auditoría interna del sector público · pdf filenúmero 111 ~ mayo 2000...

PARTIDA DOBLE44 Mayo 2000 ~ Número111

Se presentan un conjunto de prácticas, extraídas del sector públiconorteamericano, australiano y británico, que, por su novedad,utilidad o carácter enriquecedor, contribuyen a lograr que laauditoría interna en el sector público sea más eficaz, permitiendoal lector su comparación con las Normas Técnicas de Auditoríadel Sector Público, publicadas por la Intervención General de laAdministración del Estado.

ANTONIO ARIASRODRÍGUEZVicegerente de la

Universidad de Salamanca

FICHA RESUMEN

Autor: Antonio Arias RodríguezTítulo: Auditoría Interna del Sector Público: Las

diez mejores prácticas internacionalesFuente: Partida Doble, núm. 111, páginas 44 a 71,

mayo 2000Localización: PD.00.05.04Resumen: Se presentan un conjunto de prácticas, extraídas

del sector público norteamericano, australiano ybritánico, que, por su novedad, utilidad o carácterenriquecedor, contribuyen a lograr que la auditoríainterna en el sector público sea más eficaz. Laexposición se realiza siguiendo el proceso similar dedesarrollo de una auditoría comenzando con elconcepto de auditoría y su relación con losauditores externos, el programa anual de auditoría,el informe, la formación, el control de calidad, elcomité de auditoria, el seguimiento derecomendaciones y la mejora contínua.

Descriptores ICALI:Auditoría pública. Sector público.

1. INTRODUCCIÓN

L as exigencias para generarvalor añadido, hacer máscon menos y fortalecer lasestructuras de gobierno entodos los departamentos y

secciones administrativas, han llevado aun cambio significativo en la direccióny expectativas de la auditoría interna yen su papel dentro de la organización.Hoy, se espera que la auditoría internasea principalmente un “herramienta”de apoyo a la gestión, que ayude, porun lado, al órgano ejecutivo, al gerentey restantes directivos, a cumplir susobligaciones y, por otro, a la organiza-ción, en general, a alcanzar sus objeti-vos. Es un proceso y, como tal, debeser rentable, en términos de coste-be-

neficio y aumentar al máximo su propiacontribución al logro de las metas cor-porativas.

Está surgiendo con fuerza un cam-bio de modelo que afecta fundamental-mente a la estrategia y funcionamientodel departamento de auditoría interna,más orientado al futuro y priorizandosus actividades a través de un ranking deriesgos empresariales asumibles(1). Pre-sentamos a continuación un conjuntode prácticas, extraídas del sector públiconorteamericano, australiano o británico,que, por su novedad, utilidad o carácterenriquecedor, contribuyen a lograr quela auditoría interna sea más eficaz. Ellector debe perdonar la falta de modes-tia del anglicismo “mejores prácticas”que he asumido (sin ruborizarme comojuzgador) aunque sea casi imposible co-

Sector Público

Auditoría Interna delSector Público:

Las diez mejores prácticasinternacionales

PARTIDA DOBLENúmero 111 ~ Mayo 2000 45

nocer a lo largo del mundo “todas lasprácticas”, para seleccionar las que seconsideran “mejores”. Es un recurso di-dáctico, que espero no les defraude.

El lector reconocerá muchas Institu-ciones de Educación Superior entre losprotagonistas. No es casualidad. Las uni-versidades han demostrado alta capacidadde innovación y gran generosidad hacien-do públicos sus descubrimientos. La audi-toría interna no es una excepción. Comoservicio universitario, también compartecon todos nosotros su metodología, avan-ces y conclusiones. Yo, imbuido de esteespíritu, haré lo mismo con ustedes.

Se seguirá en la exposición un proce-so similar al desarrollo de una auditoría,comenzando con el propio concepto deauditoría interna y sus relaciones con losauditores externos. A continuación, elprograma anual de auditoría, el propioinforme, la formación, el control de ca-lidad y el comité de auditoría. Por últi-mo, el seguimiento de recomendacionesy las encuestas entre usuarios, como ins-trumento de mejora continua.

2. CONCEPTO. EL MODERNOENFOQUE ORIENTADO AL RIESGO

De acuerdo con la definiciónde la INTOSAI(2), la audi-toría interna es un mediofuncional que permite alos directivos de una enti-

dad recibir de fuentes internas la seguri-dad de que los procesos de que son res-ponsables operan de modo tal quequeden reducidas al mínimo las probabili-dades de producirse fraudes, errores oprácticas ineficientes y antieconómicas.

El propio Instituto de Auditores In-ternos(3) (en adelante IAI) entiende ofi-cialmente que esta actividad es una“función independiente de evaluación,establecida como un servicio a la organi-zación para examinar y evaluar sus activi-dades”. La experiencia del sector privadoha supuesto un importante cambio delpapel desempeñado por la auditoría inter-na durante la última década. Se da un ma-

yor énfasis en constituir “compañeros” dela dirección ejecutiva, fomentar la mejorade los procesos y facilitar el cambio. Estaevolución, que continúa, supone para elsector público una importante influencia,más difícil de implantar en el mundo lati-no, plagado de controles formales y lega-les. Un importante avance por este cami-no lo encontramos en Australia, quepromueve desde los auditores institucio-nales la revisión del viejo modelo. He aquínuestra primera “mejor práctica”.

2.1. La ANAO australiana y elmoderno concepto de auditoríainterna

La Oficina Nacional de Auditoría deAustralia(4) (ANAO) y su director, el Au-ditor General, es el órgano responsable dela auditoría del sector público australiano.Para ello, realiza anualmente medio cen-tenar de auditorías, tanto financieras co-mo de performance. Dentro de estas últi-mas debe mencionarse un grupo detrabajos destinados a conocer y evaluar lossistemas de control interno del sector pú-blico australiano(5).

El informe 46/1998, sobre el órga-no de auditoría interna(6) de las institu-ciones públicas australianas, considerala actividad como una herramienta dela dirección. La ANAO intenta huir delas funciones tradicionales de la audito-ría interna: en esencia, controles conta-bles que operan respecto a las claves delsistema empresarial, para extender susactividades e influenciar las áreas deriesgo, en apoyo de las decisiones de ladirección. También observa como laauditoría interna está cambiando desde“un perro guardián” vigilando la direc-ción para asegurar las políticas de cum-plimiento, al de un “compañero” de ladirección(7).

La concepción tradicional: (vigilan-te) se concentraba en auditorías de cum-plimiento y regularidad, diseñadas paraproporcionar seguridad a la direcciónejecutiva en el funcionamiento de loscontroles más importantes. El modernoconcepto (consejero Independiente) bus-ca la atención en la eficacia y eficiencia,pone énfasis en la ayuda a la direcciónejecutiva. Si antes las pruebas tenían al-

(1) Así, ver KPMG. “Nuevas estratégias y prácticasde auditoría interna: El valor orientado hacia losriesgos” en Partida Doble nº103, septiembre de 1999.Pág. 82-94.

(2) INTOSAI. Directrices de Aplicación Europea de lasNormas de auditoría. Tribunal de Cuentas Europeo,1998. Glosario de términos. Voz: “Auditoría Interna”.

(3) INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA.Codificación de las Normas para el Ejercicio Profesionalde la Auditoría Interna. 1998. El Instituto distingue 5tipos de normas: Independencia, aptitud profesional,alcance del trabajo, ejecución y dirección deldepartamento de auditoría interna.

(4) Ver más ámpliamente ANTOMIO ARIAS RODRÍGUEZ,“Nuevos retos en la auditoría interna” en Análisis Localnº 26. Págs. 49-57. Todos los textos originales puedenobtenerse por internet en www.anao.gov.au.html

(5) La propia ANAO ha elaborado y publicadomuchas “guías de buenas prácticas” disponibles en suweb: Así para la gestión de activos públicos destaca elAsset Management Handbook de junio de 1996(concluyendo la auditoría 41/98 del sector en abril deeste año). También Corporate Governance in BudgetFunded Agencies de julio de 1997, sobre el buengobierno corporativo y Public Sector Travel sobre losviajes en el sector público.

(6) ANAO. Report nº 46/1998 titulado “InternalAudit” de mayo de 1998.

(7) ANAO. New directions for Internal Audit. A Guidefor Public Sector Managers. 1998.

La OficinaNacional de Auditoría deAustralia (ANAO)es el órganoresponsable de la auditoría del sector públicoaustraliano

cance cíclico, se basaban en inspección ysupervisión de las transacciones, ahora eltrabajo surge de una planificación basa-da en riesgos y, tras la discusión y obser-vación de los procesos para revisarlos yaconsejar a la dirección(8).

En esta moderna corriente, asumeun mayor papel la identificación, valora-ción y minimización (a niveles acepta-bles) de los riesgos empresariales. Abar-ca todos los riesgos para el adecuadologro de los objetivos corporativos, nosólo el riesgo financiero y contable, quees el enfoque tradicional de actividad dela auditoría interna(9). Esos riesgos em-presariales pueden incluir los siguientesfactores:

• Fracaso de un proyecto para alcanzarsus objetivos;

• Descontento del cliente;

• Publicidad desventajosa;

• Amenaza a la seguridad física;

• Perturbación de la seguridad;

• Fraude y Mala administración;

• Fallos de equipos o sistemas infor-máticos;

• Infracción de la responsabilidad legalo contractual;

• Deficiencias en los controles financie-ros e informes.

De acuerdo con su investigación, laANAO sugiere que los departamentos efi-caces de auditoría interna operen usandolos siguientes principios:

• La auditoría interna disfruta del ple-no apoyo del ejecutivo y la Alta Di-rección;

• La auditoría interna busca satisfacerlas necesidades de sus usuarios/clien-tes a través de un enfoque de riesgosempresariales aceptados;

• Los recursos destinados a las activida-des de la auditoría interna consiguenuna mezcla de experiencia y conoci-mientos de auditoría;

• La unidad de la auditoría interna in-cluye una cultura de mejora contí-nua.

Estos conceptos giran alrededor de lasrelaciones de auditoría interna con los sta-keholders más importantes, su acercamien-to a la planificación, las características desu personal y su actitud hacia la mejora delpropio trabajo, dirección y procesos ad-ministrativos. En la cuadro 1 se presentaun cuestionario de autoevaluación del de-partamento(10), que nos indicará la cerca-nía a las mejores prácticas.

3. RELACIONES AUDITORÍAINTERNA Y EXTERNA

L os papeles y responsabilida-des de auditores internos yexternos son diferentes y de-ben complementarse. Co-mo ha declarado el IAI en el

SAS 500(11) (Dirección del Departamentode Auditoría Interna) algunos de los me-dios para lograr sus objetivos respectivosson a menudo similares, y cierto trabajode auditoría interna será útil e incluso de-terminará la naturaleza, alcance, calenda-rio y magnitud de procedimientos de losauditores externos.

En efecto, el grado de confianza queel auditor externo pone en un auditorinterno profesional e independientecondiciona el trabajo y pruebas a reali-


La ANAO intenta huir de las funcionestradicionales de la auditoríainterna paraextender sus actividades e influenciar las áreas de riesgo

Sector Público

La auditoría interna está cambian-do desde “un perro guardián” vigi-lando a la dirección para asegurarel cumplimiento, al de un “compa-ñero” de la dirección.

Abarca todos los riesgos para eladecuado logro de los objetivoscorporativos, no sólo el riesgo fi-nanciero y contable que es el enfo-que tradicional de actividad de laauditoría interna.

(8) ANAO. New directions ...(Op. Cit.), Pág. 31.

(9) Sólo el 30 por ciento de organizacionesinspeccionadas en Australia por la ANAO indicaronun compromiso de la auditoría interna en el controland risk self-assessment.

(10) ANAO. New directions ...(Op. Cit.), Pág. 52.

(11) INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA.Codificación de las Normas... (Op. Cit). Págs. 73 y ss.


Auditoría Interna del Sector Público:Las diez mejores prácticas internacionales

CCRITERIORITERIO CCUMPLIMIENTOUMPLIMIENTO PPERFORMANCEERFORMANCE AACCIÓNCCIÓN

(Si/No)(Si/No) (Pobre -1/ Muy Bueno-5)(Pobre -1/ Muy Bueno-5) REQUERIDAREQUERIDA

EL APOYO DE DIRECCIÓN

La auditoría interna opera con una Carta constitucional formal aprobada por el jefe ejecutivo. 1 2 3 4 5La Carta constitucional define claramente el papel de la Auditoría Interna y el alcance de sus actividades. 1 2 3 4 5La Carta constitucional se revisa anualmente por el Comité de Auditoría y/o el jefe ejecutivo. 1 2 3 4 5La auditoría interna recibe regularmente peticiones de la dirección ejecutiva para ayuda y consejo. 1 2 3 4 5La auditoría interna facilita risk & control self-assesments 1 2 3 4 5El equilibrio de riesgos, control y tolerancia es responsabilidad de la dirección, no de la auditoría interna. 1 2 3 4 5RISK-BASED, ENFOQUE DEL CLIENTE

La auditoría interna identifica y perfila sus stakeholders y clientes de auditoría, sus necesidades y expectativas. 1 2 3 4 5Las necesidades y expectativas de Stakeholder o clientes son apropiadamente equilibradas. 1 2 3 4 5La auditoría interna consulta ampliamente con la dirección ejecutiva para identificar procesos empresariales críticos y los riesgos empresariales más importantes 1 2 3 4 5La auditoría interna usa un marco formal para identificar y evaluar los riesgos empresariales. 1 2 3 4 5La clasificación jerárquica de riesgos se usa en el plan de auditoría interna para priorizar las necesidades del cliente. 1 2 3 4 5LOS RECURSOS EQUILIBRADOS

La auditoría interna se compone de auditores cualificados con diversos conocimientos. 1 2 3 4 5La auditoría interna tiene acceso a las herramientas y conocimientos correspondientes con las necesidades empresariales de la organización. 1 2 3 4 5La auditoría interna atrae a los profesionales más experimentados con perspicacia empresarial. 1 2 3 4 5La dirección ejecutiva tiene un impulso formal y un programa de carrera profesional para el personal de auditoría interna. 1 2 3 4 5El plan de desarrollo profesional contínuo para la auditoría interna refleja las necesidades futuras de la organización y dirección para la misma 1 2 3 4 5El Comité de la Auditoría supervisa la combinación de habilidades y cualificación del personal de auditoría interna con las competencias convenidas. 1 2 3 4 5LA MEJORA CONTÍNUA

La auditoría interna usa de la última tecnología de auditoría para planear, examinar e informar. 1 2 3 4 5La auditoría interna emplea estratégicamente la tecnología para la mejor administración. 1 2 3 4 5El enfoque de la auditoría interna permite mejorar el ciclo de tiempos para la realización de auditorías e informar. 1 2 3 4 5La auditoría interna captura y evalúa rutinariamente información sobre eficacia de performance y eficiencia operativa. 1 2 3 4 5

ANAO. CUESTIONARIO DE DIAGNÓSTICO DE LA AUDITORÍA INTERNA

CUADRO 1

zar. Es deseable la coordinación de susrespectivas responsabilidades, buscandooptimizar la eficacia de sus procesos através del uso eficaz y eficiente de sus re-cursos. Incluye:

a. Una buena comprensión del enfo-que de auditoría por cada parte, ase-gurando una valoración de riesgoconsistente, una planificación y al-cance de la auditoría para minimizarla duplicación del trabajo, incluyen-do compartir información sobre losniveles de materialidad y evaluaciónde riesgos.

b. Un constante diálogo sobre los pro-blemas y limitaciones encontrados porlos auditores externos, incluido (o si-lenciado) en sus cartas de control.Además de las normales debilidadesdel control y los respectivos ajustes deauditoría, los problemas comunes in-cluyen actos ilegales, discrepanciascon la dirección, materias que necesi-tan un seguimiento por la auditoríainterna y sospechas relacionadas conun potencial fraude.

c. Acceso a los programas y papeles detrabajo de la auditoría interna, así co-mo compartir los informes.

