Auditoría Interna

Las Nuevas Normas Globales de Auditoría Interna: Lo que cambió, lo que permanece y lo que pocos han notado

Detalles
Categoría de nivel principal o raíz: Blog
Auditoría Interna

Las Nuevas Normas Globales de Auditoría Interna:

Lo que cambió y lo que muchos aún ignoran

📅 Contexto: El 9 de enero de 2025 entraron en vigencia las nuevas Normas Globales de Auditoría Interna (Global Internal Audit Standards), reemplazando el marco IPPF de 2017. Desde su publicación en enero de 2024, han sido descargadas más de 600,000 veces y traducidas a 25 idiomas. Sin embargo, muchos auditores aún no comprenden los cambios más profundos.

Si crees que las nuevas normas son simplemente una "reorganización" del contenido anterior, estás perdiendo el punto más importante.

Sí, hay una nueva estructura. Sí, hay 5 dominios en lugar de estándares numerados. Pero el cambio real es más profundo: por primera vez, las normas establecen obligaciones explícitas para la Junta Directiva y la Alta Gerencia, no solo para los auditores internos.

Este artículo te guía por los cambios clave, separando lo que ya sabías de lo que probablemente aún no has procesado.

📐 La Nueva Arquitectura: 5 Dominios, 15 Principios, 52 Requisitos

Las normas anteriores (IPPF 2017) estaban fragmentadas en cuatro documentos separados: Estándares, Código de Ética, Principios Fundamentales y Definición de Auditoría Interna. Ahora todo está integrado en un solo marco coherente:

DominioEnfoquePrincipios
I. Propósito de la Auditoría Interna Define qué es auditoría interna, su valor y cuándo es más efectiva 1
II. Ética y Profesionalismo Requisitos de comportamiento: integridad, objetividad, confidencialidad, competencia 4
III. Gobierno de la Función Condiciones esenciales: independencia, mandato, recursos, supervisión 2
IV. Gestión de la Función Planificación estratégica, recursos, coordinación, comunicación, calidad 4
V. Realización de Servicios Planificación, ejecución, comunicación de resultados, seguimiento 4

🔴 Lo Que Muchos Ignoran #1: El Dominio III Cambia Todo

Si solo pudieras leer una parte de las nuevas normas, debería ser el Dominio III: Gobierno de la Función de Auditoría Interna. Aquí está el cambio más transformador.

⚡ El cambio fundamental:

Por primera vez, las normas establecen obligaciones explícitas para la Junta Directiva (o Comité de Auditoría), no solo para el Director de Auditoría Interna. La conformidad con las normas ya no es responsabilidad exclusiva de auditoría interna: requiere participación activa del gobierno corporativo.

El Dominio III establece "condiciones esenciales" que deben existir para que la auditoría interna sea efectiva:

Condiciones Esenciales que la Junta DEBE Garantizar:

1. Mandato de Auditoría Interna: Comprender y aprobar el mandato, revisándolo al menos anualmente.

2. Independencia Organizacional: Establecer una relación de reporte directo entre la Junta y el Director de Auditoría Interna.

3. Nombramiento del DAI: La Junta debe participar en el nombramiento del Director de Auditoría Interna.

4. Interacción con la Junta: Interactuar regularmente para comprender la efectividad de los procesos de gobierno, riesgo y control.

5. Recursos: Asegurar que auditoría interna tenga recursos suficientes para cumplir su mandato y plan.

6. Calidad: Asegurar que el DAI implemente un programa de aseguramiento y mejora de calidad (QAIP).

7. Evaluación Externa de Calidad: Asegurar que se realice al menos cada 5 años.

"Si tu Junta Directiva o Comité de Auditoría no conoce estas obligaciones, tu función de auditoría no puede estar en conformidad con las normas. Así de simple."

🔴 Lo Que Muchos Ignoran #2: Nueva Definición de Propósito

La definición de auditoría interna cambió. No es un ajuste cosmético; refleja una evolución en cómo se entiende el valor de la función:

Antes (IPPF 2017)

"Una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización..."

Ahora (GIAS 2024)

"La auditoría interna fortalece la capacidad de la organización para crear, proteger y sostener valor proporcionando a la junta y a la gerencia aseguramiento, asesoría, conocimiento y prospectiva, de manera independiente, basada en riesgos y objetiva."

💡 ¿Por qué importa? La nueva definición incluye conceptos como "prospectiva" (foresight) y "conocimiento" (insight), expandiendo el rol de auditoría más allá del aseguramiento tradicional hacia un rol más consultivo y anticipatorio.

🔴 Lo Que Muchos Ignoran #3: Requisitos Temáticos Obligatorios

Una innovación significativa del nuevo marco es la introducción de los Requisitos Temáticos (Topical Requirements).

