REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO PARA LA EDUCACIÓN UNIVERSITARIA, CIENCIA Y

TECNOLOGIA
COLEGIO UNIVERSITARIO “FRANCISCO DE MIRANDA”
ESPECIALIZACIÓN AUDITORIA DE TECNOLOGÍA DE INFORMACIÓN
FINANCIERA Y SEGURIDAD DE DATOS
AUDITORÍA DE TI Y GOBIERNO CORPORATIVO
SECCIÓN 359ª

Auditoría de Cumplimiento de Leyes y/o Normativas

Caso: Aplicar la Auditoría de Cumplimiento en la Banca Pública y Privada de

la Normativa de Tecnología de la Información, Servicios Financieros
Desmaterializados, Banca Electrónica, Virtual y en línea, emitida por
SUDEBAN

Elaborado por Equipo N° 02:

Álvarez, Flor
Campaña, Joaquín
Díaz, Luis
Jiménez, Yerika
Vargas, Carlos

Caracas, Abril 2018

INTRODUCCIÓN

La Auditoría de Cumplimiento se enfoca en determinar si un asunto en particular

cumple con las regulaciones o autoridades identificadas como criterios.

Las auditorías de cumplimiento se llevan a cabo para evaluar si las actividades

derivadas de la gestión fiscal, operaciones financieras e información cumplen, en
todos los aspectos significativos, con las regulaciones o autoridades que rigen a la
entidad auditada.

Estas autoridades pueden incluir reglas, leyes y reglamentos, resoluciones

presupuestarias, políticas, códigos establecidos, términos acordados o los
principios generales que rigen una administración financiera sana del sector
público o privado.

En Venezuela La Superintendencia de Bancos y Otras Instituciones Financieras

(SUDEBAN) es el órgano encargado y responsable de supervisar, controlar y
vigilar el correcto funcionamiento de las instituciones bancarias regidas por la Ley.

En este trabajo a nuestro equipo de auditores se le encomendó la tarea de

verificar la correcta aplicación de la Normativa de Tecnología de la Información,
Servicios Financieros Desmaterializados, Banca Electrónica, Virtual y en Línea,
emitida por la SUDEBAN actualmente vigente.

RESEÑA HISTÓRICA
La Superintendencia de Bancos y Otras Instituciones Financieras (SUDEBAN) es
un organismo autónomo, de carácter técnico y especializado, con personalidad
jurídica y patrimonio propio e independiente del Fisco Nacional.

Tiene como función principal supervisar, controlar y vigilar las instituciones

financieras regidas por la Ley General de Bancos y Otras Instituciones
Financieras, con el objetivo de determinar la correcta realización de sus
actividades a fin de evitar crisis bancarias y permitir el sano y eficiente
funcionamiento del Sistema Financiero venezolano.

Fue creada por la Ley de Bancos del 24 de enero de 1940. Con el propósito de
unificar las operaciones bancarias se elaboró un instructivo que permitiría
estandarizar la presentación de los resultados de la banca. Entre los años 1949 y
1958 se produjo la mayor apertura de agencias bancarias en la historia financiera
venezolana, con la que se incrementó el número de visitas de inspección a
sesenta y cuatro por año.

SUDEBAN es un ente adscrito al Ministerio del Poder Popular de Planificación y

Finanzas, a los solos efectos de la tutela administrativa, gozando de las
prerrogativas, privilegios y exenciones de orden fiscal, tributario y procesal que la
Ley otorga a la República. SUDEBAN gozará de autonomía funcional,
administrativa y financiera en el ejercicio de sus funciones en los términos
establecidos en la Ley General de Bancos y Otras Instituciones Financieras.

Como se desprende de dicha Ley, la Superintendencia de Bancos debe ejercer

inspección, supervisión, vigilancia, regulación y control de los Bancos Universales,
Comerciales; con Leyes Especiales, de Inversión, Hipotecarios, Sociedades de
Capitalización, Casas de Cambio, Almacenes Generales de Depósito, Oficinas de
Representación de Bancos Extranjeros, Arrendadoras Financieras, Fondos de
Activos Líquidos y Entidades de Ahorro y Préstamo.
DEFINICIÓN DE AUDITORÍA DE CUMPLIMIENTO

La Auditoría de Cumplimiento es la comprobación o examen de las

operaciones financieras, administrativas, económicas y de otra índole de una
entidad para establecer que se han realizado conforme a las normas legales,
reglamentarias, estatutarias y de procedimientos que le son aplicables.

