las demás unidades de Gobierno de la compañía que se
consideran clave para la Organización. Igualmente, el Director de Auditoría Interna debe
identificar los funcionarios clave con quienes debe realizar reuniones periódicas, que
permitan identificar cambios en la Organización que afecten el nivel de riesgos definido
inicialmente para la compañía, por lo cual es aconsejable preparar una agenda para el
desarrollo de dichas reuniones. Adicionalmente, también se podrán realizar reuniones cuya
formalidad puede variar de acuerdo con el nivel de riesgo evaluado y la complejidad del
área revisada.

El equipo de Auditoría Interna debe llevar un registro de los resultados de dichas reuniones,
de tal forma que se realicen las actualizaciones que se consideren necesarias en el perfil
de riesgo de la Organización y, en caso de ser necesario, comunicar dichos cambios al
Comité de Auditoría o incluirlos en las presentaciones que se consideren pertinentes.

Para la comunicación con los auditados es fundamental informar, por parte de Auditoría y
previamente al inicio de los trabajos, del desarrollo de las visitas, programando reuniones
tanto en el nivel superior del área, así como con los responsables del proceso, de tal forma
que se haga una presentación de los objetivos y el alcance que tendrá el trabajo a realizar,
lo que también permitirá conocer sus expectativas y las necesidades que la función de
Auditoría Interna pueda contribuir a mejorar.

Sin embargo, queda a criterio del auditor determinar la cantidad de información que entrega
al auditado, de acuerdo con las circunstancias que rodeen el desarrollo de la auditoría.

www.auditool.org 4
Comunicación con los otros proveedores de aseguramiento, por ejemplo Auditores Externos y
Auditores Especializados

Dentro del Plan de Comunicaciones también se debe considerar tanto a los Auditores
Externos, como todos aquellos otros especializados con que cuente la Organización, de tal
forma que se realice una coordinación de los trabajos a realizar y los mismos no se
dupliquen, y se tenga un canal de comunicación activo con cada uno de ellos, como por
ejemplo el responsable de la Gestión de Riesgos, Cumplimiento Normativo, Medioambiente
y cualquier componente de la segunda línea de defensa existente en la Organización.

Los resultados de dichas reuniones deben estar documentados e incluir los alcances de
cada una de las partes y, posteriormente, deben ser comunicados al Comité de Auditoría
Interna.

Fase I: Lineamientos de Auditoría Interna

La primera fase de la presente guía se centra en las normas sobre atributos, así como en
aquellos conceptos administrativos bajo los cuales se deben desarrollar los planes de
Auditoría, lo que permite evaluar los mismos de forma eficiente.

Las normas a considerar son las siguientes:

1000- Propósito, Autoridad y Responsabilidad. 1100- Independencia y Objetividad.

1200- Aptitud y Cuidado Profesional.
1300- Programa de Aseguramiento y Mejora de la Calidad.

1000- Propósito, Autoridad y Responsabilidad

El Estatuto de Auditoría Interna es el documento en el que se formaliza la posición de la

función de Auditoría Interna dentro de la Organización, y define su propósito, la autoridad y
responsabilidad de la misma. El Estatuto de Auditoría Interna establecerá la posición de la
actividad de auditoría interna dentro de la Organización, incluyendo la naturaleza de la
relación funcional del Director Ejecutivo de Auditoría con el Consejo, su autorización de
acceso a los registros, al personal y a los bienes relevantes para el desempeño de los
trabajos; asimismo, debe definir el alcance de las actividades de auditoría interna. La
aprobación final del Estatuto de Auditoría Interna corresponde al Consejo/Comité de
Auditoría.

La formalización de la aprobación del Estatuto por parte del Consejo/ Comité de Auditoría debe
registrase en la correspondiente acta y/o memoria con que cuente la Organización, siempre
que permita reconocer la voluntad de la Organización para la aprobación de dicho Estatuto,
y debe divulgarse a los grupos de interés de la Compañía.

www.auditool.org 5
El Estatuto debe ser revisado periódicamente por el Director de Auditoría, evaluando si el
propósito, autoridad y responsabilidad definidos permiten cumplir con los objetivos
propuestos y cambios dentro de la Organización, por lo cual dicha revisión, así como los
resultados de la misma, deben documentarse y comunicarse a los organismos que
participan en su aprobación (Alta Dirección y Consejo / Comité de Auditoría).

Servicios de Consultoría y Aseguramiento

De acuerdo con la definición de Auditoría Interna como una actividad independiente y

objetiva de aseguramiento y consulta, el Estatuto debe definir tanto los servicios de
consultoría como los de aseguramiento que se esté dispuesto a desarrollar; los servicios de
consulta son todos aquellos servicios de participación permanente o temporal en donde el
auditor trabaja con un enfoque de asesor, previo acuerdo con el área que solicita la
consultoría y para lo cual definen en conjunto el alcance, objetivos a cumplir y entregables;
mientras que en el ámbito del aseguramiento el auditor realiza una evaluación
independiente y objetiva, definiendo el alcance y los objetivos del trabajo de acuerdo con la
evaluación de riesgos realizada sobre el universo auditable.