¿Qué son? Guías obligatorias que establecen cómo auditar áreas específicas de alto riesgo o complejidad técnica.

¿Cuándo aplican? Son obligatorios cuando tu plan de auditoría incluye un trabajo que cubre el tema en cuestión. No son opcionales.

Requisitos Temáticos publicados o en desarrollo:

Ciberseguridad — Ya publicado

◐ Sostenibilidad (ESG) — En desarrollo

◐ Gestión de terceros — En desarrollo

◐ Gobierno de TI — En desarrollo

◐ Gestión del riesgo de fraude — En desarrollo

◐ Gestión del riesgo de privacidad — En desarrollo

◐ Auditorías de desempeño del sector público — En desarrollo

🔴 Lo Que Muchos Ignoran #4: CIA Obligatorio en Evaluaciones Externas

Las nuevas normas mantienen el requisito de una Evaluación Externa de Calidad (EQA) al menos cada 5 años. Pero agregaron un requisito específico que muchos han pasado por alto:

Al menos un miembro del equipo de evaluación externa DEBE tener la certificación CIA (Certified Internal Auditor) activa.

Esto tiene implicaciones prácticas: si tu organización contrata evaluadores externos, debes verificar que al menos uno tenga la certificación CIA vigente. Las autoevaluaciones con validación independiente también deben cumplir este requisito.

🔴 Lo Que Muchos Ignoran #5: Se Eliminaron las Distinciones ".A" y ".C"

En el marco anterior, muchos estándares tenían versiones separadas para trabajos de aseguramiento (.A) y consultoría (.C). Esto generaba complejidad y, en ocasiones, confusión sobre qué aplicaba en cada caso.

IPPF 2017

Norma 2201.A1
Norma 2201.C1
(requisitos separados)

GIAS 2024

Dominio V: Realización de Servicios
(un solo conjunto de requisitos integrados para ambos tipos de servicio)

La simplificación facilita la aplicación, pero requiere que los auditores comprendan cómo adaptar los requisitos según el tipo de trabajo que estén realizando.

📋 Resumen: Antes vs. Ahora

AspectoIPPF 2017GIAS 2024
Estructura 4 documentos separados 1 marco integrado (5 dominios)
Obligaciones de la Junta Implícitas, limitadas Explícitas y obligatorias (Dominio III)
Aseguramiento vs. Consultoría Separados (.A y .C) Integrados en un solo conjunto
Terminología de resultados "Opinión" "Conclusión" (más objetivo)
Guía temática Guías de práctica (opcionales) Requisitos Temáticos (obligatorios)
EQA - Equipo evaluador Evaluador calificado Al menos 1 CIA certificado
Enfoque de valor "Agregar valor" "Crear, proteger y sostener valor"

✅ Qué Deberías Hacer Ahora

1

Evalúa brechas: Compara tu estado actual contra los 5 dominios. Identifica dónde necesitas ajustes.

2

Educa a tu Junta/Comité de Auditoría: Presenta el Dominio III. Explica sus nuevas obligaciones. Esta conversación es crítica.

3

Actualiza tu Estatuto de Auditoría: Asegúrate de que refleje el nuevo propósito y las condiciones esenciales.

4

Revisa tus metodologías: Actualiza procedimientos, plantillas y listas de verificación para alinearlos con la nueva estructura.

5

Prepárate para los Requisitos Temáticos: Si auditas ciberseguridad, el Requisito Temático ya es obligatorio. Revísalo.

6

Planifica tu próxima EQA: Verifica que tu evaluador externo tenga al menos un CIA certificado en el equipo.

La conclusión es simple:

Las nuevas normas no son solo un cambio de formato. Son una elevación de expectativas para toda la organización, no solo para auditoría interna.

El auditor que las ignora se queda atrás.
El auditor que las aprovecha se vuelve indispensable.

📚 Recursos oficiales:

• Normas Globales de Auditoría Interna (completas) — theiia.org/standards

• Versión condensada de las Normas — Disponible en 25 idiomas

• Mapeo de Normas 2017 a Normas 2024 — Documento de transición

• Requisitos Temáticos — Ciberseguridad (publicado), otros en desarrollo

📚 Competencias desarrolladas con este artículo:

Conocimiento normativo actualizado • Gobierno de auditoría interna • Relación con la Junta Directiva • Gestión de calidad • Implementación de estándares profesionales

Artículo publicado en el Blog de Auditool

Red Global de Conocimientos en Auditoría y Control Interno

¿Ya presentaste el Dominio III a tu Comité de Auditoría? Cuéntanos tu experiencia en los comentarios.

Escribir un comentario

Enviar
Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado