CA Handbook ES Revisada 18-09-2014 2 PDF

Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Curso de capacitación virtual de la IDI para la

MANUAL DE IMPLEMENTACIÓN DE LAS ISSAI

AUDITORÍA DE CUMPLIMIENTO
Versión preliminar 1. 0
Programa de Certificación en las ISSAI Página 1

Índice
Acerca de este manual 4
Capítulo 1: Introducción y elementos básicos de las auditorías de
cumplimiento 6
1.1 Introducción 7
1.2 Elementos de la auditoría de cumplimiento 8
1.3 ¿Qué es lo que el auditor busca en las diferentes auditorías? 10
1.4 Diferentes formas de llevar a cabo una auditoría de cumplimiento 11
1.5 Cómo ayudan las ISSAI a realizar una auditoría de cumplimiento de calidad 13
1.6 Principios de la auditoría de cumplimiento 14
1.7 Proceso de la auditoría de cumplimiento 17
1.8 Conclusión 18
Capítulo 2: Principales conceptos de las auditorías de cumplimiento 19

2.1 Introducción 20
2.2 Definición de auditoría y de auditoría de cumplimiento 20
2.3 Objeto de la revisión e información del objeto de la revisión 20
2.4 Disposiciones legales y normativas y criterios 22
2.5 Las tres partes 24
2.6 Aseguramiento 24
2.7 Compromisos de atestiguamiento y compromiso de elaboración de informes directos 27
2.8 Aseveraciones y la auditoría 32
2.9 Juicio profesional y escepticismo 33
2.10 Conclusión 34
Capítulo 3: Planificación y diseño de una auditoría de cumplimiento 35

3.2 Consideraciones iniciales para la planificación 36
3.3 Proceso de planificación 39
3.4 Determinando la importancia relativa en la fase de planificación 50
3.5 Estrategia de auditoría y plan de auditoría 53
3.6 Conclusión 55
Capítulo 4: Obtención de la evidencia de auditoría 56

4.2 Evidencia de auditoría 57
4.3 Técnicas para la recopilación de evidencia 60
4.4 Consideración de incumplimiento que pueda indicar la existencia de fraude o actos ilícitos 64
4.5 Conclusión 66
Capítulo 5: Evaluación de la evidencia y formación de conclusiones 66

5.2 Evaluación de la evidencia y formación de conclusiones 67
5.3 Conclusión 69
Capítulo 6: Documentación y comunicación 70

6.2 Documentación 71
6.3 Comunicación 74
6.4 Conclusión 76
Página 2
Capítulo 7: Informes de una auditoría de cumplimiento 77

7.2 Informes de una auditoría de cumplimiento 78
7.3 Tipos de informes de una auditoría de cumplimiento 79
7.4 Contenido de un informe de auditoría de cumplimiento 79
7.5 Conclusiones/opiniones de una auditoría de cumplimiento 82
7.6 Ejemplo de un informe breve de una auditoría de cumplimiento 87
7.7 Seguimiento de la auditoría 88
7.8 Conclusión 90
Capítulo 8: Estrategias de implementación de las ISSAI para auditorías de

cumplimiento 91
8.2 Proceso de formulación de la estrategia de implementación de las ISSAI 96
8.3 Formulación de un plan de acción 106
8.4 Compromiso de la alta dirección en la implementación del plan de acción 107
8.5 Lineamientos para la preparación del plan de acción 107
8.6 Conclusión 108
Lista de tablas
Tabla 2.1: Niveles de aseguramiento y tipos de auditoría de cumplimiento
Tabla 4.1: Técnicas de recopilación de evidencia
Tabla 8.1: iCAT de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con
estatus "Cumplido"
Tabla 8.2: iCAT de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con
estatus "No Cumplido / Parcialmente Cumplido"
Tabla 8.3: Análisis FODA de la EFS X
Tabla 8.4: Ejemplo y formato de preparación de un plan de acción
Lista de figuras
Figura 1.1: Disposiciones legales y normativas relacionadas con un acuerdo constitucional
específico de la EFS
Figura 1.2: Las disposiciones legales y normativas son la fuente de los criterios de auditoría
Figura 1.3: Las tres partes de la auditoría
Figura 1.4: Principios generales de las auditorías de cumplimiento
Figura 1.5: Juicio profesional y escepticismo
Figura 1.6: Proceso de la auditoría de cumplimiento
Figura 3.1: Relación entre el objeto de la revisión, el alcance y los criterios
Figura 4.1: Proceso de toma de decisiones
Figura 8.1: Proceso de toma de decisiones para la implementación de las ISSAI de auditoría de
cumplimiento
Figura 8.2 Marco de referencia para la estrategia de implementación de las ISSAI de auditoría de
cumplimiento
Figura 8.3: Los cuatro dominios principales conforme a las ISSAI de Nivel 2
Figura 8.4: Factores que determinan la selección de las opciones estratégicas para la
implementación de las ISSAI
Lista de Referencias
ISSAI 100
ISSAI 400
ISSAI 4000
ISSAI 4100
ISSAI 4200
ISSAI 1000-1999
Normas Internacionales sobre Compromiso de Aseguramiento (ISAE) 3000 (Versión revisada)
Página 3
práctica de campo. Con ello los usuarios serán capaces

Acerca de este de reconocer los elementos y conceptos elaborados en
el manual con sus prácticas de auditoría. También
manual podrán apreciar el grado de alineamiento de sus
prácticas actuales con los requisitos de las ISSAI para
auditoría de cumplimiento.
1.1 Introducción Los usuarios de este manual deberán tomar en

consideración los siguientes puntos. En primer lugar, las
La Fase 1 del Programa 3i facilita la implementación de explicaciones proporcionadas sólo son una forma de
las Normas Internacionales de las Entidades interpretar las normas de las auditorías de cumplimiento.
Fiscalizadoras Superiores (ISSAI) por parte de las En segundo lugar, las normas de las auditorías de
Entidades Fiscalizadoras Superiores (EFS) con un cumplimiento representan un trabajo en desarrollo, por
programa integral de creación de capacidades para las lo que el proceso completo aún necesitará explicarse
ISSAI de Nivel 2 (Requisitos Previos para el con otras normas. Las interpretaciones del manual
Funcionamiento de las Entidades Fiscalizadoras representan un intento preliminar de elaborar el proceso
Superiores) y las ISSAI de auditoría financiera, auditoría de auditoría de cumplimiento basado en la ISSAI 400:
de cumplimiento y auditoría de desempeño de Nivel 4. Principios Fundamentales de las Auditorías de
Cumplimiento, y las ISSAI 4000-4200.
Este manual sobre la auditoría de cumplimiento es parte
de la fase 1 del Programa 3i para el proceso de
implementación de las ISSAI 400/4100/42001.
1.3 Usuarios
Este manual está dirigido a las EFS que han decidido
1.2 Objetivos iniciar la implementación de las ISSAI a nivel 3 y 4, así
como las EFS que ya están en camino de
Este manual se ha escrito con el fin de facilitar la implementarlas y desean seguir mejorando sus
implementación de las ISSAI para auditorías de procesos de auditoría de cumplimiento con base en las
cumplimiento a los nivel 2, 3 y 4 en las EFS. En este ISSAI.
sentido, el manual busca lograr dos objetivos:
Dentro de una EFS el manual está dirigido tanto al
1. Explicar la naturaleza de las auditorías de personal de nivel ejecutivo (dirección) como a los
cumplimiento en el sector público y servir de guía profesionales en ejercicio de las auditorías de
a través de consideraciones estratégicas para la cumplimiento (auditores y especialistas en metodología).
implementación de las normas de auditoría de
cumplimiento en las EFS.
2. Proporcionar una guía y ejemplos sobre el
proceso, las herramientas y los documentos de
1.4 Enfoque
trabajo que pueden usarse en la ejecución de una
auditoría de cumplimiento con base en las ISSAI. Este manual utiliza un estudio de caso que cubre todos
los aspectos de las auditorías de cumplimiento
El objetivo de este documento no es servir como un (planificación, recopilación de evidencia, evaluación de
manual de auditoría de cumplimiento. Por lo tanto, no la evidencia, formación de conclusiones y elaboración
sustituye a las políticas, estrategias y manuales de de informes) para ilustrar los conceptos descritos en los
auditoría. Cada EFS será responsable de describir su capítulos. Asimismo, se describen las ISSAI
propia metodología tomando en cuenta su mandato, sus correspondientes al proceso de auditoría, así como
recursos, las necesidades de los usuarios y el ambiente éstas pueden ser usadas en la auditoría descrita en el
regulatorio. estudio de caso.
El objetivo de este manual es explicar los conceptos de

la auditoría de cumplimiento relacionándolos con la
1ISSAI 400, Principios Fundamentales de las Auditorías

de Cumplimiento
ISSAI 4000-4200, Directrices Generales para las
Auditorías de Cumplimiento
Página 4
1.5 Contenido
El manual se divide en ocho capítulos:
Capítulo 1: Introducción y elementos básicos de las

auditorías de cumplimiento
Capítulo 2: Conceptos fundamentales de las auditorías
de cumplimiento
Capítulo 3: Planificación y diseño de una auditoría de
cumplimiento
Capítulo 4: Recopilación de la evidencia de auditoría
Capítulo 5: Evaluación de la evidencia y formación de
conclusiones
Capítulo 6: Documentación y comunicación
Capítulo 7: Elaboración de informes
Capítulo 8: Estrategias de implementación de las ISSAI
para auditorías de cumplimiento
1.6 Vínculo entre el manual y la

iCAT de auditoría de
cumplimiento
Para ayudar a las EFS a integrar las ISSAI en sus
procesos de auditoría de cumplimiento, este manual
proporciona un proceso paso a paso que requiere que
cada EFS adopte diferentes estrategias y planes de
acción de acuerdo a su mandato, necesidades de los
usuarios, leyes nacionales, reglamentos, etc.
El primer paso para una EFS es tener un panorama

completo de su mandato, las necesidades de los
usuarios y su entorno. Si la EFS decide referirse a las
ISSAI de Nivel 4, entonces el primer paso será
determinar los requisitos de las ISSAI y evaluar el
estado de la EFS con respecto a los requisitos de las
normas para las auditorías de cumplimiento. A
continuación la EFS debe identificar las causas o
razones del incumplimiento y lo que necesita para
cumplir con dichos requisitos.
La Herramienta para el Diagnóstico del Cumplimiento de

las ISSAI (iCAT), desarrollada bajo la Fase 1 del
Programa 3i, ayuda a las EFS a mapear su práctica
actual con respecto a los requisitos de las Directrices
para Auditorías de Cumplimiento, es decir, las ISSAI de
Nivel 4. El Capítulo 8 del manual muestra la forma de
pasar de la identificación de las brechas en las prácticas
actuales al proceso de implementación, determinando
las prioridades, continuando con la elaboración de una
estrategia y plan de acción, y superando algunas de las
dificultades que las EFS pudieran encontrar en la fase
inicial.
Página 5
Capítulo 1:
Introducción y Elementos Básicos de

la Auditoría de Cumplimiento
Página 6
1.1 INTRODUCCIÓN en todos los aspectos importantes, con las

disposiciones legales y normativas que regulan a la
entidad auditada2. Los auditores de las auditorías
El propósito de este capítulo introductorio es
de cumplimiento buscan desviaciones sustantivas
ayudar a los lectores a familiarizarse con los
de los criterios establecidos con base en leyes y
conceptos básicos de las auditorías de
reglamentos, en principios para una sólida
cumplimiento, de manera que puedan pasar a un
administración financiera o en el comportamiento
nivel más avanzado en los siguientes capítulos.
de los funcionarios públicos.
Este capítulo explica brevemente: (a) la auditoría
de cumplimiento, sus elementos, sus principios y
Como auditores necesitamos entender el contexto
su importancia en el sector público; (b) el objetivo y
de las auditorías de cumplimiento. Los conceptos y
propósito de las ISSAI en lo que respecta a la
el establecimiento de la auditoría son inherentes a
forma en que ayudan a conducir auditorías de
la administración de las finanzas públicas, ya que
cumplimiento de calidad; c) formas en las que las
el manejo de los fondos públicos representa una
EFS pueden adoptar las ISSAI para las auditorías
responsabilidad. La auditoría no es un fin en sí
de cumplimiento; (d) diferencias entre la auditoría
mismo, sino una parte indispensable del sistema
de cumplimiento y otros tipos de auditorías, así
regulador cuyo objetivo es señalar oportunamente
como la manera en que pueden combinarse en la
las desviaciones de las normas aceptadas y las
práctica; y (e) el proceso de la auditoría de
infracciones a los principios de legalidad, eficiencia,
cumplimiento. Como se señaló arriba, los
eficacia y economía de la administración financiera
conceptos descritos en este capítulo se describen
con tiempo suficiente para tomar acciones
con mayor detalle por medio de ejemplos en los
correctivas en casos individuales, hacer que los
siguientes capítulos.
responsables acepten su parte de responsabilidad,
obtener una compensación o tomar los pasos
1.1.1 Las auditorías de necesarios para prevenir – o al menos hacer que
cumplimiento en el sector sean más difíciles – dichas infracciones3.
público La auditoría del sector público es esencial para su
administración, ya que el manejo de los fondos
Para definir lo que es una auditoría de públicos está al cuidado de funcionarios
cumplimiento necesitamos considerar primero lo gubernamentales y su uso está regulado por
que es la auditoría de sector público, ya que en ella principios, reglas y normas que en conjunto
se basa la auditoría de cumplimiento. constituyen las disposiciones legales y normativas.
Se espera por lo tanto que los funcionarios actúen
Las auditorías del sector público pueden en interés de la sociedad aplicando los fondos para
describirse como un proceso sistemático para los fines propuestos y en línea con las
obtener y evaluar de manera objetiva evidencia disposiciones legales y normativas.
que permita determinar si la información o las
condiciones actuales se ajustan a los criterios Es responsabilidad de los organismos del sector
establecidos1. La auditoría de cumplimiento se público y de sus funcionarios actuar de forma
basa en esta definición con un enfoque específico transparente y rendir cuentas ante los ciudadanos
en el cumplimiento de los criterios derivados de las por los fondos que se les confiaron, así como
disposiciones legales y normativas. ejercer una gestión adecuada de dichos fondos4.
La forma y el modo en que los administradores del
La auditoría de cumplimiento es una evaluación sector público cumplen con sus responsabilidades
independiente para determinar si un asunto dado no es un asunto de confianza absoluta. Las
cumple con las disposiciones legales y normativas auditorías de cumplimiento desempeñan un papel
aplicables identificadas como criterios. Como importante al asegurar que los principios de
auditores, debemos evaluar si las actividades, las
operaciones financieras y la información cumplen, 2
ISSAI 400.12
3
ISSAI 4100, Sección 1.
1 4
ISSAI 100.18. ISSAI 400.16.
Página 7
transparencia, rendición de cuentas y gestión se (compromiso de elaboración de informes directos).