Sin embargo, este planteamiento re-quiere matizaciones, en función del siste-ma de control externo en que se integre laAdministración. En Europa, existen di-versos modelos de control oficial sobrelas cuentas públicas. Conviven modeloscentralizados, propios de estados unita-rios (Francia, Reino Unido) junto a mo-delos descentralizados (Alemania, Espa-ña) aunque con una tendencia generalhacia la descentralización. Además, lasfiscalizaciones pueden ser llevadas a ca-bo por profesionales privados (audito-res colegiados) o por funcionarios (Tri-bunales de Cuentas), con una claratendencia hacia un mayor protagonis-mo de los profesionales(12). De sus com-binaciones obtenemos los distintos sis-temas europeos, cuyo modelo mixtopresenta la Audit Commission(13) de In-glaterra, que comentamos a continua-ción como antesala de la mejor prácticade relaciones entre auditores internos yexternos.

3.1. Audit Commisión

Tras la promulgación de la AuditCommission Act, en junio de 1998, susti-tuyendo a cierta normativa sectorial de1982 y 1990, este organismo realiza bási-camente tres funciones: auditoría, análisise inspección sobre el servicio Nacional deSalud, la Policía y las Entidades Locales deInglaterra y Gales(14). Respecto a la prime-ra de sus funciones —la auditoría—, loscitados Entes son controlados por profe-sionales privados, nombrados por la Au-dit Commission entre miembros de laCIPFA (Instituto de Censores Juradosbritánicos). Se prevé la aprobación de unCódigo de Práctica de Auditoría para ca-da sector y fuertes multas (20 libras dia-rias) para los funcionarios que obstruyano no colaboren con los auditores. El co-rrespondiente informe de auditoría debeser enviado inmediatamente a la Commis-sion y anunciado en uno de los periódicosde mayor circulación local, para que cual-quier ciudadano pueda consultarlo y ha-cer una copia. Respecto a la segunda fun-ción, anualmente publica los IndicadoresLocales de Performance, que permiten eva-luar e informar al público y concejales dela eficiencia en la prestación de servicioslocales(15).

La Ley sobre Gobierno Local, de1999, ha impuesto un nuevo deber a losauditores externos. La Sección 7 les exigeauditar e informar el plan de performancede mejor valor (BVPP), una verdadera pla-nificación estratégica a cinco años que de-be publicar cada Ayuntamiento y distri-buir por todas las casas del términomunicipal. Para la Commission el Best Va-lue es “el deber de entregar los serviciossegún normas claras (atendiendo tanto alos costes como a la calidad) mediante losmedios disponibles más económicos, efi-caces y eficientes”.

En este marco, presentamos nues-tra segunda mejor práctica, que recogeun enfoque constructivo, económico ycontrastado de tutela público/privadasobre los Ayuntamientos británicos y susdepartamentos de auditoría interna, co-mo puede verse en el informe de evalua-ción realizado en la memoria del ejerci-cio 1998 sobre las Entidades Locales(16)

(Ver la cuadro 2).


El grado de confianza que el auditorexterno pone en un auditorinternoprofesional e independientecondiciona el trabajo y pruebas a realizar

Sector Público

(12) VICENTE MONTESINOS JULVE. “La contabilidad y laauditoría públicas ante la unión económica ymonetaria” en I Jornadas de Auditoría Pública(Oviedo, 13 y 14 de noviembre de 1997). KPMG PEAT

MARWICK , 1998.

(13) http://www.audit-commission.gov.uk

(14) En septiembre de 1998, la Commission publicó undocumento (Refining Our Strategy) que, tras unperiodo de información pública, revisó sus objetivosestratégicos en un nuevo documento (ChangingPicture, Sharper Focus) que hace girar los mismos parael período 1999-2002 sobre los siguientes 5 títulos:agudizar el enfoque de auditoría, promover la mejorade los servicios públicos, hacer una realidad de lainspección, usar la información eficazmente yresponder al cambio constitucional.

(15) Del Informe 96/97 destacamos las siguientesconclusiones globales: La mayoría de los concejos hanhecho algunas mejoras en la performance. En losúltimos cuatro años, tres cuartos de ellos hanaumentado la cantidad de basura reciclada - enalgunos casos duplicándola (..) más de la mitad de lasbrigadas de bomberos han mejorado sus índices (..)sin embargo, las personas visitan ahora menos lasbibliotecas y piden prestado un diez por ciento menosde libros y otros artículos. El gasto en bibliotecastambién ha caído.

(16) AUDIT COMMISSION. Stewardship and governancein local government in england, 1998. Julio de 1999.Págs. 18-20.



37.- La auditoría interna es un importante instrumento de controly las Entidades Locales son requeridas por la ley para mantener unsistema adecuado y eficaz de auditoría interna de sus registroscontables y sistemas del control. Los auditores externos confíanen el trabajo de unos auditores internos que, cada vez más asegu-ran la suficiencia de los sistemas financieros. El Gobierno esperaque la auditoría interna juegue un importante papel fortaleciendola capacidad de las Entidades para llevar a cabo la autoevaluaciónde sus propios servicios hacia el lema del “mejor valor”.

38.- Cada año, los auditores evalúan la suficiencia de la auditoríainterna, que en 1998 continuó proporcionando un servicio muybueno o bueno a sus Entidades. Nos preocupa, sin embargo, queel 39% de los departamentos de Auditoría Interna se evalúen co-mo un servicio “adecuado” aunque sólo el 3% se evaluó como“pobre”. Los Auditores consideraron que el 33% de las unidadesde auditoría interna mejoraron su actuación comparado con elaño anterior, pero esta mejora no fue suficiente para cambiar unavaloración global que ha permanecido estática durante los últi-mos tres años. La Comisión tiene enormes deseos de promover elmejor uso de la auditoría, lo que no podrá ocurrir a menos quemejore la actuación de la auditoría interna.

39.- Los Auditores evaluaron su trabajo en conjunto con la audito-ría interna como “muy bueno” o “bueno” en el 75 por ciento deEntidades Locales y también calificaron favorablemente la rela-ción de la auditoría interna con la dirección. Éstos son unos men-sajes positivos para una mayoría de auditores internos, que estántrabajando bien. Sin embargo, aún queda un núcleo duro de pro-blemas críticos que afectan a una importante minoría de Entida-des que se han puesto de relieve en cada uno de nuestros informesanuales, durante los últimos tres años.

Planificación de la auditoría 40.- Se evaluó la calidad de planificación de la auditoría como “ade-cuada” o ‘’ pobre” en un 34% de las Entidades y, mientras que el38% no logró alcanzar totalmente su plan anual de auditoría. Estacalificación subió al 54% en los distritos metropolitanos, incluidoslos distritos municipales de Londres. En la mayoría de los casos, laescasez de personal y una alta incidencia de investigaciones espe-ciales se citaron como razones para no alcanzar el plan, sugiriendolos auditores que no se están adoptando planes realistas ni una pre-visión adecuada dentro de estos planes para las contingencias.

Auditoría informática 41.- La auditoría informática se ha destacado como un área depreocupación durante los últimos años y, durante 1998, el 17% delos auditores externos la evaluaron como “pobre”, subiendo al31% en los distritos metropolitanos. Reconocemos que las Entida-des Locales se enfrentan con especiales dificultades para contratarpersonal con la cualificación requerida, pero los desafíos del pro-blema informático del año 2000 y la posible introducción del Eurohacen pensar en la necesidad de un acercamiento más innovadoren la provisión de servicios de auditoría informática.

Valoración de riesgo 42.- La valoración del riesgo es crítica si los recursos de la audito-ría interna están dirigidos a las áreas de más alto riesgo y asumen

una mayor importancia cuando hay escasez de personal o este seredirige hacia investigaciones especiales. La valoración de riesgose evaluó como “pobre” o “adecuada” en un 50 por ciento de lasEntidades, dejando un importante campo para las mejoras en eluso de recursos y la calidad del servicio proporcionado.

Gobierno corporativo 43.- Los auditores informaron que el 51% de las Entidades habíaestablecido un comité de auditoría o equivalente, mejorando un5% sobre 1997. Reconociendo las mejoras realizadas, debe resal-tarse que, la mitad de las Entidades Locales inglesas todavía no tie-nen comités de auditoría que puedan mejorar el perfil corporati-vo de control y traducir los resultados de auditoría en acción. LaComisión continúa animando a revisar sus acuerdos corporativosa esas Entidades sin comités de auditoría y que consideren si su es-tablecimiento las fortalecería.

Provisión 44.- Los problemas manifestados en nuestros tres últimos infor-mes anuales sugieren que es necesario llevar a cabo una evalua-ción crítica de la forma de provisión del servicio de auditoría in-terna. El servicio se integra por personal propio, con sólo un 5% deEntidades que han contratado externamente ese servicio con unproveedor privado y un 12% que usa una mezcla de provisión in-terna y externa. Las Entidades locales pueden tener legítimas ra-zones para desear mantener un servicio propio, lo que está total-mente justificado cuando la actuación de la auditoría interna seconcentra en áreas importantes.

45.- En la práctica, sin embargo, la evidencia proporcionada pornuestros últimos tres informes anuales sugiere que el servicio hamostrado señales de estancamiento. A menudo, las secciones deauditoría interna son pequeñas en tamaño y les falta influencia pa-ra ser verdaderamente eficaces. La Comisión prevé que una pro-porción importante de secciones de auditoría interna tendrá difi-cultades demostrando mejora continua y enfrentándose a losdesafíos futuros de eficiencia.

RECOMENDACIONESNosotros recomendamos a las Entidades Locales:

• Considerar las diversas maneras en que la auditoría internapuede usarse para fortalecer la capacidad de llevar a cabo laautoevaluación del resto de los servicios bajo el lema del “va-lor mejor”;

• Incorporar rigurosos procedimientos de valoración de riesgo enel proceso de planificación de auditoría y hacer una previsiónadecuada para las contingencias como la falta de personal y lasinvestigaciones especiales;

• Explorar los acercamientos innovadores a la provisión de cono-cimientos de auditoría informática;

• Revisar los acuerdos corporativos y considerar si los fortaleceríael establecimiento de un comité de auditoría o equivalente; y

• Reconocer el valor de la buena provisión práctica y los benefi-cios que pueden obtenerse de someter los principales elemen-tos del servicio a una licitación externa.

AUDIT COMMISSION. LA CORRECTA ADMINISTRACIÓN Y GOBIERNO DE LOS AYUNTAMIENTOS INGLESES, 1998

CUADRO 2

3.2. España y la difícil convivenciaentre interventores locales y auditores privados.

Como sabemos, España ha optadopor un modelo descentralizado y fun-cionarial para examinar la regularidad fi-nanciera y de legalidad de las Adminis-traciones Públicas. Un sistema similar seusa en Francia(17). Sin embargo, en todaEuropa el énfasis del control se va des-plazando hacia aspectos relacionadoscon los profesionales y la auditoría ope-rativa(18), a medida que la nueva filosofíay técnicas de gestión pública han ido de-sarrollándose. Como veremos, el futuropasa por la colaboración con auditoresprivados.

Los auditores públicos españoleshan sido rotundos al incluir entre sus re-comendaciones(19) que “las cuentas deTODAS las entidades públicas deberíanser auditadas anualmente y con anterio-ridad a su aprobación”. Como los plazosde emisión de los informes deben ser lomás cortos posible, se hace necesaria lapresencia de auditores privados, bajo latutela de los Órganos de Control Exter-no (OCEX). El Estado ya se ha apunta-do a esta recomendación. El artículo 8ºdel Real Decreto 339/1998, de 6 demarzo (BOE de. 14.3.98) que modificael Reglamento de Control Interno ejerci-do por la Intervención General de la Ad-ministración del Estado (IGAE), indica:“La IGAE realizará anualmente unaauditoría financiera de TODOS los or-ganismos y entes públicos no sometidos a laLey de Auditoría de Cuentas. Los infor-mes de tales auditorías se deberán acom-pañar a las cuentas, cuando se rindan alTribunal de Cuentas. En caso de insufi-ciencia de medios, se podrá recurrir a lacontratación de auditores de cuentas o so-ciedades de auditoría”.

Surge el clamor para generalizar lapráctica de la auditoría externa en las en-tidades de cierta dimensión, en conso-nancia con lo que ocurre en el sectorempresarial y con las prácticas interna-cionales(20): “No se puede entender que laauditoría anual de las Administracionesde cierta dimensión no sea obligatoria enEspaña, cuando cualquier sociedad Anó-nima de mediana dimensión tiene que so-

meterse anualmente a la sana prueba deuna auditoría de cuentas”. Por ello, co-mienza a abrirse camino la idea de pro-mulgar una futura Ley de auditoría parael sector público, cuyo máximo defensores Ferrán Termes i Anglés(21).

La Sindicatura de Comptes de laGeneralitat de Catalunya, en su infor-me relativo a la Cuenta General de lasCorporaciones Locales (1994), fue elprimero en declarar que su capacidadera “claramente insuficiente para llevara cabo el control externo de la actividadfinanciera municipal de forma adecua-da” dado el elevado número de entida-des a fiscalizar. Desde entonces, pide ala Generalitat que establezca una regu-lación que contemple un régimen simi-lar al que funciona en Holanda, Suecia,Noruega, Estados Unidos o Canadá: laposibilidad de obligar a las administra-ciones de determinadas dimensiones arealizar una auditoría anual, “como ins-trumento auxiliar para el control inter-no y la fiscalización externa”. Estas au-ditorías se deberían hacer con unoscriterios de coordinación y una norma-tiva técnica a establecer por la Sindica-tura, de acuerdo con las característicaspropias de cada sector(22).

Dejando a un lado la posible regula-ción futura de la auditoría del sector pú-blico, la realidad es que la profusión deexpedientes de contratación para reali-zar auditorias externas (en todo tipo deAdministraciones Públicas) por profe-sionales independientes, pone de mani-fiesto la aceptación social de la figura delauditor, como fiduciario o garante de lacalidad informativa de las cuentas anua-les. En el ámbito estatal, y supletoria-mente en el mundo local, las actualesNormas de Auditoría del Sector Públi-


El modelo COSOse reconoce en todo el mundocomo la normamás importantesobre el controlinterno

Sector Público

(17) El Agente Contable francés es un funcionariopúblico esencial en el ordenamiento jurídico-presupuestario de todas sus AdministracionesPúblicas, con responsabilidad personal y pecuniaria.Asegura el equilibrio financiero, la integridad,regularidad y calidad en la aplicación de los fondospúblicos. Su número, en todo el Estado, supera los55.000, tanto en la Administración central, regional olocal y deben prestar juramento ante la Cour desComptes y otorgar garantía. Está sujetos a “descarga”de forma selectiva por auditorías que buscanesencialmente verificar la legalidad de lastransacciones. Si se ha trasladado a otro puesto, lagarantía prestada sigue vigente hasta que la Courordene su descargo.

