UN MARCO JURÍDICO,

REGLAMENTARIO, Y POLÍTICO
PARA LA PROFESIÓN DE
AUDITORÍA INTERNA
UN DOCUMENTO DE POSICIÓN DE POLÍTICA PÚBLICA GLOBAL DEL IIA
Índice
GENERALIDADES
Resumen Ejecutivo ..........................................................................................................................................................3
Principios rectores de las políticas ............................................................................................................................5

RECOMENDACIONES SOBRE POLÍTICAS PÚBLICAS ESENCIALES

Definir los conceptos básicos de auditoría interna en la ley o la reglamentación..................................... 7
Procurar la adopción del Marco Internacional para la Práctica Profesional (el MIPP )
del IIA, incluyendo las Normas Globales de Auditoría Interna (las Normas)............................................9
Proteger el modelo de autorregulación de la profesión.....................................................................................11
Requerir funciones de auditoría interna en los sectores de la economía en los
que tal requisito sea de interés público.............................................................................................................14
Hacer que las leyes y los reglamentos para contadores y auditores externos
sean congruentes con los intereses de la profesión de auditoría interna ...........................................20

RECOMENDACIONES SOBRE POLÍTICAS DE GOBIERNO

CORPORATIVO Y POLÍTICAS PÚBLICAS OPCIONALES
Reforzar la protección de auditores internos........................................................................................................ 21
Evaluar y mejorar las leyes y los reglamentos sobre denuncias de irregularidades............................... 22
Promover políticas que apoyen el desarrollo de talento profesional
en la profesión de auditoría interna................................................................................................................... 23
Revisar y actualizar los marcos de gobierno corporativo y del sector público........................................ 24

ADOPCIÓN DEL MARCO JURÍDICO Y REGLAMENTARIO RECOMENDADO ................... 25

APÉNDICE
Políticas de auditoría interna y organizaciones supranacionales .................................................................27
Comentarios de las partes interesadas para un documento de hoja perenne........................................ 28

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 2

GENERALIDADES
Resumen Ejecutivo
El propósito de este documento es servir de referencia para los institutos nacionales
afiliados al Institute of Internal Auditors (El IIA) mientras promueven un marco jurídico
y normativo para la profesión de auditoría interna en sus respectivos países.

El IIA es consciente de que, en un mundo diverso, este documento no se publica en

un entorno homogéneo. Cada país es único y suele haber varios caminos formados
por la cultura, la historia, la política y el sistema de gobierno de un país, que pueden
conducir en última instancia al mismo resultado en cuanto a las políticas. Por
esta razón, este documento busca ser un mapa de ruta que no ofrece enfoques
prescriptivos.

Algunos países ya cuentan desde hace tiempo con políticas en materia de auditoría
interna, las cuales son sólidas o las primeras en su clase. Otros, tienen políticas, leyes,
o reglamentos incompletos o problemáticos que necesitan actualizarse. Y otros
países pueden estar empezando a pensar en el papel y el alcance que la auditoría
interna debe tener en sus sociedades.

Independientemente del nivel de madurez de las políticas, los reglamentos y las leyes
de auditoría interna de un país, El IIA espera que los institutos nacionales vean en
este documento un marco valioso para las mejores prácticas recomendadas y que
trabajen según sea factible y adecuado para conformar sus leyes, reglamentos, y
políticas a la visión y los principios descritos en este documento.

Para más claridad y para ayudar a establecer prioridades, las mejores prácticas
recomendadas en el documento se dividen en dos categorías: 1) políticas públicas
esenciales: políticas que se recomienda que todos los institutos nacionales se
esfuercen por adoptar, y 2) iniciativas opcionales relacionadas con políticas de
gobierno corporativo y otras políticas públicas que los institutos nacionales pueden
optar por aplicar o no en función de las consideraciones específicas de cada país.

Las cinco políticas públicas esenciales son:

1. definir adecuadamente en la ley/los reglamentos los conceptos básicos de
“auditoría interna” y “función de auditoría interna”;
2. la adopción por parte de los gobiernos y otras partes interesadas del Marco
Internacional para la Práctica Profesional (el MIPP), incluyendo las Normas
Globales de Auditoría Interna (las Normas);
3. p
 roteger el modelo de autorregulación de la profesión;
4. requerir funciones de auditoría interna en los sectores de la economía en los
que tal requisito sea de interés público; y
5. garantizar que las leyes y los reglamentos que regulan a los contadores y
auditores externos sean complementarios y/o sean congruentes con los
intereses de la profesión de auditoría interna.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 3

Las cuatro iniciativas políticas opcionales públicas son:
1. Mejorar la protección de los auditores internos que son amenazados o
acosados en el ejercicio de sus funciones;
2. E
 valuar las leyes y los reglamentos sobre denuncias de irregularidades;
3. P
 romover por políticas que promuevan el desarrollo de talento profesional para
la profesión de auditoría interna; y
4. Revisar y actualizar los marcos de gobierno corporativo y de sector público y
otras políticas para garantizar que describan y posicionen adecuadamente la
auditoría interna dentro de los ecosistemas.

Con la publicación de este documento, se recomienda a los institutos nacionales que

evalúen todos los reglamentos, leyes, y políticas públicas pertinentes en sus países
y que los compararen con las recomendaciones de este documento. Entonces los
institutos nacionales podrán: determinar la viabilidad política de la introducción de
leyes/reglamentos nuevos o actualizados; preparar una estrategia de participación
en la promoción de estos; establecer los recursos necesarios para la campaña de
promoción; formar coaliciones e identificar a la oposición; e identificar a los aliados
legislativos y regulatorios. Como parte del desarrollo de la estrategia de los institutos
nacionales, estos pueden optar por emprender una revisión completa de sus leyes
y reglamentos o seguir un proceso gradual para seguir las recomendaciones del
documento a medida que se presenten las oportunidades políticas.

El IIA se compromete a servir como socio colaborador y recurso estratégico para

apoyar las estrategias de promoción de los institutos nacionales. Como parte
de ese apoyo, El IIA está trabajando actualmente en un modelo de legislación y
reglamentación que complementará las recomendaciones de este documento. Una
vez finalizado el modelo de legislación y reglamentación, los institutos nacionales
podrán utilizarlo en parte o en su totalidad para actualizar los marcos jurídicos y
normativos de sus países. Se espera que el modelo de legislación y reglamentación
se redacte, se someta a los comentarios de las partes interesadas y se finalice a
mediados de 2025 a más tardar.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 4

Principios rectores de las políticas
Al desarrollar un marco jurídico y normativo para una profesión, es esencial contar
con una filosofía subyacente que informe a dicho marco. El IIA articula su filosofía
para este marco a través de cinco principios rectores de las políticas.

En primer lugar, la auditoría interna fortalece la capacidad de la organización

para crear, proteger, y sostener su valor al proporcionar al Consejo y a la Alta
Dirección aseguramiento, asesoramiento, prospectivas, y previsiones de manera
independiente, objetiva y basada en riesgos. Este es el propósito de la auditoría
interna tal y como se articula en las Normas del IIA. Como tales, las leyes, los
reglamentos, y otras políticas públicas relacionadas con la auditoría interna se
deben diseñar teniendo este propósito en mente. Cualquier política de gobierno
corporativo o de política pública que impida el alcance apropiado de las actividades
de los auditores internos, que socave su independencia, o que ponga en riesgo su
objetividad debe ser rectificada.

En segundo lugar, la auditoría interna mejora la capacidad de una organización

para servir al interés público. Si bien la función principal de la auditoría interna es
fortalecer el gobierno de una organización, la gestión de riesgos, y los procesos de
control, sus efectos van más allá de la organización.1 Debido a las maneras en que
la auditoría interna puede infundir mayor confianza en los controles y procesos
organizacionales, los formuladores de políticas públicas pueden optar por requerir
funciones de auditoría interna en ciertos sectores de la economía como una
manera de mejorar ciertos tipos de protección para los inversores, contribuyentes,
consumidores, y/o el público. Estos mandatos de los gobiernos no deben tomarse
a la ligera, pues pueden ser un poderoso recurso que esté a disposición de los
formuladores de políticas públicas para proteger al público y lograr ciertos objetivos
de las políticas.

