La auditoría interna es una actividad de consultoría y aseguramiento objetiva e independiente diseñada para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a lograr sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión , control y gobernanza de riesgos . [1] La auditoría interna podría lograr este objetivo proporcionando información y recomendaciones basadas en análisis y evaluaciones de datos y procesos comerciales . [2] Con un compromiso con la integridad y la rendición de cuentas , la auditoría interna proporciona valor a los órganos de gobierno y a la alta dirección como fuente objetiva de asesoramiento independiente. Las organizaciones emplean profesionales llamados auditores internos para realizar la actividad de auditoría interna.
El alcance de la auditoría interna dentro de una organización puede ser amplio y puede involucrar temas tales como la gobernanza de una organización, la gestión de riesgos y los controles de gestión sobre: la eficiencia/eficacia de las operaciones (incluida la salvaguardia de los activos), la confiabilidad de los informes financieros y de gestión, [3 ] [4] y cumplimiento de leyes y reglamentos. La auditoría interna también puede implicar la realización de auditorías de fraude proactivas para identificar actos potencialmente fraudulentos; participar en investigaciones de fraude bajo la dirección de profesionales de investigación de fraude y realizar auditorías de fraude posteriores a la investigación para identificar fallas de control y establecer pérdidas financieras.
Los auditores internos no son responsables de la ejecución de las actividades de la empresa; asesoran a la gerencia y a la junta directiva (u órgano de supervisión similar ) sobre cómo ejecutar mejor sus responsabilidades . Como resultado de su amplio alcance de participación, los auditores internos pueden tener una variedad de antecedentes educativos y profesionales superiores.
El Instituto de Auditores Internos (IIA) es el organismo internacional reconocido que establece estándares para la profesión de auditoría interna y otorga la designación de Auditor Interno Certificado a nivel internacional a través de un riguroso examen escrito. Otras designaciones están disponibles en ciertos países. [5] En los Estados Unidos, las normas profesionales del Instituto de Auditores Internos han sido codificadas en los estatutos de varios estados relacionados con la práctica de la auditoría interna en el gobierno (el estado de Nueva York, Texas y Florida son tres ejemplos). También existen otros organismos internacionales de normalización.
Los auditores internos trabajan para agencias gubernamentales (federales, estatales y locales); para empresas que cotizan en bolsa; y para empresas sin fines de lucro de todos los sectores. Los departamentos de auditoría interna están dirigidos por un director ejecutivo de auditoría (CAE) que generalmente informa al comité de auditoría de la junta directiva , y los informes administrativos al director ejecutivo (en los Estados Unidos, esta relación de informes es obligatoria por ley para las empresas que cotizan en bolsa). ).
La profesión de auditoría interna evolucionó constantemente con el progreso de la ciencia de la gestión después de la Segunda Guerra Mundial. Es conceptualmente similar en muchos aspectos a la auditoría financiera realizada por empresas de contabilidad pública , el control de calidad y las actividades de cumplimiento bancario. Si bien algunas de las técnicas de auditoría que subyacen a la auditoría interna se derivan de las profesiones de consultoría de gestión y contaduría pública, la teoría de la auditoría interna fue concebida principalmente por Lawrence Sawyer (1911-2002), a menudo denominado "el padre de la auditoría interna moderna"; [6] y la filosofía, teoría y práctica actuales de la auditoría interna moderna tal como la define el Marco Internacional de Prácticas Profesionales (IPPF) del Instituto de Auditores Internos le debe mucho a la visión de Sawyer.