Esta auditoría se practica mediante la revisión de los documentos que soportan

legal, técnica, financiera y contablemente las operaciones para determinar si
los procedimientos utilizados y las medidas de control interno están de acuerdo
con las normas que le son aplicables y si dichos procedimientos están
operando de manera efectiva y son adecuados para el logro de los objetivos de
la entidad.

Procedimientos estimados para realizar la auditoría

Primeramente diseñamos la auditoría de cumplimiento para proporcionar una

seguridad razonable de que la entidad objeto de estudio cumple con las leyes,
regulaciones y otros requerimientos importantes para el logro de los objetivos.

Debemos tener en cuenta que la auditoría de cumplimiento está sujeta al

inevitable riesgo de que algunas violaciones o incumplimientos de importancia
relativa a leyes y regulaciones no sean encontradas aún cuando la auditoría
esté apropiadamente planeada y desarrollada de acuerdo con las Normas
Técnicas debido a factores como:

 Omisión de muchas leyes y regulaciones sobre los aspectos de

operación de la entidad que no son capturadas por los sistemas de
contabilidad y de control interno.
 La efectividad de los procedimientos de auditoría es afectada por
las limitaciones inherentes de los sistemas de contabilidad y de control
interno por el uso de comprobaciones.
  Mucha de la evidencia obtenida por el auditor es de naturaleza
persuasiva y no definitiva.
 El incumplimiento de alguna actividad puede implicar una conducta que
supone la intención de ocultar, falsificar o generar una falta deliberada
de registro de transacciones o de manifestaciones erróneas intencionales
hechas por el personal del área auditada al auditor.

De acuerdo con requerimientos legales y estatutarios específicos o con el

alcance del trabajo en esta auditoría por considerar que se trata del órgano que
regula a la banca pública y privada, es necesario que el auditor responda, como
parte de la auditoría integral, si la entidad objeto del estudio, cumple con las
principales leyes o regulaciones a que debe someterse.

En estas circunstancias, será necesario planificar el someter a prueba el

cumplimiento con estas leyes y regulaciones.

Planificación de la auditoría de cumplimiento:

Para planear la auditoría de cumplimiento, el auditor en esta fase, deberá

obtener una comprensión general del marco legal y regulador aplicable a la
entidad y la industria y cómo la entidad está cumpliendo con dicho marco de
referencia.

Para obtener esta comprensión general, el auditor reconocería particularmente

que algunas leyes y regulaciones pueden tener un efecto fundamental sobre las
operaciones de la entidad objeto de la auditoría.

Es decir, el incumplimiento de algunas leyes y regulaciones podrá causar que la

entidad cese inmediatamente sus operaciones, o pondrá en cuestionamiento la
continuidad de la entidad como un negocio en marcha o estar sujeta a
sanciones legales importantes.

Para obtener la comprensión general de leyes y regulaciones, el auditor

normalmente tendrá que:
  Usar el conocimiento existente de la industria y negocio de la entidad.
 Identificar las leyes y regulaciones que debe cumplir la entidad:

 Leyes tributarias.
 Leyes sobre sociedades
 Leyes laborales.
 Legislación contable.
 Leyes cambiarías o de aduanas.

1 Averiguar con la administración respecto de las políticas y

procedimientos de la entidad referentes al cumplimiento de leyes y
regulaciones.
2 Averiguar con la administración sobre las leyes o regulaciones que puede
esperarse tengan un efecto fundamental sobre las operaciones de la
entidad.
3 Discutir con la administración las políticas o procedimientos adoptados
para identificar, evaluar y contabilizar las demandas de litigio y las
evaluaciones.

Después de obtener la comprensión general, el auditor deberá desarrollar

procedimientos para ayudar a identificar casos de incumplimiento con aquellas
leyes y regulaciones aplicables a la entidad.

