El propósito de las Normas es:

1. Definir principios básicos que representen el ejercicio de la auditoría interna tal como debería ser.
2. Proporcionar un marco para ejercer y promover un amplio rango de actividades de auditoría interna de valor añadido.
3. Establecer las bases para evaluar el desempeño de la auditoría interna.
4. Fomentar la mejora de los procesos y operaciones de la organización.

Las Normas son requisitos enfocados a principios, de cumplimiento obligatorio, que consisten en:

• Declaraciones de requisitos básicos para el ejercicio de la auditoría interna y para evaluar la eficacia de su desempeño, de aplicación internacional a nivel de las personas y a nivel de las organizaciones.
• Interpretaciones que aclaran términos o conceptos dentro de las Declaraciones.

1000 – Propósito, Autoridad y Responsabilidad

El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben estar formalmente definidos en un estatuto, de conformidad con la Definición de Auditoría Interna, el Código de Ética y las Normas. El director de auditoría interna debe revisar periódicamente el estatuto de auditoría interna y presentarlo a la alta dirección y al Consejo para su aprobación.

Interpretación:

El estatuto de auditoría interna es un documento formal que define el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de auditoría interna establece la posición de la actividad de auditoría interna dentro de la organización, incluyendo la naturaleza de la relación funcional del director de auditoría interna con el Consejo; autoriza su acceso a los registros, al personal y a los bienes relevantes para el desempeño de los trabajos; y define el alcance de las actividades de auditoría interna. La aprobación final del estatuto de auditoría interna corresponde al Consejo.

1010 – Reconocimiento de la Definición de Auditoría Interna, el Código de Ética y las Normas en el Estatuto de Auditoría Interna

La naturaleza obligatoria de la Definición de Auditoría Interna, el Código de Ética y las Normas debe estar reconocida en el estatuto de auditoría interna. El director de auditoría interna debería tratar la Definición de Auditoría Interna, el Código de Ética y las Normas con la alta dirección y el Consejo.

1100 – Independencia y Objetividad

La actividad de auditoría interna debe ser independiente, y los auditores internos deben ser objetivos en el cumplimiento de su trabajo.

Interpretación:

La independencia es la libertad de condicionamientos que amenazan la capacidad de la actividad de auditoría interna de llevar a cabo las responsabilidades de la actividad de auditoría interna de forma neutral. Con el fin de lograr el grado de independencia necesario para cumplir eficazmente las responsabilidades de la actividad de auditoría interna, el director de auditoría interna debe tener acceso directo e irrestricto a la alta dirección y al Consejo. Esto puede lograrse mediante una relación de doble dependencia. Las amenazas a la independencia deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.

La objetividad es una actitud mental neutral que permite a los auditores internos desempeñar su trabajo con honesta confianza en el producto de su labor y sin comprometer su calidad. La objetividad requiere que los auditores internos no subordinen su juicio sobre asuntos de auditoría a otras personas. Las amenazas a la objetividad deben contemplarse en todos los niveles, del auditor individual, de cada trabajo, funcional y organizacional.

1110 – Independencia dentro de la Organización

El director de auditoría interna debe responder ante un nivel jerárquico tal dentro de la organización que permita a la actividad de auditoría interna cumplir con sus responsabilidades. El director de auditoría interna debe ratificar ante el Consejo, al menos anualmente, la independencia que tiene la actividad de auditoría interna dentro de la organización.

Interpretación:

La Independencia dentro de la organización se alcanza de forma efectiva cuando el Director de Auditoría Interna depende funcionalmente del Consejo. Algunos ejemplos de dependencia funcional del Consejo implican que este:

• Apruebe el estatuto de auditoría interna;
• Apruebe el plan de auditoría basado en riesgos;
• Apruebe el presupuesto de auditoría interna y el plan de recursos;
• Reciba comunicaciones periódicas del director de auditoría interna sobre el desarrollo del plan de auditoría interna y otros asuntos;
• Apruebe las decisiones referentes al nombramiento y cese del director de auditoría interna;
• Apruebe la remuneración del director de auditoría interna; y
• Formule las preguntas adecuadas a la dirección y al director de auditoría interna para determinar si existen alcances inadecuados o limitaciones de recursos.