En tercer lugar, las normas y acreditaciones de alta calidad reconocidas a

nivel mundial son esenciales para el éxito de la profesión de auditoría interna,
garantizando la calidad, la coherencia, y la eficacia para todas las partes
interesadas. Para garantizar la credibilidad de una profesión, esta debe adherirse
a normas ampliamente aceptadas, coherentes, y sólidamente comprobadas en lo
que respecta a la práctica y al comportamiento ético; asimismo, debe desarrollar
mecanismos adecuados para garantizar que los profesionales estén calificados
y sean competentes. El IIA se compromete a ayudar a los institutos nacionales a
proteger y promover la adopción del MIPP, incluyendo las Normas y orientaciones del
IIA, y sus acreditaciones dentro de las políticas de gobierno corporativo y políticas
públicas.

1. Este principio también se encuentra en las Normas del IIA. Para un contexto más completo, se encuentra aquí la definición completa:
>> “El interés público abarca los intereses sociales y económicos y el bienestar general de una sociedad y de las organizaciones que
operan en ella (incluyendo los de los empresarios, los empleados, los inversores, la comunidad empresarial y financiera, los clientes, los
reguladores y el gobierno). Las cuestiones de interés público son específicas de cada contexto y deben sopesar la ética, la equidad, las
normas y los valores culturales, y los posibles impactos dispares que afecten a determinados individuos y subgrupos de la sociedad”.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 5

En cuarto lugar, en la medida de lo posible, El IIA se compromete a promover
una visión de “Un IIA unido” (“One IIA” en inglés) para las políticas de gobierno
corporativo y políticas públicas. Aunque puede haber algunas variaciones en las
leyes y los reglamentos de las distintas jurisdicciones, los componentes esenciales
de un marco jurídico y reglamentario eficaz deben ser los mismos en todo el mundo.
Esto ayuda a garantizar que la calidad, las normas, los procesos, las expectativas, y los
resultados sean coherentes para los auditores internos y las partes interesadas, sin
importar que un auditor interno esté trabajando en El Cairo, Quito, Toronto, o Tokio.

En quinto lugar, la profesión de auditoría interna funciona mejor bajo un modelo de

autorregulación. En todo el mundo, los institutos nacionales y El IIA han demostrado
su capacidad para supervisar con éxito a sus miembros dentro de la profesión de
auditoría interna mediante el desarrollo y la promoción de sus propias normas,
acreditaciones, ética y formación continua, así como mediante la supervisión y
la disciplina de sus miembros. Para algunas profesiones (por ejemplo, médicos,
arquitectos, contadores), los gobiernos han considerado de interés público que el
gobierno regule directamente a los profesionales. Sin embargo, la justificación de
la regulación gubernamental suele deberse a un conjunto convincente de riesgos
específicos y claros para el público o a una importante falla que haya ocurrido
previamente en el mercado que se cree que la regulación puede mitigar. Aunque los
gobiernos pueden tener diversos grados de implicación con sus institutos nacionales
y las actividades de la profesión, la profesión de auditoría interna ha demostrado que
funciona mejor bajo un modelo de autorregulación.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 6

RECOMENDACIONES SOBRE
POLÍTICAS PÚBLICAS ESENCIALES
Para El IIA, las políticas descritas en esta sección son disposiciones
fundamentales que, en opinión de la organización, deberían
incluirse en el marco jurídico y normativo de todos los países.

Definir los conceptos básicos de auditoría

interna en la ley o la reglamentación
Las definiciones claras de los conceptos clave son fundamentales para el éxito del
marco jurídico y normativo de cualquier profesión. Aunque inevitablemente habrá
necesidad de definir varios conceptos y términos profesionales dentro de las leyes
o normas, El IIA recomienda a los institutos nacionales que se aseguren que sus
gobiernos adopten, en particular, la definición de “auditoría interna” y la de “función
de auditoría interna”. La falta de definiciones claras y coherentes para esos términos
fundamentales puede perjudicar la capacidad de la profesión para operar con éxito.

AUDITORÍA INTERNA
Al establecer políticas de gobierno corporativo y políticas públicas para la profesión
de auditoría interna, es esencial que todas las partes interesadas tengan un
entendimiento común de “auditoría interna”. ¿Qué es la auditoría interna? ¿Cuál es el
alcance de sus actividades? ¿En qué se diferencia esta profesión de otras?

Las Normas del IIA definen la auditoría interna como:

“ Una actividad independiente y objetiva de aseguramiento y asesoramiento
diseñada para añadir valor a las operaciones de una organización. Ayuda a
la organización a cumplir sus objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de los procesos de gobierno, [la]
gestión de riesgos, y [los procesos de] control.”

Si bien esta es una definición amplia y precisa de la profesión que es adecuada

para las Normas, quizás no sea necesariamente lo suficientemente específica
para efectos jurídicos. Por lo tanto, recomendamos a los institutos nacionales
que trabajen estrechamente con quienes formulan las políticas para crear una
definición que utilice el próximo Modelo de Legislación según convenga a los
requisitos políticos y normativos particulares de su país. Aunque puede haber
algunas diferencias sutiles en la definición entre un país y otro, lo más importante,
sin embargo, es que la definición legal en las políticas de un país sea sólida, precisa, y
exhaustiva; que contenga las características clave que garanticen la efectividad de la
profesión; que distinga a la profesión de otras profesiones, como la contabilidad o los
auditores externos; y que se utilice de manera coherente en todo el país.2

2. Si algún instituto nacional descubre que existe más de una definición de auditoría interna en diferentes leyes, reglamentos, y políticas
>> de gobierno corporativo, El IIA recomienda a dicho instituto a trabajar para simplificar las definiciones y determinar una sola definición.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 7

LA FUNCIÓN DE AUDITORÍA INTERNA
Además de una definición de auditoría interna, se debe comprender de manera
común lo que constituye una función de auditoría interna exitosa al considerar las
políticas de gobierno corporativo y políticas públicas relacionadas con la auditoría
interna. La falta de definición de sus componentes clave puede llevar a la creación
de funciones de auditoría interna que no sean óptimas en su desempeño y no
cumplan con sus mandatos.

El IIA define una “función de auditoría interna” como:

“Un individuo o grupo profesional responsable de proporcionar a una organización
servicios de aseguramiento y asesoría.”

Al definir con más detalle una función de auditoría interna eficaz, El IIA cree que
cualquier definición legal debería idealmente tener también como mínimo los
siguientes criterios:
1. I ndependencia de los directivos, subordinada directamente y que rinda cuentas
a un comité de auditoría de una entidad o al órgano de gobierno;
2. U
 n estatuto de auditoría interna escrito tras ser acordada por el órgano de
gobierno y por el Director Ejecutivo de Auditoría (DEA) o líder equivalente de la
función de auditoría interna;
3. Que se apegue a las normas de auditoría interna mundialmente aceptadas;
4. Que cuente con personal calificado, demostrándose esto con la posesión
de certificaciones adecuadas u otras acreditaciones, como la de Certified
Internal Auditor® (CIA®) y/o acreditaciones de especialidades relacionadas con
la experiencia en áreas o temas sujetos a una auditoría interna;
5. Que tenga la capacidad de realizar actividades de manera objetiva e imparcial;
6. Que se someta a una evaluación externa de calidad (es decir, una auditoría
de la función de auditoría interna) como la Evaluación Externa de Calidad
o la Autoevaluación con Validación Independiente del IIA, o un equivalente
alternativo de alta calidad del sector privado, al menos una vez cada
cinco años.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 8

Si la función de auditoría interna no cumple con alguno de los seis criterios
anteriores, esta se debería considerar como mal estructurada, fuera de cumplimiento
legal, y con riesgo de no funcionar eficazmente en nombre de la entidad.3

Dependiendo del entorno político y de las políticas de cada instituto nacional, este
puede añadir otros criterios a la definición de función de auditoría interna, siempre y
cuando estos estén sean congruentes con el MIPP del IIA y las Normas, el Modelo de
las Tres Líneas de la organización, y las mejores prácticas profesionales.

Procurar la adopción del Marco Internacional

para la Práctica Profesional (MIPP) del IIA,
incluyendo las Normas Globales de Auditoría
Interna (las Normas)
Además de definiciones claras para la auditoría interna y la función de auditoría
interna, se recomienda a los institutos nacionales que busquen adoptar el MIPP del
IIA, incluyendo las Normas, para sus políticas de gobierno corporativo y otras políticas
públicas relacionadas de sus respectivos países. Tal iniciativa garantiza que la
práctica de la auditoría interna sea consistente, de alta calidad, efectiva, exhaustiva, y
comparable alrededor del mundo.

