Auditoría interna

Actividad de aseguramiento y consultoría independiente y objetiva

La auditoría interna es una actividad independiente y objetiva de aseguramiento y consultoría diseñada para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a lograr sus objetivos al aportar un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos , control y gobernanza . ^[1] La auditoría interna puede lograr este objetivo al proporcionar información y recomendaciones basadas en análisis y evaluaciones de datos y procesos comerciales . ^[2] Con el compromiso con la integridad y la rendición de cuentas , la auditoría interna proporciona valor a los órganos de gobierno y la alta gerencia como una fuente objetiva de asesoramiento independiente. Las organizaciones emplean a profesionales llamados auditores internos para realizar la actividad de auditoría interna.

El alcance de la auditoría interna dentro de una organización puede ser amplio y puede incluir temas como la gobernanza de una organización, la gestión de riesgos y los controles de gestión sobre: ​​la eficiencia/eficacia de las operaciones (incluida la protección de los activos), la fiabilidad de los informes financieros y de gestión, ^{[3] [4]} y el cumplimiento de las leyes y reglamentos. La auditoría interna también puede implicar la realización de auditorías de fraude proactivas para identificar actos potencialmente fraudulentos; la participación en investigaciones de fraude bajo la dirección de profesionales de investigación de fraude y la realización de auditorías de fraude posteriores a la investigación para identificar fallas de control y establecer pérdidas financieras.

Los auditores internos no son responsables de la ejecución de las actividades de la empresa; asesoran a la gerencia y al directorio (u organismo de supervisión similar ) sobre cómo ejecutar mejor sus responsabilidades . Como resultado de su amplio alcance de participación, los auditores internos pueden tener una variedad de antecedentes educativos y profesionales superiores.

El Instituto de Auditores Internos (IIA) es el organismo de normalización internacional reconocido para la profesión de auditoría interna y otorga la designación de Auditor Interno Certificado a nivel internacional mediante un riguroso examen escrito. Existen otras designaciones disponibles en ciertos países. ^[5] En los Estados Unidos, las normas profesionales del Instituto de Auditores Internos han sido codificadas en los estatutos de varios estados relacionados con la práctica de la auditoría interna en el gobierno (los estados de Nueva York, Texas y Florida son tres ejemplos). También existen otros organismos de normalización internacionales.

Los auditores internos trabajan para agencias gubernamentales (federales, estatales y locales); para empresas que cotizan en bolsa; y para empresas sin fines de lucro en todas las industrias. Los departamentos de auditoría interna están dirigidos por un director ejecutivo de auditoría (CAE), que generalmente reporta al comité de auditoría de la junta directiva , y reporta administrativamente al director ejecutivo (en los Estados Unidos, esta relación de reporte es requerida por ley para las empresas que cotizan en bolsa).

Historia de la auditoría interna

La profesión de auditoría interna evolucionó de manera constante con el progreso de la ciencia de la gestión después de la Segunda Guerra Mundial. Es conceptualmente similar en muchos aspectos a la auditoría financiera de las firmas de contabilidad pública , a las actividades de control de calidad y de cumplimiento de las normas bancarias. Si bien algunas de las técnicas de auditoría que sustentan la auditoría interna se derivan de las profesiones de consultoría de gestión y contabilidad pública, la teoría de la auditoría interna fue concebida principalmente por Lawrence Sawyer (1911-2002), a menudo denominado "el padre de la auditoría interna moderna"; ^[6] y la filosofía, la teoría y la práctica actuales de la auditoría interna moderna, tal como se define en el Marco Internacional de Prácticas Profesionales (IPPF) del Instituto de Auditores Internos, deben mucho a la visión de Sawyer.

