Modelo de Madurez de las

Unidades de Auditora Interna

en el Sector Publico:

En qu nivel de madurez est su

unidad y como llevarla al siguiente?
Jorge Badillo Ayala
CIA, CCSA, CRMA, CGAP, CISA, MBA

Mayo - 2013
www.theiia.org

AGENDA
1. Introduccin a los Modelos de Madurez
2. Modelo de Madurez de Auditora Interna
3. Principios Bsicos
4. Aspectos Clave
5. Elementos de la Actividad de AI
6. Niveles del Modelo de Madurez
7. Evaluacin del Nivel de Madurez (Ejemplo)
8. Identificacin de nivel: actual, objetivo, industria local
9. Recomendaciones para lograr nivel objetivo (Ejemplo)
10. Otra informacin adicional

1. Introduccin a los Modelos de Madurez

El Modelo de Madurez de Capacidades o
CMM (Capability Maturity Model)

Es un modelo de evaluacin de los procesos de una organizacin. Fue

desarrollado inicialmente para los procesos relativos al desarrollo e
implementacin de software por la Universidad Carnegie-Mellon
para el SEI (Software Engineering Institute).

El SEI es un centro de investigacin y desarrollo patrocinado por el

Departamento de Defensa de los Estados Unidos de Amrica y
gestionado por la Universidad Carnegie-Mellon.

1. Introduccin a los Modelos de Madurez

El modelo CMM

A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de

los Estados Unidos de Amrica (en particular del Departamento de Defensa,
DoD), desarroll una primera definicin de un modelo de madurez de
procesos en el desarrollo de software, que se public en septiembre de
1987.

Este modelo establece un conjunto de prcticas o procesos clave agrupados en

reas Clave de Proceso (KPA - Key Process Area). Para cada rea de
proceso define un conjunto de buenas prcticas que habrn de ser:

Definidas en un procedimiento documentado

Provistas (la organizacin) de los medios y formacin necesarios
Ejecutadas de un modo sistemtico, universal y uniforme (institucionalizadas)
Medidas
Verificadas

1. Introduccin a los Modelos de Madurez

El modelo CMM

A su vez estas reas de Proceso se agrupan en cinco "niveles de madurez", de modo

que una organizacin que tenga institucionalizadas todas las prcticas incluidas en un
nivel y sus inferiores, se considera que ha alcanzado ese nivel de madurez. Los niveles
son:

1 - Inicial. Las organizaciones en este nivel no disponen de un ambiente estable para el desarrollo y
mantenimiento de software. Aunque se utilicen tcnicas correctas de ingeniera, los esfuerzos se ven minados por
falta de planificacin. El xito de los proyectos se basa la mayora de las veces en el esfuerzo personal, aunque a
menudo se producen fracasos y casi siempre retrasos y sobrecostes. El resultado de los proyectos es
impredecible.
2 - Repetible. En este nivel las organizaciones disponen de unas prcticas institucionalizadas de gestin de
proyectos, existen unas mtricas bsicas y un razonable seguimiento de la calidad. La relacin con subcontratistas
y clientes est gestionada sistemticamente.
3 - Definido. Adems de una buena gestin de proyectos, a este nivel las organizaciones disponen de correctos
procedimientos de coordinacin entre grupos, formacin del personal, tcnicas de ingeniera ms detalladas y un
nivel ms avanzado de mtricas en los procesos. Se implementan tcnicas de revisin por pares (peer reviews).
4 - Gestionado. Se caracteriza porque las organizaciones disponen de un conjunto de mtricas significativas
de calidad y productividad, que se usan de modo sistemtico para la toma de decisiones y la gestin de riesgos.
El software resultante es de alta calidad.
5 - Optimizado. La organizacin completa est volcada en la mejora continua de los procesos. Se hace uso
intensivo de las mtricas y se gestiona el proceso de innovacin.

1. Introduccin a los Modelos de Madurez

As es como el modelo CMM establece una medida del progreso,

conforme al avance en niveles de madurez.

Cada nivel a su vez cuenta con un nmero de reas de proceso que

deben lograrse. El alcanzar estas reas o estadios se detecta mediante
la satisfaccin o insatisfaccin de varias metas claras y cuantificables.

Con la excepcin del primer nivel, cada uno de los restantes Niveles
de Madurez est compuesto por un cierto nmero de reas Claves
de Proceso (KPA).

Cada KPA identifica un conjunto de actividades y prcticas

interrelacionadas, las cuales cuando son realizadas en forma colectiva
permiten alcanzar las metas fundamentales del proceso.
6

1. Introduccin a los Modelos de Madurez

Integracin de modelos de madurez de capacidades o
CMMI (Capability maturity model integration)

CMMI como evolucin de CMM

A partir de 2001, en que se present el modelo CMMI, el SEI ha dejado

de desarrollar el SW-CMM.

