“Año del Diálogo y Reconciliación Nacional

FACULTAD DE CIENCIAS EMPRESARIALES Y EDUCACIÓN

ESCUELA PROFESIONAL DE ADMINISTRACIÓN Y

NEGOCIOS INTERNACIONALES

MONOGRAFIA:
CONCEPTOS DE AUDITORIA ADMINISTRATIVA

PRESENTADO POR:
JOSEPH CHOCCE HUINCHO

CURSO:
AUDITORIA ADMINISTRATIVA

CATEDRATICO:
DR. ARISTIDES TEJADA ARANA

LIMA PERU
2018
1
 INDICE

PORTADA
INTRODUCCION
CAPITULO I
GENERALIDADES

1.1 Auditoría Administrativa

1.2 AUDITORIA ADMINISTRATIVA COMO INSTRUMENTO DE CONTROL
EL CONTROL DENTRO DE LA EMPRESA
Relación entre el control y la auditoria
El proceso básico de control comprende tres pasos:
La auditoría como herramienta de control
1.3 Tipos de control
Control preliminar
Control concurrente
Control de retroalimentación

CAPITULO I
AUDITORIA ADMINISTRATIVA

2.1 Conceptos relacionados a la Auditoría Interna.

2.2 Conceptos relacionados al Control Interno.
2.3 Conceptos relacionados a la Gestión.
2.4 Auditoria Interna.
Propósito.
Alcance.
2.5 Plan Anual de Trabajo de la función de Auditoría Interna.
Planeación de una Intervención de Auditoría Interna.
2.6 Control Interno.
Evaluación de riesgos.
Actividades de control.
Información y comunicación.
Actividades de supervisión.
Relación entre Objetivos y Componentes.
2
 Componentes y Principios
Entorno de Control.
Evaluación de Riesgos.
Actividades de Control.
Información y Comunicación.
Actividades de Supervisión.
2.7 Proceso de definición de alcance de auditoría
2.8 Proceso de definición del objetivo general de auditoría
2.9 Definición de las herramientas a utilizar en la auditoría
2.10 Definición de los criterios a seguir en la auditoría
2.11 Proceso de relevamiento de evidencias para la auditoria
CONCLUSIONES
BIBLIOGRAFIA

3
 INTRODUCCION

La gestión en las empresas, se desenvuelven por factores internos y externos,

en relación a ello, las entidades tienden a realizar actividades para competir en
un entorno empresarial cambiante, así mismo el cumplimento de sus objetivos y
metas, se estandarizan con las herramientas de gestión para estar preparados
para el entorno externo relacionado al cumplimiento de leyes: fiscales,
ambientales, societarias, laborales, etc.

A su vez, en su ambiente interno, las entidades realizan actividades, tales como

planes, estrategias, procesos, procedimientos, normas, etc., que en su ejecución
y resultados ayudan a los gestores a cumplir con sus objetivos y metas trazadas
e involucran a las áreas y personal en general.

Desde otro punto, las entidades en todo el mundo van creciendo a pasos
agigantados, lo que hace que los directores, gerentes y/o administradores no
puedan verificar de manera directa que los lineamientos implantados para la
ejecución de las funciones de los colaboradores, sean cumplidos a cabalidad,
asimismo, no pueden detectar directamente fraudes o malos manejos dentro de
la entidad, entonces es allí donde, la auditoría interna tiende a ser un apoyo a la
gestión, pues tiene como objetivo, el velar, mediante métodos y técnicas, que las
actividades se lleven de acuerdo a lo planificado, es decir con parámetros de
eficiencia, eficacia, economía y calidad.

4
 CAPITULO I
GENERALIDADES

1.1 Auditoría Administrativa

Franklin (2003) en su libro “Auditoria Administrativa – Gestión estratégica del
cambio” explica que la auditoria es parte del proceso administrativo y forma parte
primordial como medio de control y cambio. Decimos como medio de control ya
que se utiliza en la etapa de Control y es una técnica estratégica utilizada para
determinar la eficacia de los procesos administrativos utilizados en la
organización de tal manera que nos muestra el estado en el que se encuentra
nuestra organización y toda la estructura que la compone.
Todo esto mediante un análisis completo de toda la organización. También se le
dice medio de cambio ya que con los resultados obtenidos el auditor elabora un
dictamen con sugerencias para la organización las cuales son para corregir algún
error o proceso que sea necesario para el funcionamiento de la organización.
Entonces decimos que la auditoria se ubica en el proceso de control como
medida de seguridad para garantizar el efectivo funcionamiento de la
organización y si en su caso es necesario para corregir algún defecto o error
tanto en procesos como en la información además de todo esto con la auditoria
se analiza el estado actual de la organización y que tan lejos se encuentra de lo
que quiere ser.
Norbeck (2004) “Es una técnica de control que proporciona a la gerencia un
método de evaluación de la efectividad de los procedimientos operativos y
controles internos." En esencia, para Norbeck, el objetivo de la auditoria
administrativa no consiste en delinear programas de auditoria para auditores,
sino en proporcionar a la gerencia la base para entender y comprender los
aspectos generales de esta disciplina mediante la valorización de los aspectos
que forman la empresa.
Leonard (1996) “Un examen completo y constructivo de la estructura
organizativa de la empresa, institución o departamento gubernamental; o de
cualquier otra entidad y de sus métodos de control, medios de operación y
empleo que dé a sus recursos humanos y materiales”
Para Leonard, en éste método se propone que antes de implantar un programa
general de Auditoria administrativa, es indispensable contar con la aprobación y
apoyo de la dirección.

5
Fernández (1998) “Es la revisión objetiva, metódica y completa de la satisfacción
de los objetivos institucionales que comprende en el aspecto servicio: Derecho-
habientes, usuarios, consumidores; en el aspecto social: Colaboración, gobierno
y comunidad; en el aspecto económico: los acreedores y los inversionistas. En
base a los niveles jerárquicos de la empresa, en cuanto a su estructura y a la
participación individual de los integrantes de la institución abarca la coordinación,
la integración, tanto de los recursos humanos y físicos y la eficiencia de la
organización”.
Para Fernández, la revisión estructural de la empresa se puede llevar por áreas
o en forma total. Enfoca sus estudios hacia los objetivos de servicio
principalmente, a los institucionales sin dejar pasar por alto el servicio de los
clientes y empleados. También desarrolla un marco comparativo entre diferentes
enfoques de la auditoría administrativa y presenta una propuesta a partir de su
propia visión de la técnica para dar su propio aporte basado en otros enfoques.
Rubio (2000) “La Auditoría Administrativa consiste en evaluar el fundamento de
la administración, mediante la localización de irregularidades o anomalías, y el
planteamiento, de posibles alternativas de solución”. Para Rubio, la función de la
auditoría administrativa consiste en realizar el análisis y dictamen de las
actividades que lleva a cabo una unidad administrativa para verificar que se
ajusten a los objetivos y políticas establecidas, así como para comprobar la
utilización racional de los recursos técnicos, materiales y financieros, y el
aprovechamiento del personal en el desarrollo operacional, y evaluar las
medidas de control que aseguran los resultados esperados.

1.2 AUDITORIA ADMINISTRATIVA COMO INSTRUMENTO DE CONTROL

EL CONTROL DENTRO DE LA EMPRESA
La revisión de un organismo en todos sus niveles es de gran importancia sin
importar su tamaño, sobre todo si se requiere evitar que se cometan errores
costosos y que se repitan las equivocaciones ya cometidas una vez; los
esfuerzos para evaluar la administración de una empresa son laudables. Por
tradición, la auditoría es una apreciación independiente de los procedimientos,
procesos y registros financieros de la empresa, busca probar la confiabilidad y
validez de los registros de las transacciones determinando el grado de exactitud
y la forma en que los estados financieros reflejan de un modo fiel lo que
supuestamente representan.

6
Cuando este tipo de auditoría se realiza por personal especializado de la misma
empresa, la auditoría puede ser como un medio efectivo de control, así como un
instrumento para la verificación de registros financieros y es conocida cono
auditoría administrativa. La técnica de auditoría se adscribe en el proceso
administrativo como un medio de control.

