Informes de Auditoria Interna

INFORMES DE AUDITORIA
INTERNA
Marlon Chavarría Rayo
marlonchavarriarayo@gmail.com
Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) – Experto
en Prevención de Lavado de Dinero (FIBA) – Experto en NIIF PYME (AIC-
CICNP)
Guillermo A. García Narváez
garcia18n3@hotmail.com
Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) –
Certified Financial Services Auditor (CFSA) – Certified Fraud Examiner (CFE)

AGENDA
 Usuarios del Informe de Auditoria Interna
 Estructura del Informe de Auditoria Interna
 Modelo IERC para la Redacción de Hallazgos
 Técnicas de Redacción de Informes
 Presentación de Resultados

OBJETIVOS
 Identificar los componentes de un Informe de
Auditoría Interna efectivo
 Organizar un Informe de Auditoria Interna
efectivo
 Conocer mejores prácticas para la preparación
y presentación de los resultados de un
compromiso de Auditoría Interna

 Participe
 Pregunte en cualquier
momento
 No es un monólogo
 Queremos compartirles
nuestras experiencias
DINAMICA DE LA CONFERENCIA

Usuarios del Informe
de Auditoria Interna

“Ya no basta con satisfacer a los
clientes; ahora hay que dejarlos
encantados”
• Philip Kotler
Los usuarios tienen diversas necesidades. El informe de auditoría
puede ser estructurado para múltiples tipos de usuarios, o más
de un tipo de informe puede ser necesario basado en las
necesidades de los usuarios.

STAKEHOLDERS
Dueños de los
procesos de
negocio
Administración
/ Gerencia
Senior
Comité de
Auditoría
Junta Directiva
Auditores
Externos
Reguladores
NIEPAI 2440 – El Director
Ejecutivo de Auditoria (DEA)
debe comunicar los
resultados a las partes
apropiadas.
 Asuntos de ética / fraude
 Asuntos confidenciales
 Opinión del área legal
 Regulaciones locales
“A NEED TO KNOW BASIS”

 ¿Quienes son los lectores
más importantes del Informe
de Auditoría?
 ¿Cuánto conocen de la
actividad auditada?
 ¿Cómo planean utilizar el
reporte?
¿Cómo impactan al lector los
asuntos reportados ?
STAKEHOLDERS
Dueños de los
procesos de
negocio
Administración
/ Gerencia
Senior
Comité de
Auditoría
Junta Directiva
Auditores
Externos
Reguladores

Gerentes con responsabilidad
directa sobre la actividad
auditada o individuos con
autoridad suficiente para
tomar acciones sobre las
recomendaciones de
Auditoría Interna.
2440.A1
Dueños de los
procesos de
negocio
Administración
/ Gerencia
Senior
Junta Directiva
… partes que puedan
asegurar que se de la
debida consideración a los
resultados.
Comité de
Auditoría

2440.A2
Auditores
Externos
Reguladores
Antes de enviar los resultados
a usuarios externos:
 Evaluar el riesgo potencial
para la Organización;
 Consultar con la alta
dirección y/o consejero legal;
 Controlar la difusión,
restringiendo la utilización de
los resultados.

Estructura del Informe
de Auditoria Interna

Formato:
 orientación de las páginas
 fuentes de letras a ser usadas
 color
 gráficos
 elementos y demás partes del informe
La estructura es “el esqueleto” del
informe, no su formato físico.
• http://nahunfrett.blogspot.com
El desarrollo de la estructura del
informe se hace antes de determinar
su formato.

------ 2 a 3 páginas ------
 Título e identificación del informe
 Nombre y cargo del auditado
 Rating de la auditoría
 Tabla de Contenido
 Resumen ejecutivo
 Antecedentes
 Objetivo
 Alcance (actividades incluidas, no incluidas, limitaciones)
 Reconocimiento (hallazgos identificados por el negocio)
 Sumario de observaciones
 Opinión o Conclusión

 Detalle de observaciones
y Planes de acción
 Resultados de la
evaluación de riesgos
 Lista de distribución
 Nombre del Auditor(es)
- Indicadores de desempeño (Dashboards)
- Restricción de uso
- Cumplimiento con Normas (NIEPAI 2430)
- Comentarios de la Administración
- Asuntos menores
- Tabla de definiciones
- Anexos
 Otras Secciones o Párrafos

