Gobierno
Procesos de gobierno
"Evalúa la adecuación de las estructuras de gobierno, la rendición de cuentas al órgano de gobierno y la cultura de integridad de la organización."
Auditoría interna: la tercera línea de aseguramiento del compliance
Te ayudamos a diseñar y operar la función de auditoría interna como tercera línea del Modelo de las Tres Líneas: aseguramiento independiente sobre el gobierno, la gestión de riesgos y el control interno, con plan basado en riesgos, reporte al comité de auditoría y auditoría del sistema de compliance.
Consulta gratuita
Te respondemos en menos de 24 h
Servicios
Cómo trabajamos tu función de auditoría interna
Seis bloques para diseñar y operar la auditoría interna como tercera línea de aseguramiento, desde el estatuto y el plan basado en riesgos hasta la auditoría del sistema de compliance y el seguimiento de recomendaciones.
Función
Diseño de la función de auditoría interna
Definimos el estatuto, el mandato, la posición organizativa y la independencia de la auditoría interna como tercera línea dentro del Modelo de las Tres Líneas.
Ver más →
3ª líneaEstatutoIndependenciaIIA
Plan
Plan anual de auditoría basado en riesgos
Construimos el plan de auditoría a partir del mapa de riesgos de la organización, priorizando las áreas de mayor exposición y alineándolo con los objetivos.
Ver más →
Plan anualRiesgosPriorización
Reporte
Independencia y reporte al comité de auditoría
Aseguramos el reporte funcional al órgano de gobierno o al comité de auditoría y el acceso sin restricciones, claves de la independencia.
Ver más →
ComitéReporte
Sistema
Auditoría del sistema de compliance
Realizamos la auditoría interna del sistema de gestión de compliance conforme a ISO 37301 y UNE 19601, dentro de la evaluación del desempeño.
Ver más →
ISO 37301UNE 19601
Penal
Verificación del modelo de prevención de delitos
Verificamos de forma independiente la eficacia del modelo de organización y gestión, apoyando su revisión periódica.
Ver más →
Art. 31 bis CPModelo
Seguimiento
Seguimiento de recomendaciones
Implantamos el seguimiento de las recomendaciones y planes de acción, y coordinamos con las investigaciones internas cuando procede.
Ver más →
RecomendacionesSeguimiento
Qué cubre
Qué evalúa la auditoría interna
La tercera línea proporciona aseguramiento sobre la adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control, y aporta valor mediante asesoramiento independiente.
Riesgos
Gestión de riesgos
"Revisa si la gestión de riesgos identifica, evalúa y trata adecuadamente las exposiciones de la organización, con independencia de la dirección."
Control
Control interno
"Comprueba el diseño y la eficacia operativa de los controles internos que mitigan los riesgos relevantes del negocio."
Compliance
Sistema de compliance
"Audita el sistema de gestión de compliance (ISO 37301 / UNE 19601) y la eficacia del modelo de prevención de delitos."
Por qué importa
¿Por qué la auditoría interna es clave?
Sin una tercera línea independiente, el órgano de gobierno carece de aseguramiento objetivo sobre si los controles funcionan. Una auditoría interna bien diseñada protege al consejo y refuerza la credibilidad del compliance.
Sin 3ª línea, el consejo va a ciegas: la auditoría interna aporta el aseguramiento independiente que ni la dirección ni las funciones de control pueden ofrecer sobre sí mismas.
Confundir 2ª y 3ª línea: compliance y gestión de riesgos forman parte de la dirección; la auditoría interna debe permanecer independiente para conservar su valor.
La independencia se pierde fácil: si la auditoría interna asume tareas de gestión, deja de poder asegurar de forma objetiva esas mismas actividades.
Modelo Tres Líneas
6 principios
El Modelo de las Tres Líneas del IIA (2020) se apoya en seis principios y sitúa la auditoría interna como tercera línea.
Art. 529 quaterdecies LSC
Cotizadas
En las sociedades cotizadas, la comisión de auditoría supervisa la eficacia del control interno, la auditoría interna y la gestión de riesgos.