(18) VICENTE MONTESINOS JULVE. “El controleconómico en los niveles subcentrales de gobierno:especial consideración de las entidades locales” enRevista valenciana d’estudis autonómics nº 21/1997.pág. 125.

(19) Conclusiones del V Encuentro Técnico de losÓrganos de Control Externo (Las Palmas, 2 al 4 deoctubre de 1996). Audiencia de Cuentas de Canarias,1997. La redacción de la conclusión citada no fuepacífica. Un cierto sector de los funcionarios de losOCEX (fundamentalmente del Tribunal de Cuentas)veía con cierta desconfianza el abrir la puerta a losauditores privados, menos exigentes en materia delegalidad.

(20) VICENTE MONTESINOS JULVE. “La normalización enla auditoría del sector público” en Revista Española deFinanciación y Contabilidad nº 79 (1994). pág. 437.

(21) FERRÁN TÉRMES I ANGLÉS “El problema de lafiscalización de las entidades locales. Experiencia ysoluciones a nivel internacional” en I Jornadas...Oviedo(Op. Cit).

(22) En el mismo sentido, el Síndico de Castilla-LaMancha MIGUEL ANGEL CABEZAS “El presupuesto delas Administraciones Locales: La perspectiva delcontrol” en II Jornadas Presupuestarias del Principadode Asturias. Consejería de Economía. Servicio dePublicaciones del Principado de Asturias, 1999.Pág. 145

La profusión de expedientes decontratación de auditorías exter-nas, pone de relieve la aceptaciónsocial de la figura del auditor, co-mo fiduciario o garante de la cali-dad informativa de las cuentasanuales de las AdministracionesPúblicas.

co, aprobadas por la IGAE(23), recono-cen y aceptan la contratación de profe-sionales de la auditoría, demandandocomo no podía ser de otra forma, la exi-gencia de una adecuada cualificaciónprofesional al prever:

Sin embargo, estos planteamientoschocan frontalmente con el enfoquerealizado por los quienes desempeñanlos puestos de trabajo (reservados afuncionarios con habilitación de carác-ter nacional) de Intervención en lasEntidades locales españolas. No piensotomar partido en tan difícil conflictoque, cada vez se plantea con más viru-lencia. Máxime cuando los grupos deoposición municipal intentan utilizarlas auditorías como arma arrojadiza enconflictos electorales, como castigo pa-ra un determinado partido que susten-ta la alcaldía.

Los Interventores sostienen(24) quelos auditores privados, con algunas re-servas (el informe de auditoría del EnteLocal entienden que está reservado alOCEX) pueden actuar en el campo lo-cal sólo si lo hacen como coadyuvantesdel órgano público de control interno(o externo). Con todo, parece que laescasa jurisprudencia, la interpretaciónliteral y la doctrina al respecto estánpor esta conclusión, que comporta laexigencia de que el informe de controlfinanciero sea firmado por el propio in-terventor para su validez. Las espadassiguen en alto.

4. CONTROL INTERNO. ELMODELO COSO.

El modelo COSO(25) se reco-noce en todo el mundo (pri-vado y público) como lanorma más importante so-bre el control interno, por lo

que es obligada su mención en cualquieranálisis de buenas prácticas en auditoríainterna. Entiende el control interno co-mo un proceso que proporciona ungrado de seguridad razonable en laconsecución de eficacia y eficiencia de lasoperaciones de la entidad, el cumplimien-to de las normas aplicables y la fiabilidadde la información financiera. De acuerdocon las Normas de Control Interno(26) dela General Accounting Office (GAO) deEstados Unidos, el control interno es:



La AuditCommission deInglaterra utilizaprofesionalesprivadosnombrados entrelos miembros de la CIPFA(Instituto deCensores Juradosbritánicos)

4.1.6. La IGAE deberá supervisartambién la preparación y capaci-dad técnica de los auditores enaquellos casos en que las firmasprivadas sean requeridas para ac-tuar en el sector público estatal, yvigilará que se cumple la inscrip-ción en el registro del ICAC (...)También deberá exigir a los audi-tores cualificación específica encontabilidad pública, en derechoadministrativo y en el funciona-miento del sector público, en la me-dida que sean de aplicación al enteauditado. • Un componente integrado y contínuo

de operaciones.— El control internono es un evento, sino una serie deacciones y actividades que ocurrena lo largo de las operaciones de unaentidad y de una forma continuada.El control interno debe reconocer-se como una parte integrante decada sistema de gestión usado pararegular y guiar sus operaciones, yno como un sistema separado den-tro de una organización.

• Se efectúa por personas.— Los indi-viduos son lo que hace funcionar elcontrol interno. La responsabilidadde un buen control interno corres-ponde a los gestores. La direcciónfija los objetivos, establece los me-canismos de control y los supervisay evalúa. Sin embargo, todo el per-sonal de la organización juega unimportante papel para que el siste-ma funcione.

• Proporciona seguridad razonable, noabsoluta.— Los gestores deben di-señar e implantar el control internobasado en la relación coste-benefi-cio. No importa que esté muy biendiseñado e implantado, el controlinterno no puede proporcionar laconvicción absoluta de que se al-canzarán todos los objetivos de laagencia. Siempre habrá factoresfuera de control o influencia de ladirección. Por ejemplo, los erroreshumanos o de juicio y los actos defraude para evitar el control.

(23) Resolución de 1.9.1998 de la IGAE. BOE núm.234 de 30.9.1998, págs. 32568 y siguientes. Las normasregulan con detalle los papeles de trabajo (sección5.4) que pertenecen, como siempre, a la entidadauditora (norma 5.4.13) que deberá garantizar laseguridad de su conservación y solamente deberáentregarlos en cumplimiento de las normas decontrol de calidad y “por razones legales”. Asimismo,cuando se hayan realizado auditorías por firmasprivadas, la IGAE “podrá recurrir a los papeles detrabajo de cara a economizar medios y tiempo”.

(24) F. BOSCH FERRÉ Y J.M. LARRAÍNZAR GONZALEZ.“Una vieja profesión: Interventor”. En Revista deEstudios Locales, septiembre de 1999. Págs. 21-27. Delos mismos autores “Auditores Privados vs. AuditoresPúblicos” en Revista de Estudios Locales de febrero de1999, págs. 26-45.

(25) Los nuevos conceptos del control interno(Informe COSO). INSTITUTO DE AUDITORES INTERNOS-COOPERS & LYBRAND. Editorial Díaz de Santos. 1997. pág.16. El texto incluye la traducción del informe COSO(Committe of Sponsoring Organizations de la TreadwayCommission) concluido en 1987 y editado en USA en1992, tras un periodo de reflexión.

(26) GAO/AIMD-00-21.3.1. Standards for InternalControl in Federal Government. (noviembre, 1999).Ver www.gao.gov

Los cinco elementos del control in-terno que identifica COSO y recoge laGAO(27) son:

1. Ambiente del Control

La dirección y empleados deben estable-cer y mantener un ambiente en toda laorganización que imponga una acti-tud positiva y favorable hacia el controlinterno, así como una administraciónética.— Es probable que los contro-les internos funcionen mejor si la di-rección cree que esos controles sonimportantes y comunican esa opi-nión a los empleados de todos los ni-veles. Si la dirección ve los controlescomo un obstáculo, esa actitud secomunicará también al resto de laorganización. Un ambiente del con-trol interno eficaz fija el tono en queuna organización influye en la con-ciencia del control de su personal. Esun factor intangible fundamental paralos restantes componentes del controlinterno: proporciona disciplina, es-tructura, y cultura organizacional.

2. Risk Assessment

El control interno debe establecer ymantener una valoración de los riesgosfrente a fuentes externas e internas.—Una condición previa para la valora-ción de riesgos es el establecimientode objetivos claros y consistentes. Lavaloración es la identificación y análi-sis de los riesgos asociados al logro delos objetivos, definidos en planes es-tratégicos y anuales. Un riesgo es algoque pone en peligro el logro de unobjetivo. Surge de la pregunta: ¿qué-podría salir mal? ¿Qué recursos nece-sitamos proteger? Son factores clási-cos de alto riesgo potencial losprogramas o actividades complejas,el manejo de dinero en efectivo, la al-ta rotación y crecimiento del perso-nal o el establecimiento de nuevosservicios. Volveremos más adelantesobre este tema.

3. Actividades de Control

Las actividades de control internoaseguran que las directrices de admi-nistración se llevan a cabo.— Las or-ganizaciones establecen políticas yprocedimientos para identificar ries-gos que le impidan alcanzar sus ob-jetivos. Incluyen una amplia gamade actividades tan diversas como lasautorizaciones, las comprobaciones,las conciliaciones, las revisiones deoperaciones, el mantenimiento de laseguridad y la creación y manteni-miento de registros que proporcio-nen evidencia de estas actividades asícomo la documentación apropiada.Las actividades claramente identifi-cadas minimizan el riesgo y refuer-zan la eficacia. Los controles exage-rados son tan perjudiciales como elriesgo excesivo y reducen la produc-tividad.

4. Información y Comunicación

La información debe registrarse y co-municarse a la dirección (y restantesusuarios que la necesiten) en tiempo yforma para llevar a cabo su control in-terno.— La información debe ser fia-ble y oportuna. Por ejemplo, los supe-riores deben comunicar los deberes y

responsabilidades a los empleados queles informan y estos deben poder aler-tar la dirección de los problemas po-tenciales. Debe comunicarse la infor-mación continuamente tanto dentrode la organización como externamen-te (vendedores, por ejemplo).

5. Supervisión

La supervisión del control interno debeevaluar la calidad de la performanceen el tiempo y asegurar que los resulta-dos de las auditorías y otras revisionesson resueltos rápidamente.— Despuésde que se implantan los controles in-ternos, su eficacia necesita ser super-visada periódicamente para asegurarque continúan siendo adecuados yfuncionan apropiadamente. La di-rección también debe supervisar losproblemas previamente identificadospara asegurar que se corrigen, eva-luando rápidamente los resultados delas auditorías, determinando las accio-nes adecuadas en respuesta a sus reco-mendaciones y completando, dentrode los plazos establecidos, todas las ac-ciones que corrigen o resuelven lasmaterias denunciadas.

En EE.UU. es frecuente encontrar le-yes que regulan el proceso de control in-terno de las agencias estatales. Es el caso ladenominada Ley del Control Interno deMassachusetts, que comentamos a conti-nuación como tercer ejemplo de buenapráctica.

4.1. La Ley del Control Interno deMassachusetts

La ley para Mejorar los ControlesInternos dentro de las Agencias Estata-les (Act Relative to Improving the Inter-nal Controls within State Agencies) en-tró en vigor en 1990. La Oficina delComptroller Estatal desarrolló esta legis-lación(28), que requiere que las Agenciasdesarrollen los sistemas de control inter-nos “de acuerdo con las directrices esta-blecidas por el Comptroller”. La Ley,que remite expresamente a los cinco ele-mentos del control interno de COSO,indica seis normas que las Agencias de-ben establecer e incorporar en su estruc-tura de control interno:


Las actualesNormas de Auditoria delSector Públicoreconocen y aceptan la contrataciónde profesionalesde la auditoría

Sector Público

(27) GAO. Standards for Internal Control... (Op. Cit.).pág. 7.

(28) http://www.osc.state.ma

• Documentación: Las Agencias debendocumentar claramente los sistemasde control interno y hacerlos fácil-mente disponibles para el examen.

• Transacciones: Las Agencias debengestionar las transacciones, registrán-dolas rápidamente, documentándolasclaramente y clasificándolas de formaapropiada.

• Autoridad: Sólo debe permitirse auto-rizar y ejecutar las transacciones a per-sonas que actúan dentro del alcancede autoridad de la Dirección.

• Segregación de Tareas: Las Agenciasdeben establecer un sistema para asig-nar los siguientes deberes y responsa-bilidades esenciales a distintos indivi-duos.

1. Autorizar, aprobar y registrar tran-sacciones.

2. Emitir y recibir cheques.

3. Hacer pagos, y

4. Revisar o auditar las transacciones.

• Supervisión: Proporcionar supervisióncualificada y contínua a todo el perso-nal para asegurar que se logran los ob-jetivos de control interno.

• Acceso: Limitar el acceso a los recur-sos y archivos sólo a personas autoriza-das, tal como se determine por el jefede la Agencia, responsable último dela custodia o uso de los activos y deasignar individuos cualificados a estepropósito. Se deben comparar perió-dicamente los activos físicos con los re-gistros contables para reducir su riesgode pérdida o uso no autorizado.

4.1.1 La Responsabilidad del Departamento

La Ley requiere que el jefe de la Agen-cia o Departamento (además de sus debe-res regulares) asigne la responsabilidad delcontrol interno de la organización a unindividuo (el Funcionario del Control In-terno de la Agencia) cuyas responsabilida-des deben incluir las siguientes tareas:

• Tener disponible en el archivo la do-cumentación escrita sobre la contabili-dad de la Agencia y el sistema de con-trol administrativo para su revisiónpor la Oficina del Comptroller Gene-ral o del Auditor Estatal.

• Evaluar, por lo menos anualmente,la eficacia del sistema del control in-terno de la agencia. En ese momen-to, debe establecer y llevar a cabocualquier cambio necesario para ase-gurar la integridad continuada delsistema.

• Evaluar los resultados y recomenda-ciones de las auditorías, para mejo-rar rápidamente los controles inter-nos departamentales. Instrumentarlas acciones correctivas oportunas yadecuadas como consecuencia deuna auditoría.

• Informar inmediatamente a la Oficinadel Auditor Estatal de todas las varia-ciones, pérdidas, mermas, o robos defondos o propiedades. La Ley requie-re esta acción específicamente.

5. PROGRAMA DE AUDITORÍAINTERNA

L a auditoría interna priorizasus actividades a través de laevaluación y elaboración deun ranking de riesgos. Yahemos visto, dentro de las

mejores prácticas recomendadas por laANAO australiana, que el enfoque tra-dicional del plan suponía definir un“universo” de funciones, actividades yprocesos de auditoría para seleccionarlos posibles temas de revisión. Esa selec-ción de temas se emprendía para alcan-zar todo el universo en un periodo dadode tiempo, que usualmente se progra-maba para ser completado en un perio-do de tres años.

Hoy se reconoce que un enfoquepuramente “cíclico” para determinar elalcance de la auditoría interna no es taneficaz como promover la identificaciónde riesgos y la priorizacion de la activi-dad de auditoría interna basada en una

adecuada valoración de esos riesgos. Elmodelo usado proporcionará un meca-nismo sistemático para identificar losriesgos, determinar sus consecuencias,considerar la probabilidad de su ocu-rrencia y la importancia global (o nivel)de cada riesgo. En la práctica, los pro-gramas se desarrollan después de con-sultar con la Alta Dirección (incluyendoel Comité de Auditoría), y someterlo alJefe Ejecutivo para su aprobación. Elsistema está ya suficientemente contras-tado en el sector privado, fundamental-mente en las Entidades Financieras(29).

Veamos, entre las “mejores prácti-cas”, el proceso de elaboración y asigna-ción de riesgos a través de la programa-ción de auditoría de las universidadesamericanas, cuyos auditores internoscuentan con una poderosa e influyenteAsociación de Auditores de Colleges y Uni-versidades (ACUA(30)), que ha normaliza-do muchos de estos procesos, dándolesun tratamiento uniforme en la mayoría delos centros de educación superior.



