Cumplimientoagosto 13, 2025

Diseñar una estrategia formal de auditoría interna

Autor: TeamMate

El departamento de auditoría interna de toda organización requiere una estrategia bien planificada y estructurada. Esta estrategia ayuda a guiar al equipo de auditoría interna en la prestación de servicios de aseguramiento y asesoramiento para apoyar el éxito de la organización. Aunque la construcción de la estrategia de auditoría interna por primera vez puede parecer abrumadora, el producto final es sin duda vale la pena el esfuerzo. La siguiente guía está diseñada para mostrarle cada paso de la creación de la estrategia de auditoría, asegurándose de que recopila toda la información necesaria y estableciendo una rutina para mantener la estrategia de auditoría actualizada.

Para abordar eficazmente la estrategia de la función de auditoría interna, necesitamos comprender las Normas Globales de Auditoría Interna, actualizadas, que incluyen principios para guiar al Director de Auditoría (CAE) en la planificación de una estrategia global. El Principio 9, como se indica en la nueva Norma 9.2 Estrategia de Auditoría Interna (véase la Figura 1), establece que el CAE debe "desarrollar e implementar una estrategia para la función de auditoría interna" que "apoye los objetivos estratégicos y el éxito de la organización y se alinee con las expectativas del Consejo, la alta dirección y otras partes interesadas clave", e incluya "una visión, objetivos estratégicos e iniciativas de apoyo para la función de auditoría interna". Por último, el CAE debe revisar periódicamente la estrategia con la alta dirección y el Consejo.

Para garantizar que los departamentos de auditoría interna puedan cumplir con sus diversas responsabilidades, es esencial contar con un plan sólido. Hemos diseñado esta guía como un debate y comentario exhaustivos sobre los elementos obligatorios de una estrategia de auditoría interna eficaz, tal como se establece en las normas, además de mejores prácticas, para ayudarle a crear y documentar su propia estrategia de auditoría.

Figura 1
Norma 9.2 Requisitos de la estrategia de auditoría interna

El director de auditoría debe desarrollar e implementar una estrategia para la función de auditoría interna que apoye los objetivos estratégicos y el éxito de la organización y se alinee con las expectativas del Consejo, la alta dirección y otras partes interesadas clave. Una estrategia de auditoría interna es un plan de acción diseñado para lograr un objetivo general o a largo plazo. La estrategia de auditoría interna debe incluir una visión, objetivos estratégicos e iniciativas de apoyo para la función de auditoría interna. Una estrategia de auditoría interna ayuda a guiar la función de auditoría interna hacia el cumplimiento del mandato de auditoría interna. El director de auditoría debe revisar periódicamente la estrategia de auditoría interna con el Consejo y la alta dirección.

Fuente: Normas Globales de Auditoría Interna, IIA

Visión y misión del CAE para la auditoría interna

Al igual que con cualquier estrategia, el CAE debe definir la visión y la misión de la función de auditoría. La declaración de la visión debe ser ambiciosa y establecer un objetivo a largo plazo para la función de auditoría. La declaración de la visión refleja dónde se quiere llegar en un futuro próximo, pero se redacta en tiempo presente para mostrar que el equipo está trabajando activamente para alcanzar un único objetivo ambicioso.

Ejemplo de plan estratégico de auditoría interna: : La función de auditoría interna proporciona una visión profunda y significativa de los riesgos más urgentes de la empresa.

Una declaración de misión describe lo que la función de auditoría hace ahora. La declaración de misión está orientada a la acción y arraigada en el presente. La declaración de misión define la función de auditoría y permite que el resto de la organización sepa lo que espera del equipo de auditoría.

Ejemplo de plan estratégico de auditoría interna: La misión del equipo de auditoría interna es llevar a cabo auditorías basadas en el riesgo que aborden los riesgos emergentes y de alta prioridad que podrían impedir a la empresa alcanzar sus objetivos estratégicos.

Objetivos estratégicos de la función de auditoría interna

A continuación, el CAE debe elaborar una lista de objetivos estratégicos en la que se destaquen las medidas específicas que debe adoptar el equipo de auditoría. Los objetivos deben incluir metas cuantificables que el CAE espera alcanzar y que respalden la misión y la visión de la función de auditoría. Recientemente, se ha producido un alejamiento de la planificación estratégica a largo plazo en favor de la agilidad dentro de la función de auditoría, pero estos dos conceptos pueden funcionar conjuntamente. Al establecer objetivos estratégicos centrados en el futuro, el CAE puede garantizar que cualquier proyecto a corto plazo o plan de auditoría ágil también contribuya a la consecución de una estrategia de auditoría más amplia.