1111 – Interacción Directa con el Consejo

El director de auditoría interna debe comunicarse e interactuar directamente con el Consejo de Administración.

1120 – Objetividad Individual

Los auditores internos deben tener una actitud imparcial y neutral, y evitar cualquier conflicto de intereses.

Interpretación:

El conflicto de intereses es una situación en la cual un auditor interno, que ocupa un puesto de confianza, tiene un interés personal o profesional en competencia con otros intereses. Tales intereses en competencia pueden hacerle difícil el cumplimiento imparcial de sus tareas. Puede existir un conflicto de intereses aun cuando no se produzcan actos inadecuados o no éticos. Un conflicto de intereses puede crear una apariencia de deshonestidad que puede socavar la confianza en el auditor interno, la actividad de auditoría interna y la profesión. Un conflicto de intereses podría menoscabar la capacidad de un individuo de desempeñar sus tareas y responsabilidades con objetividad.

1130 – Impedimentos a la Independencia u Objetividad

Si la independencia u objetividad se viese comprometida de hecho o en apariencia, los detalles del impedimento deben darse a conocer a las partes correspondientes. La naturaleza de esta comunicación dependerá del impedimento.

Interpretación:

El impedimento o menoscabo a la independencia de la organización y a la objetividad individual puede incluir, entre otros, a los conflictos de intereses, limitaciones al alcance, restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos tales como el financiero.

La determinación de las partes apropiadas a quienes deben exponerse los detalles de un impedimento a la independencia u objetividad depende de las expectativas sobre las responsabilidades de la actividad de auditoría interna y del director de auditoría interna ante la alta dirección y el Consejo según se describe en el estatuto de auditoría interna, así como de la naturaleza del impedimento.

1200 – Aptitud y Cuidado Profesional

Los trabajos deben cumplirse con aptitud y cuidado profesional adecuados.

1210 – Aptitud

Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades individuales. La actividad de auditoría interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades.

Interpretación:

Los conocimientos, las aptitudes y otras competencias son un término colectivo que se refiere a la aptitud profesional requerida al auditor interno para llevar a cabo eficazmente sus responsabilidades profesionales. Se alienta a los auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como la designación de auditor interno certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas.

1220 – Cuidado Profesional

Los auditores internos deben cumplir su trabajo con el cuidado y la aptitud que se esperan de un auditor interno razonablemente prudente y competente. El cuidado profesional adecuado no implica infalibilidad.

1230 – Desarrollo Profesional Continuo

Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras competencias mediante la capacitación profesional continua.

1300 – Programa de Aseguramiento y Mejora de la Calidad

El director de auditoría interna debe desarrollar y mantener un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad de auditoría interna.

Interpretación:

Un programa de aseguramiento y mejora de la calidad está concebido para permitir una evaluación del cumplimiento de la Definición de Auditoría Interna y las Normas por parte de la actividad de auditoría interna, y una evaluación de si los auditores internos aplican el Código de Ética. Este programa también evalúa la eficiencia y eficacia de la actividad de auditoría interna e identifica oportunidades de mejora.

1310 – Requisitos del Programa de Aseguramiento y Mejora de la Calidad

El programa de aseguramiento y mejora de la calidad debe incluir tanto evaluaciones internas como externas.

1311 – Evaluaciones Internas

Las evaluaciones internas deben incluir:

• El seguimiento continuo del desempeño de la actividad de auditoría interna; y
• Revisiones periódicas mediante autoevaluación o evaluaciones por parte de otras personas dentro de la organización con conocimientos suficientes de las prácticas de auditoría interna.

Interpretación:

El seguimiento continuo forma parte integral de la supervisión, revisión y medición del día a día de la actividad de auditoría interna. Está incorporada en las prácticas y políticas de rutina usadas para administrar la actividad de auditoría interna, y utiliza procesos, herramientas e información considerados necesarios para evaluar el cumplimiento de la Definición de Auditoría Interna y las Normas, y la aplicación del Código de Ética.