Relación entre el control y la auditoria

El control es uno de los cuatro principios administrativos (planeación,
organización, dirección y control). Este consiste en la medición y la corrección
del desempeño con el fin de asegurar que se cumplan los objetivos de la
empresa y se sigan los planes diseñados para alcanzarlos.

El proceso básico de control comprende tres pasos:

Establecer estándares. Estos funcionan como punto de referencia, son criterios
de desempeño que, al medirlos, permiten conocer cómo funcionan ciertos
aspectos de la empresa.
Medir o comparar el desempeño con éstos estándares. Esto debería realizarse
idealmente de manera anticipada y poder evitar las desviaciones antes de que
ocurran.
Corregir las desviaciones. Los administradores deben saber en dónde aplicar las
medidas correctivas, entre las que podemos mencionar los siguientes ejemplos:
cambio en los planes u objetivos, aclaración de tareas, contratación o
capacitación de personal y despido de personal. El contar con un sistema de
control convenientemente estructurado en una organización debe suministrar
información válida, confiable y oportuna.
Lo anterior constituye la retroalimentación por medio de la cual se pueden
cambiar los planes, objetivos, políticas y/o programas, antes de que ocurran
problemas costosos. La aplicación del principio de control preventivo ha
provocado el desarrollo del interés en las auditorias administrativas, que son
formas de evaluación de la administración, contemplando todo el sistema
administrativo de una empresa.
Actualmente la auditoria administrativa se lleva a cabo por firmas independientes
y externas a la empresa a evaluar, que deben contar con personal calificado para
valorar el sistema administrativo de una compañía y la calidad de sus
administradores. Una organización se fija objetivos o metas, define políticas para
guiar el comportamiento de sus integrantes y traza planes de acción, que se
7
convierten en instrucciones o programas de operación que deben concretarse
en hechos.
Todo este proceso se lleva a cabo en los distintos niveles jerárquicos de la
empresa, los cuales, se pueden dividir en 3 principalmente:
a. Directivo,
b. Gerencial y,
c. Operativo.
A pesar de que estos niveles no están perfectamente delimitados, es necesario
identificarlos como elementos separados, ya que cada uno de los cuales toma
decisiones que afectan a la organización como un todo. La toma de decisiones
entre alternativas en distintos niveles y departamentos, genera la necesidad de
ejercer vigilancia sobre éstas y sus consecuencias, es decir, de controlar.

La auditoría como herramienta de control

Dentro del proceso de la auditoría administrativa siempre encontraremos al
Control como una herramienta fundamental dentro de dicho proceso. Control, es
el conjunto de normas y procedimientos que están incluidos en la estructura de
una empresa y que tienen como objetivo la comprobación o verificación
automática de las operaciones propias de la misma, para evitar errores, proteger
a las personas y activos, y por último, la obtención de la información real y
oportuna con el fin de lograr eficientemente las metas fijadas de antemano.
En esta definición encontramos como fines del control:
a. Eficiencia.
b. Seguridad para Activos y Personas.
c. Información Real y Oportuna.
La auditoría administrativa tiene como herramienta de control la base para
determinar el alcance o extensión del trabajo de auditoría, mismo que le permite
al auditor tener el conocimiento de los procedimientos contables y/o
administrativos usados en la empresa en que se desarrolla la labor de la
auditoría. Se puede decir de hecho, que los medios de control están tan
entrelazados con los procedimientos contables y/o administrativos, que es
necesario considerarlos en la práctica en forma simultánea. En la profesión como
administrador, es del conocimiento general y en especial al efectuar una
auditoría, que el alcance del trabajo del auditor se apoya en parte considerable,
en la efectividad del sistema del control. Se puede decir, que, dada la magnitud
y complejidad de las empresas, un examen exhaustivo y detallado de las
8
operaciones realizadas por estos, harían que el trabajo del auditor tuviera costos
muy elevados. Por lo anterior, el examen de los estados financieros, se realiza
en base a métodos selectivos y pruebas de muestreo, determinando el alcance
mediante la evaluación llevada a cabo por el auditor de las medidas de control
existentes.
El sistema de control ocupa un lugar principal, entre los factores que deben
tenerse presentes al tratar de determinar la naturaleza y extensión de dichas
pruebas. Cuando muestra la evidencia de que el sistema de control es eficaz, el
auditor llega con seguridad a la conclusión de que puede confiar en la corrección
de los registros contables y/o administrativos, y de los datos en que éstos se
basan en mayor grado de lo que haría si no fuera ese el caso; y como
consecuencia de ello, reduce la extensión de sus pruebas.
En caso de que el control resulte sumamente deficiente o ineficaz, el auditor
deberá ampliar el alcance de sus pruebas, con objeto de obtener la evidencia
suficiente y competente que le permita expresar su opinión sobre lo que este
revisando en la empresa. Otro de los factores que influyen en la determinación
del alcance y naturaleza de las pruebas selectivas, se refiere a la mayor o menor
importancia de la partida que se intenta comprobar, así como el riesgo de que
en relación con la misma puedan existir irregularidades.
Como objetivos a seguir del auditor al examinar el control, se pueden citar los
siguientes:
1) Tener la certeza que el control aplicado por la empresa en el ejercicio que
se pretende auditar, impida en mayor o menor grado, que se haya incurrido en
errores de operación.
2) El grado de confianza que el auditor pueda dar a las cifras que consten
en las declaraciones presentadas por la empresa, será en el resultado del
examen efectuado al control.
3) En base en lo anterior, el auditor podrá determinar el enfoque de la
auditoría, precisando:
a) Clase de procedimientos que va a desarrollar.
b) Que extensión, oportunidad y tiempo en que van a desarrollarse.
c) Sobre qué cifras, cuentas o conceptos deben efectuarse.
d) Sobre qué libros, auxiliares, documentos, etc., deberán realizarse, y
e) Qué personal, con qué categoría se asignará a la revisión.

9
La auditoría administrativa, independientemente de ser ella misma parte
integrante del sistema total de control, es la principal herramienta para la revisión
y evaluación de los resultados logrados.

1.3 Tipos de control

Control preliminar
En vez de esperar los resultados y compararlos con los objetivos, es posible
ejercer una influencia controladora limitando las actividades por adelantado.
Representativo de esto es el efecto de aplicar políticas y procedimientos que, en
el caso de las primeras, limitan el ámbito en el cual se van a tomar las decisiones
y, en el caso de los segundos, definir qué acciones específicas. El grado hasta
el cual se sigan o no se evalúan es mejor aplicando el proceso de control.
En realidad, la influencia de las políticas y procedimientos de control refleja la
cercanía de la planeación y el control. Y debe observarse que el control ayuda a
unificar el entendimiento de las políticas y procedimientos.
Control concurrente
El control concurrente es la médula de todo sistema de control de operaciones.
En el ámbito de la producción, todos los esfuerzos están dirigidos a elaborar la
cantidad correcta de los productos adecuados en el tiempo preciso. El control
concurrente puede ayudar a garantizar que el plan será llevado a cabo en el
tiempo especificado y bajo las condiciones requeridas.

Control de retroalimentación
La retroalimentación es de especial importancia en el control. Puede
considerarse como un sistema compuesto de los siguientes elementos: El control
de retroalimentación implica que se han reunido algunos datos y se han
analizado, y que se han regresado los resultados a alguien o a algo en el proceso
que se está controlando, de manera que pueden hacerse correcciones. La
oportunidad es crítica se va a tener algún beneficio de control de
retroalimentación.