El auditor deberá obtener evidencia suficiente y apropiada en la auditoría sobre

el cumplimiento con aquellas leyes y regulaciones que el auditor generalmente
reconoce que le son aplicables a la entidad El auditor debería tener una
suficiente comprensión tic estas leyes y regulaciones para considerarlas
cuando audita las afirmaciones relacionadas con la determinación de montos
que van a ser registrados y las revelaciones que van a ser hechas.

Cuando el auditor se encuentre con circunstancias que le hagan pensar de la

existencia de irregularidades en los estados financieros, como consecuencia de
fraudes o errores, el auditor deberá realizar procedimientos para determinar el
efecto de las irregularidades en la temática de la auditoría integral.
 En el curso de la auditoría el auditor puede encontrarse con circunstancias que
lleven a apreciar la existencia de irregularidades importantes, derivadas de
fraudes o errores.

Cuando el auditor se halle con tales circunstancias, la naturaleza, la

planificación y la amplitud de los procedimientos a llevar a cabo dependerá del
juicio del auditor, según el tipo de fraude o error indicado, la probabilidad de que
así suceda, y la probabilidad de que un determinado tipo de fraude o error
pudiera tener un efecto significativo en la auditoría.

El auditor no puede dar por sentado que un solo ejemplo de fraude o error es un
acontecimiento aislado y, por tanto, antes de la conclusión de la auditoría, el
auditor estudia si necesitará revisarse la evaluación de los elementos del riesgo
de auditoría que se hicieron durante su planificación, y si la naturaleza,
planificación y amplitud de los otros procedimientos del auditor deben
reconsiderarse igualmente.

METODOLOGÍA APLICADA:

Una vez conocida la actividad y Ente objeto de la aplicación de la Auditoría de

Cumplimiento procedemos a cumplir con cada uno de los siguientes pasos a
través del siguiente Plan de Trabajo:

1. Información básica.

En esta sección se documenta el origen de la Auditoría de Cumplimiento y el

conocimiento general de la (s) entidad pertinente con la materia o asunto a auditar;
en aspectos como los antecedentes, el personal clave y el presupuesto del área o
componente a auditar.

También debe especificarse las normativas aplicables.

Se puede documentar el Análisis de informe de auditoría interna y externa, y el

seguimiento a las auditorías anteriores.

En caso de no aplicar algún dato, se escribe N/A y se documenta las razones por
la que no se puede completar dicha información.
1.1. Antecedentes de la Auditoría: No Aplica. (N/A)
1.2. Antecedentes del tema, asunto o materia a auditar: (N/A)
1.3. Criterios de Evaluación:

o Artículos específicos de las normas cuyo cumplimiento será evaluado en

la auditoria, es importante destacar que los criterios deben corresponder a
aquellos apartes de las normas que se relacionan con la gestión fiscal.

◦ Verificación de la correcta aplicación de la Normativa de Tecnología de la

Información, Servicios financieros desmaterializados, Banca electrónica,
virtual y en líneas, emitida por SUDEBAN.

1.4. Resultados y conclusiones del conocimiento del asunto o

materia auditada: Entendimiento de la Entidad(es) en relación con el
Asunto o Materia a Auditar y su Entorno)

La Superintendencia de Bancos y otras Instituciones financieras

(SUDEBAN) es un organismo autónomo, de carácter técnico y
especializado, con personalidad jurídica y patrimonio propio e
independiente del Fisco Nacional.

Fue creada por la Ley de Bancos del 24 de enero de 1940. Con el

propósito de unificar las operaciones bancarias, se elaboró un instructivo
que permitirá estandarizar la presentación de los resultados de la banca.
Entre los años 1949 y 1958 se produjo la mayor apertura de agencias
bancarias en la historia financiera venezolana, con la que se incrementó el
número de visitas de inspección a sesenta y cuatro por año.

Tiene como función principal supervisar, controlar y vigilar las instituciones

financieras regidas por la Ley General de Bancos y Otras Instituciones
Financieras, con el objetivo de determinar la correcta realización de sus
actividades a fin de evitar crisis bancarias y permitir el sano y eficiente
funcionamiento del sistema financiero venezolano.

Filosofía de Gestión:
 1Misión
Regular y supervisar a las Instituciones del Sector Bancario, con un talento
humano motivado y comprometido, a través de la aplicación de las mejores
prácticas nacionales e internacionales, que contribuyan con la estabilidad
del Sector y el Desarrollo Nacional.

