Академический Документы
Профессиональный Документы
Культура Документы
Calidad de la Dirección
de Auditoría Interna
B U E N A S P R Á C T I C A S
El INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de
las organizaciones impulsando la Auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios,
auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.
LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión
de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.
El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen
gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el
intercambio de conocimientos entre los socios.
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Evaluaciones Internas de
Calidad de la Dirección
de Auditoría Interna
B U E N A S P R Á C T I C A S
Diciembre 2018
3
Índice
EL PROGRAMA DE ASEGURAMIENTO Y MEJORA DE LA CALIDAD 06
Beneficios de su implantación ................................................................................. 07
Componentes del Programa de Aseguramiento y Mejora de la Calidad
en Auditoría Interna .................................................................................................. 07
LECCIONES APRENDIDAS 32
¿Qué condiciones previas requiere el Programa de Aseguramiento
y Mejora de la Calidad? ............................................................................................ 32
El Programa de Aseguramiento y Mejora de la Calidad
en organizaciones pequeñas de Auditoría Interna ............................................. 32
BIBLIOGRAFÍA 33
5
El Programa de Aseguramiento
y Mejora de la Calidad
El mundo empresarial actual contempla el Cumplir con este requisito normativo global
concepto “Calidad Total” –y todo lo que con- es fundamental para que la actividad de Audi-
lleva para la organización, procedimientos, toría Interna se perciba como “creíble” ante
etc.– en la búsqueda permanente de la com- todos los stakeholders (la Comisión de Audi-
petitividad de sus productos y servicios, para toría, la Alta Dirección, los auditados, etc.), y
incrementar y mejorar la productividad. Los aportadora de valor a la organización. Por es-
En Auditoría Interna múltiples escenarios en los que se ha desarro- to resulta esencial implementar un Programa
la Calidad debe verse llado este concepto tienen un elemento co- de Aseguramiento y Mejora de la Calidad
como el grado en el mún: apoyar los cambios en las empresas im- (PAMC) efectivo para Auditoría Interna.
que sus actividades plantando programas de mejora continua.
están en conformidad Este programa proporciona una seguridad ra-
con las Normas Este enfoque sitúa a Auditoría Interna en la zonable, tanto al director del área como a
Internacionales. necesidad de que su organización y activida- otras partes interesadas, en que la actividad
des estén alineadas con el programa de mejo- de Auditoría Interna y el trabajo realizado por
ra continua imperante en todas las áreas de cada auditor interno se ajustan a los compo-
la empresa. En el ámbito de Auditoría Interna, nentes obligatorios contemplados en el Mar-
la Calidad debe verse como el grado en el co Internacional para la Práctica Profesional
que las actividades realizadas por el área es- de la Auditoría Interna.
tán en conformidad con las Normas Interna-
cionales para el Ejercicio Profesional de la Au- Varios estudios internacionales2, reflejan que
ditoría Interna (en adelante, Normas Interna- tan solo el 34% de las direcciones de Audito-
cionales)1. ría Interna cuentan con un PAMC implantado,
1. Se entienden por tales los elementos de cumplimiento obligatorio del Marco Internacional para la Práctica Profesional
de la Auditoría Interna: los Principios Fundamentales, el Código de Ética, las Normas Internacionales y la definición de
Auditoría Interna.
2. The IIA Research Foundation. The Global Internal Audit Common Body of Knowledge, 2010 y 2015.
6
pese a lo establecido en la serie de Normas un PAMC se eleva al 57,5%. De este porcen-
1300–Programa de Aseguramiento y Mejora taje, el 49,2% de los encuestados tendrían
de la Calidad. De ellos solo el 44% declaraba implantado un programa completo con eva-
tener completamente implantada la Norma luaciones internas y externas, y el 44,3%
1311–Evaluaciones internas. cumpliría con la Norma 1311–Evaluaciones El PAMC dota de un
internas. marco creíble a la
En línea similar se manifiesta el Estudio de
Benchmarking 2018 · Selfie de la Auditoría Estos datos convierten a la serie de Normas actividad de Auditoría
Interna en España, si bien en este caso el por- 1300 en la de menor cumplimiento de to- Interna, lo que debería
centaje de los que afirman tener implantado das. traducirse en la
dotación de recursos
económicos suficientes.
BENEFICIOS DE SU IMPLANTACIÓN
Quedarnos sólo con la visión de que el PAMC CIOS de implantar este programa3 para la
es necesario para cumplir con las Normas se- empresa en su conjunto, y para Auditoría In-
ría distorsionar la realidad, que no es otra que terna en particular.
la aceptación generalizada de los BENEFI-
3. The IIA Research Foundation. Internal Audit Quality Assurance and Improvement: A call to action.
7
El siguiente cuadro presenta los diferentes PAMC y muestra las diferencias existentes en-
elementos a tener en cuenta en este tipo de tre las evaluaciones internas y externas.
metodología de evaluación contenida en el
Normas 2200, 2300, 2400, 2500 Todas las Normas Todas las Normas
BUSCA CONFORMIDAD Internacionales Internacionales
CON
Marco Internacional para la Práctica Profesional de la Auditoría Interna
llevan a cumplir con las Normas Internaciona- · Las Normas Internacionales para la Práctica
les para el Ejercicio Profesional de la Auditoría Profesional de la Auditoría Interna.
Interna. · El Código Ético.
8
· La idoneidad de las políticas y procedimien- control rutinarias del área de Auditoría In-
tos de Auditoría Interna. terna, generalmente la realización de los
· La manera en que Auditoría Interna añade trabajos propios (aspecto desarrollado en
el capítulo siguiente).
valor.
· El grado en que se ha alcanzado el nivel 2. Las AUTOEVALUACIONES PERIÓDICAS, di-
óptimo de los indicadores clave de desem- señadas para evaluar la conformidad con
peño. las Normas Internacionales y con el Código
de Ética del Instituto de Auditores Internos Las evaluaciones
· El grado en que se han satisfecho las ex-
Global (en adelante, Código de Ética), así internas son la base
pectativas de los stakeholders.
como con los estándares de calidad exigi- para afrontar el
· Requerimientos regulatorios, si aplica. cumplimiento de los
dos para la actividad de Auditoría Interna
De acuerdo con las mejores prácticas, las eva- en su conjunto (desarrolladas en el capítu- estándares exigidos por
luaciones internas –contempladas como indi- lo Buenas prácticas y cumplimiento de pro- las evaluaciones
cábamos antes en la Norma 1311– son la ba- cedimientos para la autoevaluación perió- externas.
se para afrontar con éxito el cumplimiento de dica, página 16).
los estándares exigidos por las evaluaciones Las evaluaciones internas, tanto continuas co-
externas. mo periódicas, deben identificarse en un ma-
Como se refleja en el cuadro anterior, dentro nual que describa el Programa de Asegura-
de las evaluaciones internas de calidad se miento de la Calidad completo en el que se
incluyen dos tipos de supervisiones: deben documentar y definir el enfoque y la
metodología para realizar este proceso, el
1. La SUPERVISIÓN CONTINUA o seguimien- proceso de autoevaluación periódica, así co-
to continuo de la actividad de Auditoría In- mo recoger las guías y programas necesarios
terna, que comprende las actividades de para su realización.
9
por el equipo de Auditoría Interna, mientras 5. Comunicación de la auditoría interna y
que otros pueden implementarse en un soft- reunión de inicio.
ware de gestión de trabajos de auditoría in- 6. Aprobación del programa de trabajo.
terna, dotando de automatismo al proceso de
El principal valor 7. Trabajo de campo. Papeles de trabajo.
evaluación.
añadido de los PAMC
8. Supervisión de los trabajos.
es la mejora en la En el Anexo 1 podemos encontrar ejemplos
atención y satisfacción 9. Identificación y grading de recomendacio-
de controles a realizar relativos a:
percibida por auditados nes.
y demás stakeholders. 1. Aprobación del universo auditable. 10. Emisión y aprobación del informe.
2. Aprobación del mapa de riesgos. 11. Implantación de recomendaciones.
3. Aprobación del plan anual y posteriores 12. Elaboración y cierre del sumario del pro-
modificaciones. yecto de auditoría interna.
4. Planificación adecuada y documentada.
CUESTIONARIOS DE SATISFACCIÓN
Las encuestas de satisfacción de clientes tie- Mediante las encuestas es posible medir la
nen como meta evaluar el grado de cumpli- consecución de este objetivo e investigar cuá-
miento de las expectativas de los stakeholders les son los puntos fuertes y las oportunidades
de Auditoría Interna, y son una herramienta de mejora para la Dirección de Auditoría In-
básica dentro de la supervisión continua. terna respecto al trabajo realizado.