10
 CAPITULO I
AUDITORIA ADMINISTRATIVA

2.1 Conceptos relacionados a la Auditoría Interna.

La Auditoría Interna es un servicio a la organización, consistente en una
valoración independiente de la actividad establecida dentro de la misma. Es el
control que funciona por medio del examen y valoración de lo adecuado y
efectivo de otros controles. (Enciclopedia de la Auditoria, 2005, p. 167)
“La Auditoria Interna es una actividad de evaluación independiente establecida
dentro de una organización para examinar y evaluar sus actividades como un
servicio para la organización” (Whittington, R. & Pany,K., 2000, p. 591).
Actividad de Auditoría Interna. Un departamento, división, equipo de consultores,
u otro/s practicante/s que proporciona/n servicios independientes y objetivos de
aseguramiento y consulta, concebidos para agregar valor y mejorar las
operaciones de una organización. La actividad de auditoría interna ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de
riesgos, control y gobierno. (Estupiñán Gaitán, R., 2006, p. 329)
“Añadir / Agregar Valor. El valor se genera mediante la mejora de oportunidades
para alcanzar los objetivos de la organización, la identificación de mejoras
operativas, y/o la reducción de la exposición al riesgo, tanto con servicios de
aseguramiento como de consultoría” (Estupiñán Gaitán, R., 2006, p. 329).
“Gestión de Riesgos. Un proceso para identificar, evaluar, manejar y controlar
acontecimientos o situaciones potenciales, con el fin de proporcionar un
aseguramiento razonable respecto del alcance de los objetivos de la
organización” (Estupiñán Gaitán, R., 2006, p. 331).
“Gestión de Riesgo Empresarial. Es un proceso estructurado, consistente y
continuo a través de toda la organización para identificar, evaluar, decidir
respuesta y reportar sobre oportunidades y amenazas que afectan el logro de
sus objetivos” (Estupiñán Gaitán, R., 2006, p. 331).
“Proceso de gestión de riesgos. Un proceso para identificar, evaluar, manejar y
controlar acontecimientos o situaciones potenciales, con el fin de proporcionar
un aseguramiento razonable respecto del alcance de los objetivos de la
organización” (Estupiñán Gaitán, R., 2006, p. 332).

11
Los Servicios de Consultoría son actividades de asesoramiento y servicios
relacionados, proporcionadas a los clientes, cuya naturaleza y alcance estén
acordados con los mismos y estén dirigidos a añadir valor y a mejorar los
procesos de gobierno, gestión de riesgos y control de una organización, sin que
el auditor interno asuma responsabilidades de gestión. Algunos ejemplos de
estas actividades son el consejo, el asesoramiento, la facilitación y la formación.
(Estupiñán Gaitán, R., 2006, p. 333)

2.2 Conceptos relacionados al Control Interno.

“El Control Interno son las políticas, procedimientos, prácticas y estructuras
organizacionales diseñadas para proporcionar razonable confianza en que los
objetivos de los negocios serán alcanzados y que los eventos indeseados serán
prevenidos o detectados y corregidos” (Estupiñán Gaitán, R., 2006, p. 1).
Control es cualquier medida que tome la dirección, el Consejo y otras partes,
para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y
metas establecidos. La dirección planifica, organiza y dirige la realización de las
acciones suficientes para proporcionar una seguridad razonable de que se
alcanzarán los objetivos y metas. (Estupiñán Gaitán, R., 2006, p. 330)
“Los Procesos de Control son las políticas, procedimientos y actividades, los
cuales forman parte de un enfoque de control, diseñados para asegurar que los
riesgos estén contenidos dentro de las tolerancias establecidas por el proceso
de evaluación de riesgos” (Estupiñán Gaitán, R., 2006, p. 332).
El control es aquella función que pretende asegurar la consecución de los
objetivos y planes prefijados en la fase de planificación. Como última etapa
formal del proceso de gestión, el control se centra en actuar para que los
resultados generados en las fases que le preceden sean los deseados. (Pérez,
J. y Carballo Veiga, 2013, p. 21)

2.3 Conceptos relacionados a la Gestión.

Gestión Empresarial es un término que abarca un conjunto de técnicas que se
aplican a la administración de una empresa y dependiendo del tamaño de la
empresa, dependerá la dificultad de la gestión del empresario o administrador.
El objetivo fundamental de la gestión empresarial es mejorar la productividad,
sostenibilidad y competitividad, asegurando la viabilidad de la empresa en el
largo plazo. (León, Huarachi, Díaz, Becerra, y Amorós, 2007, p. 21)

12
“Empresa es cualquier organización establecida para alcanzar objetivos
determinados” (Estupiñán Gaitán, R., 2006, p. 331).
Fraude es cualquier acto ilegal caracterizado por engaño, ocultación o violación
de confianza. Estos actos no requieren la aplicación de amenaza de violencia o
de fuerza física. Los fraudes son perpetrados por individuos y por organizaciones
para obtener dinero, bienes o servicios, para evitar pagos o pérdidas de
servicios, o para asegurarse ventajas personales o de negocio. (Estupiñán
Gaitán, R., 2006, p. 331)
“Gobierno es la combinación de procesos y estructuras implantados por el
Consejo de Administración para informar, dirigir, gestionar y vigilar las
actividades de la organización con el fin de lograr sus objetivos” (Estupiñán
Gaitán, R., 2006, p. 331).
El control de gestión es la función por la cual la Dirección se asegura que los
recursos son obtenidos y empleados eficaz y eficientemente para el logro de los
objetivos de la organización. Su propósito es gobernar la organización para que
desarrolle las estrategias seleccionadas para alcanzar los objetivos prefijados.
(Pérez, J. y Carballo Veiga, 2013, p. 29)
“Por eficacia se entiende el grado en que se contribuye a alcanzar un objetivo”.
(Pérez, J. y Carballo Veiga, 2013, p. 29)
“La eficiencia, por el contrario, trata de medir la productividad de la gestión, es
decir, la relación entre resultados y costes”. (Pérez, J. y Carballo Veiga, 2013, p.
29)

2.4 Auditoria Interna.

Auditoría interna es una función que coadyuva con la organización en el logro de
sus objetivos; para ello se apoya en una metodología sistemática para analizar
los procesos de negocio, las actividades y procedimientos relacionados con los
grandes retos de la organización, que deriva en la recomendación de soluciones.
La auditoría interna es una función practicada por auditores internos
profesionales con un profundo conocimiento en la cultura de negocios, los
sistemas y los procesos. La función de auditoria interna provee seguridad de que
los controles internos instaurados son adecuados para mitigar los riesgos y
alcanzar el logro de las metas y objetivos de la organización.
El Instituto de Auditores Internos ha desarrollado la definición de auditoría
interna, internacionalmente aceptada, en los siguientes términos: Auditoría
interna es una función independiente y objetiva en el aseguramiento y la
13
consultoría, designada para agregar valor y mejorar las operaciones de una
organización. Ayuda a la organización en el cumplimiento de sus objetivos
proporcionándole un enfoque sistemático y disciplinado para mejorar la eficiencia
en los procesos de administración de riesgos, de control y de gobierno.
La independencia es establecida en la estructura de reporte en la organización.
La objetividad se logra con un estado apropiado de actitud mental. La función de
auditoría interna evalúa la exposición a los riesgos relativos a gobierno,
operaciones y sistemas de información de la organización, en relación con:
 La eficacia y eficiencia de las operaciones.
 La contabilidad e integridad de la información financiera y operacional.
 La protección de activos.
 El cumplimiento con leyes, regulaciones y compromisos.
Con base en los resultados de la administración de riesgos, los auditores internos
evalúan la adecuación y eficiencia de cómo los riesgos son identificados y
administrados en los aspectos arriba mencionados, y evalúan otras materias
tales como ética, valores, desempeño de la administración, comunicación de
riesgos y control de la información al interior de la organización con el propósito
de facilitar el proceso de buen gobierno. Los auditores internos están dispuestos
también a aportar recomendaciones de mejora en aquellas áreas donde se
identifiquen oportunidades o deficiencias. En tanto que la administración es
responsable de los controles internos, el auditor interno provee aseguramiento a
la administración y al comité de auditoría de que los controles internos son
efectivos y trabajan de acuerdo con lo esperado. La función de auditoria interna
es liderada por el director de auditoria interna, quien delimita el alcance de las
actividades, así como la autoridad e independencia de la función en el estatuto
aprobado por el comité de auditoría. Una efectiva función de auditoría interna es
un valioso recurso para la administración y el consejo de administración o su
equivalente, y es un deber del comité de auditoría el comprender la cultura, las
operaciones y el perfil de riesgo de la organización. La objetividad, las
habilidades, los conocimientos y las competencias de los auditores internos
pueden representar un importante valor agregado a los procesos de control
interno, administración de riesgos y gobierno de la organización. De igual
manera, una efectiva función de auditoría interna puede aportar aseguramiento
a otros interesados, como es el caso de entidades reguladoras, empleados,
proveedores financieros y accionistas. Como aspectos fundamentales para la
profesión de auditoría interna, el Instituto de Auditores Internos promulga las
14
Normas internacionales para la práctica profesional de la auditoria interna y el
Código de ética para quienes la practican. Todos los miembros del Instituto de
Auditores Internos son requeridos a adherirse a lo propuesto en las Normas y en
el Código de ética.