Con la implementación en los Estados Unidos de la Ley Sarbanes-Oxley de 2002, la exposición y el valor de la profesión aumentaron, ya que muchos auditores internos poseían las habilidades requeridas para ayudar a las empresas a cumplir con los requisitos de la ley ^{[ cita requerida ]} . Sin embargo, el enfoque de los departamentos de auditoría interna de las empresas que cotizan en bolsa en la política y los procedimientos financieros relacionados con SOX descarriló el progreso logrado por la profesión a fines del siglo XX hacia la visión de Larry Sawyer para la auditoría interna. A partir de aproximadamente 2010, el IIA comenzó una vez más a abogar por el papel más amplio que debería desempeñar la auditoría interna en el ámbito corporativo, de acuerdo con la filosofía del IPPF. ^[7]

Independencia organizacional

Aunque los auditores internos son contratados directamente por su empresa, pueden lograr independencia a través de sus relaciones de informes. La independencia y la objetividad son una piedra angular de las normas profesionales del IIA; y se analizan en profundidad en las normas y en las guías de práctica y los avisos de práctica que las respaldan. Las normas del IIA exigen que los auditores internos profesionales sean independientes de las actividades comerciales que auditan. Esta independencia y objetividad se logran a través de la ubicación organizacional y las líneas de informes del departamento de auditoría interna. Los auditores internos de las empresas que cotizan en bolsa en los Estados Unidos deben informar funcionalmente al directorio directamente, o a un subcomité del directorio (normalmente el comité de auditoría), y no a la gerencia, excepto para fines administrativos.

La independencia organizacional requerida de la administración permite una evaluación sin restricciones de las actividades y el personal de la administración y permite que los auditores internos desempeñen su papel de manera efectiva. Aunque los auditores internos son parte de la administración de la empresa y son pagados por la empresa, el cliente principal de la actividad de auditoría interna es la entidad encargada de supervisar las actividades de la administración. Este suele ser el comité de auditoría , un comité del directorio . La independencia organizacional se logra de manera efectiva cuando el director ejecutivo de auditoría informa funcionalmente al directorio. Los ejemplos de informes funcionales al directorio involucran al directorio: ^[8] Aprobar el estatuto de auditoría interna; Aprobar el plan de auditoría interna basado en riesgos; Aprobar el presupuesto de auditoría interna y el plan de recursos; Recibir comunicaciones del director ejecutivo de auditoría sobre el desempeño de la actividad de auditoría interna en relación con su plan y otros asuntos; Aprobar decisiones sobre el nombramiento y la remoción del director ejecutivo de auditoría; Aprobar la remuneración del director ejecutivo de auditoría; y Hacer las indagaciones apropiadas a la administración y al director ejecutivo de auditoría para determinar si existen limitaciones inadecuadas de alcance o recursos.

Papel en el control interno

La actividad de auditoría interna está dirigida principalmente a evaluar el control interno . En el marco de control interno de COSO , el control interno se define en términos generales como un proceso, llevado a cabo por la junta directiva, la gerencia y otro personal de una entidad, diseñado para proporcionar una seguridad razonable con respecto al logro de los siguientes objetivos básicos que todas las empresas se esfuerzan por alcanzar:

• Eficacia y eficiencia de las operaciones.
• Fiabilidad de los informes financieros y de gestión.
• Cumplimiento de leyes y regulaciones.
• Salvaguardia de activos

La dirección es responsable del control interno, que comprende cinco componentes críticos: el entorno de control; la evaluación de riesgos; las actividades de control centradas en los riesgos; la información y la comunicación; y las actividades de seguimiento. Los directivos establecen políticas, procesos y prácticas en estos cinco componentes del control de gestión para ayudar a la organización a alcanzar los cuatro objetivos específicos enumerados anteriormente. Los auditores internos realizan auditorías para evaluar si los cinco componentes del control de gestión están presentes y funcionan de manera eficaz y, en caso contrario, ofrecen recomendaciones para su mejora.

En Estados Unidos, la función de auditoría interna evalúa de forma independiente el sistema de control interno de la dirección e informa de sus resultados a la alta dirección y al comité de auditoría del consejo de administración de la empresa.

Papel en la gestión de riesgos

Las normas profesionales de auditoría interna exigen que la función evalúe la eficacia de las actividades de gestión de riesgos de la organización . La gestión de riesgos es el proceso mediante el cual una organización identifica, analiza, responde, reúne información y monitorea los riesgos estratégicos que podrían afectar real o potencialmente la capacidad de la organización para lograr su misión y sus objetivos.

