Este documento presenta una agenda para una conferencia sobre informes de auditoría interna. La agenda incluye secciones sobre los usuarios de los informes de auditoría interna, la estructura de dichos informes, el modelo IERC para la redacción de hallazgos, técnicas de redacción de informes y la presentación de resultados. Los objetivos de la conferencia son identificar los componentes de un informe de auditoría interna efectivo y conocer mejores prácticas para la preparación y presentación de resultados de una auditoría interna.
1. INFORMES DE AUDITORIA
INTERNA
Marlon Chavarría Rayo
marlonchavarriarayo@gmail.com
Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) – Experto
en Prevención de Lavado de Dinero (FIBA) – Experto en NIIF PYME (AIC-
CICNP)
Guillermo A. García Narváez
garcia18n3@hotmail.com
Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) –
Certified Financial Services Auditor (CFSA) – Certified Fraud Examiner (CFE)
2. AGENDA
Usuarios del Informe de Auditoria Interna
Estructura del Informe de Auditoria Interna
Modelo IERC para la Redacción de Hallazgos
Técnicas de Redacción de Informes
Presentación de Resultados
3. OBJETIVOS
Identificar los componentes de un Informe de
Auditoría Interna efectivo
Organizar un Informe de Auditoria Interna
efectivo
Conocer mejores prácticas para la preparación
y presentación de los resultados de un
compromiso de Auditoría Interna
4. Participe
Pregunte en cualquier
momento
No es un monólogo
Queremos compartirles
nuestras experiencias
DINAMICA DE LA CONFERENCIA
6. “Ya no basta con satisfacer a los
clientes; ahora hay que dejarlos
encantados”
• Philip Kotler
Los usuarios tienen diversas necesidades. El informe de auditoría
puede ser estructurado para múltiples tipos de usuarios, o más
de un tipo de informe puede ser necesario basado en las
necesidades de los usuarios.
7. STAKEHOLDERS
Dueños de los
procesos de
negocio
Administración
/ Gerencia
Senior
Comité de
Auditoría
Junta Directiva
Auditores
Externos
Reguladores
NIEPAI 2440 – El Director
Ejecutivo de Auditoria (DEA)
debe comunicar los
resultados a las partes
apropiadas.
Asuntos de ética / fraude
Asuntos confidenciales
Opinión del área legal
Regulaciones locales
“A NEED TO KNOW BASIS”
8. ¿Quienes son los lectores
más importantes del Informe
de Auditoría?
¿Cuánto conocen de la
actividad auditada?
¿Cómo planean utilizar el
reporte?
¿Cómo impactan al lector los
asuntos reportados ?
STAKEHOLDERS
Dueños de los
procesos de
negocio
Administración
/ Gerencia
Senior
Comité de
Auditoría
Junta Directiva
Auditores
Externos
Reguladores
“A NEED TO KNOW BASIS”
9. Gerentes con responsabilidad
directa sobre la actividad
auditada o individuos con
autoridad suficiente para
tomar acciones sobre las
recomendaciones de
Auditoría Interna.
“A NEED TO KNOW BASIS”
2440.A1
Dueños de los
procesos de
negocio
Administración
/ Gerencia
Senior
Junta Directiva
… partes que puedan
asegurar que se de la
debida consideración a los
resultados.
Comité de
Auditoría
10. 2440.A2
Auditores
Externos
Reguladores
Antes de enviar los resultados
a usuarios externos:
Evaluar el riesgo potencial
para la Organización;
Consultar con la alta
dirección y/o consejero legal;
Controlar la difusión,
restringiendo la utilización de
los resultados.
“A NEED TO KNOW BASIS”
12. Formato:
orientación de las páginas
fuentes de letras a ser usadas
color
gráficos
elementos y demás partes del informe
La estructura es “el esqueleto” del
informe, no su formato físico.
• http://nahunfrett.blogspot.com
El desarrollo de la estructura del
informe se hace antes de determinar
su formato.