cumplan adecuadamente. Ambos se describen en capítulos posteriores. Por
lo pronto, en esta sección se describen los
Las auditorías de cumplimiento promueven la aspectos adicionales de los elementos relevantes
transparencia al proporcionar informes confiables para las auditorías de cumplimiento que el auditor
respecto a si los fondos públicos se utilizaron en debe identificar antes de comenzar la auditoría.
línea con las disposiciones legales y normativas
aplicables. Promueven asimismo la rendición de 1.2.1 Disposiciones legales y
cuentas al informar sobre posibles desviaciones e
infracciones a las disposiciones legales y normativas (autoridades)
normativas. Esta información permite tomar
acciones correctivas y hacer responsables a los Las disposiciones legales y normativas o normas
funcionarios públicos por sus actividades. jurídicas (autoridades) son leyes o resoluciones del
Finalmente las auditorías de cumplimiento poder legislativo u otros instrumentos,
promueven una gestión adecuada al identificar los instrucciones y directrices emitidas por organismos
puntos débiles y las desviaciones de las leyes y del sector público con poderes estatutarios y con
reglamentos, así como al evaluar el las cuales se espera que cumpla la entidad
comportamiento de los funcionarios. auditada. Estas disposiciones legales y normativas
pueden incluir leyes, políticas, reglas, reglamentos
Las auditorías de cumplimiento pueden tratar sobre y otros instrumentos que deben seguir los
la regularidad (cumplimiento con los criterios funcionarios o las organizaciones para las cuales
formales tales como leyes, reglamentos y se establecieron. En ocasiones estos elementos se
convenios) o sobre la gestión o comportamiento refieren en conjunto como normas legislativas o
(observancia de los principios generales que rigen disposiciones legales y normativas. Por otra parte,
una administración financiera sólida y el no deben confundirse con las autoridades en el
comportamiento de los funcionarios públicos). sentido de órganos o personas que ejercen algún
Mientras que la regularidad es el punto focal de las poder o mando, como por ejemplo las
auditorías de cumplimiento, la gestión o disposiciones legales y normativas encargadas de
comportamiento también puede ser pertinente hacer cumplir la ley o las disposiciones legales y
dado el contexto del sector público, en el que normativas regulatorias.
existen ciertas expectativas relacionadas con la
administración financiera y el comportamiento de Por ejemplo, los gobiernos de muchos países
los funcionarios. Dependiendo del mandato de la cuentan con leyes que le proporcionan ayuda
EFS y de la naturaleza de las leyes y reglamentos, económica a personas que cumplen con ciertos
el alcance de la auditoría puede, por lo tanto, incluir requisitos de elegibilidad. Estas leyes sirven como
aspectos relativos a la gestión o comportamiento. disposiciones legales y normativas en el caso de
las auditorías de cumplimiento de los programas de
ayuda económica.
1.2 ELEMENTOS DE LA DISPOSICIONES LEGALES
AUDITORÍA DE CUMPLIMIENTO Y NORMATIVAS
EL EJECUTIVO
La ISSAI 100 describe los elementos de las DISPOSICIONES LEGALES
auditorías del sector público. Todas ellas tienen los Y NORMATIVAS
mismos elementos básicos: el auditor, la parte LA ENTIDAD 0
responsable y los usuarios previstos, es decir, las
tres partes de la auditoría, los criterios para evaluar DISPOSICIONES LEGALES
Y NORMATIVAS
el objeto de la revisión y la información resultante AUDITORÍA DE CUMPLIMIENTO
sobre la materia. Las auditorías del sector público
pueden clasificarse en dos tipos diferentes: Figura 1.1: Disposiciones legales y normativas
trabajos de certificación (compromisos de relacionadas con un acuerdo constitucional
atestiguamiento) y trabajos de información directa específico de la EFS.
Página 8
Los criterios son los parámetros o puntos de 1.2.3 Las tres partes
referencia utilizados para evaluar o medir el asunto
de manera consistente y razonable. Las
Las auditorías de cumplimiento se basan en una
disposiciones legales y normativas son la fuente de
relación de tres partes, en la que el auditor trata de
dichos criterios, los cuales pueden derivarse de
obtener evidencia de auditoría suficiente y
leyes, políticas, reglas, reglamentos y otros
apropiada con el fin de expresar una conclusión
instrumentos, y usarse para evaluar su
que permita aumentar el grado de confianza de los
cumplimiento o falta de cumplimiento.
usuarios previstos, diferentes a la parte
responsable, en la medición o evaluación del
Por ejemplo, en el caso del programa de ayuda
objeto de la revisión conforme a los criterios
económica mencionado arriba, una condición para
establecidos. En todas las auditorías de
la elegibilidad podría ser que sólo aquellos que
cumplimiento tenemos:
ganan menos de $800 dólares al mes y mantienen
a cuatro personas recibirán $500 dólares al mes
• Una parte responsable/entidad auditada
como ayuda económica.
(normalmente una agencia gubernamental)
que recibe fondos para actividades
específicas,
Disposiciones legales
y normativas
• Los usuarios previstos (Parlamento/Congreso)
que asignan los fondos a las agencias
gubernamentales y esperan que dichos fondos
se usen conforme a las disposiciones legales y
Criterios
normativas establecidas y con estricta
observancia de los principios generales que
Figura 1.2: Las disposiciones legales y normativas rigen una administración financiera sólida y el
son la fuente de los criterios de auditoría. comportamiento de los funcionarios públicos, y
• Las EFS que llevan a cabo la auditoría en

1.2.2 Objeto (materia o asunto) representación del Parlamento/Congreso y que
El objeto (materia o asunto) se refiere a la determinan si los fondos se usaron o no
información, situación o actividad que se mide o conforme a los criterios.
evalúa de acuerdo con determinados criterios.
Pueden ser actividades, operaciones financieras o En el caso de nuestro ejemplo, la Oficina del
información. Programa de Ayuda Económica es la parte
responsable, mientras que el presunto usuario es
Por ejemplo, dentro del contexto del programa de el Parlamento/Congreso.
ayuda económica el objeto, asunto o materia
podría ser: Parlamento/Congreso
a. La actividad, que sería el propio programa de

ayuda económica y sus operaciones, o
b. Las operaciones financieras del programa, o USUARIO

PREVISTO
c. Información, como los estados financieros, o La El Gobierno
ELEMENTOS
los informes y cuentas anuales del programa EFS DE UNA
de ayuda económica que la dirección pone a AUDITORÍA
disposición de los auditores.
AUDITOR PARTE
RESPONSABLE
Figura 1.3: Las tres partes de una auditoría
Página 9
1.2.4 Nivel de seguridad 1.3 ¿QUÉ ES LO QUE EL

AUDITOR BUSCA EN LAS
Los usuarios previstos desean tener la seguridad
de que la información que se les proporciona es lo DIFERENTES AUDITORÍAS?
suficientemente confiable y relevante como para
tomar decisiones. Por lo tanto, las auditorías deben Normalmente las EFS llevan a cabo tres tipos de
proporcionarles información basada en evidencia auditoría: auditorías financieras, auditorías de
suficiente y apropiada. Es por eso que los cumplimiento y auditorías de desempeño. La
auditores necesitan llevar a cabo procedimientos definición y contexto de la auditoría de
que les permitan reducir o administrar el riesgo de cumplimiento ya se ha dado arriba. Aquí es
llegar a conclusiones inadecuadas y proporcionar importante entender las auditorías financieras y de
información confiable a los usuarios previstos de desempeño, así como la forma en que son
manera que éstos puedan tomar decisiones diferentes de las auditorías de cumplimiento y lo
informadas, de lo contrario podría confundirlos y que los auditores buscan en particular en cada una
hacer que tomaran decisiones equivocadas. Por ellas.
ejemplo, el presunto usuario
(Parlamento/Congreso) autoriza al gobierno a
cobrar y usar los impuestos con el objetivo de Auditoría financiera
proporcionar servicios básicos. El
(Parlamento/Congreso) desea saber si la parte La auditoría financiera (financial audit en inglés)
responsable (la agencia gubernamental) ha usado trata de determinar si la información financiera de
los fondos que le han sido asignados conforme a una entidad se presenta en conformidad con el
las disposiciones legales y normativas aplicables marco regulatorio y de información financiera
(leyes, reglamentos, etc.). Para ello el aplicable5.
Parlamento/Congreso desea que una tercera parte
le dé la seguridad de que dichos fondos se han Para ello los auditores buscan irregularidades y
usado de esta manera. En este caso, las EFS de representaciones erróneas que pudieran tener un
todo el mundo son las más capacitadas para impacto significativo en la información presentada
proporcionar esta seguridad con base en su en los estados financieros. Una irregularidad o
trabajo. representación errónea de importancia relativa es
algo que pudiera forzar a los individuos con un
En el ejemplo del programa de ayuda económica, conocimiento promedio del objeto de la revisión a
la EFS puede dar la seguridad de que el dinero cambiar sus puntos de vista sobre las
asignado a la agencia se ha empleado conforme a aseveraciones hechas en los estados financieros.
las disposiciones legales y normativas aplicables.
El nivel de seguridad que se puede dar al presunto
usuario debe comunicarse de manera Auditoría de desempeño
transparente. Sin embargo, debido a las
limitaciones inherentes, las auditorías nunca La auditoría de desempeño o rendimiento
pueden dar una seguridad absoluta. En una (performance audit en inglés) es un análisis
auditoría la seguridad puede ser razonable o independiente, objetivo y confiable que permite
limitada. Asimismo, la seguridad razonable es alta determinar si los proyectos, sistemas, operaciones,
pero no absoluta. Estos elementos se explican con programas, actividades u organizaciones del
detalle en el siguiente capítulo que trata sobre los gobierno están operando en conformidad con los
principales conceptos de las auditorías de principios de economía, eficiencia y eficacia, y si
cumplimiento. hay lugar para mejoras6.
Aquí los auditores revisan cualquier objeto, materia

o asunto desde el punto de vista de la economía,
5
ISSAI 100.22
6
ISSAI 300.9
Página 10
eficiencia y eficacia. ¿El gobierno está usando los 1.4.1 La auditoría de

recursos de manera económica al manejar un
asunto? ¿La relación de entradas y salidas en las cumplimiento como una
operaciones cubiertas por la auditoría es óptima? actividad independiente
¿La entidad gubernamental es capaz de alcanzar
los resultados y efectos esperados? Algunas EFS llevan a cabo auditorías de
cumplimiento como un trabajo independiente. Esto
Auditoría de cumplimiento significa que la auditoría de cumplimiento se hace
sola sin estar en combinación con una auditoría
La auditoría de cumplimiento (compliance audit en financiera o de desempeño. Las ISSAI estipulan
inglés) es una evaluación independiente para que las auditorías de cumplimiento llevadas a cabo
determinar si un asunto dado cumple con las de forma separada pueden planearse, realizarse y
disposiciones legales y normativas aplicables reportarse independientemente de las auditorías de
identificadas como criterios. Esto se hace estados financieros y de las auditorías de
evaluando si las actividades, operaciones desempeño. Asimismo pueden realizarse de
financieras e información cumplen, en todos los manera regular o sobre una base ad-hoc como
aspectos importantes, con las disposiciones auditorías distintas y claramente definidas, cada
legales y normativas que regulan a la entidad una relacionada con un asunto específico8.
auditada7.
La ISSAI 4100 describe las consideraciones clave
Así pues, ¿qué es lo que el auditor busca en una aplicables a auditorías de cumplimiento realizadas
auditoría de cumplimiento? ¿Trata de saber si el por las EFS como un trabajo independiente, lo cual
objeto de la revisión cumple con las disposiciones se explicará con mayor detalle en los siguientes
legales y normativas que rigen una administración capítulos.
financiera sólida y el comportamiento de los
funcionarios públicos? 1.4.2 La auditoría de
cumplimiento junto con otros
1.4 DIFERENTES FORMAS DE tipos de auditorías
LLEVAR A CABO UNA Las auditorías de cumplimiento pueden realizarse
AUDITORÍA DE CUMPLIMIENTO no sólo de forma separada sino también en
combinación con otros tipos de auditorías, por
En la práctica muchas EFS hacen su auditoría ejemplo, en conjunto con una auditoría de estados
anual incluyendo diferentes tipos de auditorías o financieros o con una auditoría de desempeño.
combinando auditorías financieras, de Diferentes EFS pueden usar distintos enfoques
cumplimiento o de desempeño. De este modo, la para llevar a cabo auditorías combinadas. Puede
auditoría de cumplimiento también puede ser relevante ver cómo las ISSAI tratan el combinar
combinarse con la auditoría financiera y de auditorías de cumplimiento con los otros dos tipos
desempeño. La ISSAI 100 señala que las EFS de auditoría.
pueden conducir auditorías combinadas
incorporando aspectos financieros, de desempeño
y/o cumplimiento. A continuación se describen Las auditorías de cumplimiento
diferentes formas en que se puede conducir una
auditoría de cumplimiento: en relación con la auditoría de
estados financieros
Muchas EFS siguen la práctica de combinar sus
auditorías de estados financieros con aspectos de
7 8
ISSAI 400.12 ISSAI 400.25
Página 11
cumplimiento dentro de un solo proceso. Las Auditorías de cumplimiento en

auditorías de cumplimiento abarcan mucho más
que las auditorías financieras y le permiten al combinación con auditorías de
auditor tener una imagen más amplia. El poder desempeño
legislativo, como parte del proceso democrático,
establece las prioridades para los ingresos y Cuando las auditorías de cumplimiento son parte
egresos del sector público, así como para el de una auditoría de desempeño, el cumplimiento
cálculo y asignación de los mismos. Las premisas se ve como uno de los aspectos de la economía,
de los órganos legislativos y las decisiones que eficiencia y eficacia10. En las auditorías
toman son la fuente de las disposiciones legales y combinadas de este tipo, los auditores deben hacer
normativas que regulan los flujos de efectivo en el uso de su juicio profesional para decidir si el
sector público. El cumplimiento de dichas desempeño o el cumplimiento son el objetivo
disposiciones legales y normativas constituye una principal de la auditoría y determinar el alcance y
perspectiva más amplia junto con la auditoría de los criterios de la misma.
estados financieros en la ejecución presupuestaria.
Las siguientes son algunas de las diferencias que
Combinar las auditorías financieras y de hay entre las auditorías de desempeño y las
cumplimiento le permite al auditor tener la auditorías de cumplimiento que nos pueden ayudar
seguridad de que no sólo los estados financieros a entender mejor al momento de decidir el enfoque
están libres de representaciones erróneas de primario de una auditoría:
importancia relativa, sino también de que las
actividades, operaciones financieras e información • En una auditoría de desempeño un
cumplen, en todos los aspectos importantes, con incumplimiento puede ser la causa, explicación
las disposiciones legales y normativas o leyes que o consecuencia del estado de las actividades
rigen a la entidad auditada. sujetas a auditoría, mientras que en una
auditoría de cumplimiento el auditor evalúa el
Las leyes y reglamentos son importantes tanto en grado con el que la entidad auditada (a través
las auditorías de cumplimiento como en las de sus funcionarios) sigue las reglas, leyes y
auditorías financieras. Sin embargo, mientras que reglamentos, políticas, códigos o términos
en una auditoría de estados financieros, son acordados que regulan dicha entidad.
relevantes sólo aquellas leyes y reglamentos que
tienen un efecto directo e importante en los • En una auditoría de desempeño los auditores
estados financieros, en las auditorías de buscan saber si la entidad auditada está
cumplimiento puede aplicarse cualquier ley y operando o no de manera económica, eficiente
reglamento relevante para el objeto de la revisión9. y eficaz. Estos parámetros son una parte
integral de la definición de las auditorías de
La ISSAI 4200 señala que el auditor debe desempeño. El concepto básico es que si una
considerar todos los asuntos que se incluyen en entidad auditada utiliza los recursos de manera
una auditoría combinada del sector público. Es económica genera más valor para los insumos
importante que esta norma se lea y comprenda que recibe y logra el impacto deseado. En las
junto con las ISSAI 1000-2999 de auditoría auditorías de desempeño el principal enfoque
financiera. Cuando se aplica en combinación con está en lograr resultados, aunque los aspectos
las Directrices de Auditoría Financiera, la ISSAI de economía y eficiencia también son
4200 le proporciona a los auditores un conjunto relevantes. Por lo tanto, los criterios de
completo de lineamientos para las auditorías de los desempeño normalmente se basan en
estados financieros del sector público. consideraciones económicas, de eficiencia y
eficacia.
9 10
Página 12
• En las auditorías de cumplimiento los auditores desarrollado cumplen plenamente con todos los
buscan casos de incumplimiento con las principios relevantes de las auditorías de
disposiciones legales y normativas definidas cumplimiento. Las ISSAI son flexibles en el sentido
(es decir, las leyes, políticas, reglas, de que destacan la necesidad de que las EFS
reglamentos, procedimientos, términos tomen en consideración sus mandatos, leyes y
contractuales o acuerdos aplicables) que reglamentos respectivos al adoptarlas. Por
pudieran tener un efecto importante en los consiguiente, estos principios no están por encima
objetivos de la entidad auditada. de los mandatos, leyes y reglamentos existentes
que rigen las prácticas de auditoría de las EFS.
1. 5 CÓMO AYUDAN LAS ISSAI • Como base para la adopción de normas