El principal valor añadido que ofrecen los Los cuestionarios pueden ser solicitados in-
PAMC es precisamente esta mejora en la mediatamente después de finalizar cada tra-
atención y satisfacción percibida por los audi- bajo o con carácter periódico, normalmente
tados y demás stakeholders4. de forma anual.
4. Según el informe The Value of Quality Assurance and Improvement Programs, elaborado por The IIA Research Founda-
tion, un 65% de entre más de mil encuestados apoya esta afirmación.
10
1. CUESTIONARIOS A LA FINALIZACIÓN · Los responsables de las unidades audi-
DE CADA TRABAJO DE AUDITORÍA IN- tadas. Las preguntas deberían estar en-
TERNA focadas hacia aspectos relacionados con
Habitualmente, los destinatarios son los las expectativas que tienen de los traba-
responsables de las unidades auditadas, y jos de Auditoría Interna y con los objeti-
el objeto está relacionado básicamente vos y el valor añadido de las recomenda-
con el desempeño del equipo auditor en ciones y oportunidades de mejora plante-
el desarrollo de su actividad. adas. (Si también se están realizando en-
cuestas al finalizar los trabajos, los cues-
Las encuestas se envían normalmente al
tionarios se deberían diseñar de forma
finalizar el trabajo de Auditoría Interna o
que las preguntas no resulten reiterati-
la revisión de éste. No obstante, podría
vas, coordinando los contenidos de am-
enviarse una encuesta para varios traba-
bos cuestionarios).
jos, siempre y cuando se trate de ámbitos
y/o directivos que han sido auditados en · La Comisión de Auditoría. Deberían es-
varias ocasiones o en un intervalo de tar dirigidos a conocer aspectos relacio-
tiempo reciente. nados con la contribución de la Dirección
de Auditoría Interna al cumplimiento de
las responsabilidades del Consejo.
2. CUESTIONARIOS PERIÓDICOS
Están más relacionados con la percepción · Los auditores internos. Las cuestiones
que tienen los diferentes stakeholders de tendrían que ver con aspectos relaciona-
la Dirección de Auditoría Interna en cuan- dos con su propio trabajo.
to al cumplimiento de su Misión, la defini-
ción de la actividad, y las expectativas
que tienen en relación con la misma. Escalas
Las encuestas pueden dirigirse a stakehol- El esquema de escalas de Likert5 es el sistema
ders diferentes: de medición más utilizado. Puede ir de “Insa-
tisfactorio” a “Excelente”, de “Totalmente en
· La Alta Dirección. Las personas de ma-
Desacuerdo” a “Totalmente de Acuerdo”, etc.
yor responsabilidad que han podido ser
(Véase más información en el apartado Qua-
destinatarios de informes de Auditoría In-
lity Assessment Interno, subapartado sobre
terna. En general, las cuestiones pueden
Desempeño de trabajo: la autoevaluación, pá-
estar enfocadas a aspectos más genera-
gina 25).
les relacionados con la contribución de la
Dirección de Auditoría Interna al logro de También es habitual el uso de escalas de tipo
los objetivos de la organización. numérico.
5. Este sistema psicométrico, ideado por el psicólogo Rensis Likert, es la escala de medición de uso más amplio en en-
cuestas para la investigación. Al responder a una pregunta de un cuestionario elaborado con esta técnica se especifica
el grado de conformidad con una declaración o supuesto.
11
Contenido del cuestionario · Conocimientos adecuados de los auditores
internos (procesos del negocio, objetivos,
Cada Dirección de Auditoría Interna deberá riesgos, controles) para poder realizar su la-
definir el objetivo que persigue con los cues- bor.
Es importante
tionarios y formulará las preguntas en función
garantizar la En todas las encuestas debería incluirse un
de sus expectativas e intereses; en todo caso,
confidencialidad de las apartado abierto para “comentarios” que
alternando cuestiones cualitativas y cuantita-
respuestas para que los aportan una visión más cualitativa que las
tivas. Las principales cuestiones a incluir son:
evaluados se expresen preguntas anteriores. En este campo, los en-
libremente. · Valor añadido/Utilidad y oportunidad, apor- cuestados pueden opinar, tratar aspectos no
tados por el trabajo de Auditoría Interna. cubiertos por las preguntas, exponer una vi-
· Valoración de la planificación y de los obje- sión general del trabajo de Auditoría Interna
tivos cubiertos. e, incluso, propuestas de mejora.
12
de elaborar un plan de acción para contra- El Director de Auditoría Interna puede consi-
rrestar las opiniones negativas y mejorar, a fu- derar que algunas de las valoraciones de los
turo, el grado de satisfacción de los clientes auditados respecto al equipo de Auditoría In-
internos. terna se incorporen en la valoración anual de
objetivos de los auditores internos, de modo
Algunos profesionales pueden considerar que que se haga hincapié en las buenas prácticas
tener valoraciones muy altas en los cuestiona- a la hora de desarrollar su trabajo. Esto puede
rios de satisfacción de los auditados no es re- realizarse siempre y cuando el objetivo no sea
comendable, pues hasta cierto punto convie- la mejora de la percepción del auditado, lo
ne que el trabajo del auditor interno implique que conllevaría pérdida de imparcialidad y
una distancia mínima con los auditados. objetividad para el auditor interno.
INDICADORES A MONITORIZAR
El seguimiento continuo de la actividad de así como el cumplimiento con las normas y
Auditoría Interna es clave para la calidad del los procedimientos internos definidos en el
área y su desempeño, que debe documentar departamento (en adelante, indicadores QA -
en la definición el seguimiento e informe de Quality Assessment).
Usar un marco definido
indicadores clave de rendimiento (KPI: Key
La evaluación continua de indicadores QA es de indicadores
Performance Indicators) que se reportarán a
una alternativa muy eficiente en la evaluación aumenta la
la Alta Dirección y al Consejo6.
de trabajos de auditoría interna (Véase más probabilidad de que la
Usar un marco sistemático y definido de indi- información en el apartado Quality Assess- actividad sea
cadores aumenta la probabilidad de que la ment Interno, subapartado Evaluación de tra- consistente con los
actividad sea consistente con los objetivos de- bajos de Auditoría Interna, página 28), pues objetivos definidos.
finidos. Si bien se puede contar con una gran permite valorar en menos tiempo el cumpli-
cantidad de indicadores (en función de la dis- miento de las normas y procedimientos inter-
ponibilidad de herramientas y recursos), lo nos sobre todo el universo de trabajos ejecu-
ideal es concentrar el seguimiento en aquellos tados.
relevantes para la Dirección, acompañados de
No se espera que todos los aspectos a evaluar
un reporte y gestión continua al más alto ni-
en los trabajos sean cubiertos con indicado-
vel.
res, ya que debe mantenerse el criterio exper-
Los indicadores sirven para medir la gestión to en temas menos formales.
propia de la actividad de Auditoría Interna,
6. WollerMarch, Basil. “Core Principles and the QAIP. Demonstrating the effectiveness of the IPPF’s Principles shows inter-
nal audit’s alignment with stakeholder expectations”. Internal Auditor Magazine. Febrero 2017, p. 31-35 15.
13
A continuación, se presenta un detalle de es- La generación de estos indicadores depende-
tos indicadores de gestión y de QA, que se rá de cuánta información pueda obtenerse de
pueden incorporar en la medición de la activi- las herramientas de auditoría.
dad de Auditoría Interna.
· Porcentaje de auditores internos entre el total de empleados de la Organización. Número de auditores internos por cada 1.000 empleados.
· Número de auditores internos por cada millón de euros en ingresos o activos.
· Participación de auditores internos en proyectos/publicaciones externas.
Reporting:
Evaluación de Plan anual Planificación Trabajo de campo Informe · Comisión Auditoría
Riesgos
· Top Management
Número de requerimientos especiales
· Supervisores
Time to market
· Cumplimiento del plan
Cobertura del universo · Cumplimiento de indicadores de calidad de los Seguimiento A.I. Resultados de
auditable · Indicadores para medir trabajos encuestas de
el aporte de valor Ratios de satisfacción de las áreas
· Resultados de revisiones de control de calidad recomendaciones auditadas/clientes
Indicador periódico (mensual, trimestral, etc.) que va midiendo el cumplimiento del Plan de Au-
Cumplimiento del Plan de Auditoría ditoría Interna. Puede estar definido en función de los trabajos finalizados y horas ejecutadas,
Interna
entre otros.
Número de trabajos especiales (no incluidos en el Plan Anual) requeridos por la Alta Dirección y
Número de requerimientos especiales
el Consejo.