Todo trabajo de consultoría debe desarrollarse, siempre que no represente un conflicto de

intereses para el auditor, para lo cual el Estatuto debe definir los lineamientos que orientan
los trabajos de consultoría, de tal forma que no resulten excluyentes con los de
aseguramiento, pues el desarrollo de cualquiera de estas actividades permite agregar valor
tanto a la Organización como a la función de Auditoría Interna. Sin embargo, no se debe
olvidar que los trabajos de aseguramiento para funciones en las que el Director de Auditoría
interna tiene responsabilidades deben ser supervisados por alguien fuera de la actividad de
auditoría interna. Véase el modelo Estatuto de Auditoría Interna.

1100- Independencia y Objetividad

La actividad de auditoría interna debe ser independiente, y los auditores internos deben ser
objetivos en el cumplimiento de su trabajo.

Independencia

La independencia es la ausencia de condicionamientos que puedan amenazar la capacidad

de la actividad de auditoría interna de llevar a cabo sus responsabilidades de forma neutral,
mientras que la objetividad es una actitud mental que permite a los auditores desempeñar
su trabajo con honesta confianza en el producto de su labor y sin comprometer su calidad,
por lo que es necesario que no subordinen su juicio al criterio de otras personas. La
independencia es condición fundamental para ser objetivos, ya que no podremos ser
objetivos si no somos independientes, pero sin olvidar que ser independientes no garantiza
nuestra objetividad.

www.auditool.org 6
La función de Auditoría Interna debe establecer políticas y procedimientos diseñados para
asegurar razonablemente que tanto la función como el personal que ejecuta el trabajo son
totalmente independientes y objetivos.

Por lo anterior, se recomienda que, por lo menos una vez al año, se obtengan confirmaciones
por escrito del cumplimiento de las políticas y procedimientos sobre independencia por parte
de todo el personal auditor, conforme a los requisitos de ética relevantes. La
responsabilidad de su cumplimiento está en cabeza del Director de Auditoría, pero también
es responsabilidad de cada auditor informar oportunamente de todo impedimento para el
desarrollo de su trabajo.

La independencia dentro de la Organización estará condicionada al nivel ante el que

responde el Director de Auditoría. Esta se alcanza de forma efectiva cuando el Director
depende funcionalmente de la Junta Directiva/ Comité de Auditoría. Se considera que existe
dependencia funcional de la Junta Directiva/Consejo/Comité de Auditoría, cuando
corresponde a ésta lo siguiente:

 Aprobar el estatuto de auditoría interna;

 Aprobar el plan de auditoría basado en riesgos;
 Aprobar el presupuesto de auditoría interna y del plan de recursos;
 Recibir comunicaciones periódicas del Director Ejecutivo de Auditoría sobre el
desarrollo del plan de auditoría interna y otros asuntos;
 Aprobar las decisiones referentes al nombramiento y cese del Director Ejecutivo de
Auditoría;
 Aprobar la remuneración del Director Ejecutivo de Auditoría y;
 Formular las preguntas adecuadas a la Dirección y al Director Ejecutivo de Auditoría
para determinar si existen alcances inadecuados o limitaciones de recursos.

Conflictos de Intereses

La norma 1120 describe que “los auditores internos deben tener una actitud imparcial y
neutral, y evitar conflictos de intereses”. Los conflictos de intereses son aquellas situaciones
en las que el juicio del auditor tiende a estar indebidamente influenciado por una utilidad
secundaria, cuya influencia es de tipo económico o personal.

El conflicto de intereses es una situación en la cual un auditor interno, que ocupa un puesto
de confianza, tiene un interés personal o profesional en competencia con otros intereses.
Tales intereses en competencia pueden hacerle difícil el cumplimiento imparcial de sus
tareas. Puede existir un conflicto de intereses aun cuando no se produzcan actos
inadecuados o no éticos. Un conflicto de intereses puede crear una apariencia de
deshonestidad que puede socavar la confianza en el auditor interno, la actividad de
auditoría interna y la profesión. Un conflicto de intereses podría menoscabar la capacidad
de un individuo de desempeñar sus tareas y responsabilidades con objetividad.

www.auditool.org 7
En los casos en que se identifiquen conflictos de intereses, el auditor debe informar al
Director de Auditoría interna para que se tomen las medidas necesarias para eliminar o
reducir cualquier amenaza a la independencia, previa comunicación de la misma a las
partes. Estas medidas pueden incluir las siguientes:

 Retirar al miembro del equipo del trabajo a realizar;

 Vender la inversión financiera de la que sean propietarios;
 Descontinuar o cambiar la naturaleza de las relaciones personales o de negocios con
clientes;
 Tomar otras medidas razonables que sean apropiadas a las circunstancias.

Por otro lado, a la luz de la norma 1110 se describe como condición para permitir la
independencia dentro de la Organización la situación en que: “El director ejecutivo de
auditoría responda ante un nivel jerárquico tal dentro de la organización que permita a la
actividad de auditoría interna cumplir con sus responsabilidades”.

Para el cumplimiento de lo anterior, el Estatuto debe definir un reporte funcional y otro

administrativo; el primero debe remitirse al Comité de Auditoría o al nivel similar equivalente
a éste que tenga la suficiente autoridad en la Organización, lo que permite que la labor del
auditor se desarrolle independientemente, sometiendo a su aprobación el Estatuto de
Auditoría Interna, el plan anual de Auditoría, la contratación del Director de Auditoría Interna,
entre otros.