Propósito.
Con base en la aplicación de un enfoque que asegure eficiencia en los procesos
de administración de riesgos, de control y de gobierno, es propósito de la
auditoría interna entregar a la alta administración resultados cualitativos,
cuantitativos, independientes, confiables, oportunos y objetivos; además de
asistir a las organizaciones públicas y privadas a alcanzar sus metas y objetivos.

Alcance.
El alcance de la función de la auditoria interna en una organización es amplio e
involucra aspectos como los siguientes: revisar y evaluar la eficacia en las
operaciones, la confiabilidad en la información financiera y operativa, determinar
e investigar fraudes, las medidas de protección de activos y el cumplimiento con
leyes y regulaciones; involucra también el asegurar apego a las políticas y los
procedimientos instaurados en la organización. Es importante resaltar que los
auditores internos no son responsables de la ejecución de las actividades de la
organización por lo que sólo proponen a la administración y al consejo de
administración, medidas para el mejor desempeño de las responsabilidades de
éstos. Como resultado del gran alcance de la función de auditoria interna, los
auditores internos deben contar con amplios conocimientos y sólida formación
académica y profesional.1

¿Por qué una Organización debe contar con Auditoría Interna?

Como piedra angular para un sólido proceso de gobierno, la auditoría interna
representa el puente entre la administración y el consejo; asimismo, apunta al
clima ético y la eficiencia y eficacia de las operaciones, y apoya a la organización
en el cumplimiento con reglas, regulaciones y todo lo relacionado con la práctica
de negocios.
La administración es responsable de establecer y mantener el sistema de control
interno en la organización. El sistema de control interno o controles internos son

1 Santillana González, J. (2013). Auditoria Interna. D.F, México: Pearson Educación de México S.A. de C.V. pp. 11-12.
15
aquellos cuya estructura, actividades y procesos coadyuvan a lograr una
administración efectiva, mitigando los riesgos que puedan entorpecer el logro de
los objetivos de la organización. La administración tiene a su cargo esta
responsabilidad en favor de los accionistas de la empresa, responsabilidad que
se hace extensiva a otros grupos, como es el caso del consejo de administración,
el comité de auditoría y las autoridades gubernamentales.
Una función de auditoría interna independiente y efectiva es la que asiste a la
administración, sin descuidar al consejo, al comité de auditoría u otros grupos
directivos, para el pleno desempeño de sus responsabilidades, proporcionándole
un enfoque sistemático y disciplinado para asegurar la eficiencia en el diseño y
la operación del sistema de control interno y en el proceso de administración de
riesgos. El objetivo de asesorar en el sistema de control interno y en el proceso
de administración de riesgos por parte de la función de auditoría interna provee
a la administración, al consejo y a los accionistas, un aseguramiento
independiente de que los riesgos serán mitigados de manera apropiada; ello
debido a que los auditores internos son expertos en la comprensión de los
riesgos de la organización y en los controles disponibles para mitigarlos. Su
apoyo consiste en el conocimiento de estos asuntos, que dan base para
proponer recomendaciones para su mejora.
Aquellas organizaciones que no cuentan con una función de auditoría interna
están perdiendo los invaluables beneficios que aportan auditores internos
profesionales; además de correr el riesgo de que su administración no se
encuentre en la mejor posición de proveer conocimientos, independencia y
opiniones objetivas sobre el sistema de control interno.
Algunas organizaciones asignan actividades de auditoría interna, sobre la base
de tiempo parcial, a algunos miembros de la organización que desempeñan otro
tipo de responsabilidades. Cuando esto ocurre, las personas que no cuentan con
el entrenamiento o experiencia necesarios en la profesión de auditoría interna
difícilmente podrán alcanzar una eficiencia óptima. Tales organizaciones corren
el gran riesgo de obtener resultados pobres en las revisiones; además, las
instancias que las practican carecen de posición organizacional para asegurar
resultados positivos. En este ambiente, en las revisiones pueden no ser
identificados procesos de alto riesgo, y pueden ser pasadas por alto deficiencias
en el sistema de control interno.
Una lección primaría, proveniente de descalabros financieros y colapsos de
numerosas organizaciones, es que un gobierno, una administración de riesgos y
16
controles internos eficientes son esenciales para asegurar longevidad en las
organizaciones: por ello, y bajo una perspectiva objetiva, el conocimiento a
detalle de una organización, y la aplicación de sólidos principios de auditoría y
consultoría, son el mejor soporte para asegurar la buena marcha de una
entidad.2

2.5 Plan Anual de Trabajo de la función de Auditoría Interna.

El plan anual de trabajo es un documento de planeación en el cual se consignan
los trabajos por realizar de las unidades administrativas, las actividades o los
procesos susceptibles de ser auditados o intervenidos por la función de auditoría
interna. Este plan por lo regular se diseña para un año de calendario, sin
menoscabo de extenderlo hasta el mediano plazo (uno a tres años) o a largo
plazo (más de tres años). Debe reconocerse que estas dos últimas extensiones
son poco viables o prácticas en virtud de futuros cambios en los requerimientos
y las prioridades de la administración, cambios en las políticas y
reglamentaciones, y modificaciones en los procesos operativos.
En la preparación del plan anual de trabajo, de inicio, el director de auditoría
interna deberá identificar y considerar las opiniones y expectativas que guardan
el director general, el consejo y los accionistas de la función de auditoría interna.
Una vez identificadas y tomadas en consideración esas opiniones y expectativas
el director de auditoría interna se abocará a la formulación del plan anual de
trabajo de la función de auditoría interna, del cual se hará responsable, basado
en una evaluación a los riesgos a que está expuesta la entidad: para ello debe
tener en cuenta el enfoque aplicado por la organización para administrarlos,
incluyendo los niveles de aceptación establecidos por la dirección general para
las diferentes actividades o procesos. Si no existiere tal enfoque, el director de
auditoría interna aplicará su propio juicio sobre los riesgos después de haber
consultado a la dirección general y al consejo.
En el diseño del plan anual de trabajo, que deberá ser consistente con las metas
de la organización, se considerarán:
 Los objetivos de la actividad a revisar, o de la consultoría a realizar y los
medios por los cuales esa actividad controla su desempeño.

2 Ibíd., pp. 11-12

17
  Los riesgos significativos de la actividad; sus objetivos, recursos y
operaciones; y los medios a través de los cuales se mantiene a nivel
aceptable el impacto potencial de esos riesgos.
 La adecuación y eficacia de los procesos de administración de riesgos y
de los procesos de control de la actividad comparado con modelos de
control tipo.
 Las oportunidades de proponer mejoras significativas en los procesos de
administración de riesgos y de control de la actividad.
 La determinación de prioridades y otras intervenciones que se pueden
desahogar durante el transcurso de un año. La determinación de
prioridades debe establecerse en función a los riesgos y a la forma como
están siendo administrados.
 Los requerimientos de la administración y otras áreas interesadas.
 La atención a auditores externos, auditores de gobierno y otro tipo de
auditores.
 Plazos razonables de tiempo de fuerza de auditoria, que se reservarán
para atender emergencias o requerimientos no planeados de origen.
Como insumos para la preparación del plan referido, el director de auditoria
interna solicitará sugerencias de la administración y de otras áreas interesadas
en que se les revise o se les den servicios de consultoría, lo cual incluye tanto a
los ejecutivos de nivel medio como a la alta administración. Los gerentes y
supervisores de auditoría también pueden requerir y presentar propuestas de
auditorías y trabajos de consultoría por efectuar sin soslayar la participación de
los encargados de auditoría y auditores auxiliares para recibir de ellos ideas e
innovaciones. La intervención de los referidos estimula el proceso de planeación,
programación y apertura de la función de auditoría interna. Esto refuerza los
servicios que presta a la organización.
En complemento a lo enunciado, también son elementos que deben
considerarse en la formulación del plan anual de trabajo de la función de
auditoría interna los siguientes: volumen de incidencias, hallazgos u
observaciones detectados en auditorias anteriores, así como las acciones
emprendidas por los auditados para solucionarlos y su seguimiento; coberturas
previas de auditoría, es decir, las actividades ya auditadas y las que no lo han
sido, y las áreas que por la naturaleza de sus actividades u operaciones
requieren evaluación, revisión y consultoría con más frecuencia.