Es un modelo para la mejora y evaluacin de procesos para el

desarrollo, mantenimiento y operacin de sistemas de software.

1. Introduccin a los Modelos de Madurez

El modelo CMM ha sido aplicado a otras reas/disciplinas, entre ellas: procesos, gestin de riesgos, control
interno, gobierno corporativo, auditora interna.

1. Introduccin a los Modelos de Madurez

Niveles de Madurez en los Procesos

0 - Inexistente:
No se aplica una
administracin de
los procesos

1 - Inicial/Ad Hoc:
Procesos son ad
hoc y
desorganizados

2 Repetible
pero Intuitivo:
Procesos siguen
un patrn regular

3 - Definido:
Procesos son
documentados y
comunicados

Nivel mnimo para

un adecuado
control interno

4 Administrado
y Medible:
Procesos son
monitoreados y
medidos

5 Optimizado:
Buenas prcticas
son seguidas y
automatizadas

Fuente: ISACA

Fuente: ISACA

10

Fuente: ISACA

11

1. Introduccin a los Modelos de Madurez

Niveles de Madurez en Gestin de Riesgos (Universidad de
California USA)
Modelo de Madurez Gestin de Riesgos
Excelente

Avanzadas capacidades para identificar , medir, administrar todas las exposiciones a riesgos dentro de lo
tolerado
Avanzada implementacin, desarrollo y ejecucin de parmetros de ERM
Consistentemente optimiza la rentabilidad ajustada al riesgo a travs de la organizacin

Fuerte

Clara visin de la tolerancia al riesgo y perfil de riesgo global

Control de Riesgos excede lo adecuada para la mayora de los principales riesgos
Tiene procesos slidos para identificar y prepararse para los riesgos emergentes
Incorpora la gestin de riesgos y toma de decisiones para optimizar la rentabilidad ajustada al riesgo

Adecuado

Estn en pleno funcionamiento los sistemas de control establecidos para la totalidad de sus principales
riesgos
Puede faltar un proceso slido para la identificacin y preparacin para los riesgos emergentes
Realiza una buena gestin de riesgos clsica "silo
No completamente desarrollada proceso para optimizar la rentabilidad ajustada al riesgo

Dbil

Proceso de control incompleto para uno o ms riesgos importantes

Inconsistente o limitada capacidad para identificar, medir o controlar las exposiciones de riesgo
importantes
Fuente: www.ucop.edu

12

1. Introduccin a los Modelos de Madurez

Los modelos de madurez de capacidad se caracterizan por ser

descripciones detalladas de caractersticas clave de niveles de
crecimiento/desarrollo/evolucin en algo (desarrollo de software,
procesos, control interno, riesgos, auditora interna), desde un estado
inexistente o muy bsico hasta un estado ptimo muy avanzado.

Sin embargo, no debe entenderse como un modelo de evolucin donde

el objetivo es estar siempre en el nivel ms avanzado, los modelos de
madurez sirven para:
Reconocer el nivel de madurez actual
Conocer el nivel de madurez de la industria/medio
Identificar el nivel adecuado deseado/requerido

No siempre es adecuado/necesario estar en el nivel de madurez

13

1. Introduccin a los Modelos de Madurez

El Modelo de madurez de capacidad establece niveles de desarrollo en algo, el ltimo nivel es el de mayor desarrollo;
sin embargo, para identificar el nivel adecuado en el que una organizacin debiera ubicarse es importante considerar el
nivel actual, el nivel de la industria/medio y analizar el nivel deseado.
El modelo de madurez entonces no es un modelo de evolucin riguroso en donde siempre lo mejor para todos es
estar en el ltimo nivel considerado el ms evolucionado.

14

1. Introduccin a los Modelos de Madurez

El Modelo de madurez de capacidad tiene por objetivo facilitar y clarificar el

proceso de identificacin de la capacidad actual y como llegar al estado
deseado/requerido

15

2. Modelo de Madurez de Auditora Interna

Qu es el Modelo de Madurez de
Auditora Interna AI (Modelo de
Capacidad desarrollado por la fundacin
de investigacin del el IIA)?
Un medio de identificacin /
comunicacin del estado actual y
deseado de la AI
Un marco de trabajo para la evaluacin /
autoevaluacin de la actividad de AI
Una hoja de ruta para lograr un
mejoramiento ordenado
16

www.theiia.org/research

3. Principios Bsicos
Obligaciones de la actividad de AI
Ser un componente integral de un efectivo gobierno
corporativo en el sector pblico
Ayudar a las organizaciones a alcanzar sus objetivos y dar
cuenta de sus resultados
Obligaciones de las organizaciones
Determinar el ptimo nivel de capacidad (madurez) de AI
para soportar la estructura de gobierno requerida
Alcanzar y mantener la capacidad (madurez) deseada