internas consistentes
A REALIZAR UNA AUDITORÍA
DE CUMPLIMIENTO Es probable que algunas EFS ya cuenten con
normas para realizar sus auditorías de
Dentro del contexto anterior no resulta difícil ver cumplimiento. En estos casos las ISSAI
que las auditorías de cumplimiento no son algo proporcionan un marco de referencia para las EFS,
nuevo en el campo de la fiscalización. Sin las cuales pueden analizar sus prácticas actuales
embargo, podemos ver grandes variaciones en la con respecto a dichas ISSAI, identificar deficiencias
práctica de las diferentes EFS. Las Normas y modificar su marco de auditoría de acuerdo con
Internacionales de Entidades Fiscalizadoras sus circunstancias particulares. Conforme pase el
Superiores (ISSAI, por sus siglas en inglés) para tiempo, las EFS podrán seguir mejorando su marco
las auditorías de cumplimiento11 son principios, de auditoría y cumplir eventualmente con las
normas y lineamientos generales que proporcionan ISSAI.
un marco común de referencia para las EFS y
facilitan la convergencia hacia normas y prácticas • Como marco de referencia para la adopción
comunes. Las ISSAI se basan en la experiencia de las Directrices de las Auditorías de
histórica de las EFS y muchas EFS han dado Cumplimiento
pasos significativos para adoptarlas. A
continuación se explican algunas de las formas en Otra opción para las EFS es considerar la
que las ISSAI pueden ayudar a las EFS a mejorar posibilidad de adoptar las directrices para las
la calidad de su trabajo. auditorías de cumplimiento (ISSAI 4000-4200)
como marco de referencia. En algunos ambientes
• Como base para el desarrollo de normas esto puede no ser posible debido a las estructuras
administrativas o las leyes y reglamentos que no
Algunas EFS llevan a cabo auditorías de prestan su apoyo en este sentido. También es
cumplimiento de acuerdo con su mandato, pero no importante recordar que las EFS pueden seguir
cuentan con un marco de referencia que las rija y diferentes enfoques para alcanzar estos principios
apoye su trabajo. Estas EFS pueden revisar las y que estos enfoques pueden incluirse en las
ISSAI y desarrollar normas y directrices de acuerdo políticas, manuales, etc. de la EFS. Actualmente
con ellas para las auditorías de cumplimiento. En las ISSAI serie 4000 están siendo revisadas y se
estos casos las EFS necesitan tomar en espera que estén completamente desarrolladas
consideración la ISSAI 400: Principios como normas reguladoras para 2016. Sin embargo,
Fundamentales de las Auditorías de Cumplimiento. esto no impide que las EFS recurran a ellas en
busca de orientación en su forma actual,
Es importante que las EFS recuerden que sólo requiriendo la atención de la alta dirección de la
deberá hacerse referencia a los Principios EFS en tales casos.
Fundamentales de las Auditorías de Cumplimiento
en los informes de auditoría si las normas que han También es probable que algunas EFS conduzcan
auditorías de cumplimiento junto con auditorías
financieras o de desempeño de acuerdo con sus
11
ISSAI 400.4 respectivos mandatos. En este caso, se deberá
Página 13
cumplir con las ISSAI correspondientes a cada tipo Los Principios Generales de las auditorías de
de auditoría adoptadas por las EFS y se deberán cumplimiento se describen brevemente en este
hacer las referencias respectivas. capítulo, ya que se explicarán con mayor detalle en
los siguientes capítulos del manual. Como se
1. 6 PRINCIPIOS DE LA puede ver en la Figura 1.4, el auditor deberá
ejercer su juicio profesional y su escepticismo a lo
AUDITORÍA DE CUMPLIMIENTO largo de todo el trabajo, al mismo tiempo que toma
en consideración los otros elementos de los
La ISSAI 400 describe los principios de las principios generales. Estos elementos deberán
auditorías de cumplimiento, los cuales son estar al nivel de la EFS para garantizar que la
fundamentales para su ejecución. Debido a que la auditoría de cumplimiento se realice de
naturaleza de la auditoría es iterativa y conformidad con las normas.
acumulativa, el auditor deberá considerar estos
principios antes de comenzar cualquier auditoría,
así como en más de un punto durante el proceso,
es decir, durante la planificación y diseño,
obtención y evaluación de evidencia, y elaboración
y presentación de informes.
Los principios fundamentales se agrupan de

acuerdo a principios relacionados con los requisitos
organizativos de la EFS, los cuales son los
Principios Generales12, y principios relacionados
con pasos específicos del proceso de auditoría,
como la planificación, ejecución y presentación de
informes.
Juicio y escepticismo
Habilidades,
Control de capacidad y Riesgo de Importancia
Documentación Comunicación
calidad experiencia del auditoría relativa
equipo de auditoría
Figura 1.4: Principios generales de las auditorías de cumplimiento
12
ISSAI 400.4
Página 14
Juicio profesional y después de que las EFS han hecho esta

evaluación. Mayor información sobre el control de
escepticismo calidad se da en la ISSAI 40: Control de Calidad
para la EFS.
Juicio profesional es la aplicación de la
capacitación, conocimiento y experiencia
necesarias dentro del contexto previsto por las
Habilidades, capacidad y
normas de auditoría, de manera que puedan experiencia del equipo de
tomarse decisiones informadas acerca del curso de auditoría
acción más adecuado dadas las circunstancias de
la auditoría13. Es la forma en que un auditor ve los
El equipo de auditoría deberá poseer en conjunto
diferentes contextos o situaciones desde diferentes
el conocimiento, las habilidades y la experiencia
ángulos y perspectivas con base en su
necesarias para completar con éxito la auditoría.
conocimiento y experiencia profesional.
Esto incluye un buen conocimiento y experiencia
práctica del tipo de auditoría que se está llevando a
cabo, así como estar familiarizados con las
disposiciones legales y normativas y reglamentos
aplicables, comprender las operaciones de la
Competencia
entidad auditada y tener la capacidad y experiencia
para emitir un juicio profesional. En todas las
Juicio auditorías es común la necesidad de contratar
Profesional personal calificado, ofrecerle oportunidades de
desarrollo profesional y capacitación, elaborar
manuales y otras guías e instrucciones escritas
Actitud relativas a la conducción de las auditorías y asignar
suficientes recursos para la auditoría. Los auditores
deben mantener su nivel de competencia
Figura 1.5: Juicio profesional y escepticismo profesional a través de un continuo desarrollo
profesional14.
El escepticismo se refiere a mantener una distancia Riesgo de auditoría

profesional y una actitud alerta e inquisitiva al
evaluar la suficiencia y pertinencia de la evidencia El riesgo de auditoría es el riesgo de que el
obtenida a lo largo de la auditoría. Por ejemplo, un informe, la conclusión o la opinión del auditor sean
auditor no debe creer en lo que se da hasta haber inapropiados. La auditoría de cumplimiento deberá
obtenido cierta seguridad de que lo dicho es realizarse para reducir el riesgo de auditoría a un
correcto. nivel aceptablemente bajo de acuerdo con las
circunstancias. Los diferentes componentes del
Control de calidad riesgo de auditoría incluyen el riesgo inherente, el
riesgo de control y el riesgo de detección.
Esto se refiere a que los procesos con los que se
cuenta para revisar la calidad general de la Importancia relativa
auditoría de cumplimiento con el fin de asegurar
que la auditoría cumple con las normas aplicables Un objeto de la revisión puede considerarse de
y que el informe, la conclusión o la opinión de la importancia relativa si el conocimiento que se tiene
auditoría son apropiados conforme a las de él puede influir en las decisiones de los usuarios
circunstancias. Algunas EFS ya han establecido previstos. Por ejemplo, el incumplimiento con los
unidades de control de calidad para este propósito. términos y condiciones de un contrato de
Los informes de auditoría se emiten únicamente financiamiento se considerará importante si dicho
13 14
Página 15
incumplimiento pudiera hacer que las instituciones al interior del equipo de auditoría. También ayudará
que dan el financiamiento dejaran de hacerlo o a mantener a todas las partes informadas acerca
impusieran controles más estrictos como una del progreso de la auditoría y ayudar de manera
condición previa para seguir haciéndolo. efectiva a resolver cualquier asunto que pudiera
obstruir la conducción de la auditoría y causar
La materialidad o importancia relativa (materiality demoras.
en inglés) se puede relacionar con una partida
individual o con un grupo de partidas tomadas en La comunicación incluye obtener datos relevantes
conjunto. La importancia relativa se considera a para la auditoría y proporcionarle a la dirección y
menudo en términos de valor, pero también tiene los encargados de la administración observaciones
otros aspectos cuantitativos y cualitativos. Las oportunas e información sobre los resultados a lo
características inherentes de una partida o un largo de todo el proceso. Cualquier dificultad
grupo de partidas pueden hacer que un objeto de significativa que se encuentre durante la auditoría,
la revisión sea de importancia relativa por su propia así como los casos importantes de incumplimiento
naturaleza. Un asunto también puede ser de deberán comunicarse al nivel de dirección
importancia relativa por el contexto en el que adecuado o a los encargados de la
ocurre. administración15. Esto ayudará a rectificar cualquier
desviación o hallazgo que el auditor encuentre
Documentación y comunicación inmediatamente o en una etapa temprana, en vez
de más tarde cuando el impacto del hallazgo
pudiera ser importante y difícil de resolver. El
Contar con suficiente documentación de auditoría
auditor también puede tener la responsabilidad de
es importante en todos los pasos de la auditoría de
comunicar los objetos de la revisión relacionados
cumplimiento. Esto es para asegurar que todos los
con la auditoría a otros usuarios, como los órganos
pasos y decisiones tomadas durante la auditoría
legislativos o de supervisión.
estén debidamente justificados y documentados de
manera que, si un auditor experimentado que no
ha tenido conocimiento previo o relación con la
auditoría la revisa, entonces la documentación de
auditoría le permitirá comprenderla. Mayor
información al respecto se dará en el Capítulo 5 de
este manual relativo a la Documentación y
Comunicación en las auditorías de cumplimiento.
Por su parte, la comunicación tiene lugar en todas

las etapas de la auditoría: antes de que empiece,
durante la fase de planificación inicial, durante la
obtención y evaluación de evidencia y en la fase de
elaboración y presentación de informes. Es
esencial que la entidad auditada junto con la EFS
se mantengan informados acerca de todos los
asuntos relacionados con la auditoría. Esto resulta
clave para desarrollar una relación de trabajo
constructiva entre el auditor y la entidad, así como
15
ISSAI 400.49
Página 16
1.7 PROCESO DE LA AUDITORÍA DE CUMPLIMIENTO

El siguiente diagrama describe los pasos de una auditoría de cumplimiento.
• Determinar el alcance de la auditoría de cumplimiento

•
Documentación, Comunicación, Control de Calidad
Consideraciones Considerar los principios que son éticamente significativos

(p. ej. independencia y objetividad)
iniciales • Asegurar que se cuenta con procedimientos de control de
calidad
• Determinar los elementos de la auditoría

• Identificar el objeto de la revisión y los criterios
• Tener un conocimiento adecuado de la entidad y su entorno
• Desarrollar una estrategia y plan de auditoría
Planificación de la • Conocer el sistema de control interno
• Establecer la importancia relativa con fines de planificación
auditoría
• Evaluar los riesgos
• Planear los procedimientos de auditoría para obtener una
seguridad razonable
• Considerar incumplimientos que pudieran revelar posibles
actos irregulares
Ejecución de la
auditoría y • Reunir evidencia a través de varios medios
recopilación de • Actualizar continuamente la planificación y evaluación de
evidencia riesgos
• Evaluar si se ha obtenido evidencia suficiente y pertinente

Evaluación de la
• Considerar la importancia relativa para la elaboración y
evidencia y presentación de los informes
formación de • Sacar conclusiones
conclusiones • Obtener declaraciones por escrito según sea necesario
• Abordar hechos posteriores según sea necesario
• Preparar el informe
Elaboración de • Incluir recomendaciones y respuestas de la entidad según
informes corresponda
• Dar seguimiento a informes previos según sea necesario
Figura 1.6: Proceso de la auditoría de cumplimiento
Página 17
i. Consideraciones iniciales y etapa el auditor debe considerar la importancia

relativa para la elaboración y presentación de
planificación de la auditoría informes.
En la fase inicial los auditores determinan el

objetivo y alcance de la auditoría, consideran los
iv. Elaboración de informes
principios que son éticamente significativos, es
La conclusión u opinión se presenta en forma de
decir, independencia y objetividad, y se aseguran
informe dirigido al presunto usuario. Aquí el auditor
de contar con procedimientos de control de calidad.
incluye las recomendaciones y respuestas de la
entidad.
En la fase de planificación el auditor examina la
relación entre el objeto de la revisión, los criterios y
En los siguientes capítulos este manual presenta
el alcance de la auditoría de cumplimiento. Para
información adicional sobre los elementos de la
hacer esto los auditores se guían por su juicio
auditoría de cumplimiento. También tiene capítulos
profesional y la necesidad de los usuarios
separados sobre los pasos que debe seguir la
previstos. Una vez que determinan el objeto de la
auditoría de cumplimiento. Es importante recordar
revisión, los criterios y el alcance de la auditoría,
que, como se muestra en la Figura 1.6, la
los auditores trabajan en la estrategia y el plan de
documentación, comunicación y control de calidad
auditoría. Para ello necesitan conocer el sistema
corren a lo largo de todo el proceso y son
de control interno, establecer la importancia
requisitos significativos de las ISSAI, por lo que
relativa, evaluar los riesgos de la entidad y planear
deben considerarse en todas las etapas de la
los procedimientos como parte del diseño de la
auditoría.
ii. Ejecución de la auditoría y 1.8 CONCLUSIÓN

recopilación de evidencia
Para muchas EFS la auditoría de cumplimiento es
En esta fase los auditores reúnen y documentan la su actividad central. Es distinta de los otros tipos
evidencia para sacar una conclusión o expresar de auditoría ya que se enfoca en asegurar que las
una opinión respecto a si el objeto de la revisión, entidades auditadas o el objeto, materia o asunto
en todos los aspectos importantes, cumple con los cumplan con las leyes, reglas, reglamentos,
criterios establecidos. En algunos casos es procedimientos, términos contractuales y/o
probable que los auditores tengan que cambiar el acuerdos aplicables. Asimismo, puede realizarse
alcance de la auditoría de cumplimiento cuando como una actividad independiente o junto con
encuentren evidencia que sugiera la necesidad de auditorías financieras y de desempeño. Las ISSAI
hacerlo. Por ejemplo, mientras están reuniendo le dan a las EFS la oportunidad de revisar sus
evidencia, los auditores pueden encontrar algo que prácticas actuales y modificarlas tanto como su
indica la posibilidad de fraude, por lo que quizá mandato, leyes y reglamentos lo permitan. En el
deban modificar sus procedimientos. Asimismo, siguiente capítulo describiremos con detalle los
deberán documentar la razón por la que hicieron principales conceptos de la auditoría de
cambios en el plan de auditoría. cumplimiento. Acto seguido se explicarán las fases
de la auditoría de cumplimiento, es decir, la
iii. Evaluación de la evidencia y planificación y el diseño de la auditoría, la
recopilación de evidencia, la evaluación de la
formación de conclusiones evidencia, la formación de conclusiones, y la
elaboración de informes.
Al final de la auditoría los auditores examinan la
evidencia para saber si es suficiente y apropiada
con el objetivo de sacar una conclusión o expresar
una opinión respecto a si el objeto de la revisión
cumple o no con los criterios establecidos. En esta
Página 18
Capítulo 2:
Principales conceptos de las

auditorías de cumplimiento
Página 19
2.1 INTRODUCCIÓN usuarios previstos, diferentes a la parte