En el marco de gestión de riesgos empresariales (ERM) de COSO , la estrategia, las operaciones, los informes y los objetivos de cumplimiento de una organización tienen asociados riesgos comerciales estratégicos: los resultados negativos resultantes de eventos internos y externos que inhiben la capacidad de la organización para lograr sus objetivos. La gerencia evalúa el riesgo como parte del curso ordinario de las actividades comerciales, como la planificación estratégica, la planificación de marketing, la planificación de capital, la elaboración de presupuestos, la cobertura, la estructura de pago de incentivos, las prácticas crediticias/préstamos, las fusiones y adquisiciones, las asociaciones estratégicas, los cambios legislativos, la realización de negocios en el extranjero, etc. Las regulaciones de Sarbanes-Oxley requieren una evaluación exhaustiva del riesgo de los procesos de informes financieros. Los asesores legales corporativos a menudo preparan evaluaciones integrales de los litigios actuales y potenciales que enfrenta una empresa. Los auditores internos pueden evaluar cada una de estas actividades o centrarse en el proceso general utilizado para gestionar los riesgos en toda la entidad. Por ejemplo, los auditores internos pueden asesorar a la gerencia sobre la presentación de informes de medidas operativas prospectivas al directorio, para ayudar a identificar riesgos emergentes; o los auditores internos pueden evaluar e informar si el directorio y otras partes interesadas pueden tener una seguridad razonable de que el equipo de gestión de la organización ha implementado un programa eficaz de gestión de riesgos empresariales.

En las organizaciones más grandes, se implementan importantes iniciativas estratégicas para alcanzar objetivos e impulsar cambios. Como miembro de la alta dirección, el director ejecutivo de auditoría (CAE) puede participar en las actualizaciones de estado de estas importantes iniciativas. Esto coloca al CAE en la posición de informar sobre muchos de los principales riesgos que enfrenta la organización al comité de auditoría, o garantizar que los informes de la dirección sean eficaces para ese propósito.

La función de auditoría interna puede ayudar a la organización a abordar su riesgo de fraude a través de una evaluación del riesgo de fraude, utilizando principios de disuasión del fraude . Los auditores internos pueden ayudar a las empresas a establecer y mantener procesos de gestión de riesgos empresariales . ^[9] Este proceso es muy valorado por muchas empresas para establecer e implementar sistemas de gestión eficaces y garantizar que se mantenga la calidad y se cumplan los estándares profesionales. ^[10] Los auditores internos también desempeñan un papel importante al ayudar a las empresas a ejecutar una evaluación de riesgos descendente SOX 404. En estas dos últimas áreas, los auditores internos suelen formar parte del equipo de evaluación de riesgos en una función de asesoramiento.

Papel en el gobierno corporativo

En el pasado, la actividad de auditoría interna relacionada con el gobierno corporativo ha sido generalmente informal y se ha llevado a cabo principalmente mediante la participación en reuniones y debates con miembros del directorio. Según el marco de gestión del riesgo empresarial de COSO, el gobierno es el conjunto de políticas, procesos y estructuras que utiliza la dirección de la organización para dirigir las actividades, alcanzar los objetivos y proteger los intereses de los diversos grupos de partes interesadas de una manera coherente con los estándares éticos. El auditor interno suele considerarse uno de los "cuatro pilares" del gobierno corporativo, siendo los otros pilares el directorio, la gerencia y el auditor externo. ^[11]

Un área de enfoque principal de la auditoría interna en lo que se refiere al gobierno corporativo es ayudar al comité de auditoría del directorio (o equivalente) a desempeñar sus responsabilidades de manera efectiva. Esto puede incluir informar sobre cuestiones críticas de control de gestión, sugerir preguntas o temas para las agendas de reuniones del comité de auditoría y coordinar con el auditor externo y la gerencia para asegurar que el comité reciba información efectiva. En los últimos años, el IIA ha abogado por una evaluación más formal del gobierno corporativo, particularmente en las áreas de supervisión del directorio sobre el riesgo empresarial, la ética corporativa y el fraude. Véase también § Tres líneas de defensa a continuación.