18
Una vez elaborado el plan anual de trabajo de la función de auditoría interna, el
director de esta función lo comunicará a la dirección general y al consejo, para
su adecuada revisión y aprobación, incluyendo los recursos requeridos para
tales propósitos: sin soslayar incluir en el comunicado la previsión de eventuales
cambios significativos. Asimismo, comunicará también el impacto que pudiese
tener cualquier limitación de recursos.
Se debe documentar, esto es, dejar constancia escrita, tanto del plan anual de
trabajo de la función de auditoria como de la planeación de una intervención de
auditoría interna en lo particular.

Planeación de una Intervención de Auditoría Interna.

La planeación de una intervención de auditoría interna en lo particular
comprenderá los siguientes aspectos, en la propia secuencia:
A. Establecimiento de los objetivos de la intervención y el alcance del
trabajo. Se deben establecer objetivos por cada trabajo. El alcance del trabajo
debe ser suficiente para satisfacer sus objetivos. Requerir al solicitante, o a quien
ordena un trabajo de auditoría, objetivos claros y precisos de lo que se busca o
espera de la intervención. Objetivos ambiguos o difusos provocarán
incertidumbre en el auditor: no precisar alcance, dificultad en la planeación del
trabajo, no saber a dónde o a qué meta llegar. Solicitante y auditor deben saber
exactamente qué quieren o esperan del trabajo de auditoría. El peor error en que
puede incurrir un auditor es presentar un informe sobre algo que no era lo
esperado por el solicitante del trabajo.
Los objetivos de la intervención son estrategias que deben desarrollar los
auditores internos y la forma como intentarán emplearlas. Los procedimientos de
auditoría son los medios por utilizar para lograr esos objetivos La conjunción de
los objetivos y los procedimientos por aplicar definirán el alcance del trabajo del
auditor el cual debe tomar en cuenta, además, la relevancia de los sistemas
registros personal y propiedades físicas incluso aquellos bajo control de terceros.
Los objetivos y los procedimientos de auditoría deberán identificar los riesgos, o
sea, aquellos eventos o acciones asociados que puedan afectar de manera
adversa a la unidad administrativa, actividad o proceso sujeto a intervención, así
como la probabilidad de errores, fraude, incumplimientos y otros asuntos
relativos.
El propósito de identificar riesgos durante la etapa de planeación de la
intervención de auditoría es, además, detectar áreas o aspectos relevantes o
19
significativos en la actividad sujeta a intervención, por lo cual se deberá realizar
una evaluación preliminar de esos riesgos. Los objetivos del trabajo deben
reflejar los resultados de esa evaluación. Por su parte, los objetivos de los
trabajos de consultoría deben considerar los procesos de gobierno y los de
control, hasta el grado de extensión acordado con el cliente; asimismo, habrán
de ser consistentes con los valores, estrategias y objetivos de la organización.
Si durante la realización de un trabajo de aseguramiento surgen oportunidades
de efectuar trabajos relevantes de consultoría, debe obtenerse un acuerdo
escrito que especifique los objetivos, el alcance, responsabilidades respectivas
y demás expectativas. Al desempeñar trabajos de consultoría, los auditores
internos deben asegurarse de que sea suficiente el alcance del trabajo para
cumplir con los objetivos acordados. Si los auditores internos se enfrentaran a
restricciones durante el transcurso del trabajo, éstas deberán tratarse con el
diente para determinar se continúa o no con el trabajo.

B. Comunicación a las partes que requieren saber de la intervención por

realizar. Se requiere celebrar reuniones con los directivos responsables de la
actividad que será objeto de una intervención de auditoría. Los temas por tratar
en esas reuniones pueden incluir:
 Objetivos y alcance del trabajo de auditoría planeado.
 Tiempo que se va a ocupar en los trabajos de auditoría.
 Auditores asignados a la auditoría.
 Proceso de comunicación durante la intervención, incluyendo métodos de
trabajo, márgenes de tiempo y. en lo individual, los auditores
responsables de cada tarea.
 Condiciones y operaciones de la actividad, incluyendo cambios recientes
en la administración, sistemas y procesos principales.
 Asuntos o requerimientos de los directivos.
 Asuntos de interés particular que requieran los auditores internos.
 Descripción de la función de auditoría interna, procedimientos de reporte
y seguimientos.
 Se llevará bitácora de los principales asuntos tratados en las reuniones y
sus correspondientes conclusiones, determinar su distribución a los
participantes según se requiera e incluir un ejemplar en la documentación
de auditoría.

20
C. Obtención de información sobre antecedentes de las unidades
administrativas, actividades o procesos sujetos a intervención.
El estudio de los antecedentes servirá para determinar el impacto de éstos que
pudieren incidir en el trabajo de auditoría. Los antecedentes incluyen:
 Objetivos y metas.
 Políticas, planes, procedimientos, leyes, regulaciones y compromisos que
pueden causar un impacto significativo en las operaciones y los reportes.
 Información organizacional, por ejemplo: número y nombres de
trabajadores, empleados y funcionarios clave; descripciones de puestos
e información acerca de cambios recientes en la organización, incluyendo
cambios en los sistemas y procesos principales.
 Información presupuestal, resultados de operación y datos financieros
relativos a la actividad sujeta a intervención.
 Documentación (o papeles de trabajo) de auditorías anteriores.
 Resultados de otras auditorías, incluyendo el trabajo de los auditores
externos, concluidas o en proceso.
 Archivos de correspondencia para determinar asuntos potencialmente
significativos susceptibles de ser revisados.
 Literatura técnica relacionada con la actividad sujeta a intervención.
En complemento a lo referido, también es necesario contemplar otros
requerimientos preliminares aplicables a la intervención, como son periodo que
se va a cubrir y estimación de fecha de conclusión de la intervención. Con el
propósito de facilitar su elaboración final, el formato del reporte final de auditoría
habrá de ser considerado también durante la planeación.

D. Estudio General.
Realizar, en lo posible, un estudio general a efecto de familiarizarse con la
actividad que será objeto de una intervención de auditoría, así como de los
riesgos, la administración de los mismos y los controles que les son inherentes;
se deben identificar áreas que requieran mayor atención de auditoría e invitar a
los auditados a que presenten comentarios y sugerencias.
El estudio general se interpreta como un proceso de obtención de información,
sin que se requiera una verificación detallada sobre la actividad objeto de una
intervención de auditoría. Los propósitos principales de este proceso son:
 Comprender la actividad sujeta a intervención.

21
  Identificar aquellas áreas relevantes que requieran mayor atención.
 Obtener información que pueda ser utilizada durante el desarrollo de la
auditoría.
El estudio general es un proceso que apoya la planeación y el desarrollo del
trabajo de auditoría, y es una herramienta efectiva para disponer, donde puedan
ser utilizados de manera efectiva, los recursos de la función de auditoría interna.
El enfoque del estudio general puede variar dependiendo de la naturaleza de la
auditoría.
También puede variar el alcance y tiempo requeridos para llevar a cabo un
estudio general. Entre otros factores que contribuyen para ello están incluidos el
entrenamiento y la experiencia de los auditores internos, conocimiento sobre la
actividad que está siendo examinada, el tipo de trabajo que se está
desarrollando, y si el estudio general es un seguimiento recurrente en cada
asignación. El tiempo requerido para este estudio también está influenciado por
el tamaño de la actividad que está siendo objeto de intervención de auditoría
interna, y por su eventual dispersión geográfica.
El estudio general puede involucrar la aplicación de los siguientes
procedimientos:
 Comentarios con los auditados.
 Entrevistas con personas a las que repercute la actividad sujeta a
auditoria, como es el caso, por ejemplo, de usuarios que reciben
información de dicha actividad.
 Observación de la forma de operar de la actividad sujeta a auditoria.
 Revisión de reportes y estudios gerenciales.
 Aplicación de procedimientos de revisión analítica.
 Diagramas de flujo.
 Pruebas de trabajos específicos que se dan dentro de la actividad sujeta
a auditoria, desde que inician hasta que concluyen.
 Documentación de aspectos clave de control.
Se deberá preparar un resumen que incluya los resultados del estudio general.
Este resumen habrá de incluir lo siguiente:
 Hallazgos relevantes y eventuales recomendaciones para un seguimiento
más a detalle.
 Información pertinente captada durante el estudio general.

