 Redactar las desviaciones o no conformidad de manera objetiva

1. Falta de plan de auditoría basado en riesgos

Desviación:
La Unidad de Auditoría Interna no cuenta con un plan de auditoría elaborado con
base en una evaluación de riesgos, lo cual contraviene el principio de enfoque
basado en riesgos requerido por los estándares internacionales de auditoría
interna.
Impacto:
 Despriorización de procesos críticos.
 Menor eficiencia en el uso de recursos.
 Riesgo de auditoría o tardías
Recomendación:
Diseñar y formalizar un plan anual de auditoría basado en la evaluación de riesgos
de la organización, identificando procesos críticos, áreas prioritarias y posibles
impactos. Este plan debe revisarse y actualizarse regularmente.
Indicadores Sugeridos:
 % Auditorías realizadas con base en riesgo.
 N de procesos críticos auditados anualmente.

2. Ausencia de evidencia sobre evaluación de competencia continua del

responsable

Desviación:
No se dispone de documentación que evidencie la evaluación periódica de la
competencia y desarrollo profesional continuo del responsable de la Unidad de
Auditoría Interna.
Impacto:
 Riesgo de obsolescencia profesional.
 Perdida de efectividad técnica.
 Menor liderazgo en el cumplimiento normativo.
Recomendación:
Implementar un sistema de evaluación periódica de competencias del responsable
de auditoría, documentando los resultados y estableciendo acciones de mejora o
formación cuando sea necesario.
Indicadores Sugeridos:
 % de evaluaciones completadas.
 Planes de mejoras implementados por año.

3. Falta de revisiones independientes sobre cumplimiento de estándares

internacionales

Desviación:
No se han realizado autoevaluaciones ni evaluaciones externas independientes
para verificar el cumplimiento de los estándares internacionales aplicables a la
auditoría interna.
Impacto:
 Débil verificación de calidad.
 Incumplimiento normativo.
 Pérdida de credibilidad profesional.
Recomendación:
Realizar autoevaluaciones anuales y programar evaluaciones externas cada cinco
años, según lo establecido por las normas internacionales, con el fin de verificar el
cumplimiento de los estándares y mejorar la calidad del servicio de auditoría.
Indicadores Sugeridos:
 Fecha de ultima evaluación Interna/externa.
 Planes de Mejora derivados de revisiones.

4. Falta de evidencia de seguimiento a recomendaciones anteriores

Desviación:
No existe evidencia documental que respalde el seguimiento efectivo a las
recomendaciones emitidas en auditorías previas, lo que impide verificar la
implementación de acciones correctivas.
Impacto:
 Riesgo de Incidencia.
 Desperdicio de hallazgos previos.
 Deterioro del control Interno.

Recomendación:
Establecer un procedimiento formal de seguimiento a recomendaciones emitidas
en auditorías internas y externas, asegurando su documentación, asignación de
responsables, plazos y verificación de cumplimiento.
Indicadores Sugeridos:
 % de recomendaciones cerradas.
 Tiempo promedio de implementación.

5. Inexistencia de código de ética firmado por el equipo de auditoría

Desviación:
La Unidad de Auditoría Interna no cuenta con un código de ética institucional
firmado por los integrantes del equipo, incumpliendo los principios de integridad y
compromiso ético requeridos.
Impacto:
 Riesgo reputacional.
 Vulnerabilidad a conflictos de intereses.
 Debilidad en la cultura ética organizacional.

Recomendación:
Elaborar, aprobar y difundir un código de ética alineado con el Código de Ética del
IIA. Asegurar que todos los auditores lo firmen y lo conozcan como parte de sus
obligaciones profesionales.
Indicadores Sugeridos:
 % del personal que ha firmado el código.
 Numero de capacitaciones éticas realizadas.
6. Inexistencia de un plan estratégico de auditoría

Desviación:
No se ha definido ni documentado un plan estratégico que oriente a mediano y
largo plazo las actividades de la Unidad de Auditoría Interna, en desacuerdo con
los lineamientos estratégicos exigidos por la normativa.
Impacto:
 Falta de alineación con la estrategia institucional.
 Débil sostenibilidad de la función de auditoría.

Recomendación:
Desarrollar un plan estratégico de auditoría interna con un horizonte de 3 a 5 años,
que defina objetivos, metas, recursos, alineación con la estrategia institucional y
contribución al valor agregado para la organización.
Indicadores sugeridos:
 Existencia del plan estratégico vigente.
 Revisión anual del plan.

7. Ausencia de plan de formación para auditores

Desviación:
La Unidad de Auditoría Interna no cuenta con un plan de capacitación y formación
continua para los auditores, lo que limita el fortalecimiento de competencias
conforme a los requerimientos actuales.
Impacto:
 Brechas de conocimiento.
 Baja adaptación a nuevas normativas y tecnologías.

Recomendación:
Diseñar e implementar un plan de capacitación anual para el personal de auditoría
interna, considerando competencias técnicas, normativas, tecnológicas y
habilidades blandas. Evaluar su efectividad y mantener registros actualizados.

Indicadores sugeridos:
  % cumplimiento del plan de formación.
 Evaluación de impacto de la capacitación.

8. Inexistencia de metodología para el desarrollo de auditorías

Desviación:
No se dispone de una metodología formalmente documentada que establezca los
procedimientos y criterios para la ejecución de auditorías internas.
Impacto:
 Inconsistencia en enfoques.
 Discrecionalidad operativa.
 Riesgos de incumplimiento de estándares.

Recomendación:
Establecer una metodología formal y documentada para la ejecución de auditorías
internas, desde la planificación hasta el seguimiento. Esta debe estar alineada con
los estándares internacionales y normativas vigentes.
Indicadores sugeridos:
 Existencia y uso de metodología aprobada.
 % de auditorías realizadas bajo metodología.