2 Visión

Ser modelo de Institución Pública inspiradora de confianza y credibilidad,

de reconocido prestigio nacional e Internacional, en materia de Regulación
y Supervisión de las Instituciones del Sector Bancario.

Eficacia: En cuanto a cumplimiento de los objetivos, metas, actividades y

tareas.
Eficiencia: En cuanto a la utilización racional de los recursos disponibles.
Transparencia y buena fe: En el suministro, recepción y manejo de
información oportuna, veraz y accesible por igual a todos los sectores
sociales, sobre la gestión, actuaciones administrativas y manejo de los
recursos asignados.
Rendición de Cuentas: En cuanto a la presentación oportuna de los
resultados de gestión y el cumplimiento de la funciones ante los poderes y
órganos públicos competentes en la materia y colectivo social.

Para los puestos y competencias del personal clave, a continuación, se

muestra la forma en la que se puede completar dicha información.

Cuadro Nº 1. RELACIÓN DE CARGOS

Puestos y Competencias del Personal Clave.
Ítem Puesto Competencias
01
02
03
Fuente: guía de auditoría de cumplimiento de Colombia año 2017.

 Prueba de recorrido Ver formato anexo

2. Estrategia de auditoría
En esta sección se deben describir el trabajo que se adelantará, programas a
auditar, el tipo de pruebas, los objetivos y el equipo conformado para la realización
de la auditoría; así como el alcance y período auditado, estimando el tiempo de la
auditoria. También se debe especificar las muestras de auditoria, el plan de visitas
y los requerimientos de los recursos utilizados.

En caso de no aplicar algún dato, se escribe N/A y se documenta las razones por
la que no se puede completar dicha información.

2.1. Objetivos de la auditoría.

Objetivo General

 Determinar la legalidad de las operaciones para establecer si los

procedimientos utilizados en la aplicación de los diferentes sistemas de
control financiero, están de acuerdo con las normas que le son
aplicables y si dichos procedimientos están operando de manera
efectiva

Objetivos Específicos

 Fomentar la rendición de cuentas al reportar las desviaciones y

violaciones respecta a lo encontrado en la auditoría de modo que se
tomen las medidas correctivas y para que los responsables rindan
cuenta de sus acciones
 Instaurar acciones directamente a dar traslado a los competentes en
caso de manifiesta o flagrante violación a la Ley o pretermisión de la
misma.
2.2. Alcance de la Auditoría: Corresponde a aspectos como el periodo
auditado, la distribución geográfica de la revisión.
 Periodo a auditarse año 2017, departamento de sistema de
Tecnología de información y comunicación
2.3. Determinación del enfoque de auditoría: Especificar si será un
enfoque basado en controles o en pruebas sustantivas, los cual dependerá
del nivel de detección que sea aceptable para el equipo auditor y la
supervisión, en respuesta a los riesgos de auditoria identificados. Ver
Anexo 1
2.4. Determinación del Enfoque de Muestreo: Documentar y justificar el
tipo de muestreo seleccionado, el enfoque de muestreo siempre debe
corresponder con el enfoque de análisis establecido en la auditoría, para
un enfoque cuantitativo el muestreo debe ser siempre de carácter
estadístico, mientras que para enfoques cualitativos la materialidad
responde al juicio profesional del auditor fundado el conocimiento del
asunto o materia auditar en contexto.

◦ Muestra simple de la documentación que soporta la rendición de cuenta,

como se muestra en el siguiente cuadro:

Cuadro Nº 1. Ejemplo de una Entrevista

 Otra información de relevancia:

◦ Definir y mantener actualizadas las políticas de seguridad de la información.

◦ Aplicar y asegurar el cumplimiento de las políticas de seguridad de la
información definidas.
◦ Administrar el acceso a los sistemas operativos, bases de datos
aplicaciones, cortafuego enrutadores, proxys, equipos de computación y de
telecomunicaciones empleados por el Ente supervisado, incluyendo
aquellos administrados y custodiados por terceros.
◦ Monitorear los procesos de control de control de cambio y pases a
producción de los sistemas y aplicaciones productivas.
◦ Realizar el control y seguimiento continuo a los accesos efectuados a los
activos de información.
◦ Establecer políticas, normas y procedimientos que regulen, controlen y
aseguren el seguimiento continuo de la utilización del correo electrónico e
Internet y todas aquellas transacciones que son ejecutadas a través de los
diferentes canales electrónicos empleados por los clientes.

