Las NGAI están estructuradas en cinco Dominios y quince Principios rectores, y a su vez, cada Principio está respaldado por Requisitos específicos (Estándares).
Estructura de las Normas Globales de Auditoría Interna
Las NGAI se dividen en cinco dominios que cubren todo el ecosistema de la auditoría interna.
1. Dominio I: Propósito de la Auditoría Interna
Este dominio establece la Misión, Principios Éticos y Declaración de Propósito de la función de auditoría interna, enfocándose en la integridad, objetividad, competencia y confidencialidad.
| Principio | Estándares (Requisitos) | Descripción Breve |
| P1: Integridad | 1.1 Honestidad y Valentía | Los auditores internos deben ser honestos, actuar con valentía y ética profesional. |
| P2: Objetividad | 2.1 Posicionamiento para la Objetividad, 2.2 Divulgación de Deterioros a la Objetividad | Deben realizar evaluaciones imparciales. Exige independencia y que cualquier deterioro sea divulgado. |
| P3: Competencia | 3.1 Conocimiento, Habilidades y Otras Competencias, 3.2 Debido Cuidado Profesional | Deben poseer y aplicar el conocimiento, las habilidades y la experiencia necesarios para sus responsabilidades. |
| P4: Confidencialidad | 4.1 Uso de la Información, 4.2 Restricciones a la Divulgación de Información | Deben respetar el valor y la propiedad de la información que reciben y no divulgarla sin la debida autoridad. |
| P5: Propósito | 5.1 Servicios de Aseguramiento y Asesoramiento, 5.2 Determinación del Propósito | La auditoría interna debe aumentar el éxito de la organización proporcionando aseguramiento objetivo y asesoramiento. |
2. Dominio II: Ética y Profesionalismo
Este dominio se centra en la aplicación de los principios éticos y la necesidad de mantener la competencia y el debido cuidado profesional por parte del auditor interno como individuo.
| Principio | Estándares (Requisitos) | Descripción Breve |
| P6: Autoridad y Responsabilidad | 6.1 Estatuto de Auditoría Interna, 6.2 Adherencia a las Normas | La función de auditoría interna debe tener un estatuto formal (documento) que defina su propósito, autoridad y responsabilidades. |
| P7: Independencia | 7.1 Requisitos de Informes para la Independencia, 7.2 Independencia Individual, 7.3 Interacciones con el Consejo y la Alta Dirección | El Director de Auditoría Interna (DAI) debe reportar al nivel de la organización que permite la independencia (generalmente al Consejo/Comité de Auditoría). |
| P8: Evaluación de Calidad | 8.1 Programa de Aseguramiento y Mejora de la Calidad (PAAMC), 8.2 Evaluación Externa, 8.3 Evaluación Interna, 8.4 Comunicación de los Resultados del PAAMC | Se requiere un PAAMC que evalúe y asegure el cumplimiento de las Normas y promueva la mejora continua. Incluye evaluaciones internas y externas periódicas. |
3. Dominio III: Dirección y Gestión de la Función de Auditoría Interna
Abarca la forma en que se establece, dirige y gestiona la función de auditoría interna, incluyendo su estrategia, estructura, recursos y relacionamiento con las partes interesadas.
| Principio | Estándares (Requisitos) | Descripción Breve |
| P9: Estrategia y Planificación | 9.1 Director de Auditoría Interna, 9.2 Estrategia de Auditoría Interna, 9.3 Asignación de Recursos, 9.4 Alcance y Limitaciones, 9.5 Coordinación de Aseguramiento | El DAI debe liderar la función, desarrollar una estrategia de auditoría alineada con los objetivos de la organización y coordinar el trabajo con otros proveedores de aseguramiento. |
| P10: Comunicación y Coordinación | 10.1 Comunicación con el Consejo y la Alta Dirección, 10.2 Comunicación de la Estrategia de Auditoría Interna, 10.3 Comunicación con Otros Grupos de Interés | El DAI debe mantener una comunicación continua y efectiva con el Consejo, la alta dirección y otras partes interesadas clave. |
| P11: Desempeño y Mejora | 11.1 Desarrollo de Relaciones, 11.2 Mejora del Desempeño, 11.3 Gestión de Partes Interesadas, 11.4 Habilidades y Experiencia de la Función | La función de auditoría interna debe esforzarse por mejorar continuamente su desempeño y mantener relaciones de confianza con las partes interesadas. |
| P12: Medición del Desempeño | 12.1 Informes al Consejo y a la Alta Dirección, 12.2 Evaluación del Desempeño | El DAI debe establecer objetivos y métricas para evaluar el desempeño de la función de auditoría y reportar el logro de dichos objetivos al Consejo y a la alta dirección. |
4. Dominio IV: Prestación de Servicios de Auditoría Interna
Este es el dominio central que describe las actividades de planificación, ejecución y comunicación de los resultados de los trabajos de auditoría interna.
| Principio | Estándares (Requisitos) | Descripción Breve |
| P13: Gestión de Riesgos | 13.1 Comprensión del Entorno y Riesgos, 13.2 Identificación y Evaluación de Riesgos y Controles, 13.3 Diseño del Plan de Aseguramiento | La auditoría interna debe comprender la gestión de riesgos de la organización y basar su plan de aseguramiento en una evaluación de riesgos. |
|
| P14: Ejecución del Trabajo | 14.1 Planificación del Trabajo, 14.2 Alcance del Trabajo, 14.3 Criterios Adecuados, 14.4 Uso de Tecnología, 14.5 Evidencia Suficiente y Apropiada, 14.6 Documentación del Trabajo | Detalla la metodología para realizar un trabajo: planificarlo, determinar el alcance, establecer criterios de evaluación, recopilar evidencia y documentar adecuadamente. |
| P15: Comunicación de Resultados | 15.1 Comunicación de Resultados a la Dirección y al Consejo, 15.2 Comunicación de Incumplimientos de los Requisitos, 15.3 Seguimiento y Cierre | Exige la comunicación formal de los resultados, incluyendo objetivos, alcance, hallazgos, conclusiones y recomendaciones, así como el seguimiento para asegurar que se tomen las medidas correctivas. |
5. Dominio V: Requisitos de Servicios Tópicos
Este dominio es una novedad que aborda áreas de riesgo y responsabilidad específicas y emergentes que requieren requisitos detallados para una práctica de auditoría interna eficaz (ej. ciberseguridad, ESG).
Este dominio incluye Requisitos Tópicos separados, obligatorios para la auditoría interna si la organización tiene riesgos en esa área. A diferencia de los otros 4 dominios que son universalmente aplicables, estos se aplican a las actividades tópicas relevantes de la organización.
El objetivo es proporcionar requisitos específicos y detallados para áreas de riesgo que han aumentado en complejidad e importancia, tales como:
Ciberseguridad.
Gobernanza de las Tecnologías de la Información.
Gestión de Riesgos de Privacidad.
Sostenibilidad y ESG (Ambiental, Social y de Gobernanza).
Gestión de Terceros.
Estas normas son más prescriptivas que la versión anterior (2017) y buscan proporcionar un marco más claro y ágil para el ejercicio de la auditoría interna en el entorno de riesgo actual.
FUENTE: Gemini Google/Busqueda investigativa de MDJL/Foto Google