Modelos (Dashboards)
Riesgos identificados incluidos
en el alcance de la auditoria
R/A/G Issue Ref. Debilidades identificadas
Riesgo 1 X Pag # Incluir una breve descripción del issue
Riesgo 2 X Pag # Incluir una breve descripción del issue
Riesgo 3 X Pag # Ninguna situación observada
Leyenda
G Certeza suficiente sobre la efectividad de los controles que mitigan el riesgo identificado.
A Certeza parcial sobre la efectividad de los controles que mitigan el riesgo identificado.
R Certeza insuficiente sobre la efectividad de los controles que mitigan el riesgo identificado.
Hallazgos identificados Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
Identificados en la autoevaluación de controles de la
administración
x x x x x
No identificados en la autoevaluación de controles de la
administración
x x x x x
No aplica para ser evaluado por la administración x x x x x
Total Issues Sum(x) Sum(x) Sum(x) Sum(x) Sum(x)
 Evaluación de Riesgos
 Autoevaluación de controles de la administración

Nivel1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
Issues: X X X X X
Están siendo atendidos por la administración: X X X X X
Tiempo para remediación (numero de días calendarios): X X X X X
Issues concurrentes: X X X X X
Efectividad general de los controles:
Controles claves diseñados y operando efectivamente según
resultados de la autoevaluación de la administración
Controles claves diseñados y operando efectivamente según
resultados de la auditoria
Efectividad del proceso de autoevaluación:
Controles claves probados por Auditoria Interna que fueron
identificados en el proceso de autoevaluación
Autoevaluación de la administración coincide con los
resultados de Auditoria Interna
Modelos (Dashboards)

“La administración identificó el hallazgo XXX en su proceso de
autoevaluación de controles, documentó formalmente y aprobó
el plan de acción. La medida correctiva está en la dirección
correcta y se espera completarla antes de la fecha límite.”
Modelos (Párrafo de reconocimiento)
Modelo de párrafo para reconocer los hallazgos identificados
previamente por el negocio:

Resumen ejecutivo:
 Proveer una opinión de auditoría interna facilita entender la
importancia de las observaciones
 Dimensione en términos económicos o porcentuales el impacto
causado por las debilidades del control interno
 Dashboard de hallazgos (por actividad, rating, riesgo, etc.)
 Comparación con los resultados de auditorias previas
 Hallazgos repetidos de auditorías previas y/o planes de acción
no completados
https://na.theiia.org/standards-
guidance/Member%20Documents/PG-
Audit-Reports.pdf
Guías para la práctica

 Los lectores son selectivos. No debemos ver los informes
como un texto continuo, sino como una serie de secciones.
 Cada sección permite al lector profundizar dentro de más
detalles y explicaciones dependiendo de sus necesidades:
 Usuarios de alto nivel: leen la opinión (o conclusión)
 Gerentes del área bajo examen: revisan la opinión, los
mensajes en la observación y las recomendaciones
(podrían no leer las observaciones completas ni anexos).
 Dueños de procesos: leen el informe completo, enfocan su
atención en las recomendaciones.

Modelo IERC para la
Redacción de Hallazgos

https://es.slideshare.net/garcia18n3/observaciones
-de-auditoria-transmitiendo-valor-agregado

 ¿AI entiende correctamente la excepción de control?
 ¿Cómo afecta los objetivos del proceso?
 ¿Es una excepción en la ejecución del control o en su
documentación?
 ¿Es aplicable a toda la población?
Situación Identificada
es un hallazgo..?
Los hallazgos son observaciones de hechos relevantes.
El informe debe contener las observaciones necesarias para
sustentar las conclusiones y recomendaciones.

Elementos de un Hallazgo
Modelo IERC basado en el análisis de
Causa Raíz
• Issue (Condición):
• Efecto:
• Causa Raíz:
• Contexto:
Que salió mal?
Cual es la falla de control?
Comparación con el criterio
Cual es el impacto?
Real o Potencial?
Por qué salió mal?
Información adicional que contribuya
a la comprensión del lector

Análisis de Causa Raíz:
Identificar y corregir resultados no deseados.
Reducir futuras ocurrencias de la condición.
¿Qué pasó?
¿Porqué? “5P”
¿Cómo lo evito nuevamente?
… y la segunda línea?