3
Técnicas para recabar evidencias:

A continuación, se enumeran varias técnicas para obtener evidencia que los

auditores con base en su criterio profesional pueden utilizar.
a. Comparación: es el acto de observar la similitud o diferencia existente
entre dos o más elementos. Dentro de la fase de ejecución de la auditoría
se efectúa la comparación de resultados, contra criterios aceptables,
facilitando de esa forma la evaluación por el auditor y la elaboración de
observaciones y conclusiones.

b. Observación: es el examen ocular realizado para cerciorarse de cómo se

ejecutan las operaciones. Esta técnica es de utilidad en todas las fases de
la auditoría, por cuyo intermedio el auditor aprecia personalmente, de
manera abierta o discreta, cómo el personal de la entidad ejecuta las
operaciones.

c. Indagación: es el acto de obtener información verbal sobre un asunto

mediante averiguaciones directas o conversaciones con los funcionarios
responsables de la entidad. La respuesta a una pregunta formulada por el
auditor, comprende una porción insignificante de elementos de juicio en los
que puede confiarse, pero las respuestas a muchas preguntas que se
relacionan entre sí, pueden suministrar un elemento de juicio satisfactorio,
si todas son razonables y consistentes.

d. Análisis: consiste en la separación y evaluación crítica, objetiva y

minuciosa de los elementos o partes que conforman una operación,
actividad, transacción o proceso, con el fin de establecer su naturaleza, su
relación y conformidad con los criterios normativos y técnicos existentes.
Los procedimientos de análisis están referidos a la comparación de
cantidades, porcentajes y otros. De acuerdo con las circunstancias, se
obtienen mejores resultados si son conseguidos por expertos que tengan
habilidad para hacer inferencias lógicas y juicios de valor al evaluar la
información recolectada. Las técnicas de análisis son especialmente útiles
para determinar las causas y efectos de los hallazgos de auditoría.
e. Confirmación: es la técnica que permite comprobar la autenticidad de los
registros y documentos analizados, mediante información directa y por
escrito otorgada por funcionarios que participan o realizan las operaciones
sujetas a examen (confirmación interna), por lo que están en disposición de
opinar e informar en forma válida y veraz sobre ellas. Otra forma de
confirmación, es la denominada confirmación externa, la cual se presenta
cuando se solicita a una persona independiente de la organización auditada
(terceros), información de interés que sólo ella puede suministrar. La
confirmación puede ser positiva o negativa y directa o indirecta según lo
siguiente:

i. Positiva: Cuando en la solicitud de información se le pide al

confirmante contestar si está o no de acuerdo con los datos que el
auditor proporciona.
ii. Negativa: Cuando en la solicitud de información se le pide al
confirmante contestar únicamente en el evento en que no esté de
acuerdo con los datos que el auditor desea confirmar.
iii. Directa: Cuando en la solicitud se le suministran los datos al
confirmante para ser verificados.
iv. Indirecta: Cuando en la solicitud se le pide al confirmante remitir
los datos tomados de su propia fuente de información.

f. Tabulación: es la técnica de auditoría que consiste en agrupar los

resultados obtenidos en áreas, segmentos o elementos examinados, de
manera que se facilite la elaboración de conclusiones.

g. Conciliación: implica hacer que concuerden dos conjuntos de datos

relacionados, separados e independientes. Esta técnica consiste en
analizar la información producida por diferentes unidades operativas o
entidades, respecto de una misma operación o actividad, con el objeto de
 establecer su concordancia entre sí y, a la vez, determinar la validez y
veracidad de la información revisada.

h. Comprobación: técnica que se aplica en el curso de una auditoría, con el

objeto de verificar la existencia, legalidad, autenticidad y legitimidad de las
operaciones efectuadas por una entidad, mediante la verificación de los
documentos que las justifican.