Las evaluaciones periódicas son evaluaciones de propósito especial que se realizan para evaluar el cumplimiento de la Definición de Auditoría Interna, el Código de Ética y las Normas.

Los conocimientos suficientes de las prácticas de auditoría interna requieren un entendimiento de todos los elementos del Marco Internacional para la Práctica Profesional.

1312 – Evaluaciones Externas

Deben realizarse evaluaciones externas al menos una vez cada cinco años por un evaluador o equipo de evaluación cualificado e independiente, proveniente de fuera de la organización. El director de auditoría interna debe tratar con el Consejo:

• La forma y frecuencia de las evaluaciones externas más frecuentes; y
• Las cualificaciones e independencia del evaluador o equipo de evaluación externo, incluyendo cualquier conflicto de intereses potencial.

Interpretación:

Las evaluaciones externas pueden realizarse como una evaluación externa completa o una autoevaluación con validación externa independiente.

Un evaluador o equipo de evaluación cualificado demuestra su competencia en dos áreas: la práctica profesional de la auditoría interna y el proceso de evaluación externa. La competencia puede demostrarse a través de un equilibrio de experiencia y conocimiento teórico. La experiencia obtenida en organizaciones de tamaño similar, complejidad, sector o industria y de similar contenido técnico es más valiosa que la experiencia en otras áreas menos relevantes. En el caso de un equipo de evaluación, no es necesario que todos los miembros cuenten con todas las competencias; es el equipo en su conjunto el que está cualificado. El director de auditoría interna utilizará su juicio profesional para valorar si un evaluador o equipo de evaluación demuestra la competencia suficiente para considerarse cualificado.

Un evaluador o equipo de evaluación independiente es aquel que no tiene conflictos de intereses reales o aparentes, y no forma parte ni está bajo el control de la organización a la cual pertenece la actividad de auditoría interna.

1320 – Informe sobre el Programa de Aseguramiento y Mejora de la Calidad

El director de auditoría interna debe comunicar los resultados del programa de aseguramiento y mejora de la calidad a la alta dirección y al Consejo.

Interpretación:

La forma, el contenido y la frecuencia de la comunicación de resultados del programa de aseguramiento y mejora de la calidad se establecen mediante comentarios con la alta dirección y el Consejo, y tienen en cuenta las responsabilidades de la actividad de auditoría interna y del director de auditoría interna según lo indica el estatuto de auditoría interna. Para demostrar el cumplimiento de la Definición de Auditoría Interna, el Código de Ética y las Normas. Los resultados de las evaluaciones periódicas internas y externas se comunican al finalizar tales evaluaciones, y los resultados de la vigilancia continua se comunican al menos anualmente.

Los resultados incluyen la evaluación del evaluador o equipo de evaluación con respecto al grado de cumplimiento.

1321 – Utilización de “Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna”

El director de auditoría interna puede manifestar que la actividad de auditoría interna cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna solo si los resultados del programa de aseguramiento y mejora de la calidad apoyan esa declaración.

Interpretación:

La actividad de auditoría interna cumple con las Normas cuando alcanza los resultados descritos en la Definición de Auditoría Interna, el Código de Ética y las Normas.

Los resultados del programa de aseguramiento y mejora de la calidad incluyen los resultados tanto de las evaluaciones internas como de las externas.

Toda actividad de auditoría interna tendrá resultados de evaluaciones internas. Aquellas actividades cuya existencia exceda los cinco años tendrán también resultados de evaluaciones externas.

1322 – Declaración de Incumplimiento

Cuando el incumplimiento de la Definición de Auditoría Interna, el Código de Ética o las Normas afecta el alcance u operación general de la actividad de auditoría interna, el director de auditoría interna debe declarar el incumplimiento y su impacto ante la alta dirección y el Consejo.

Normas sobre Desempeño

2000 – Administración de la Actividad de Auditoría Interna

El director de auditoría interna debe gestionar eficazmente la actividad de auditoría interna para asegurar que añada valor a la organización.