El output de undepartamento deauditoría internaes el informe

(29) PEDRO LUIS URIARTE. “La Auditoría Interna delBBV. ¿Cómo la usa el Consejero Delegado?” enAuditoría Interna nº 51/1998. Pág. 16-21.

(30) http://www.acua.org

El modelo proporciona un meca-nismo sistemático para identificarlos riesgos, determinar sus conse-cuencias, considerar su probabili-dad de ocurrencia y la importanciaglobal (o nivel) de cada riesgo

5.1. Los departamentos deauditoría interna en Entidadesaltamente descentralizadas. El caso de las universidadesnorteamericanas

Las universidades representan unmodelo organizativo poco jerarquizadoy muy profesionalizado. Cuentan conmuchos centros de responsabilidad y decoste (Facultades, Departamentos, Ser-vicios). Podemos afirmar, sin lugar a du-das, que establecer programas de audito-ría entre éstos pone a prueba cualquieresquema, de ahí que la consideremos lacuarta mejor práctica de este estudio. Bá-sicamente, los problemas residen en loscriterios objetivos para determinación delas unidades auditables y en el proceso deejecución.

El problema no es baladí. La decisiónde “auditar” un determinado segmentode la organización puede ser consideradocomo un acto de agresión. Máxime en or-ganizaciones con fuertes tensiones inter-nas y externas, económicas y académicas,científicas o investigadoras, como son lasuniversidades. Es necesario demostrar ygarantizar a todos los miembros de la or-ganización su utilización imparcial(31).

5.1.1.Selección de la unidad objetode auditoría

Un modelo intuitivo y fácilmentecomprensible se sigue por la mayoría delas Instituciones de Educación Superiornorteamericanas. La determinación de lasáreas auditables supone el establecimientode un ranking entre ellas, según un pro-ceso de ordenación en función de la Valo-ración de riesgos. Cada uno de los centrosdel coste, unidades funcionales, activida-des y sistemas se evalúa para un nivel de

riesgo, ordenándolos de menor a mayor.Esta jerarquía suele corregirse en funciónde dos factores: fecha de la última audito-ría (Intervenido) y su Resultado (satisfac-torio- poco satisfactorio). Con estos datosse construye la siguiente tabla, recogidaen el cuadro 3 que asigna la unidad audi-table al programa de trabajo a lo largo delpróximo trienio, base más frecuente deplanificación estratégica.

La valoración del riesgo se realizausando el juicio profesional y la experien-cia del auditor y del gestor, en función delos siguientes criterios:


España ha optado por un modelodescentralizado y funcional para examinar la regularidadfinanciera y delegalidad de lasAdministracionesPúblicas

Sector Público

CUADRO 3

Área Auditable Área Auditable RankRank IntervenidoIntervenido resultadoresultado riesgoriesgo 20002000 20012001 20022002 Comentarios en Áreas de Alto Comentarios en Áreas de Alto en el trienioen el trienio Riesgo no Planeadas para AuditoríaRiesgo no Planeadas para Auditoría

en los Próximos 3 años en los Próximos 3 años

Unidad 1

Unidad 2

Unidad 3

Unidad 4

1. El impacto del área auditablecuando no logra los OBJETI-VOS de la Universidad.

2. La competencia, integridad y su-ficiencia del PERSONAL.

3. La cuantía de los activos, liqui-dez o volumen de TRANSAC-CIONES.

4. La COMPLEJIDAD o VOLATI-LIDAD de las actividades.

5. La suficiencia de los CONTRO-LES INTERNOS en el propioárea.

6. El grado en que el área dependede los SISTEMASINFORMÁTICOS.

Cada uno de los anteriores criteriosse cuantifica según una escala, de 1a 3, que asigna un valor descriptivoa cada uno de los factores de riesgomás importantes:

(31) Mi experiencia, como responsable del áreaeconómica de la Universidad de Salamanca, me indicaque existe otro enfoque. Tras la implantación, en1998, de la sección de Auditoría Interna, con losconceptos propuestos en este artículo, hemosintroducido muchas mejoras, no sólo de gestión. Alrevés que el “caballo de Atila”, por donde el auditorpasa crecen las inversiones, los cursos de formación yla gestión informatizada de los procesos, comorespuesta eficaz a las recomendaciones. Llegará undia en que todo el mundo exigirá su inclusión en elPlan Semestral de Auditoría.

El siguiente paso exige hacer unaestimación de recursos de auditoría,empezando con las horas anualestotales disponibles del personal deauditoría y las asignaciones hechaspara: permisos, formación contínuaprofesional, administración y asis-tencia departamental, apoyo infor-mático, investigaciones especiales yseguimiento del año anterior. Eltiempo resultante representa el nú-mero de horas disponible para audi-torías. Por último, sólo queda empa-rejar las horas disponibles para lasauditorías seleccionadas y el númerode horas estimadas como necesariaspara completarlas, tal como presen-ta, por ejemplo, el cuadro 4, obteni-do del Instituto Tecnológico de Ge-



1 = riesgo bajo.

2 = riesgo medio.

3 = riesgo alto.

Suma = De acuerdo con los ante-riores coeficientes, la sumadel riesgo más bajo alcan-zable por un área es 6 y elmás alto, 18. La suma semultiplica por (P+I) siendo

P = la probabilidad de ocurrenciade un riesgo importante (1 = bajo, 2 = el medio, 3 = alto)

I = impacto en la Universidad (1 = impacto bajo, 2 = impactomoderado, 3 = impacto crítico)

Ordenación Ranking = cada unade las N áreas auditables se ordenade 1 a N. El área ordenada másbaja (Por ejemplo el nº 1 para“Problemas Medioambientales”identifica el riesgo más alto. Elárea ordenada con el número n(“Archivos”) presenta el riesgomás bajo. Las áreas ordenadasdentro del primer percentil 20pueden considerarse como de ries-go Alto. Los restantes 20-80 seránde riesgo medio y las áreas corres-pondientes al último 20% corres-ponderán al riesgo bajo.

PLAN DE LA AUDITORÍA DE GEORGIA INSTITUTE OF TECHNOLOGY-EVALUACIÓN DE RIESGOS (1997)

CUADRO 4

Área AuditableÁrea Auditable

Factor deFactor deCategoríaCategoría

HorasHorasAlcance de Alcance de

EvaluaciónEvaluacióndel Riesgodel Riesgo

estimadasestimadasAuditoría propuestoAuditoría propuesto

del Riesgodel Riesgo de Auditoríade Auditoría Personal dePersonal de

OtroOtroAuditoría deAuditoría dela instituciónla institución

Administración de efectivo .7410 (*) Sensible 350 350Departamento de Formación Contínua .6744 (*) Sensible 500 500División de Operaciones Planta .6462 (*) Sensible 450 450Unidad académica Nº. 1 .6436 (*) Sensible 200 200Unidad académica Nº. 2 .6436 (*) Sensible 160 160Unidad académica Nº. 3 .6436 (*) Sensible 200 200Unidad académica Nº. 4 .6436 (*) Sensible 200 200Servicio de Personal (expedientes)—PCS .6385 Sensible 350 350Servicio personal (expedientes)—GTRI .6385 Sensible 160 160Operaciones de la Nómina .6282 (*) Sensible 300 300Inventario—Librería .6000 Moderado 80 80Las Ausencias compensadas—Mensuales .5949 (*) Moderado 300 300Costes de telecomunicación .5897 (*) Moderado 300 300Costes de programas patrocinados .5872 (*) Moderado 200 200Inversión en Planta .5795 (*) Moderado 400 400Centro de Proceso de Datos .5718 (*) Moderado 170 170Viajes .5590 Moderado 300 300Uso de Tarjeta de crédito—Gastos .5205 Moderado 200 200Expedientes de estudiantes .5026 Moderado 300 300Inventario—Suministro para la Oficina .4897 Moderado 40 40Inventario—Química .4897 Moderado 40 40Inventario—POD .4897 Moderado 40 40Fondos para préstamos .4795 Moderado 300 300Caja Fija-Fondos a fin de Año .4692 Moderado 80 80Sistema informático de la librería .4675 (*) Moderado 360 360Inventario—Farmacia .4615 Moderado 40 40Los estudios en extranjero .4150 (*) Moderado 200 200Totales 6,220 5,570 650(*) Última auditoría hace más de cinco años, o auditoría nunca realizada.

orgia(32). En el cuadro 5 encontramos ladistribución de tareas de los seis puestosde trabajo (un total de 10.400 horas deauditoría) para 125 áreas diferentes enla Universidad de Colorado(33). Para fi-nalizar el epígrafe, comentamos las fasesdel Plan de Auditoría (cuadro 6) a tra-vés del esquema proporcionado por laUniversidad de Arizona(34).

Debe destacarse, en todas ellas, laimportancia otorgada a la formación(9%), tanto en educación contínua co-mo en herramientas informáticas-CA-ATS-, el networking externo para culti-var las relaciones (4%) y el seguimientode recomendaciones de ejercicios ante-

riores (7%), como actividades ordina-rias del plan de trabajo. También inclu-ye la prevención del fraude (12%), lacolaboración con la dirección en la re-visión de las políticas administrativas yuna previsión para contingencias. Enalgunos casos, se encargan trabajosconcretos a empresas auditoras. Nóte-se en el cuadro 4 que es el caso de lasección de Tesorería y los expedientesde estudiantes.

5.1.2. Etapas

Una vez seleccionadas las partes de laorganización que van a ser revisadas, elproceso de ejecución del trabajo, en cadaunidad, es básicamente similar en todaslas universidades y distingue las siguientesetapas.

5.1.2.1. Notificación del Plan de Auditoría

Tras la aprobación del Plan, el Di-rector de Auditoría Interna comunicasu inclusión a cada uno de los repre-sentantes de las áreas comprendidas enel programa. En la carta indica el nom-bre del auditor encargado, la naturale-za del trabajo, la fecha de comienzo ypide su colaboración al funcionarioresponsable.

5.1.2.2. Memorándumintroductorio

Se envía dos o tres semanas antes decomenzar la auditoría al vicepresidenteresponsable, con copias para los restan-tes funcionarios universitarios identifica-dos en el programa de Auditoría Inter-na. El memorándum introductorio debedetallar:

1. El área/unidad que ha de ser auditada

2. Los objetivos preliminares de la audi-toría

3. El formato del informe (es decir, in-forme escrito, memorándum infor-mal, o informe oral)

4. El alcance previsto del trabajo, en fun-ción de la información obtenida y lavaloración de riesgos


La auditoríainterna priorizasus actividades a través de la evaluación y elaboración de un ranking de riesgos

Sector Público

UNIVERSIDAD DE COLORADO. DEPARTAMENTO DE AUDITORÍA INTERNA.PLAN 1999.

CUADRO 5

Horas Horas %%TotalesTotales

Programa General Programa General 2.020 17%Revisión de las Políticas Administrativas - 205Ayudas– 438Estado de laboratorios - 67

Gastos con cargo a donaciones - 345 Certificación becas Fundación Henry Strong - 103 Administración del Centro de la Energía - 88 Gestión de la I+D - En Proceso - 355 Centro de Salud de Estudiantes- 404

Programa de Sistemas de InformaciónPrograma de Sistemas de Información 449 4%Participación del Proceso de Modernización Administrativa - 157 Año 2000 - 153Sistema operativo GAWAIN- 51 Horas

Informes de SeguimientoInformes de Seguimiento 841 7%

Asistencia a la Dirección Asistencia a la Dirección 2.179 18%Revisión en el Departamento de Bellas Artes - 36 Planes de Auto-seguro Sanitario - 2,006 Aprobación de sueldos - En el Proceso - 115

Prevención del Fraude Prevención del Fraude 1.401 12%Investigación de fraudes y Asesoramiento- 1,443 Desarrollo del Programa de Prevención del Fraude - 108

Desarrollo Profesional y Tecnología de la Auditoría Desarrollo Profesional y Tecnología de la Auditoría 1,130 9%

Networking externo para cultivar relacionesNetworking externo para cultivar relaciones 508 4%

Departamento de Planificación & Administración Departamento de Planificación & Administración 1,786 15%

Veraneo, Licencias, EnfermedadVeraneo, Licencias, Enfermedad 1.696 14%

Total HorasTotal Horas 12.010 100%

PLAN 1999PLAN 1999

5.1.2.3. Conferencia inicial o “de entrada”

Una semana antes del inicio del tra-bajo, el Auditor Interno programa unaconferencia con la sección. El Decano oAdministrador puede incluir a otros par-ticipantes. El propósito de la reunión es:

1. Discutir los objetivos preliminares dela auditoría y determinar si deben diri-girse hacia áreas particulares de preo-cupación.

2. Introducir al equipo de Auditoría querealizará el trabajo.

3. Identificar a la persona de contactocon quien el equipo va a trabajar parallevar a cabo la auditoría.

4. Revisar el procedimiento de elabora-ción del informe.

5.1.2.4. Trabajo de campo

El personal de Auditoría Interna reali-za generalmente su trabajo en la sección averificar, intentando ser discreto y “no-in-trusivo”, aunque, normalmente requerirámucha ayuda para conseguir los docu-mentos necesarios. Durante el proceso, laAuditoría Interna entrevista al personal,revisa las políticas y manuales de procedi-mientos seguidos por la sección y los do-cumentos relacionados con sus operacio-nes. También se realizan procedimientosde auditoría adicionales, si se consideraapropiado. Incluye:

1. Realizar las pruebas de auditoría.—Generalmente de naturaleza analíti-ca, diseñadas para precisar si estánfuncionando los controles y procedi-mientos. Como las pruebas se reali-zan empleando una muestra selec-cionada de transacciones, no se



UNIVERSIDAD ESTATAL DE ARIZONA. AUDITORÍA INTERNA. CALENDARIO Y PARTICIPANTES EN LA AUDITORÍA

CUADRO 6

AA BB CC DD EEMemorándum Memorándum ConferenciaConferencia BorradorBorrador ConferenciaConferencia Informe final Informe final IntroductorioIntroductorio de Entradade Entrada sin Respuestassin Respuestas final final con Respuestascon Respuestas

Vicepresidente X X

Assistant Vicepresidente X X (5) X (6) X (5) X

Comptroller X

Director de Auditoría Interna X X X X X

Director ejecutivo X

Asst. Ejecutivo del Director de Auditoría X X (4)

Enlace de Auditoría (1) X X X X X

Decano/Administrador (2) X X (2) X X (3) X

Director del Programa Auditado X X X X X

Nota 1: Los enlaces de auditoría son responsables de mantener informado a su vicepresidente respectivo de cualquier pro-blema importante relacionado con la Auditoría Interna de la Universidad.

Nota 2: Para las áreas no académicas, el funcionario universitario que indica el informe de auditoría.

Nota 3: la Participación en las conferencias de entrada y salida son deseables, pero discrecionales.

Nota 4: Copia “oculta”: no presente en la lista formal para su distribución.

Nota 5: la Participación en las conferencias de entrada y salida son deseables, pero discrecionales, salvo auditorías relaciona-das con los Servicios Administrativos.