El reporte administrativo, por su parte, es el que se realiza al área gerencial (Director General
y/o similar) que facilita los elementos para el desarrollo de la función de Auditoría Interna y
que cuente con un nivel de autoridad y de apoyo suficiente para la función de Auditoría dentro
de la Organización, pero sin influir en sus decisiones.

Para desarrollar un trabajo efectivo, el Auditor debe gozar de total independencia y actuar
con objetividad. Por lo tanto, no son buenas prácticas las siguientes:

 Que el auditor o sus familiares cercanos entablen o mantengan relaciones comerciales

con la Organización (funcionarios, accionistas, etc.).
 Que el auditor o sus familiares cercanos establezcan o mantengan algún tipo de
interés financiero en la Organización.
 Aceptar obsequios o favores que puedan afectar la objetividad del auditor.
 Tener familiares empleados en la Organización que puedan tener influencia
significativa sobre las áreas que vamos a auditar (por ej., Contador).
 Establecer o mantener algún tipo de relación personal con algún funcionario de las
áreas a ser auditadas.

www.auditool.org 8
  Tomar decisiones significativas que sean responsabilidad de la administración de la
compañía.
 Auditar procesos en los que el auditor fue responsable en el año inmediatamente
anterior. (norma 1130 A1)

1200- Aptitud y cuidado profesional

Hablar de aptitud y cuidado profesional dentro de la función de Auditoría Interna, nos lleva a
entender que el equipo de Auditoría debe ser interdisciplinario, con los conocimientos y
habilidades necesarias para desarrollar su trabajo de una forma efectiva y eficiente, en
donde el debido cuidado profesional que ejercen en su trabajo los lleva a evaluar
adecuadamente las situaciones presentadas, identificar ineficiencias, errores e
incumplimientos, entre otras tantas situaciones que no permiten que las organizaciones
alcancen sus objetivos. Por esto, el Auditor se convierte en un agente generador de valor
para la Organización, pues no solo velamos por el cumplimiento de las políticas y
procedimientos de la Organización, sino que también recomendamos evaluar aquellas
prácticas que no permiten que la Organización avance eficientemente en sus objetivos.

En la búsqueda de aportar lo mejor a la Organización, el Director de Auditoría Interna puede

solicitar la contratación de personal externo especializado, cuando los funcionarios de la
Unidad no cuenten con el conocimiento suficiente para el desarrollo de un trabajo específico
en áreas como tecnología, impuestos, valoración de activos, composiciones químicas,
cálculo actuarial, investigaciones de fraude, entre otros; con el fin de cumplir esto, el Director
de Auditoría Interna debe asegurarse de la independencia, experiencia y reconocimiento en
el mercado de los servicios prestados por dicho personal.

Los siguientes son algunos de los aspectos que facilitan el desarrollo de la aptitud y el
cuidado profesional en la función de Auditoría Interna:

 Definición de un plan que contemple las necesidades cuantitativas y cualitativas del

personal durante el año de acuerdo con los objetivos del área.
 Definición de planes formales de sucesión.
 Nivel profesional requerido para los auditores.
 Evaluaciones del comportamiento ético de los auditores.
 Programas de formación continua que le permitan estar actualizado.
 Habilidad para la comunicación oral y escrita.
 Evaluar la complejidad del área auditada de forma focalizada.
 Aplicación de evaluaciones razonables de acuerdo al alcance establecido.
 Rotaciones del personal auditor entre la Unidades operativas de la Organización.
 Certificaciones profesionales específicas (CIA, CISA, etc.).

www.auditool.org 9
1300- Programa de Aseguramiento y Mejora de la Calidad

De acuerdo con la Norma 1300, se debe definir, establecer y formalizar un programa de

aseguramiento de calidad así:
“El director ejecutivo de auditoría debe desarrollar y mantener un programa de
aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad de
auditoría interna”.

Este programa debe incluir evaluaciones de calidad externas e internas periódicas y

supervisión interna continua. Cada parte del programa debe estar diseñada para ayudar a
la actividad de auditoría interna a añadir valor y a mejorar las operaciones de la
Organización y a proporcionar aseguramiento de que la actividad de auditoría interna
cumple con las Normas y el Código de Ética.

Un adecuado Programa de Aseguramiento y Mejora de la Calidad contribuye con la función

de Auditoría Interna tanto a medir la calidad de los servicios prestados, con base en el grado
de satisfacción de los auditados, como a la adecuada administración de los recursos
asignados, según lo establecido en el Marco Internacional para la Práctica Profesional de
Auditoría Interna (MIPPAI).

El Director de Auditoría Interna es el responsable de que los trabajos que se realizan

cumplan con los estándares de calidad establecidos. Para tal efecto, debe asegurarse de
que existan políticas y procedimientos diseñados para promover una cultura basada en el
reconocimiento de que la calidad es esencial al realizar un trabajo, por lo cual se debe
sensibilizar a todos los miembros del equipo sobre su importancia.

Igualmente, es necesario que se asigne algún miembro del equipo para el desarrollo,
documentación y soporte de las políticas y procedimientos de control de calidad. Los líderes
del equipo deben asegurarse de que las políticas y procedimientos de calidad se comunican
y son accesibles a todos sus miembros.