responsable, en la medición o evaluación del
objeto de la revisión conforme a los criterios
Este capítulo se basa en los conceptos básicos de
establecidos3.
la auditoría de cumplimiento proporcionados en el
primer capítulo. El capítulo se enfoca en el
Con base en las definiciones anteriores, este
concepto de seguridad, explicando las similitudes y
capítulo examinará los siguientes conceptos:
diferencias que hay entre los diferentes niveles de
seguridad que las EFS le dan a los usuarios
previstos: seguridad razonable y seguridad • El objeto de la revisión y la información del
limitada. mismo
• Las disposiciones legales y normativas, así
como los criterios
• El riesgo de auditoría
2.2 DEFINICIÓN DE AUDITORÍA • La importancia relativa
Y DE AUDITORÍA DE • La relación de las tres partes
CUMPLIMIENTO → el auditor
→ la parte responsable
Como se definió en el Capítulo 1, "las auditorías → los usuarios previstos
del sector público pueden describirse como un • El nivel de seguridad
proceso sistemático para obtener y evaluar de → trabajos de seguridad razonable
manera objetiva evidencia que permita determinar → trabajos de seguridad limitada
si la información o las condiciones actuales se • Los trabajos de certificación (compromisos
ajustan a los criterios establecidos”1. La auditoría de atestiguamiento) y de información directa
de cumplimiento se basa en esta definición con un (compromisos de elaboración de informes
enfoque específico en los criterios derivados de las directos)
normas (para una definición de “criterios”, véase la • El juicio profesional y el escepticismo
sección 2. 4).
La auditoría de cumplimiento es una evaluación 2.3 OBJETO DE LA REVISIÓN E

independiente para determinar si un objeto de
revisión dado cumple con las disposiciones legales INFORMACIÓN DEL OBJETO DE
y normativas aplicables identificadas como LA REVISIÓN
criterios. Las auditorías de cumplimiento se llevan
a cabo para evaluar si las actividades, las Las ISSAI establecen que "… dentro del contexto
operaciones financieras y la información cumplen, de las auditorías de cumplimiento, la
en todos los aspectos importantes, con las responsabilidad del auditor incluye determinar si la
disposiciones legales y normativas que regulan a la información relacionada con un objeto de la
entidad auditada2. revisión en particular cumple, en todos los
aspectos importantes, con los criterios relevantes,
Las ISSAI también definen las partes de una como leyes, reglamentos, directivas, términos
auditoría de cumplimiento, así como la relación que contractuales, acuerdos, etc.”4
existe entre ellas:
El objeto de la revisión (subject matter en inglés)
Las auditorías de cumplimiento se basan en una depende del mandato de la EFS, las disposiciones
relación de tres partes, en la que el auditor trata de legales y normativas relevantes y el alcance de la
obtener evidencia de auditoría suficiente y auditoría. Debido a esto, el contenido y alcance del
apropiada con el fin de expresar una conclusión objeto de la revisión de la auditoría de
que permita aumentar el grado de confianza de los cumplimiento puede variar ampliamente. Puede
1 3
ISSAI 100.18. ISSAI 400.35.
2 4
ISSAI 400.12. ISSAI 4100. 4, ISSAI 4200.4
Página 20
tomar diversas formas y tener diferentes tomar a la "entidad" como objeto de la revisión. En
características dependiendo del objetivo y alcance este caso el alcance de la auditoría cubrirá todas
de la auditoría5. Por ejemplo, puede referirse a la las actividades de la entidad y las disposiciones
información, situación o actividad que se está legales y normativas que la regula. Sin embargo,
midiendo o evaluando conforme a determinados dar una conclusión sobre un objetivo tan amplio
criterios. puede representar un gran reto.
Por su parte, la información del objeto de la Por esta razón, las ISSAI reconocen la relación
revisión (subject matter information en inglés) se entre el objeto de la revisión y el alcance de las
refiere al resultado de evaluar o medir el objeto de auditorías de cumplimiento. La definición dada
la revisión de acuerdo a los criterios. arriba señala que "el objeto de la revisión depende
del mandato de la EFS, las disposiciones legales y
normativas relevantes y el alcance de la auditoría."
Ejemplo 1: Objeto de la revisión: Desempeño financiero Esto significa que cuando los auditores planean
y uso de los fondos asignados a una entidad del una auditoría de cumplimiento, normalmente
gobierno. Información del objeto: Información financiera, empiezan con un objeto de revisión más grande,
como por ejemplo los estados financieros. como la entidad, pero conforme van delimitando el
objetivo durante el proceso de planificación
Ejemplo 2: Objeto de la revisión: Gastos relacionados
con las actividades de capacitación de una entidad del modifican el objeto de la revisión y alcance para
gobierno. Información del objeto: Información e informes tener una auditoría más enfocada, cuyos
financieros de las actividades de capacitación. resultados serán más significativos para los
usuarios.
Por ejemplo, los auditores pueden empezar la

La auditoría de cumplimiento evalúa el objeto de la planificación considerando al "sistema de salud"
revisión o la información del objeto de la revisión, como el objeto de la revisión y eventualmente
de acuerdo con los criterios relevantes. Mayor delimitar su alcance para auditar "el suministro de
información acerca de la distinción entre estos dos agua potable":
conceptos se encuentra en la sección 2.7 relativa a
los trabajos de certificación (compromisos de
atestiguamiento) y de información directa Ejemplo: Alcance de la auditoría de cumplimiento de
(compromisos de elaboración de informes una Iniciativa para el Suministro de Agua Potable.
directos).
La EFS de Paquistán incluyó al Sector Salud en su plan
de auditoría de 2013 debido a que el sector recibió un
Identificación del objeto de la considerable apoyo por parte del gobierno y diversas
instituciones financieras durante los últimos años. Lo
revisión que llamó la atención sobre esta área fue la baja en los
indicadores clave de salud a pesar de las grandes
La definición de objeto de la revisión en las normas inversiones, así como los informes de los medios de
de auditoría de cumplimiento es flexible. Esta comunicación que criticaban el manejo indebido de los
flexibilidad responde a las diversas necesidades de problemas de salud pública por parte del gobierno.
las EFS que pueden ver el concepto de manera
diferente y les permite concentrar sus recursos Al principio los auditores pensaron en cubrir los
mecanismos para la prestación de servicios desde las
donde más se necesitan.
instituciones de salud primarias hasta las terciarias. El
país contaba con un elaborado marco legal que incluía
Por ejemplo, en algunas EFS el objeto de la disposiciones constitucionales y otras políticas y
revisión de una auditoría de cumplimiento consiste procedimientos para darle servicios de salud a todos los
en una entidad (o la información del objeto como ciudadanos. Sin embargo, durante el proceso de
las "cuentas" de la entidad) sin definir un objetivo planificación los auditores descubrieron que muchos
más específico. Viendo la definición, es posible indicadores estaban relacionados con la baja calidad del
agua potable. Estos eran entre otros la tasa de
5
ISSAI 100.28 e ISSAI 400.33 mortalidad infantil, la salud materna y la proporción de
Página 21
niños por debajo de los cinco años con problemas de La cantidad de trabajo que el auditor debe realizar
desnutrición que mostraban una baja en los indicadores. para obtener un conocimiento suficiente del marco
Al mismo tiempo, los auditores notaron que una parte legal y regulatorio dependerá de la naturaleza y
importante del financiamiento del sector salud se usaba complejidad de las leyes y reglamentos. Sin
para crear instalaciones de agua potable para la gente
embargo, el auditor sólo necesita comprender las
pobre y vulnerable del país, por lo que decidieron
delimitar el alcance de la auditoría únicamente al partes de la legislación que son relevantes para la
suministro de agua potable. auditoría. En todos los casos, la entidad auditada
conserva la responsabilidad final por asegurar el
La revisión de los auditores del proceso de planificación cumplimiento con las leyes y reglamentos
también indicó que se disponía de parámetros y criterios aplicables.
apropiados para este trabajo.
Disposiciones legales y
En algunos países el objeto de la revisión de las normativas contradictorias
auditorías de cumplimiento puede estar indicado
por las leyes, mientras que en otros puede estar
Debido a la gran variedad de posibles
determinado por la evaluación de riesgos y la
disposiciones legales y normativas, puede ser que
aplicación del juicio profesional. Por ejemplo, en
algunas de sus disposiciones entren en conflicto y
algunas EFS las entidades auditables se han
estén sujetas a diferentes interpretaciones.
clasificado en entidades de alto, mediano y bajo
Además, las disposiciones legales y normativas
riesgo. De esta manera, las EFS llevan a cabo
subordinadas pueden no ser consistentes con los
auditorías de cumplimiento de las entidades de alto
requerimientos o límites de la legislación aplicable
riesgo cada año, mientras que las de mediano y
y existir vacíos legislativos. Como resultado, para
bajo riesgo se auditan cada tres años. Las EFS
evaluar el cumplimiento con estas disposiciones
deben desarrollar una forma para determinar el
legales y normativas en el sector público es
objeto de la revisión de las auditorías de
necesario contar con un buen conocimiento de la
cumplimiento tomando en consideración sus
estructura y contenido de las mismas7.
circunstancias particulares y la flexibilidad
disponible dentro del marco de las ISSAI.
Si el auditor identifica disposiciones legales y
normativas contradictorias, es importante que
considere su jerarquía: el nivel más alto de
2.4 DISPOSICIONES LEGALES Y disposiciones legales y normativas prevalecerá
NORMATIVAS (AUTORIDADES) sobre sus subordinadas. Por ejemplo, si algo se ha
definido en la ley acerca del objeto de la revisión,
Las disposiciones legales y normativas (authorities los reglamentos internos de una entidad deberán
en inglés) son el elemento fundamental de las estar en línea con esta ley. De no ser así, los
auditorías de cumplimiento, ya que su estructura y auditores deberán señalar la contradicción y, si su
contenido constituyen los criterios para la auditoría mandato se los permite, recomendar un cambio en
y, por lo tanto, son la base para saber cómo debe los reglamentos.
proceder la auditoría bajo un acuerdo
constitucional específico. Estas disposiciones De manera similar, en los casos en los que los
legales y normativas pueden incluir reglas, leyes y auditores tengan duda acerca de la correcta
reglamentos, resoluciones presupuestarias, interpretación de una norma, deberán revisar la
políticas, códigos, términos acordados o los información de respaldo para comprender la
principios generales que rigen una sólida intención y las premisas de la ley antes de usar
administración financiera del sector público y la esta norma como parámetro. Cuando enfrenten
conducta de los funcionarios públicos6. esta situación, los auditores podrán traerla a la
atención de sus superiores de manera que se siga
el curso de acción más adecuado durante la
auditoría.
6 7
ISSAI 400.28 y 29. ISSAI 400.30.
Página 22
Dos tipos de criterios se necesitan en las normas

Criterios de cumplimiento conforme al marco de referencia
de las ISSAI: (a) aquellos que están basados en
Los criterios son los parámetros o puntos de disposiciones legales y normativas establecidas, y
referencia que se derivan de las disposiciones (b) aquellos que capturan los aspectos
legales y normativas y se usan para evaluar el relacionados con la gestión o comportamiento.
objeto de la revisión de manera consistente y
razonable. Los criterios pueden ser específicos o
generales y pueden extraerse de varias fuentes, Gestión o comportamiento
incluyendo leyes, reglamentos, preceptos,
principios y las mejores prácticas. La gestión o comportamiento (propriety en inglés)
se define como la "observancia de los principios
En una auditoría de cumplimiento, los criterios generales que rigen una administración financiera
pueden variar considerablemente de una auditoría sólida y el comportamiento de los funcionarios
a otra. Las ISSAI establecen que "los criterios públicos”9. El uso de la gestión o comportamiento
pueden incluirse en el informe directamente o el como base para la auditoría puede ser común en
informe puede hacer referencia a ellos si están algunas EFS, pero existen otras que no cuentan
contenidos en una aseveración de la dirección o con las disposiciones legales y normativas y el
están disponibles de alguna otra forma a partir de mandato para evaluar este aspecto. Algunas EFS
una fuente confiable y fácilmente accesible.”8 utilizan incluso este enfoque en las "auditorías de
Cualquiera que sea la opinión que se elija, es gestión" conducidas a solicitud del
importante identificar claramente los criterios en el Parlamento/Congreso.
informe de auditoría, de manera que los usuarios
de éste puedan entender las bases sobre las que Si una EFS cuenta con el mandato, entonces los
se sustenta el trabajo y las conclusiones de los auditores también deben considerar los aspectos
auditores. relacionados con el correcto desempeño de las
auditorías de cumplimiento. Normalmente esto
Los criterios deberán ponerse a disposición de los requiere que los auditores comprueben que la
usuarios previstos para permitirles entender la entidad auditada ha seguido los principios de una
forma en que se evaluó y midió el objeto de la administración financiera sólida y que sus
revisión. Sin el marco de referencia proporcionado funcionarios han actuado de forma transparente y
por criterios adecuados, cualquier conclusión está equitativa al tomar decisiones críticas para la
abierta a interpretación y malentendidos. entidad. Con base en esta revisión los auditores
establecen los criterios y el alcance de auditoría de
Las ISSAI destacan con frecuencia la necesidad de cumplimiento.
aplicar criterios adecuados al evaluar los aspectos
de regularidad y comportamiento de una entidad. Los criterios basados en disposiciones legales y
La razón es que la calidad de una opinión y normativas establecidas son relativamente fáciles
conclusión en las auditorías de cumplimiento de desarrollar y aplicar, ya que los auditores, para
depende en gran parte de la forma en que los comprender el trabajo de una entidad auditada,
auditores establecen y aplican los criterios de deben examinar estas disposiciones legales y
auditoría en su trabajo. Se espera que los normativas. De esta manera, saben qué
auditores realicen una correcta evaluación de disposiciones legales y normativas son
riesgos para determinar qué requisitos de significativas y las usan como parámetros. Sin
cumplimiento corren el riesgo de ser violados y, embargo, establecer criterios adecuados para la
con base en eso, diseñar y llevar a cabo correcta gestión o comportamiento, representa
procedimientos para detectar tales instancias. De todo un reto, ya que estos pueden ser menos
este modo, los auditores deben usar su juicio formales y requerir que se consideren las
profesional al determinar y aplicar los criterios. expectativas del público en relación con las
8 9
ISSAI 4100.145, ISSAI 4200.152. ISSAI 400.13.
Página 23
acciones y el comportamiento de los funcionarios 2.5 LAS TRES PARTES

del gobierno. Todo esto depende de si los aspectos
relativos a la correcta gestión o comportamiento se
Comprender las auditorías del sector público
han descrito en las disposiciones legales y
requiere conocer a las partes involucradas. En
normativas. De no ser así, el auditor deberá extraer
pocas palabras:
los criterios de principios generalmente aceptados
o de las mejores prácticas nacionales o
• El término auditor se refiere a la EFS.
internacionales. En algunos casos éstos pueden
estar sin codificar, ser implícitos o basarse en • Los usuarios previstos son los individuos u
organizaciones para los cuales el auditor
principios legales superiores.
prepara el informe de auditoría. En muchos
Es importante comprender que cuando los países el Parlamento/Congreso es considerado
auditores cuestionan la correcta gestión o el principal usuario. Sin embargo, de acuerdo
comportamiento, cuestionan el juicio profesional de con las ISSAI, también pueden ser los órganos
de supervisión, los encargados de la
los funcionarios públicos. Los aspectos
relacionados con la correcta gestión o administración pública o el público en general.11
comportamiento pueden ser subjetivos y, por lo • La parte responsable se refiere a los
tanto, las conclusiones del auditor pueden ser funcionarios públicos (y por lo tanto a la entidad
difíciles de defender. Por lo tanto, si los criterios no gubernamental que está siendo auditada) que
han sido definidos por las disposiciones legales y son responsables del objeto de la revisión.
normativas, es importante identificar los que
conlleven las cualidades descritas en las ISSAI. De Para comprender a las tres partes es importante
acuerdo con esto, los criterios deben ser considerar la relación entre ellas. Necesitamos
"relevantes, confiables, completos, objetivos, examinar lo que cada parte espera de las demás y
comprensibles, comparables, aceptables y estar cómo se cumplen estas expectativas.
disponibles.”10
Aunque existen diferentes modelos, normalmente
el Parlamento/Congreso le da al gobierno la
facultad de realizar tareas específicas
proporcionando fondos por medio de un
presupuesto y estableciendo un marco legal que
regule el gasto de dichos fondos. El Poder
Ejecutivo (los funcionarios públicos) es
responsable de la administración de los fondos
públicos. En teoría, el ejercicio de la actividad de
control está a cargo del poder legislativo. Sin
embargo, en la práctica establecer este control
depende de recibir información acerca de la forma
en que las entidades están cumpliendo su
mandato. Es por ello que el poder legislativo
necesita información acerca de las entidades y sus
actividades para poder tomar decisiones.
Comprender a los usuarios previstos es esencial,