14
INDICADOR DESCRIPCIÓN
Indicadores de calidad dirigidos a validar los aspectos indicados en las normas y procedimientos
internos de Auditoría Interna que sean susceptibles de cuantificarse. Algunos ejemplos son:
· Supervisión del tiempo y al nivel adecuado en cada una de las fases del trabajo de auditoría:
Cumplimiento de indicadores planificación, trabajo de campo e informe.(por ejemplo: % de trabajos con desviación supe-
de calidad de los trabajos rior a xx días en las fechas previstas de entrega del informe borrador y/o del plan de trabajo).
· Cierre oportuno de papeles de trabajo y proyectos de auditoría interna.
· Cumplimiento de tiempos planificados para cada trabajo de auditoría interna.
· Supervisión a nivel adecuado en la implementación de las recomendaciones.
El objetivo es definir un indicador que represente la visión cualitativa obtenida en las revisiones
Resultados de revisiones de control específicas de calidad. Algunos ejemplos:
de calidad · Puntuación promedio obtenida en las revisiones de calidad.
· Número de trabajos con la peor calificación entre el total.
Mide el conocimiento técnico de los equipos en función de las variables que Auditoría Interna
defina como prioritarias. Algunos ejemplos:
Capacidades técnicas · Porcentaje de auditores internos con certificación profesional.
de los auditores internos
· Porcentaje de auditores internos con los conocimientos técnicos (en base a riesgos) requeri-
dos para la elaboración del Plan: TI, Big Data, riesgos estructurales, de mercado, etc.
El cumplimiento de los niveles de formación definidos para los auditores internos puede medirse
de diferentes formas:
· Número de cursos recibidos.
· Horas de formación recibidas.
· Incremento de formación técnica / habilidades (una opción sería a través de las evaluacio-
Formación nes).
· Reducción del gap de conocimientos: Se debe haber definido previamente el gap de conoci-
mientos (nivel de conocimientos requerido para dar una adecuada cobertura al Plan Anual
comparado con el nivel de conocimiento existente en el equipo de Auditoría Interna) y cómo
se valorará la cobertura de este gap (formación, horas de experiencia, contratación externa,
entre otros).
Mide en términos generales el nivel de cumplimiento del presupuesto asignado a Auditoría In-
terna para el desempeño de su función. Algunos indicadores adicionales que pueden ser incor-
porados son:
Cumplimiento del presupuesto · Porcentaje de gastos de viaje sobre el total del coste de Auditoría Interna.
· Porcentaje de coste co-sourcing / outsourcing sobre el total del coste de Auditoría Interna.
· Ahorro de costes respecto al presupuesto.
15
Buenas prácticas y cumplimiento de
procedimientos para la
autoevaluación periódica
El Director de Auditoría Según la Guía de Implementación correspon- nión en las evaluaciones periódicas de la cali-
Interna debe conocer diente a la Norma 1311, las autoevaluacio- dad de la Dirección de Auditoría Interna.
profundamente el nes periódicas comprueban que se cumplen el
Marco Internacional y conjunto de todas las Normas Internaciona- Roles y responsabilidades del Director
reunirse con el Consejo les, mientras que la supervisión continua está de Auditoría Interna
para compartir el PAMC más centrada en las llamadas normas sobre
y que lo respalden. desempeño de los trabajos de Auditoría Inter- El Director de Auditoría Interna, como respon-
na. sable de desarrollar y mantener el Programa
de Aseguramiento y Mejora de la Calidad
En este sentido, las autoevaluaciones periódi- (PAMC), debe tener un conocimiento profun-
cas están diseñadas para evaluar la conformi- do del Marco Internacional para la Práctica
dad con las Normas Internacionales y el Códi-
Profesional de la Auditoría Interna y reunirse
go de Ética, así como la calidad de la activi-
con el Consejo para compartir el PAMC y con-
dad de Auditoría Interna en su conjunto. En
seguir que lo respalden.
particular, se busca la conformidad y la eva-
luación de los siguientes elementos: Entre sus roles y responsabilidades están:
· Las Normas Internacionales y el Código de · Realizar una supervisión continua de la
Ética. actividad de Auditoría Interna, incluyendo
· Políticas y procedimientos de Auditoría In- los trabajos de consultoría, y asegurar que
terna. se llevan a cabo las evaluaciones internas y
externas de forma adecuada y con la perio-
· El valor aportado por Auditoría Interna.
dicidad establecida.
· Eficiencia y efectividad de Auditoría Interna
en cumplir con las necesidades de sus gru- · Tratar con la Alta Dirección y el Consejo
pos de interés. de Administración la cualificación de los
evaluadores, y todo lo relacionado con su
· La evaluación del grado de cumplimiento
independencia y objetividad, para evitar
de los indicadores de seguimiento estable-
conflicto de intereses, durante el proceso
cidos.
de selección del equipo de evaluación ex-
· Estatuto de Auditoría Interna. terno de calidad
· Requerimientos regulatorios, si aplica.
· Periódicamente, comunicar los resultados
Además, los resultados de la supervisión con- del PAMC y de las correspondientes eva-
tinua deberán considerarse como un elemen- luaciones internas y externas a la Alta Di-
to más que contribuya a formarse una opi- rección y al Consejo, declarando si se está
16
operando conforme a las Normas Interna- de afectar al desarrollo de la actividad e in-
cionales y al Código de Ética del Instituto formar de su impacto, de los planes de ac-
de Auditores Internos Global. ción elaborados para implementar las reco-
mendaciones identificadas en los procesos
· Comunicar a la Alta Dirección y al Conse-
de evaluación y de su nivel de implanta-
jo si las evaluaciones concluyen que la
ción.
actividad de Auditoría Interna no cumple
con las Normas Internacionales y eso pue-
17
propio sector de actividad (financiero, segu- equipo de evaluación sí perteneciera a ella.
ros, público, etc.). Incluso es muy habitual que estas autoeva-
luaciones las desarrollen exclusivamente
· Haber realizado una declaración de que
auditores internos del área, estableciendo
Para preservar mayor conoce y aplica el Código de Ética del Ins-
independencia y las correspondientes salvaguardas de inde-
tituto de Auditores Internos Global, así co-
objetividad se pendencia.
mo conocer el Código de Ética y Conducta
recomienda que los de la propia compañía y de los valores que · Puede ser conveniente contar en el equipo
responsables de las inspiran su cultura, participando periódica- de evaluación con personas con experien-
autoevaluaciones de mente en acciones formativas o de divulga-
cia en otras áreas como, por ejemplo, en
calidad sean ajenos a la ción.
gestión de riesgos empresariales, auditoría
Dirección de Auditoría
· No presentar incompatibilidades o con- de tecnologías de la información, auditoría
Interna.
flictos de interés que puedan limitar su ob- de sistemas medioambientales, muestreo
jetividad e independencia en la evaluación estadístico, sistemas de supervisión y auto-
de calidad, y que pudieran haberse puesto evaluación del control.
de manifiesto a través de los canales for-
· Haber realizado trabajos previos de eva-
males de comunicación y denuncias esta-
blecidos por la compañía a estos efectos o luación externa, o haber colaborado con
por otros canales que pudieran existir. los equipos que han realizado las mismas,
ayuda a entender mejor el rol del evalua-
· Con el fin de preservar mayor independen- dor, las técnicas y metodología de la eva-
cia y objetividad, es recomendable que los luación.
responsables de las autoevaluaciones de
calidad sean ajenos a la Dirección de Au- · Destrezas en relaciones humanas y comu-
ditoría Interna, aunque podría ser intere- nicación, con capacidad de análisis cons-
sante que alguno de los miembros del tructivo.
7. Desarrollado en origen por la Universidad Carnegie-Mellon para el Software Engineering Institute (SEI). El concepto
aparece en los años 70, inicialmente enfocado al área de Tecnologías de la Información dentro de una organización, y
ha evolucionado expandiéndose a otras disciplinas como Gestión de Calidad, Recursos Humanos, Seguridad y, en con-
creto, para evaluar el área de Auditoría Interna. En el ejercicio de la Auditoría Interna y Control, el Modelo de Madurez
se emplea para evaluar un proceso, área de la organización o para las actividades propias de Control Interno, Gestión
de Riesgos y Auditoría Interna.