Nota 6: Para las auditorías de las unidades de Servicios Administrativos, el ayudante del vicepresidente debe recibir una copia delinforme borrador junto con una carta explicativa que hace constar que el informe borrador NO debe ser distribuido a ter-ceras personas hasta que se celebre la conferencia/entrevista final y hasta que no se hayan discutido los hallazgos/reco-mendaciones con la unidad sometida a la auditoria. Para las auditorias no pertenecientes a Servicios Administrativos, el bo-rrador de informe debe remitirse al vicepresidente solamente DESPUÉS de que se haya celebrado la conferencia de salida.

Los problemasresiden en loscriterios objetivospara determinarlas unidadesauditables y el proceso de ejecución

(32) http://www.audit.gatech.edu

(33) http://www.cusys.edu

(34) http://www.asu.edu/aad/manuals/com/com702.html

piensa descubrir todos los errores oirregularidades que puedan haberocurrido en esa área.

2. Documentar el trabajo realizado.— Sereúnen, en un archivo permanente ycentralizado, todos los programas deauditoría completados y la restante in-formación recogida en el transcursode cada revisión, que podrían ser úti-les en futuras auditorías. Los papelesde trabajo contienen los resultados delas comprobaciones, así como cual-quier otra documentación pertinente,como el resumen de las discusiones yreuniones, las copias de informes oconciliaciones, que son indiciados se-gún el formato establecido por el De-partamento de auditoría.

3. Revisión del trabajo de auditoría.— Elgerente de la auditoría revisa los pape-les de trabajo y aprueba el proyecto deinforme.

5.1.2.5. Recomendaciones

El alcance de la auditoría permite reali-zar recomendaciones para perfeccionar loscontroles financieros y de gestión. La Au-ditoría Interna y los servicios administrati-vos discutirán sus recomendaciones enuna conferencia final con el Decano o Ad-ministrador. La aplicación de las recomen-daciones es responsabilidad de la secciónintervenida. La Auditoría interna supervisala aplicación de las recomendaciones degestión trimestralmente.

5.1.2.6. Conferencia final

Para concluir, se sostiene una reunióncon los funcionarios universitarios identi-ficados en el programa. El proyecto de in-forme se revisa con los siguientes fines:

1. Confirmar la exactitud de los datospresentados.

2. Determinar si ha sido considerada to-da la información pertinente.

3. Responder a las preguntas sobre el in-forme, sus recomendaciones o con-clusiones.

4. Discutir los cambios propuestos, y

5. Examinar el calendario de preparaciónde las contestaciones departamentalesa las recomendaciones, si no han sidoya completadas.

5.1.2.7. Contestaciones a las Recomendaciones

Las contestaciones a las recomenda-ciones son aprobadas por el Decano o Ad-ministrador y sometidas a la Auditoría In-terna. En general, si existe acuerdo en losresultados y recomendaciones, las contes-taciones específican los cambios que sellevarán a cabo, con las fechas detalladaspara su aplicación. La Auditoría internadebe estar dispuesta a ayudar a las seccio-nes en esas contestaciones.

5.1.2.8. Distribución del Informe final

Las contestaciones departamentales ysu aceptación estarán incorporadas al in-forme antes de su distribución definitiva.

6. INFORMES

Acabamos de ver que el outputde un departamento de Au-ditoría Interna es el informe.Es el resultado de las investi-gaciones, estudios y análisis

efectuados durante el trabajo de campo yconcluye expresando por escrito la opi-nión sobre el área auditada y sus reco-mendaciones.

Desde 1985, la General AccountingOffice (GAO) estadounidense y el Institu-to Americano de Contadores Públicos(AICPA) han dictado normas de audito-ría que proporcionan una referencia paraasegurar la calidad de los trabajos de losauditores, tanto internos como externos,


La determinaciónde las áreasauditablessupone elestablecimientode un ranking,según un proceso de ordenación en función de la valoraciónde riesgos

Sector Público

El personal de Auditoría Internarealiza su trabajo en la sección averificar, intentando ser discretoy “no-intrusivo”, aunque, nor-malmente requerirá mucha ayudapara conseguir los documentosnecesarios.

cuando prestan sus servicios en el sectorpúblico. Las normas generales de auditoríaaplicables al sector privado (GAAS), sonmenos exigentes que las públicas (GA-GAS). Estas normas, renovadas durante1994 (“Yelow Book(35)”), tras un periodo deinformación pública, incluyen tanto la au-ditoría de performance, como financiera.

Pues bien, el capítulo séptimo de esasNormas de Auditoría Pública regula lapresentación de informes de auditoríaoperativa. Tendremos ocasión de comen-tarlas nuevamente en este artículo, peroya avanzamos que exigen a los informesser oportunos (7.6), incluir los hallazgos,conclusiones y recomendaciones con lasmedidas a tomar para corregir áreas pro-blemáticas y mejorar operaciones (4.21).Además, la cuarta norma sobre la presen-tación de los informes indica (7.50):

No es nada fácil cumplir estas exigen-cias, sencillas en apariencia. Más al norte,el AUDITOR GENERAL DE CANADÁ, den-tro del Raport Annual 1993 llevó a caboel análisis y evaluación de sus auditoresinternos, con inquietud por su evalua-ción y rendimiento con las siguientesconclusiones:

Por eso, para cuidar su redacción, e in-cluso para normalizar y garantizar su co-rrecto contenido, algunas Entidades hanestablecido su propio libro de estilo de losinformes de auditoría interna. En este ca-so debe mencionarse la Universidad deIllinois, que presentamos como quintamejor práctica, dentro de una web plagadade interesantes herramientas(36).



La valoración del riesgo se realiza usandoel juicioprofesional y la experienciadel auditor y del gestor, en función de determinadoscriterios

El informe debe ser completo,exacto, objetivo, convincente, y tanclaro y conciso como permitan lasmaterias de que trate.

7.58 Las normas de auditoría in-terna exigen que el informe seaconciso, completo, rápidamente co-municado, que no oculte las cons-tataciones importantes y que pre-sente recomendaciones para podermejorar los posibles fallos.

7.59 En el curso de nuestra verifi-cación habíamos notado que granparte de los informes de auditoríainterna de la mayor parte de losministerios contenía numerosasobservaciones poco importantes, ha-bían sido comunicadas muchotiempo después de finalizar los tra-bajos de auditoría y no eran el ob-

jeto de un seguimiento que deter-minara si las medidas correctivashabían sido tomadas.

7.60 Por el contrario, los organis-mos que se consideraban como losmejores dentro de nuestro estudio te-nían una estrategia de rapport másconstructivo cuyos elementos másdestacados eran:

• el acento se pone más en las solu-ciones que en las causas

• la producción del informe ha deser cuando ha concluido el traba-jo de campo y no varios meses mástarde

• el envío de informes detallados alas personas responsables de loscontroles, de los sistemas y de lasoperaciones, que pueden aportarmejoras

7.61 la mayor parte de las Entidadespuede aumentar la calidad y la ra-pidez de sus rapports. Creemos quehabría que examinar las prácticas decomunicación de resultados para versi son las apropiadas.

7.63 Nuestra verificación indicaque los servicios de auditoría inter-na de la Administración federaldeberían dedicar muchos esfuerzosen la elaboración y la aplicación deindicadores para medir el rendi-miento. Prácticamente ningún ser-vicio de auditoría interna está do-tado de un mecanismo que permitamedir su rendimiento de formacontínua, ni aplican un sistemaque permita el seguimiento del em-pleo del tiempo.

(35) Existe una traducción al castellano del las normaseditada por CONSULTORES DE LAS ADMINISTRACIONES

PÚBLICAS bajo el título Normas de Auditoría del SectorPúblico. Madrid, 1999.

(36) http://www.audits.uillinois.edu/AUDMAN/TBLCONT.HTM

El texto establece un formato estándarpara los informes (generalidades, objeti-vos y alcance, observaciones y recomen-daciones). Aconseja incluir las “opinio-nes” del auditor y usar un lenguaje quetodos los posibles lectores puedan com-prender. Por ello, el manual establece cri-terios para puntuación e incluso construc-ción de frases. Presentamos en el cuadro 7un extracto del epígrafe titulado “MakingReports Readable”. El pasaje, que sólo esuna muestra, no tiene desperdicio y debeser una referencia obligada para todos losque realicen informes de auditoría.

Por su parte, otras Agencias nor-teamericanas establecen y publicananualmente el “informe tipo” que re-sume las principales carencias detec-tadas en los trabajos realizados por laUnidad de Auditoría Interna. Pre-sentamos en el cuadro 8 uno de tan-tos correspondiente a otra Universi-dad, en este caso de Rochester(37). Lahemos seleccionado, entre otras ra-zones por su brevedad. Muchas prác-ticas de este tipo no son tan esque-máticas pero animo a los lectores a suconsulta(38).


La GAO ha elaboradouna guía especialpara el control de calidad

Sector Público

Maneras para asegurar que los informes sean legibles.Maneras para asegurar que los informes sean legibles.

Los auditores intentarán asegurar que sus informes sean creí-bles, completos y tan concisos como sea posible. Los detalles in-necesarios, tales como citas de cartas, normativa o procedimien-tos en su totalidad, así como la repetición de las mismas palabraso re-enunciados de los mismos temas, hacen que los informes fi-nales resulten confusos y difíciles de leer.

El personal sometido a una auditoría, así como la Alta Direc-ción, tendrá una mayor probabilidad de llegar a consensos (eimplantar la actuación recomendada) si el informe se presentade una manera lógica y clara que si el mismo contiene gran can-tidad de opiniones indocumentadas o detalles extraños al temaen cuestión.

Por otra parte, no se puede omitir lo que es esencial. El auditornunca debe suponer que todo lector del informe necesariamen-te vaya a tener conocimientos de lo que se expresa en el mismo.Con frecuencia, se utilizan cartas de la dirección para suplemen-tar el informe de la auditoría.

El auditor tiene la responsabilidad de transmitir consideracio-nes sobre el grado en que la dirección cumple con las políticasy procedimientos establecidos. Un informe debe expresar: (1)el “status” de los asuntos desarrollados en la auditoría; (2) laevaluación del tema por el auditor y si fue aceptada o no, y por-qué; (3) la recomendaciones, sugerencias, preguntas y comen-tarios de auditoría.

El propósito de escribir es comunicar: un hecho, una evaluación,un pensamiento, una idea, una recomendación. Cuanto más di-rectamente se presenta el material mejor. En los informes se de-be decir lo que se quiere expresar y ser lo más escueto y especí-fico posible. Cuando se ha dicho lo que se quiere expresar, sedebe terminar el informe.

En vez de clarificar, la repetición innecesaria hace que el informeresulte aburrido y confuso.

Confuso: Como consecuenecia de una serie de irregularidades enlas nóminas de la Oficina de Habilitación de los Laboratorios, se in-terrogó al Director de la Oficina de Habilitación de los Laborato-rios acerca de las nóminas de la Oficina de Habilitación de los La-boratorios.

Claro: Como consecuencia de una serie de irregularidades, se inte-rrogó al Director de la Oficina de Habilitación de los Laboratoriosde la Universidad acerca de las nóminas.

Es necesario re-leer el informe para ver si el sentido estará cla-ro para un lector no familirizado con el tema. Después de haceruna revisión, hay que leer la frase para asegurar que las distin-tas partes casan de una manera coherente. Hay que evitar fra-ses confusas. A continuación presentamos expresiones que notienen sentido o bien aportan un significado distinto a la inten-ción de la persona que las escribió:

Confuso: Inexperimentados y no familiarizados con los ordenadores,los auditores recomiendan que sean contratados empleados y no es-tudiantes.

Claro: Los auditores recomiendan la contratación de empleados yno de estudiantes sin experiencia con ordenadores.

Confuso: Llenos de muebles y peligrosos, no entramos en los alma-cenes.

Claro: Los almacenes, llenos de muebles, eran demasiado peligrosospara entrar en ellos.

Se debe intentar utilizar palabras “activas” (imponer tributos,pagar, desviar) en vez de pasivas (imposición de tributos, pago,desviación).

Se debe evitar jergas y términos legalistas:

Mejor: El contable realiza una auditoría sobre la sección de nómi-nas

Peor: La función de la auditoría de la sección de nóminas es llevadaa cabo por el contable.

Un buen estilo es claro, sencillo y libre de “flecos”. Aunque queno es realmente incorrecto decir “En el momento presente, es-tamos sometidos a una precipitación” se expresa la idea con másclaridad afirmando “está lloviendo”.

(..............................)

UNIVERSIDAD DE ILLINOIS. DEPARTAMENTO DE AUDITORÍA INTERNA.–LIBRO DE ESTILO

CUADRO 7

(37) http://www.uis.rochester.edu/audit

(38) http://marley.unh.edu/audit/findings.htm



1- Separación inapropiada de responsabilidades y deberes.

Un control interno fuerte requiere una apropiada separa-ción de responsabilidades en cuanto a la autorización, custo-dia física de bienes y su inventario. Las personas que puedenautorizar pedidos no deben tener la capacidad de procesarlos pagos. La persona que prepara las imposiciones banca-rias no debe remitir los recibos a las cuentas de los clientes.Ninguna persona individual debe tener capacidad de pedir,recibir, aprobar el pago, ni verificar los cobros de los infor-mes mensuales de contabilidad.

2- Revisión de registros mensuales de contabilidad inadecuada ofuera de plazo.

Esto representa el control “de detective” final en nuestrosistema de contabilidad. Estos informes de contabilidad sonlos registros oficiales de la Universidad. Todas las transac-ciones registradas en los informes de contabilidad deben serrevisadas y verificadas cada mes. Los administradores supe-riores, los catedráticos y los investigadores principales de-ben revisar los informes de contabilidad en cuanto a su ra-zonabilidad y corrección se refiere. Los informes generadospor sistemas locales “ocultos”, si bien son un recurso útil dela gestión, no representan los registros oficiales de la Uni-versidad.

3- Acceso indebido- falta de seguridad.

La Gerencia debe proporcionar métodos seguros para salva-guardar activos físicos, la información restringida, los docu-mentos sensibles, etc. Control sobre las llaves: deben alma-cenarse el dinero y cheques en un lugar seguro; losescritorios y los despachos deben ser cerrados con llavecuando no están en uso; el acceso a documentos debe estarrestringido (pago de pedidos, devolución por gastos meno-res, etc.); las combinaciones de las cajas fuertes deben sercambiadas periódicamente y siempre que una persona enposesión del número termina su contrato.

4- Autorización inadecuada de gastos.

En el caso de los proyectos subvencionados, los gastos de-ben ser autorizados por el investigador/a principal o por al-guien autorizado por escrito por él. Los documentos talescomo memorias sobre viajes y conferencias y los vales parala devolución de dinero pagado en concepto de gastos me-nores deben ser validados por una persona apropiada de laUniversidad. Un subordinado/a no debe aprobar las tran-sacciones de un superior/a; p.ej., un secretario/a no debeaprobar la memoria sobre viajes y conferencias del cate-drático/a.

5- Falta de autorización adecuada de registros de horas (trabaja-das).

Las hojas internas de horas trabajadas deben ser aprobadaspor un supervisor apropiado.

6- Autorización y procesamiento inadecuados de los registros deasistencia de alumnos.

Los registros de asistencia al trabajo de alumnos deben seraprobados por un supervisor/a apropiado/a y deben sermandados directamente al Centro de Registros de Emplea-dos y Remuneraciones. Las tarjetas de asistencia de losalumnos deben ser aprobadas por una persona que sepa lashoras reales trabajadas; las tarjetas nunca deben ser aproba-das de antemano. Las tarjetas de asistencia de los alumnos,después de que se ha obtenido una firma de aprobación,nunca deben ser devueltas a los alumnos sino que deben sermandadas directamente al Centro de Registros de Emplea-dos y Remuneraciones por un supervisor/a para que las ci-fras no puedan ser cambiadas.