Ejemplo
:

  • Utilizar un ciclo de vida de auditoría basado en el riesgo que aborde los riesgos emergentes y de alta prioridad para la organización.
  • Ofrecer oportunidades de formación continua al personal de auditoría para garantizar que posee los conocimientos necesarios para llevar a cabo el plan de auditoría.
  • Proporcionar a la alta dirección y al comité de auditoría una visión profunda del entorno de riesgo y control.

Alinear las expectativas de las partes interesadas

Aunque la auditoría interna es una función independiente, fuera de la influencia de la dirección, los auditores internos necesitan trabajar estrechamente con otras funciones de la organización. Para ello, el CAE debe alinear las expectativas dentro del equipo de auditoría y con las partes interesadas de otras funciones. Establecer expectativas claras y alinear el trabajo del equipo de auditoría con otras partes interesadas, principalmente las otras funciones de aseguramiento, es vital para el éxito del departamento.

Ejemplo de plan estratégico de auditoría interna:

Equipo de auditoría Como miembro del departamento de auditoría interna, es su responsabilidad respetar las normas establecidas por el Instituto de Auditores Internos y las políticas establecidas por este departamento y la organización en general. Las auditorías se llevan a cabo desde una perspectiva basada en el riesgo y bajo la supervisión de gestores de auditoría con amplia experiencia. Si durante una auditoría se descubre un problema que debe ser comunicado, es fundamental avisar inmediatamente al responsable. Es importante terminar las auditorías a tiempo y tratar a las partes interesadas con respeto, comunicación abierta y escepticismo profesional.
Alta dirección El equipo de alta dirección proporcionará información valiosa sobre el entorno de riesgo y control durante las evaluaciones de riesgo trimestrales. Cuando se lleven a cabo auditorías, es esencial facilitar con prontitud toda la documentación solicitada para garantizar que la auditoría siga su curso. Si se descubre algún problema, debe elaborarse un plan de acción formal para remediarlo en un plazo de 3 a 6 meses, indicando las personas responsables y los plazos. La asistencia a las reuniones de cierre de la auditoría es obligatoria para confirmar que se han recibido todos los planes de acción y se ha identificado al personal. Tras la auditoría, es necesario actualizar trimestralmente los planes de acción.
Consejo/ Comité de Auditoría El Director de Auditoría (CAE) es responsable de proporcionar actualizaciones trimestrales al comité de auditoría en relación con los planes, el progreso y el estado de las auditorías del departamento. Los informes se centrarán en cuestiones significativas de riesgo y control, incluidos los riesgos de fraude, cuestiones de gobernanza y cualquier otro asunto que requiera la atención del comité de auditoría. El comité de auditoría aprobará el presupuesto del departamento de auditoría tras examinar las propuestas y negociar con el CAE.
Otros proveedores de aseguramiento interno La auditoría interna puede basarse en el trabajo realizado por los equipos de aseguramiento interno en la segunda línea (por ejemplo, cumplimiento, gestión de riesgos, calidad) si el trabajo cumple la norma de calidad del equipo de auditoría interna.
Partes interesadas externas El CAE (Chief Audit Executive) facilitará la información solicitada por partes externas, como auditores externos, reguladores y otros, según los requisitos y acuerdos establecidos con ellos. Se hará todo lo posible para proporcionar un trabajo en el que las partes externas puedan confiar, basándose en las normas combinadas de las partes internas y externas.

Ver una demo

Planificar el enfoque para el desarrollo del equipo

Los equipos de auditoría deben poseer los conocimientos y aptitudes necesarios para llevar a cabo auditorías con eficacia dentro de su organización. El Director de Auditoría tiene varias opciones para asegurarse de que el equipo cuenta con el conjunto de aptitudes adecuado. El primer paso consiste en evaluar las aptitudes y conocimientos actuales del departamento. Llevar a cabo una evaluación de las competencias puede identificar rápidamente cualquier laguna en los conocimientos del equipo. La evaluación de competencias debe adaptarse a la organización y al sector. Es importante tener en cuenta que las competencias necesarias en una organización del sector público diferirán de las de una empresa, una institución financiera o un minorista.