Selección de proyectos de auditoría o “plan anual de auditoría”

Con base en la evaluación de riesgos de la organización, los auditores internos, la gerencia y los consejos de supervisión determinan dónde enfocar los esfuerzos de auditoría interna. Este enfoque o priorización es parte del plan de auditoría anual o plurianual. El plan de auditoría es propuesto típicamente por el director ejecutivo de auditoría (a veces con varias opciones o alternativas) para la revisión y aprobación del comité de auditoría o la junta directiva. La actividad de auditoría interna generalmente se lleva a cabo como una o más tareas discretas.

Debe adaptarse al propósito específico de la auditoría y la selección del método de auditoría debe adaptarse a su propósito específico. De lo contrario, se desviará del propósito de la auditoría. ^[12]

Ejecución de auditoría interna

Una tarea típica de auditoría interna ^[13] implica los siguientes pasos:

1. Establecer y comunicar el alcance y los objetivos de la auditoría a los miembros apropiados de la dirección.
2. Desarrollar una comprensión del área de negocios bajo revisión: esto incluye objetivos, mediciones y tipos de transacciones clave e implica entrevistas y una revisión de documentos; se pueden crear diagramas de flujo y narraciones, si es necesario.
3. Describir los riesgos clave que enfrentan las actividades comerciales dentro del alcance de la auditoría.
4. Identificar las prácticas de gestión en los cinco componentes de control utilizados para garantizar que cada riesgo clave se controle y supervise adecuadamente. Una lista de verificación de auditoría interna ^[14] puede ser una herramienta útil para identificar los riesgos comunes y los controles deseados en el proceso específico o la industria específica que se audita.
5. Desarrollar y ejecutar un enfoque de muestreo y prueba basado en riesgos para determinar si los controles de gestión más importantes están funcionando según lo previsto.
6. Informar sobre los problemas y desafíos identificados y negociar planes de acción con la dirección para abordar estos problemas.
7. Realizar un seguimiento de los hallazgos notificados a intervalos adecuados. Los departamentos de auditoría interna mantienen una base de datos de seguimiento para este fin.

La duración de la auditoría varía según la complejidad de la actividad que se audita y los recursos de auditoría interna disponibles. Muchos de los pasos anteriores son iterativos y es posible que no todos se realicen en la secuencia indicada.

Además de evaluar los procesos de negocio, los especialistas llamados auditores de tecnología de la información (TI) revisan los controles de tecnología de la información .

Informes de auditoría interna

Los auditores internos suelen emitir informes al final de cada auditoría que resumen sus hallazgos, recomendaciones y cualquier respuesta o plan de acción de la administración. Un informe de auditoría puede tener un resumen ejecutivo, un cuerpo que incluye los problemas o hallazgos específicos identificados y las recomendaciones o planes de acción relacionados, e información adjunta como gráficos y cuadros detallados o información del proceso. Cada hallazgo de auditoría dentro del cuerpo del informe puede contener cinco elementos, a veces llamados las "5 C":

1. Condición: ¿Cuál es el problema particular identificado?
2. Criterios: ¿Cuál es el estándar que no se cumplió? El estándar puede ser una política de la empresa u otro parámetro de referencia.
3. Causa: ¿Por qué ocurrió el problema?
4. Consecuencia: ¿Cuál es el riesgo/resultado negativo (u oportunidad perdida) debido al hallazgo?
5. Acción correctiva: ¿Qué debe hacer la gerencia en relación con el hallazgo? ¿Qué acordaron hacer y para cuándo?

Las recomendaciones de un informe de auditoría interna están diseñadas para ayudar a la organización a lograr procesos de gobernanza, riesgo y control efectivos y eficientes asociados con los objetivos de operaciones, los objetivos de informes financieros y de gestión, y los objetivos de cumplimiento legal y regulatorio.

Los hallazgos y recomendaciones de auditoría también pueden relacionarse con afirmaciones particulares sobre transacciones, tales como si las transacciones auditadas fueron válidas o autorizadas, completamente procesadas, valuadas con precisión, procesadas en el período de tiempo correcto y divulgadas adecuadamente en informes financieros u operativos, entre otros elementos.