7- Conocimiento inadecuado de políticas y procedimientos.

Los Departamentos deben poseer manuales escritos comoforma de control administrativo para ofrecer pautas a losempleados respecto a las políticas y los procedimientos de-partamentales y para facilitar la formación de emplea-dos/as nuevos/as. Los Departamentos deben tener copiasde todas las políticas universitarias así como manuales so-bre procedimientos tales como aquéllos publicados por lossiguientes órganos: El departamento de Asuntos Económi-cos de la Universidad; Personal, El Negociado de Adminis-tración de Investigación y Proyectos o los Servicios deCompras.

8- Falta de control sobre grandes equipos .

Debe establecerse y mantenerse actualizada contínuamenteuna lista de equipos para reflejar las nuevas compras y lasdisposiciones que se hagan. Todos los equipos deben ser de-bidamente etiquetados. Debe mantenerse una lista de losque se llevan a casa o fuera del terreno de la Universidad.Los contratos de mantenimiento de equipos deben ser revi-sados con cierta periodicidad para asegurar que la Universi-dad sólo está pagando por los materiales que realmente si-guen usándose (no ha quedado obsoleto, roto, etc.).Cuandolos profesores se desplazan fuera de la Universidad, se nece-sitan las aprobaciones necesarias antes de que puedan lle-varse equipos con ellos.

9- Entrega de recibos con retraso.

El dinero en metálico y los talones deben entregarse en el mo-mento apropiado. Cuando los recibos se mantienen en los De-partamentos durante tiempos prolongados antes de su entre-ga, se aumenta el riesgo de pérdida para la Universidad.

10- Llamadas telefónicas personales que ocasionen gastos.

Las llamadas personales deben ser cargadas a una tarjeta decrédito personal o a la cuenta de su propio teléfono en casa.Los empleados no deben hacer dichas llamadas y luego re-embolsar a la Universidad.

UNIVERSIDAD DE ROCHESTER. OFICINA DE AUDITORÍA. Lista “Top 10” de las principales conclusiones de Auditoría

CUADRO 8

7. FORMACIÓN CONTÍNUA

L os ambientes legales, tecno-lógicos y económicos, rápi-damente cambiantes, exi-gen contínuas actuacionesen formación. Por ello, las

Normas de Auditoría Pública promo-vidas por la GAO requieren que todoslos auditores, tanto internos como ex-ternos, realicen formación contínuaperiódicamente (norma 3.6):

Esta normativa, que cuenta con unaposterior Guía de desarrollo(39), es unmarco de referencia internacional res-pecto a las necesidades de formación delpersonal que realiza funciones de audi-toría. En Canadá, el número medio de

días de formación recomendado por elInstitut Canadien des Comptables Agré-es, es de cinco días anuales o de quince,cada tres años(40).

Muchos OCEX han asumido el com-promiso de la formación de los auditoresinternos de sus Entidades Públicas. Estees el caso de La Oficina del Auditor Esta-tal (SAO)(41) de Texas que puede ser to-mada como referencia en otros muchosaspectos y que constituye, por muchas ra-zones, la sexta mejor práctica selecciona-da. El Auditor Estatal realiza su trabajocon una especial tutela sobre sus órganosde control interno.

Así, la Ley de Auditoría Interna deTexas requiere a las Agencias que su-peren los 300 empleados y 10 millonesde dólares de presupuesto, dotarse deun departamento de auditoría interna,al frente del cual estará un ContadorPúblico o Auditor Interno Certificado(IIA) con tres años de experiencia míni-ma. El texto requiere a éstos aprobar unPlan Anual de Auditoría que identifiquelos trabajos a realizar durante el ejerci-cio, “usando las técnicas del Risk Asses-ment”. El informe anual se integrarádentro de un Registro de Informes Indi-viduales de los auditores internos, queobra en la Oficina del Auditor Estataltres meses después del cierre del año fis-cal. La Circular del Auditor Estatal, de31 de agosto de 1999, dirigida a todoslos Directores de Auditoría Interna detodas las Agencias, ha exigido su presen-tación a través de medios electrónicos ysoporte informático.

También requiere el envío de unacopia del Plan Anual de Auditoría In-terna del año siguiente, lo que ayuda alas Agencias a vigilar su propia evalua-ción de riesgos y el cumplimiento delpropio plan. Incluye un informe de se-guimiento de las recomendaciones ante-riores, (sección 2102.009) con indica-ción expresa de su estado de ejecución(acciones implantadas total o parcialmen-te, retrasadas o desoidas). También debehacerse mención a las desviaciones delplan anual, que deben ser explicadas, ydeclarar la última fecha de una revisiónexterna entre colegas (peer review, queluego veremos).


En EE.UU. es frecuenteencontrar leyesque regulen el proceso de controlinterno de las agenciasestatales, comola Ley de ControlInterno deMassachussets

Sector Público

Requisitos de educación contínuaA fin de cumplir con esta norma,la organización de auditoría debe-rá tener un programa que asegureque su personal mantendrá su ca-pacidad profesional a través de laeducación y capacitación contí-nua. Para ello, cada uno de los au-ditores responsables de la planifi-cación, dirección o ejecución de laauditoría del sector público o depreparar los informes respectivosdeberá completar, cada dos años,por lo menos 80 horas de educacióny capacitación contínua que con-tribuyan a mantener su competen-cia profesional. Deben completarsepor lo menos 20 horas en cualquieraño de ese periodo de dos años. Losresponsables individuales de plani-ficar, dirigir y ejecutar partes sus-tanciales del trabajo de campo o depreparar los informes de auditoríadel sector público deben completarpor lo menos 24 horas de las 80 ho-ras de educación y capacitacióncontínua en materias relaciona-das con la administración públicay la auditoría del sector público. Sila entidad auditada opera en unentorno específico o peculiar, losauditores deberán recibir capaci-tación relacionada con ese medio.

(39) GAO. Interpretation of Continuing Education AndTraining Requirements. Abril, 1991.

(40) Sin embargo el AUDITOR GENERAL DE CANADÁ,dentro del Raport Annual 1993 (parágrafo 7.36)incluye el siguiente rapapolvo “La formación de losauditores internos y de los funcionarios destinados aactividades de auditoría interna es insuficiente parapermitirles estar a la altura de las iniciativas de reformade la función pública y de los cambios en la práctica de laauditoria interna”.

(41) Los informes pueden encontrarse enwww.sao.state.tx.us

La oficina también proporciona otrosservicios, como diseño y desarrollo deformación para el personal de auditoríainterna de las agencias y universidades(sección 2102.012). Cuenta con un ac-tivo Comité de Formación de AuditoresInternos que, además, organiza una im-portante Conferencia Anual de Audito-res de Agencias. A partir de aquí, vienela exigencia. Periódicamente realiza in-formes(42) horizontales, de todo o partede un sector, lo que permite una valo-ración comparativa, aproximando insti-tuciones de similar tamaño o actividad.Como prueba puede consultarse en sucuidada página web el informe nº 99-011, donde evalúa, en todas sus agen-cias públicas, la eficacia de las unidadesde auditoría interna con cuatro o me-nos empleados. La conclusión fue que,en conjunto, esas pequeñas unidadesde auditoría interna eran eficaces(43).

Entre las carencias siempre denuncia-das, y permitáseme que anticipe al epígra-fe siguiente, debe mencionarse la inexis-tencia de prácticas de control de calidadadecuadas en una tercera parte de las En-tidades, así como de revisiones externas(trienales) del trabajo como requieren lasnormas de auditoría. He aquí su opiniónsobre las pequeñas unidades de auditoríainterna(44):

8. CONTROL DE CALIDAD

E fectivamente, las Normas deAuditoría Públicas de laGAO (por no referinos a lasdel propio Instituto de Au-ditores Internos, cuya sede

internacional está en EE. UU.) tambiénexigen (norma 3.33) que los auditoresparticipen, por lo menos una vez cada tresaños, en un programa externo de revisiónde calidad ejecutado por una organiza-ción ajena. La misma GAO, que ha elabo-rado una guía especial para el control decalidad(45), considera “aceptables” (Nor-ma 3.34) los programas de revisión de al-gunas instituciones como la propia AIC-PA, la Asociación Nacional de AuditoresEstatales, el Instituto de Auditores Inter-nos y la Asociación Nacional de AuditoresPúblicos Locales. Esta última constituyela séptima de nuestras mejores prácticasseleccionadas.

8.1. Peer Rewiev de la AsociaciónNorteamericana de AuditoresPúblicos Locales

La Asociación Nacional de Audito-res Públicos Locales (literalmente:NALGA(46)) ha establecido un programade revisión entre colegas (peer review)para ayudar a sus miembros a alcanzar elrequisito de las Normas de AuditoríaPública. El propósito de estas revisonesentre colegas es determinar si una orga-nización de la auditoría ha establecidoun sistema de control de calidad internoadecuado, y determinar el grado en quesus auditorías se rigen por las Normas deAuditoria Pública.

La Asociación emitió su primera Guíade Revisión y Control de Calidad en oc-tubre de 1991, y desde entonces ha idoactualizándola periódicamente. La Guíacontiene instrucciones y formularios paraorganizar y dirigir una Peer Rewiev profe-sional en una Entidad Local. Además, susformularios pueden usarse para dirigir unaauto-valoración de su nivel de cumpli-miento con las Normas de Auditoría.

Estos programas de revisiones entrecolegas, si bien corren el peligro de ca-er en el corporativismo y los “pactos de



Las normasgenerales de auditoríaaplicables al sector privado(GAAS) son menos exigentesque las públicas(GAGAS)

“Un buen programa de control decalidad incluye vigilancia así co-mo revisiones internas y externas.Se comprende que las unidades deauditoría interna de una solapersona tengan dificultades paraadaptarse a esta norma. Por consi-guiente, se recomienda que estasunidades obtengan unos serviciosde control de calidad recíprocos conotras secciones de auditoría inter-na. Cuando se integren por más deuna persona, deben asegurar queexisten revisiones internas adecua-das para que su trabajo obedezcalas normas de auditoría interna”.State Auditor’s Office (Texas). AnAudit Report on the Effectivenessof Internal Audit Functions withFour or Fewer Staff Members (Re-port nº 99-011).

(42) Para un análisis más detallado de estos informes,en el ámbito específico de las Universidades y susrelaciones con los auditores estatales, puedeconsultarse ANTONIO ARIAS RODRÍGUEZ “Aspectosprácticos del control interno y externo de lasuniversidades. Experiencia nacional e internacional”.Dentro de las I Jornadas sobre la Trascendencia de lasCuentas Universitarias. Consejo Social de laUniversidad de Vigo, 1999.

(43) “Los auditores Internos necesitan asegurar quereúnen los requisitos de formación contínua impuestospor las Normas Públicas de Auditoría. Nueve de las 33unidades revisadas no reunieron los requisitos deformación contínua: completar 80 horas de formacióncada dos años por lo menos, de las que 24 horas han deser en asuntos relacionados con su sector de actividad.”Informe 99-011 sobre la eficacia de las unidades deauditoría interna con cuatro o menos empleados, enAgencias Públicas y Universidades (AUDITOR ESTATAL

DE TEXAS).

(44) La opinión de los grandes departamentos ha sidosimilar. En el informe “A report on the efectiveness ofinternal audit” de julio de 1997, sobre las 12 mayoresagencias estatales, sólo 10 departamentos deauditoría interna eran eficaces. Las dos agenciasineficaces eran la Agencia de Educación y la Comisiónde Empleo. El mismo año informó sobre elmismísimo Controller Estatal “es eficaz en ochocriterios (compromiso, organización, evaluación deriesgos, preparación y ejecución del plan de auditoría,comunicación de resultados, cumplimiento de lasGAGAS y seguimiento de recomendaciones), aunquepuede mejorar en tres de ellos”.

(45) GAO/OP-4.1.6. An audit Quality Control System:Essential Elements. Agosto, 1993.

(46) http://www.nalga.org

Sector Público

no agresión”, ofrecen muchas ventajas alos auditores locales norteamericanos.Primero, el costo de una revisión se re-duce al mínimo. La organización querecibe el examen paga los gastos de via-je de los evaluadores, pero no paga sutiempo. A cambio, se espera que esa

Entidad envíe a sus miembros más cua-lificados a las revisiones de otras organi-zaciones(47). También tiene la ventaja,no sólo de proporcionar una perspecti-va independiente sino también de facili-tar el intercambio de información y latransferencia de conocimientos con elrevisor.

En segundo lugar, la Guía permitecierta flexibilidad para afrontar la Normade Auditoría Pública nº 3.32 de la GAO,que establece:

Las revisiones de la Asociación de Au-ditores Públicos Locales son realizadaspor profesionales de auditoría interna, ex-perimentados y críticos, que proporcio-nan una pauta en la estructura y tipo detrabajo realizado por el departamento deauditoría interna.

Presentamos en el cuadro 9 los re-sultados proporcionados por las unida-des de auditoría de gobiernos locales(48),que permiten resumir las conclusionesde sus informes de control de calidad enlos medianos y grandes Ayuntamientosnorteamericanos.

9. COMITÉ DE AUDITORÍA

L os comités de auditoría sehan revelado, desde hacetiempo, como instrumentosadecuados y eficaces para elcontrol económico-financie-

ro del sector público. Por ello, las legisla-ciones más avanzadas no han dudado


ASOCIACIÓN NACIONAL DE AUDITORES PÚBLICOS LOCALES.–INDICADORES DE PERFORMANCE

CUADRO 9

19981998

Porcentaje de tiempo directo de auditoría 75%sobre el tiempo total disponible (d= 11%)

Porcentaje de recomendaciones aceptadas por los usuarios 91%(d= 11%)

Porcentaje de recomendaciones implantadas por los usuarios 69%(d= 20%)

Porcentaje de compromisos completados del programa anual 91(d= 25%)

Encuesta de satisfacción de usuarios (1=bajo, 5= Alto) 3.99

Porcentaje de compromisos completados dentro 63%del presupuesto de tiempo planeado (d= 28%)

La sección de auditoría trabaja con el cliente para desarrollar Regularmente = 72% las soluciones o implantar las recomendaciones A veces= 26%

Nunca = 2

Su sección tiene un Manual de Procedimientos de Auditoría Si-93%

El manual se pone al día periódicamente Si-74%

Se usan medidas de performance Si-66%

Porcentaje del personal de auditoría que satisfizo el Requisito de 80 horas de formación 93%

Porcentaje de personal graduado 73%

El departamento aplica COSO como marco Totalmente= 7%de control interno Parcialmente=39%

Nunca= 54%

La sección anima a la dirección para ver la auditoría como un consejero / consultor y apoyar la misión de la auditoría 38%

La sección obtiene sugerencias a través del uso de estudios formales del cliente 26%

La sección pide a los usuarios que valoren la auditoría después de completar el trabajo 27%

Tiene un Comité de Auditoría que sigue activamente las recomendaciones 72%

Se aplican las Normas de Auditoría de la GAO regularmente 65%

Se ha programado un control de calidad externo en los últimos 3 años 36%

Porcentaje de auditorías operativas sobre el total 72%

Porcentaje de secciones que ayudan o facilitan a los departamentos operativos para la auto valoración de riesgos orgánizativos (“control self assesments”) 14%

... “La naturaleza y extensión del sis-tema interno de control de calidadde una organización depende de va-rios factores, tales como su tamaño,el grado de autonomía operativapermitida a su personal y áreas deauditoría, la naturaleza de su traba-jo, su estructura organizativa, y eladecuado coste-beneficio. Por tanto,los sistemas establecidos en las dis-tintas organizaciones diferirán nece-sariamente, al igual que la magnitudde su documentación.”

