Los primeros 100 días del Jefe de Auditoría Interna

Adaptación al entorno costarricense basada en The New Head of Internal Audit – First 100 Days as Newly Appointed CAE (KPMG)

El presente artículo constituye una adaptación técnica y contextualizada para Costa Rica, elaborada por JGutierrez Auditores Consultores S.A., a partir de los principios desarrollados en la publicación internacional The New Head of Internal Audit: First 100 Days as Newly Appointed Chief Audit Executive (CAE), de KPMG.
No se trata de una reproducción del documento original, sino de una traducción práctica de sus conceptos al marco regulatorio, institucional y cultural costarricense, incorporando referencias a COSO, COSO ERM, los Estándares del IIA y la normativa local vigente.

Introducción

En Costa Rica, asumir el rol de Jefe de Auditoría Interna (Chief Audit Executive – CAE) implica enfrentar un entorno particularmente exigente: mayor fiscalización regulatoria, juntas directivas más expuestas a responsabilidad fiduciaria y una creciente expectativa de que la Auditoría Interna aporte criterio, independencia y valor estratégico, no solo cumplimiento.

Esto es especialmente relevante en:

  • entidades supervisadas por SUGEF, SUGEVAL, SUPEN y SUGESE,
  • cooperativas y asociaciones solidaristas,
  • fundaciones y ONG, y
  • Empresas privadas con juntas directivas activas o inversionistas institucionales.

En este contexto, los primeros 100 días del CAE son determinantes para determinar si la Auditoría Interna será percibida como un requisito formal o como un pilar real del gobierno corporativo.

1. Auditoría Interna, Estándares IIA y normativa costarricense

Los Estándares Internacionales para el Ejercicio Profesional de la Auditoría Interna (IIA) establecen que la función debe proporcionar un aseguramiento independiente y objetivo sobre el gobierno corporativo, la gestión de riesgos y el control interno.

En Costa Rica, este mandato se ve reforzado por:

  • la Ley N.° 8292 – Ley General de Control Interno,
  • disposiciones del CONASSIF y las superintendencias, y
  • exigencias crecientes en materia de transparencia, rendición de cuentas y control.

Durante los primeros 100 días, el CAE debe revisar críticamente:

  • la posición jerárquica y funcional de Auditoría Interna,
  • su acceso irrestricto a información, y
  • la claridad de su relación con la Junta Directiva o Comité de Auditoría, conforme al Estándar IIA 1110.

Una debilidad común en el país es que Auditoría Interna existe “en papel”, pero carece de respaldo real para ejercer independencia.

2. El Modelo de las Tres Líneas: una corrección necesaria en Costa Rica

El Modelo de las Tres Líneas del IIA es fundamental, pero en Costa Rica suele aplicarse de forma incompleta o distorsionada.

  • Primera línea: administración y dueños de procesos.
  • Segunda línea: riesgo, cumplimiento, legal, control normativo.
  • Tercera línea: auditoría interna, como aseguramiento independiente.

Durante sus primeros meses, el CAE debe corregir una práctica frecuente: que Auditoría Interna asuma funciones operativas, de cumplimiento o incluso de gestión de riesgos.
Esto no solo debilita la independencia, sino que también expone a la organización ante reguladores y auditores externos.

3. COSO Control Interno: del cumplimiento formal a la efectividad real

El Marco COSO de Control Interno (2013) está ampliamente citado en Costa Rica, pero no siempre aplicado de forma efectiva.

El CAE debe evaluar tempranamente:

  • si los cinco componentes funcionan de manera integrada,
  • si el control interno responde a los riesgos reales del negocio, y
  • si existe coherencia entre políticas, procesos y práctica operativa.

En cooperativas, solidaristas y fundaciones, es común encontrar:

  • controles bien documentados, pero no ejecutados,
  • debilidades en segregación de funciones,
  • dependencia excesiva de personas clave o proveedores externos.

Este diagnóstico inicial es clave para definir prioridades y proteger a la Junta Directiva.

4. COSO ERM y riesgos relevantes en Costa Rica

El documento original de KPMG enfatiza la alineación de Auditoría Interna con la Gestión de Riesgos Empresariales (ERM). En Costa Rica, esta alineación debe considerar riesgos muy concretos:

  • Cumplimiento de la Ley 8204 (LC/FT/FPADM).
  • Riesgos reputacionales y de gobierno corporativo.
  • Dependencia de terceros (administradores, proveedores tecnológicos).
  • Ciberseguridad y protección de datos.
  • Debilidades en actas, decisiones y trazabilidad.

Con base en COSO ERM (2017) y el Estándar IIA 2120, el CAE debe evaluar la eficacia del ERM y utilizarlo como base del plan de auditoría, sin asumir funciones de gestión.

5. ¿Qué debería esperar una Junta Directiva costarricense en los primeros 100 días?