A continuación se presentan los pasos sobre cómo se puede lograr la mejora continua a través de los hallazgos de la auditoría.

• Desarrollar CAPA para abordar problemas de calidad.
• Capacitar a los usuarios o empleados para desarrollar procesos o procedimientos de auditoría efectivos.
• Mantener una relación estable y saludable con proveedores, vendedores, usuarios, auditores y organismos de auditoría.

Según las normas del IIA, un componente fundamental del proceso de auditoría es la preparación de un informe equilibrado que proporcione a los ejecutivos y al directorio la oportunidad de evaluar y sopesar los asuntos que se informan en el contexto y la perspectiva adecuados. Al proporcionar perspectiva, análisis y recomendaciones viables para mejoras empresariales en áreas críticas, los auditores ayudan a la organización a cumplir sus objetivos.

Calidad del informe de auditoría interna

Fuente: ^[15]

• Objetividad – Los comentarios y opiniones expresados ​​en el informe deben ser objetivos e imparciales.
• Claridad – El lenguaje utilizado debe ser simple y directo.
• Precisión – La información contenida en el informe debe ser precisa.
• Brevedad – El informe debe ser conciso.
• Puntualidad – El informe debe publicarse rápidamente inmediatamente después de concluida la auditoría, dentro de un mes.

Estrategia

Las funciones de auditoría interna también pueden desarrollar estrategias funcionales descritas en planes estratégicos plurianuales. En julio de 2012, el Instituto de Auditores Internos publicó una guía profesional sobre la elaboración de un plan estratégico de auditoría interna a través de una Guía práctica denominada Desarrollo del plan estratégico de auditoría interna . ^[16] Un aspecto clave del desarrollo de una estrategia de auditoría interna es comprender las expectativas de las partes interesadas, como el comité de auditoría y la alta dirección. Esto ayuda a orientar a la función de auditoría interna en su misión de ayudar a la organización a abordar los riesgos que enfrenta. Los temas específicos que se consideran en la planificación estratégica de auditoría interna incluyen:

• Alcance y énfasis: Una función de auditoría interna puede estar involucrada en abordar riesgos relacionados con la presentación de informes financieros, las operaciones, el cumplimiento legal y regulatorio y la estrategia de la empresa. También puede haber temas especiales de interés para las partes interesadas que cambian considerablemente de un año a otro.
• Cartera de servicios: Las funciones de auditoría interna pueden proporcionar garantías de auditoría tradicionales en todo el espectro de riesgos, así como apoyo a proyectos de consultoría en diversas áreas, como gestión de proyectos, análisis de datos y monitoreo de las principales iniciativas de la empresa. Las funciones de auditoría más grandes pueden establecer áreas de especialidad para manejar su cartera de servicios.
• Desarrollo de competencias: Las expectativas de las partes interesadas en cuanto al alcance y la cartera de servicios determinan qué competencias necesita la función, lo que impulsa las decisiones sobre la contratación de habilidades específicas y programas de capacitación. La función de auditoría interna se utiliza a menudo como un "campo de entrenamiento de gestión" para proporcionar a los empleados un conocimiento más profundo de las operaciones de la empresa antes de que sean rotados a un puesto de gestión. ^[17]
• Tecnología: Las funciones de IA utilizan una variedad de herramientas/software tecnológico para respaldar el flujo de trabajo del proceso de auditoría, el análisis estadístico y la obtención de datos de los sistemas.