i. Rastreo (seguimiento): se utiliza para dar seguimiento y controlar una

operación de manera progresiva, de un punto a otro de un proceso interno
determinado o, de un proceso a otro realizado por una unidad operativa
dada. Al efectuar la comprensión de la estructura de control interno, se
seleccionan determinadas operaciones relativas a cada partida o grupo,
para darles seguimiento, desde el inicio hasta el final dentro de sus
procesos normales de ejecución, para con esto asegurarse de su
regularidad y corrección. Esta técnica puede clasificarse en dos grupos: i)
rastreo progresivo, que parte de la autorización para efectuar una operación
hasta la culminación total o parcial de ésta; y, ii) rastreo regresivo, que es
inverso al anterior, es decir, se parte de los resultados de las operaciones
para llegar a la autorización inicial.

j. Revisión Selectiva: consiste en el examen ocular rápido de una parte de

los datos o partidas que conforman un universo homogéneo en ciertas
áreas, actividades o documentos elaborados, con fines de separar
mentalmente asuntos que no son normales, dado el alto costo que
representaría llevar a cabo una revisión amplia o que, por otras
circunstancias, no es posible efectuar un análisis profundo.

k. Obtención de Extractos y Copias de Documentos: Durante la Auditoría

de Cumplimiento se pueden recopilar u obtener documentos legales u
oficiales que son de importancia para evidenciar el trabajo, tales como la
 legislación, reglamentación, actas de sesiones, resoluciones, contratos,
entre otros. Para tener una información completa en los papeles de trabajo
y evidenciar su contenido, el auditor puede:

 Obtener las copias originales completas; tal es el caso de leyes,

reglamentos, y manuales.
 Obtener documentos o partes de ellos con la debida autenticación e
indicación de la fuente de los archivos o lugares de donde fueron tomados e
incluso quien los suministró;
 Preparar extractos manuscritos de porciones o partes de los
documentos; en cuyo caso debería igualmente indicar la fuente del
documento y la cita exacta en donde se puede corroborar la información
transcrita. Ej. página, párrafo, u otra seña.

Algunos criterios o pautas para ayudar al auditor a decidirse por una u otra de
las alternativas anteriores pueden ser:

 Sólo se deben incluir en los papeles de trabajo aquellas

informaciones que correspondan a los objetivos del examen; por esta razón
los extractos o porciones pertinentes son preferibles a los documentos
completos (con excepción de documentos básicos como leyes, reglamentos,
entre otros.);
 El uso de fotocopias, cuando sea posible, ahorra tiempo, y son
preferibles a tener extractos largos y hechos a mano. Deben usarse sólo en
casos indispensables.
 El auditor debe aprovechar los análisis elaborados por la entidad
siempre que sea posible.
 Como pauta general, el auditor utilizará el método sencillo y
económico para incluir en los papeles de trabajo la información básica,
significativa, y necesaria.
3. Administración del Trabajo

3.1. Identificación de los recursos necesarios: (Humanos, técnicos y

financieros).
3.2. Plan de visitas: (Especificando, objetivos, fechas, costos y
responsables de cada visita)
3.3. Cronograma de actividades: para las fases de ejecución e informe.

Anexo 1. PRUEBA DE RECORRIDO

Dependencia: Auditoría:
Realizada por: Fecha de elaboración:
Líder de auditoría: Supervisor de auditoría:

Con este documento se pretende lograr los siguientes objetivos:

 Confirmar la comprensión del flujo de los procesos y actividades para dar cumplimiento a
los criterios de auditoría.
  Identificar los riesgos de incumplimiento más relevantes presentes en el flujo de procesos y
actividades.
 Evaluar el diseño de los mecanismos de control (controles) que el auditado dispone para
detectar, prevenir y corregir la ocurrencia de los riesgos y errores en forma oportuna.
 Evaluar si los mecanismos de control se han implementado y operan de manera adecuada.
IDENTIFICACION RIESGOS Y CONTROLES1
Criterio de auditoría:
Descripción:
Proceso analizado2:

Actividades para
Riesgos de incumplimiento CONTROLES
el cumplimiento
No. Actividad Descripción Calificación3 Descripción Calificación4

RESUMEN PRUEBA DE RECORRIDO

Pruebas de recorrido realizadas:

Relacionar las actividades y pruebas de auditoria realizadas durante la prueba de recorrido para
llevar a cabo la revisión.