Las políticas y los procedimientos que debe incluir el Sistema de Control de Calidad están
relacionadas con lo siguiente:

 Nombrar a un responsable de la supervisión del Sistema de Control de Calidad.

 Definir procedimientos para obtener una evaluación respecto al cumplimiento de
las normas profesionales y el cumplimiento con las leyes y reglamentos que afectan
nuestra actuación.
 Evaluar periódicamente el diseño e implementación del Sistema de Control de
Calidad.
 Reportar el resultado de la revisión del Sistema de Control de Calidad a la Alta
Dirección y Comité de Auditoría, así como a todos los miembros de la Unidad de
Auditoría, con el fin de que los temas de mejora sean conocidos por el personal que
no fue revisado.

www.auditool.org 10
  Se deben definir los responsables de preparar los planes de acción para subsanar
las debilidades identificadas.
 Definir quién y con qué periodicidad debe dar seguimiento a los planes de acción
diseñados para subsanar debilidades.
 Definir cuáles son las consecuencias del incumplimiento de los planes de acción.
 Definir cuál es el alcance que se le dará a la revisión en términos de trabajos y
auditores revisados.
 Definir cuáles son los criterios para la selección de revisores.
 Definir cuáles son los criterios para la selección de los trabajos que serán revisados.
 Definir cómo se deben documentar las revisiones.
 Definir guías o procedimientos para que los resultados del monitoreo del Sistema de
Control de Calidad formen parte de los procesos de evaluación, desarrollo profesional
y compensación del personal
 Definir cuáles son los procedimientos a seguir cuando existen quejas de terceros
o del personal por incumplimiento con normas profesionales, leyes o reglamentos
que afectan nuestra actuación profesional.

Por otro lado, las evaluaciones se complementan con elementos como la supervisión
durante la ejecución de los trabajos, también deben enfocarse en la revisión de los trabajos
terminados con el fin de verificar el adecuado cumplimiento de las políticas de calidad
implementadas.

Evaluaciones internas

Estas evaluaciones son de dos tipos y pueden ser desarrolladas por medio de
autoevaluaciones del personal de la Unidad de Auditoría Interna o por evaluaciones que
realicen funcionarios de otras áreas de la Organización con conocimientos en Auditoría:

- Evaluaciones Internas continuas, que se desarrollan con las revisiones rutinarias de

los trabajos.
- Evaluaciones Internas Periódicas, que evalúan una actividad globalmente
considerada.

El éxito de los resultados de las evaluaciones parte de una adecuada planificación de los
trabajos de auditoría a realizar, pues cuando el auditor tiene claramente definidos tanto el
alcance y los objetivos que busca cumplir, así como el programa a desarrollar, el proceso de
supervisión tiene, a su vez, definidos los grados de cumplimiento que debe validar en cada
una de las etapas, y se le facilita identificar las desviaciones presentadas respecto al
cumplimiento de los objetivos.

www.auditool.org 11
La no realización de una supervisión oportuna y adecuada en todo nivel durante la ejecución
del trabajo genera debilidades, pues en algunos casos es solo en el momento en que se
tienen los entregables cuando se identifican las desviaciones que tuvo el trabajo, y en otros
casos es cuando el auditor interno oficializa dichas presentaciones, enfrentado a
cuestionamientos sobre los resultados del trabajo presentado, lo cual evidencia ausencia de
supervisión, y esto afecta su credibilidad en la Organización.

Durante la supervisión se deben realizar las siguientes validaciones:

- Los auditores asignados tienen la formación, conocimientos y competencias necesarias

para desarrollar el trabajo.
- La etapa de planificación debe ser verificada por el responsable del proyecto,
incluyendo tamaños de muestra acordes al ente auditable, aprobación de los
programas de trabajo, definición del alcance y objetivos a cumplir.
- Los programas de trabajo cuentan con los objetivos y procedimientos a seguir.
- Verificación de la ejecución correcta de los programas de trabajo de acuerdo con los
objetivos y procedimientos.
- Verificación de la documentación de los papeles de trabajo.
- Verificación de las revisiones realizadas a los entregables.

Evaluaciones externas

Son culminadas por personal externo e independiente a la Organización, especializado en

el tema; de acuerdo con la norma 1312 dichas evaluaciones deben realizarse por lo menos
cada cinco años.

Dentro de los objetivos de las evaluaciones externas encontramos que éstas se orientan a
revisar áreas clave como la organización del área, las metodologías, el desempeño y la
percepción de la Organización sobre el trabajo de la función de Auditoría Interna en términos
de su aporte de valor a la Organización, por lo cual sus objetivos se pueden resumir así:

- Evaluar el cumplimiento de las Normas recogidas en el Marco Internacional para la

Práctica Profesional de Auditoría Interna (MIPPAI).
- Validar el cumplimiento de la misión con la cual fue concebida la función de Auditoría
Interna dentro de la Organización, de acuerdo con los principios establecidos en el
Estatuto de Auditoría Interna, así como por el cumplimiento de las expectativas de la
Alta Gerencia, Gerencia Operativa y el Comité de Auditoría.
- Considerar la percepción sobre el trabajo de la función de Auditoría Interna por parte
de los miembros de la Organización como generador de valor.
- Evaluación de las técnicas, herramientas y personal.
- Comparar la metodología empleada con las mejores prácticas conocidas, identificando
oportunidades de mejora.

www.auditool.org 12
Al finalizar la evaluación externa, se debe confeccionar un informe en el que se incluya la
opinión sobre si se cumple con las Normas, los lineamientos de la actividad, el Estatuto y las
oportunidades de mejora identificadas. Asimismo, el Director de Auditoría debe preparar un
plan de acción que permita aplicar las oportunidades de mejora.