Interpretación:

La actividad de auditoría interna está gestionada de forma eficaz cuando:

• Los resultados del trabajo de la actividad de auditoría interna cumplen con el propósito y la responsabilidad incluidos en el estatuto de auditoría interna;
• La actividad de auditoría interna cumple la Definición de Auditoría Interna y las Normas;
• Los individuos que forman parte de la actividad de auditoría interna demuestran cumplir con el Código de Ética y las Normas.

La actividad de auditoría interna añade valor a la organización (y a sus partes interesadas) cuando proporciona aseguramiento objetivo y relevante, y contribuye a la eficacia y eficiencia de los procesos de gobierno, gestión de riesgos y control.

2010 – Planificación

El director de auditoría interna debe establecer unos planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización.

Interpretación:

El director de auditoría interna es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque, el director de auditoría interna utilizará su propio juicio sobre los riesgos después de consultar con la alta dirección y el Consejo. El director de auditoría interna debe revisar y ajustar el plan, cuando sea necesario, como respuesta a los cambios en el negocio, los riesgos, las operaciones, los programas, los sistemas y los controles.

2020 – Comunicación y Aprobación

El director de auditoría interna debe comunicar los planes y requerimientos de recursos de la actividad de auditoría interna, incluyendo los cambios provisionales significativos, a la alta dirección y al Consejo para la adecuada revisión y aprobación. El director de auditoría interna también debe comunicar el impacto de cualquier limitación de recursos.

2030 – Administración de Recursos

El director de auditoría interna debe asegurar que los recursos de auditoría interna sean apropiados, suficientes y eficazmente asignados para cumplir con el plan aprobado.

Interpretación:

Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar a cabo el plan. Suficientes se refiere a la cantidad de recursos necesarios para cumplir con el plan. Los recursos están eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan aprobado.

2040 – Políticas y Procedimientos

El director de auditoría interna debe establecer políticas y procedimientos para guiar la actividad de auditoría interna.

Interpretación:

La forma y el contenido de las políticas y procedimientos deben ser apropiados al tamaño y estructura de la actividad de auditoría interna y de la complejidad de su trabajo.

2050 – Coordinación

El director de auditoría interna debería compartir información y coordinar actividades con otros proveedores internos y externos de servicios de aseguramiento y consultoría para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos.

2060 – Informe a la Alta Dirección y al Consejo

El director de auditoría interna debe informar periódicamente a la alta dirección y al Consejo sobre la actividad de auditoría interna en lo referido al propósito, autoridad, responsabilidad y desempeño de su plan. El informe también debe incluir exposiciones al riesgo y cuestiones de control significativas, cuestiones de gobierno y otros asuntos necesarios o requeridos por la alta dirección y el Consejo.

Interpretación:

La frecuencia y el contenido del informe están determinados por comentarios con la alta dirección y el Consejo, y dependen de la importancia de la información a ser comunicada y la urgencia de las acciones a seguir por parte de la alta dirección y el Consejo.

2070 – Proveedor de Servicios Externos y Responsabilidad de la Organización sobre Auditoría Interna

Cuando un proveedor de servicios externos presta servicios de auditoría interna, dicho proveedor debe poner en conocimiento de la organización que esta última retiene la responsabilidad de mantener una función de auditoría interna efectiva.

Interpretación:

Esta responsabilidad se demuestra a través del programa de aseguramiento y mejora de la calidad que evalúa el cumplimiento con la Definición de Auditoría Interna, el Código de Ética y las Normas.

2100 – Naturaleza del Trabajo

La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gobierno, gestión de riesgos y control, utilizando un enfoque sistemático y disciplinado.

2110 – Gobierno

La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos:

• Promover la ética y los valores apropiados dentro de la organización;
• Asegurar la gestión y responsabilidad eficaces en el desempeño de la organización;
• Comunicar la información de riesgo y control a las áreas adecuadas de la organización; y
• Coordinar las actividades y la información de comunicación entre el Consejo de Administración, los auditores internos y externos, y la dirección.

2120 – Gestión de Riesgos

La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos.