Controles identificados:
Relacionar los controles identificados que tienen relación con los riesgos de incumplimiento más
significativos.

1
Inserte las filas que necesite.
2
Transacción, trámite, producto, asunto, materia, etc.
3
Evaluación diseño del mecanismo de control: A: Adecuado - P: Parcialmente Adecuado - I: Inadecuado
4
Evaluación del riesgo de incumplimiento: A: Alto - M: Medio - B: Bajo.
 CONCLUSIÓN:
Redactar las conclusiones sobre las deficiencias identificadas con respecto a la existencia, diseño,
naturaleza o aplicación de controles para los riesgos significativos.

 Elaboro  Reviso:  Aprobó:

 Nombre:  Nombre:  Nombre:

Firma Firma Firma

Anexo 2. Cuestionarios para la Identificación de los Riesgos.

Para la identificación de los diferentes tipos de riesgos el equipo debe redactar

preguntas relacionadas con los objetivos específicos de cada Auditoría. La lista de
preguntas a continuación se incluye como ejemplo, por lo que debe ser adecuada
a los objetivos y complementada con elementos pertinentes a los mismos, pero no
pretende ser total ni restrictiva.
Se deben considerar respuestas de “Sí” o “NO” y cuando se considere necesario
incluir un breve comentario sobre dichas respuestas. En el caso de que se
identifiquen respuestas negativas (NO), se deben documentar los riesgos
significativos encontrados, en la hoja Riesgos y Controles para la Evaluación de
Control Fiscal Interno.

1.1. Riesgo Inherente.

Esta sección busca la identificación del Riesgo Inherente del asunto o materia a
auditar. Luego de las preguntas se deben identificar los más significativos.

No. Pregunta Respuesta Comentario

1 ¿Promueve la Administración una cultura
de riesgos?
2 ¿Se han determinado los responsables
de la identificación de los riesgos?
3 ¿La entidad ha implantado técnicas para
la identificación de riesgos presentes?
4 En caso de implementar técnicas. ¿Se
establecen las posibles consecuencias
de los riesgos identificados?
5 ¿Concede la entidad una atención
particular al análisis y a la gestión de
riesgos, incluidos los riesgos de
incumplimiento en sus operaciones?
6 ¿Las leyes, reglamentos y normas que se
aplican a la entidad auditada son las
pertinentes?
7 ¿Las leyes, reglamentos y normas que se
aplican en la entidad auditada son del
conocimiento de todos los servidores?
8 ¿Las leyes, reglamentos y normas
aplicables son nuevas?
9 En caso de ser nueva la legislación.
¿Permite la redacción y el contenido,
comprenderla y aplicarla fácilmente?
10 En caso de ser nueva la legislación. ¿Se
informa y capacita a los servidores
públicos en relación a estos cambios?
11 En caso de estar bien consolidada la
legislación. ¿Existe coherencia en los
precedentes legales que permita
comprenderla y aplicarla fácilmente?
12 ¿Las disposiciones legales aplicables son
coherentes entre ellas?
13 ¿Hay otros organismos que interpreten o
complementen la legislación aplicable?
14 ¿Tiene la entidad capacidad normativa?
15 En caso de tener capacidad normativa.
¿Ha delegado la entidad parte de su
autoridad a otras entidades?
16 ¿Se han visto comprometidos los
derechos de particulares y
organizaciones a causa de la
interpretación y aplicación por la entidad
de leyes y reglamentos concretos?
17 ¿Ha cumplido la entidad sus obligaciones
sin retrasos, salvaguardando los
derechos de los particulares y sin
provocar consecuencias negativas de
orden financiero?
18 ¿Se han empleado adecuadamente los
canales a disposición de los afectados
para presentar quejas y reclamos?
19 ¿Se han empleado adecuadamente los
canales a disposición de los afectados
para presentar quejas y reclamos?

1.2. Riesgo de Control.

Esta sección busca la identificación del Riesgo de Control de incumplimiento en el asunto
o materia a auditar. Luego de las preguntas se deben identificar los más significativos.