13. ------ 2 a 3 páginas ------
Título e identificación del informe
Nombre y cargo del auditado
Rating de la auditoría
Tabla de Contenido
Resumen ejecutivo
Antecedentes
Objetivo
Alcance (actividades incluidas, no incluidas, limitaciones)
Reconocimiento (hallazgos identificados por el negocio)
Sumario de observaciones
Opinión o Conclusión
14. Detalle de observaciones
y Planes de acción
Resultados de la
evaluación de riesgos
Lista de distribución
Nombre del Auditor(es)
- Indicadores de desempeño (Dashboards)
- Restricción de uso
- Cumplimiento con Normas (NIEPAI 2430)
- Comentarios de la Administración
- Asuntos menores
- Tabla de definiciones
- Anexos
Otras Secciones o Párrafos
15. Modelos (Dashboards)
Riesgos identificados incluidos
en el alcance de la auditoria
R/A/G Issue Ref. Debilidades identificadas
Riesgo 1 X Pag # Incluir una breve descripción del issue
Riesgo 2 X Pag # Incluir una breve descripción del issue
Riesgo 3 X Pag # Ninguna situación observada
Leyenda
G Certeza suficiente sobre la efectividad de los controles que mitigan el riesgo identificado.
A Certeza parcial sobre la efectividad de los controles que mitigan el riesgo identificado.
R Certeza insuficiente sobre la efectividad de los controles que mitigan el riesgo identificado.
Hallazgos identificados Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
Identificados en la autoevaluación de controles de la
administración
x x x x x
No identificados en la autoevaluación de controles de la
administración
x x x x x
No aplica para ser evaluado por la administración x x x x x
Total Issues Sum(x) Sum(x) Sum(x) Sum(x) Sum(x)
Evaluación de Riesgos
Autoevaluación de controles de la administración
16. Nivel1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
Issues: X X X X X
Están siendo atendidos por la administración: X X X X X
Tiempo para remediación (numero de días calendarios): X X X X X
Issues concurrentes: X X X X X
Efectividad general de los controles:
Controles claves diseñados y operando efectivamente según
resultados de la autoevaluación de la administración
Controles claves diseñados y operando efectivamente según
resultados de la auditoria
Efectividad del proceso de autoevaluación:
Controles claves probados por Auditoria Interna que fueron
identificados en el proceso de autoevaluación
Autoevaluación de la administración coincide con los
resultados de Auditoria Interna
Modelos (Dashboards)
17. “La administración identificó el hallazgo XXX en su proceso de
autoevaluación de controles, documentó formalmente y aprobó
el plan de acción. La medida correctiva está en la dirección
correcta y se espera completarla antes de la fecha límite.”
Modelos (Párrafo de reconocimiento)
Modelo de párrafo para reconocer los hallazgos identificados
previamente por el negocio:
18. Resumen ejecutivo:
Proveer una opinión de auditoría interna facilita entender la
importancia de las observaciones
Dimensione en términos económicos o porcentuales el impacto
causado por las debilidades del control interno
Dashboard de hallazgos (por actividad, rating, riesgo, etc.)
Comparación con los resultados de auditorias previas
Hallazgos repetidos de auditorías previas y/o planes de acción
no completados
https://na.theiia.org/standards-
guidance/Member%20Documents/PG-
Audit-Reports.pdf
Guías para la práctica
19. Los lectores son selectivos. No debemos ver los informes
como un texto continuo, sino como una serie de secciones.
Cada sección permite al lector profundizar dentro de más
detalles y explicaciones dependiendo de sus necesidades:
Usuarios de alto nivel: leen la opinión (o conclusión)
Gerentes del área bajo examen: revisan la opinión, los
mensajes en la observación y las recomendaciones
(podrían no leer las observaciones completas ni anexos).
Dueños de procesos: leen el informe completo, enfocan su
atención en las recomendaciones.
Guías para la práctica
22. ¿AI entiende correctamente la excepción de control?
¿Cómo afecta los objetivos del proceso?
¿Es una excepción en la ejecución del control o en su
documentación?
¿Es aplicable a toda la población?
Situación Identificada
es un hallazgo..?
Los hallazgos son observaciones de hechos relevantes.
El informe debe contener las observaciones necesarias para
sustentar las conclusiones y recomendaciones.
23. Elementos de un Hallazgo
Modelo IERC basado en el análisis de
Causa Raíz
• Issue (Condición):
• Efecto:
• Causa Raíz:
• Contexto:
Que salió mal?