Con la implementación en los Estados Unidos de la Ley Sarbanes-Oxley de 2002, la exposición y el valor de la profesión mejoraron, ya que muchos auditores internos poseían las habilidades necesarias para ayudar a las empresas a cumplir con los requisitos de la ley [ cita necesaria ] . Sin embargo, el enfoque de los departamentos de auditoría interna de las empresas que cotizan en bolsa en las políticas y procedimientos financieros relacionados con SOX descarriló el progreso realizado por la profesión a finales del siglo XX hacia la visión de Larry Sawyer para la auditoría interna. Aproximadamente a partir de 2010, el IIA comenzó una vez más a abogar por el papel más amplio que debería desempeñar la auditoría interna en el ámbito empresarial, de acuerdo con la filosofía de la IPPF. [7]
Si bien los auditores internos son contratados directamente por su empresa, pueden lograr independencia a través de sus relaciones jerárquicas. La independencia y la objetividad son la piedra angular de los estándares profesionales del IIA; y se analizan detalladamente en los estándares y las guías prácticas de apoyo y los avisos prácticos. Los estándares del IIA exigen que los auditores internos profesionales sean independientes de las actividades comerciales que auditan. Esta independencia y objetividad se logran a través de la ubicación organizacional y las líneas jerárquicas del departamento de auditoría interna. Los auditores internos de las empresas que cotizan en bolsa en los Estados Unidos deben informar funcionalmente directamente a la junta directiva o a un subcomité de la junta directiva (generalmente el comité de auditoría), y no a la gerencia, excepto para fines administrativos.
La necesaria independencia organizativa de la dirección permite una evaluación irrestricta de las actividades y del personal de la dirección y permite a los auditores internos desempeñar su función de forma eficaz. Aunque los auditores internos son parte de la dirección de la empresa y son remunerados por la empresa, el cliente principal de la actividad de auditoría interna es la entidad encargada de supervisar las actividades de la dirección. Generalmente se trata del comité de auditoría , un comité de la junta directiva . La independencia organizacional se logra efectivamente cuando el director ejecutivo de auditoría reporta funcionalmente a la junta. Ejemplos de informes funcionales a la junta involucran a la junta: [8] Aprobar el estatuto de auditoría interna; Aprobar el plan de auditoría interna basado en riesgos; Aprobar el presupuesto y plan de recursos de auditoría interna; Recibir comunicaciones del director ejecutivo de auditoría sobre el desempeño de la actividad de auditoría interna en relación con su plan y otros asuntos; Aprobar decisiones relativas al nombramiento y cese del director ejecutivo de auditoría; Aprobar la remuneración del director ejecutivo de auditoría; y Realizar las investigaciones apropiadas ante la gerencia y el director ejecutivo de auditoría para determinar si existen limitaciones de recursos o alcance inapropiadas.
La actividad de auditoría interna está dirigida principalmente a evaluar el control interno . Según el Marco de Control Interno de COSO , el control interno se define ampliamente como un proceso, realizado por la junta directiva, la gerencia y otro personal de una entidad, diseñado para brindar seguridad razonable con respecto al logro de los siguientes objetivos centrales por los que se esfuerzan todas las empresas:
La dirección es responsable del control interno, que comprende cinco componentes críticos: el entorno de control; Evaluación de riesgos; actividades de control centradas en el riesgo; información y comunicación; y actividades de seguimiento. Los gerentes establecen políticas, procesos y prácticas en estos cinco componentes del control de gestión para ayudar a la organización a lograr los cuatro objetivos específicos enumerados anteriormente. Los auditores internos realizan auditorías para evaluar si los cinco componentes del control de gestión están presentes y operan de manera efectiva y, en caso contrario, brindan recomendaciones para mejorar.
En Estados Unidos, la función de auditoría interna evalúa de forma independiente el sistema de control interno de la administración e informa sus resultados a la alta dirección y al comité de auditoría de la junta directiva de la empresa.
Los estándares profesionales de auditoría interna requieren que la función evalúe la efectividad de las actividades de gestión de riesgos de la organización . La gestión de riesgos es el proceso mediante el cual una organización identifica, analiza, responde, recopila información y monitorea los riesgos estratégicos que podrían afectar real o potencialmente la capacidad de la organización para lograr su misión y objetivos.