Recursos humanos

Dentro del Programa de Aseguramiento y Mejora de la Calidad, el recurso humano que

conforma el equipo de Auditoría es una de las variables clave al momento de evaluarlo, por
lo cual su vinculación, formación y evaluación deben ser factores que el Director de Auditoría
debe tener previamente definidos y revisarlos regularmente.

Selección y vinculación

Si bien los procesos de selección de los auditores internos se pueden realizar dentro del
marco de contratación de la Organización, cumpliendo con los valores y principios que
identifican a los empleados de la misma, es importante que el Director de Auditoría solicite
que la selección se ajuste al cumplimiento de los conocimientos técnicos y habilidades con
que debe contar un auditor.

La vinculación de los auditores internos al equipo debe partir de la definición formal del perfil
que se considera deben cumplir los candidatos que aspiren a ser auditores, en el que cada
vez tiene mayor importancia contar con certificaciones especializadas, tales como CIA o
CISA, entre otras.

De acuerdo con lo anterior, la selección de los auditores internos debería tener definidos
como mínimo los siguientes requisitos:

 Documentación del perfil de los candidatos.

 Manual de funciones y responsabilidades del cargo.
 Tipos de exámenes de selección de acuerdo con el cargo y las habilidades.
 Tipos de entrevista de acuerdo con el cargo.
 Encargado de preparar y aplicar los exámenes de selección.
 Encargado de aprobar la selección del candidato.

Posteriormente, la vinculación de todo auditor debe contar con un proceso de capacitación

adicional al brindado por la Organización; el material facilitador de dicha capacitación debe
ser actualizado periódicamente (al menos una vez al año), así mismo, debe contar con los
registros de revisión, de tal forma que la capacitación garantice que la información entregada
al nuevo miembro del equipo se encuentra alineada con las técnicas utilizadas. En esta fase
resultará muy útil que los nuevos auditores incorporados en la Organización tengan
oportunidad de conocer las prácticas operativas realmente aplicadas en la empresa,
trabajando temporalmente algún periodo de tiempo antes de incorporarse definitivamente
en la Unidad de Auditoría.

www.auditool.org 13
Toda capacitación debe formalizarse, y su evidencia debe custodiarse, conservando el
registro de la lectura y entendimiento tanto del Manual de funciones y responsabilidades
como del Estatuto de Auditoría Interna y el Código de Ética, entre otros.

Confidencialidad

Todos los miembros del equipo deben proteger y mantener la confidencialidad de la

información que se les entrega para su trabajo, y utilizarla o revelarla únicamente en
relación con el fin para el que se obtuvo. Debido a esto, al momento de la vinculación, y por
lo menos una vez al año, se debe obtener una declaración de confidencialidad por parte de
todo el personal y se recomienda que esta documentación se conserve en los archivos.

Se sugiere desarrollar las siguientes prácticas:

 Divulgar y recordar las políticas de confidencialidad a todo el personal del equipo

mediante diferentes medios y de forma regular.
 Contar con una infraestructura que permita conservar, catalogar y recuperar
información tanto en forma electrónica como impresa y protegerla contra acceso no
autorizado o uso inapropiado.

Evaluaciones de desempeño

Las evaluaciones de desempeño buscan crear un ambiente de mejora continua en las

organizaciones. Su objeto es determinar oportunidades de mejora en las aptitudes y actitudes
de los individuos que realizan los trabajos. Normalmente, las evaluaciones de desempeño
se realizan de forma anual, sin embargo, se recomienda realizar un seguimiento en la mitad
del periodo con el fin de conocer su avance y tomar decisiones en los casos en que se
observe algún tipo de situación que indique que no se va a cumplir con el objetivo.

La evaluación de desempeño debe establecer un vínculo entre las capacidades, las

competencias, el desarrollo, la promoción y la compensación. Esto es, debe premiar
aquellos

desempeños excepcionales, por ejemplo, mediante bonos, incremento salarial, ascensos,

etc., y crear planes de acción para aquellos desempeños que están por debajo de lo
esperado.

Dentro del proceso de evaluación de desempeño se deben definir objetivos para los
individuos que estén alineados con los objetivos del área.

www.auditool.org 14
¿Cuál es la mejor forma de evaluar el desempeño del personal y lograr impactar la
Organización?, ¿Cuál es el mejor enfoque?

La respuesta está en la gestión integral del desempeño, que busca integrar los objetivos y
prioridades estratégicas de la Organización con las del área y con la gestión individual del
personal, a través de sus competencias.