Acciones correctivas que resuelven la situación observada y
mitigan la exposición al riesgo.
 Acciones definidas
 Controles compensatorios
 Implementación gradual (milestone)
 Plazos
 Responsabilidades
Planes de Acción
cómo lo evito nuevamente..?

 S: Específico
 M: Medible
 A: Alcanzable
 R: Reliable (confiable)
 T: Tiempo determinado
Evaluando el Plan de Acción
S: Específico
Que control debe ser
implementado o reforzado?
Quien será el responsable?
M: Medible
Auditable, entregables
claramente definidos

 S: Específico
 M: Medible
 A: Alcanzable
 R: Reliable (confiable)
 T: Tiempo determinado
A: Alcanzable
Práctico, razonable,
costo/beneficio, tomar en
cuenta el riesgo
R: Confiable
Resuelve el issue, minimiza el
riesgo
T: Tiempo determinado
El plazo para su cumplimiento e
implementación debe tomar en
cuenta el nivel de riesgo.

 ¿Es el control correcto para mitigar el riesgo?
 ¿Lo realiza la persona adecuada en el nivel adecuado?
 ¿El control se realiza en la etapa adecuada del proceso?
 ¿El control es sostenible?
 ¿El control es evidente?
efectividad del diseño..?

Observaciones Identificadas por la Administración
autoevaluación u otras fuentes distintas de IA…
 Reconoce la proactividad de la administración en la
identificación y resolución de asuntos de control interno.
 Las evidencias deberán ser provistas por el negocio durante
la etapa de planificación de la auditoria.
 Cualquier otra fuente distinta de IA.
 Debe cumplir con los 4 criterios:
 Plan de acción
 Recursos
 Aprobaciones
 Progreso

https://na.theiia.org/standards-
guidance/Member%20Documents/PG-
Audit-Reports.pdf
Guía para la práctica
Definir la severidad es
cuestión de juicio del
auditor.H
M
L
Alto
Medio
Bajo
Inefectivo
Efectivo
Rojo
Verde
1
2
3
4
Clasificación de las Observaciones (Rating)
evaluando la severidad…

Modelo (Clasificación de las Observaciones)
evaluando la severidad…
5
Otras observaciones de control que requieren la atención de la
administración y acciones correctivas a nivel de proceso.
4
Observaciones de control que requieren la atención de la
administración y acción correctiva a nivel de producto o función.
3
Desviaciones a políticas o asuntos significativos de control a nivel
de una o mas sucursales.
2
Debilidades significativas de control que afectan a toda la entidad
legal. Se requiere la atención de la Gerencia Senior para asegurar
un plan de remediación efectivo.
1
Debilidades significativas de control que afectan a la franquicia, o a
mas de una entidad del grupo económico. Se requiere atención de
la Gerencia Senior para asegurar que los riesgos son mitigados y
un plan de remediación efectivo.

 Describe el control que falló
 Desviación asociada a los riesgos auditados
 El efecto deber capturar todos los riesgos reales y potenciales
 Relación entre la causa raíz y el plan de acción
 Contexto permite entender el issue y su magnitud
 Clasificar las observaciones permite a la administración priorizar
planes de acción y el seguimiento por parte de Auditoria Interna
 Criterios de clasificación de hallazgos claramente definidos y
aplicados consistentemente en todos los informes de auditoría
Redacción de hallazgos
algunas consideraciones…

Ref. Severidad Observación
Plan de acción acordado, fecha de
cumplimiento y ejecutivo responsable
xxx 1/2/3/4/5 Observación Escribir de acuerdo al modelo SMART
Identificado
por el negocio Especifico
S/N Efecto Medible
Repetido Realizable
S/N Causa Raíz Confiable
Responsable del
plan de acción Tiempo determinado
Nombre y Cargo Contexto
Fecha de
vencimiento
XXXX
Fecha para la
validación (*)
XXXX
(*) Auditoria Interna debe probar la
sostenibilidad del control
Modelo (formato IERC)