Ejemplo de plan estratégico de auditoría interna:

Necesitamos comprender las tecnologías utilizadas en nuestra organización, ahora y en el futuro, y qué competencias digitales pueden equipar mejor al equipo de auditoría para ser más eficiente y eficaz y añadir valor. Todo el personal de auditoría se someterá a una evaluación de competencias digitales.

Una vez establecida la línea de base, el CAE debe decidir qué competencias deben mantenerse o desarrollarse. En términos generales, existen tres opciones para desarrollar estas competencias en el departamento:

Impartir formación en grupo

La formación en grupo es muy rentable porque permite formar a todo el equipo a la vez. Contratar a un formador profesional que pueda enseñar simultáneamente a toda la plantilla puede ser la opción más eficaz para equipos grandes. Además, el formador puede proporcionar créditos de formación continua a quienes tengan certificaciones. Sin embargo, la desventaja de este método es que todos recibirán la misma formación, y no hay oportunidad para la especialización individual entre los miembros del equipo. Esta opción funciona mejor para establecer una base de referencia de las competencias esperadas.

Presupuesto para formación individual

Algunos Directores de Auditoría Certificados asignan un presupuesto de formación distinto a cada miembro del equipo. De este modo, cada persona puede elegir los cursos de formación pertinentes para mejorar sus competencias dentro del presupuesto asignado. Para atender las necesidades del departamento, deben establecerse ciertas directrices que garanticen que la formación se centra en temas relevantes para las necesidades de la organización. Si se opta por este enfoque, también es importante prever tiempo suficiente para que los empleados completen la formación.

Exigir a los individuos que busquen su propia formación

No es aconsejable dejar toda la responsabilidad de la formación del personal de auditoría en sus manos. Cuando el departamento no paga la formación, el director de auditoría (CAE) pierde el control sobre la calidad y el tipo de formación impartida. Algunos miembros del personal pueden optar por formación gratuita en línea, cuya calidad puede variar. Otros pueden ni siquiera considerar la formación debido al coste asociado. Los nuevos miembros de la profesión siempre están deseosos de desarrollarse profesionalmente, y no proporcionarles una formación adecuada puede obstaculizar su crecimiento, crear lagunas de habilidades en el equipo y provocar la rotación del personal..

Plan de despidos

Como ya se ha mencionado, la formación de los empleados influye significativamente en la tasa de retención de su organización. Como parte de la estrategia de auditoría, los Directores de Auditoría (CAE) deben evaluar si hay redundancia entre los miembros del equipo, el nivel de confianza y responsabilidad que se deposita en cada persona y la probabilidad de que los individuos abandonen la organización. Es un error común pensar que la redundancia es una oportunidad para reducir la plantilla. Sin embargo, es esencial recordar que muchos puestos de auditoría son temporales debido a rotaciones planificadas, y también debemos considerar el impacto del movimiento de puestos de trabajo al margen de los simples costes de contratación. La mayoría de los empleados tienen responsabilidades críticas que no comparten con otros, lo que puede aumentar el riesgo de rotación. Las organizaciones pueden ofrecer opciones de formación periódica para mitigar este riesgo para sus empleados.

Planificación de la sucesión

La planificación de la sucesión suele centrarse en los cargos directivos. Las personas son seleccionadas y preparadas para los cambios en un plan de sucesión claro. Sin embargo, la mayoría de los cambios en una organización se producen en cargos no directivos. Por lo tanto, los equipos de auditoría deben evaluar el riesgo relacionado con la planificación de la sucesión en los puestos de gestión de auditoría. Por ejemplo, es importante tener en cuenta las implicaciones que tendría si el director de auditoría informática decidiera marcharse de forma repentina. Incluir un plan de sucesión para los puestos críticos de auditoría en la estrategia de auditoría puede reducir las interrupciones si alguien decide marcharse.

Establecer un modelo de madurez digital

Los equipos de auditoría interna pueden ser lentos a la hora de adoptar nuevas tecnologías por varias razones: la falta de financiación y las lagunas de conocimientos dentro del personal de auditoría son las más comunes. El plan estratégico de auditoría interna debe abordar el hecho de que la tecnología avanza más rápido que nunca, y los equipos de auditoría interna deben mantenerse al día con los cambios en múltiples frentes. En primer lugar, el equipo de auditoría necesita comprender los avances tecnológicos realizados dentro de la organización para ajustar el plan de auditoría. A continuación, el equipo necesita un conjunto adecuado de soluciones tecnológicas para completar su trabajo, como soluciones de gestión de auditorías, análisis de datos y herramientas de automatización. Un paso esencial para que el equipo de auditoría madure en el uso de la tecnología es la comparación con otros en su sector. Por último, la dirección de auditoría debe estar al tanto de las posibles soluciones que se presenten en el futuro para planificar el tratamiento adecuado de los riesgos para la organización.