La construcción de la estrategia de IA puede implicar una variedad de conceptos y marcos de gestión estratégica , como la planificación estratégica , el pensamiento estratégico y el análisis FODA . ^[16]

Otros temas

Medición de la función de auditoría interna

La medición de la función de auditoría interna puede implicar un enfoque de cuadro de mando integral . ^[18] Las funciones de auditoría interna se evalúan principalmente en función de la calidad del asesoramiento y la información proporcionada al comité de auditoría y a la alta dirección. Sin embargo, esto es principalmente cualitativo y, por lo tanto, difícil de medir. Las "encuestas de clientes" enviadas a los gerentes clave después de cada compromiso o informe de auditoría se pueden utilizar para medir el desempeño, con una encuesta anual al comité de auditoría. La puntuación en dimensiones como el profesionalismo, la calidad del asesoramiento, la puntualidad del producto de trabajo, la utilidad de las reuniones y la calidad de las actualizaciones de estado son típicas de estas encuestas. Comprender las expectativas de la alta dirección y el comité de auditoría representa pasos importantes en el desarrollo de un proceso de medición del desempeño, así como la forma en que dichas medidas ayudan a alinear la función de auditoría con las prioridades organizacionales. ^{[19] [20]} Las revisiones por pares independientes son parte del proceso de garantía de calidad para muchos grupos de auditoría interna, ya que a menudo son requeridas por las normas. ^[21] El informe de revisión por pares resultante se pone a disposición del comité de auditoría.

Informe de hallazgos críticos

El director ejecutivo de auditoría (CAE) suele informar trimestralmente al comité de auditoría sobre los problemas más críticos , junto con el progreso de la dirección hacia su resolución. Los problemas críticos suelen tener una probabilidad razonable de causar un daño financiero o reputacional sustancial a la empresa. En el caso de problemas particularmente complejos, el director responsable puede participar en la discusión. Este tipo de informes es fundamental para garantizar que se respete la función, que exista el " tono adecuado desde arriba " en la organización y para acelerar la resolución de dichos problemas. Es una cuestión de considerable criterio seleccionar los problemas apropiados para la atención del comité de auditoría y describirlos en el contexto adecuado.

Filosofía de auditoría

Parte de la filosofía y el enfoque de la auditoría interna se derivan del trabajo de Lawrence Sawyer. Su filosofía y orientación sobre el papel de la auditoría interna fue precursora de la definición actual de auditoría interna. Enfatizaba la necesidad de ayudar a la gerencia y al directorio a lograr los objetivos de la organización mediante auditorías, evaluaciones y análisis bien razonados de las áreas operativas. Alentaba al auditor interno moderno a actuar como consejero de la gerencia en lugar de como adversario. Sawyer veía a los auditores como actores activos que influyen en los eventos de la empresa en lugar de criticar todos los grados de errores y equivocaciones. También previó un futuro más deseable para los auditores, que implicaría una relación más fuerte con los miembros del comité de auditoría y el directorio y un divorcio de la dependencia directa del director financiero. ^[22]

Sawyer solía hablar de “pillar a un directivo haciendo algo bien” y de ofrecer reconocimiento y refuerzo positivo. Rara vez se escribía sobre observaciones positivas en informes de auditoría hasta que Sawyer empezó a hablar de esa idea. Entendía y preveía los beneficios de ofrecer informes más equilibrados y, al mismo tiempo, construir mejores relaciones. Sawyer comprendía la psicología de la dinámica interpersonal y la necesidad de que todas las personas reciban reconocimiento y validación para que las relaciones prosperen. ^[22]

Sawyer contribuyó a que la auditoría interna fuera más relevante e interesante gracias a un enfoque claro en la auditoría operativa o de rendimiento. Instó firmemente a mirar más allá de los estados financieros y la auditoría relacionada con las finanzas hacia áreas como las compras, el almacenamiento y la distribución, los recursos humanos, la tecnología de la información, la gestión de las instalaciones, el servicio de atención al cliente, las operaciones de campo y la gestión de programas. Este enfoque ayudó a catapultar al director ejecutivo de auditoría al papel de asesor respetado y conocedor, considerado razonable, objetivo y preocupado por ayudar a la organización a alcanzar los objetivos establecidos. ^[22]

Tres líneas de defensa

El "modelo de las tres líneas de defensa" ^{[23] [24] [25] [26]} es un marco que describe la relación entre las funciones empresariales , la gestión de riesgos y la auditoría interna, y delinea cómo deben dividirse las responsabilidades; está diseñado "para asegurar la gestión eficaz y transparente del riesgo", aclarando las responsabilidades. La terminología es una analogía de la " línea de defensa " militar (y el concepto de defensa en profundidad ).