22
  Objetivos de la auditoria, procedimientos de auditoría y aplicaciones
especiales, como es el caso de técnicas de auditoría apoyadas con el
computador.
 Aspectos potencialmente críticos en materia de administración de riesgos.
 Aspectos potencialmente críticos de control, deficiencias de control y/o
exceso de controles.
 Estimación preliminar de tiempo que se va a emplear para efectuar la
auditoria y los requerimientos de recursos.
 Revisión de fechas para reportar los avances y la conclusión de la
auditoría.
 En lo aplicable, razones para no continuar con la auditoría.3

1.6 Control Interno.

El control interno es un proceso llevado a cabo por el consejo de administración,
la dirección y el resto del personal de una entidad, diseñado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecución de
objetivos relacionados con las operaciones, la información y el cumplimiento.
Esta definición refleja ciertos conceptos fundamentales. El control interno:
 Está orientado a la consecución de objetivos en una o más categorías,
operaciones, información y cumplimiento.
 Es un proceso que consta de tareas y actividades continuas, es un medio
para llegar a un fin, y no un fin en sí mismo.
 Es efectuado por las personas, no se trata solamente de manuales,
políticas, sistemas y formularios, sino de personas y las acciones que
éstas aplican en cada nivel de la organización para llevar a cabo el control
interno.
 Es capaz de proporcionar una seguridad razonable, no una seguridad
absoluta, al consejo y a la alta dirección de la entidad.
 Es adaptable a la estructura de la entidad, flexible para su aplicación al
conjunto de la entidad o a una filial, división, unidad operativa o proceso
de negocio en particular.
Esta definición es intencionadamente amplia. Incluye conceptos importantes que
son fundamentales para las organizaciones respecto a cómo diseñar, implantar
y desarrollar el control interno, constituyendo así una base para su aplicación en

3 Ibíd., pp. 150-155

23
entidades que operen en diferentes estructuras organizacionales, sectores y
regiones geográficas.4

Objetivos.
El Marco establece tres categorías de objetivos, que permiten a las
organizaciones centrarse en diferentes aspectos del control interno:

Objetivos operativos.
Hacen referencia a la efectividad y eficiencia de las operaciones de la entidad,
incluidos sus objetivos de rendimiento financiero y operacional, y la protección
de sus activos frente a posibles pérdidas.

Objetivos de información.
Hacen referencia a la información financiera y no financiera interna y externa y
pueden abarcar aspectos de confiabilidad, oportunidad, transparencia, u otros
conceptos establecidos por los reguladores, organismos reconocidos o políticas
de la propia entidad.

Objetivos de cumplimiento.
Hacen referencia al cumplimiento de las leyes y regulaciones a las que está
sujeta la entidad.
Componentes del control interno.
El control interno consta de cinco componentes integrados:
Entorno de control.
El entorno de control es el conjunto de normas, procesos y estructuras que
constituyen la base sobre la que desarrollar el control interno de la organización.
El consejo y la alta dirección son quienes marcan los lineamientos con respecto
a la importancia del control interno y los estándares de conducta esperados
dentro de la entidad. La dirección refuerza las expectativas sobre el control
interno en los distintos niveles de la organización. El entorno de control incluye
la integridad y los valores éticos de la organización; los parámetros que permiten
al consejo llevar a cabo sus responsabilidades de supervisión del gobierno
corporativo; la estructura organizacional y la asignación de autoridad y

4 Everson, Miles E. A.; Soske, Stephen E.; Martens, Frank J.; Beston, Cara M.; Harris, Charles E.; Garcia, J. Aaron;
Jourdan, Catherine I.; Posklensky, Jay A. y Perraglia, Sallie Jo (2013). Committee Of Sponsoring Orgnizations Of The Treadway
Commission, Control Interno - Marco Integrado. Madrid: España. p. 3.
24
responsabilidad; el proceso de atraer, desarrollar y retener a profesionales
competentes; y el rigor aplicado a las medidas de evaluación del desempeño, los
esquemas de compensación para incentivar la responsabilidad por los
resultados del desempeño El entorno de control de una organización tiene una
influencia muy relevante en el resto de componentes del sistema de control
interno.

Evaluación de riesgos.
Cada entidad se enfrenta a una gama diferente de riesgos procedentes de
fuentes externas e internas. El riesgo se define como la posibilidad de que un
acontecimiento ocurra y afecte negativamente a la consecución de los objetivos.
La evaluación del riesgo implica un proceso dinámico e iterativo para identificar
y evaluar los riesgos de cara a la consecución de los objetivos. Dichos riesgos
deben evaluarse en relación a unos niveles preestablecidos de tolerancia. De
este modo, la evaluación de riesgos constituye la base para determinar cómo se
gestionarán. Una condición previa a la evaluación de riesgos es el
establecimiento de objetivos asociados a los diferentes niveles de la entidad. La
dirección debe definir los objetivos operativos, de información y de cumplimiento,
con suficiente claridad y detalle para permitir la identificación y evaluación de los
riesgos con impacto potencial en dichos objetivos. Asimismo, la dirección debe
considerar la adecuación de los objetivos para la entidad.
La evaluación de riesgos también requiere que la dirección considere el impacto
que puedan tener posibles cambios en el entorno externo y dentro de su propio
modelo de negocio, y que puedan provocar que el control interno no resulte
efectivo.

Actividades de control.
Las actividades de control son las acciones establecidas a través de políticas y
procedimientos que contribuyen a garantizar que se lleven a cabo las
instrucciones de la dirección para mitigar los riesgos con impacto potencial en
los objetivos. Las actividades de control se ejecutan en todos los niveles de la
entidad, en las diferentes etapas de los procesos de negocio, y en el entorno
tecnológico. Según su naturaleza, pueden ser preventivas o de detección y
pueden abarcar una amplia gama de actividades manuales y automatizadas,
tales como autorizaciones, verificaciones, conciliaciones y revisiones del
desempeño empresarial. La segregación de funciones normalmente está
25
integrada en la definición y funcionamiento de las actividades de control. En
aquellas áreas en las que no es posible una adecuada segregación de funciones,
la dirección debe desarrollar actividades de control alternativas y
compensatorias.

Información y comunicación.
La información es necesaria para que la entidad pueda llevar a cabo sus
responsabilidades de control interno y soportar el logro de sus objetivos. La
dirección necesita información relevante y de calidad, tanto de fuentes internas
como externas, para apoyar el funcionamiento de los otros componentes del
control interno. La comunicación es el proceso continuo e iterativo de
proporcionar, compartir y obtener la información necesaria. La comunicación
interna es el medio por el cual la información se difunde a través de toda la
organización, que fluye en sentido ascendente, descendente y a todos los niveles
de la entidad. Esto hace posible que el personal pueda recibir de la alta dirección
un mensaje claro de que las responsabilidades de control deben ser tomadas
seriamente. La comunicación externa persigue dos finalidades: comunicar, de
fuera hacia el interior de la organización, información externa relevante y
proporcionar información interna relevante de dentro hacia fuera, en respuesta a
las necesidades y expectativas de grupos de interés externos.