Los gerentes de Recursos Humanos son los llamados a integrarse con el resto de los
ejecutivos para entender la estrategia y modificar el modelo de evaluación, de forma que se
alinee con la estrategia, las prioridades y las competencias empresariales, así como con las
requeridas por el área, pues suele ocurrir que las evaluaciones aplicadas a los miembros
de la función de Auditoría Interna sean las mismas que se aplican al resto de la
Organización, olvidándonos de las destrezas y habilidades que debe desarrollar el auditor.
El Director de Auditoría Interna es quien debe acordar con el área de Recursos Humanos el
método para evaluar el desempeño de sus colaboradores desde la perspectiva de Auditoría.

El primer paso a cumplir es que el área tenga bien definidos sus objetivos, que tenga claras
sus prioridades. Sobre esto el área debe identificar las competencias empresariales
requeridas para lograr sus objetivos.

Lo segundo es determinar la brecha existente entre las competencias empresariales y las

competencias de los colaboradores, iniciando por el nivel de Alta Dirección y de ahí al resto
del capital humano.

Dentro del proceso de la evaluación del desempeño se deben tener en cuenta los siguientes
aspectos:

 Responsable del desarrollo y mantenimiento del modelo de evaluación.

 Periodicidad con que se deben efectuar las evaluaciones.
 Encargados de la evaluación de desempeño.
 Definición de un rango de calificación.
 Criterios de evaluación.
 Acciones a tomar de acuerdo con el rango de calificación.

www.auditool.org 15
Desarrollo profesional continuo

La norma 1230 define que “los auditores internos deben perfeccionar sus conocimientos,
aptitudes y otras competencias mediante la capacitación profesional continua”, lo que
implica que para la mejora de capacidades, competencias, desarrollo profesional, promoción
y compensación, es necesario que el Director de Auditoría Interna y cada uno de los
miembros tengan en cuenta los siguientes aspectos:

 El equipo de trabajo que ejecuta el proyecto es entrenado permanentemente en temas

de auditoría, IT, normatividad, etc.
 Definir procedimientos para desarrollar las aptitudes de los miembros del equipo.
 Definición de planes formales de aprendizaje que indiquen requerimientos mínimos
por año.
 Determinación de la programación de formación interno o externos.
 Definición de programas de autoestudio (Cursos virtuales, lectura de manuales de
procedimientos, etc.)
 Charlas con los miembros del equipo en donde se compartan experiencias
 Acciones a tomar cuando alguien no cumple con los programas de aprendizaje
 Modelos mínimos de competencia por nivel de experiencia
 Definición de políticas para las promociones
 Definición de un modelo para planear el desarrollo del personal que contemple
habilidades diferentes a las técnicas.
 Capacidades, competencia, desarrollo profesional, promoción y compensación, todo
esto, debe estar amarrado con la evaluación de desempeño.

Administración de trabajos

A continuación, se presentan algunos puntos importantes a la hora de ejecutar los planes de

trabajo aprobados:

a) Definir un presupuesto de horas

Con el fin de ser eficientes en nuestro trabajo debemos definir un presupuesto de horas que
sea acorde con los compromisos adquiridos, pero sin dejar a un lado la calidad de nuestro
trabajo.

El presupuesto de horas normalmente lo elaboraremos durante la planificación de las

auditorías, definiendo para cada proceso el número de horas asignadas y de allí las horas
que tendrán cada uno de los funcionarios que intervendrán, es decir, debemos detallar las
horas de ejecución y supervisión; estas últimas se deben asignar a los niveles requeridos.

www.auditool.org 16
 b) Precondiciones para una auditoría

Para establecer si están presentes las precondiciones para una auditoría, el auditor deberá:

I. Obtener la aprobación de la Administración de que reconoce y entiende su

responsabilidad:
i. Sobre la preparación de los estados financieros de acuerdo con el marco de
referencia de información financiera.
ii. Sobre el control interno.
iii. De proporcionar el auditor:
• Acceso a toda la información requerida por el auditor como registros,
documentación y otros asuntos;
• Información adicional que el auditor pueda solicitar a la Administración para
el fin de la Auditoría; y
• Acceso sin restricción a personas y bienes físicos dentro de la entidad y para
los que el auditor determine si es necesario obtener evidencia de auditoría.

c) Reporte de tiempo

Partiendo del presupuesto de horas, durante el desarrollo de la auditoría debemos llevar un

control de las horas transcurridas en cada proyecto por cada uno de los participantes en la
auditoría, con el fin de realizar un seguimiento al cumplimiento del presupuesto.

La administración de las horas del equipo que participará en el proyecto estará a cargo del
gerente asignado.

d) Tener definida y documentada la metodología que vamos a aplicar

Una metodología de auditoría fundamentada en normas internacionales, normalmente está

compuesta por los siguientes pasos:

I. Plan Anual de auditoría

En la planificación anual de la actividad de auditoría, todos nuestros esfuerzos deben

ir encaminados a:

 Detectar los riesgos significativos del negocio y sus implicaciones en los objetivos
estratégicos de la Organización
 Determinar el mapa de riesgos partiendo de la cadena de valor y los factores
de riesgos identificados

www.auditool.org 17
  Definición de otros factores clave para la definición de las áreas auditables,
tales como procesos con mayor impacto financiero, mayor nivel de rotación
del personal, cambios tecnológicos y operativos, requerimientos de la
administración.
 Cronograma de auditoría
 Atender los requerimientos de Alta Dirección, Comité de Auditoría, Gerencias
operativas y Reguladores.
 Verificación del grado de atención de las recomendaciones incluidas en los
trabajos de auditoría previamente efectuados.