18
El Modelo de Madurez es un sistema para evaluaciones de sus direcciones de Audito-
medir un proceso, siempre teniendo presente ría Interna con dos enfoques diferentes:
su vinculación a los objetivos que se persi- - Evaluar la Dirección de Auditoría Interna
guen. Así, la madurez de un proceso puede y su grado de madurez con respecto a su
entonces compararse con las expectativas de alineamiento con las Normas Internacio-
la Dirección, o con unos estándares de madu- nales.
rez de otros procesos (benchmarking). - Evaluar diferentes componentes de la Di-
En definitiva, del Modelo de Madurez se ob- rección de Auditoría Interna, enfoque
tienen las oportunidades de mejora que ayu- igualmente alineado con las Normas In-
dan a un proceso u organización a satisfacer ternacionales. En este caso, los compo-
nentes de referencia son habitualmente:
sus objetivos previstos a corto, medio y largo Del Modelo de
el papel y los servicios de Auditoría Inter-
plazo. Madurez se obtienen
na, gestión de personal, prácticas profe-
A la hora de desarrollar o aplicar el Modelo sionales, gestión del desempeño y res- las oportunidades de
de Madurez para la Dirección de Auditoría In- ponsabilidad, relaciones con la organiza- mejora que ayudan a
terna, puede ser útil evaluar preliminarmente ción, cultura y estructuras de gobierno. satisfacer sus objetivos
los riesgos que pueden poner en peligro la previstos a corto, medio
Para ambos enfoques existen perspectivas
consecución de los objetivos del área, así co- y largo plazo.
desarrolladas para aplicar el Modelo de
mo las medidas de control establecidas. Todo Madurez, que pueden seguirse o adaptarse
ello es relevante para evaluar y mejorar la según las necesidades de cada organiza-
madurez de los procesos involucrados. ción9.
La guía práctica desarrollada por el Instituto · Determinar la escala. Determinar los nive-
de Auditores Internos en julio de 20138 pue- les de madurez que serán objeto de evalua-
de ser útil para desarrollar o aplicar el Modelo ción permanente. Lo deseable, siguiendo
de Madurez para evaluar la Dirección de Au- las mejores prácticas, es establecer cinco
ditoría Interna. niveles, siendo el nivel 1 la fase inicial y el
nivel 5 el nivel optimizado / el más maduro
En su aplicación, en consonancia con la filo- / la mejor práctica.
sofía y principios incluidos en la citada guía,
se pueden distinguir TRES PASOS CLAVE: · Desarrollar las expectativas del modelo.
Definir las expectativas que sería necesario
· Determinar el propósito del modelo y sus reunir para alcanzar los niveles determina-
componentes. Las organizaciones vienen dos para cada uno de los componentes de-
utilizando el Modelo de Madurez en las finidos.
8. The Global Institute of Internal Auditors. Selecting, using, and creating maturity models: A tool for Assurance and Con-
sulting Engagements, 2013.
9. - The Global Institute of Internal Auditors. Internal Audit Maturity Assessment – (Basado en el cumplimiento de cada
una de las Normas Internacionales y el Código de Ética).
- The IIA Research Foundation. Internal Audit Capability Model (IA-CM), 2009 – (Basado en diferentes componentes).
- HEESAKERS, Els; TENTHOF VAN NOORDEN, Joko; VERMEIJ-DE VRIES, Maureen y VERMULM, Marieta. Internal Audit
Ambition Model. Amsterdam: The Institute of Internal Auditors the Netherlands, 2016. ISBN 880.99.762.1625. (Basa-
do en diferentes componentes).
19
Para visualizar cómo se comportaría el Mode- plos concretos según la base tomada en
lo de Madurez siguiendo lo descrito anterior- cuenta en el modelo empleado.
mente, se recogen a continuación dos ejem-
MODELO DE MADUREZ BASADO EN EL MARCO INTERNACIONAL PARA LA PRÁCTICA PROFESIONAL DE LA AUDITORÍA INTERNA
NORMA 2200 - PLANIFICACIÓN
Inicial
No hay una planificación. Si la hay, no está documentada.
Definido
Se realiza una planificación. Ésta se documenta, pero no existe una metodología formalizada de aplicación.
NIVELES DE MADUREZ
Implantado
Se realiza una planificación. Ésta se documenta, pero la metodología no se aplica de manera homogénea
en la organización.
Gestionado
Se realiza una planificación. Ésta se documenta y sigue la metodología formalizada, pero no se tienen en
cuenta las mejores prácticas o no se actualiza periódicamente.
Maduro/Mejor práctica
Existe una planificación que se encuentra formalizada en una metodología que se aplica de forma
homogénea, se adapta cuando las circunstacias lo requieren y se siguen la mejores prácticas existentes.
Definido
Existen planes formales de desarrollo. Auditoría Interna cubre únicamente las necesidades generales de la
organización al disponer de recursos limitados.
Implantado
NIVELES DE MADUREZ
Auditoría Interna cuenta con políticas formales que incluyen la planificación del desarrollo profesional y la
formación.
Auditoría Interna da cobertura a la mayor parte de las áreas de la organización, si bien no cuenta con
todos los recursos necesarios.
Gestionado
El desarrollo profesional es una prioridad. Existe un modelo formalizado de competencias y formación.
Auditoría Interna cubre todas las áreas de la organización que han sido identificadas como necesarias,
dotándola de los recursos internos y externos necesarios.
Maduro/Mejor práctica
Existe un modelo formalizado de competencias y formación que se revisa periódicamente y existen
indicadores de cumplimiento del mismo dentro de Auditoría Interna.
Auditoría Interna cuenta con los recursos internos y externos necesarios, lo que permite asignar los más
adecuados en cada una de las áreas de la organización.
20
En definitiva, los elementos clave a los que o actividad clave, y ajustarlo siempre que
nos enfrentamos a la hora de desarrollar y sea necesario.
poner en práctica un Modelo de Madurez
· Es común que el Modelo de Madurez se
son:
presente con un informe de resultados
· Tener muy presente el Marco Internacio- gráfico, que permite una visión clara e in-
nal para la Práctica Profesional de la Au- mediata de los logros obtenidos, siendo
ditoría Interna a la hora de construir el parte integrante del informe de resultados
Modelo de Madurez como parte integrante del PAMC. El siguiente gráfico refleja la for-
de las autoevaluaciones periódicas en el ma más habitual de presentar los resulta-
ejercicio de las Evaluaciones Internas de dos en este tipo de herramienta.
Calidad. MODELO DE MADUREZ · INFORME DE RESULTADOS
Papel y servicios
· Una vez construido, debe realizarse una de Auditoría Interna
autoevaluación inicial que se actualizará 5
periódicamente para determinar en qué 4
punto de madurez se ubica la Dirección de
Estructura 3 Gestión
Auditoría Interna, teniendo en cuenta cada de Gobierno del personal
2
uno de los componentes definidos. Esta he-
1
rramienta determina el nivel de las capaci-
0
dades alcanzadas e indica correctamente
hacia dónde se orienta y dirige la Dirección
de Auditoría Interna. Relaciones con
la Organización Prácticas
En este sentido, el Modelo debería recoger y la Cultura profesionales
tanto un nivel aspiracional que se plantee
Auditoría Interna y que garantice suficien-
temente el cumplimiento de las Normas In- Gestión del desempeño
ternacionales, como un nivel crítico que es y responsabilidad
· La eficacia del Modelo se construye bajo la Fuente: Internal Audit Ambition Model. The Institute of In-
ternal Auditors the Netherlands.
premisa de que, para alcanzar un nivel de-
terminado, se han logrado todos los requi- El nivel de madurez de la Dirección de Audito-
sitos de ese nivel y todos los niveles inferio- ría Interna debe reflejar que los riesgos que
res. puedan afectar al área son acordes al posicio-
namiento que la misma tiene en el Modelo de
· El Modelo debe revisarse regularmente Madurez. De esta forma, la evaluación del
para adaptarlo a los cambios en la organi- cumplimiento del área con las Normas Inter-
zación y a las nuevas prácticas disponibles nacionales y el Código de Ética se abordará
a nivel internacional. Junto a ello, es nece- ponderando correctamente los riesgos para
sario revisar si se olvida algún componente tratar de mitigarlos.
21
QUALITY ASSESSMENT INTERNO
Quality Assessment o Aseguramiento de la En esta metodología que proponemos es ne-
Calidad (en adelante QA) es una metodología cesario enfocar el proceso teniendo en cuenta
que busca verificar el grado de alineamiento los resultados del modelo de madurez de la
de la Dirección de Auditoría Interna con las Dirección de Auditoría Interna, mediante el
Normas Internacionales para la Práctica Pro- que se define el posicionamiento de la misma
fesional de la Auditoría Interna. Puede reali- frente a los niveles críticos, a los niveles obje-
zarse de forma externa e independiente o, tal tivo y a las mejores prácticas. El nivel alcanza-
como tratamos en este documento, interna- do en el modelo de madurez deberá valorar
mente. los inputs que provienen de los resultados de
la medición continua y los resultados de eva-
En principio, no debe diferir mucho de cual- luaciones internas y externas anteriores. Los
quier otro tipo de trabajo realizado por Audi- riesgos identificados como consecuencia de
toría Interna y, por tanto, la metodología utili- debilidades observadas a través del modelo
zada debería cumplir igualmente con las Nor- de madurez deberán ser considerados en el
mas Internacionales y con el Código de Ética. proceso de QA interno.