Recomendaciones
Con seguimiento
Una auditoría sin seguimiento de las recomendaciones pierde valor: el ciclo se cierra verificando que se corrigen las deficiencias.
¿Tu organización necesita una función de auditoría interna?
Tanto si partes de cero como si quieres reforzar una función existente, te ayudamos a diseñarla, dotarla de independencia y construir un plan de auditoría basado en riesgos que aporte aseguramiento real al consejo.
Preguntas frecuentes
Auditoría interna: dudas habituales
¿Qué es la auditoría interna?
Es una función independiente y objetiva de aseguramiento y asesoramiento que evalúa la adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control interno, y aporta valor a la organización.
¿Qué es el Modelo de las Tres Líneas y dónde encaja?
Es el marco del IIA (2020) que organiza los roles: la primera línea gestiona, la segunda línea controla y apoya (compliance, riesgos) y la tercera línea es la auditoría interna, que ofrece aseguramiento independiente.
¿En qué se diferencia de la 2ª línea?
Las funciones de 2ª línea (compliance, gestión de riesgos) forman parte de la dirección. La auditoría interna se distingue por su independencia de la dirección, lo que le permite asegurar de forma objetiva.
¿En qué se diferencia de la auditoría de cuentas?
La auditoría de cuentas (externa) emite una opinión sobre los estados financieros y la realiza un auditor externo independiente. La auditoría interna es una función de la propia organización que cubre gobierno, riesgos y control, no solo lo financiero.
¿A quién reporta la auditoría interna?
Funcionalmente, al órgano de gobierno o al comité de auditoría; administrativamente, a la alta dirección. Ese reporte y el acceso sin restricciones a personas, datos y recursos salvaguardan su independencia.
¿Es obligatoria?
En las sociedades cotizadas y entidades de interés público, la comisión de auditoría debe supervisar la auditoría interna (art. 529 quaterdecies LSC). Con carácter general es una recomendación de buen gobierno, y en los sistemas de compliance certificables (ISO 37301 / UNE 19601) la auditoría interna del sistema es obligatoria.
¿Qué normas la rigen?
Las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna del IIA y el Modelo de las Tres Líneas, complementados por el Código de Buen Gobierno de la CNMV para cotizadas.
¿Se puede externalizar?
Sí. La función puede externalizarse total o parcialmente (co-sourcing u outsourcing) en un tercero cualificado, manteniendo la independencia y el reporte al órgano de gobierno.
También se preguntan
DEA, plan basado en riesgos y aseguramiento
¿Qué es el DEA o director de auditoría interna?
Es el director ejecutivo de auditoría, responsable de la función. Lidera la auditoría interna, propone el plan y reporta al órgano de gobierno o al comité de auditoría.
¿Qué es un plan de auditoría basado en riesgos?
Es el plan que prioriza los trabajos de auditoría según el nivel de riesgo de cada área o proceso, alineándose con el mapa de riesgos y los objetivos de la organización.
¿La auditoría interna da "aseguramiento" y "asesoramiento"?
Sí. Presta servicios de aseguramiento (evaluación objetiva para dar una opinión) y de asesoramiento o consultoría (apoyo para mejorar procesos), siempre preservando su independencia.
¿Cómo se relacionan auditoría interna y mapa de riesgos?
El mapa de riesgos alimenta el plan de auditoría: las áreas de mayor exposición se auditan con más frecuencia y profundidad. La auditoría, a su vez, evalúa si la gestión de riesgos funciona.
¿Tienen que tenerla las sociedades no cotizadas?
No con carácter general, pero es muy recomendable: aporta aseguramiento al órgano de administración y refuerza el sistema de compliance, especialmente en organizaciones con riesgos relevantes.
¿Qué relación tiene con el modelo de prevención de delitos?
La auditoría interna puede verificar de forma independiente la eficacia del modelo de organización y gestión (art. 31 bis del Código Penal), apoyando su revisión periódica y su credibilidad ante terceros.
El Modelo de las Tres Líneas
Primera, segunda y tercera línea: comparativa
Entender dónde encaja cada función evita duplicidades y zonas sin cobertura. Te ayudamos a ubicar la auditoría interna y a delimitarla frente a las demás líneas.