Actividades de supervisión.
Las evaluaciones continuas, las evaluaciones independientes o una combinación
de ambas se utilizan para determinar si cada uno de los cinco componentes del
control interno, incluidos los controles para cumplir los principios de cada
componente, está presentes y funcionan adecuadamente. Las evaluaciones
continuas, que están integra das en los procesos de negocio en los diferentes
niveles de la entidad, suministran información oportuna. Las evaluaciones
independientes, que se ejecutan periódicamente, pueden variar en alcance y
frecuencia dependiendo de la evaluación de riesgos, la efectividad de las
evaluaciones continuas y otras consideraciones de la dirección. Los resultados
se evalúan comparándolos con los criterios establecidos por los reguladores,
otros organismos reconocidos o la dirección y el consejo de administración, y las
deficiencias se comunican a la dirección y al consejo, según corresponda.5

5 Everson, M. et al., (2013). Committee Of Sponsoring Orgnizations Of The Treadway Commission, Control Interno - Marco
Integrado. Madrid: España. pp. 4-5.
26
Relación entre Objetivos y Componentes.
Existe una relación directa entre los objetivos, que es lo que una entidad se
esfuerza por alcanzar, los componentes, que representa lo que se necesita para
lograr los objetivos y la estructura organizacional de la entidad (las unidades
operativas, entidades jurídicas y demás). La relación puede ser representada en
forma de cubo.
 Las tres categorías de objetivos operativos, de información y de
cumplimiento, están representadas por las columnas.
 Los cinco componentes están representados por las filas
 La estructura organizacional de la entidad está representada por la tercera
dimensión.
Componentes y Principios
El Marco establece un total de diecisiete principios que representan los
conceptos fundamentales asociados a cada componente. Dado que estos
diecisiete principios proceden directamente de los componentes, una entidad
puede alcanzar un control interno efectivo aplicando todos los principios. La
totalidad de los principios son aplicables a los objetivos operativos, de
información y de cumplimiento. A continuación se enumeran los principios que
soportan los componentes del control interno:

Entorno de Control.
 La organización demuestra compromiso con la integridad y los valores
éticos.
 El consejo de administración demuestra independencia de la dirección y
ejerce la supervisión del desempeño del sistema de control interno.
 La dirección establece, con la supervisión del consejo, las estructuras, las
líneas de reporte y los niveles de autoridad y responsabilidad apropiados
para la consecución de los objetivos.
 La organización demuestra compromiso para atraer, desarrollar y retener
a profesionales competentes, en alineación con los objetivos de la
organización.
 La organización define las responsabilidades de las personas a nivel de
control interno para la consecución de los objetivos.

27
Evaluación de Riesgos.
 La organización define los objetivos con suficiente claridad para permitir
la identificación y evaluación de los riesgos relacionados.
 La organización identifica los riesgos para la consecución de sus objetivos
en todos los niveles de la entidad y los analiza como base sobre la cual
determinar cómo se deben gestionar.
 La organización considera la probabilidad de fraude al evaluar los riesgos
para la consecución de los objetivos.
 La organización identifica y evalúa los cambios que podrían afectar
significativamente al sistema de control interno.
Actividades de Control.
 La organización define y desarrolla actividades de control que contribuyen
a la mitigación de los riesgos hasta niveles aceptables para la
consecución de los objetivos.
 La organización define y desarrolla actividades de control a nivel de
entidad sobre la tecnología para apoyar la consecución de los objetivos.
 La organización despliega las actividades de control a través de políticas
que establecen las líneas generales del control interno y procedimientos
que llevan dichas políticas a la práctica.

Información y Comunicación.
 La organización obtiene o genera y utiliza información relevante y de
calidad para apoyar el funcionamiento del control interno.
 La organización comunica la información internamente, incluidos los
objetivos y responsabilidades que son necesarios para apoyar el
funcionamiento del sistema de control interno.
 La organización se comunica con los grupos de interés externos sobre los
aspectos clave que afectan al funcionamiento del control interno.

Actividades de Supervisión.
 La organización selecciona, desarrolla y realiza evaluaciones continuas
y/o independientes para determinar si los componentes del sistema de
control interno están presentes y en funcionamiento.

28
  La organización evalúa y comunica las deficiencias de control interno de
forma oportuna a las partes responsables de aplicar medidas correctivas,
incluyendo la alta dirección y el consejo, según corresponda.

2.7 Proceso de definición de alcance de auditoría

Toda evaluación que tenga el tipo de de auditoría, tiene un alcance. Éste está
referido al conjunto de aspectos, procesos o procedimientos considerados
necesarios de cubrir en dicha evaluación para lograr los objetivos de la auditoria.
Para definir el alance, es necesario conocer la empresa a auditar (los procesos,
procedimientos y normativas involucradas) con el propósito de averiguar en
detalle sus características, y así tener los elementos de juicio suficientes y
necesarios que permitan un adecuado planeamiento (calendarización) del
trabajo a realizar y dirigirlo hacia los aspectos que resulten de mayor interés de
acuerdo con los objetivos que se definirán en etapas posteriores (empleo de las
técnicas de auditoría adecuadas).
La participación de la entidad cliente es fundamental para estos estudios, los
cuales se pueden efectuar a través de entrevistas con los principales actores de
los aspectos involucrados en la —futura— auditoría, procurando profundizar
datos en cuanto a estructura, cantidad de dependencia, desenvolvimiento de la
actividad que desarrolla, flujo de la información (proceso) o de los servicios que
presta, peculiaridades de las áreas específicas en donde se desea desarrollar la
auditoria entre otros.
Las mismas investigaciones conducirán a la determinación de los criterios de
auditoría tal como lo menciona [ISO 19011 2002]. Los resultados de esta
exploración en la empresa permitirán, además, hacer la selección de la
metodología y el resto de técnicas a utilizar.
En cuanto al objeto de auditoría que está siendo cubierta, es menester conocer
los conceptos de control interno en el interior de la empresa (valorar la
importancia del control interno) así como el uso de marcos tales como COSO II
para organizar esta función. Esto facilitará la etapa de planeamiento de la
evaluación garantizando su calidad.

2.8 Proceso de definición del objetivo general de auditoría

Conociendo el alcance de la auditoría —definida en la etapa anterior— se
procede a definir los objetivos de la misma. El objetivo general regula de manera
holística lo que se pretende evaluar. Es complementado por los objetivos
29
específicos denominados por la ISO 19011 como criterios de auditoría. La forma
de definir el objetivo general en este tipo de auditoría es sencilla: ubicar los
principales aspectos involucrados en información y comunicaciones que podrían
ser objeto de revisión dentro del control interno u otras auditorías relacionadas.
La siguiente lista muestra ejemplos de objetivos generales de una auditoría de
control interno para las dimensiones información y comunicaciones:
 Evaluar los controles internos con la finalidad de determinar su
performance y su alineamiento hacia políticas y cumplimiento regulatorio
al que está sujeto la empresa auditada
 Evaluar el cumplimiento de las metas de control interno
 Determinar el grado de confiabilidad de los estados financieros
 Evaluar la gestión empresarial, el cumplimiento de las medidas de
austeridad o comprobar la performance de determinado aspecto de la
Administración General de la empresa que guarde correspondencia con
control interno
 Efectuar un seguimiento con las recomendaciones dadas en anteriores
evaluaciones (auditorías previas)
Dichos objetivos deben estar basados en criterios o marcos de referencias como:
leyes, reglamentos, cartas, procedimientos, normas de control interno, norma de
sana administración, principios de contabilidad generalmente aceptada, opinión
de un experto o finalmente juicio del auditor.