RESULTADOS DE MONITORIZACIÓN
CONTINUA
MODELO DE MADUREZ QA INTERNO
· Feedback de clientes
· Posicionamiento · Opinión y expectativas
· KPI de trabajos de Auditoría Interna de partes interesadas
RESULTADOS DE EVALUACIONES · Identificación y riesgos · Evaluación interna
INTERNAS ANTERIORES de auditoría
RESULTADOS DE EVALUACIONES
EXTERNAS ANTERIORES
22
QUALITY ASSESSMENT INTERNO · FASES DE ELABORACIÓN
1
ANÁLISIS: Entendimiento de las Normas Internacionales
¿Cuáles son las Normas Internacionales y todas sus guías prácticas de desarrollo?
¿Qué se espera en cada una de la Normas Internacionales?
2
PLANIFICACIÓN: Programa de trabajo
¿Qué tengo que evaluar?
¿Qué documentos/procesos están formalizados en mi Dirección de Auditoría Interna?
3
DESEMPEÑO DE TRABAJO: La autoevaluación
¿Dispongo de todos los elementos definidos en el programa de trabajo?
¿Qué conclusiones de mejora se detectan?
El Programa de Trabajo
deberá incluir el
pósito, autoridad, responsabilidad, inde- · La estructura organizativa del área (or- alcance, los objetivos, el
pendencia, objetividad, aptitud, cuidado ganigrama, miembros, responsables de tiempo y los recursos; y
profesional y calidad). la ejecución, supervisión, calidad, etc.). considerar los riesgos
· El reporting jerárquico y funcional de relevantes para el
- NORMAS SOBRE PLANIFICACIÓN–Nor-
Auditoría Interna. trabajo.
mas 2000-2070.
Establecen cómo se gestiona la activi- · La metodología, los procesos formaliza-
dad, cómo se administran los recursos y dos en nuestra área, la tecnología utili-
se informa a la Alta Dirección y al Con- zada, etc.
sejo. · Documentos formalizados y aprobados
- NORMAS SOBRE REALIZACIÓN DE TRA- en Auditoría Interna (estatuto, código de
ética, manual de Auditoría Interna, me-
BAJOS–Normas 2100-2600.
moria anual, etc).
Determinan cómo se planifican, ejecutan
y comunican los resultados de los traba- El Programa de Trabajo deberá incluir el al-
jos realizados. Se propone evaluar el cance, los objetivos, el tiempo y los recur-
cumplimiento de este bloque de normas sos. Además, deberá considerar los riesgos
mediante el análisis de un muestreo de relevantes para el trabajo. Es en este punto
trabajos de auditoría interna. donde el modelo de madurez debe consi-
derarse como un input, enfocando el tra-
2. PLANIFICACIÓN: Programa de Trabajo bajo según el posicionamiento de Audito-
Este segundo paso consiste en conformar ría Interna en relación con los niveles críti-
el programa de trabajo a llevar a cabo en cos y deseados, y verificando que el impac-
la última fase. Este punto vendrá del análi- to potencial de los riesgos que conlleva tal
sis realizado en la etapa anterior. posicionamiento se mantiene en un nivel
Nos debemos cuestionar al menos: aceptable.
· El propósito, la autoridad, las responsa- Es recomendable que las pruebas para la
bilidades y el alcance de las actividades verificación de las Normas Internacionales
llevadas a cabo por Auditoría Interna. relativas a la ejecución de los trabajos de
23
auditoría se basen en el cumplimiento de forma temática, focalizadas en determina-
las Normas Internacionales de una mues- dos aspectos de una muestra amplia esco-
tra representativa de las auditorías realiza- gida.
das. La revisión puede realizarse en audi-
A continuación, se muestra un esquema de
torías en marcha (hot reviews) o ya finali- un Programa de Trabajo.
zadas (cold reviews), y pueden hacerse de
24
DESARROLLO DEL PROGRAMA DE TRABAJO · EJEMPLO
1.1.1 Propósito, autoridad 1.1.1.1 Propósito, autoridad y responsabilidad (1000): verificar que el propósito,
y responsabilidad (1000) la autoridad y la responsabilidad de la actividad de Auditoría Interna se
encuentran formalmente definidos en un estatuto, de conformidad con la
definición de Auditoría Interna, el Código de Ética y las Normas Internacionales,
comprobando que el estatuto ha sido presentado por el director del área a la Alta
Dirección y al Consejo para su aprobación.
1.1.1.2 Reconocimiento de la definición de Auditoría Interna, el Código de Ética y las
Normas Internacionales en el estatuto de Auditoría Interna (1010): verificar si
el estatuto reconoce la naturaleza obligatoria de la definición de Auditoría
Interna, el Código de Ética y las Normas Internacionales.
(…)
2.1.1 Administración de la 2.1.1.1 Planificación (2010): verificar si el Director de Auditoría Interna tiene establecido
actividad de Auditoría un plan basado en los riesgos, a fin de determinar las prioridades del
Interna (2000) departamento y si dichos planes son consistentes con las metas de la
organización.
2.1.1.2 Comunicación y aprobación (2020): verificar si el Director de Auditoría Interna
comunica los planes y requerimientos de recursos del área, incluyendo los
cambios provisionales significativos, a la Alta Dirección y al Consejo de
Administración para la adecuada revisión y aprobación, comprobando si también
comunica el impacto de cualquier limitación de recursos.
(…)
Por último, para cada punto tendríamos que evaluar si la Dirección de Auditoría Interna se en-
cuentra en uno de los siguientes estados:
25
● Cumple Generalmente: significa que el cativas que menoscaban seriamente la
evaluador ha concluido que hay confor- labor de auditoría o impiden que se
midad general con una mayoría de las desempeñen adecuadamente sus res-
Normas Internacionales o con los ele- ponsabilidades.
Las pruebas a realizar
mentos del Código de Ética (los Princi-
sobre cada uno de los La Dirección de Auditoría Interna debe
aspectos revisados pios y Reglas de Conducta) y que hay
tomar medidas inmediatas para solu-
deberán estar conformidad parcial con otros aspectos.
cionar la situación.
soportadas Puede haber oportunidades de mejora,
convenientemente por pero no deben representar situaciones ● No aplica: Significa que no procede
los papeles de trabajo. donde la Dirección de Auditoría Interna evaluar el grado de cumplimiento de la
no haya implementado las Normas In- Norma, ya que no responde a una si-
ternacionales o el Código de Ética, no tuación a la que se enfrente la Direc-
las aplique eficazmente o no alcance ción de Auditoría Interna.
los objetivos fijados.
Las pruebas a realizar sobre cada uno de los
● Cumple Parcialmente: significa que el
aspectos revisados deberán estar soportadas
evaluador ha concluido que se obser-
convenientemente por los PAPELES DE TRA-
van deficiencias que provocan desvia-
BAJO, que incluirán:
ciones de las Normas Internacionales,
pero estas deficiencias no impidieron · La identificación de la información que se
que la Dirección de Auditoría Interna ha utilizado para alcanzar los objetivos
cumpliera con sus responsabilidades de planteados.
manera aceptable. · Los análisis y valoraciones realizados por
En general, se presentan algunas opor- los auditores internos para alcanzar las
tunidades significativas de mejoras en conclusiones y resultados de sus trabajos.
la aplicación eficaz de las Normas Inter- · La documentación que respalde los resulta-
nacionales o del Código de Ética y/o en dos del trabajo y sus valoraciones.
el logro de sus objetivos. Algunas de las
deficiencias pueden escapar al control
La evaluación podrá utilizar CUESTIONARIOS
de la Dirección de Auditoría Interna y
(ver página siguiente) en los que constarán:
dar como resultado recomendaciones a
la Alta Dirección o al Consejo de Admi- · La situación actual de cada uno de los as-
nistración de la organización. pectos revisados.
26
Programa Evaluación interna de la actividad de Auditoría Interna
ÁREA 1 NORMAS SOBRE ATRIBUTOS
(…) (…) ■ ■
27
¿Cuándo deben llevarse a cabo los Evaluación de trabajos de auditoría
QA internos? interna
Como se ha comentado anteriormente, el QA Se propone evaluar el cumplimiento con las
interno es un componente más de las autoe- Normas Internacionales relacionadas con la
valuaciones. En la práctica de Auditoría Inter- realización de trabajos (normas 2100 a 2600)
na se considera recomendable llevar a cabo mediante el análisis de una muestra de traba-
un QA interno con periodicidad anual; si bien, jos a lo largo de todas las fases de su desem-
es razonable realizar un QA interno periódico peño: planificación, ejecución, comunicación y
intercalado entre las evaluaciones externas. supervisión.