II. Entendimiento de los procesos

A este paso corresponde comprender el funcionamiento de los procesos a ser

auditados, apoyándonos en entrevistas con los funcionarios clave que intervienen en
el proceso, así como en las pruebas de recorrido, de tal forma que validemos que los
controles expresados por el auditado sí existen y funcionan realmente. Con lo anterior
pretendemos poder identificar los riesgos que amenazan el cumplimiento de los
objetivos y los controles efectivos que mitigan dichos riesgos. Finalmente, evaluamos
el diseño y la efectividad de estos controles. Adicionalmente, identificamos los
controles con los cuales la compañía mitiga los riesgos de negocio y de fraude
(identificados en la planeación) para evaluar el diseño y la efectividad de estos
controles.

III. Diseño de pruebas

En algunas ocasiones, los auditores internos tienden a enfocarse en el diseño de

pruebas fundamentadas en la razonabilidad, de forma que nos permita evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno, por lo
cual debemos probar los controles (diseño, implementación y efectividad), y si dichos
controles están mal diseñados o no existen planteamos pruebas sustantivas de tal
forma que los resultados de las mismas nos permitan presentar evidencia con relación
a la materialización de riesgos no mitigados.

IV. Finalización de la auditoría

Con base en los resultados obtenidos en los pasos I, II y III anteriores, el auditor emitirá
su opinión, formalizada en su correspondiente informe de auditoría, en el que se deben
incluir los siguientes apartados:

 Conclusiones alcanzadas.
 Recomendaciones que se consideran adecuadas para subsanar las debilidades
apreciadas.
 Planes de acción asumidos por los auditados que permitan implementar las
recomendaciones.

www.auditool.org 18
 V. Definir manuales de procedimientos del desarrollo operativo de la
metodología, modelos de papeles de trabajo y entrenamiento

La Unidad de Auditoría Interna debe contar con manuales de procedimientos que

tengan documentada la metodología de auditoría y modelos de papeles de trabajo que
faciliten su implementación. Adicionalmente, se deben definir jornadas de
capacitación relacionadas con la metodología de trabajo que sea implementada.

VI. Todo el trabajo de auditoría debe ser adecuadamente documentado y

soportado con evidencias válidas y suficientes

El objetivo del auditor es preparar la documentación que proporcione un registro

suficiente y apropiado, evidenciando que la auditoría se planeó y realizó de acuerdo
con los estándares que resulten aplicables.

La forma, contenido y extensión de la documentación de la auditoría depende de

factores tales como:

 La naturaleza de los procedimientos de auditoría por realizar.

 Los riesgos identificados de representación errónea de importancia relativa.
 La importancia de la evidencia obtenida de la auditoría.
 La naturaleza y extensión de las excepciones identificadas.
 La necesidad de documentar una conclusión, o la base para una conclusión no
fácilmente determinable, con la documentación del trabajo realizado o la
evidencia obtenida de la auditoría.
 La metodología y herramientas de auditoría empleadas.

La documentación de auditoría puede registrarse en papel o en medios electrónicos o de

otro tipo.

Beneficios de una buena documentación

Las Unidades de Auditoría que actúan con calidad deben realizan un proceso formal de
documentación de su trabajo. Es importante resaltar que este es un factor crítico de éxito en
la protección y generación de valor en nuestros clientes. Estos son algunos beneficios:

 Acumulación del conocimiento del cliente.

 Fácil transición en caso de realizar algún cambio en el equipo de trabajo.
 Permite proporcionar evidencia suficiente y adecuada en caso de que el trabajo del
auditor sea cuestionado por terceros.
 Permite documentar aquellos aspectos clave a los que el auditor debe realizar
seguimiento continuo.

www.auditool.org 19
  Ahorro de tiempo en la ejecución de la auditoría en periodos posteriores.
 Permite la supervisión y revisión continua del trabajo.
 Permite realización de auditorías de calidad por parte de miembros internos o externos.
 Posibilita al auditor mantener un enfoque disciplinado del trabajo.

Buenas prácticas en la elaboración de papeles trabajo del auditor

✓ Cada papel de trabajo debe contener como mínimo: objetivo, procedimientos,

resultados y conclusiones.
✓ La documentación debe responder a los objetivos planteados.
✓ La documentación debe quedar totalmente amarrada con sumarias, anexos u otros
papeles.
✓ La documentación debe ser completa, concreta, fácil de entender y no redundante.
✓ En caso de un litigio ese papel puede ser utilizado como defensa nuestra.
✓ Que cualquier persona la puede entender (por ejemplo: un abogado). “Los papeles de
trabajo deben hablar”.
✓ Los papeles de trabajo en cada fase de auditoría son finalizados y revisados de forma
oportuna.
✓ Es recomendable la existencia de políticas para efectuar revisiones de calidad del
trabajo efectuado antes de que se entreguen los reportes.
✓ La documentación debe quedar firmada por la persona que la elabora y la persona que
la revisa con la fecha en la que se completó cada trabajo.
✓ Todos los temas deben quedar totalmente cerrados.
✓ El papel de trabajo debe permitir reconstruir la prueba.
✓ Los papeles que anexamos deben ser realmente relevantes.
✓ En la documentación no es necesario incluir los borradores de papeles de trabajo y de
estados financieros, notas que reflejen razonamientos incompletos o preliminares.
✓ Los hallazgos deben quedar en los respectivos papeles de trabajo (diferencias de
auditoría, recomendaciones, temas críticos, etc.).
✓ La evidencia de revisión de impuestos, certificaciones, y otros requerimientos es
archivada y está disponible en caso de que surjan reclamaciones.
✓ La documentación del auditor debe quedar almacenada en medios electrónicos o en
papel.
✓ Deben existir políticas de archivo y retención de los papeles de trabajo que se
utilizaron para documentar el reporte emitido.