ya que ellos serán los que reciben los informes de
auditoría. Una EFS debe estar al tanto de las
necesidades de información de los usuarios y de la
forma en que utilizarán la información que reciben.
10 11
ISSAI 400.31. ISSAI 100.25.
Página 24
El papel de la información para criterios, procedimientos para la recopilación de

evidencia y formatos para la elaboración de
entender a las tres partes informes. Las auditorías de cumplimiento pueden
ser trabajos de certificación (compromisos de
La relación entre las tres partes del sector público atestiguamiento) o de información directa
puede explicarse por medio del modelo principal- (compromisos de elaboración de informes directos)
agente. Cuando una persona (el principal) contrata o ambos al mismo tiempo12. Esta sección describe
o acuerda con otra persona (el agente) la el concepto de seguridad.
realización de tareas en su nombre, se establece
una relación. A continuación el principal le delegará Las ISSAI señalan que los usuarios previstos
la autoridad y los recursos necesarios al agente desean tener la seguridad de que la información
para que conduzca las tareas. Al mismo tiempo, el que utilizan es lo suficientemente confiable y
principal necesita asegurarse que el agente está relevante como base para tomar decisiones. Las
realizando las tareas y usando los recursos en auditorías por lo tanto les proporcionan información
conformidad con el acuerdo. Sin embargo, existe basada en evidencia suficiente y apropiada, y los
cierto desequilibrio en esta relación. Aunque el auditores deben llevar a cabo procedimientos que
principal conserva la autoridad, es muy difícil les permitan reducir o administrar el riesgo de
supervisar las decisiones y el desempeño del llegar a conclusiones inadecuadas13.
agente. El principal no puede confiar solamente en
la buena voluntad del agente, ya que es muy Cada auditoría conducida por la EFS es un trabajo
probable que el agente tenga una agenda y de aseguramiento. La seguridad que busca dar
prioridades diferentes a las del principal. Por lo puede proporcionarse a través de opiniones y
tanto, el principal necesita información que le conclusiones que transmiten explícitamente el nivel
permita supervisar, aunque toda la información de seguridad, así como en otras formas14. El
acerca de las actividades es producida por el presente manual sólo describirá las opiniones y
agente o está en sus manos. conclusiones que transmiten una seguridad
razonable o limitada de acuerdo con las ISSAI para
En el sector público existen muchos niveles de la auditorías de cumplimiento.
relación principal-agente, como los siguientes: el
principal es el público y el agente es el Examinemos ahora el concepto de seguridad más
Congreso/Parlamento; el Congreso/Parlamento es de cerca:
el principal y el agente es el gobierno; el gobierno
es el principal y el agente es la secretaría o el Los funcionarios públicos son responsables de
ministerio… hacer funcionar a las entidades públicas en
conformidad con las disposiciones legales y
Este modelo es muy útil para explicar el papel de la normativas que regulan sus actividades y lograr el
auditoría. Los auditores juegan un papel esencial nivel de rendimiento que se espera de ellas. Si, por
para equilibrar la asimetría que existe en la alguna razón, la entidad no cumple con las
información entre el principal y el agente. Los disposiciones legales y normativas, entonces esto
informes de la EFS proporcionan una evaluación significa que los funcionarios son los responsables.
independiente de las actividades de los agentes, Por ejemplo, si una entidad gubernamental
por lo que pueden ser considerados responsables proporciona información al Congreso/Parlamento
ante los principales. acerca de su incumplimiento con las disposiciones
legales y normativas o acerca de su pobre
2.6 SEGURIDAD desempeño, esto podría llevar a la sustitución de
los altos funcionarios de la entidad.
Las normas de las auditorías de cumplimiento
señalan que éstas pueden cubrir una amplia
variedad de objetos de revisión y que pueden
realizarse para proporcionar una seguridad 12
ISSAI 400.15.
13
razonable o limitada usando varios tipos de ISSAI 100.31.
14
ISSAI 100.32.
Página 25
Bajo tales circunstancias es posible que la parte auditorías financieras. De acuerdo con las normas
responsable se vea tentada a proporcionar para auditorías financieras el trabajo realizado por
información falsa o insuficiente a los usuarios. Por un auditor se refiere como auditoría únicamente si
razones similares, los usuarios necesitan que una proporciona una "seguridad razonable". Si el
tercera parte independiente evalúe la información. trabajo proporciona una "seguridad limitada",
También puede haber casos en los que la parte entonces se le refiere como "revisión" en vez de
responsable no proporcione información a los auditoría. En comparación, la auditoría de
usuarios y éstos exijan una evaluación cumplimiento tiene un alcance metodológico más
independiente de la situación. Ambos casos se amplio y cubre tanto la seguridad razonable como
refieren a la "seguridad" proporcionada por la EFS. la limitada. Además, la seguridad limitada tiene un
alcance más amplio que una revisión17.
La auditoría de cumplimento se define como "un
proceso sistemático para obtener y evaluar de
manera objetiva evidencia que permita determinar Seguridad razonable y limitada
si la información o las condiciones actuales se
ajustan a los criterios establecidos”15. El auditor Las auditorías de cumplimiento que se llevan a
deberá revisar que la información proporcionada cabo obteniendo una seguridad aumentan la
por las entidades gubernamentales o la situación credibilidad de la información proporcionada por el
actual de dichas entidades cumpla con las auditor u otra parte. En las auditorías de
disposiciones legales y normativas (leyes y cumplimiento existen dos niveles de seguridad: la
reglamentos aplicables, etc.) A partir de la auditoría seguridad razonable, que indica que, en opinión del
la EFS preparará un informe para los usuarios, en auditor, el objeto de la revisión o asunto
el cual se incluya una conclusión sobre el objeto de examinado cumple o no, en todos los aspectos
la revisión. De esta manera, el auditor estará importantes, con los criterios establecidos; y la
proporcionando una seguridad específica que seguridad limitada, que indica que nada ha llamado
reduce el riesgo de usar tal información. En las la atención del auditor para hacer que crea que el
ISSAI esto se conoce como "aumentar el grado de objeto de la revisión no está cumpliendo con los
confianza de los usuarios previstos". criterios. Tanto la seguridad razonable como la
seguridad limitada pueden darse en los trabajos de
El auditor lleva a cabo procedimientos para reducir certificación (compromisos de atestiguamiento) y
o administrar el riesgo de presentar conclusiones en los de información directa (compromisos de
incorrectas, reconociendo que, debido a las elaboración de informes directos) de las auditorías
limitaciones inherentes a todas las auditorías, de cumplimiento18.
ninguna auditoría puede proporcionar una
seguridad absoluta sobre la situación del objeto de Los términos "razonable" y "limitada" se han
la revisión. Esto se debe comunicar de forma escogido específicamente porque incluso si el
transparente. En la mayoría de los casos una auditor es meticuloso en su trabajo, siempre existe
auditoría de cumplimiento no cubre todos los la posibilidad de que no identifique casos de
elementos del objeto de la revisión, sino que se incumplimiento y por lo tanto llegue a una
basa en cierto grado de muestreos cualitativos o conclusión errónea. Así, no es posible proporcionar
cuantitativos16. una seguridad absoluta (del cien por ciento).
Los niveles de seguridad se examinarán más

La seguridad en las auditorías adelante en la planificación de la auditoría, ya que
financieras y de cumplimiento la decisión de proporcionar una seguridad
17
Aunque la ISSAI 4100.16 señala que “los trabajos de
Es importante distinguir el uso del término seguridad limitada no se consideran una auditoría, sino
"seguridad" (assurance en inglés) en las auditorías más bien un trabajo de revisión”, la ISSAI 400 sustituye
de cumplimiento del uso que se le da en las esta declaración estipulando que la auditoría de
cumplimiento proporciona una seguridad razonable o
15
ISSAI 100.18. limitada (párrafos 15 y 41).
16 18
ISSAI 400.40. ISSAI 400.41.
Página 26
razonable o limitada tendrá un fuerte impacto en el 2.7 TRABAJOS DE

diseño de la misma.
CERTIFICACIÓN
(COMPROMISOS DE
ATESTIGUAMIENTO) Y DE
INFORMACIÓN DIRECTA
(COMPROMISOS DE
ELABORACIÓN DE INFORMES
DIRECTOS)
Esta sección describe dos tipos de auditorías con
base en las normas. Aunque los términos y
definiciones usados para describir estos trabajos
son familiares para los auditores financieros, es
posible que sean nuevos para los que realizan
auditorías de cumplimiento. Es importante recordar
que a los conceptos se les ha dado un significado
más amplio en relación con el contexto de las
auditorías de cumplimiento del sector público.
Estos conceptos se describirán con detalle en las
siguientes secciones.
Las auditorías del sector público se pueden

clasificar en dos tipos diferentes: trabajos de
certificación (compromisos de atestiguamiento) y
trabajos de información directa (compromisos de
elaboración de informes directos)19:
• En los trabajos de certificación (attestation

engagements en inglés) (compromisos de
atestiguamiento) la parte responsable mide el
objeto de la revisión conforme a los criterios y
presenta la información del objeto, sobre la cual
el auditor reúne evidencia de auditoría
suficiente y apropiada para tener una base
razonable que le permita expresar una
conclusión.
• En los trabajos de información directa (direct

reporting engagements en inglés) es el auditor
quien mide o evalúa el objeto de la revisión
conforme a los criterios. El auditor selecciona el
objeto de la revisión y los criterios tomando en
consideración el riesgo y la importancia relativa.
El resultado de la medición se presenta en el
informe de auditoría en forma de hallazgos,
conclusiones, recomendaciones o una opinión.
19
ISSAI 100.24.
Página 27
La auditoría también puede proporcionar nueva Las auditorías de cumplimiento pueden ser
información, análisis o perspectivas20. trabajos de certificación (compromisos de
Asimismo, la conclusión puede expresarse atestiguamiento) o de información directa
como una respuesta más elaborada a (compromisos de elaboración de informes directos)
preguntas específicas de la auditoría21. o ambos al mismo tiempo. La diferencia radica en
quién prepara la información: la parte responsable
o el auditor.
El objeto de la revisión de una auditoría de

cumplimento es definido por el alcance de la
auditoría. Pueden ser actividades, operaciones
financieras o información. En el caso de los
trabajos de certificación (compromisos de
atestiguamiento), resulta más relevante enfocarse
en la información del objeto, la cual puede ser una
declaración de cumplimiento en conformidad con
un marco de información establecido y
estandarizado22.
La diferencia entre los dos tipos de auditoría está

relacionada con el objeto de la revisión y la
información del objeto y nos remite a la
definición de auditoría: "Las auditorías del sector
público pueden describirse como un proceso
sistemático para obtener y evaluar de manera
objetiva la evidencia que permita determinar si la
información o las condiciones actuales se ajustan a
los criterios establecidos”23. En términos generales
podemos decir que si la auditoría se basa en
evaluar información (información del objeto),
entonces se trata de un trabajo de certificación
(atestiguamiento). Si por el contrario se basa en
evaluar las condiciones actuales (objeto de la
revisión), entonces se trata de un trabajo de
información directa (elaboración de informes).
Veamos esto con un ejemplo que muestra el

mismo alcance y objeto de la revisión, aunque en
dos escenarios diferentes:
20 22
ISSAI 100.29. ISSAI 100.30.
21 23
ISSAI 400.59. ISSAI 100.18.
Página 28
Veamos ahora quién produce la información del

objeto y la forma en que esto influye en la
Escenario 1: auditoría. Existen dos escenarios posibles que
conducen a un trabajo de certificación
Parte responsable: Oficina Nacional de Administración (atestiguamiento) o a un trabajo de información
Tributaria (ONAT) de Platonia directa (informes directos).
Objeto de la revisión de la auditoría: Ingresos por
concepto del Impuesto al Valor Agregado (IVA)
Trabajos de certificación
Información del objeto: Información financiera (compromisos de
relacionada con los ingresos del IVA
atestiguamiento)
Criterios: La ley del IVA y otras leyes y reglamentos
que regulan la recaudación de impuestos Escenario 1:
Usuario: Congreso/Parlamento La Oficina Nacional de Administración Tributaria de

Platonia presentó un informe al Congreso/Parlamento
relativo al cobro de impuestos. En este escenario la
información del objeto fue producida por la parte
responsable y presentada a los usuarios por medio de
un informe (esta información también puede estar en
forma de un estado de resultados, estadísticas, etc.)
Cuando los funcionarios elaboraron la información del
Escenario 2: objeto, debieron seguir la legislación vigente y otras
leyes y reglamentos que regulaban el cobro de
Parte responsable: Oficina Nacional de Administración impuestos.
Tributaria (ONAT) de Kasboria
Objeto de la revisión de la auditoría: Ingresos por

concepto del Impuesto al Valor Agregado (IVA) Las normas hacen referencia a la elaboración de la
información del objeto como una "evaluación del
Información del objeto: Información financiera objeto de la revisión de acuerdo a los criterios". En
relacionada con los ingresos del IVA este caso, la Oficina Nacional de Administración
Tributaria ha proporcionado la información
Criterios: La ley del IVA y otras leyes y reglamentos (evaluación) del objeto al Congreso/Parlamento por
que regulan la recaudación de impuestos medio de un informe. Con esto los funcionarios de
la parte responsable afirman explícita o
Usuario: Congreso/Parlamento
implícitamente (aseveraciones) que la información
(evaluación) de los ingresos provenientes del IVA
(objeto de la revisión) da una imagen razonable y
verdadera a la luz de las leyes y reglamentos
(criterios).
El papel del auditor en este escenario es expresar

una conclusión (certificación/atestiguamiento)
acerca de si las aseveraciones hechas por la parte
responsable acerca de la evaluación son o no
correctas, y si los funcionarios siguieron las leyes y
reglamentos tal como lo afirman (explícita o
implícitamente). Esta conclusión aumenta la
confianza del Congreso/Parlamento en el informe
(información del objeto) que ha recibido.
Página 29
Esta forma de auditoría en la que el auditor da una Trabajos de información directa

opinión sobre la información del objeto de la
revisión en vez de sobre el objeto de la revisión (elaboración de informes
mismo se llama "trabajo de certificación" directos)
(compromiso de atestiguamiento).
Escenario 2:
La Oficina Nacional de Administración Tributaria (ONAT)

de Kasboria no publica informes sobre el cobro de
impuestos. Algunas estadísticas se pueden encontrar en
su sitio web, pero normalmente no son detalladas ni
están actualizadas. La ONAT es parte del sistema
general presupuestario y en virtud de su marco de
administración financiera no produce un conjunto
separado de estados financieros. Debido a la forma en
que se preparan las cuentas finales, resulta imposible
separar los ingresos fiscales percibidos por la ONAT de
los ingresos fiscales provenientes de otras fuentes.
Recientemente el Congreso de Kasboria ha estado
discutiendo una iniciativa de reforma cuyo objetivo es
mejorar la recaudación fiscal del IVA. Por esta razón la
dirección de la EFS decidió preparar un informe de
auditoría sobre los ingresos por concepto del IVA y
presentarlo al Congreso.
En este escenario la parte responsable no ha

puesto a disposición ninguna información del
objeto (y por lo tanto ninguna aseveración), a pesar
de la necesidad de contar con ella. Por lo tanto, la
EFS decidió proporcionarle dicha información a los
usuarios. La auditoría evaluará directamente los
ingresos por concepto de IVA (objeto de la
revisión) con base en los criterios y proporcionará
una conclusión. Por lo tanto, la información del
objeto será preparada por la EFS y presentada al
Congreso/Parlamento en un informe de auditoría.
Esta forma de auditoría se llama "de información

directa" (compromiso de elaboración de informes
directos). En un trabajo de información directa la
auditoría se realiza directamente sobre el objeto de
la revisión en vez de hacerlo sobre la información
del objeto de la revisión.
Página 30
Auditorías de cumplimiento que entender la forma en que estos conceptos trabajan

juntos en la práctica.
son trabajos de certificación
(atestiguamiento) y de
Tipo de trabajo
información directa (elaboración
de informes directos) al mismo Informe Trabajo de
tiempo directo certificación
Las normas establecen que las auditorías de Seguridad