Interpretación:

Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la evaluación que efectúa el auditor interno de que:

• Los objetivos de la organización apoyan la misión de la organización y están alineados con la misma;
• Los riesgos significativos están identificados y evaluados;
• Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con la aceptación de riesgos por parte de la organización; y
• Se capta información sobre riesgos relevantes, permitiendo al personal, la dirección y el Consejo cumplir con sus responsabilidades, y se comunica dicha información oportunamente a través de la organización.

La actividad de auditoría interna reúne la información necesaria para soportar esta evaluación mediante múltiples trabajos de auditoría. El resultado de estos trabajos, observado de forma conjunta, proporciona un entendimiento de los procesos de gestión de riesgos de la organización y su eficacia.

Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas, evaluaciones por separado, o ambas.

2130 – Control

La actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora continua.

2200 – Planificación del Trabajo

Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance, objetivos, tiempo y asignación de recursos.

2201 – Consideraciones sobre Planificación

Al planificar el trabajo, los auditores internos deben considerar:

• Los objetivos de la actividad que está siendo revisada y los medios con los cuales la actividad controla su desempeño;
• Los riesgos significativos de la actividad, sus objetivos, recursos y operaciones, y los medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable;
• La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control de la actividad comparados con un enfoque o modelo de control relevante; y
• Las oportunidades de introducir mejoras significativas en los procesos de gobierno, gestión de riesgos y control de la actividad.

2210 – Objetivos del Trabajo

Deben establecerse objetivos para cada trabajo.

2220 – Alcance del Trabajo

El alcance establecido debe ser suficiente para alcanzar los objetivos del trabajo.

2230 – Asignación de Recursos para el Trabajo

Los auditores internos deben determinar los recursos adecuados y suficientes para lograr los objetivos del trabajo, basándose en una evaluación de la naturaleza y complejidad de cada trabajo, las restricciones de tiempo y los recursos disponibles.

2240 – Programa de Trabajo

Los auditores internos deben preparar y documentar programas que cumplan con los objetivos del trabajo.

2300 – Desempeño del Trabajo

Los auditores internos deben identificar, analizar, evaluar y documentar suficiente información de manera tal que les permita cumplir con los objetivos del trabajo.

2310 – Identificación de la Información

Los auditores internos deben identificar información suficiente, fiable, relevante y útil de manera tal que les permita alcanzar los objetivos del trabajo.

Interpretación:

La información suficiente está basada en hechos, es adecuada y convincente, de modo que una persona prudente e informada sacaría las mismas conclusiones que el auditor. La información fiable es la mejor información que se puede obtener mediante el uso de técnicas de trabajo apropiadas. La información relevante apoya las observaciones y recomendaciones del trabajo y es compatible con sus objetivos. La información útil ayuda a la organización a cumplir con sus metas.

2320 – Análisis y Evaluación

Los auditores internos deben basar sus conclusiones y los resultados del trabajo en análisis y evaluaciones adecuados.

2330 – Documentación de la Información

Los auditores internos deben documentar información relevante que les permita soportar las conclusiones y los resultados del trabajo.

2340 – Supervisión del Trabajo

Los trabajos deben ser adecuadamente supervisados para asegurar el logro de sus objetivos, la calidad del trabajo y el desarrollo del personal.

Interpretación:

El alcance de la supervisión requerida dependerá de la pericia y experiencia de los auditores internos y de la complejidad del trabajo. El director de auditoría interna tiene la responsabilidad general de la supervisión del trabajo, ya sea que haya sido desempeñado por la actividad de auditoría interna o para ella, pero puede designar a miembros adecuadamente experimentados de la actividad de auditoría interna para llevar a cabo esta tarea. Se debe documentar y conservar evidencia adecuada de la supervisión.

2400 – Comunicación de Resultados

Los auditores internos deben comunicar los resultados de los trabajos.

2410 – Criterios para la Comunicación

Las comunicaciones deben incluir los objetivos y alcance del trabajo así como las conclusiones correspondientes, las recomendaciones, y los planes de acción.