(47) El lector académico ya habrá percibido que elsistema es similar al empleado en la evaluación deCalidad de las Universidades en toda Europa.

(48) Report on N.A.L.G.A’s Benchmarking and BestPractices Survey For Fiscal Year 1998, Diciembre 1998.

en potenciar su existencia atribuyéndo-les la necesaria independencia y compe-tencias claras, amplias y de importantescontenidos mínimos. La política delInstituto de Auditores Internos, tantoen su sección española (IAI) como in-ternacional (IIA) es recomendar la cre-ación de estos órganos para asistir a losConsejos de Administración en la reali-zación de sus responsabilidades referi-das a las políticas contables, control in-terno e información financiera. Paraello, debe mantener líneas de comuni-cación con los auditores internos y ex-ternos(49).

En Australia, la ANAO(50) estudió elgrado de preparación de las entidadespúblicas que pertenecen al Commonwe-alth ante los requisitos de la nueva legis-lación sobre gestión financiera, que exi-girá en todas ellas “establecer y mantenerun comité de auditoría” (ver cuadro10). Se encontró que casi tres cuartaspartes de las entidades tenían ya un co-mité constituido, lo que era consideradoun logro significativo sobre la situacióninformada en 1991 (con sólo el 52%), y

la mayoría tenía un tamaño de 3 a 5miembros (62.4%) y un papel activo res-pecto a la función de la auditoría interna(90%), aunque sólo el 77% revisó regu-larmente la eficacia de esa unidad. Alre-dedor del 70% de los comités también seinvolucraron activamente en la funciónde la auditoría externa, si bien sólo un48% invitó al auditor externo a asistir atodas las reuniones.

9.1. El Comité de auditoría en las universidades británicas:contrapunto entre autonomíay responsabilidad

En muchos países, la concesión deuna subvención global (transferenciacorriente, en nuestra terminología) alas Entidades públicas o privadas llevaaparejada una serie de obligaciones, in-cluido el sometimiento a procesos deauditoría por los auditores del patroci-nador. Presentamos a continuación,como octava “mejor práctica”, el con-junto de relaciones jurídicas pactadascon las de Instituciones de EducaciónSuperior del Reino Unido, que deben



El capítuloséptimo de las GAGASregula la presentación de informes de auditoríaoperativa

COMITÉS DE AUDITORÍA DEL SECTOR PÚBLICO AUSTRALIANO. CONCLUSIONES

CUADRO 10

AASPECTOSSPECTOS POSITIVOSPOSITIVOS ((PUNTOSPUNTOS FUERTESFUERTES))

• La mayoría de las entidades tenían el comité de un tamañoconsiderado apropiado, es decir, entre 3 y 5 miembros. Lassecciones ministeriales y similares contaban con comités ma-yores, a veces con más de 10 miembros.

• La mitad de las entidades tenían por lo menos un miembro‘externo’ (o independiente) en su comité de auditoría. Sinembargo, y como era previsible, sólo un tercio de las seccio-nes ministeriales tenían en su comité un miembro indepen-diente.

• La mayoría de los comités tenían un miembro con conoci-mientos y/o titulaciones pertinentes en contabilidad (78%),auditoría (43%) o informática (32%).

• La mayoría de los comités (56%) sostuvieron 4 reuniones or-dinarias anuales y mantuvieron archivos formales de ellas(85%).

• Casi todos comités operaban con una carta constitucionalformal de atribuciones. Sin embargo, aproximadamente lamitad no había revisado la carta en el último año; y se desta-ca la tendencia creciente en los comités para relacionarsecon materias ajenas a sus papeles tradicionales y extender suactuación hasta áreas como la ética y el control del fraude.

AAREASREAS PARAPARA MEJORARMEJORAR ((PUNTOSPUNTOS DÉBILESDÉBILES))

• La mayoría de las entidades (65%) indicaron que no teníanningún plan formal para una rotación ordenada de miembrosdel comité.

• Una proporción significativa de entidades indicó que el direc-tor de finanzas es miembro de pleno derecho del comité. Es-to es considerado no deseable desde una perspectiva de “in-dependencia”.

• Sólo una minoría de comités (41%) trató de todos los aspec-tos potencialmente significativos en su relación con la audi-toría interna y externa: planes de trabajo, informes, segui-miento de recomendaciones y evaluación.

• Sólo un número pequeño de entidades requirió el informeformal del comité de auditoría o hizo pública su existencia ycomposición.

(49) INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA. LosComités de Auditoría en el marco de los modernosConsejos de Administración. 1998. Pág. 29.

(50) ANAO. Report nº 39/1997 titulado “AuditCommite”. Un amplio comentario puede verse enANTONIO ARIAS RODRÍGUEZ “Los comités de auditoríaen el sector público: dos experiencias del mundoanglosajón” en Revista Técnica del Instituto deAuditores-Censores Jurados de Cuentas de España, nº 13,diciembre de 1998. Pág. 24-33.

aceptar expresamente un importantísi-mo documento/convenio (contrato-programa, en nuestra terminología)denominado memorándum financierocon las siguientes exigencias:

• Aplicar el Código de Prácticas de Au-ditoría.— Cada institución debe rea-lizar una auditoría externa con losprofesionales que deseen pero consometimiento a un Audit Code ofPractice que entró en vigor en agos-to de 1998, sustituyendo la versiónde 1993(51).

• Mantener un servicio de auditoríainterna.— con acceso ilimitado atodos los registros, propiedades,

personal y locales, estando autori-zados a obtener cualquier informa-ción y explicación que considerennecesarios. En su funcionamientodiario responderá ante un alto car-go de la institución. El servicio deauditoría debería marcar las priori-dades tanto en un plan estratégico(cinco años) como en un programaanual preparado tras consultar conaltos cargos de gestión, que deberáser aprobado por los órganos recto-res, siguiendo las recomendacionesdel comité de auditoría(52).

• Presentar un informe anual de au-ditoría externa.— El Code exigeenviarle una copia de la carta deencargo (sin restricciones) y el co-rrespondiente informe anual deauditoría externa(53).

• Constituir un comité de auditoría,como instrumento de control y ga-rantía de transparencia.

Las crecientes exigencias de trans-parencia y accountability de una socie-dad muy sensibilizada con la utiliza-ción del presupuesto público, han dadolugar a un respetuoso, coherente y ri-guroso sistema de control financiero,donde los comités de auditoría sondestacados protagonistas: examinan laslimitaciones y salvedades que puedansurgir de los informes provisionales yfinales de auditoría, incluyendo la revi-sión de las alegaciones.

El Code asigna al órgano rector ladesignación del presidente del comité.El resto deberán ser miembros que notengan una responsabilidad económicani capacidad decisoria dentro de la ges-tión de la institución académica. Aligual que en el caso australiano, se su-giere que el comité conste de más detres miembros y el quórum deberá deser de dos miembros.

El auditor interno y externo debenasistir a las reuniones, especialmentecuando se examina el área de su res-ponsabilidad; El Code también garan-tiza que puedan solicitar la celebra-ción de una reunión si lo considerasennecesario. La independencia del co-


El beneficio del trabajo de auditoría no esta en lasrecomendacioneshechas, sino en su aplicacióneficaz

Sector Público

COMPETENCIA DEL COMITÉ DE AUDITORÍA DE LAS UNIVERSIDADES DEL REINO UNIDO

CUADRO 11

• Proponer a los órganos rectores el nombramiento de auditores externos, su natu-raleza, alcance y tarifas, el suministro por éstos de consultorías, y cualquier cuestiónrelacionada con su renuncia o despido.

• Discutir las limitaciones y salvedades que puedan surgir de los informes provisiona-les y finales, incluyendo la revisión de las alegaciones, y cualquier otra cuestión quelos auditores externos deseen discutir (sin la presencia de los órganos gestorescuando fuese necesario).

• Reflexionar y aconsejar a los órganos rectores sobre el nombramiento y términosde contratación del jefe de auditoría interno y cualquier cuestión relacionada con surenuncia o despido.

• Revisar la evaluación de las necesidades de los auditores internos y el plan de audi-toría. Reflexionar sobre los descubrimientos más importantes de sus investigacio-nes y las respuestas de los órganos de gestión. Promover la coordinación entre losauditores internos y externos. El comité deberá garantizar que los recursos puestosa disposición de la auditoría interna son suficientes para satisfacer las necesidadesde la institución.

• Mantener bajo escrutinio la eficacia de los sistemas de control interno, y en parti-cular, revisar la carta de gestión de los auditores externos, el informe anual de losauditores internos, las respuestas de los órganos de gestión y el seguimiento de laimplantación de las recomendaciones.

• Garantizar que todas las pérdidas significativas han sido investigadas adecuada-mente, y que los auditores internos y externos han sido informados.

• Asegurarse de la existencia de medidas satisfactorias para promover la economía,la eficiencia y la eficacia.

• Recibir todos los informes relevantes de la Oficina Nacional de Auditoría y del ser-vicio de auditoría del Council.

• Controlar anualmente el funcionamiento y la eficacia de los auditores externos e in-ternos, y aconsejar al órgano de gobierno sobre su renovación.

• Analizar el borrador del presupuesto anual en presencia de auditores externos. Es-ta revisión debería incluir mención específica de las responsabilidades de los miem-bros, y declaraciones corporativas de los órganos de gobierno.

mité queda de manifiesto en el pará-grafo 41 del Code que exige: “al me-nos una vez al año el comité debe reu-nirse con los auditores externos sin lapresencia de ningún representante ins-titucional”.

Para garantizar la transparencia y laeficacia del control, el comité está au-torizado por los órganos rectores a in-vestigar cualquier actividad dentro delos términos de referencia. En efecto,puede exigir la información que necesi-te, de cualquier empleado, y todos losempleados deben cooperar con cual-quier petición realizada por el comité.Y por si esto fuera poco, puede obtenerayuda profesional externa, legal o decualquier otro tipo, y garantizar la asis-tencia de personas con experiencia yconocimientos relevantes, si así lo con-siderase necesario.

Por último, el comité preparará supropio informe anual (dirigido a los ór-ganos rectores) basado en el año presu-puestario de la institución y preferible-mente con la inclusión del informeanual de la auditoría interna. El Code in-cluye un modelo de informe que exige,entre otras, una opinión sobre los siste-mas de control interno y los mecanis-mos para garantizar la economía, la efi-cacia y la eficiencia.

10. SEGUIMIENTO DE LAS RECOMENDACIONES

De acuerdo con la INTO-SAI(54), en los casos en quelos auditores redacten re-comendaciones, “debe ha-ber una relación clara en-

tre éstas y las conclusiones. Normalmentesólo se redactarán las recomendacionescuando la fiscalización haya encontradosoluciones admisibles y rentables a las de-

bilidades que se hayan podido detectar”.Dichas recomendaciones no consistiránnormalmente en planes de ejecución de-tallados —que corresponden a la ges-tión—, sino que deberán indicar losprincipales elementos de los cambiosnecesarios, teniendo en cuenta el cos-te probable de la ejecución. Por reglageneral, debe quedar claro quién es elresponsable de las deficiencias detec-tadas y quién debe encargarse de recti-ficarlas.

Sin embargo, el beneficio del tra-bajo de auditoría no está en las reco-mendaciones hechas, sino en su apli-cación eficaz. Por eso, uno de losobjetivos básicos de un auditor es quesu trabajo produzca una diferencia.Cuando una recomendación se hace auna organización, su dirección es bá-sicamente responsable para llevarla acabo, aunque los auditores puedenhacer mucho para mejorar la probabi-lidad que una recomendación se im-plante apropiadamente.

10.1. La GAO norteamericana y sus recomendaciones: calidad,compromiso, seguimiento y discriminación

La General Accounting Office(GAO) es el órgano de control exter-no del sector público federal (existenotros para cada estado) que tiene en-tre sus principales competencias laelaboración y aprobación de las Nor-mas de Auditoría Pública, de obliga-do cumplimiento, no sólo para suspropios auditores, sino también paraotras instituciones de auditoría pú-blicas y privadas, internos y externoso de ámbito federal, estatal y lo-cal(55). Este es el caso de la clásica pu-blicación “Cómo conseguir resultadosdespués de las recomendaciones de au-ditoría“, una guía(56) para ayudar alograr los mejores resultados del tra-bajo de auditoría, a través de sus re-comendaciones y que “desempolva-mos” como novena mejor prácticade auditoría.

La GAO entiende que el secreto de laaplicación eficaz de las recomendacionesde auditoría está en la conjunción de los



Para cuidar la redacción delinforme e inclusopara normalizar y garantizar su correctocontenido,algunas Entidadeshan establecido su propio Libro de Estilo

Al menos una vez al año el comitéde auditoría debe reunirse con losauditores sin la presencia de nin-gún representante institucional

(51) HEFCE. Documento 98/28- Audit Code ofPractice. Junio de 1998.

(52) El jefe de auditoría interna y un representante delos auditores externos, deberían asistir a las reunionesdel comité de auditoría, especialmente cuando seexamina el área de su responsabilidad; tambiénpueden solicitar la celebración de una reunión si loconsiderasen necesario. La independencia del comitéqueda de manifiesto en el parágrafo 41 del Code queexige: “al menos una vez al año el comité debe reunirsecon los auditores sin la presencia de ningúnrepresentante institucional “.

(53) Ningún miembro de una empesa deberá serresponsable de una auditoría externa más de sieteaños consecutivos. Tras ese periodo, ese integranteno podrá auditar la institución durante un periodo decinco años. Code. Anexo C, parágrafo 2.

(54) INTOSAI. Directrices de Aplicación Europea (Op.Cit). Parágrafo 7.4.

(55) Sobre el tema puede consultarse el interesanteartículo de PILAR JIMÉNEZ RÍUS, “El órgano de controlexterno de los Estados Unidos y sus relaciones con elParlamento”, en Crónica 1996-1997. Tribunal deCuentas. Asociación de Letrados y Auditores. 1998.Pág. 253-283.

(56) GAO. How to Get Action on AuditRecommendations (OP-9.2.1). 1991.

Sector Público

siguientes medios(57), que desarrollamosen el cuadro 12.

• Alta Calidad de las recomendacio-nes.— Deben ser positivas en el tono ycontenido, dirigidas adecuadamente,ser contundentes, convincentes, sig-nificativas y específicas.

• Compromiso.— Deben promover laacción, cooperar y ayudar, creer ensus propias recomendaciones y en lanecesidad del cambio.

• Seguimiento agresivo e implanta-ción.— Debe existir una base firmepara la supervisión y seguimiento de


CÓMO CONSEGUIR RESULTADOS DESPUÉS DE LAS RECOMENDACIONES DE AUDITORÍA

CUADRO 12

1. Alta Calidad de las recomendaciones Dirigidas adecuadamente.— A aquéllos que tienen la responsabilidad y autoridad para ejecu-tarlas. Si tiene varios roles se debe declarar el papel que aplica.