Este proceso es similar al realizado por un Una posibilidad es hacerlo mediante revisio-
evaluador externo al menos una vez cada 5 nes cruzadas: un miembro del equipo revisa
años (Norma 1312 – Evaluaciones externas), un trabajo en el que no haya participado. De-
Se recomienda realizar por lo que la metodología definida debe es- be asegurarse la independencia de estas revi-
un QA interno con pecificar claramente la frecuencia y alcance siones para que no haya evaluaciones recípro-
periodicidad anual; si de ambas revisiones que garanticen el cum-
cas. En el Anexo 3 (página 41) se incluye un
bien es razonable plimiento de los objetivos.
ejemplo de formulario para realizar la evalua-
realizar uno periódico No es obligatorio realizar la evaluación de to- ción; si bien de forma general se consideran
intercalado entre las das las Normas Internacionales de forma si- válidas las mismas plantillas mostradas en es-
evaluaciones externas. multánea, pudiendo priorizarse por su critici- te capítulo.
dad para una determinada Dirección de Audi-
toría Interna o bien evaluando las Normas por Evaluación según indicadores
bloques, según lo expuesto al comienzo de
este capítulo. Otra posibilidad de evaluar un trabajo es por
medio de indicadores (KPI) relacionados con
La autoevaluación es un proceso que se vuel-
la eficiencia de las prácticas estandarizadas
ve especialmente crítico cuando:
del trabajo. Algunos ejemplos de estos indica-
· Surge un cambio relevante en las Normas dores son:
Internacionales. En 2017 se llevó a cabo
· Supervisión a tiempo y al nivel adecuado
una revisión completa de las Normas, ha-
en cada una de las fases del trabajo de au-
ciendo del QA interno un elemento vital
ditoría: Planificación, trabajo de campo e
para evaluar si de los cambios realizados
informe. Ej.: % de trabajos con desviación
por el Instituto de Auditores Internos Glo-
superior a xx días en las fechas previstas de
bal se derivan modificaciones que tengan
entrega del informe borrador y/o del plan
que ser implantadas por las direcciones de
de trabajo.
Auditoría Interna.
· Cierre oportuno de papeles de trabajo y
· Cuando surjan cambios significativos en la
proyectos de auditoría interna.
Dirección de Auditoría Interna (estructura,
organización, etc.) que pudieran haber im- · Cumplimiento de tiempos planificados para
pactado en su alineamiento con los reque- cada trabajo de auditoría interna.
rimientos establecidos en las Normas Inter- · Supervisión a nivel adecuado en la imple-
nacionales. mentación de las recomendaciones.
28
CUMPLIMIENTO DEL CÓDIGO DE ÉTICA
El propósito del Código de Ética del Instituto realice en las correspondientes evaluaciones
de Auditores Internos (en adelante, Código de internas de calidad:
Ética) es promover una cultura ética en la · El Estatuto de Auditoría Interna debe re-
profesión de Auditoría Interna, y abarca mu- coger el reconocimiento de los elementos
cho más que su definición, incluyendo dos obligatorios del Marco Internacional para
componentes esenciales: la Práctica Profesional de la Auditoría In-
terna, así como los principios y normas de
· Principios que son relevantes para la pro- conducta requeridos para el ejercicio de la
fesión y práctica de la Auditoría Interna: in- actividad profesional y de los propios audi-
tegridad, objetividad, confidencialidad y tores internos. Cumplir el Código de
competencia.
· El cumplimiento del Código de Ética pasa Ética pasa por que
· Reglas de Conducta que describen las nor- por que Auditoría Interna debe ser objeti- Auditoría Interna sea
mas de comportamiento que se espera va e independiente, y los auditores inter- objetiva e
sean observadas por los auditores internos nos deben cumplir con esos principios en el independiente. Los
y que ayudan a interpretar los Principios en desarrollo de su trabajo, según se determi- auditores internos
su aplicación práctica. na en las normas internacionales sobre “In- deben cumplir con esos
dependencia y Objetividad” (1100, 1110, principios en el
El Código de Ética se aplica tanto a los indi- 1120 y 1130). Incluir la responsabilidad desarrollo de su
viduos como a las actividades que proveen funcional del Consejo de Administración trabajo.
servicios de Auditoría Interna. En el caso de o de la Comisión de Auditoría hacia la ac-
los socios del Instituto de Auditores Internos tividad de Auditoría Interna en el propio
(IAI) y de aquéllos que han sido certificados Reglamento del Consejo/Comisión de Audi-
profesionales del IAI o son candidatos, el in- toría y en el Estatuto de Auditoría Interna,
cumplimiento del Código de Ética será eva- así como la adecuada dependencia del Di-
luado y administrado de conformidad con los rector de Auditoría Interna en la organiza-
Estatutos y Reglamentos Administrativos del ción, es fundamental para garantizar su in-
Instituto. El hecho de que una conducta parti- dependencia de actuación. (Normas del
cular no esté contenida en las Reglas de Con- Grupo 1000 sobre “Propósito, Autoridad y
ducta no impide que ésta sea considerada Responsabilidad”).
inaceptable o como un descrédito y, en con-
· Revisar las actas de la Comisión de Audito-
secuencia, puede hacer que se someta a ac- ría para determinar si se llevaron a cabo las
ción disciplinaria al socio, al poseedor de una responsabilidades funcionales del Conse-
certificación o al candidato a la misma. jo (Norma 1110).
Para el cumplimiento del Código de Ética, así · Se recomienda que el Director de Audito-
como para promover dicha cultura entre los ría Interna realice una declaración anual
miembros de la Dirección de Auditoría Inter- ante el Consejo o la Comisión de Audito-
na, se deberán observar, entre otros, los as- ría de que cumple con las Normas Interna-
pectos que se relacionan a continuación, los cionales relativas a la independencia y ob-
cuales estarán sujetos a la revisión que se jetividad de la actividad del departamento y
29
de los auditores internos. También de que internos para evitar que sean asignados
cumple con el Código de Ética y que no posteriormente a trabajos de aseguramien-
existen impedimentos a dicha independen- to antes del transcurso del plazo de un año.
cia y objetividad y, en el supuesto de que
Es recomendable tener así fuera, se ha puesto en conocimiento de · Recabar la opinión de los auditados a tra-
un Plan de Formación las partes interesadas. vés de encuestas o entrevistas del nivel de
adecuado a los perfiles capacitación y conocimientos necesarios de
de los auditores · Se recomienda que los miembros de Audi- los auditores internos en la realización de
internos que asegure la toría Interna realicen una declaración los trabajos encargados. Asimismo, que no
capacitación y anual de que conocen y aplican el Código se hayan manifestado en dichos trabajos
conocimientos para de Ética del IAI. Además, deben conocer y aspectos que pudieran vulnerar su objetivi-
desarrollar los trabajos aplicar el Código de Ética y Conducta de la dad u otros aspectos relativos al Código de
encargados. propia compañía y de los valores que inspi- Ética de la profesión.
ren su cultura, participando en acciones for-
mativas o de divulgación. Esta declaración · Es recomendable que los auditores internos
puede venir incluida en la memoria de acti- que se incorporen al área firmen un docu-
vidades anual de la Dirección de Auditoría mento de confidencialidad sobre la infor-
Interna. mación a la que tengan acceso en el ejerci-
cio de las funciones que les hayan sido
· Evitar, durante el periodo de un año, posi- asignadas.
bles incompatibilidades o conflictos de in-
terés en auditores internos de reciente in- · Verificar que en la realización de los traba-
corporación respecto a los trabajos de au- jos de auditoría interna el tratamiento, ar-
ditoría interna en áreas en las que tuvieran chivo y custodia de la información han si-
anterior responsabilidad. Asimismo, no par- do los adecuados con el fin de cumplir con
ticipar en ninguna actividad interna o exter- el principio de confidencialidad, así como
na que pueda perjudicar su objetividad e asegurar que los auditores internos respe-
imparcialidad por la existencia de intereses tan el valor y la propiedad de la informa-
personales o profesionales. Esta participa- ción que reciben y no divulgan información
ción incluye, entre otras, aquellas activida- sin la debida autorización, a menos que
des o relaciones que puedan estar en con- exista una obligación legal o profesional
flicto con los intereses de la organización. para hacerlo.