Alineación con la organización

El modelo de madurez digital de auditoría debe alinearse con la estrategia tecnológica más amplia de la organización. El CAE puede empezar por establecer relaciones y fijar expectativas con los equipos de informática. Algunas organizaciones esperan que el CAE presupueste la tecnología con cargo a su presupuesto asignado, mientras que otras presupuestan todo el gasto en tecnología dentro de la organización de informática. En este último caso, el CAE debe crear un caso de negocio y establecer expectativas sobre el coste, el calendario y el proceso de implantación. El CAE también tiene que trabajar en el proceso de compras de la organización, que probablemente incluirá la recopilación de propuestas, evaluaciones técnicas y revisiones legales de los contratos. Todos estos pasos añaden tiempo al proceso general que debe tenerse en cuenta en el plan de madurez, por lo que es mejor empezar a planificar con tiempo.

Antes de adquirir nueva tecnología, también se debe tener en cuenta el inventario actual de soluciones. Es posible que otras personas de la organización ya tengan acceso a soluciones analíticas, software de automatización o herramientas de generación de informes. Por otro lado, si no encuentra soluciones internas, tal vez le convenga asociarse con otros para encontrar una solución mutuamente beneficiosa.

Ejemplo de plan estratégico de auditoría interna:
  • Auditoría Interna, Gestión de Riesgos Empresariales y Cumplimiento pueden elegir una única plataforma de aseguramiento.
  • Auditoría Interna puede asociarse con Contabilidad para utilizar las mismas herramientas de análisis de datos.
  • Auditoría Interna puede aprovechar una solución AI/RPA existente que utilice el equipo de tecnología.

Planificación de las actualizaciones de la estrategia de auditoría interna

La auditoría interna necesita una estrategia de auditoría dinámica para mantenerse al día con los cambios en el panorama de riesgos, por lo que el CAE debe planificar las actualizaciones. Algunos eventos pueden requerir actualizaciones más frecuentes, tales como cambios organizativos, cambios en liderazgo, actualizaciones de políticas y procedimientos, nuevas leyes y reglamentos, la introducción de nuevos marcos, o los resultados de las evaluaciones internas y externas de la función de auditoría interna (por ejemplo, los resultados del QAIP). Fuera de los eventos importantes, el CAE debe considerar las actualizaciones del plan estratégico de auditoría interna cuando se encuentre con tecnologías emergentes que alteren fundamentalmente el enfoque de planificación, pruebas e informes de auditoría.

Si la estrategia de auditoría interna necesita actualizaciones, el CAE debe revisar la estrategia con el Consejo y la alta dirección. Las normas no especifican la frecuencia, pero dado que la estrategia marca la pauta para toda la función de auditoría, puede tener sentido utilizar el plan estratégico como punto de referencia durante todas las reuniones del comité de auditoría. La revisión puede incluir un calendario para alcanzar los objetivos del plan, actualizaciones de los progresos realizados en esos objetivos y cualquier preocupación relacionada con la consecución de objetivos específicos.

Planificar el éxito

La creación de un plan estratégico de auditoría interna sienta las bases del éxito. El CAE siempre ha sido responsable del plan de auditoría y del equipo, y la nueva norma exige más formalidad. Al documentar la estrategia de auditoría interna, compartirla con el equipo de auditoría y revisarla con el Consejo y la alta dirección, el CAE muestra la cuidadosa planificación necesaria para mantener una función de auditoría preparada para evaluar el entorno de control de la organización y la exposición al riesgo. La estrategia documentada asegura que el equipo de auditoría está trabajando hacia una misión común, guiado por la visión del CAE para el equipo, y considera las necesidades de la organización y de los miembros individuales del equipo de auditoría. Construir la estrategia de auditoría interna es esencial para planificar el éxito futuro.

Suscríbase a continuación para recibir mensualmente Perspectivas de expertos en su bandeja de entrada.
Para los auditores que se enfrentan al reto de mejorar la productividad de la auditoría a la vez que proporcionan valores estratégicos, TeamMate ofrece soluciones expertas, junto con servicios profesionales de primera calidad, a auditores de todo el mundo y de todos los sectores.
Back To Top