Contundentes.— Presentarse claramente como tales, no ocultas, o disimulas a lo largodel texto. Deben ser identificables inmediatamente y destacarse en el informe, evitandoel lenguaje vago.

Específicas.— Explicitar tan detalladamente como sea posible qué acción debe tomarse.Sólo deben hacerse recomendaciones para estudios adicionales en casos raros y por muybuenas razones.

Convincentes.— Estar bien apoyadas por hechos y fluir lógicamente de ellos. Esta cone-xión puede hacerse poniendo la recomendación cerca del hallazgo o insertándolos en larecomendación.

Significativa.— Demostrar claramente que una actuación en el sentido recomendadomejorará el funcionamiento, la salvaguarda de los activos, o conducirá a una situacióndeseable, conforme a la normativa vigente.

Positivo en el tono y contenido.— Las declaraciones positivas y constructivas consiguenmás actuación que las negativas.

2. Compromiso Creer en sus recomendaciones.— Los auditores deben convencerse de que sus recomen-daciones son de la más alta calidad y que, si se actúa conforme a ellas, provocará las me-joras deseadas.

Promover la acción.— Debe seleccionarse aquel sistema de comunicación que presumi-blemente sea más eficaz, para presentar mejor los resultados y recomendaciones y pro-mover su aceptación: sesiones informativas o encuentros cara-a-cara.

Cooperar y ayudar.— Los gestores deben creer que los auditores buscan constructiva-mente mejoras y demuestran ganas de cooperar.

3. Supervisión agresiva y seguimiento Una base firme para la supervisión y seguimiento de acciones.— Definir responsabilidadesindividuales del seguimiento. No debe haber ninguna duda sobre quién tiene la respon-sabilidad del seguimiento.

Activo estado de supervisión.—Determinar regularmente el progreso de la ejecución delas recomendaciones, hasta su implantación total.

Calificación de lo apropiado de las acciones implantadas.— Si existen recomendaciones“inactivas”, el seguimiento debe determinar por qué no se está tomando la acción.

Reconocimiento de la responsabilidad básica de los auditados.— Los auditores deben ase-gurar que la agencia tiene un sistema eficaz de resolución, seguimiento e implantaciónde las recomendaciones de auditoría.

4. Atención especial para las Identificar las recomendaciones más importantes.—La importancia de una recomendaciónrecomendaciones más importantes depende de su materia y situación específica: dinero, controles internos en un área de

importancia, de seguridad, etc.

Anticipado y continuado énfasis.— La importancia de un hallazgo y una recomenda-ción deben conocerse por el auditor y comunicarse rápidamente al auditado. Debenidentificarse y resaltarse en los informes en un contexto que deje aún más clara suimportancia. El resumen ejecutivo o el memorándum debe usarse para enfatizar suimportancia.

La recomendaciones, en su contenidodeben ser factibles y rentables,exponerse de forma clara, bienfundamentada y convincente. Debeevaluarse su utilidad y relevanciacontinuada a través de acciones deseguimiento.

Los auditores deben comprometersea identificar y provocar el cambionecesario. El compromiso del auditordebe ser personal y profesional y suorganización debe favorecerlo.

El auditor debe tener un sistema queproporcione la estructura y disciplinanecesaria para promover la acción enlas recomendaciones de auditoría.Debe asegurar que se siguenagresivamente esas recomendacioneshasta se hayan resuelto y llevado acabo con éxito.

Las materias particularmente serias oflagrantes deben recibir una especialatención y conseguir una acciónpositiva considerando cuanta ayudasea necesiaria para su implantación.

(57) Ver más extensamente ANTONIO ARIAS

RODRÍGUEZ, “El seguimiento de las Recomendaciones”en Análisis Local nº 29/2000.

(58) ANAO. New directions for Internal Audit...(Op.Cit).

acciones, que garanticen su conti-nuidad. Debe incluirse un informesobre logros y el reconocimiento dela responsabilidad básica de los audi-tados en la implantación de las reco-mendaciones.

• Atención especial para las recomen-daciones más importantes.— El in-forme de auditoría debe identificar yenfatizar las recomendaciones másimportantes.

11. MEJORA CONTÍNUA

L La actitud de la auditoría in-terna hacia la mejora contí-nua de sus propios procesosmanifiesta su compromisopara asegurar que permane-

ce sensible a cualquier cambio en las cir-cunstancias, dentro y fuera de la organiza-ción. Puede lograrse a través de su propiaactividad de auditoría (por ejemplo conreferencia a la actuación y logros del pasa-do) incluso con benchmarking y revisio-nes entre colegas, o como un participantemás en las actividades de mejora contínuade toda la organización. Como procesoempresarial que es, la auditoría internadebe tener también su propia cultura deprogreso y una orientación hacia las nece-sidades del cliente, realizando periódica-mente una encuesta formal entre los“usuarios” del departamento. La ANAOaustraliana, en su Manual de BuenasPrácticas(58) considera imprescindible estetipo de actuaciones.

11.1. Las encuestas entreusuarios como instrumento de mejora contínua

El concepto de mejora contínuautiliza la auditoría interna no sólo paramedir su performance actual sino tam-bién para evaluarla frente a algún es-tándard que generalmente actúa comoun “objetivo” para ser alcanzado omantenido. El uso de estudios forma-les del cliente también es un mecanis-mo de regeneración eficaz que puedeproporcionar información cuantitativay cualitativa en numerosos aspectos desu trabajo.

Esta evaluación debe suponer másque una simple recogida de datos y lacomparación de las referencias. Establece-rá donde se requiere una mejora de losprocesos, preguntando lo que se hizobien y lo que se hizo pobremente. Además,una aproximación más exigente requiereque un “colega” externo revise algunasauditorías previamente seleccionadas.

Las encuestas pueden dirigirse formalo informalmente. Dentro del primer caso,se puede usar la discusión de grupo, a tra-vés de encuestas o incluso a través de e-mail para recoger los comentarios delcliente. Una encuesta formal debe usarsea la finalización de un plan de auditoríapara evaluar su actuación. Las encuestasdeben ser tan breves como sea posible pa-ra permitir su realización en un tiempoaceptable. Para facilitar la comparabilidaddeben incluir una escala numerada de eva-luación, así como preguntas subjetivas pa-ra asegurar la consistencia entre interpre-tación y evaluación. La probabilidad derecibir una contestación oportuna puedeser reforzada dirigiendo la encuesta a unapersona particular con una nota del másalto ejecutivo.

La encuesta puede estructurarse devarias maneras para obtener una medidade eficacia, incluyendo los indicadores de



ENCUESTAS PARA CLIENTES

El siguiente cuestionario le ayudará a identificar áreas dónde pueden hacerse progre-sos y proporcionar a la Entidad un mejor servicio de auditoría interna. Por favor eva-lúe usted la actuación de la auditoría interna en cada una de las áreas más importan-tes y, en particular, proporcione ejemplos o comentarios detallados cuando lavaloración se sitúe por debajo de 3 puntos.

[firma]

El Chair del Comité de AuditoríaNombre de la auditoría: _________________________________________________________Fecha de comienzo: ____/____/___Fecha de término: ____/____/____Auditores Involucrados: Gerente ________________________________________________________________________Equipo _________________________________________________________________________Nombre del cliente: _____________________________________________________________Unidad Administrativa: __________________________________________________________Detalles para contacto: __________________________________________________________

La GAOestadounidense y el AICPA han dictadonormas de auditoría que proporcionanuna referenciapara asegurar la calidad de los trabajos

Sector Público

performance más relevantes y una asigna-ción equilibrada de puntos, de acuerdocon las metas y objetivos corporativos. Elcuestionario, incluido en el cuadro 13, hasido desarrollado por la ANAO(59) en líneacon los principios expuestos y proporcio-na algunos ejemplos de los tipos de pre-guntas, con una escala Likert (5: total-mente de acuerdo, 1: totalmente endesacuerdo), que pueden ayudar obtenerfeedback de los usuarios. Otra encuesta,utilizada por la Edith Cowan Univer-sity(60), como parte del proceso de asegu-ramiento de la calidad en la revisión de susprocesos de auditoría interna, se incluyeen el cuadro 14.

11.2. Encuesta de auto-evaluaciónde performance

Por último, debemos presentar unaencuesta de auto-evaluación de perfor-mance, donde los usuarios son sustituidospor la Dirección del Departamento de Au-ditoría. Este tipo de evaluaciones, como elde la Universidad de Illinois(61), que consi-deramos en el cuadro 15, tiene principal-mente dos funciones en la organización.Primero, es un proceso que se usa para eldesarrollo profesional del empleado. Loscomentarios que recibe en la evaluación leayudan a conocer su trabajo, en compara-ción con las expectativas de la dirección,


ENCUESTA DE ESTUDIO DE CLIENTES

CUADRO 13

ÁREAS MÁS IMPORTANTES PUNTOS A CONSIDERAR RATING (1/5) COMENTARIO

Apoyo de la dirección He sido consultado este año por la auditoríainterna en relación con los riesgos y procesoscríticos en mi área.Tuve la oportunidad de hacer comentarios alplan estratégico y anual del trabajo deauditoría interna.

1 2 3 4 5

1 2 3 4 5

Es importante que nuestrosclientes entiendan por quéemprendemos las actividadesprogramadas cada año y antequien somos responsables.

Recursos de auditoría interna El personal de auditoría interna conoce bienmi funcionamiento.El personal de auditoría interna trabajó deuna manera profesional.

1 2 3 4 5

1 2 3 4 5Se establecen equipos de auditoríainterna multi-disciplinares con unamplio catálogo de habilidades yconocimientos para aumentar almáximo su eficacia.

Procesos de auditoría interna El personal de auditoría me comunicóimportantes resultados y conclusiones, quese manifiestaron durante la auditoría, y nohubo “ninguna sorpresa” en la discusión oredacción del borrador de documento.El lapso tiempo desde el comienzo a laconclusión del informe final fue apropiado.El último informe de auditoría fue oportuno,comparado con la fecha de término deltrabajo de campo.No hubo ninguna interrupción indebida enmi trabajo durante la auditoría.

1 2 3 4 5

1 2 3 4 5

1 2 3 4 5

1 2 3 4 5

La auditoría interna supervisacontínuamente sus propios procesos yprocedimientos para asegurar que sontan eficientes y eficaces como seaposible y que causan necesariamentela mínima interrupción a sus propiasactividades.

Encontrar las necesidades del Cliente La auditoría emprendida en mi área fue útil.La auditoría se dirigió a los procesos yriesgos más importantes.Tuve la oportunidad de proporcionarsugerencias a la planificación.Las recomendaciones hechas en la auditoríafueron claras, constructivas y pertinentes.El informe de auditoría contribuirá a mifuturo trabajo en el área.

1 2 3 4 5

1 2 3 4 5

1 2 3 4 5

1 2 3 4 5

La auditoría interna intentaprogramar un alcance que recojasus necesidades empresariales yque se dirija dentro de laorganización a las áreas deriesgo más altas.

Las GAGASincluyen tanto la auditoría de performancecomo financiera

proporcionando, de paso, recomendacio-nes de formación o disciplina. Segundo,facilita unos criterios consistentes en im-portantes decisiones administrativas, talescomo la promoción y la retribución.

Tras la emisión del informe o el cierrede un proyecto, el Director debe comple-

tar el Formulario de Evaluación del Pro-yecto y debe revisarlo con su personal deauditoría. Se evalúan 14 factores relacio-nados con la Misión de la Oficina, su Vi-sión, Valores y declaraciones de Calidad.El formulario debe usarse para documen-tar las áreas dónde se han discutido suge-rencias para mejoras.



(59) ANAO. New directions for Internal Audit ... (Op.Cit). Pág. 55.

(60) http://www.ecu.edu.au/mra

(61) http://www.audits.uillinois.edu/AUDMAN/5200.htm

UNIVERSIDAD EDITH COWAN. PERTH. AUSTRALIA OCCIDENTAL

CUADRO 14

SISI NONO N.A.N.A.1. ¿Durante la reunión inicial discutieron con usted las metas y objetivos de la revisión? 2. ¿Durante la reunión inicial, se estableció un marco temporal estimado para la reunión final? 3. ¿Fué informado adecuadamente de todos los pasos del proceso de revisión durante la auditoría? 4. ¿Se le dio dos días, por lo menos, y una copia íntegra del proyecto de informe, antes de la reunión final? 5. ¿Se buscó su participación en todos los asuntos importantes y las posibles soluciones

cuando surgieron durante la revisión? 6. En la reunión final:

¿Se discutieron todos los problemas a su satisfacción? ¿La unidad de auditoría fue flexible finalizando el Plan de Actuación? ¿Cómo valoraría usted la calidad del personal comprometido en esta auditoría?

Bajo...................................... Alto1.......2.......3......4.......5

¿En qué grado identificó la revisión las limitaciones reales y hasta que punto puso en práctica las recomendaciones? Bajo.................................. Alto

1.......2.......3.......4.......5¿Cuánto valor siente usted que añadió a la Universidad esta revisión?

Bajo.................................. Alto1.......2.......3.......4.......5

¿Qué hicimos bien? _______________________________________________________

¿Qué no hicimos bien? _____________________________________________________

EN UNA ESCALA DE 1 (INACEPTABLE) HASTA 5 (EXCEDE LAS EXPECTATIVAS), EN LA QUE EL 3 SE REFIERE A “CUMPLE CON LAS EXPECTATIVAS”, CALIFIQUE LOS SIGUIENTES ENUNCIADOS:

En el estudio preliminar, el auditor identificó los riesgos y anticipó controles para los procesos relacionados con el objetivo de la auditoría. 1 2 3 4 5El objetivo de la auditoría, sus procedimientos, su alcance y presupuesto fueron re-evaluados una y otra vez para asegurar un uso eficaz de los recursos de auditoría. 1 2 3 4 5Los procedimientos fueron diseñados para lograr el objetivo de la auditoría dentro de las horas presupuestadas. 1 2 3 4 5Hubo buena comunicación entre el auditor y los auditados y entre el auditor y los gestores de la auditoría. 1 2 3 4 5Las perspectivas y necesidades de los auditados se tuvieron en cuenta durante la revisión. 1 2 3 4 5Se lograron los objetivos de la auditoría de una manera eficaz y oportuna. 1 2 3 4 5 Los auditados tuvieron la oportunidad de revisar nuestros hallazgos y recomendaciones conforme se identificaban los problemas. 1 2 3 4 5Se cumplieron las Normas para la Práctica Profesional del Instituto de Auditores Internos. 1 2 3 4 5Los papeles de trabajo apoyaron las conclusiones alcanzadas. 1 2 3 4 5Los procedimientos de auditoría que se llevaron a cabo se fundamentaron en evidencias suficientes, competentes, relevantes y útiles. 1 2 3 4 5Se completaron los papeles de trabajo de la manera debida y de acuerdo a las normas departamentales. 1 2 3 4 5Las Observaciones de la auditoría demostraron un buen análisis y buenas conclusiones. 1 2 3 4 5Las comunicaciones escritas eran claras, concisas, objetivas y gramaticalmente correctas. 1 2 3 4 5El auditor mostró un alto nivel de productividad personal y cumplimiento de plazos. 1 2 3 4 5

CUADRO 15

auditoría interna del sector público · pdf filenúmero 111 ~ mayo 2000...

Documents