17

3. Principios Bsicos
Seleccionando la capacidad (madurez) ptima
Tres variables:
Ambiente
Organizacin
Actividad de AI

1. Ambiente

Seleccin
de la
Capacidad (madurez)
ptima

3. Actividad de AI

2. Organizacin

18

3. Principios Bsicos
Seleccionando la capacidad (madurez) ptima
Diferentes niveles de capacidad son requeridos en
diferentes organizaciones
Auditora debe ser costo efectiva

No existe un nivel ptimo estndar para todas las

actividades AI, depende de las tres variables antes
indicadas

19

4. Aspectos Clave
Existen seis elementos que conforman la actividad de AI
1. Servicios y rol de AI
2. Gestin del recurso humano
3. Prcticas profesionales
4. Desempeo, gestin y rendicin de cuentas
5. Relaciones y cultura organizacional
6. Estructura de gobierno corporativo
Existen cinco niveles de capacidad (madurez) para cada uno de los
elementos
1. Inicial
2. Infraestructura
3. Integrado
4. Administrado
5. Optimizado
20

4. Aspectos Clave

Una actividad de AI puede tener para cada elemento diferentes niveles

de capacidad (madurez); sin embargo, su nivel de capacidad /
madurez general ser el del nivel ms bajo en que se encuentre
alguno o varios de sus elementos. Es decir, se alcanza un nivel de
madurez cuando todos los elementos estn al menos en el mismo nivel.

El nivel de madurez ptimo debe ser establecido y se debe trabajar para

alcanzarlo y mantenerlo, el nivel que generalmente permite un
desarrollo adecuado y de valor agregado de la actividad de
auditora interna es el Nivel 3 - Integrado; sin embargo, si las
circunstancias del entorno y la organizacin lo requieren puede en el
presente o en el futuro hacerse necesario un nivel de capacidad /
madurez 4 Administrado o incluso 5 Optimizado.

21

5. Elementos de la Actividad de AI
6. Estructuras
de Gobierno
Corporativo

Los dos ltimos

elementos incluyen
las relaciones de AI
con la organizacin
y el ambiente interno
y externo

5. Relaciones
y Cultura
Organizacional

1. Servicios y
rol de AI

Los primeros cuatro

elementos se
relacionan
principalmente con la
gestin y prcticas
de la AI por s misma

Elementos
actividad
AI
4. Desempeo,
gestin y
rendicin de
cuentas

2. Gestin del
recurso
humano

3. Prcticas
profesionales
www.theiia.org/research

22

6. Niveles del Modelo de Madurez

5. AI aprende de adentro y de afuera de la
organizacin para un mejoramiento
continuo
4. AI integra informacin a travs de la organizacin
para mejorar el gobierno corporativo y la gestin de
riesgos
3. Gestin y prcticas profesionales
de AI uniformemente aplicadas

2. Prcticas y procedimientos
de AI sostenibles y repetible
1. No
sostenible,
capacidades
repetibles
dependen de
los esfuerzos
individuales

NIVEL 5
Optimizado

NIVEL 4
Administrado

NIVEL 3
Integrado

NIVEL 2
Infraestructura

NIVEL 1
Inicial

www.theiia.org/research

23

6. Niveles del Modelo de Madurez

Descripcin de los niveles de capacidad

Nivel 1 - Inicial

Nivel 2 - Infraestructura

Ad hoc o no estructurada
Auditoras individuales y aisladas; o,
revisiones de documentos y transacciones
para precisin y cumplimiento
Los resultados dependen de las destrezas
de las personas a cargo
No hay prcticas profesionales establecidas
ms que las proporcionadas por
organizaciones profesionales
Aprobacin de fondos por parte de la
gerencia, segn es necesario
Ausencia de infraestructura
Auditores son ms bien parte de una unidad
organizacional ms grande
Capacidad institucional no est desarrollada

Una pregunta clave o desafo para el nivel 2

es cmo establecer y mantener procesos
repetibles y de este modo una capacidad
repetible
Relaciones de reporte de AI, administracin
e infraestructura administrativa, as como
prcticas profesionales y procesos estn
siendo establecidos (Guas, procesos y
procedimientos de auditora interna)
Planeacin de auditora principalmente
basada en las prioridades de la gerencia
Dependencia continua esencialmente de las
destrezas y competencias de personas
especficas
Conformidad parcial con las Normas de
Auditora Interna (MIPP)