No. Pregunta Respuesta Comentario

1 ¿Las directrices internas consideran
criterios claros y objetivos?
2 ¿Se han aplicado cambios recientes en los
controles de aplicación relacionados a los
sistemas de información en los que se
maneja la información del asunto o materia
a auditar?
3 ¿Existen controles de calidad establecidos
para dar seguimiento a las actividades u
operaciones realizadas?
4 ¿Existen controles de calidad establecidos
en relación a la revisión de los procesos
 relacionados con cumplimientos de leyes,
normas o reglamentaciones?
5 ¿Existe una matriz de Control, en la cual se
documenten con cierta frecuencia los
incumplimientos identificados?

1.3. Riesgo de No Detección.

Esta sección busca la identificación de los Riesgos de No Detección. Por lo que estas
preguntas van dirigidas directamente a los integrantes del Equipo de Auditoría.
Luego de las preguntas se deben identificar los más significativos.
No. Pregunta Respuesta Comentario
1 ¿Se han diseñado procedimientos de
auditoría para los Riesgos Significativos
identificados?
2 ¿Los procedimientos de auditoría
diseñados cubren las afirmaciones
relacionadas con el control de
operaciones?
3 ¿Las informaciones suministradas por la
entidad se han corroborado con
información de terceros, en el caso de
aplicar?
4 ¿Existen incentivos o presión sobre
cumplimiento de metas que puedan llevar a
la dirección a ocultar datos reales?

2. Conclusiones sobre Identificación de Riesgos.

En esta sección se debe realizar un breve resumen sobre las conclusiones de la

identificación de Riesgos Inherentes, de Control y Riesgos de No Detección
considerados significativos

Las conclusiones también deben tener relación directa con el alcance y

profundidad de los procedimientos específicos y las pruebas planteadas en los
programas de Auditoria.
 I. Elaboro III. Reviso: V. Aprobó:
II. Nombre: IV. Nombre: VI. Nombre:

VII. Firma VIII. Firma IX. Firma

Anexo 3. Modelo de cronograma para la auditoria de Cumplimiento

 PROCEDIMIENTOS

TECNICA DE REF. P/T5 Tiempo Tiempo

Nº DESCRIPCION AUDITORIA Responsable
Estimado. Real

(En días o
1 XXX-3 xxxx
semanas)

5
 (En días o
2 XXX-4 xxxx
semanas)
(En días o
3 XXX-3 xxxxx
semanas)
(En días o
4 XXX-3 xxxxxx
semanas)

Responsables

NOMBRE ROL PROFESION FIRMA

XXXXXXX XXXX
Supervisor XXXXXXX
XXXXXX XXXXXX
XXXXXX
Coordinador de
XXXXXXXXXXX XXXXXXXX
Auditoria
XXXXXXXXXX
XXXXXXXXXX XXXXX XXXXXXXXX
Auditor
XXXXXXX XXXXX
XXXXXXXX XXXXXXXX Auditor
XXXXXXXX
XXXXXXXX XXXX

Observaciones de la Supervisión

Firma del supervisor ___________________ Fecha: DD/MM/AA

CONCLUSIÓN

Podemos concluir que la auditoría de cumplimiento es una de las herramientas

más importantes para la gerencia y la toma de decisiones, con este procedimiento
se puede verificar los puntos débiles de la organización con el objeto de tomar
medidas oportunas.

También podemos observar que en materia de riesgo, cuando existe una política
de gestión del riesgo, se demuestra el seguimiento y supervisión de los controles
internos y del entorno de la empresa. El manejo del control interno a pegado a las
leyes, normas y políticas es parte prioritaria para que se eviten los fraudes y
errores, e influye positivamente en el desenvolvimiento de las tareas diarias y el
logro de los objetivos de la empresa.

Es por ello que el trabajo de auditoría debe ser considerado por la gerencia como
una actividad evaluativa indispensable, siendo necesario que el trabajo y el
informe final sean confiables, claros, útil y relevante, para enrumbar a la
organización al cumplimiento de las leyes y normas aplicables.

Bibliografía

www. actualicese.com/2015/10/08/auditoria-de-cumplimiento/

www. contraloria.gov.co/...Auditoría...Cumplimiento.../

www. preparatorioauditoria.wikispaces.com/Auditoria+de+Cumplimiento

www. bancaynegocios.com/tag/sudeban