Según el marco de gestión de riesgos empresariales (ERM) de COSO , la estrategia, las operaciones, los informes y los objetivos de cumplimiento de una organización tienen riesgos comerciales estratégicos asociados: los resultados negativos resultantes de eventos internos y externos que inhiben la capacidad de la organización para lograr sus objetivos. La gerencia evalúa el riesgo como parte del curso ordinario de las actividades comerciales, como planificación estratégica, planificación de marketing, planificación de capital, elaboración de presupuestos, cobertura, estructura de pago de incentivos, prácticas crediticias/préstamos, fusiones y adquisiciones, asociaciones estratégicas, cambios legislativos, realización de negocios en el extranjero, etc. Las regulaciones Sarbanes-Oxley requieren una evaluación exhaustiva de riesgos de los procesos de presentación de informes financieros. El asesor legal corporativo a menudo prepara evaluaciones integrales de los litigios actuales y potenciales que enfrenta una empresa. Los auditores internos pueden evaluar cada una de estas actividades o centrarse en el proceso general utilizado para gestionar los riesgos en toda la entidad. Por ejemplo, los auditores internos pueden asesorar a la gerencia sobre la presentación de informes sobre medidas operativas prospectivas a la junta directiva, para ayudar a identificar riesgos emergentes; o los auditores internos pueden evaluar e informar si la junta directiva y otras partes interesadas pueden tener una seguridad razonable de que el equipo directivo de la organización ha implementado un programa eficaz de gestión de riesgos empresariales.
En las organizaciones más grandes, se implementan importantes iniciativas estratégicas para lograr objetivos e impulsar cambios. Como miembro de la alta dirección, el director ejecutivo de auditoría (DEA) puede participar en las actualizaciones del estado de estas importantes iniciativas. Esto coloca al DEA en la posición de informar al comité de auditoría sobre muchos de los principales riesgos que enfrenta la organización, o garantizar que los informes de la administración sean efectivos para ese propósito.
La función de auditoría interna puede ayudar a la organización a abordar su riesgo de fraude mediante una evaluación del riesgo de fraude, utilizando principios de disuasión del fraude . Los auditores internos pueden ayudar a las empresas a establecer y mantener procesos de gestión de riesgos empresariales . [9] Muchas empresas valoran mucho este proceso para establecer e implementar sistemas de gestión eficaces y garantizar que se mantenga la calidad y se cumplan los estándares profesionales. [10] Los auditores internos también desempeñan un papel importante a la hora de ayudar a las empresas a ejecutar una evaluación de riesgos de arriba hacia abajo SOX 404. . En estas dos últimas áreas, los auditores internos suelen formar parte del equipo de evaluación de riesgos en una función asesora.
En el pasado , la actividad de auditoría interna en lo que se refiere al gobierno corporativo ha sido generalmente informal y se ha logrado principalmente a través de la participación en reuniones y discusiones con miembros de la junta directiva. Según el marco ERM de COSO, la gobernanza son las políticas, procesos y estructuras utilizadas por el liderazgo de la organización para dirigir actividades, lograr objetivos y proteger los intereses de diversos grupos de partes interesadas de una manera consistente con estándares éticos. El auditor interno a menudo se considera uno de los "cuatro pilares" del gobierno corporativo, siendo los otros pilares la junta directiva, la gerencia y el auditor externo. [11]
Un área de enfoque principal de la auditoría interna en lo que se refiere al gobierno corporativo es ayudar al comité de auditoría de la junta directiva (o equivalente) a desempeñar sus responsabilidades de manera efectiva. Esto puede incluir informar cuestiones críticas de control de gestión, sugerir preguntas o temas para las agendas de las reuniones del comité de auditoría y coordinar con el auditor externo y la dirección para garantizar que el comité reciba información eficaz. En los últimos años, el IIA ha abogado por una evaluación más formal del gobierno corporativo, particularmente en las áreas de supervisión del consejo directivo sobre el riesgo empresarial, la ética corporativa y el fraude. Véase también § Tres líneas de defensa a continuación.
Con base en la evaluación de riesgos de la organización, los auditores internos, las juntas directivas y de supervisión determinan dónde centrar los esfuerzos de auditoría interna. Este enfoque o priorización es parte del plan de auditoría anual/plurianual. El plan de auditoría generalmente lo propone el DEA (a veces con varias opciones o alternativas) para la revisión y aprobación del comité de auditoría o la junta directiva. La actividad de auditoría interna generalmente se lleva a cabo como una o más asignaciones discretas.
Debe adaptarse al propósito específico de la auditoría y la selección del método de auditoría debe adaptarse a su propósito específico. De lo contrario, se desviará del objetivo de la auditoría. [12]
Una tarea típica de auditoría interna [13] implica los siguientes pasos:
La duración de la tarea de auditoría varía según la complejidad de la actividad que se audita y los recursos de auditoría interna disponibles. Muchos de los pasos anteriores son iterativos y es posible que no todos ocurran en la secuencia indicada.