24

6. Niveles del Modelo de Madurez

Descripcin de los niveles de capacidad

Nivel 3 - Integrado

Nivel 4 - Administrado

Polticas, procesos y procedimientos estn

definidos, documentados e integrados entre s y
en la infraestructura de la organizacin
La administracin de AI y las prcticas
profesionales estn bien establecidas y son
uniformemente aplicadas a travs de la
actividad de AI
AI est empezando a alinearse con los
negocios/asuntos de la organizacin y los
riesgos que estos afrontan
AI evoluciona de realizar solamente auditoras
internas tradicionales hacia a integrarse como
un elemento fundamental y proveer asesora
sobre desempeo y gestin de riesgos
Enfoque en trabajo en equipo y capacidad de la
actividad de AI y su independencia y objetividad
Generalmente conforme con las Normas de
Auditora Interna (MIPP)

AI y las expectativas de las partes interesadas

clave estn alineadas
Indicadores de desempeo estn
implementadas para medir y monitorear los
procesos y resultados de AI
AI es reconocida como proveedora de
significativas contribuciones a la organizacin
La funcin de AI es parte integral de la gestin
de riesgos y gobierno corporativo de la
organizacin
AI es una unidad de negocio (rea) bien
manejada
Riesgos son medidos y administrados
cuantitativamente
Requisitos de destrezas y competencias estn
implementados con una capacidad para renovar
y compartir el conocimiento (dentro de AI y a
travs de la organizacin)

25

6. Niveles del Modelo de Madurez

Descripcin de los niveles de capacidad

Nivel 5 - Optimizado
AI es una organizacin de aprendizaje con mejora continua de
procesos e innovacin
AI utiliza informacin de dentro y fuera de la organizacin para
contribuir con el logro de los objetivos estratgicos
Desempeo de clase mundial / recomendado / mejores prcticas
AI es parte crtica de la estructura de gobierno de la organizacin
Profesionales de alto nivel y con destrezas especializadas
Indicadores de desempeo a nivel individual, de unidad y
organizacional estn plenamente integrados para direccionar las
mejoras de desempeo

26

6. Niveles del Modelo de Madurez

1. Servicios y rol de
Auditora Interna AI
Nivel 5
Optimizado

Nivel 4
Administrado

AI reconocida en la
organizacin como
agente de cambio clave

Aseguramiento
(evaluacin) integral
sobre aspectos de
gobierno, gestin de
riesgos y control

2. Gestin del
Recurso Humano

3. Prcticas
Profesionales

4. Desempeo, Gestin
y Rendicin de
Cuentas

5. Relaciones y
Cultura
Organizacional

6. Estructuras de
Gobierno
Corporativo

Liderazgo y participacin en
organizamos profesionales

Mejoramiento continuo
en prcticas
profesionales

Informacin pblica de
la eficacia de AI

Relaciones eficaces y
en marcha

Independencia, Poder,
y Autoridad de la
actividad de AI

La estrategia de
auditora aprovecha la
gestin de riesgos de la
organizacin

Integracin de
mediciones de
desempeo cualitativas
y cuantitativas

El lder de AI asesora
e influye positivamente
a la alta gerencia

Trabajo en equipo y
competencias

Marco de gestin de
calidad

Mediciones de
desempeo

Coordinacin con
otros grupos de
revisin

Personal profesionalmente
calificado

Planificacin de auditora
basada en riesgos

Costo de la informacin

Proyeccin de fuerza de
trabajo (largo plazo)

AI contribuye al desarrollo
gerencial de la organizacin
La actividad de AI apoya a los
organismos profesionales

Planificacin estratgica
de AI

El lder de AI reporta a
un alto nivel de
autoridad

Planificacin de fuerza de
trabajo (mediano plazo)
Nivel 3
Integrado

Servicios de asesora
Auditoras de desempeo
(eficiencia y efectividad) y
de temas relacionados
con gobierno, gestin de
riesgos y control;
evaluaciones de
valor por dinero

Nivel 2
Infraestructura

Nivel 1
Inicial

Auditorias de
cumplimiento (evaluacin
de cumplimiento con
lineamientos internos y/o
externos)

Coordinacin de fuerza de
trabajo (corto plazo)

Desarrollo profesional
individual

Marco de prcticas
profesionales y procesos

Gente especializada es
identificada y reclutada

Planificacin de
Auditora basada en
prioridades de la
administracin o partes
relacionadas

Supervisin
independiente de la
actividad de AI

Reportes gerenciales
de AI

Componente integral
del equipo gerencial
(manteniendo
independencia y
objetividad)

Presupuesto
operacional de AI

Gerenciamiento dentro
de la actividad de AI

La gerencia de la
organizacin
interacta con la
actividad de AI
Robusto y
transparente
mecanismo de
obtencin de fondos
requeridos por la AI

Acceso total a la
informacin, activos y
gente de la
organizacin

Plan de negocios de AI

Relaciones de reporte
formalmente
establecidas

Ad hoc y no estructurada; solamente auditoras aisladas o revisiones de documentos y transacciones para fines de la exactitud y el cumplimiento; salidas / productos
dependen de las habilidades de los individuos especficos a cargo; sin prcticas profesionales especficas establecidas que no sean las previstas por las asociaciones
profesionales; fondos / presupuesto aprobado por la administracin, segn sea necesario; ausencia de infraestructura; auditor es son probablemente parte de una unidad
ms grande de la organizacin; sin capacidades establecidas, por lo tanto, no hay reas de proceso clave especficas