El IIA es consciente de que habrá variaciones en los métodos para dicha adopción.
La adopción por parte del gobierno podría no ser factible en algunos países. Por otro
lado, en otros países, los institutos nacionales tendrían la posibilidad de adoptar un
enfoque amplio con gobiernos que adopten el MIPP y las Normas no solo para que
sean utilizados por el gobierno, sino también como el marco oficial de las auditorías
internas para otros sectores de la economía (por ejemplo, para empresas públicas,
infraestructura crítica, entidades reguladas, instituciones financieras, etc.).

Se recomienda a los institutos

nacionales a procurar que se adopte
universalmente el MIPP, incluyendo
las Normas, y a garantizar que se PURPOSE
apliquen a todos los sectores de la
economía de su país siempre que

PR
ING

OFE
sea posible.

ETH IONALISM
PERFORM

SS
ICS &
Normas Globales Global
de Auditoría Interna™ Internal Audit
Standards™
G
MA

NA
IN

N
GI N ER
G GOV

3. Como parte de su consideración de la definición de “función de auditoría interna”, también se recomienda a los institutos nacionales
>> que determinen si desean asumir una postura explícita con respecto a que se permita la co-contratación o contratación externa
tipo “outsourcing” de una función de auditoría interna. Aunque recurrir a recursos externos para dar apoyo a una función de auditoría
interna puede parecer intrínsecamente contraintuitivo, El IIA no se opone a este tipo de acuerdos flexibles en tanto cumplan todos los
criterios anteriores de una función de auditoría interna satisfactoria y no haya conflictos de intereses. (Por ejemplo, una función de
auditoría interna no podría contratarse de manera externa ni co-contratarse con una empresa de contabilidad que actualmente esté
prestando servicios de auditoría externa a la entidad).

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 9

RECOMMENDACIONES PARA ADOPTAR EL MIPP, INCLUYENDO LAS NORMAS
Al trabajar con los gobiernos en la adopción del MIPP, incluyendo las Normas, El IIA
cree que hay algunos conceptos críticos que deben incluirse en cualquier lenguaje
de adopción. El IIA exhorta a los institutos nacionales a que siempre que sea posible,
incorporen las cinco recomendaciones descritas a continuación.

1. El lenguaje debe hacer referencia a la adopción de todo el MIPP, es decir:

• las Normas Globales de Auditoría Interna,
• los Requisitos Temáticos, y
• la Orientación Global.
2. L
 a adopción debe diseñarse para que sea permanente. Es decir, que no sea
necesario actualizar el lenguaje de nuevo si el MIPP se somete a una nueva
revisión en el futuro. Esto es preferible porque pedir a los gobiernos que
reformen una ley o un reglamento suele requerir un esfuerzo considerable.
Por lo tanto, una referencia permanente para reconocer “el MIPP más actual”
resuelve esta cuestión a perpetuidad.
3. L
 as marcas registradas (™) que acompañan al MIPP y a las Normas deben
incluirse para reconocer la propiedad intelectual del IIA.
4. La ley o el reglamento propuesto debe permitir explícitamente el uso de otros
marcos, orientaciones, y normas, siempre que no entren en conflicto con el
MIPP y las Normas. Esto es útil porque deja en claro que la adopción del MIPP
del IIA y las Normas no excluye estos otros recursos, que pueden estar ya
siendo usados por los auditores internos de ese país.
5. Debe haber una referencia clara al IIA, explicando qué es la organización y que
es el organismo promulgador del MIPP y las Normas.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 10

Proteger el Modelo de Autorregulación de la Profesión
En algunos países alrededor del mundo, los gobiernos han optado por: imponer a los
auditores internos restricciones o requisitos onerosos y problemáticos que no sirven
al interés público; dificultar que los auditores internos desempeñen eficazmente sus
funciones; y añadir burocracia, costos, y complejidad a la auditoría interna. Estas
políticas públicas pueden estar motivadas por: un deseo de generar ingresos (que
no necesariamente se reinvierten en la profesión); un intento de otra profesión de
limitar las actividades de los auditores internos por razones competitivas; iniciativas
regulatorias que no hacen distinciones apropiadas entre profesiones similares, pero
que sí son distintas; o un deseo de un enfoque localizado de ciertos aspectos de la
profesión que socavar la naturaleza global y las operaciones de la profesión.

En los países o sus subdivisiones gubernamentales donde tales políticas públicas

están en vigor, El IIA recomienda a los institutos nacionales a trabajar con quienes
formulan las políticas públicas para eliminar, o en la medida de lo posible, mitigar su
impacto en el éxito de los auditores internos que operan en el país.

Entre las políticas públicas a las que se opone El IIA se incluyen:

1. R
 estricciones a la práctica de la auditoría interna. En algunos países, los
legisladores han aprobado leyes, reglamentos, y políticas públicas perjudiciales
que restringen la práctica de la auditoría interna. En la mayoría de estos
casos, la auditoría interna ha sido indebidamente incluida en una definición
de la práctica de la contabilidad y limitada a los contadores. Aunque muchos
auditores internos poseen diversas habilidades y designaciones relacionadas
con la contabilidad, la auditoría interna es una profesión diferente y no
un subconjunto de la contabilidad. Los auditores internos no se limitan a
examinar los estados financieros y los controles internos de los procesos
financieros. Examinan una organización de manera holística, ofreciendo
asesoramiento, visión, y garantías en diversas áreas como la ciberseguridad,
la protección de datos, la información sobre el clima, las mejores prácticas de
gobierno corporativo, la gestión de riesgos, el cumplimiento de las leyes y los
reglamentos, la cadena de suministro y los riesgos económicos, y muchas otras
áreas esenciales para las operaciones y el éxito de una organización.

Los auditores internos tienen la suerte de que, a diferencia de muchas

otras profesiones, en general pueden desempeñarse en todo el mundo
sin ningún impedimento transfronterizo para ejercer.4 En contraste, a los
médicos, abogados, ingenieros, y muchos otros profesionales se les prohíbe
frecuentemente que presten algunos o todos sus servicios fuera de sus países
de origen. El IIA recomienda a los institutos nacionales que trabajen con los
formuladores de políticas públicas para fomentar y mantener marcos jurídicos
y normativos que permitan a los auditores internos continuar prosperando y
desempeñándose sin restricciones indebidas a la competencia transfronteriza
o a la ubicación física del auditor interno.

Las leyes que restringen la práctica de la auditoría interna, especialmente

aquellas que otorgan monopolios o trato preferencial a otras profesiones
como los contadores, deben tener prioridad para ser derogadas tan pronto
como sea posible.

4. Dicha libertad de movimiento y de prestación de servicios supone que los individuos y sus empleadores cumplen con todas las leyes
>> fiscales y de inmigración aplicables en los países en los que residen y/o realizan sus actividades de negocios.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 11

 2. L icencias y registros gubernamentales. Dado que la profesión de auditoría
interna se autorregula, la emisión de una licencia gubernamental es
redundante, potencialmente confusa, e innecesaria. Las licencias solo son
pertinentes cuando el gobierno planea regular y supervisar las operaciones
de una profesión. De la misma manera, los requisitos de que los auditores
internos se registren ante su gobierno no sirven al interés público y plantean
una carga de cumplimiento con un beneficio mínimo.5

3. H
 onorarios gubernamentales. En algunos casos, y generalmente de manera
conjunta con un registro gubernamental, los gobiernos pueden tratar de
cobrar arbitrariamente una cuota para ejercer a los auditores internos. Esto
es un impuesto de facto a los auditores internos y una barrera indeseable e
innecesaria para ejercer.

En casos muy limitados, si un gobierno quisiera recaudar fondos para becas

de auditoría interna, capacitación, y/o desarrollo de certificación de auditoría
interna, una pequeña cuota podría ser aceptable, pero los beneficios deben
revertirse totalmente a la profesión de auditoría interna, y tales programas
deben tener el respaldo del instituto nacional del país.