Nivel de razonable
cumplimiento también pueden ser trabajos de
seguridad
certificación y de información directa al mismo
Seguridad
tiempo. Para explicarlo mejor, veamos el siguiente
limitada
ejemplo que se basa en el escenario 1.
Tabla 2.1: Niveles de seguridad y tipos de auditoría
de cumplimiento.
Escenario 3:
La EFS de Platonia decidió preparar un informe que

evaluara la información proporcionada por la Oficina Cada auditoría realizada por la EFS caerá en
Nacional de Administración Tributaria al Congreso alguna de las cuatro celdas de la tabla. Sin
relativa al cobro de impuestos (escenario 1). Sin embargo, es importante señalar que también
embargo, durante el trabajo los auditores descubrieron pueden traslaparse. Por ejemplo, una auditoría
que el informe de la ONAT no incluía información sobre puede incorporar aspectos tanto de certificación
las exenciones de impuestos. De hecho, los (atestiguamiento) como de información directa
reglamentos contables no requerían el cálculo o registro (elaboración de informes directos).
de las exenciones. En consecuencia, era imposible
identificar el costo real de las exenciones del IVA, por lo
que la EFS decidió incluir este aspecto en el informe.
En este escenario la primera parte es un trabajo de

certificación (atestiguamiento) en el que la auditoría
proporciona cierta seguridad respecto a la
exactitud de la información presentada al
Congreso, mientras que la segunda parte es un
trabajo de información directa, en el que la
auditoría se realiza concretamente sobre el objeto
de la revisión. Así, en la primera parte la auditoría
se realiza sobre la información del objeto y en la
segunda directamente sobre el objeto de la
revisión.
Niveles de seguridad y tipos de

auditoría
Para comprender el alcance de las auditorías de
cumplimiento es necesario entender la relación que
existe entre los niveles de seguridad y los tipos de
auditoría. La siguiente tabla nos ayudará a
Página 31
Ejemplo:
2.8 ASEVERACIONES/AFIRMA-
CIONES Y LA AUDITORÍA Al publicar los estados financieros, la dirección de la
entidad hace aseveraciones implícitas sobre la
La aseveración o afirmación (assertion en inglés) información financiera en el sentido de que, habiendo
preparado dichos estados financieros en conformidad
se describe en las ISSAI como una manifestación
con el marco de información financiera aplicable, como
que se encuentra explícita o implícitamente en las las Normas Internacionales de Contabilidad para el
actividades, operaciones financieras e información Sector Público (IPSAS, por sus siglas en inglés) o las
correspondiente a la entidad auditada y que es normas de contabilidad gubernamental generalmente
usada por el auditor al considerar diferentes tipos aceptadas en un país en particular, los estados
de posibles desviaciones. Dentro del contexto de la financieros han sido preparados de acuerdo con el
auditoría de cumplimiento, la aseveración de marco de referencia aplicable, que existen activos y que
cumplimiento significa que la entidad, incluyendo son propiedad de la entidad y han sido valuados
los funcionarios responsables de la misma, están apropiadamente, etc. De manera similar, la dirección
actuando en conformidad con las disposiciones puede hacer aseveraciones implícitas relacionadas con
el cumplimiento de las disposiciones legales y
legales y normativas aplicables (y, en el caso de
normativas25.
las auditorías de gestión de los funcionarios
públicos, con las expectativas de los ciudadanos).
Las aseveraciones pueden estar incluidas en la
información del objeto presentada por la entidad Por otra parte, las ISSAI señalan que en muchas
auditada o exponerse de forma explícita en una auditorías del sector público no hay aseveraciones
carta de declaración escrita por la dirección24. o declaraciones de cumplimiento específicas que la
entidad auditada ponga a disposición de los
Esto significa que, cuando una entidad del usuarios. En vez de eso, la información del objeto
gobierno proporciona información sobre sus está contenida en el informe del auditor, ya sea en
actividades, existen ciertos supuestos que se forma de datos e información, o como una
pueden hacer acerca de esta información. Por declaración explícita en forma de opinión. Se trata
ejemplo: que la información proporcionada es entonces de un trabajo de información directa26.
exacta (aseveración de exactitud), que está
completa (aseveración de integridad) y, lo más
importante, que cumple con las leyes y
reglamentos aplicables (aseveración de
cumplimiento). De hecho, en muchos casos estos
supuestos son cualidades inseparables de la
información proporcionada, las cuales son referidas
en conjunto como aseveraciones/afirmaciones.
Cuando la información del objeto es preparada por

la parte responsable y puesta a disposición de los
usuarios, la auditoría de cumplimiento evalúa esta
información comparándola con las disposiciones
legales y normativas o autoridades y poniendo a
prueba la exactitud de la aseveración de
cumplimiento. Se trata pues de un trabajo de
certificación (compromiso de atestiguamiento).
25
ISSAI 4200.25.
24 26
ISSAI 4100.26, ISSAI 4200.32. ISSAI 4200.26.
Página 32
o los vacíos en la legislación, en caso de que falten

Ejemplo: total o parcialmente leyes y reglamentos, así como
aplicar los conceptos de auditoría al abordar
En las auditorías de cumplimiento realizadas de manera
separada o junto con auditorías de desempeño, la objetos de la revisión conocidos y desconocidos.
aseveración puede ser una declaración de cumplimiento
con las leyes y reglamentos, una declaración de
cumplimiento con los términos de un contrato o una Juicio profesional
declaración relativa a la eficacia de un sistema o
proceso específico. Un ejemplo de una aseveración El juicio profesional es un proceso usado para
implícita podría ser que los indicadores clave de alcanzar una conclusión bien razonada basada en
desempeño sujetos a fiscalización se presentan con el hechos y circunstancias relevantes que estén
supuesto de que no ha habido ningún incumplimiento no disponibles al momento de la conclusión. Los
declarado respecto a los niveles de desempeño auditores deben aplicar su juicio profesional en
establecidos en dichos indicadores27.
todas las etapas de la auditoría de cumplimiento, el
cual incluye la identificación sin prejuicios de
alternativas razonables. Por lo tanto, la
Además de ser los supuestos o afirmaciones
consideración cuidadosa y objetiva de información
hechas por la dirección, las aseveraciones también
que puede parecer contradictoria para una
representan lo que los auditores están buscando
conclusión es clave para su aplicación.
en la auditoría. Por esta razón, las EFS se refieren
a las aseveraciones como "objetivos generales de
Una parte fundamental del proceso es la
la auditoría".
participación de individuos con suficiente
conocimiento y experiencia. Al realizar las
auditorías de cumplimiento es importante contar
2.9 JUICIO PROFESIONAL Y con la capacidad de entender y analizar la
ESCEPTICISMO estructura y contenido de las disposiciones legales
y normativas públicas, las necesidades de los
ciudadanos, los vacíos en la legislación, para
Los auditores deben planear y conducir la auditoría
aplicar los conceptos profesionales de auditoría al
con escepticismo y ejercer su juicio profesional a lo
abordar objetos de la revisión conocidos y
largo de toda la auditoría. La actitud del auditor
desconocidos.
debe caracterizarse por el escepticismo y juicio
profesional, los cuales deben aplicarse al momento
El juicio profesional es una habilidad que el auditor
de decidir el curso de acción más adecuado.
adquiere con el tiempo y que sólo después de
Además, los auditores deberán ejercer la diligencia
adquirirla puede ser aplicada. El auditor adquiere
debida para garantizar que su conducta profesional
esta habilidad por medio de la capacitación y
sea la apropiada28.
experiencia. Es por eso que la aplicación del juicio
profesional también significa la aplicación del
Tanto el escepticismo como el juicio profesional
conocimiento, capacidad y experiencia del auditor.
son necesarios para conducir apropiadamente una
Y sólo se espera que haya desarrollado juicio
auditoría de cumplimiento. Ambos son requisitos
profesional aquel auditor cuyo entrenamiento,
separados y tienen diferente significado y
conocimiento y experiencia lo hayan capacitado
aplicación, pero se complementan uno a otro en el
para obtener el nivel de competencia necesario
trabajo del auditor.
para lograr un juicio razonable en una situación
dada. En resumen, el juicio profesional depende de
Los requisitos específicos para mantener el juicio y
las circunstancias y no se puede esperar que cada
escepticismo en las auditorías de cumplimiento son
auditor sea competente para llevar a cabo todas
la capacidad de analizar la estructura y contenido
las asignaciones.
de las disposiciones legales y normativas públicas
como base para identificar los criterios apropiados
Personas objetivas con conocimiento y experiencia
27
ISSAI 4100.20. pueden llegar a diferentes conclusiones al aplicar
28
ISSAI 100.37. las normas profesionales, a pesar de contar con
Página 33
hechos y circunstancias similares. Esto no significa • Evidencia de auditoría que contradiga a otra
necesariamente que una conclusión sea la correcta evidencia de auditoría previamente obtenida.
y la otra esté equivocada. Se espera un • Información que cuestione la confiabilidad de
cuestionamiento apropiado que permita entender documentos y respuestas usadas como
los procedimientos realizados y la base de las evidencia.
conclusiones alcanzadas. La documentación del • Situaciones que indiquen la posibilidad de
juicio profesional aplicado es importante y fraude.
demuestra que se ha seguido un proceso
meticuloso para el desarrollo de una conclusión Mantener el escepticismo a lo largo de toda la
bien razonada. Cuando el juicio profesional se auditoría es necesario si el auditor desea, por
contrasta, la documentación muestra los análisis ejemplo, reducir el riesgo de:
de los hechos, las circunstancias y las alternativas
consideradas, así como la base para las • Pasar por alto circunstancias inusuales.
conclusiones alcanzadas. • Generalizar en exceso al sacar conclusiones de
las observaciones.
• Usar supuestos inapropiados al determinar la
Escepticismo naturaleza, oportunidad y extensión de los
procedimientos de auditoría y evaluar los
El escepticismo es una actitud que requiere una resultados de los mismos.
mente inquisitiva y una evaluación crítica de la
evidencia de auditoría. Los auditores deben hacer
preguntas que les serán útiles para conocer las
consecuencias. Deben medir el efecto colateral de 2.10 CONCLUSIÓN
cada información que obtienen por medio de esta
actitud inquisitiva. También deben hacer las Este módulo trató sobre los conceptos básicos de
preguntas que les ayudarán a realizar una las auditorías de cumplimento con especial énfasis
evaluación crítica con un sólido conjunto de en el concepto de seguridad. Como se mencionó
evidencias. Sin embargo, la evaluación crítica no arriba, las auditorías de cumplimiento que se llevan
significa dudar sobre la corrección de la a cabo obteniendo una seguridad aumentan la
información en primer lugar. El auditor sólo pondrá credibilidad de la información proporcionada por el
en duda la información cuando ésta sea auditor u otra parte. Asimismo, en las auditorías de
incompatible o contradictoria. cumplimiento existen dos niveles de seguridad:
razonable y limitada. La decisión de proporcionar
El auditor debe tomar una actitud de escepticismo una seguridad razonable o limitada tendrá un fuerte
para estar alerta ante condiciones, circunstancias e impacto en el diseño de la misma, lo que se
información que sean indicativas de la existencia examinará con mayor detalle en el siguiente
de algún incumplimiento de importancia relativa y módulo que trata sobre la planificación de la
evaluar críticamente la evidencia de auditoría. auditoría.
Al ejercer el escepticismo, los auditores deben

mantener una mente abierta y razonablemente
inquisitiva, sin ser demasiado suspicaces. Los
auditores no deben asumir que la dirección de una
entidad es honesta o deshonesta, aunque siempre
deben mantener en mente la posibilidad de fraude
y no estar satisfechos con nada menos que una
evidencia absolutamente convincente debido a la
creencia de que la dirección es honesta.
El escepticismo incluye, entre otras cosas, estar

alerta ante:
Página 34
Capítulo 3:
Planificación y diseño
Página 35
3.1 INTRODUCCIÓN • Las necesidades del usuario previsto

• El estado del ambiente de control interno de la
En el Capítulo 2 hablamos acerca de los conceptos entidad auditada
principales de las auditorías de cumplimiento. En • La disponibilidad y acceso a la información
este capítulo revisaremos las consideraciones • La competencia de los auditores
iniciales y los pasos para preparar un plan de • La disponibilidad de recursos
auditoría. Las ISSAI señalan que el auditor debe
planificar la auditoría de manera que garantice la Aunque algunos de estos factores pueden tener
ejecución de una auditoría de alta calidad de forma mayor relevancia, pero todos los factores deben
económica, eficiente y eficaz, así como de manera considerarse para alcanzar una decisión. La lista
oportuna. Además, los auditores que planifican la anterior no es exhaustiva, por lo que las EFS
auditoría necesitan tener un conocimiento deben considerar otros factores al tomar la
adecuado de los requisitos de cumplimiento decisión sobre el nivel de seguridad que darán en
aplicables al objeto de la revisión que se va auditar. la auditoría.
De acuerdo con esto, lo primero es examinar las
consideraciones iniciales para la planificación de Ya que el alcance y el objeto de las auditorías de
una auditoría de cumplimiento a nivel de EFS. A cumplimiento es muy flexible, cambiar el alcance
esto sigue una revisión detallada del proceso de podría influir teóricamente en el nivel de seguridad
planificación, incluyendo la evaluación de riesgos y proporcionado. Por ejemplo si el alcance de una
la materialidad. auditoría se ha delimitado para incluir únicamente
el número actual de operaciones que se
examinarán, el auditor será capaz de proporcionar
una seguridad de casi el 100%. Si el alcance de la
3.2 CONSIDERACIONES auditoría se amplía ligeramente, esto le permitirá al
INICIALES PARA LA auditor dar fácilmente una seguridad razonable. Sin
PLANIFICACIÓN embargo, estas decisiones deben tomarse sobre
una base racional. Este ejemplo sirve únicamente
para destacar que la identificación del alcance y
Antes de revisar los pasos específicos del proceso
objeto de la auditoría tienen un papel esencial para
de auditoría, es importante que veamos algunas
identificar el nivel de seguridad que se dará.
consideraciones iniciales relativas a la planificación
a nivel de EFS o nivel institucional. Así, mientras
Las necesidades de los usuarios
identifican el alcance y el objeto de la auditoría, las
EFS necesitan considerar el nivel de seguridad que
Las necesidades de los usuarios son el factor más
va a dar la auditoría y tomar la decisión de conducir
importante al determinar el nivel de seguridad que
una auditoría de seguridad razonable o limitada.
Los factores que pueden guiar la decisión acerca la auditoría proporcionará. Una EFS debe evaluar
estas necesidades para determinar el tipo de
del nivel de seguridad más adecuado de acuerdo a
conclusión más apropiado, lo cual requiere
las circunstancias de la auditoría se explican a
entender las decisiones tomadas por los usuarios y
continuación.
el tipo de información que utilizan para sus
propósitos.
3.2.1 Determinando el nivel de
seguridad Se puede decir que, si el proceso de toma de
decisiones de los usuarios requiere de información
El nivel de seguridad que se dará en una auditoría sofisticada sobre el objeto de la auditoría y su
necesita considerarse al momento de identificar el funcionamiento, entonces una auditoría de
alcance y objeto de la misma. Conducir una seguridad razonable sería lo más apropiado. Este
auditoría de seguridad razonable o limitada es una nivel de seguridad proporciona una mejor
decisión estratégica que la EFS debe tomar a nivel comprensión de los sistemas de la entidad y su
de entidad después de considerar lo siguiente: confiabilidad. Sin embargo, si los usuarios están
interesados en los resultados y no requieren una
Página 36
mirada más profunda de los sistemas y controles, específica de las auditorías del sector público, en
entonces una auditoría de seguridad limitada sería tales casos es posible que las EFS no estén en
más adecuada. posición de rechazarlas. Sin embargo, este factor
influirá en el nivel de seguridad proporcionado.
Las EFS pueden seguir diferentes enfoques en la
planificación de una auditoría. Algunas pueden Esto es especialmente importante en lo relativo a
hacer un plan estratégico a largo plazo, mientras los servicios externos que se contraten por la
que otras pueden hacer planes anuales de entidad auditada. Actualmente cada vez más
auditoría. Asimismo, algunas EFS pueden usar un entidades públicas contratan por fuera sus
sistema híbrido que involucre al mismo tiempo servicios, lo cual es muy común para los
planes anuales y a largo plazo. Estas variaciones relacionados con los sistemas de información. En
en la planificación no evitan que las EFS puedan tales casos, el auditor necesita tener acceso total a
seguir un enfoque consistente en la conducción de la entidad que presta los servicios con el fin de
auditorías individuales. Al planificar una auditoría realizar la auditoría. En algunos casos esto
de cumplimiento a nivel macro, las EFS pueden requerirá que la EFS audite al proveedor de
considerar los siguientes factores: servicios. Sin embargo, muchas EFS no tienen la
autoridad para hacer tales auditorías, lo que limita
• Un financiamiento vinculado al cumplimiento de considerablemente su eficacia.
los términos de contratos o acuerdos;
• Casos de incumplimiento por parte de la Las auditorías de seguridad razonable requieren
entidad; que el auditor tenga acceso a los sistemas y
• Hallazgos, resultados y recomendaciones procesos utilizados (p. ej. los controles internos de
hechos por otras partes diferentes a las EFS; la entidad) y por lo tanto necesitan más información
• La evaluación de riesgos realizada en conexión que las auditorías de seguridad limitada. Por
con auditorías financieras o de desempeño consiguiente, es probable que las limitaciones en la
indicando áreas en las que el riesgo de información lleven a una auditoría de seguridad
incumplimiento es más alto; limitada.
• La expectativa o el interés público (por ejemplo,
sospechas de fraude, malversación de fondos, La competencia de los equipos de auditoría
información dada a conocer a través de los
medios de comunicación, etc.) Las normas establecen que "las personas que
conforman el equipo de auditoría deben poseer en
Otro factor a considerar en la planificación de la conjunto el conocimiento, las habilidades y la
auditoría de cumplimiento puede ser la urgencia de experiencia necesarios para completar la auditoría
la información sobre un objeto de la revisión en con éxito1. Por lo tanto, la EFS necesita considerar
particular por parte de los usuarios previstos. Si las capacidades con las que cuenta al momento de
existe una exigencia o necesidad de los usuarios tomar la decisión sobre el alcance de la auditoría y
por obtener resultados inmediatos, conducir una el nivel de seguridad que va a dar. Si no se
auditoría de seguridad limitada sería más dispone de las capacidades necesarias dentro del
conveniente. equipo de auditoría, entonces la EFS debe
considerar otras opciones, como cambiar la
La disponibilidad de la información composición del equipo o contratar a un experto.
Aunque el acceso a la información es un aspecto Aunque las habilidades básicas para la auditoría
fundamental de una auditoría y las EFS son las mismas, es probable que las auditorías de
normalmente tienen la capacidad de lograr el seguridad razonable y limitada requieran auditores
acceso necesario, una EFS aún puede enfrentar con diferentes capacidades.
situaciones en las que la información disponible
para la auditoría sea limitada o incluso que no En una auditoría de seguridad razonable es
exista. O que el auditor no tenga suficiente acceso probable que el auditor use un enfoque sistemático
a la información existente. Debido a la naturaleza
1
ISSAI 400.45.
Página 37
para llegar a una conclusión general acerca del