6. Niveles del Modelo de Madurez

El modelo de madurez
de capacidad de AI
proporciona detalles
tcnicos especficos
para cada nivel y
elemento de la
actividad de AI en
cuanto a:

Propsito
Actividades esenciales
Salidas (outputs)
Resultados (outcomes)
Ejemplos de
institucionalizacin

Outcomes Impact
Qu diferencia hay

Outputs
Lo qu hacemos
Actividades

Participacin

Corto Plazo

Mediano Plazo

Largo Plazo

Qu
hacemos

A quienes
llegamos

Cules son
los resultados
en el corto
plazo

Cules son los

resultados en el
mediano plazo

Cules es el
ltimo impacto

Conducimos
talleres,
reuniones
Entregamos
servicios
Desarrollamo
s productos,
recursos
Entrenamos
Damos
asesora
Evaluamos
Facilitamos
Trabajamos
con medios

Participantes

Aprendizaje

Accin

Condiciones

Clientes

Concientizaci
n

Comportamient
o

Social

Agencias

Econmico
Conocimiento

Prctica

Tomadores de
decisiones

Actitudes

Toma de
decisiones

Consumidores

Destrezas

Cvico

Polticas
Opiniones
Accin Social
Aspiraciones
Motivaciones

28

Ambiental

7. Evaluacin del Nivel de Madurez

Utilizando el modelo de madurez de capacidad de AI
No es prescriptivo - lo que debe hacerse en lugar de cmo hacerlo.
Un modelo universal con comparabilidad en torno a principios, prcticas
y procesos para mejorar la IA y aplicarse a nivel mundial.

Pasos a seguir para la evaluacin

1. Comprender el modelo de madurez de capacidad de AI
2. Identificar las KPAs que aparecen para ser institucionalizadas por la
actividad de auditora interna
3. Revisar documentacin respecto a: actividad de AI, organizacin y
ambiente
4. Entrevistas con la gerencia y partes relacionadas
5. Confirmar las actuales KPAs institucionalizadas
6. Determinar el nivel de capacidad
7. Comunicar los resultados
29

7. Evaluacin del Nivel de Madurez

CONSIDERACIONES
Aplicar criterio profesional
Considerar los factores de ambiente y organizacin
El nivel 3 es suficiente?
Pueden los niveles de capacidad ser esquivados?
Pueden las KPAs ser ignoradas?
Deben todos los elementos estar al mismo nivel
de capacidad?

30

7. Evaluacin del Nivel de Madurez

Comunicando resultados
Identificar fortalezas y reas de mejora de la actividad de
auditora interna
Identificar prcticas lder de la actividad de Auditora
Interna
Los resultados de la evaluacin identifican las KPAs o
elementos donde la actividad de AI puede enfocarse para
mejorar su desempeo. Sin embargo, debe ser determinado
si el nivel alcanzado por la actividad de auditora interna es
el ms apropiado para esa actividad en esa organizacin y
en ese particular ambiente
31

7. Evaluacin del Nivel de Madurez

Una actividad de AI puede tener para cada elemento diferentes niveles

de capacidad (madurez); sin embargo, su nivel de capacidad /
madurez general ser el del nivel ms bajo en que se encuentre
alguno o varios de sus elementos. Es decir, se alcanza un nivel de
madurez cuando todos los elementos estn al menos en el mismo nivel.

El nivel de madurez ptimo debe ser establecido y se debe trabajar para

alcanzarlo y mantenerlo, el nivel que generalmente permite un
desarrollo adecuado y de valor agregado de la actividad de
auditora interna es el Nivel 3 - Integrado; sin embargo, si las
circunstancias del entorno y la organizacin lo requieren puede en el
presente o en el futuro hacerse necesario un nivel de capacidad /
madurez 4 Administrado o incluso 5 Optimizado.