9. Informes de evaluaciones internas no comunicados más allá de la Alta

Dirección

Desviación:
Los resultados de las evaluaciones internas de calidad realizadas a la función de
auditoría han sido comunicados únicamente a la Alta Dirección, sin evidencia de
su presentación al Comité de Auditoría, lo cual limita la transparencia y
supervisión.
Impacto:
 Falta de supervisión efectiva.
 Reducción de la transparencia institucional.
Recomendación:
Incorporar como práctica estándar la presentación de los resultados de las
evaluaciones internas al Comité de Auditoría, asegurando una supervisión efectiva
y fortaleciendo la transparencia del proceso.
Indicadores sugeridos:
 N de informes presentados al comité.
 Registros de actas de sesiones de supervisión.

10. Evaluaciones de continuidad sin auditores capacitados en el tema

Desviación:
Se han realizado auditorías en materia de continuidad del negocio sin que ningún
auditor de la unidad cuente con formación específica en dicha área,
comprometiendo la competencia técnica en evaluaciones especializadas.
Impacto:
 Resultados técnicamente cuestionables.
 Falta de profundidad en hallazgos críticos.

Recomendación:
Brindar formación específica a los auditores internos en materia de continuidad del
negocio y gestión de crisis, asegurando que cuenten con los conocimientos
necesarios para auditar eficazmente esta área crítica.
Indicadores sugeridos:
 % de auditores capacitados.
 Numero de Auditorias especializadas por personal competente.

11. Evaluaciones al Gobierno de TI sin auditor especializado

Desviación:
La Unidad de Auditoría Interna ha realizado auditorías al Gobierno de Tecnologías
de la Información sin contar con personal especializado en auditoría de TI, lo cual
incumple el principio de competencia técnica requerida para áreas especializadas.

Impacto:
 Falta de solidez técnica en conclusiones.
  Riesgo de omitir vulnerabilidades tecnológicas críticas.

Recomendación:
Incorporar a la unidad de auditoría un profesional especializado en auditoría de
tecnologías de la información o capacitar al personal actual en esta área para
asegurar evaluaciones técnicamente sólidas.
Indicadores Sugeridos:
 N de auditores con certificaciones TI.
 % de auditorias TI realizadas por el personal certificado.

12. Falta de experiencia financiera y conocimiento del negocio en el Comité

de Auditoría

Desviación:
El Comité de Auditoría carece de miembros con experiencia en finanzas y
conocimientos sobre el negocio de la organización, lo que limita su capacidad de
supervisión técnica y estratégica conforme a los estándares de gobernanza
establecidos.
Impacto:
 Supervisión estratégica limitada.
 Falta de criterios técnico en decisiones claves.

Recomendación:
Revisar la composición del Comité de Auditoría para incluir al menos un experto
en finanzas y a miembros con conocimiento del sector o del modelo de negocio de
la organización, fortaleciendo la efectividad del comité.
Indicadores sugeridos:
 Perfil profesional de miembros del comité.
 Participación efectiva en sesiones evaluadas.
  MATRIZ DE DESVIACIONES Y RECOMENDACIONES – AUDITORIA
INTERNA (NRP- 15)

Códig Desviación Recomendación Priorida Responsable

o Identificada d Sugerido

AI-001 La Unidad de Auditoría Elaborar un plan anual de Alta Jefe de

Interna no cuenta con auditoría sustentado en una Auditoría
un plan de auditoría evaluación formal de Interna
basado en riesgos. riesgos.

AI-002 No hay evidencia de Implementar y documentar Media RRHH /

evaluación continua de evaluaciones periódicas de Auditoría
competencia del competencia del Interna
responsable de responsable
auditoría.

AI-003 No se han realizado Realizar una autoevaluación Alta Jefe de

autoevaluaciones ni anual y programar una Auditoría
evaluaciones externas evaluación externa cada 5 Interna
de cumplimiento de años.
estándares.

AI-004 No se cuenta con Establecer un sistema de Alta Auditoría

evidencia documental seguimiento formal a Interna
de seguimiento a recomendaciones, con
recomendaciones evidencia de cumplimiento.
anteriores.

AI-005 No existe un código de Elaborar, difundir y firmar un Alta Auditoría

ética firmado por el código de ética institucional Interna /
equipo de auditoría. para los auditores. Comité de
Ética
AI-006 No se ha definido un Desarrollar un plan Media Jefe de
plan estratégico de estratégico de 3-5 años Auditoría
 auditoría. alineado con los objetivos Interna
institucionales.
AI-007 No se tiene un plan de Establecer un programa Alta RRHH /
formación para los anual de capacitación con Auditoría
auditores. base en brechas Interna
detectadas.
AI-008 No se cuenta con Diseñar y oficializar una Alta Auditoría
metodología metodología estandarizada Interna
documentada para de auditoría interna.
desarrollar auditorías.

AI-009 Evaluaciones internas Presentar resultados Media Auditoría

solo han sido también al Comité de Interna
informadas a la Alta Auditoría para mayor
Dirección. transparencia y supervisión.

AI-0010 Se realizaron auditorías Capacitar al personal en Alta Auditoría

de continuidad del continuidad del negocio Interna. /
negocio sin auditores antes de realizar auditorías RRHH
capacitados en el tema. en esta área.

AI-0011 Evaluación al Gobierno Incluir un auditor Alta Auditoría

de TI sin personal especializado en TI o Interna / RRHH
especializado en TI. capacitar al personal actual.

AI-0012 El Comité de Auditoría Incorporar miembros con Alta Alta Dirección /

carece de experiencia perfil financiero y Consejo
financiera y conocimiento del sector. Directivo
conocimiento del
negocio.