Cual es la falla de control?
Comparación con el criterio
Cual es el impacto?
Real o Potencial?
Por qué salió mal?
Información adicional que contribuya
a la comprensión del lector
24. Análisis de Causa Raíz:
Identificar y corregir resultados no deseados.
Reducir futuras ocurrencias de la condición.
¿Qué pasó?
¿Porqué? “5P”
¿Cómo lo evito nuevamente?
… y la segunda línea?
25. Acciones correctivas que resuelven la situación observada y
mitigan la exposición al riesgo.
Acciones definidas
Controles compensatorios
Implementación gradual (milestone)
Plazos
Responsabilidades
Planes de Acción
cómo lo evito nuevamente..?
26. S: Específico
M: Medible
A: Alcanzable
R: Reliable (confiable)
T: Tiempo determinado
Evaluando el Plan de Acción
S: Específico
Que control debe ser
implementado o reforzado?
Quien será el responsable?
M: Medible
Auditable, entregables
claramente definidos
27. S: Específico
M: Medible
A: Alcanzable
R: Reliable (confiable)
T: Tiempo determinado
A: Alcanzable
Práctico, razonable,
costo/beneficio, tomar en
cuenta el riesgo
R: Confiable
Resuelve el issue, minimiza el
riesgo
T: Tiempo determinado
El plazo para su cumplimiento e
implementación debe tomar en
cuenta el nivel de riesgo.
Evaluando el Plan de Acción
28. ¿Es el control correcto para mitigar el riesgo?
¿Lo realiza la persona adecuada en el nivel adecuado?
¿El control se realiza en la etapa adecuada del proceso?
¿El control es sostenible?
¿El control es evidente?
Evaluando el Plan de Acción
efectividad del diseño..?
29. Observaciones Identificadas por la Administración
autoevaluación u otras fuentes distintas de IA…
Reconoce la proactividad de la administración en la
identificación y resolución de asuntos de control interno.
Las evidencias deberán ser provistas por el negocio durante
la etapa de planificación de la auditoria.
Cualquier otra fuente distinta de IA.
Debe cumplir con los 4 criterios:
Plan de acción
Recursos
Aprobaciones
Progreso
31. Modelo (Clasificación de las Observaciones)
evaluando la severidad…
5
Otras observaciones de control que requieren la atención de la
administración y acciones correctivas a nivel de proceso.
4
Observaciones de control que requieren la atención de la
administración y acción correctiva a nivel de producto o función.
3
Desviaciones a políticas o asuntos significativos de control a nivel
de una o mas sucursales.
2
Debilidades significativas de control que afectan a toda la entidad
legal. Se requiere la atención de la Gerencia Senior para asegurar
un plan de remediación efectivo.
1
Debilidades significativas de control que afectan a la franquicia, o a
mas de una entidad del grupo económico. Se requiere atención de
la Gerencia Senior para asegurar que los riesgos son mitigados y
un plan de remediación efectivo.
32. Describe el control que falló
Desviación asociada a los riesgos auditados
El efecto deber capturar todos los riesgos reales y potenciales
Relación entre la causa raíz y el plan de acción
Contexto permite entender el issue y su magnitud
Clasificar las observaciones permite a la administración priorizar
planes de acción y el seguimiento por parte de Auditoria Interna
Criterios de clasificación de hallazgos claramente definidos y
aplicados consistentemente en todos los informes de auditoría
Redacción de hallazgos
algunas consideraciones…
33. Ref. Severidad Observación
Plan de acción acordado, fecha de
cumplimiento y ejecutivo responsable
xxx 1/2/3/4/5 Observación Escribir de acuerdo al modelo SMART
Identificado
por el negocio Especifico
S/N Efecto Medible
Repetido Realizable
S/N Causa Raíz Confiable
Responsable del
plan de acción Tiempo determinado
Nombre y Cargo Contexto
Fecha de
vencimiento
XXXX
Fecha para la
validación (*)
XXXX
(*) Auditoria Interna debe probar la
sostenibilidad del control
Modelo (formato IERC)
35. Calidad de las Comunicaciones
NIEPAI
2420
Exacta
Objetiva
Clara
Concisa
Construc-
tiva
Completa
Oportuna
Libre de errores
Justa, libre de influencias
Comprensible, lógica
Directa, breve,
Útil, conduce a mejoras
Significativa, relevante
Permite acción oportuna
“El buen comunicador habla o escribe sin hacer perder el tiempo”.