30
· Promover y disponer de certificaciones in- identificado alguna cuestión relevante
ternacionales de la profesión por parte de que pueda afectar al cumplimiento de las
los auditores internos como un elemento Normas Internacionales o reglas de con-
adicional de conocimiento y difusión de las ducta del Código de Ética.
Normas Internacionales y del Código de
· Por último, es recomendable que el Direc-
Ética. También pueden ser de utilidad otras
tor de Auditoría Interna sea miembro del
certificaciones relacionadas con su activi-
Comité Interno de Ética y Conducta de la
dad.
organización o Comité con similares res-
· También será importante constatar que el ponsabilidades, en el caso de que exista es-
equipo de evaluación de calidad no haya te órgano de gobierno.
31
Lecciones aprendidas
La serie de Normas ¿QUÉ CONDICIONES PREVIAS REQUIERE EL PROGRAMA DE ASEGU-
1300 puede requerir RAMIENTO Y MEJORA DE LA CALIDAD?
una cierta madurez en
Si bien las Normas Internacionales para la Los beneficios de contar con un PAMC solo
el área, para lo que se
Práctica Profesional de la Auditoría Interna no pueden materializarse después de contar con:
propone emplear el
establecen ningún “periodo de gracia” entre · Procedimientos de auditoría interna especí-
Modelo de Madurez.
la creación de una Dirección de Auditoría In- ficos de la organización.
terna y la obligatoriedad cumplir con ellas · Estatuto de Auditoría Interna.
–con la excepción de la obligatoriedad de · Dependencia jerárquica del primer ejecutivo
realizar evaluaciones externas cada 5 años y funcional de la Comisión de Auditoría.
(norma 1312)– la serie de Normas 1300 (las · Adopción del Código de Ética del IIA.
referentes al Plan de Aseguramiento y Mejora
· Un sistema informático (o cuando menos,
de la Calidad-PAMC) puede requerir una cier- un disco de red o equivalente) donde docu-
ta madurez en el área, para lo cual se propo- mentar las auditorías internas realizadas, la
ne emplear el modelo de madurez referido en planificación anual, seguimiento de reco-
el apartado El Modelo de Madurez como he- mendaciones, cursos de formación realiza-
rramienta (página 18). dos, etc.
Una “hoja de ruta” para organizaciones pe- · Establecer indicadores para evaluar la cali-
queñas de Auditoría Interna sería: dad de los trabajos (ver Anexo 1 y aparta-
· Dotarse de las condiciones previas descritas dos anteriores sobre Indicadores a monito-
en el apartado inmediatamente anterior de rizar y Evaluación según indicadores). De
este documento sobre las condiciones pre- esta forma, se evalúa el cumplimiento de
vias que requiere un PAMC. las normas 2100-2600 (relacionadas con la
32
realización de trabajos de auditoría inter- · Cuando Auditoría Interna esté razonable-
na). mente consolidada, realizar una evaluación
externa. En este sentido, cabe recordar que
· De forma gradual, evaluar el cumplimiento
las Normas Internacionales permiten reali-
de las normas. Empezando por:
zar evaluaciones recíprocas entre tres o
- Normas sobre atributos (normas 1000). más organizaciones, no siendo obligatoria
- Normas sobre planificación (normas la contratación de servicios externos.
2000-2070).
Bibliografía
• AENOR. ISO 9001:2015 Sistemas de gestión de la calidad. Requisitos, 2015.
• Instituto de Auditores Internos de España. Selfie de la Auditoría Interna en España. Estudio de
benchmarking 2018, 2018.
• Instituto de Auditores Internos de España. Sabor del mes. Programa de aseguramiento de la ca-
lidad, 2015.
• Instituto de Auditores Internos de España. LA FÁBRICA DE PENSAMIENTO. Guía de supervisión
para Comisiones de Auditoría. Cómo maximizar el valor de la Auditoría Interna, 2016.
• Instituto de Auditores Internos de España. Marco Internacional para la Práctica Profesional de
la Auditoría Interna, 2017.
• The IIA Research Foundation. CBOK. The Value of Quality Assurance and Improvement Pro-
grams. A Global Perspective, 2014.
• The IIA Research Foundation. CBOK. Internal Audit Quality Assurance and Improvement. A Call
to Action, 2016.
• The IIA Research Foundation. Manual de Evaluación de Calidad para la actividad de Auditoría
Interna, 2016.
• The IIA Research Foundation. Internal Audit Capability Model, 2009.
• The Institute of Internal Auditors. Insights to quality – achieving quality with IPPF, 2016.
• The Institute of Internal Auditors. Engage the Audit Committee, 2016.
• The Institute of Internal Auditors. Does your internal audit activity have the foundation for an
effective Quality Assurance and Improvement Program? 2016.
• The Institute of Internal Auditors. Practice Guide: Selecting, using, and creating maturity mo-
dels: A tool for Assurance and Consulting Engagements, 2013.
• The Institute of Internal Auditors. Internal Audit Maturity Assessment, 2011.
• The Institute of Internal Auditors. Keeping pace with quality, 2016.
• The Institute of Internal Auditors. Model Audit Committee Charter, 2013.
• The Institute of Internal Auditors. Model Audit Committee Charter, 2017.
• The Institute of Internal Auditors the Netherlands. Internal Audit Ambition Model, 2016.
• Woller, Basil. Demonstrating the effectiveness of the IPPF’s Principles shows internal audit’s
alignment with stakeholder expectations. Revista Internal Auditor. Febrero 2017, páginas 31-35.
33
Anexo 1
CHECKLIST SOBRE CUMPLIMIENTO DE POLÍTICAS Y PROCEDIMIEN-
TOS
Ejemplos de checklist relativos a:
34
· Equipo de trabajo:
- El trabajo se realizará por aquellas personas que tengan la formación técnica, capacidad y
experiencia profesional adecuada para llevarlo a cabo.
- Analizar la composición del equipo designado y evaluar la distribución de las tareas y res-
ponsabilidades (proporcionada y según dificultad y experiencia de los auditores).
- Realizar un análisis de potenciales conflictos de interés para garantizar independencia, inte-
gridad y objetividad.
35
Supervisión de los trabajos
· El jefe de proyecto comprueba si se han cumplido los objetivos de auditoría en base al alcance
definido, que se han realizado todas las pruebas y que dispone de los documentos de conclu-
siones definitivas.
· Un responsable revisa las tareas con el trabajo realizado y los hechos observados, así como las
recomendaciones, y se documenta dicha revisión.
· Se evalúa el desempeño del auditor interno.
· Se analizan las desviaciones entre horas previstas y horas reales. Se verifica si son razonables y
están justificadas. Por último, se registran adecuadamente los tiempos dedicados al trabajo.
· Se comprueba si han existido dificultades, interferencias o impedimentos en el desarrollo del
trabajo y elaboración y contenido del informe, si se ha podido acceder a toda la documentación
necesaria para realizar las tareas y si se ha mantenido una estricta confidencialidad sobre la in-
formación obtenida.
36
- ¿Existe alguna referencia (número de informe, código del trabajo, etc.) incluida en la porta-
da?
Objetivos de la auditoría interna:
- ¿Están los objetivos del informe/memoria alineados con los riesgos utilizados en la planifica-
ción anual y con los reflejados en el Plan de Trabajo?
- ¿Están los objetivos alineados para mitigar el impacto de los riesgos del trabajo?
- Si es un trabajo global ¿el informe tiene las confirmaciones previas de todas las ubicaciones?
Alcance de la auditoría interna:
- ¿Está el alcance del informe/memoria alineado con el alcance del Plan de Trabajo (última ver-
sión)?
Calendario y recursos:
- ¿Las fechas que aparecen en el documento son correctas, están actualizadas, formatos en-
tendibles, etc.?
Contactos:
- ¿Están identificados todos los contactos y la lista de distribución está completa y es exacta
(considerando las partes implicadas en los hallazgos, si el trabajo es local o global, etc.)?
- ¿El informe/memoria se ha compartido con las personas que se especifican en el Plan de Tra-
bajo?
- ¿Se ha identificado claramente al responsable de la implantación de las acciones correcti-
vas?
Formato:
- ¿Es consistente y adecuado el formato de las fuentes, tablas, etc.?
- ¿Se han añadido correctamente todas las tablas al informe?
Conclusiones:
- ¿Las conclusiones del informe están debidamente soportadas por las evidencias descritas en
el informe de Auditoría Interna?
- La valoración del informe es acorde a la criticidad de los hechos observados.
Informe final:
- ¿Se ha adjuntado la versión final del informe (y firmada) en el repositorio de Auditoría Inter-
na?
- ¿El formato del informe final tiene limitado los cambios/edición (pdf, etc.)?
En caso de traducciones:
- ¿Se ha comprobado la ortografía y la traducción correcta y con sentido del informe/memo-
ria?