Desde la perspectiva de gobierno corporativo, una Junta Directiva en Costa Rica debería esperar que su nuevo CAE:

  • Clarifique riesgos críticos y no solo hallazgos históricos.
  • Hable el lenguaje del negocio y de la regulación.
  • Diferencie entre incumplimientos formales y riesgos estructurales.
  • Proteja la independencia de Auditoría Interna.
  • Presente diagnósticos claros, no informes extensos sin foco.

Este punto amplía el alcance del artículo y conecta directamente con quienes toman decisiones.

6. Los primeros 100 días: adaptación práctica al contexto local

Días 0–30 | Diagnóstico y posicionamiento

  • Revisión del Estatuto de Auditoría Interna.
  • Diagnóstico preliminar de COSO y ERM.
  • Identificación de riesgos regulatorios y legales.
  • Reuniones con Junta Directiva, Comité de Auditoría y Gerencia.

Días 30–60 | Alineación estratégica

  • Ajuste del plan de auditoría con enfoque ERM.
  • Coordinación con funciones de segunda línea.
  • Identificación de brechas de talento y uso de analítica.
  • Validación formal de independencia.

Días 60–90 | Ejecución con impacto

  • Informes iniciales de alto valor estratégico.
  • Auditorías enfocadas en riesgos clave.
  • Uso selectivo de analítica de datos.
  • Posicionamiento de Auditoría Interna como socio técnico.

7. Calidad, ética y sostenibilidad

Conforme a los Estándares IIA 1300 y 1312, el CAE debe establecer un programa formal de aseguramiento y mejora de la calidad.

En el entorno costarricense, esto fortalece la defensa institucional ante:

  • reguladores,
  • auditores externos,
  • fiscalizaciones especiales, y
  • conflictos internos o denuncias.

Conclusión

Este artículo, adaptado por JGutierrez Auditores Consultores S.A. a partir del documento de una intervención estratégica, no un período de transición pasiva.

Cuando Auditoría Interna logra articular COSO, COSO ERM, Estándares IIA y la normativa costarricense, se convierte en un activo de protección, criterio y confianza institucional, especialmente relevante de cara a los desafíos de gobierno corporativo que marcarán el 2026.

Jorge Gutiérrez Guillén, CPA
Socio Fundador | JGutierrez Auditores Consultores S.A.
Costa Rica | 🌐 consultoresjg.com
📞 +506 2552-5433 | 📱 +506 8811-5090
✉️ [email protected]


#GestiónDeRiesgos #AuditoríaEstratégica #COSOERM #GobiernoCorporativo #JGutierrezAuditores

Share This Post
Jorge Gutiérrez Guillén

With over 15 years of experience in auditing and financial consulting, I serve as the founder and managing partner of JGutierrez Auditores Consultores S.A.—a boutique firm dedicated to delivering exceptional, value-driven solutions that consistently exceed industry standards. Our mission is to promote transparency, efficiency, and sustainability by combining international best practices with in-depth knowledge of Costa Rican and regional regulations. We operate under the guiding principles of integrity, innovation, and excellence. Our Expertise At JGutierrez Auditores Consultores, we provide comprehensive audit and consulting services tailored to meet the evolving needs of today’s businesses. Our core areas of specialization include: Financial Audits: Independent evaluations aligned with international standards, ensuring reliability and accuracy in financial reporting. Regulatory Compliance: Expert navigation of complex tax and financial frameworks to ensure full adherence and strategic advantage. Internal Controls: Strengthening governance structures to mitigate risk and boost operational effectiveness. Fraud Prevention: Implementing forward-looking strategies to detect, prevent, and respond to financial irregularities. Process Optimization: Streamlining workflows and improving resource allocation for enhanced productivity and long-term growth. Environmental & Financial Sustainability: Supporting compliance with emerging ESG regulations to reinforce resilience. Information Security: Protecting critical systems and data through robust cybersecurity and risk management measures. Value-Centered Consulting Beyond our audit services, we offer strategic consulting designed to help organizations innovate and compete in an increasingly dynamic environment: Information Systems & Operational Management: Integrating technology and operations to boost performance and scalability. ISO Standards Compliance: Providing expert guidance to achieve and maintain globally recognized certifications. Transfer Pricing Studies: Ensuring compliance with international tax obligations while enhancing cross-border efficiency. Industrial Cost Analysis: Delivering deep insights into cost structures to support sound decision-making and margin improvement. Why Choose JGutierrez Our strength lies in a collaborative, multidisciplinary team that brings together seasoned professionals and next-generation talent, equipped with expertise in emerging technologies. This synergy enables us to deliver innovative, high-impact solutions that support growth, reinforce resilience, and unlock strategic opportunities. As a trusted advisor, I am committed to building lasting partnerships and helping organizations navigate the challenges of today while preparing for the opportunities of tomorrow. Jorge Gutiérrez Guillén Certified Public Accountant | Business Consultant

Related Articles

Traduce »