Qué determina el alcance del proyecto
Diseñar y operar la auditoría interna depende del tamaño de la organización, de su perfil de riesgo y de si la función se internaliza o se externaliza.
- Función
- Estatuto, independencia y posición organizativa.
- Plan
- Plan anual basado en el mapa de riesgos.
- Ejecución
- Número y complejidad de los trabajos de auditoría.
- Modelo
- Interno, co-sourcing o externalización.
Cómo trabajamos la función
Partimos del estatuto y la independencia, construimos el plan basado en riesgos y dejamos implantados el ciclo de trabajo y el seguimiento.
- Estatuto, mandato e independencia de la función.
- Plan anual de auditoría basado en riesgos.
- Ejecución, informe y seguimiento de recomendaciones.
| Función | 1ª línea | 2ª línea | 3ª línea (auditoría interna) | Auditoría externa |
|---|---|---|---|---|
| Rol | Gestión y asunción de riesgos | Control y cumplimiento | Aseguramiento independiente | Opinión sobre las cuentas |
| Independencia de la dirección | No | Parcial | Sí | Sí (externa) |
| Reporta a | Dirección | Dirección | Órgano de gobierno / comité | Junta / comité de auditoría |
| Ejemplo | Operativa de negocio | Compliance, gestión de riesgos | Función de auditoría interna | Auditor de cuentas |
| Marco de referencia | Procedimientos internos | Políticas de control | Normas del IIA / Tres Líneas | Normativa de auditoría de cuentas |
Cuadro orientativo basado en el Modelo de las Tres Líneas del IIA (2020). El alcance concreto de cada función depende de la estructura y el perfil de riesgo de cada organización.
Guía operativa
Cómo implantar la función de auditoría interna: guía práctica
Una auditoría interna útil no se improvisa: necesita un estatuto que garantice su independencia, un plan basado en riesgos, una ejecución metódica y un seguimiento que cierre el ciclo verificando que las deficiencias se corrigen.
Define la función
El estatuto fija el propósito, la autoridad y la responsabilidad de la auditoría interna, su independencia y su reporte al órgano de gobierno o al comité de auditoría.
Planifica y ejecuta
El plan anual se construye sobre el mapa de riesgos. Los trabajos se ejecutan con un enfoque sistemático y disciplinado y concluyen en informes con observaciones claras.
Informa y haz seguimiento
Las observaciones se comunican a la dirección y al órgano de gobierno, y se realiza el seguimiento de las recomendaciones hasta verificar su implantación.
Checklist de la función de auditoría interna en 10 pasos
- Estatuto: aprobar el estatuto de auditoría interna y su mandato.
- Independencia: fijar el reporte al órgano de gobierno o al comité de auditoría.
- Recursos: dotar de medios, competencias y acceso sin restricciones.
- Riesgos: partir del mapa de riesgos de la organización.
- Plan: elaborar el plan anual de auditoría basado en riesgos.
- Programa: diseñar el programa de cada trabajo (objetivos y alcance).
- Ejecución: obtener evidencia suficiente y documentar el trabajo.
- Informe: emitir conclusiones, observaciones y recomendaciones.
- Seguimiento: verificar la implantación de las recomendaciones.
- Mejora: evaluar y mejorar la calidad de la propia función.
Si quieres diseñar o reforzar tu función, consulta nuestra área de corporate compliance o el mapa de riesgos.
La auditoría interna en modo operativo
Del plan al seguimiento de recomendaciones
La función de auditoría interna se apoya en cuatro piezas: planificar con base en el riesgo, ejecutar el trabajo, informar al gobierno y seguir las recomendaciones. Aquí tienes el panel visual de cómo se aterriza.
1) PlanificarPlanificar: con base en el riesgo
El plan anual prioriza áreas y procesos según su nivel de riesgo, alineado con el mapa de riesgos y los objetivos.
- Mapa de riesgos
- Plan anual
- Priorización
2) EjecutarEjecutar: evidencia y rigor
Cada trabajo define objetivos y alcance, obtiene evidencia suficiente y documenta los hallazgos con un enfoque sistemático.