• En la primera línea de defensa, los riesgos se gestionan y controlan día a día. En ella, la dirección operativa que trabaja de cara al cliente tiene "la propiedad, la responsabilidad y la obligación de rendir cuentas por la evaluación, el control y la mitigación directa de los riesgos". ^[24] Su valor ^[26] es que proviene "de quienes conocen el negocio, la cultura y los desafíos cotidianos" (véase también Control interno § Personal operativo ); al mismo tiempo, sin embargo, esta línea puede carecer de independencia.
• La segunda línea de defensa está formada por las funciones independientes de Gestión de Riesgos, Cumplimiento Normativo y Riesgo Operacional . Esta línea de defensa supervisa y facilita la implementación de prácticas de gestión de riesgos efectivas por parte de la primera línea, proporcionando "supervisión y cuestionamiento"; ^[24] y también ayuda a los "dueños de los riesgos" a producir e interpretar informes relacionados con los riesgos . Aunque está separada de los responsables de la entrega, no es independiente de la cadena de gestión. ^[26] (Véase, re banking, Middle office .)
• La tercera línea de defensa es la auditoría interna, que depende directamente del Consejo de Administración . La auditoría interna examina e informa tanto sobre la primera como sobre la segunda línea de defensa, proporcionando una garantía objetiva e independiente ^[26] , según el § Función en la gobernanza corporativa mencionado anteriormente.

En iteraciones posteriores del modelo, ^[26] la garantía de "organismos externos independientes" se considera una cuarta línea de defensa; aquí el auditor externo y otros brindan garantías y conocimientos al directorio y son "claramente vistos como independientes".

La "última línea de defensa" ^[27] contra el riesgo es la del capital , ya que un quantum suficiente "garantiza que una empresa pueda continuar como un negocio en marcha incluso si se incurren en pérdidas sustanciales e inesperadas"; ^[27] véase Capital de riesgo , Capital regulatorio , Gestión del riesgo financiero y Negocio en marcha § Planes de la gerencia .

Innovación disruptiva

La auditoría interna desempeña un papel fundamental en el mantenimiento de un control eficaz que mitigue los riesgos emergentes. Las empresas aumentarán el riesgo o pasarán por alto las oportunidades si los auditores no abordan los riesgos relacionados con las disrupciones. ^[28] Michael G. Alles ha comentado que el Big Data es una innovación disruptiva que los auditores deben incorporar en la práctica. ^[29] Un estudio de 2019, Internal Auditors' Response to Disruptive Innovation , informa sobre la evolución de la auditoría interna para reaccionar a los cambios. Las disrupciones examinadas incluyen análisis de datos, procesos ágiles, computación en la nube, automatización de procesos robóticos, auditoría continua, cambio regulatorio e inteligencia artificial. ^[30]

Véase también

• Auditor Certificado de Sistemas de Información
• Instituto Colegiado de Auditores Internos
• Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO)
• Disuasión del fraude
• Instituto de Auditores Internos
• Junta de Normas Internacionales de Auditoría y Aseguramiento
• Registro Internacional de Auditores Certificados
• Auditoría de SI
• Auditoría operativa
• Auditoría interna basada en riesgos