Además de evaluar los procesos de negocio, los especialistas llamados auditores de tecnología de la información (TI) revisan los controles de tecnología de la información .
Los auditores internos suelen emitir informes al final de cada auditoría que resumen sus hallazgos, recomendaciones y cualquier respuesta o plan de acción de la administración. Un informe de auditoría puede tener un resumen ejecutivo, un cuerpo que incluye los problemas o hallazgos específicos identificados y las recomendaciones o planes de acción relacionados, e información adjunta, como gráficos y cuadros detallados o información del proceso. Cada hallazgo de auditoría dentro del cuerpo del informe puede contener cinco elementos, a veces llamados las "5 C":
Las recomendaciones en un informe de auditoría interna están diseñadas para ayudar a la organización a lograr procesos efectivos y eficientes de gobierno, riesgo y control asociados con los objetivos de operaciones, objetivos de informes financieros y de gestión; y objetivos de cumplimiento legal/regulatorio.
Los hallazgos y recomendaciones de la auditoría también pueden estar relacionados con afirmaciones particulares sobre transacciones, como si las transacciones auditadas fueron válidas o autorizadas, completamente procesadas, valoradas con precisión, procesadas en el período de tiempo correcto y reveladas adecuadamente en los informes financieros u operativos, entre otros elementos.
A continuación se detallan los pasos sobre cómo se puede lograr la mejora continua a través de los hallazgos de la auditoría.
Según los estándares del IIA, un componente crítico del proceso de auditoría es la preparación de un informe equilibrado que brinde a los ejecutivos y a la junta directiva la oportunidad de evaluar y sopesar los problemas que se informan en el contexto y la perspectiva adecuados. Al proporcionar perspectiva, análisis y recomendaciones viables para mejoras comerciales en áreas críticas, los auditores ayudan a la organización a alcanzar sus objetivos.
Fuente: [15]
Las funciones de auditoría interna también pueden desarrollar estrategias funcionales descritas en planes estratégicos plurianuales. El Instituto de Auditores Internos emitió orientación profesional sobre la elaboración de un plan estratégico de Auditoría Interna en julio de 2012 a través de una Guía Práctica denominada Desarrollo del Plan Estratégico de Auditoría Interna . [16] Un aspecto clave del desarrollo de una estrategia de EI es comprender las expectativas de las partes interesadas, como el comité de auditoría y la alta dirección. Esto ayuda a guiar la función de AI en su misión de ayudar a la organización a abordar los riesgos que enfrenta. Los temas específicos considerados en la planificación estratégica de AI incluyen:
La construcción de la estrategia de IA puede implicar una variedad de conceptos y marcos de gestión estratégica , como planificación estratégica , pensamiento estratégico y análisis FODA . [16]
La medición de la función de auditoría interna puede implicar un enfoque de cuadro de mando integral . [18] Las funciones de auditoría interna se evalúan principalmente en función de la calidad del asesoramiento y la información proporcionada al comité de auditoría y a la alta dirección. Sin embargo, esto es principalmente cualitativo y, por tanto, difícil de medir. Las "encuestas a los clientes" enviadas a los gerentes clave después de cada trabajo o informe de auditoría se pueden utilizar para medir el desempeño, con una encuesta anual al comité de auditoría. En este tipo de encuestas es típica la puntuación de dimensiones como profesionalismo, calidad del asesoramiento, puntualidad del producto del trabajo, utilidad de las reuniones y calidad de las actualizaciones de estado. Comprender las expectativas de la alta dirección y del comité de auditoría representa pasos importantes en el desarrollo de un proceso de medición del desempeño, así como también cómo dichas medidas ayudan a alinear la función de auditoría con las prioridades de la organización. [19] [20] Las revisiones por pares independientes son parte del proceso de garantía de calidad para muchos grupos de auditoría interna, ya que a menudo las exigen las normas. [21] El informe de revisión por pares resultante se pone a disposición del comité de auditoría.