Técnicas de Redacción
de Informes

Calidad de las Comunicaciones
NIEPAI
2420
Exacta
Objetiva
Clara
Concisa
Construc-
tiva
Completa
Oportuna
 Libre de errores
 Justa, libre de influencias
 Comprensible, lógica
 Directa, breve,
 Útil, conduce a mejoras
 Significativa, relevante
 Permite acción oportuna
“El buen comunicador habla o escribe sin hacer perder el tiempo”.
• Carlos Salas

Pautas para la redacción:
1. Evite la repetición excesiva de vocablos y las situaciones
que reporta.
2. No utilice siglas o abreviaciones que no hayan sido
declaradas previamente.
3. Redacte en forma impersonal y evite el tono impositivo.
4. Nunca sugiera sanciones.
5. Utilice adecuadamente los signos de puntuación.
6. Utilice palabras comunes, de uso general. No utilice
términos ofensivos.

4. No haga suposiciones. Todos los
hallazgos deben estar basados en
hechos y debidamente soportados
en los papeles de trabajo.
1. Sea breve. Sus clientes esperan
recibir un documento depurado que
presente temas cruciales.
2. Coloque primero el mensaje principal.
Permite un entendimiento claro, no
solo del mensaje clave si no también
de la información de apoyo y los
detalles.
3. Utilice gráficos, imágenes, tablas
en lugar de textos largos.

7. Respalde todas las versiones
borrador y el informe final.
5. Presente una conclusión clara.
Asegúrese de que el lector
comprende lo que usted piensa
sobre la efectividad y eficiencia del
área bajo revisión.
6. Revise en varias oportunidades el
contenido del informe, realice ajustes
y solicite que otra persona del grupo
lo lea.

¿Cómo son las discusiones de los Informes de
Auditoría en tu empresa?

CP 2440-1 Difusión de los resultados
 Incluya en las discusiones y
revisiones a personas conocedoras
de la operación en detalle y a
quienes puedan autorizar la acción
correctiva.
 Comentar conclusiones y
recomendaciones con los niveles
directivos apropiados antes de la
comunicación final.
 Revisar previamente con el director de
la unidad auditada el borrador de los
temas, observaciones y
recomendaciones del trabajo.

CP 2440-2 Comunicaciones fuera de la Organización
 Cumplir con el debido cuidado
profesional. Tener en cuenta
cualquier consideración legal.
 Revisar la guía de comunicaciones
externas. Si no existe debe
promover su adopción.
 Las solicitudes deben ser revisadas para
enviar un informe existente o bien crear
un informe nuevo.
 Limitar su distribución.

Tips para la práctica
Preparando la presentación
 Evita frases animadas y efectos de
sonido. Usa transiciones simples o
imágenes ejecutivas para dar
dinamismo sin abrumar.
 Conoce las dimensiones del lugar, la
iluminación y cantidad de personas que
van a asistir. Esto impacta en los
colores de fondo que podrás emplear,
cantidad de texto, tipografía y gráficos.
 Selecciona temas visuales, colores,
letras e imágenes que no distraigan la
atención del objetivo de tu presentación.
 Dedicar tiempo a la preparación,
repasa previamente el informe.

Tips para la práctica
El día de la reunión
 Llegue temprano
 Presente con actitud positiva
 Demuestre seguridad
 Sea neutral, objetivo y justo
 Use un perfil y tono balanceado
 Comente sobre los aspectos positivos
 Prepárese por anticipado para recibir
objeciones, tenga lista la evidencia
competente
 Documente los cambios acordados
(lenguaje, tono y sustancia del informe)
 Documente los planes de acción
acordados (responsables y fechas)
 Confirme la lista de distribución

“Lo que hacemos por
nosotros mismos, muere
con nosotros. Lo que
hacemos por los demás y
por el mundo, permanece
y es inmortal”
Albert Pine
Marlon Chavarría Rayo
marlonchavarriarayo@gmail.com
Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) – Experto
en Prevención de Lavado de Dinero (FIBA) – Experto en NIIF PYME (AIC-
CICNP)
Guillermo A. García Narváez
garcia18n3@hotmail.com
Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) –
Certified Financial Services Auditor (CFSA) – Certified Fraud Examiner (CFE)

Informes de Auditoria Interna

Más contenido relacionado

La actualidad más candente (20)

Similar a Informes de Auditoria Interna (20)

Más de Guillermo Garcia (6)

Último (20)

Informes de Auditoria Interna