32

7. Evaluacin del Nivel de Madurez - EJEMPLO

Servicios y rol de
Auditora Interna AI

Nivel 5
Optimizado

Nivel 4
Administrado

AI reconocida en la
organizacin como
agente de cambio clave

Aseguramiento
(evaluacin) integral
sobre aspectos de
gobierno, gestin de
riesgos y control

Gestin del
Recurso Humano

Prcticas
Profesionales

Desempeo, Gestin y
Rendicin de Cuentas

Relaciones y Cultura
Organizacional

Estructuras de
Gobierno
Corporativo

Liderazgo y participacin en
organismos profesionales

Mejoramiento continuo
en prcticas
profesionales

Informacin pblica de
la eficacia de AI

Relaciones eficaces y
en marcha

Independencia, Poder,
y Autoridad de la
actividad de AI

La estrategia de
auditora aprovecha la
gestin de riesgos de la
organizacin

Integracin de
mediciones de
desempeo cualitativas
y cuantitativas

El lder de AI asesora
e influye positivamente
a la alta gerencia

Trabajo en equipo y
competencias

Marco de gestin de
calidad

Mediciones de
desempeo

Coordinacin con
otros grupos de
revisin

Personal profesionalmente
calificado

Planificacin de
auditora basada en
riesgos

Costo de la informacin

AI EJEMPLO
Marco de prcticas
profesionales y procesos

AI EJEMPLO
Presupuesto
operacional de AI

Planificacin de
Auditora basada en
prioridades de la
administracin o partes
relacionadas

Plan de negocios de AI

Proyeccin de fuerza de
trabajo (largo plazo)

AI contribuye al desarrollo
gerencial de la organizacin
La actividad de AI apoya a los
organismos profesionales

Planificacin estratgica
de AI

El lder de AI reporta a
un alto nivel de
autoridad

Planificacin de fuerza de
trabajo (mediano plazo)

AI EJEMPLO
Nivel 3
Integrado

AI EJEMPLO
Nivel 2
Infraestructura

Nivel 1
Inicial

Servicios de asesora
Auditoras de desempeo
(eficiencia y efectividad) y
de gobierno, gestin de
riesgos y control, con
cobertura plena de los
procesos clave de la
organizacin;
evaluaciones de
valor por dinero

Coordinacin de fuerza de
trabajo (corto plazo)

AI EJEMPLO

AI EJEMPLO

Auditorias de
cumplimiento (evaluacin
de cumplimiento con
lineamientos internos y/o
externos)

Desarrollo profesional
individual
Gente especializada es
identificada y reclutada

Reportes gerenciales
de AI

Supervisin
independiente de la
actividad de AI

Componente integral
del equipo gerencial
(manteniendo
independencia y
objetividad)

AI EJEMPLO
Gerenciamiento dentro
de la actividad de AI

AI EJEMPLO
La gerencia de la
organizacin
interacta con la
actividad de AI
Robusto y
transparente
mecanismo de
obtencin de fondos
requeridos por la AI

Acceso total a la
informacin, activos y
gente de la
organizacin
Relaciones de reporte
formalmente
establecidas

Ad hoc y no estructurada; solamente auditoras aisladas o revisiones de documentos y transacciones para fines de la exactitud y el cumplimiento; salidas / productos
dependen de las habilidades de los individuos especficos a cargo; sin prcticas profesionales especficas establecidas que no sean las previstas por las asociaciones
profesionales; fondos / presupuesto aprobado por la administracin, segn sea necesario; ausencia de infraestructura; auditor es son probablemente parte de una unidad
ms grande de la organizacin; sin capacidades establecidas, por lo tanto, no hay reas de proceso clave especficas

7. Evaluacin del Nivel de Madurez - EJEMPLO

ELEMENTO DE AI

NIVEL DE MADUREZ OBSERVADO - AI EJEMPLO

ACCION RECOMENDADA

1. Servicios y rol de AI

Nivel 2 Infraestructura
con algunos aspectos del siguiente nivel logrados

Fortalecer para alcanzar Nivel 3

2. Gestin del recurso

humano

Nivel 2 Infraestructura

Fortalecer para alcanzar Nivel 3

Nivel 2 Infraestructura
con algunos aspectos del siguiente nivel logrados

Fortalecer para alcanzar Nivel 3

4. Desempeo, gestin y
rendicin de cuentas

Nivel 2 Infraestructura

Fortalecer para alcanzar Nivel 3

5. Relaciones y Cultura
Organizacional

Nivel 2 Infraestructura

Fortalecer para alcanzar Nivel 3

Nivel 3 Integrado

Fortalecer y mantener Nivel 3

3. Prcticas profesionales

6. Estructuras de Gobierno
Corporativo
Nivel de Madurez
Global de AI EJEMPLO

NIVEL 2 INFRAESTRUCTURA

34

8. Identificacin de nivel: actual, objetivo, industria local

El nivel de madurez ptimo debe ser
establecido y se debe trabajar para
alcanzarlo y mantenerlo, el nivel que
generalmente permite un desarrollo
adecuado y de valor agregado de la
actividad de auditora interna es el Nivel
3 - Integrado; sin embargo, si las
circunstancias del entorno y la organizacin
lo requieren puede en el presente o en el
futuro hacerse necesario un nivel de
capacidad / madurez 4 Administrado o
incluso 5 Optimizado.