objeto de la revisión. Por ejemplo, esto puede 3.2.2 El riesgo de auditoría y su
hacerse identificando una muestra de las
operaciones que son representativas de la impacto en la seguridad de la
población y extrapolando los resultados del auditoría
muestreo a la población entera. Para llegar a una
conclusión general en una auditoría de seguridad Los auditores deben evitar el riesgo de presentar
razonable también es probable que el auditor un informe que sea inapropiado de acuerdo a las
evalúe los sistemas y procesos del objeto de la circunstancias de la auditoría. El riesgo de
revisión, como por ejemplo llevar a cabo una auditoría es el riesgo que existe de que el informe
evaluación de los controles internos. Para seguir de auditoría - o más específicamente la opinión o
este enfoque, el equipo de auditoría necesitará la conclusión del auditor - sea inapropiado de
competencia necesaria de acuerdo a las acuerdo a esas circunstancias. Considerar el
circunstancias para conducir la auditoría. riesgo de auditoría es importante tanto para los
trabajos de certificación (compromisos de
En las auditorías de seguridad limitada el objetivo atestiguamiento) como para los de información
de la auditoría es obtener un nivel de seguridad directa (compromiso de elaboración de un informe
significativo para los usuarios previstos con base directo). El auditor debe considerar tres
en la naturaleza, oportunidad y alcance de los dimensiones diferentes del riesgo de auditoría –
procedimientos de auditoría. riesgo inherente, riesgo de control y riesgo de
detección – en relación con el objeto de la revisión
Ejemplo: y el formato del informe, es decir, si el objeto de la
revisión es cuantitativo o cualitativo y si el informe
La EFS de Kasboria decidió llevar a cabo una auditoría de auditoría incluirá una opinión o una conclusión2.
de seguridad limitada de la Oficina Nacional de
Administración Tributaria. Debido a que las auditorías Los auditores necesitan considerar el riesgo de
anteriores habían señalado varios puntos débiles en el auditoría a lo largo de todo el proceso y la auditoría
control interno, la auditoría se iba a enfocar en los debe realizarse de tal manera que se administre o
detalles de las operaciones y no en los sistemas y reduzca dicho riesgo a un nivel aceptablemente
controles. Por lo tanto, el equipo de auditoría decidió no bajo. La importancia relativa de las distintas
usar el muestreo estadístico, ya que no contaban con la
dimensiones del riesgo de auditoría depende de la
experiencia para extrapolar los resultados con el fin de
obtener una conclusión general. Debido a esto, uno de naturaleza del objeto de la revisión y de si la
los miembros del equipo que se especializaba en auditoría proporcionará una seguridad razonable o
muestreo estadístico fue reasignado a otro equipo de limitada.
auditoría.
La opción de proporcionar una seguridad razonable
o limitada le da a la EFS flexibilidad suficiente para
responder al riesgo de auditoría. Cuando una EFS
La disponibilidad de otros recursos presenta un informe acerca de un objeto de la
revisión, siempre existe el riesgo de que la
Normalmente las auditorías de seguridad conclusión u opinión del informe sea inapropiada.
razonable requieren más tiempo y recursos en Por ejemplo, la conclusión del auditor puede ser
comparación con una auditoría de seguridad que el objeto de la revisión cumple con los criterios,
limitada realizada para el mismo objeto de la pero existe la posibilidad de que haya
revisión y con el mismo alcance. Por lo tanto, es incumplimientos significativos que no se hayan
probable que una EFS con recursos limitados se detectado. Éste es el riesgo de auditoría. Todos los
sienta más inclinada a realizar auditorías de procedimientos de la auditoría están diseñados
seguridad limitada. Sin embargo, esto se debe para reducir el riesgo a un nivel aceptablemente
analizar con cuidado dando precedencia a las bajo y para lograrlo el auditor lleva a cabo
necesidades de los usuarios y considerando otros procedimientos que le permiten reducir o
factores como la importancia relativa y el riesgo.
2
ISSAI 400.46.
Página 38
administrar el riesgo de obtener conclusiones forma en que los conceptos de riesgo y evidencia
inadecuadas, reconociendo que una auditoría de auditoría son tratados variará de manera
nunca puede proporcionar una certeza absoluta significativa. Al realizar una auditoría de seguridad
sobre la condición del objeto de la revisión3. limitada, el enfoque usado puede no ser tan
sistemático como el de una auditoría de seguridad
La principal diferencia entre proporcionar una razonable. La auditoría se diseñará para identificar
seguridad razonable o limitada es la forma en que los incumplimientos significativos con los recursos
se trata el riesgo de auditoría y los conceptos y métodos disponibles tanto como sea posible. Al
relacionados. Cuando el objetivo es proporcionar final de la auditoría es posible que aún existan
una seguridad razonable, el auditor debe reducir el incumplimientos en las partidas que no han sido
riesgo a un nivel aceptablemente bajo dadas las examinadas por el auditor, pero con este tipo de
circunstancias de la auditoría4. En una auditoría de seguridad limitada el auditor estará reduciendo el
seguridad razonable, la conclusión del auditor riesgo de proporcionar una conclusión equivocada.
proporcionará una seguridad general sobre el
objeto de la revisión. Debido a que no es práctico Siendo diferente de una auditoría de seguridad
auditar todo el objeto de la revisión y las razonable, al final el auditor no dirá nada acerca de
operaciones relevantes, el auditor examinará una las partidas que no ha examinado y la conclusión
parte de las transacciones por medio de un no las cubrirá. El objetivo de la auditoría no es
muestreo. Esto significa que el auditor también identificar todas las instancias significativas de
proporcionará la seguridad para partidas que no incumplimiento. Debido a la naturaleza de la
han sido examinadas, en cuyo caso, si no se usa auditoría de seguridad limitada el riesgo de
un enfoque sistemático, existe un alto riesgo de auditoría también se considera de manera
que la conclusión del auditor esté equivocada. Para diferente, ya que el auditor acepta un nivel más alto
reducir el riesgo, es probable que el auditor analice de incertidumbre en las conclusiones sobre el
sistemáticamente el objeto de la revisión (como por objeto de la revisión.
ejemplo los controles internos de una entidad) e
identifique una muestra (de las operaciones, etc.) Ahora que hemos enfatizado nuevamente la
que sea representativa del total de la población. necesidad de entender el vínculo entre objeto de la
Para que el muestreo sea correcto el auditor debe revisión, criterio y alcance, y que hemos analizado
considerar el riesgo de no identificar el riesgo de auditoría y los aspectos relacionados
incumplimientos significativos y para hacer esto de seguridad, en la siguiente sección aplicaremos
identificar primero los problemas y aspectos que estos conceptos al proceso de planificación de la
son importantes para una auditoría en particular. auditoría de cumplimiento.
Esto se hace determinando la importancia relativa.
La auditoría también puede tener como objetivo