4. A
 creditaciones emitidas por el gobierno o regulación de acreditaciones
de auditoría interna. Cuando los gobiernos y el sector privado compiten
en la acreditación, el gobierno tiene ciertas ventajas inherentes que crean
condiciones desiguales. El IIA cree que no es adecuado que los gobiernos
emitan acreditaciones relacionadas con la auditoría interna que puedan
confundir al mercado y dañar un mercado libre y autorregulado.

Al no emitir sus propias acreditaciones, algunos responsables de formular

políticas públicas podrían inclinarse por solicitar la creación de acreditaciones
a la medida en su país. Tal concepto podría tener un impacto significativo en
la Educación Profesional Continua (o CPE, por sus siglas en inglés), el contenido
de los exámenes, y las certificaciones del IIA, u otras cualificaciones. Además,
dado que tales enfoques podrían impedir la capacidad del IIA para promover
y apoyar una profesión reconocida a nivel mundial y pueden correr el riesgo
de violar el Acuerdo Mutuo de Relaciones (MRA, por sus siglas en ingles) de
un instituto nacional con El IIA, la consideración de cualquier acreditación
potencial específica de un país debe desarrollarse a través de una asociación
con el instituto nacional, El IIA, y sus aliados legislativos y regulatorios. Esto
garantizará que dichas acreditaciones complementen y/o aumenten las
acreditaciones existentes en lugar de crear una gama internacional de
credenciales de calidades variables y con requisitos que no sean coherentes.

En los casos en que los gobiernos consideren que hay oportunidades de

mejora en el conjunto de conocimientos, requisitos, supervisión, y/o adopción
de las acreditaciones existentes, se recomienda a los institutos nacionales
que trabajen con quienes formulan las políticas, con El IIA, y con otras partes
interesadas para abordar estas cuestiones.

5. En los casos en que un gobierno considere que debe existir un directorio público de auditores internos con buena reputación, este
>> debe trabajar con el instituto nacional del país que esté mejor preparado para encargarse de dicho directorio.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 12

 Al pensar en políticas relacionadas con las acreditaciones, es importante señalar
que El IIA no se opone a requisitos suplementarios en determinados sectores de
la economía o determinadas áreas del ejercicio de la profesión. Por ejemplo, un
país podría querer exigir a determinados auditores internos gubernamentales
que tengan una acreditación de Certified Internal Auditor (CIA) para ejercer,
pero también podría exigirles que aprueben un examen, realicen una formación
periódica u obtengan una segunda acreditación específica para la auditoría
gubernamental. Del mismo modo, los auditores internos del sector de servicios
financieros podrían requerir acreditaciones suplementarias, además de la
acreditación de CIA, para desempeñar sus funciones, y no sería necesariamente
inadecuado que los legisladores o reguladores articularan cuáles serían esos
requisitos adicionales.

En estos casos en los que los requisitos parten de las acreditaciones del IIA como
base, se recomienda a los institutos nacionales que colaboren estrechamente
con El IIA y quienes formulan sus políticas para evaluar los costos y beneficios de
tales políticas.

Reconocimiento gubernamental de los institutos nacionales y de la profesión de

auditoría interna
Si bien El IIA no apoya la regulación de la auditoría interna, existen ciertas formas
de reconocimiento gubernamental que pueden mejorar el estatus de la profesión,
promover una estrecha colaboración con el gobierno, y asegurar que los institutos
nacionales y sus miembros estén en mejores condiciones para ejercer con éxito en
sus respectivos países.

Dos ejemplos de este tipo de reconocimiento son:

1. Institutos colegiados. La expedición de acreditaciones colegiadas como
reconocimiento de la competencia profesional es una práctica que se remonta
a muchos siglos atrás, concedida por primera vez por reyes y reinas. Hoy en
día, las acreditaciones colegiadas pueden ser concedidas por el soberano de
un país o por su legislatura, dependiendo del tipo de gobierno del país. En la
actualidad, las acreditaciones colegiadas suelen considerarse prestigiosas,
difíciles de obtener, y limitadas a un número selecto de profesiones.

Algunos ejemplos de profesiones diversas en las que se han obtenido las

acreditaciones colegiadas son Chartered Engineers (Ingenieros Registrados) y
Chartered Professional Accountants (Contadores Profesionales Registrados).
El instituto nacional que representa al Reino Unido e Irlanda se conoce como
Chartered Institute of Internal Auditors (Instituto Colegiado de Auditores
Internos).

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 13

 2. Institutos nacionales reconocidos como organismos profesionales. El
reconocimiento oficial de organismo profesional puede ser una garantía
gubernamental extremadamente importante en determinados países
o regiones. Este reconocimiento, cuando se registra en una ley, puede
garantizar: el acceso del instituto nacional a organismos y departamentos
gubernamentales y la representación de dicho instituto ante estos;
nombramientos para grupos de trabajo, comisiones, y otros organismos
gubernamentales; acceso a fondos gubernamentales para becas, formación,
conferencias, y desarrollo de la profesión; oportunidades de influir en los
planes de estudios de los estudiantes; mayor credibilidad ante organismos
supranacionales u organizaciones no gubernamentales influyentes; y mayor
credibilidad y autoridad a la hora de trabajar con legisladores y reguladores
en diversas propuestas de políticas públicas. A pesar de estos beneficios,
el reconocimiento gubernamental también podría tener consecuencias no
deseadas que perjudicaran los MRAs entre los institutos nacionales y El IIA,
y/o aumentarían el riesgo de regulación o intervención gubernamental en
el futuro. Por esta razón, los institutos nacionales interesados en buscar el
reconocimiento formal del gobierno en la ley deben trabajar estrechamente
en asociación con El IIA para llegar a un plan consensuado que pondere los
beneficios y los riesgos potenciales.

Requerir funciones de auditoría interna en los

sectores de la economía en los que tal requisito
sea de interés público
El IIA apoya la aprobación de leyes, políticas públicas, y reglamentos públicos que
requieran funciones de auditoría interna en determinados sectores de la economía
cuando se considere que ello beneficia al interés público. Para crear un marco
de reflexión sobre cómo y cuándo promulgar dichas protecciones públicas, El IIA
propone siete áreas de la economía que los institutos nacionales deberían examinar
a fondo en colaboración con quienes formulan las políticas públicas de sus países.

Sector público/ Entidades de Bolsas de

Gobierno interés público criptomonedas
(EIP)

Infraestructura Profesiones Poseedores Sector

crítica e industrias de datos tecnológico
reguladas voluminosos
y/o sensibles

Estas áreas son:

1. S
 ector público/Gobierno. El hecho de establecer y apoyar adecuadamente
las funciones de auditoría interna dentro de los gobiernos en todos los
niveles debería considerarse una buena práctica universal. La protección
y administración adecuadas del dinero público, y la prestación y el

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 14

 funcionamiento eficientes y efectivos de los servicios públicos en nombre de
los ciudadanos son objetivos de las políticas que se beneficiarían claramente
del asesoramiento, las observaciones y la garantía objetiva e independiente de
los controles internos que proporcionan las funciones de auditoría interna.

La ausencia de funciones de auditoría interna dentro del gobierno podría

aumentar significativamente el riesgo de fraude, despilfarro, abuso,
malversación, ineficiencia, ciberataques, violaciones de la privacidad de los
datos, fallas en la seguridad nacional, fallas en la prestación de servicios
gubernamentales, reducción de la rendición de cuentas pública, menor
capacidad para identificar y gestionar los riesgos actuales y emergentes que
enfrenten el gobierno y sus ciudadanos, y el desperdicio de recursos.

Como mínimo, todos los gobiernos nacionales y sus subdivisiones (por

ejemplo, estados, provincias, territorios, departamentos, etc.) deberían
establecer y mantener funciones de auditoría interna independientes,
sólidas, y debidamente estructuradas y financiadas.6 Esto debería extenderse
también a los niveles inferiores del gobierno, como condados, municipios,
distritos escolares y distritos determinados por infraestructura de agua. En
el curso de las deliberaciones de los institutos nacionales, se recomienda
que estos hablen con quienes formulan las políticas públicas sobre los
méritos de extender los requisitos de auditoría interna a las entidades cuasi-
gubernamentales y a las empresas de propiedad del Estado o controladas
por este, así como a los grandes contratistas del gobierno y a los beneficiarios
de grandes subvenciones del gobierno u otras formas de financiación de los
contribuyentes.