- Programa de trabajo
- Evidencia
- Papeles de trabajo
3) InformarInformar: al gobierno
Las observaciones y recomendaciones se comunican a la dirección y al órgano de gobierno para promover la mejora continua.
- Observaciones
- Recomendaciones
- Reporte al comité
4) SeguirSeguir: cerrar el ciclo
El valor de la auditoría se materializa cuando se verifica que las recomendaciones se implantan y que las deficiencias quedan corregidas. El seguimiento cierra el ciclo y alimenta la mejora continua.
Tip: un registro de recomendaciones con responsable, plazo y estado evita que los hallazgos se pierdan entre ejercicios.
Decisión rápidaMapa práctico: ¿interna o externa?
Organización con función propia
Auditoría interna internalizada, con reporte al comité.
Recursos limitados
Co-sourcing u externalización en un tercero cualificado.
Sistema de compliance
Auditoría interna del sistema (ISO 37301 / UNE 19601).
Playbook auditoría interna
La función de auditoría interna, fase a fase
Estatuto
Aprobar el mandato, la independencia y el reporte de la función.
Estatuto de auditoría interna aprobado.
Planificación
Construir el plan anual a partir del mapa de riesgos.
Plan anual basado en riesgos.
Ejecución
Realizar los trabajos, obtener evidencia y documentar hallazgos.
Programas y papeles de trabajo.
Informe
Comunicar observaciones y recomendaciones al gobierno.
Informes de auditoría.
Seguimiento
Verificar la implantación de las recomendaciones.
Registro de seguimiento de recomendaciones.
Errores frecuentes en auditoría interna
Detéctalos antes de que resten valor a la función.
- Que la auditoría interna asuma tareas de gestión y pierda independencia.
- Planificar sin partir del mapa de riesgos de la organización.
- Confundir la 2ª línea (compliance, riesgos) con la 3ª línea.
- Reportar a la dirección en lugar de al órgano de gobierno o comité.
- Emitir recomendaciones sin un seguimiento que cierre el ciclo.
Diccionario operativo
Conceptos clave de la auditoría interna
Si vas a diseñar o reforzar tu función de auditoría interna, estos términos aparecen en el Modelo de las Tres Líneas y en las normas del IIA. Entenderlos ayuda a construir una función sólida.
Auditoría internaBase
Función de auditoría interna
Actividad independiente y objetiva de aseguramiento y asesoramiento sobre gobierno, gestión de riesgos y control.
Tercera línea del modelo.
3 LíneasMarco
Modelo de las Tres Líneas
Marco del IIA (2020) que organiza los roles de gobierno, gestión y aseguramiento en torno a seis principios.
Actualiza las "tres líneas de defensa".
3ª líneaRol
Tercera línea
Rol de aseguramiento independiente que recae en la auditoría interna, separada de las responsabilidades de la dirección.
Independencia de la dirección.
DEARol
Director ejecutivo de auditoría
Responsable de la función de auditoría interna; propone el plan y reporta al órgano de gobierno o al comité.
Lidera la 3ª línea.
AseguramientoServicio
Aseguramiento y asesoramiento
La auditoría interna presta servicios de aseguramiento (opinión objetiva) y de asesoramiento (apoyo a la mejora).
Assurance + advisory.
EstatutoMandato
Estatuto de auditoría
Documento que fija el propósito, la autoridad, la responsabilidad y la independencia de la función.
Aprobado por el gobierno.
PlanRiesgos
Plan basado en riesgos
Plan anual que prioriza los trabajos de auditoría según el riesgo de cada área o proceso.
Se nutre del mapa de riesgos.
ComitéGobierno
Comité de auditoría
Comisión del consejo que, en cotizadas, supervisa el control interno, la auditoría interna y la gestión de riesgos.
Art. 529 quaterdecies LSC.
IndependenciaPrincipio
Independencia
Ausencia de interferencias y reporte al órgano de gobierno; es clave para la objetividad, autoridad y credibilidad.
Salvaguarda del valor de la función.