2.8 Definición de las herramientas a utilizar en la auditoría

Para auditorías informáticas, de seguridad y TI usualmente se emplean las
siguientes herramientas:
 COBIT: Herramienta guía para evaluar controles referentes a información
y comunicaciones.
 ISO 19011: Buenas prácticas para la realización de auditoría en general.
 ISO 27001: Buenas prácticas para elaborar un plan auditoria de la
información.
 ISO 27002: Buenas prácticas para realizar controles durante la ejecución
de la auditoria de la información.
 NIST 800-34: Consideraciones técnicas de planificación de contingencia
en telecomunicaciones, en servidores y en los sistemas cliente/servidor

30
2.9 Definición de los criterios a seguir en la auditoría
Partiendo de los objetivos y alcance previstos y considerando toda la información
obtenida, se procederá a escoger los criterios (ver Anexo C) de la lista (no
exhaustiva). Adicionalmente, los criterios que podrían ser planteados según la
norma ISO 27002 [ISO 27000] para los aspectos de seguridad tanto de
información como de comunicaciones, serían los siguientes:
Con respecto a la información:
 Manejar la seguridad de la información dentro de la organización y
establecer un marco gerencial referencial para iniciar y controlar su
implementación interna
 Manejar la seguridad de accesos de terceras personas, es decir, la
presencia de terceros tanto para proveer servicios externos como los
clientes, expone a la información a riesgos que deben ser mitigados o
controlados
 Delegar responsabilidades a los usuarios, tales como manejar
correctamente sus contraseñas, sus equipos informáticos y mantener sus
pantallas y escritorios limpios
 Controlar el acceso a red, mediante el establecimiento de políticas de uso
de los servicios de red
 Controlar el acceso a los sistemas operativos, con identificación y
autenticación de usuarios, gestión de contraseñas para sistemas
operativos, etc
 Controlar la computación móvil y teletrabajo, restringir el uso de la
computación móvil y teletrabajo para evitar que la información se filtre por
cualquier canal de comunicación

Con respecto a las comunicaciones:

 Establecer procedimientos y responsabilidades sobre la documentación
de los procesos operativos, procesos de gestión de cambio y separación
de entorno de desarrollo, pruebas y operaciones
 Gestionar la entrega del servicio por parte de terceros, desarrollando un
procedimiento para monitorear, revisar y manejar los cambios dichos
servicios
 Controlar código malicioso y código móvil

31
  Gestionar un proceso de copias de seguridad y respaldo
 Gestionar la seguridad dentro de las topologías de las redes
 Gestionar medios de soporte, monitoreando el procesamiento de
información en dichos medios y asegurando la documentación de los
sistemas que brindan soporte al sistema principal de la empresa
 Controlar el intercambio de información, definiendo acuerdos inter-
empresas para dicho intercambio y asegurando la seguridad de los
medios de soporte que se encargan del intercambio de información

Descripción de los mecanismos de relevamiento de información para los

procesos de auditoría
En el siguiente capítulo se describe los procesos de relevamiento de evidencias,
hallazgos y finalmente documentación de las conclusiones y recomendaciones
del proceso de auditoría de la información y comunicación del control interno
según COSO II.

2.10 Proceso de relevamiento de evidencias para la auditoria

Se tomó en cuenta los siguientes conceptos para el relevamiento de evidencias
 Criterio: Aspecto a tomar en cuenta en la definición de evidencias para la
auditoría de la información y comunicación del control interno
 Auditado: Ente al cual le pedimos la información a auditar y al quien se
entregan los resultados de la auditoria.
 Documentos a pedir: Testimonio material que se analizó y recolectó para
el relevamiento de evidencias, los cuales pueden ser los siguientes:

Normativas del Control Interno de la empresa

Normativa legal que tenga que cumplir la empresa relacionada al Control Interno
Planes y procedimientos de seguridad de la información

Modelo de arquitectura de información empresarial

Diccionario de datos empresarial y reglas de sintaxis de datos Procedimientos
para la integridad de datos
Listado y características de dispositivos ( firewall, routers y switchs ) Tecnología
de difusión que la red utiliza

32
Capacidad de transmisión de la red
Medios de comunicación que se utiliza (cable coaxial, telefónico y fibra óptica)
Alcance de la red
Organización y distribución de servidores
 Objetivo de revisión del documento: Es el fin por el cual se revisan los
documentos al auditado
 Ejecutar trabajo de campo: Son técnicas de recolección de evidencias
como las siguientes:
 Revisar la estructura organizativa del área de TI
 Revisar las políticas, procedimientos y estándares de Sistemas de
Información Revisar los estándares de documentación de los sistemas de
información

Entrevistar al personal apropiado

Observar los procesos y el desempeño de los empleados Revisión de
documentación
El resultado de utilizar la matriz descrita anteriormente es una evidencia, la cual
es toda información utilizada para determinar si la empresa o los datos que están
siendo auditados cumplen con los criterios u objetivos establecidos de una
auditoria [Tupia 2009]
Para asegurar la confiabilidad de la evidencia esta debe cumplir con los
siguientes criterios:
 Independencia del proveedor de la evidencia: La evidencia debe ser
obtenida de fuentes externas y no de fuentes internas de la empresa
 Calificación de la persona que suministra la información o evidencia: Se
debe considerar la calificación de las personas que brindan las evidencias
y del auditor ya que si este no tiene un buen entendimiento del área
técnica que está en revisión , la información recopilada puede ser no
confiable
 Objetividad de la evidencia: La evidencia se debe entender sin ningún tipo
de explicación o interpretación.

Proceso de documentación de hallazgos de la auditoria

33
Después de ejecutar el plan de auditoría y de recolectar la evidencia, se debe
evaluar la información recopilada para desarrollar una opinión de auditoría.
Se debe determinar las fortalezas y las debilidades de las evidencias
encontradas, y luego determinar su eficacia para alcanzar los criterios
establecidos como parte del plan de auditoría; como resultado se produce un
hallazgo. Para documentar un hallazgo se desarrolla atributos que se relacionan
con él, como la evidencia, el criterio, el hallazgo, el resultado y las
recomendaciones.

Proceso de comunicación de las conclusiones de la auditoria

Siendo las conclusiones, el último aspecto de la documentación dentro de los
informes de auditoría, éstas deben:
 Basarse en evidencias suficientes, relevantes y competentes.
 Incluir también comentarios positivos y/o constructivos en relación con
el estado actual de los procesos y controles instalados.
 Cubrir no solamente las no conformidades a partir de los hallazgos,
sino también las oportunidades de mejora que puedan surgir por la
misma causa de la no conformidad.

34
 CONCLUSIONES

· Se consiguió efectuar los objetivos planteados en este proyecto de fin de

carrera, cumpliendo con el cronograma y los entregables establecidos en la
etapa de planificación de este proyecto. Lo cual significó aplicar un sentido de
responsabilidad, disciplina, investigación y constancia.

· Los resultados de este proyecto de fin de carrera se cumplieron al 100%

ya que se definieron los elementos del control interno partiendo de los estipulado
en COSO I y II, los aspectos a evaluar para las variables de información y
comunicación del control interno, riesgos y controles de los aspectos
anteriormente determinados, para efectos de definir los criterios de auditoría.
Además de determinar un proceso de relevamiento de evidencias, hallazgos y
documentación de conclusiones.

· El presente proyecto de fin de carrera puede ser aplicable a COSO III ,

Basile II – III

· Para desarrollar el presente proyecto de tesis se aplicó los conocimientos

de los cursos de Seguridad de la Información, Sistemas de Información,
Sistemas de Control y Auditoria de Sistemas de Información, Administración de
las Funciones Informáticas, Seguridad Computacional, Temas Avanzados en
Tecnología de la Información, entre otros. Además se cumplió con el objetivo de
desarrollar un proyecto de fin de carrera en un año académico.

35
 BIBLIOGRAFIA

Chávez Alayo, J. A., & Rodríguez Rodríguez, E. M. (2012). La auditoría interna

como herramienta de gestión de las organizaciones públicas y privadas.
Ciencia y Tecnología, VIII(22), 173-173. Recuperado el enero de 2016

Enciclopedia de la auditoria (vol. I). (2005). Barcelona, Barcelona, España:

Grupo Editorial Oceano Centrum.

Estupiñán Gaitán, R. (2006). Administración de riesgos E.R.M. Y la Auditoria

Interna (Primera Ed.). Bogotá, Colombia: Ecoe Ediciones.

León, C., Huarachi, J., Díaz, D., Becerra, J., & Amorós, E. (2007). Gestión
empresarial para agronegocios. Chiclayo, Perú.

Padro Palomino, J. L. (2013). La auditoria interna en la optimización del gobierno

corporativo a nivel de una empresa de producción de biocombustibles.
Tesis de maestría, Universidad San Martín de Porres, Facultad de
Ciencias Contables, Económicas y Financieras, Lima. Recuperado el
enero de 2016

Pérez, J. F., & Carballo Veiga. (2013). Control de la gestión empresarial (Octava
Ed.). Madrid, España: Business & Marketing School.

36