Debido a la singular naturaleza de los gobiernos en sus diversas formas, El

IIA comprende que el establecimiento y mantenimiento de las funciones de
auditoría interna dentro de los gobiernos no siempre se adhieren estrictamente
al Modelo de las Tres Líneas y que puede haber cierta flexibilidad al respecto,
siempre y cuando la función de auditoría interna cuente con los elementos
esenciales que se han señalado anteriormente en este documento.

En gobiernos distintos, algunas auditorías se llevan a cabo a través de una

entidad fiscalizadora superior, una oficina del inspector general o una oficina
del auditor general, que pueden tener una misión con un alcance distinto al de
una función de auditoría interna. El IIA apoya la creación y el funcionamiento
continuo de estas instituciones como medio para avanzar en el cumplimiento
de las leyes y los reglamentos, la supervisión de la efectividad y eficiencia de
los programas gubernamentales, y la garantía objetiva de los controles internos
de las entidades gubernamentales. Estas instituciones también pueden
desempeñar un papel importante para detectar fraudes y abusos, y para
fomentar la transparencia y la rendición de cuentas ante los legisladores, los
líderes gubernamentales, y el público.

>> 6. Las Normas recientemente actualizadas contienen ahora una sección dedicada a cómo aplicar las Normas en el sector público.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 15

 2. Infraestructura crítica. Por infraestructura crítica se entiende toda
infraestructura esencial para el funcionamiento de la economía y la sociedad
civil de un país. Dependiendo de las distintas dinámicas políticas de un
país, esta puede definirse, entre otras cosas, como lo siguiente: sistemas
de abastecimiento de agua y aguas residuales; generación y distribución
de electricidad (reactores nucleares, de petróleo, gas, energías renovables, y
carbón); presas; rutas de comercio, control de fronteras y puertos de entrada;
sistemas públicos de cuidados de la salud; servicios de emergencia; sistemas
de educación pública; funcionamiento de la policía y el ejército; redes de
transporte; agricultura y suministro de alimentos; telecomunicaciones y
acceso a los medios de comunicación; productos químicos y materiales
peligrosos; y servicios financieros.

El IIA recomienda a los institutos nacionales que revisen el concepto de

infraestructura crítica con quienes formulan sus políticas públicas para
determinar los componentes de la infraestructura crítica de la nación en los
que se pueden requerir funciones de auditoría interna en beneficio del
interés público.

Se añadiría un nivel extremadamente valioso de protección pública si se

establece un requisito para que los auditores internos ofrezcan una garantía
objetiva independiente sobre los controles internos establecidos dentro de
una red eléctrica, una planta de aguas residuales, un distrito escolar, un sistema
hospitalario, un sistema de metro, proveedores de servicios de Internet o
una red bancaria.7 Los auditores internos también pueden proporcionar a
los directivos y a los órganos de gobierno de estas entidades observaciones
y asesoría estratégica que, de otro modo, no serían parte de la estrategia
organizacional y de los protocolos de gestión de riesgos de la empresa.

3. E
 ntidades de interés público (EIP) Las EIP son un concepto que ha ganado
terreno en varios países en los últimos años. La Unión Europea (La UE ), por
ejemplo, define las EIP como entidades cuyas acciones se negocian en un
mercado regulado de un estado miembro (es decir, empresas que cotizan
en bolsa), entidades de crédito/financieras, compañías de seguros y otras
entidades de “relevancia pública significativa debido a la naturaleza de su
actividad, su tamaño, o su número de empleados”.8 Todas estas entidades, en
virtud de la Directiva de La UE, están obligadas a realizar una auditoría externa
obligatoria de sus cuentas anuales y consolidadas.

Aunque las auditorías financieras externas son una protección pública

importante, no cubren la amplitud de garantías que ofrecen las funciones
de auditoría interna. Los auditores internos examinan una organización de
manera holística, proporcionando una garantía objetiva independiente no

7. Entre los ejemplos principales de los riesgos que la auditoría interna podría ayudar a mitigar, están no solamente los fallos acciden-
>> tales en las operaciones de las infraestructuras críticas que son un riesgo importante para los gobiernos y las sociedades, sino también
los actores terceros perjudiciales que también intentan cada vez más realizar ciberataques o sabotear físicamente las infraestructuras
críticas de varias naciones.
8. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2014.158.01.0196.01.ENG

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 16

 solo sobre los controles internos financieros, sino también sobre los controles
internos relacionados con la ciberseguridad, la privacidad y la protección de
datos, los riesgos en la cadena de suministro, los informes climáticos y sobre
ESG y sostenibilidad, el capital humano, la inteligencia artificial, el gobierno
corporativo, y toda una serie de áreas que son vitales para el éxito de las
operaciones de una organización.

Teniendo esto en cuenta, El IIA cree que sería pertinente requerir que
todas las entidades que entren en la definición de una EIP tengan una
función de auditoría interna. Tales requisitos protegen a los inversores, a los
consumidores/clientes, a los mercados de valores y de crédito, y a la sociedad
en su conjunto.

4. B
 olsas de criptomonedas. El concepto de EIP abarca generalmente los
mercados de valores, los mercados de crédito, los seguros, y sus ámbitos
relacionados en un país, pero es importante señalar que el alcance de las
plataformas de inversión y de consumo que ameritan la protección pública
que ofrece la auditoría interna está en constante evolución. Un tipo de
negocio relativamente nuevo para los inversores que ha recibido un mayor
escrutinio recientemente son las bolsas de criptomonedas.

En particular, la implosión en noviembre de 2022 de la bolsa FTX, que llegó

a ser la tercera bolsa más grande de criptomonedas, puso de manifiesto los
grandes riesgos que corren los inversores cuando las bolsas de criptomonedas
carecen de controles internos suficientes y no ofrecen garantías objetivas de
dichos controles.9

Teniendo en cuenta los significativos riesgos que asumen los inversores en

este mercado relativamente nuevo, El IIA apoya las leyes y códigos de buen
gobierno corporativo que requieren que las bolsas de criptomonedas y sus
socios afiliados posean una función de auditoría interna independiente
altamente calificada y con recursos suficientes.10

5. P
 rofesiones e industrias reguladas. A medida que los líderes de los institutos
nacionales revisen la lista de sectores de la economía mencionada
anteriormente, quedará claro que la lista funciona dentro de un diagrama de
Venn en el que algunos componentes de un sector también aparecen en otros.
Por ejemplo, la categoría de sector público/gobierno se traspone en parte con
la de infraestructura crítica, y la categoría de infraestructura crítica comparte
algunos elementos comunes con las EIP. Lo mismo ocurre con las profesiones
e industrias reguladas de un país, que ya se tratan frecuentemente en otra
parte de esta recomendación de políticas.

>> 9. En las conclusiones preliminares del procedimiento de quiebra de FTX se estimó que más de un millón de clientes sufrieron pérdidas
financieras directas de más de 8000 millones de dólares. Sorprendentemente, una cantidad igual a las pérdidas originales (más
intereses) se recuperó en última instancia a través de un procedimiento de quiebra, pero este resultado no reduce la necesidad de un
sólido gobierno organizacional, de controles internos y de auditoría interna para reducir el riesgo de que esto ocurra en otra bolsa de
criptomonedas en el futuro. Tampoco compensa a los clientes, que vieron cómo muchas criptomonedas duplicaban o triplicaban su
valor mientras esperaban el reembolso de sus criptoactivos.
10. Véase la Carta al Congreso de los Estados Unidos enviada por El IIA el 4 de mayo de 2023.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 17

 No obstante, El IIA recomienda examinar todas las profesiones e industrias
reguladas de un país (por ejemplo, por razones de salud pública, seguridad
pública, protección del consumidor y del inversor, etc.) para debatir y
determinar cuándo podría ser de interés público exigir que determinadas
empresas u organizaciones reguladas dispongan de una función de auditoría
interna. Muchos de los mismos argumentos de políticas públicas que hicieron
que los legisladores decidan regular unas profesiones también pueden llevarlos
a concluir que las empresas que operan en esas profesiones/industrias
necesitan una función de auditoría interna para proteger mejor a las partes
interesadas.