• Carlos Salas
36. Pautas para la redacción:
1. Evite la repetición excesiva de vocablos y las situaciones
que reporta.
2. No utilice siglas o abreviaciones que no hayan sido
declaradas previamente.
3. Redacte en forma impersonal y evite el tono impositivo.
4. Nunca sugiera sanciones.
5. Utilice adecuadamente los signos de puntuación.
6. Utilice palabras comunes, de uso general. No utilice
términos ofensivos.
37. Guías para la práctica
4. No haga suposiciones. Todos los
hallazgos deben estar basados en
hechos y debidamente soportados
en los papeles de trabajo.
1. Sea breve. Sus clientes esperan
recibir un documento depurado que
presente temas cruciales.
2. Coloque primero el mensaje principal.
Permite un entendimiento claro, no
solo del mensaje clave si no también
de la información de apoyo y los
detalles.
3. Utilice gráficos, imágenes, tablas
en lugar de textos largos.
38. Guías para la práctica
7. Respalde todas las versiones
borrador y el informe final.
5. Presente una conclusión clara.
Asegúrese de que el lector
comprende lo que usted piensa
sobre la efectividad y eficiencia del
área bajo revisión.
6. Revise en varias oportunidades el
contenido del informe, realice ajustes
y solicite que otra persona del grupo
lo lea.
40. ¿Cómo son las discusiones de los Informes de
Auditoría en tu empresa?
41. ¿Cómo son las discusiones de los Informes de
Auditoría en tu empresa?
42. CP 2440-1 Difusión de los resultados
Incluya en las discusiones y
revisiones a personas conocedoras
de la operación en detalle y a
quienes puedan autorizar la acción
correctiva.
Comentar conclusiones y
recomendaciones con los niveles
directivos apropiados antes de la
comunicación final.
Revisar previamente con el director de
la unidad auditada el borrador de los
temas, observaciones y
recomendaciones del trabajo.
43. CP 2440-2 Comunicaciones fuera de la Organización
Cumplir con el debido cuidado
profesional. Tener en cuenta
cualquier consideración legal.
Revisar la guía de comunicaciones
externas. Si no existe debe
promover su adopción.
Las solicitudes deben ser revisadas para
enviar un informe existente o bien crear
un informe nuevo.
Limitar su distribución.
“A NEED TO KNOW BASIS”
44. Tips para la práctica
Preparando la presentación
Evita frases animadas y efectos de
sonido. Usa transiciones simples o
imágenes ejecutivas para dar
dinamismo sin abrumar.
Conoce las dimensiones del lugar, la
iluminación y cantidad de personas que
van a asistir. Esto impacta en los
colores de fondo que podrás emplear,
cantidad de texto, tipografía y gráficos.
Selecciona temas visuales, colores,
letras e imágenes que no distraigan la
atención del objetivo de tu presentación.
Dedicar tiempo a la preparación,
repasa previamente el informe.
45. Tips para la práctica
El día de la reunión
Llegue temprano
Presente con actitud positiva
Demuestre seguridad
Sea neutral, objetivo y justo
Use un perfil y tono balanceado
Comente sobre los aspectos positivos
Prepárese por anticipado para recibir
objeciones, tenga lista la evidencia
competente
Documente los cambios acordados
(lenguaje, tono y sustancia del informe)
Documente los planes de acción
acordados (responsables y fechas)
Confirme la lista de distribución
47. “Lo que hacemos por
nosotros mismos, muere
con nosotros. Lo que
hacemos por los demás y
por el mundo, permanece
y es inmortal”
Albert Pine
Marlon Chavarría Rayo
marlonchavarriarayo@gmail.com
Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) – Experto
en Prevención de Lavado de Dinero (FIBA) – Experto en NIIF PYME (AIC-
CICNP)
Guillermo A. García Narváez
garcia18n3@hotmail.com
Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) –
Certified Financial Services Auditor (CFSA) – Certified Fraud Examiner (CFE)