NIVEL 5
Optimizado
NIVEL 4
Administrado
NIVEL 3
Integrado

NIVEL 2
Infraestructura

NIVEL
ACTUAL

NIVEL 1
Inicial

NIVEL
OBJETIVO
NIVEL
INDUSTRIA / SECTOR

35

9. Recomendaciones para lograr nivel objetivo - EJEMPLO

ELEMENTO AI

RECOMENDACIONES (aspectos que se deberan lograr / fortalecer)

1. Servicios y
rol de AI

Alcanzar Nivel 3 Integrado

Servicios de asesora enfocados en
Analizar una situacin y/o proveer gua y asesoramiento para la gerencia / administracin.
Agregar valor sin que auditora interna asuma responsabilidades gerenciales.
Facilitar ms que en evaluar, incluyendo: entrenamiento, revisin de desarrollo de sistemas, auto
evaluaciones de desempeo y control, consejos y asesora.
Auditoras de desempeo y de valor por dinero
Evaluar y reportar sobre la eficiencia, efectividad y economa de las operaciones, actividades o
programas.
Efectuar auditoras sobre aspectos relacionados con gobierno corporativo, gestin de riegos y control
interno.
Auditoras de desempeo y de valor por dinero cubren plenamente el espectro de procesos
operacionales y de negocio de la organizacin, sus controles gerenciales asociados y los resultados
alcanzados.

2. Gestin del
recurso
humano

Alcanzar Nivel 3 Integrado

Trabajo en equipo y competencias
Desarrollar en el personal de auditora interna la capacidad para trabajar efectivamente en un ambiente
de equipo.
Personal profesionalmente calificado
Proveer a la AI de personal profesionalmente calificado y retener el personal que ha demostrado al
menos el nivel mnimo adecuado de competencias
Coordinar el esfuerzo de trabajo
Coordinar el desarrollo del plan de auditora considerando el recurso humanos existente, aprovechando
sus aptitudes, actitudes y fortalezas.
Aplicar mtodos adecuados debidamente documentados para establecer prioridades en la planeacin y
ejecucin de actividades, considerando las potencialidades del recurso humano.

36

9. Recomendaciones para lograr nivel objetivo - EJEMPLO

ELEMENTO AI

RECOMENDACIONES (aspectos que se deberan lograr / fortalecer)

3. Prcticas
profesionales

Alcanzar Nivel 3 Integrado

Marco de gestin de calidad
Establecer y mantener procesos continuos de monitoreo, evaluacin y mejoramiento de la efectividad y
eficiencia de la actividad de auditora interna. Incluyendo monitoreo interno continuo de las actividades
de AI, as como peridicas evaluaciones de calidad internas y externas.
Planificacin de auditora basada en riesgos
Priorizar las actividades de auditora interna en funcin de un anlisis de los objetivos, riesgos y
controles clave de la organizacin (Auditora Basada en Riesgos). Planificaciones plurianuales, que
consideran un enfoque de riesgo para priorizar las evaluaciones del universo de auditora aplicando
ciclos de auditora.

4. Desempeo,
gestin y
rendicin de
cuentas

Alcanzar Nivel 3 Integrado

Mediciones de desempeo
Establecer indicadores y mediciones de desempeo de la actividad de auditora interna para medir su
desempeo y rutinariamente monitorear sus progresos frente a los objetivos establecidos, para asegurar
que los resultados se consigan de la manera ms econmica y eficiente posible (Considerar la Gua
para la Prctica del IIA Midiendo la eficiencia y efectividad de la Auditora Interna emitida en diciembre
de 2010).
Implementar mediciones clave de los insumos, proceso, producto y resultados de la actividad de
auditora interna.
Costo de la Informacin
Establecer procedimientos eficientes y efectivos del uso de la informacin
Reportes gerenciales de AI
Generar y utilizar reportes gerenciales internos del desempeo de la actividad de AI

37

9. Recomendaciones para lograr nivel objetivo - EJEMPLO

ELEMENTO AI

RECOMENDACIONES (aspectos que se deberan lograr / fortalecer)

5. Relaciones y
Cultura
Organizacional

Alcanzar Nivel 3 Integrado

Coordinacin con otros grupos de revisin
Compartir informacin y coordinar actividades con otros proveedores internos o externos de
aseguramiento (evaluacin) y asesora para asegurar una adecuada cobertura organizacional y evitar la
duplicacin de esfuerzos
Componente integral del equipo gerencial
Participar en las actividades gerenciales de la organizacin de alguna manera como un miembro
valioso del equipo gerencial, sin comprometer la independencia y la objetividad.
El lder de auditora interna est incluido en las comunicaciones y foros de la alta gerencia y mantiene
un canal de comunicacin directo con la misma.