6. P
 oseedores de datos voluminosos y/o sensibles. Durante la última década,
quienes formulan las políticas se han mostrado cada vez más preocupados
por la enorme cantidad de información personal identificable (IPI) del público
que recopilan las empresas y otras organizaciones. Quién tiene los datos;
con quién se comparten; la capacidad de revisar, gestionar, corregir, o borrar
los datos; cómo se analizan y aplican los datos a la toma de decisiones
organizacionales; y cómo se protegen los datos, son cuestiones importantes
en materia de política que se han debatido y se siguen debatiendo en las
legislaturas de todo el mundo.

De hecho, varios gobiernos (y organismos supragubernamentales como la UE)

han aprobado leyes, reglamentos, o directivas sobre privacidad y seguridad de
datos en un esfuerzo para abordar muchas de estas preocupaciones.

El IIA cree que los auditores internos tienen un papel importante que
desempeñar en la protección de la privacidad de los datos y la seguridad de
estos y sus políticas correspondientes, en particular en lo que se refiere a los
poseedores de datos voluminosos y/o sensibles. Aunque las definiciones
pueden variar de un país a otro, los poseedores de datos voluminosos son
generalmente grandes organizaciones que son influyentes o importantes
para la economía y la sociedad, y poseen grandes cantidades de IPI sensible.
Puede tratarse de empresas de redes sociales o de tecnología, instituciones
financieras, organizaciones políticas, y grandes empresas. Entre los poseedores
de datos sensibles se pueden incluir las organizaciones y empresas antes
mencionadas, pero también entidades más pequeñas, como hospitales y otros
centros médicos.

Dados los riesgos de uso indebido, pérdida de datos, ciberataques,

inexactitudes, robos, daños potenciales, y/o explotación de menores y otras
amenazas inherentes a la recopilación y el uso de dichos datos, El IIA cree que
estos poseedores de datos deben tener controles internos sólidos y que las
funciones de auditoría interna deben proporcionar una garantía objetiva e
independiente sobre la eficacia de dichos controles con el fin de proteger al
público.

El IIA recomienda a los institutos nacionales que examinen los reglamentos,

leyes, y debates sobre políticas de privacidad y seguridad de los datos en
todo el mundo, y que trabajen con quienes formulan las políticas para
promulgar políticas que exijan que los poseedores de datos voluminosos y/o
sensibles de sus países cuenten con funciones de auditoría interna sólidas e
independientes.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 18

7. S
 ector tecnológico. En la era moderna, la tecnología es un componente
esencial de todos los aspectos de la sociedad y la economía. La ciberseguridad
se cita regularmente como una de las principales prioridades tanto de las
empresas como de los gobiernos, mientras que la inteligencia artificial (IA) está
por transformar completamente al mundo. Mientras tanto, aunque esto recibe
menos atención, están surgiendo aplicaciones de computación cuántica que
pueden impactar radicalmente a industrias enteras, creando rápidos avances
en computación, ciencia, y manufactura, al tiempo que trastornan protocolos
de seguridad de gran tradición.

Dado que muchas empresas, organizaciones, y gobiernos dependen de

proveedores de servicios externos para diversos servicios de ciberseguridad, es
fundamental que esas empresas de ciberseguridad tengan controles internos
sólidos y que busquen garantías sobre esos controles. Los fallos en estos
proveedores de servicios podrían presentar un riesgo sistémico que podría
cerrar sectores enteros de la economía, perjudicando a millones de personas y
costando miles de millones de dólares.

Del mismo modo, las empresas y organizaciones sin fines de lucro de IA están
lanzando productos que ya están siendo utilizados por millones de personas,
mientras que los riesgos potenciales aún no se conocen por completo. Sin
embargo, entre los riesgos que ya se han identificado se incluyen: proporcionar
información falsa (por ejemplo, “alucinaciones”, información errónea y/o
desinformación, imágenes manipuladas (deepfakes)), la manipulación
psicológica de los usuarios finales, y la violación de los derechos de propiedad
intelectual. Los creadores de la IA tampoco son capaces de explicar
completamente cómo funcionan los sistemas de IA.

Durante toda esta incertidumbre tecnológica, muchos empresarios y

funcionarios públicos también están cada vez más preocupados por el
impacto potencial que la computación cuántica tendrá en la sociedad. Una de
las mayores preocupaciones es que la computación cuántica haga que todos
los protocolos actuales de cifrado y seguridad digital se vuelvan obsoletos.
Además, no es posible anticipar plenamente cómo alterará nuestro mundo
una computación exponencialmente más rápida y escalada a niveles antes
inimaginables.

Dados los riesgos en torno a estas tecnologías, se recomienda que los

institutos nacionales exploren con quienes formulan las políticas los beneficios
de exigir funciones de auditoría interna a las empresas de ciberseguridad,
empresas y organizaciones sin fines de lucro de IA, y empresas de computación
cuántica.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 19

Hacer que las leyes y los reglamentos para
contadores y auditores externos sean
congruentes con los intereses de la profesión
de auditoría interna
Los auditores internos y externos desempeñan funciones separadas, pero
generalmente complementarias, en apoyo a los gobiernos, las empresas, y otras
organizaciones. De hecho, es habitual que los auditores internos y las empresas
de auditoría (de cuentas) externa colaboren estrechamente en el desempeño de
sus funciones. Y en el caso de las empresas que cotizan en bolsa, cabe señalar que
ambos tipos de auditores colaboran directamente con el comité de auditoría o el
órgano de gobierno/Consejo de administración de la empresa.

Ante esta singular relación, El IIA recomienda que los institutos nacionales revisen las
políticas de gobierno corporativo y políticas públicas relacionadas con la regulación
de los contadores y auditores externos para asegurarse de que no entren en conflicto
con los principios mencionados en este documento. Además, las normas adoptadas
por las juntas de supervisión de contabilidad y los reguladores de los auditores
externos de las empresas públicas también deberían revisarse para garantizar
que sean congruentes con las Normas del IIA. Cuando se identifiquen conflictos,
deficiencias, o problemas, se recomienda a los institutos nacionales que trabajen con
otras partes interesadas para mejorar los reglamentos y leyes pertinentes.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 20

RECOMENDACIONES
SOBRE POLÍTICAS
OPCIONALES
La pertinencia de las recomendaciones de esta sección del docu-
mento puede variar en función del país y de sus propios factores
políticos y culturales. Se recomienda a los institutos nacionales
que revisen y debatan cada recomendación para luego seleccio-
nar aquellas que sean políticamente viables como componentes
potenciales valiosos del marco jurídico y normativo de su país.

Reforzar la protección de auditores internos

La mayoría de los auditores internos pueden hacer su trabajo con éxito, sin
interferencias, presiones indebidas ni coerción, pero es una realidad preocupante que
algunos auditores internos de todo el mundo operan en culturas organizacionales
donde se enfrentan a represalias, intimidación, acoso, despido potencial, y, en
algunos casos, incluso amenazas, violencia, o asesinato por tratar de realizar sus
funciones de manera plena y adecuada. De hecho, se han documentado muchos de
estos casos en todo el mundo.

Todo auditor interno debería sentirse seguro en su trabajo, y el acoso y las amenazas
contra los auditores internos en el desempeño de sus funciones deberían ser ilegales.

Hay precedentes de protecciones jurídicas específicas a quienes ejercen ciertas

carreras. En algunas jurisdicciones, existen penas adicionales o específicas por
amenazar, acosar, o dañar a policías, jueces, auxiliares de vuelo, agentes de
aparcamiento, y personas de otros sectores o profesiones vulnerables a este tipo
de ataques.

Si se promulga una ley de este tipo, debería incluir sanciones apropiadas, incluyendo
multas y/o penas de cárcel, para las personas que perjudiquen a los auditores
internos en el desempeño de sus funciones. En algunos casos, quienes formulan
las políticas pueden decidir que los auditores internos que trabajan en sectores
específicos de la economía (por ejemplo, en el gobierno, en infraestructura crítica
o en empresas que cotizan en bolsa) justifican que se les dé tales protecciones
adicionales, aunque una ley general que añada protecciones suplementarias para
todos los auditores internos podría no estar necesariamente justificada.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 21

Evaluar y mejorar las leyes y los reglamentos
sobre denuncias de irregularidades
La denuncia de irregularidades se entiende generalmente como el hecho de que
una o más personas salgan de los canales normales de información dentro de una
organización para denunciar un comportamiento inadecuado (y frecuentemente
ilegal). Los programas de denuncia de irregularidades, cuando se estructuran
adecuadamente, son un medio importante para que los gobiernos, las empresas,
y otras organizaciones detecten fraudes, corrupción, malversación de fondos,
despilfarro, violaciones de la ley, o de las políticas, y otras actividades problemáticas o
incluso tóxicas perjudiciales para el éxito de la organización.