Referencias

1. Definición de auditoría del IIA .
2. Wood, David A. (mayo de 2012). "La confianza de los directivos corporativos en las recomendaciones del auditor interno". AUDITORÍA: Revista de práctica y teoría . 31 (2): 151–166. doi :10.2308/ajpt-10234.
3. Wood, David A. (julio de 2009). "Calidad de la auditoría interna y gestión de las ganancias". The Accounting Review . 84 (4): 1255–1280. doi :10.2308/accr.2009.84.4.1255. S2CID  154999202.
4. Wood, David A. (septiembre de 2013). "Un estudio descriptivo de los factores asociados con las políticas de la función de auditoría interna que tienen un impacto: comparaciones entre organizaciones en una economía desarrollada y una emergente". Estudios turcos . 14 (3): 581–606. doi :10.1080/14683849.2013.833019. S2CID  145381015.
5. "Certificaciones del Reino Unido e Irlanda". Eciia.eu. 25 de junio de 2013. Archivado desde el original el 20 de agosto de 2013. Consultado el 4 de septiembre de 2013 .
6. "El IIA - Historia y evolución de la auditoría interna" (PDF) . Consultado el 4 de septiembre de 2013 .
7. "Revista del Auditor Interno". na.theiia.org. 2000-01-01 . Consultado el 2013-09-04 .
8. "Páginas – Estándares". theiia.org .
9. "El papel de la auditoría interna en la gestión empresarial". Archivado desde el original el 5 de septiembre de 2013. Consultado el 4 de septiembre de 2013 .
10. "Certificación y capacitación de ECAAS" . Consultado el 16 de junio de 2015 .
11. "Artículo del IIA "Getting a Leg Up"". Findarticles.com . Consultado el 4 de septiembre de 2013 .
12. "Gestión de la auditoría interna", Manual de auditoría interna , Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 547-552, 2008, doi :10.1007/978-3-540-70887-2_35, ISBN 978-3-540-70886-5, consultado el 14 de noviembre de 2020
13. David Griffiths. "Auditoría interna – Basada en riesgos – Introducción". internalaudit.biz .
14. "Listas de verificación de auditoría interna de diversos procesos". Experto en auditoría interna . internalauditexpert.in. Archivado desde el original el 13 de diciembre de 2013 . Consultado el 12 de diciembre de 2013 .
15. "Formato del informe de auditoría interna". internalauditexpert.in . Archivado desde el original el 7 de diciembre de 2013 . Consultado el 3 de diciembre de 2013 .
16. "Páginas – Guía práctica para el desarrollo del plan estratégico de auditoría interna". theiia.org .
17. Wood, David A. (noviembre de 2011). "El efecto de utilizar la función de auditoría interna como campo de entrenamiento de gestión en la decisión de confianza del auditor externo". The Accounting Review . 86 (6): 2131–2154. doi :10.2308/accr-10136.
18. Frigo, Mark L. Un marco de cuadro de mando integral para departamentos de auditoría interna . Fundación de Investigación del IIA. Altamonte Springs, FL.: 2002
19. "Informe de conocimiento del estudio IIA-GAIN: medición del desempeño de la auditoría interna, septiembre de 2009". Theiia.org. 1 de enero de 2000. Archivado desde el original el 8 de marzo de 2012. Consultado el 4 de septiembre de 2013 .
20. "Encuesta PWC-2012 sobre el estado de la profesión de auditoría interna, marzo de 2012". Pwc.com. 20 de marzo de 2012. Consultado el 4 de septiembre de 2013 .
21. "Revisión por pares: IIA, GAGAS e ISSAI". projectauditors.com. 2012-01-01 . Consultado el 26 de marzo de 2014 .
22. Sawyer, Lawrence (2003). Auditoría interna de Sawyer, quinta edición . Instituto de Auditores Internos. ISBN 978-0894135095.
23. Documento de posición: Las tres líneas de defensa, Chartered Institute of Internal Auditors
24. Modelo de tres líneas de defensa de abc, Asociación de Tesoreros Corporativos
25. Auditoría interna: explicación del modelo de las tres líneas de defensa, Instituto de Contadores Públicos de Escocia
26. Las cuatro líneas de defensa, Instituto de Contadores Públicos de Inglaterra y Gales
27. III.A.3, en Carol Alexander, ed. (enero de 2005). Manual del gerente de riesgos profesional . PRMIA Publications . ISBN 978-0976609704 
28. Pett, J., Kristall, M. y Mack, D. (2017). Oportunidades derivadas de la disrupción. Auditor Interno , 74(3), 57–60.
29. Michael G. Alles (2015) Factores impulsores del uso y facilitadores y obstáculos de la evolución de los macrodatos por parte de la profesión de auditoría. Accounting Horizons : junio de 2015, págs. 439-449
30. Christ, Margaret H.; Marc Eulerich y David A. Wood, 2019, Respuesta de los auditores internos a la innovación disruptiva. Fundación de Auditoría Interna. ISBN 978-1-63454-062-9