37
Información sensible:
- ¿Se ha usado la plantilla del informe adecuada, según el criterio de "sensibilidad de datos"?
- ¿Existe alguna referencia/disclaimer/marcas de agua (información sensible) incluida en la
portada?
- ¿Existe alguna referencia/disclaimer/marcas de agua (información sensible) incluida en resto
de las páginas?
- ¿Se toman las medidas de seguridad (física y lógica) adecuadas?
- ¿Existe una política definida de custodia de la información (cuánto tiempo se guarda y cómo
se destruye al final de su ciclo de vida)?
Implantación de recomendaciones
· El equipo auditor realiza un seguimiento de las recomendaciones pendientes de implantación y
revisa, conforme a la estrategia de verificación que se haya definido, las respuestas obtenidas
de los auditados y evidencias aportadas, completando la información acerca de los avances o
acciones desarrolladas, nuevas fechas previstas de implantación, etc.
· El jefe de proyecto revisa el seguimiento realizado por el equipo auditor, comprobando que la
valoración sobre el cumplimiento de las recomendaciones está debidamente fundamentada. De
no ser así, solicita del equipo auditor nuevas comprobaciones.
· En determinadas ocasiones, y con motivo justificado y documentado, se puede alcanzar un
acuerdo con el área auditada para retrasar la fecha de implantación o suspender definitiva-
mente la implantación de una recomendación. Debe existir un procedimiento para llevar a cabo
dichas desestimaciones y/o aplazamientos conforme al grado de riesgo y criticidad. Si una reco-
mendación permanece sin implementar por un periodo considerable tras la fecha de vencimien-
to, el responsable de Auditoría Interna elevará la comunicación al personal con capacidad sufi-
ciente de gestión y explicará las consecuencias de no ejecutar el plan de acción, para asegurar-
se de que las personas responsables del área auditada conocen la situación y que aceptan los
riesgos que ello conlleva.
· De manera periódica, el responsable de Auditoría Interna informa al Consejo de Administración
y/o Comisión de Auditoría sobre el estado de las recomendaciones poniendo el foco en las de
mayor criticidad.
38
· Si existieran recomendaciones relacionadas, éstas deberán estar cerradas, bien implantadas o,
en casos excepcionales, desestimadas.
· Una vez se cierra el trabajo, se bloquea la edición de documentos ya cargados.
Anexo 2
CUESTIONARIOS DE SATISFACCIÓN
EJEMPLO DE CUESTIONARIO POST-AUDITORÍA INTERNA
39
EJEMPLO DE CUESTIONARIO ANUAL SOBRE LA ACTIVIDAD DE AUDITORÍA INTERNA PARA LA ALTA DIRECCIÓN
Calificar los aspectos indicados a continuación relacionados con la actividad de Auditoría Interna. Para ello se deberá marcar
una sola casilla por respuesta, utilizando la siguiente escala:
❑ (NA)No Aplica ❑ (1)Totalmente en desacuerdo ❑ (2)En desacuerdo ❑ (3)De acuerdo ❑ (4)Totalmente de acuerdo
2. El Plan Anual de Auditoría Interna es consistente con las metas de la organización, y se encuentra basado en riesgos te-
niendo en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación establecidos
por la organización para las diferentes actividades.
❑ No Aplica ❑ Totalmente en desacuerdo ❑ En desacuerdo ❑ De acuerdo ❑ Totalmente de acuerdo
3. El Director de Auditoría Interna considera las expectativas de la alta dirección de cara a planificar y priorizar sus trabajos.
❑ No Aplica ❑ Totalmente en desacuerdo ❑ En desacuerdo ❑ De acuerdo ❑ Totalmente de acuerdo
4. El Director de Auditoría Interna informa periódicamente a la Alta Dirección sobre la actividad de la auditoría interna en lo
referido a las actividades desarrolladas, incluyendo también las exposiciones al riesgo y cuestiones de control significativas,
cuestiones de gobierno y cualesquiera asuntos solicitados por la Alta Dirección.
❑ No Aplica ❑ Totalmente en desacuerdo ❑ En desacuerdo ❑ De acuerdo ❑ Totalmente de acuerdo
5. Auditoría Interna cuenta con un nivel de independencia en la organización que le permite cumplir con sus responsabilida-
des de forma efectiva.
❑ No Aplica ❑ Totalmente en desacuerdo ❑ En desacuerdo ❑ De acuerdo ❑ Totalmente de acuerdo
6. Los trabajos de Auditoría Interna se realizan desde una perspectiva imparcial y neutral, emitiendo juicios profesionales ob-
jetivos como resultado de los mismos.
❑ No Aplica ❑ Totalmente en desacuerdo ❑ En desacuerdo ❑ De acuerdo ❑ Totalmente de acuerdo
7. Auditoría Interna consigue minimizar, mediante la coordinación con otros proveedores internos y externos de asegura-
miento y consulta, la duplicación de esfuerzos, asegurando una cobertura adecuada a los riesgos críticos de la organiza-
ción.
❑ No Aplica ❑ Totalmente en desacuerdo ❑ En desacuerdo ❑ De acuerdo ❑ Totalmente de acuerdo
40
8. La tecnología empleada por Auditoría Interna (data analytics, big data…) ha sido una best practice que espero implantar
en mi área.
❑ No Aplica ❑ Totalmente en desacuerdo ❑ En desacuerdo ❑ De acuerdo ❑ Totalmente de acuerdo
9. Los informes de Auditoría Interna son precisos, objetivos, claros, concisos, constructivos, completos y oportunos.
❑ No Aplica ❑ Totalmente en desacuerdo ❑ En desacuerdo ❑ De acuerdo ❑ Totalmente de acuerdo
COMENTARIOS ADICIONALES
10. ¿Qué aspectos podría mejorar la Dirección de Auditoría Interna en la entidad para asistir de la mejor forma posible a la Al-
ta Dirección en el cumplimiento de sus responsabilidades?
Anexo 3
FORMULARIO PARA LA EVALUACIÓN DE TRABAJOS
Se adjunta un ejemplo de formulario para realizar la evaluación del cumplimiento de las Normas
Internacionales relacionadas con la realización de trabajos (Normas 2100 a 2600) mediante el
análisis de su cumplimiento en una muestra de trabajos (1-6).
Fuente: Elaboración propia a partir de la Guía D5 del Manual de Evaluación de Calidad para la actividad de Auditoría In-
terna, 2017. The IIA Research Foundation.
41
Norma 2201 – Consideraciones sobre Planificación
Criterios Clave de Conformidad Norma 1 2 3 4 5 6
A. La documentación de la planificación 2201
del trabajo contempla que los
auditores internos han tenido en
cuenta las estrategias y objetivos de
la actividad objeto de revisión y los
medios con los que esta actividad
controla su desempeño.
B. La documentación de la planificación 2201
del trabajo incluye los riesgos
significativos de la actividad, sus
objetivos, recursos y operaciones, y
los medios con los que el impacto
potencial de los riesgos se mantiene
en un nivel aceptable.
C. La documentación de la planificación 2201
del trabajo incluye una evaluación
de la adecuación y la eficacia de los
procesos de gobierno, gestión de
riesgos y control de la actividad
objeto de revisión, relacionándolos
con un marco o modelo relevante.
D. La documentación de la planificación 2201
del trabajo incluye una evaluación de
la oportunidad de realizar mejoras
significativas en los procesos de
gobierno, gestión de riesgos y control
de la actividad objeto de revisión.
E. Si el trabajo es para un destinatario 2201.A1
ajeno a la organización, la
documentación de la planificación
incluye un acuerdo escrito de las
partes sobre los objetivos, alcance,
responsabilidades respectivas y otras
expectativas del trabajo, incluyendo
restricciones a la distribución de los
resultados del trabajo y al acceso a
los documentos del mismo.
F. Si el trabajo es de consultoría, hay 2201.C1
un acuerdo con los clientes sobre los
objetivos, el alcance, las
responsabilidades respectivas y otras
expectativas posibles. En los trabajos
significativos, este acuerdo se
documenta.
Fuente: Elaboración propia a partir de la Guía D5 del Manual de Evaluación de Calidad para la actividad de Auditoría In-
terna, 2017. The IIA Research Foundation.
42
Instituto de Auditores Internos de España
Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es
Propiedad del Instituto de Auditores Internos de España. Se permite la reproducción total o parcial y la comunicación
pública de la obra, siempre que no sea con finalidades comerciales, y siempre que se reconozca la autoría de la obra
original. No se permite la creación de obras derivadas.
OTRAS PRODUCCIONES DE LA FÁBRICA DE PENSAMIENTO