6. Estructuras
de Gobierno
Corporativo

Mantener Nivel 3 Integrado

Gerencia de la organizacin interacta con la actividad de AI
Fortalecer y mantener procedimientos para interactuar con la gerencia de la organizacin para fines
de: planificacin de auditora, retroalimentacin de los resultados de la actividad de AI, seguimiento a las
recomendaciones de AI, integracin de AI en el gobierno corporativo de la organizacin.
Robusto y transparente mecanismo de obtencin de fondos requeridos por la AI
Fortalecer y mantener adecuados procedimientos para establecer, recibir, ejecutar, monitorear y
liquidar un presupuesto que le permita a la AI contar con los recursos necesarios para realizar sus
actividades y alcanzar sus objetivos en bien de la organizacin a la que pertenece.

38

10. Otra informacin adicional

El documento completo en el Bookstore The IIA
http://www.theiia.org/bookstore/product/internal-audit-capability-modeliacm-for-the-public-sector-1422.cfm

39

10. Otra informacin adicional

Informacin del IIA para el Sector Pblico

40

10. Otra informacin adicional

Informacin del IIA para el Sector Pblico

https://global.theiia.org/standards-guidance/leading-practices/Pages/PublicSector.aspx

41

10. Otra informacin adicional

Informacin del IIA para el Sector Pblico

https://global.theiia.org/standards-guidance/recommendedguidance/practice-guides/Pages/Practice-Guides.aspx

42

10. Otra informacin adicional

Midiendo la efectividad y eficiencia de auditora interna
https://global.theiia.org/standards-guidance/recommendedguidance/practice-guides/Pages/Measuring-Internal-Audit-Effectivenessand-Efficiency-Practice-Guide.aspx

43

10. Otra informacin adicional

Midiendo la efectividad y eficiencia de auditora interna

Categora de
medida de
desempeo

Medidas
Bsicas

Innovacin

Medidas de
eficiencia

Medidas de
efectividad

Nmero de auditora planificadas

Nmero de auditoras realizadas
Plazos para recibir comentarios de
desempeo
Utilizacin de personal (tiempo directo vs
tiempo indirecto)
Auditoras realizadas por auditor
Horas reales vs horas presupuestadas
Ciclo de tiempo del reporte de auditora
Nmero de reportes de auditora
planificados vs reportes emitidos

Resultados de AI en satisfaccin al cliente

Uso de tecnologa en las auditora

Creatividad y eficiencia
Nmero de equipos de mejoramiento de AI y
el tiempo de actividade de cada equipo

Procesos de auditora integrales

Nmero de mejores prcticas identificadas y
comunicadas dentor de la organizacin o en
la actividad de aduitora interna
Nmero de horas invertidas en entrenameinto
en temas especializados o de la industria
Involucramiento en orgnaizaciones
profesionales
Liderazgo de pensamiento

Resultados del personal de AI en

satisfaccin al cliente
Nmero de hallazgos de auditora
significativos
Porcentaje de recomendaciones
implementadas
Nmero de hallazgos pasados de auditora
que no se han cerrado y que tuvieron un plan
de accin acordado
Nmero de opiniones insatisfactorias de AI

44

Medidas de
Eficiencia y
efectividad

Entrenamiento
/ horas CPE
Rotacin y
retencin de
personal

10. Otra informacin adicional

Certificacin

Descripcin
Certified Internal Auditor CIA. Es la nica certificacin profesional reconocida
mundialmente que avala la capacidad y la profesionalidad del Auditor Interno en el desempeo
de su trabajo en el campo de la Auditora Interna. Esta certificacin acredita el dominio de lo
ms altos estndares profesionales necesarios generar valor agregado a travs de la asesora
o evaluacin de la gestin de riesgos, control y gobierno de las organizaciones

Certified in Control Self Assessment CCSA. La designacin CCSA es una reconocida

certificacin que acredita el conocimiento de un profesional sobre los principios fundamentales
de autoevalacin de control, procesos y temas relacionados tales como administracin de
riegos, modelos de control interno y objetivos de negocio
Certified Financial Services Auditor CFSA. Esta certificacin reconoce en un profesional
su conocimiento en cuanto a los principios y prcticas de auditora en las industrias de
servicios de banca, seguros y valores. El candidato a certificarse puede elegir entre una de
estas tres disciplinas
Certified Government Auditing Professional CGAP. Se trata de una certificacin
especfica diseada para los auditores del sector pblico. Esta certificacin acredita el
conocimiento de quien la posee respecto de las caractersticas especficas de las labores de
auditora interna en las entidades de gobierno

Certification in Risk Management Assurance CRMA. Certificacin que acredita el

conocimiento y experiencia en aseguramiento (evaluacin) de la gestin de riesgos en las
organizaciones

45

Hay tres grupos de personas: los que hacen

que las cosas pasen; los que miran las cosas
que pasan y los que se preguntan qu pas?
Nicholas Murray Butler

Muchas gracias
por su atencin!

jgba1975@hotmail.com