El director ejecutivo de auditoría (CAE) generalmente informa trimestralmente al comité de auditoría los problemas más críticos , junto con el progreso de la administración para resolverlos. Los problemas críticos suelen tener una probabilidad razonable de causar daños financieros o de reputación sustanciales a la empresa. En el caso de cuestiones especialmente complejas, el responsable responsable podrá participar en el debate. Dichos informes son fundamentales para garantizar que se respete la función, que exista el " tono superior " adecuado en la organización y acelerar la resolución de dichos problemas. Es una cuestión de considerable juicio seleccionar cuestiones apropiadas para la atención del comité de auditoría y describirlas en el contexto adecuado.
Parte de la filosofía y el enfoque de la auditoría interna se derivan del trabajo de Lawrence Sawyer. Su filosofía y orientación sobre el papel de la auditoría interna fueron precursoras de la definición actual de auditoría interna. Enfatizó ayudar a la gerencia y al directorio a lograr los objetivos de la organización a través de auditorías, evaluaciones y análisis bien razonados de las áreas operativas. Alentó al auditor interno moderno a actuar como un consejero de la administración y no como un adversario. Sawyer veía a los auditores como actores activos que influyeban en los acontecimientos del negocio en lugar de criticar todos los grados de errores y equivocaciones. También previó un futuro de auditor más deseable que implicaría una relación más sólida con los miembros del comité de auditoría y la junta y el divorcio de la dependencia directa del director financiero. [22]
Sawyer hablaba a menudo de "pescar a un gerente haciendo algo bien" y brindarle reconocimiento y refuerzo positivo. Rara vez se escribía sobre observaciones positivas en los informes de auditoría hasta que Sawyer comenzó a hablar de la idea. Entendió y pronosticó los beneficios de proporcionar informes más equilibrados y al mismo tiempo construir mejores relaciones. Sawyer entendió la psicología de la dinámica interpersonal y la necesidad de que todas las personas reciban reconocimiento y validación para que las relaciones prosperen. [22]
Sawyer ayudó a que la auditoría interna fuera más relevante e interesante mediante un fuerte enfoque en la auditoría operativa o de desempeño. Recomendó encarecidamente mirar más allá de los estados financieros y las auditorías relacionadas con las finanzas y abarcar áreas como compras, almacenamiento y distribución, recursos humanos, tecnología de la información, gestión de instalaciones, servicio al cliente, operaciones de campo y gestión de programas. Este enfoque ayudó a catapultar al director ejecutivo de auditoría al papel de un asesor respetado y conocedor que se consideraba razonable, objetivo y preocupado por ayudar a la organización a alcanzar las metas establecidas. [22]
El "Modelo de las Tres Líneas de Defensa" [23] [24] [25] [26] es un marco que describe la relación entre las funciones comerciales , la gestión de riesgos y la auditoría interna, y delinea cómo se deben dividir las responsabilidades; está diseñado "para asegurar la gestión eficaz y transparente del riesgo", dejando claras las responsabilidades. La terminología es una analogía de la " línea de defensa " militar (y el concepto de defensa en profundidad ).
En versiones posteriores del modelo, [26] la garantía de "organismos externos independientes" se considera una cuarta línea de defensa; aquí el auditor externo , y otros , brindan seguridad y conocimientos a la Junta y son "claramente vistos como independientes".
La "última línea de defensa" [27] contra el riesgo es la del capital , ya que una cantidad suficiente "garantiza que una empresa pueda continuar funcionando incluso si incurre en pérdidas sustanciales e inesperadas"; [27] ver Capital de riesgo , Capital regulatorio , Gestión de riesgos financieros y Empresa en funcionamiento § Planes de la dirección .
La auditoría interna desempeña un papel fundamental al mantener un control eficaz que mitigue los riesgos emergentes. Las empresas aumentarán el riesgo o pasarán por alto las oportunidades si los auditores no abordan los riesgos relacionados con las disrupciones. [28] Michael G. Alles ha comentado que Big Data es una innovación disruptiva que los auditores deben incorporar en la práctica. [29] Un estudio de 2019, Respuesta de los auditores internos a la innovación disruptiva , informa sobre la evolución de la auditoría interna para reaccionar ante los cambios. Las disrupciones examinadas incluyen análisis de datos, procesos ágiles, computación en la nube, automatización de procesos robóticos, auditoría continua, cambios regulatorios e inteligencia artificial. [30]