El IIA apoya el establecimiento de programas de denuncia de irregularidades como

componente de las políticas públicas, cuando puedan mejorar y proteger: los
recursos de los contribuyentes; los intereses de los inversores y los consumidores;
la veracidad de los informes financieros; y la seguridad y la salud públicas. Los
programas de denuncia de irregularidades deben ser confidenciales, permitir
el anonimato, y ofrecer garantías sólidas para proteger a los denunciantes de
represalias.

Las denuncias internas pueden ser un sistema de alerta inestimable para los
auditores internos en el desempeño de sus funciones, mientras que las denuncias
externas pueden servir como un impulso crítico para las investigaciones de los
reguladores, las fuerzas del orden, los periodistas, y los legisladores.

El IIA recomienda a los institutos nacionales que desarrollen relaciones con el grupo
más amplio de partes interesadas que defienden las políticas de denuncia de
irregularidades y las mejores prácticas de gobierno corporativo y gubernamental para
determinar cuáles son los tipos de políticas de denuncia de irregularidades que serían
más eficaces y apropiados en su país, y, a continuación, promover su promulgación.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 22

Promover políticas que apoyen el desarrollo
de talento profesional en la profesión de
auditoría interna
Los gobiernos suelen desempeñar un papel importante a la hora de influir y apoyar
el desarrollo de talento para diversas profesiones. Más concretamente, los gobiernos
pueden desarrollar programas de desarrollo de carreras u oficios que ayuden a los
estudiantes y profesionales, tanto dentro como fuera del gobierno, a avanzar en sus
objetivos profesionales y obtener educación adicional, becas, formación laboral,
prácticas, aprendizaje, o experiencia especializada.

El IIA apoya el concepto de programas gubernamentales que promuevan y

proporcionen dicha formación, desarrollo, y aprendizaje a los individuos en
la profesión de auditoría interna. Además, apoya los esfuerzos para financiar
programas académicos y construir planes de estudio en universidades y otras
instituciones de educación superior que enseñen a los estudiantes auditoría interna y
temas relacionados.

Se recomienda a los institutos nacionales que trabajen con quienes formulan sus
políticas para fomentar la canalización de los auditores internos en su país y evaluar
maneras de incentivar a los futuros auditores internos a unirse a la profesión y
buscar la educación y la experiencia necesarias para sobresalir. Quienes formulan
las políticas podrían modelar un programa de canalización de talento de auditores
internos basado en otros programas exitosos en su país o en prácticas efectivas de
tales programas en otros países alrededor del mundo.

Para mejorar la competencia profesional, quienes formulan las políticas también

podrían considerar formas de incentivar a los auditores internos a obtener
acreditaciones profesionales pertinentes, como la designación Certified Internal
Auditor (CIA) y la Internal Audit Practitioner (IAP), y a tomar programas de educación
y formación profesional continua para garantizar que tengan las competencias
requeridas para sus funciones. Una opción para avanzar hacia este objetivo consiste
en programas gubernamentales que paguen o al menos subvencionen el costo de
los exámenes de los empleados públicos, los materiales de estudio, las cuotas de
afiliación a asociaciones profesionales u organismos profesionales, y/o la formación
profesional continua.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 23

Revisar y actualizar los marcos de gobierno
corporativo y del sector público
Las buenas políticas públicas son esenciales para el éxito de la profesión de auditoría
interna, pero hay otra área crítica en la que los institutos nacionales deben estar
involucrados, y esa es la promoción de marcos que reflejen el papel vital de la
auditoría interna en el buen gobierno organizacional dentro de los sectores privados
y públicos. Estos marcos no son leyes ni reglamentos per se, sino que más bien se
extienden a toda una serie de orientaciones dentro del ecosistema del gobierno
corporativo y del sector público.11

El alcance de estos marcos de gobierno organizacional incluye: orientación de

implementación y cumplimiento; códigos de gobierno corporativo; principios
rectores; mejores prácticas recomendadas; liderazgo de pensamiento; investigación
académica; editoriales y artículos de opinión; guías prácticas; y normas del sector
privado y del sector público.

Se recomienda a los institutos nacionales que garanticen que en todos los debates,
políticas, publicaciones y presentaciones de este ecosistema, la auditoría interna esté
debidamente centrada, valorada, y adoptada como una práctica esencial.

Quienes formulan las políticas públicas no siempre pueden estar particularmente

actualizados sobre estas directivas e iniciativas del sector privado y los debates que
las acompañan, pero los institutos nacionales sí pueden desempeñar un papel crítico
para explicar a los formuladores de políticas públicas las maneras en que impactan
al gobierno corporativo y la auditoría interna en sus respectivos países/regiones. En
algunas situaciones, los institutos nacionales y otras partes interesadas pueden pedir
a los formuladores de políticas públicas que opinen sobre estas directivas del sector
privado e influyan en ellas para mejorar su calidad, pertinencia y exhaustividad, y
garantizar que sean congruentes con los reglamentos y leyes pertinentes.

Del mismo modo, se anima a los institutos nacionales a que examinen el papel de
los auditores internos en los gobiernos y en el sector público en general y a que se
aseguren de que la auditoría interna ocupa una posición adecuada en este sector de
la economía. Este enfoque garantizará que la auditoría interna pueda ayudar tanto a
proteger el interés público como a salvaguardar adecuadamente los fondos y activos
públicos.

11. El ecosistema de gobierno corporativo de un país puede considerarse como la comunidad de consejos de administración, comités
>> de auditoría, líderes directivos de nivel “C-suite”, grupos empresariales, cámaras de comercio, académicos, grupos de inversores y
consumidores, pensiones públicas, asesores y activistas de accionistas, capitalistas de empresas de riesgo, asociaciones profesionales
y de miembros relacionadas con el gobierno corporativo, y otras partes interesadas que tratan de desarrollar, promover, o influir en las
políticas de gobierno corporativo.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 24

ADOPCIÓN DEL MARCO
JURÍDICO Y REGLAMENTARIO
RECOMENDADO
Al revisar las recomendaciones del marco jurídico y normativo
de este documento, El IIA es consciente de que los institutos
nacionales tomarán diferentes caminos hacia su adopción.
Algunos institutos nacionales cuentan con sofisticados
programas de “advocacy”12 con personal dedicado a tiempo
completo que trabaja en estrecha colaboración con los dirigentes
gubernamentales, mientras que otros se basan en el voluntariado
y pueden estar empezando a crear sus programas de advocacy.

A aquellos institutos nacionales que participen por primera vez

en un programa de advocacy o que tengan programas menos
desarrollados, El IIA les recomienda la siguiente orientación para
ayudarles a empezar.

1. A
 nalizar el entorno jurídico y normativo y determinar la viabilidad política de
introducir leyes nuevas o actualizadas. Los institutos nacionales deben evaluar
el estado de las actuales políticas de gobierno corporativo y políticas públicas
utilizando el marco jurídico y normativo de este documento, y a continuación,
identificar las oportunidades de mejora. Esto puede implicar una revisión
exhaustiva de todas las recomendaciones políticas de este documento o la
identificación de un puñado de áreas conocidas de mejora para empezar. Una
vez que el instituto nacional haya identificado sus objetivos en materia de
políticas, este debería analizar también el contexto político para determinar
la viabilidad de sus metas. Algunas iniciativas políticas sencillas pueden
lograrse en el plazo de unos pocos meses a un año, mientras que las iniciativas
más complejas y ambiciosas deben considerarse mediante una estrategia
multianual.

2. Preparar una estrategia de advocacy. El IIA recomienda redactar una

estrategia sobre cómo un instituto nacional planea alcanzar sus metas
específicas para su influencia. La estrategia debe ser examinada y aprobada
por la dirección ejecutiva y el órgano de gobierno del instituto nacional para
garantizar que haya una visión común del proyecto.

12. “Advocacy” se define como “la participación de funcionarios gubernamentales, formuladores de políticas públicas, líderes de
>> gobierno corporativo, y otras partes interesadas para proteger y promover leyes, reglamentos, y otras políticas públicas y directivas de
gobierno corporativo que redunden en el mejor interés del público, la profesión de auditoría interna, El IIA, sus afiliados, y sus miembros.”