Interpretación:

Las opiniones en los trabajos de auditoría pueden ser clasificaciones (ratings), conclusiones u otras descripciones de los resultados. Un trabajo de auditoría puede estar relacionado con controles sobre un proceso específico, riesgo o unidad de negocio. La formulación de opiniones al respecto requiere de la consideración de los resultados del trabajo y su importancia.

2420 – Calidad de la Comunicación

Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas.

Interpretación:

Las comunicaciones precisas están libres de errores y distorsiones y son fieles a los hechos que describen. Las comunicaciones objetivas son justas, imparciales y sin desvíos y son el resultado de una evaluación justa y equilibrada de todos los hechos y circunstancias relevantes. Las comunicaciones claras son fácilmente comprensibles y lógicas, evitando el lenguaje técnico innecesario y proporcionando toda la información significativa y relevante. Las comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles superfluos, redundancia y uso excesivo de palabras. Las comunicaciones constructivas son útiles para el cliente del trabajo y la organización, y conducen a mejoras que son necesarias. A las comunicaciones completas no les falta nada que sea esencial para los receptores principales e incluyen toda la información y observaciones significativas y relevantes para apoyar a las recomendaciones y conclusiones. Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes, dependiendo de la significatividad del tema, permitiendo a la dirección tomar la acción correctiva apropiada.

2421 – Errores y Omisiones

Si una comunicación final contiene un error u omisión significativos, el director de auditoría interna debe comunicar la información corregida a todas las partes que recibieron la comunicación original.

2430 – Uso de “Realizado de Conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna”

Los auditores internos pueden informar que sus trabajos son «realizados de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna» solo si los resultados del programa de aseguramiento y mejora de la calidad respaldan dicha afirmación.

2431 – Declaración de Incumplimiento de las Normas

Cuando el incumplimiento de la Definición de Auditoría Interna, el Código de Ética o de las Normas afecta a un trabajo específico, la comunicación de los resultados de ese trabajo debe exponer:

• El principio o regla de conducta del Código de Ética o las Normas con las cuales no se cumplió totalmente;
• Las razones del incumplimiento; y
• El impacto del incumplimiento sobre ese trabajo y los resultados comunicados del mismo.

2440 – Difusión de Resultados

El director de auditoría interna debe difundir los resultados a las partes apropiadas.

Interpretación:

El director de auditoría interna o la persona por él designada debe revisar y aprobar la comunicación final del trabajo antes de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación. El director de auditoría interna retiene la responsabilidad última, aunque delegue estas tareas.

2450 – Opiniones Globales

Cuando se emite una opinión global, debe considerar las expectativas de la alta dirección, el Consejo, y otras partes interesadas y debe ser soportada por información suficiente, fiable, relevante y útil.

Interpretación:

La comunicación identificará:

• El alcance, incluyendo el periodo de tiempo al que se refiere la opinión;
• Las limitaciones al alcance;
• La consideración de todos los proyectos relacionados, incluyendo cuando se confíe en otros proveedores de aseguramiento;
• El riesgo, marco de control u otros criterios utilizados como base para la opinión global; y
• La opinión global, juicio o conclusión alcanzada.

Cuando existe una opinión global que no es favorable, deben exponerse las causas de esta opinión.

2500 – Seguimiento del Progreso

El director de auditoría interna debe establecer y mantener un sistema para vigilar la disposición de los resultados comunicados a la dirección.

2600 – Comunicación de la Aceptación de Riesgos por la Dirección

Cuando el director de auditoría interna concluya que la alta dirección ha aceptado un nivel de riesgo residual que pueda ser inaceptable para la organización, debe tratar este asunto con la alta dirección. Si el director de auditoría interna determina que el asunto no se resuelve, debe comunicar esta situación al Consejo para su resolución.

Interpretación:

La identificación del riesgo aceptado por la dirección puede observarse a través de un trabajo de aseguramiento o consultoría, a través del seguimiento del progreso sobre las acciones tomadas por la dirección como resultado de anteriores trabajos, o a través de otros medios. El director de auditoría interna no tiene la responsabilidad de resolver el riesgo.