www.auditool.org 20
 VII. Definir los equipos de trabajo que participarán en el proyecto

Se recomienda que el equipo de trabajo asignado al proyecto sea multidisciplinario y

cuente con experiencia.

En todos aquellos procesos que tengan componentes automatizados, se debe contar

con el acompañamiento de un especialista en sistemas.

Es recomendable que el equipo de trabajo sea asignado para todo el período

programado para el proyecto, y evitar, en lo posible, su rotación.

VIII. Consultas

Dentro de los procedimientos de la función de Auditoría Interna se debe tener en

cuenta esto:

 Las consultas relacionadas con temas críticos y/o complejos se deben escalar
siguiendo el conductor regular.
 Se deben definir los pasos a seguir para efectuar consultas internas o a
especialistas externos y la forma de documentarlas.
 Procedimientos a seguir cuando existen diferencias de opinión y la forma de
documentarlas.

IX. Imagen del auditor ante los clientes

En los trabajos de Auditoría es importante manejar los temas técnicos, sin embargo,
igual de importante es la imagen que proyectemos en nuestros clientes. Proyectar una
buena imagen nos permitirá mantener buenas relaciones con nuestro cliente y mejorar
nuestra reputación.

Una buena imagen es la combinación tanto de la parte interior como de la parte exterior
de una persona. Ser amable, educado, inteligente, agradable y vestir de forma discreta
y convencional nos proyectará como profesionales integrales. Nosotros somos la
imagen de nuestro negocio.

Una mala impresión es una oportunidad perdida. Por lo anterior, es importante tener
en cuenta los siguientes consejos desde el inicio de la relación con los miembros de
la Organización:

✓ Saludar mirando a los ojos y con una sonrisa sincera.

✓ Pedir siempre el favor y dar las gracias.
✓ No debemos ser arrogantes, petulantes. “La sabiduría no se impone, simplemente
se manifiesta y los demás la perciben”.

www.auditool.org 21
 ✓ Saber escuchar y mirar a los ojos a nuestro interlocutor.
✓ Ser puntuales, la puntualidad demuestra respeto hacia las demás personas.
✓ Ser amables, educados y agradables.
✓ Hacer que el auditado se sienta importante de forma sincera.
✓ Programar las visitas a nuestro cliente con anticipación y elaborar y enviar un
requerimiento de información con más de una semana de anticipación.
✓ Preparar las reuniones con el cliente definiendo objetivos y una agenda. Antes de
iniciar la reunión apague el celular.
✓ Respetar las opiniones del cliente y si estamos equivocados debemos aceptarlo.
“La humildad es de sabios”.
✓ Llamar a las personas por su nombre.
✓ Evitar las quejas continuas de nuestro trabajo y de nuestra vida en general.
✓ Evitar el uso de palabras inadecuadas y gestos exagerados.
✓ Buena ortografía y buena redacción; en las cartas y correos que enviemos
debemos ser cuidadosos con la ortografía y la redacción, eso dice mucho de un
profesional. Te recomendamos utilizar el corrector ortográfico de Word y leer
mucho, eso enriquece nuestro vocabulario y nos ayuda con nuestra redacción.
✓ Leer y responder los correos de forma oportuna.
✓ Devolver las llamadas que no podamos responder al recibirse.
✓ Cumplir con los compromisos adquiridos con el cliente de forma oportuna; en caso
de que no pueda cumplir debe informarle al cliente con anticipación.
✓ Responder siempre a una invitación que se nos haga, ya sea confirmando nuestra
asistencia o excusando nuestra ausencia.
✓ Vestir de forma adecuada y prestando atención a la higiene personal.
✓ Mantenernos actualizados en temas técnicos; leer y estudiar mucho, esa es la
materia prima de nuestro producto.
✓ Mantenernos actualizados en temas de cultura general.
✓ Demostrar rectitud y honestidad; de nuestro trabajo dependen las decisiones que
tomen terceras personas (Bancos, Inversionistas, Proveedores, Clientes, etc.)
✓ Evite crear relaciones afectivas con los funcionarios de la compañía (noviazgos,
amistades, etc.); esto puede afectar tanto nuestra independencia, como proyectar
una imagen inadecuada.
✓ Debemos cuidar nuestro cuerpo hacer ejercicio, comer saludablemente e ir al
médico.
✓ Aprender otros idiomas; la globalización trae nuevas oportunidades.
✓ Mantener una actitud positiva, leer y escuchar libros y grabaciones alegres,
rodearnos de personas positivas, pensar y actuar en positivo.

www.auditool.org 22