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 25

3. Establecer las necesidades de recursos del plan de advocacy. Al igual que
cualquier otra iniciativa organizacional, los programas de advocacy requieren
un presupuesto y personal (empleados y/o voluntarios) para garantizar su
éxito. Los institutos nacionales deben estimar todos los costos conocidos e
incluirlos en un presupuesto para el programa de advocacy. También deben
asignar responsabilidades a personas o comités organizativos específicos para
aumentar las probabilidades de éxito de la campaña.

4. Formar coaliciones e identificar a la posible oposición. Lo político suele ser

una competencia entre diferentes grupos de interés dentro de una sociedad.
Para aumentar las probabilidades de éxito, los institutos nacionales deben
considerar la posibilidad de formar coaliciones con otras organizaciones afines
que puedan estar dispuestas a asociarse con ellos. Esto ampliará los recursos
disponibles y la influencia política del instituto nacional. Por otro lado, los
institutos nacionales también deberían identificar a su posible oposición en
las primeras fases de cualquier plan de advocacy. Al comprender las posibles
objeciones de la oposición y reunirse con ella para debatir sus preocupaciones
y/o buscar puntos en común o compromisos, se aumentarán las posibilidades
de éxito del instituto.

5. Identificar a los líderes legislativos y reguladores. Para avanzar con éxito

hacia las metas en materia de política, los institutos nacionales tendrán
que determinar quiénes de los que formulan las políticas defenderán sus
propuestas y ayudarán a que se promulguen. Las relaciones sólidas son la
clave del éxito en la política, y se recomienda a los institutos nacionales a que,
como parte de su estrategia de advocacy, identifiquen e inviertan en conocer y
apoyar a sus defensores y/o aliados en sus gobiernos o instituciones claves.

6. Mantener una perspectiva a largo plazo en el plan de influencia. Es

importante tener en cuenta que el advocacy es un proyecto a largo plazo
en el que, en ocasiones, las metas políticas pueden tardar muchos años en
alcanzarse. Los avances suelen ser graduales y no radicales. Es muy raro
que una organización alcance el 100% de sus metas. Además, las leyes y los
reglamentos suelen necesitar actualizaciones periódicas para responder a los
cambios tecnológicos, económicos, culturales, y empresariales. Por lo tanto,
se recomienda a los institutos nacionales a que consideren sus estrategias de
advocacy como una parte integral, continua, y en constante evolución de su
estrategia organizativa más amplia.

Independientemente del alcance y la ambición del plan de advocacy de un

instituto nacional o de sus recursos disponibles, El IIA se compromete a servir
como socio colaborador y recurso estratégico, promoviendo su visión de “Un
IIA Unido” (“One IIA” en inglés) en todo el mundo.

Se recomienda a los institutos nacionales que se pongan en contacto con

el equipo de Advocacy Global del IIA ([email protected]) para hablar
sobre el desarrollo de estrategias; tener acceso a materiales educativos y de
investigación sobre políticas y modelos de lenguaje; y recibir otras formas de
apoyo para su participación en las políticas públicas y de gobierno corporativo.

Juntos, El IIA y los institutos nacionales pueden construir un marco jurídico

y normativo global que asegure que la profesión de auditoría interna sea
vibrante, exitosa, y preparada para el futuro.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 26

APÉNDICE
Políticas de auditoría interna y
organizaciones supranacionales
Una organización supranacional es cualquier organización o unión multinacional a la
que los organismos miembros acuerdan ceder su autoridad con respecto a ciertas
leyes, políticas, normas, o directivas. La organización supranacional más grande es la
de las Naciones Unidas. Sin embargo, otros ejemplos son la Unión Europea, el Banco
Mundial, la Organización Mundial del Comercio, y el Fondo Monetario Internacional.

En el ámbito global, El IIA trabaja para apoyar, influenciar, e involucrar a las

organizaciones supranacionales globales en lo que respecta a las operaciones de
sus propias funciones de auditoría interna, así como en la auditoría interna y las
políticas, normas, y directivas relacionadas aplicadas a sus estados miembros. El IIA
también trabaja en colaboración con varias organizaciones no gubernamentales (las
ONG) mundiales sobre normas, orientaciones, mejores prácticas, y políticas públicas
relacionadas con la auditoría interna y otras cuestiones pertinentes.

A nivel regional, El IIA trabaja en estrecha colaboración con cinco organismos

regionales formados por institutos nacionales como sus miembros: La
Confederación Europea de Institutos de la Auditoría Interna (ECIIA), La Federación
Africana de Institutos de Auditores Internos (AFIIA), La Confederación Árabe de
Institutos de Auditores Internos (ArabCIIA), La Confederación Asiática de Institutos
de Auditores Internos (ACIIA), y la Federación Latinoamericana de Auditoría Interna
(FLAI). El IIA recomienda a estos organismos profesionales regionales y a sus
institutos constituyentes que colaboren y se comprometan con las respectivas
organizaciones supranacionales de sus regiones, y se complace en asociarse con
ellos y proporcionar recursos como parte de ese compromiso.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 27

Comentarios de las partes interesadas para
un documento de hoja perenne
Como una nueva iniciativa que busca definir una visión global para la auditoría
interna, El IIA buscó obtener el más amplio apoyo y observaciones posibles
de las partes interesadas para este documento. El IIA es una organización
con más de 255 000 miembros en todo el mundo, y reconoce que necesita
solicitar opiniones diversas y a veces contradictorias sobre el marco jurídico,
normativo y político adecuado para la profesión de la auditoría interna. Si bien
El IIA no puede satisfacer completamente a todas las partes interesadas y
sus comentarios específicos, la organización tiene como objetivo armonizar
las posturas de las diversas partes interesadas a nivel mundial para producir
un documento de su postura que hable de la representación más amplia y
óptima de las opiniones de la profesión de auditoría interna con respecto a su
marco jurídico y normativo.

Con este propósito, se publicó un borrador de este documento con un

periodo de 60 días para comentarios de las partes interesadas durante
los meses de junio, julio, y agosto de 2023. En particular, se invitó a los 116
institutos13 nacionales del IIA, así como a las 144 secciones de la organización
en Canadá, los Estados Unidos, y el Caribe, a que propusieran modificaciones,
hicieran sugerencias, y formularan críticas y preguntas. Además, El IIA celebró
sesiones interactivas con los líderes de los institutos nacionales en la reunión
de la Asamblea Global del IIA en julio de 2023 en Ámsterdam, Países Bajos.
También se informó al Global Board del IIA, al North American Board, y a los
comités de miembros voluntarios (e.g., el Canadian Advisory Committee, el
Global Advocacy Advisory Committee, el North American Advocacy Advisory
Committee, y el Institute Relations Commitee) y se les solicitaron sus
observaciones.

Todos los comentarios de estas partes interesadas fueron considerados y se

debatieron cuidadosamente durante los meses siguientes, lo que condujo a
una versión revisada del “defecto fatal” que se publicó en junio y julio de 2024
durante cinco semanas adicionales para exponerla a las partes interesadas y
obtener sus comentarios.

Al publicarse este documento, este debe considerarse la postura definitiva

del IIA sobre el marco jurídico, normativo, y político ideal para la profesión
de auditoría interna global. Sin embargo, la organización considera este
documento como un documento vivo. Así como el mundo, la tecnología, las
políticas públicas, el gobierno corporativo, y la propia profesión de auditoría
interna evolucionan constantemente, este documento también evolucionará.
El IIA planea revisar este documento al menos una vez cada cinco años para
proponer actualizaciones, aprovechando las observaciones y los comentarios
de las partes interesadas. Es a través de este proceso que El IIA espera que
este documento articule un marco siempre pertinente, completo, y con visión
al futuro, respaldado por el amplio apoyo de nuestros institutos nacionales y
nuestros miembros.

>> 13. Durante este periodo de comentarios de las partes interesadas, hubo 116 institutos nacionales y secciones internacionales del IIA.

Un marco jurídico, reglamentario, y político para la profesión de auditoría interna | 28

1035 Greenwood Blvd., Ste. 401
Lake Mary, FL 32746 USA
theiia.org | [email protected]