proporcionar una seguridad limitada, en cuyo caso
3.3 EL PROCESO DE
el riesgo aceptable de que los criterios no se PLANIFICACIÓN
cumplan es mayor que en una auditoría de
seguridad razonable. Una auditoría de seguridad En general la planificación de la auditoría de
limitada proporciona un nivel de seguridad que, de cumplimiento tiene dos aspectos. En primer lugar,
acuerdo con el juicio profesional del auditor, será los auditores desarrollan una estrategia general
significativo para los usuarios previstos5. para el alcance, énfasis, oportunidad y ejecución
de la auditoría. En segundo lugar, los auditores
Los procedimientos usados en una auditoría de preparan un plan de auditoría basado en la
seguridad limitada pueden variar ampliamente e estrategia que muestra un enfoque detallado y los
incorporar los mismos elementos usados en una pasos específicos de acuerdo a la naturaleza,
auditoría de seguridad razonable. Sin embargo, la oportunidad y extensión de los procedimientos que
se seguirán, así como las razones para
3 seleccionarlos.
ISSAI 100.40.
4
ISSAI 100.40.
5
ISSAI 100.40.
Página 39
Una planificación adecuada ayuda a prestar la los procedimientos con el trabajo que éstos
debida atención a las áreas importantes de la implican, aunque el plan y la estrategia general de
auditoría, identificar problemas potenciales de la auditoría siguen siendo responsabilidad del
manera oportuna, y organizar y dirigir la auditoría auditor. Sin embargo, al discutir elementos
para responder a las necesidades de los usuarios incluidos en el plan y la estrategia general de
de manera eficiente y eficaz. Una planificación auditoría es importante no comprometer la eficacia
adecuada también le ayuda al auditor a asignar las de la misma. Por ejemplo, discutir con detalle la
tareas a los miembros del equipo y facilita la naturaleza y oportunidad de los procedimientos con
dirección, supervisión y revisión de su trabajo. la entidad auditada puede comprometer la eficacia
Asimismo, ayuda a la coordinación del trabajo de la auditoría al hacer que el proceder del
hecho por otros auditores y expertos en caso personal de la parte responsable sea demasiado
necesario. Por otra parte, la naturaleza y extensión predecible.
de las actividades de planificación variará de
acuerdo con las circunstancias de la auditoría, En auditorías más pequeñas o menos complejas,
como por ejemplo la complejidad del objeto de la el trabajo puede ser realizado por un pequeño
revisión y los criterios. Ejemplos de algunos de los equipo de auditoría. Con un equipo más pequeño,
principales aspectos que deben tomarse en la coordinación y comunicación entre los miembros
consideración durante la planificación incluyen: se facilita. En tales casos establecer la estrategia
general de auditoría no necesita ser un ejercicio
• Las características de la auditoría que definen complejo o que consuma tiempo. Esto varía de
su alcance, incluyendo las características del acuerdo con el tamaño de la entidad, la
objeto de la revisión y los criterios. complejidad de la auditoría (incluyendo el objeto de
• Los tiempos esperados y la naturaleza de la la revisión y los criterios) y el tamaño del equipo de
comunicación requerida. auditoría.
• Si el conocimiento adquirido en otras auditorías
realizadas por el auditor para la parte Los auditores también deberán establecer los
responsable es relevante. elementos legales de su trabajo con pleno
• El proceso de auditoría. conocimiento del mandato de la EFS, las
• El conocimiento que el auditor tiene de la parte responsabilidades de los auditores del sector
responsable y su ambiente, incluyendo el público, y el estatus y responsabilidades
riesgo de que el objeto de la revisión pueda no constitucionales de la entidad auditada, así como
cumplir con los criterios. las expectativas de los usuarios previstos. Este
• El ambiente de control y el control interno de la conocimiento provee a los auditores del sector
entidad. público de un marco de referencia con el cual
• La identificación de los usuarios previstos y sus aplicar su juicio profesional a lo largo de todo el
necesidades de información, así como las proceso de auditoría.
consideraciones sobre la importancia relativa y
los componentes del riesgo de auditoría.
• El grado con el que el riesgo de fraude es 3.3.1 Determinando el objeto de
relevante para la auditoría. la auditoría, los criterios y el
• La naturaleza, oportunidad y los recursos
necesarios para realizar la auditoría, como por alcance en la planificación de
ejemplo el personal y los conocimientos una auditoría de cumplimiento
necesarios, incluyendo la naturaleza y el grado
de participación de expertos en la matera. Determinar el objeto de la revisión y los criterios es
• El impacto del área de auditoría interna. uno de los primeros pasos que se deben llevar a
cabo para la planificación y ejecución de una
El auditor puede discutir algunos elementos de la auditoría de cumplimiento.
planificación con la parte responsable o entidad
auditada para facilitar la ejecución y dirección de la No obstante, en algunas situaciones el alcance y la
auditoría, por ejemplo para coordinar algunos de naturaleza de la auditoría de cumplimiento no
Página 40
provienen directamente del mandato y la que cumpla con las expectativas de los usuarios
legislación aplicable de la EFS, sino que se basan previstos. Por lo tanto, las EFS siempre tratarán de
en el juicio profesional del auditor. En tales encontrar:
circunstancias resulta importante informar a la
entidad auditada por escrito acerca del alcance y a. Los aspectos significativos de un objeto de la
naturaleza de la auditoría6. revisión; y
b. Si se dispone de criterios adecuados para medir
Como se mencionó en los párrafos anteriores, los
el objeto de la revisión.
conceptos de “objeto de la revisión”, “criterios” y
“alcance” están estrechamente relacionados. Los A continuación se mencionan algunos ejemplos
auditores necesitan tener presente todo el tiempo como referencia:
que estos conceptos influyen unos en otros tal
como se muestra en la Figura 3.1.
• Rendimiento financiero:
• Uso de fondos públicos (ejecución
presupuestaria)
ALCANCE • Recaudación de ingresos, p. ej. impuestos
municipales o aplicación de multas y
penalizaciones
• Uso de créditos y subvenciones
• Compras públicas
• Gastos y egresos
OBJETO DE • Prestación de servicios – médicos, educativos,
LA CRITERIOS etc.
REVISIÓN • Demandas públicas
• Protección del patrimonio
• Gestión/Correcto desempeño de los
funcionarios/toma de decisiones de la entidad
Figura 3.1: Relación entre el objeto de la revisión, auditada
el alcance y los criterios de la auditoría
• Salud y seguridad pública
• Protección del medio ambiente
Al revisar esta relación los auditores necesitan • Marco de control interno
ejercer su juicio profesional. El objetivo de la • Seguridad social y pago de pensiones
revisión es identificar adecuadamente el alcance • Características físicas, uso de suelo, acceso a
de una auditoría de cumplimiento con fines de edificios gubernamentales, etc.
planificación. Puede resultar útil recordar el
ejemplo del Capítulo 1 en el que los auditores
redujeron el alcance de la auditoría del sistema de 3.3.2 Conociendo a la entidad
salud al proyecto de suministro de agua potable.
Es importante señalar aquí que el alcance de una Conocer y comprender a la entidad auditada es
auditoría de cumplimiento puede cambiar durante esencial para la auditoría de cumplimiento, ya que
su ejecución si los auditores identifican información esto puede ser usado para determinar el objeto de
que haga necesario reconsiderar el alcance. la revisión y los criterios, la importancia relativa de
la auditoría y la evaluación de los riesgos de
Invariablemente las EFS tienen la obligación y el incumplimiento a todos los niveles. Por lo tanto, el
interés de producir informes de auditoría de alta auditor debe examinar los siguientes factores a la
calidad, para lo cual necesitan concentrarse en el luz de las disposiciones legales y normativas
objeto de la revisión y los criterios de manera correspondientes. En ocasiones la auditoría de
puntual, de modo que puedan elaborar un informe cumplimiento puede cubrir más de una entidad, en
cuyo caso los auditores deben tener conocimiento
6 de todas las entidades cuyas actividades se
ISSAI 4100.12
Página 41
auditarán. Por ejemplo, algunas EFS realizan • Las minutas de las juntas y reuniones (del
auditorías de cumplimiento sobre la adecuada consejo de administración, la dirección, etc.);
utilización de un fondo que es empleado por más • Los informes de auditoría interna;
de una entidad. Para ello, el auditor necesita • Los resultados de auditorías anteriores;
considerar los siguientes aspectos de la entidad • Las estadísticas nacionales;
auditada: • Visitar el sitio web de la entidad;
• Revisar los registros de correo electrónico (en
Estrategias, operaciones y administración de la caso de ser posible).
entidad. Conocer y evaluar si:
• las metas y objetivos fundamentales y las Un conocimiento completo y detallado de la entidad
medidas tomadas para ponerlos en práctica de auditada de acuerdo con las leyes, políticas y
acuerdo con el plan estratégico de la entidad normas ayuda a los auditores a reconocer cuándo
auditada están en línea con su mandato y las ha ocurrido una desviación, así como a evaluar la
normas correspondientes; evidencia obtenida a través de la auditoría.
• las metas especificadas en los planes de
acción estratégicos están vinculadas con los
resultados; 3.3.3 Comprendiendo el
• las actividades y operaciones están dirigidas ambiente de control y el sistema
hacia la obtención de las metas y objetivos de de control interno
la entidad auditada, lo cual debe responder a
su vez a todos los requisitos de cumplimiento El conocimiento que los auditores tienen de la
de la entidad; entidad auditada y del objeto de la revisión no
• los actos jurídicos aplicados a todas las estará completo a menos que se estudien
operaciones de la entidad y otras disposiciones cuidadosamente sus controles internos. El
legales y normativas, como políticas ambiente de control establece el tono de la
administrativas, procedimientos internos e organización e influye en la conciencia de su gente.
instrucciones, no contradicen la normativa. La entidad auditada establece controles internos
con el objetivo de satisfacer los requisitos de
Los auditores pueden usar las siguientes fuentes cumplimiento en sus operaciones, por lo que los
de información para desarrollar un conocimiento auditores necesitan entender:
adecuado de la naturaleza de la entidad auditada,
incluyendo: a. cuáles son estos controles,
b. si los controles son adecuados y pueden
• Leyes y reglamentos; detectar, prevenir y corregir casos de
• La legislación presupuestaria y/o el incumplimiento, y lo más importante
presupuesto aprobado; c. si los controles están funcionando como deben.
• El código de ética o código de conducta;
• Las políticas internas, planes estratégicos, Dentro del contexto de las auditorías de
planes operativos y manuales de cumplimiento, un sistema de control interno se
procedimientos; compone de políticas, estructura, procedimientos,
• Los contratos; procesos, tareas y otros factores tangibles e
• Los acuerdos y contratos de subvención; intangibles que ayudan a la entidad auditada a
• Los informes de los medios de comunicación; responder de forma apropiada a los riesgos de
• El informe anual, las auditorías de certificación incumplimiento de los requisitos. Un sistema eficaz
(compromisos de atestiguamiento) y de debe salvaguardar los activos de la entidad
información directa (compromisos de auditada, facilitar la preparación de informes
elaboración de un iforme directo), y la internos y externos, y ayudar a la entidad auditada
supervisión interna o externa que se relacione a cumplir con las leyes.
directamente con los objetivos de la auditoría
de cumplimiento;
Página 42
El auditor necesita tener una visión clara del reportar a la dirección los casos de
funcionamiento interno del objeto de la revisión a incumplimiento;
través de la evaluación del ambiente de control y • Que la dirección promueva sistemas
los controles internos de la entidad auditada. adecuados de información y presentación de
informes;
Evaluando el ambiente de control • Que los sistemas y programas de cómputo
incluyan controles para el ingreso de datos, p.
En general los auditores examinan si la dirección ej. controles de edición, informes de excepción,
ha creado y mantenido una cultura de honestidad y control de acceso, revisión de datos de entrada
comportamiento ético y si los elementos del y salida; y
ambiente de control proporcionan en conjunto una • Que la información pueda ser analizada, lo cual
base sólida para los otros componentes de control dependerá del objeto de la revisión. Por
interno, además de averiguar si estos ejemplo, si el objeto de la revisión está
componentes no están debilitados por deficiencias relacionado con activos, que éstos estén
en el ambiente de control. Para ello los auditores asegurados y contabilizados periódicamente y
pueden llevar a cabo evaluaciones reuniendo y que se hayan comparado con los montos
analizando la siguiente información de la entidad7: registrados.
• Que las políticas y procedimientos, incluyendo
el código de ética, estén claramente escritos y
Ejemplo: Los controles internos de la Oficina
publicados; Nacional de Administración Tributaria (ONAT) de
• Que el desarrollo de las tareas, su revisión y Platonia
mantenimiento de registros estén debidamente
separadas; La ONAT ha desarrollado y puesto en práctica un
• Que se cuente con un marco organizativo Manual de Políticas y Procedimientos (MPP) que indica,
(consejo/comité) para revisar las auditorías/ entre otras cosas, lo que se debe hacer, cómo se debe
comunicación de los auditores y que las actas hacer, quién debe hacerlo y cómo se medirá el
del consejo/comité se documenten y se les dé desempeño de los empleados. El MPP incluye todas las
leyes, reglas y reglamentos aplicables para el cobro del
seguimiento apropiadamente;
IVA y otros impuestos cuya recaudación está a cargo de
• Que la dirección haya respondido la ONAT. Para garantizar que las políticas y
positivamente a los resultados y procedimientos se apliquen apropiadamente, la ONAT
recomendaciones de auditorías anteriores; ha establecido una Unidad de Administración de
• Que las responsabilidades de los gerentes, Riesgos (UAR) que informa directamente al titular de la
directores y funcionarios clave estén ONAT. La UAR lleva a cabo revisiones periódicas para
claramente definidas; evaluar, entre otras cosas, que:
• Que los gerentes, directores y funcionarios
a. el registro de los negocios para el pago del IVA esté
clave cuenten con el conocimiento y
completo,
experiencia necesarias para cumplir sus b. los ingresos por concepto de IVA se registren
responsabilidades; debidamente, y
• Que el personal esté capacitado c. las devoluciones del IVA a los contribuyentes se
adecuadamente acerca de los requisitos de hagan apropiadamente.
cumplimiento y tenga la responsabilidad de
Con base en esta evaluación periódica, la UAR hace
7
El siguiente texto relativo a la evaluación del control y cambios en las políticas y procedimientos, e implementa
la administración de riesgos se basa en los lineamientos nuevas iniciativas para reducir al mínimo el riesgo de
proporcionados por la Oficina General de Rendición de que la ONAT no satisfaga los requisitos de cumplimiento
Cuentas (GAO) del Gobierno de los Estados Unidos aplicables.
para la Evaluación del Control Interno por parte de los
auditores, el cual ha sido adaptado para ajustarse a los
requisitos de las ISSAI. Para mayor información sobre la El tipo de controles que se evalúen dependerá del
forma de llevar a cabo la evaluación de los controles objeto de la revisión y de la naturaleza y alcance
internos visite el sitio web de la GAO: de la auditoría de cumplimiento. Al evaluar los
http://www.gao.gov/special.pubs/ai00021p.pdf
Página 43
controles internos los auditores del sector público • el gasto excesivo o el mal uso de los recursos
deben considerar el riesgo de que la estructura de públicos, así como de los controles internos y el
control no evite o detecte incumplimientos de ambiente de control.
importancia relativa. El sistema de control interno
de una entidad también puede incluir controles El auditor debe identificar qué riesgos vienen de las
diseñados para corregir las instancias de leyes, reglamentos, operaciones riesgosas,
incumplimiento identificadas. En estos casos los actividades, etc. A continuación debe evaluar si la
auditores necesitan tener un buen conocimiento de entidad cuenta o no con un sistema de control y
los controles internos relevantes para los objetivos procedimientos para administrar estos riesgos. Si
de la auditoría y analizar lo que se espera de ellos. el auditor encuentra que ningún riesgo significativo
El resultado de la evaluación de los controles proviene de las leyes y reglamentos, entonces toca
internos ayudará a los auditores a determinar el el turno a los mecanismos de control.
nivel de confianza y, por lo tanto, la extensión de
los procedimientos de auditoría. Considerando lo anterior, la evaluación de riesgos
del auditor empieza por identificar los riesgos de
incumplimiento con las leyes y reglamentos, y a
3.3.4 Evaluación de riesgos del continuación revisa los controles internos y la
forma en que estos riesgos son manejados por la
objeto de la revisión/entidad entidad. Esto incluye evaluar la capacidad de la
auditada entidad auditada para identificar, medir, supervisar
y controlar los riesgos clave que enfrenta al cumplir
Uno de los criterios clave que se usan para medir con su mandato y tratar de lograr sus metas y
la importancia de una posible área de auditoría es objetivos estratégicos y operativos.
la tolerancia al riesgo contenida en las estrategias
de riesgo de la entidad auditada. La evaluación de Después de revisar los controles internos, los
riesgos comienza por analizar la forma en que la auditores necesitan enfocarse en determinar:
entidad auditada está administrando el riesgo. Por
lo tanto, a la luz de los criterios de auditoría, el a. la posibilidad de que no se cumpla con la
alcance de la auditoría y las características de la normativa, y
entidad auditada, los auditores deben considerar
tanto los controles como las prácticas de b. el impacto de dicho incumplimiento en la entidad
administración de riesgos de la entidad auditada al auditada en lo que respecta a sus objetivos
hacer la evaluación durante la fase de planificación organizativos.
de la auditoría de cumplimiento.
En la mayoría de los casos los auditores tratan con
Al evaluar los riesgos del objeto de la revisión o la un universo de reglas y reglamentos bajo los
entidad, el auditor necesita tener en cuenta las cuales opera el objeto de la auditoría y, por lo
limitaciones inherentes al cumplimiento, tanto, es esencial que se enfoquen en identificar el
incluyendo: incumplimiento con las leyes, reglas, reglamentos y
procedimientos aplicables que sean de importancia
• que la dirección puede aplicar su propio criterio relativa dentro del contexto de la auditoría de
al interpretar las leyes y reglamentos; cumplimiento.
• que los errores humanos ocurren;
• que los sistemas pueden no estar diseñados Los auditores deberán estar alerta ante la
apropiadamente o funcionar de manera poco posibilidad de que el incumplimiento ocurra debido
efectiva; a fraude o error, y ambos aspectos deberán estar
• que los controles pueden evitarse y que la presentes en la evaluación de riesgos durante
evidencia puede ocultarse o retenerse; todas las etapas del ciclo de auditoría. Esto le
• la preocupación de las partes interesadas permitirá al auditor determinar la naturaleza,
• los cambios significativos, oportunidad y extensión de los procedimientos de
• la posibilidad de fraude, auditoría asociados con el universo potencial. Más
aún, le ayudará a identificar las áreas prioritarias
Página 44
de acuerdo con las necesidades de la entidad a la administración de riesgos, la cual examina

auditada y de los usuarios previstos del informe de continuamente el cumplimiento y otros riesgos
auditoría. que enfrenta la entidad, revisa los controles y
recomienda cambios en los mismos para
Realización de los procedimientos de garantizar que la entidad cumpla con los
evaluación de riesgos requisitos de cumplimento aplicables.
• A los directores, gerentes y funcionarios clave
Lograr un buen conocimiento de la entidad, de los de la entidad auditada se les ha dado la
requisitos de cumplimiento aplicables y del control responsabilidad de comunicar los cambios. Una
interno permite establecer un marco de referencia entidad que opera en un ambiente dinámico
dentro del cual el auditor planificar la auditoría de necesita responder rápidamente a los cambios.
cumplimiento. Es dentro de este marco que el Si la entidad ha designado a funcionarios o
auditor ejerce su juicio profesional para evaluar los gerentes para comunicar los cambios en los
riesgos de incumplimiento de importancia relativa y procedimientos y controles, esto reduce el
responder a estos riesgos a lo largo de toda la riesgo de incumplimiento.
• Los directores, gerentes y funcionarios clave
La naturaleza y extensión de los procedimientos de comprenden claramente las partes complejas
evaluación de riesgos pueden variar de una de sus operaciones. Cuando los directores,
entidad a otra y están determinados por factores gerentes y funcionarios clave carecen de dicho
como: conocimiento, no es probable que puedan
implementar o supervisar adecuadamente el
• Qué tan recientes y complejos son los cumplimiento de los requisitos, por lo que el
requisitos (normativa) de cumplimiento riesgo de incumplimiento en estos casos es
aplicables, mayor.
• El conocimiento que tenga el auditor del control • La dirección de la entidad considera con
interno de la entidad en relación con los seriedad los resultados y recomendaciones de
requisitos de cumplimiento aplicables obtenido las auditorías y toma las medidas correctivas
en auditorías anteriores o en otras auditorías apropiadas. Por ejemplo, que un organismo
profesionales, institucional como un comité o consejo se reúna
• La naturaleza de los requisitos de cumplimiento periódicamente para revisar las cuestiones de
aplicables, cumplimiento que surjan de las auditorías.
• Los servicios prestados por la entidad y la
forma en que se ven afectados por factores Los procedimientos de auditoría relacionados con
externos, la forma en que la dirección ha respondido a los
resultados y recomendaciones de la auditoría que
• El nivel de supervisión del gobierno. pudieran tener un efecto importante en el
cumplimiento de la normativa por parte de la
La evaluación de riesgos relativos a los controles entidad ayudan al auditor a comprender si la
requiere que los auditores examinen si: dirección ha respondido de manera positiva a
• Los gerentes, directores y funcionarios clave de dichos resultados. Ejemplos de monitoreo o
la entidad entienden claramente los objetivos seguimiento externo incluyen las revisiones
de cumplimiento. Asimismo, si son capaces de regulares, la revisión de programas por parte de
detectar casos de incumplimiento e iniciar los agencias gubernamentales y las revisiones por
procesos necesarios para corregir las causas parte de los órganos de supervisión. Ejemplos de
de los mismos. monitoreo o seguimiento interno incluyen los
informes preparados por el área de auditoría
• La estructura organizativa permite la interna y las evaluaciones de calidad.
identificación de riesgos de incumplimiento.
Una organización grande y compleja Los procedimientos de evaluación de riesgos
normalmente cuenta con una unidad dedicada realizados para obtener una mejor comprensión del
Página 45
control interno de la entidad incluyen una Evaluación de los riesgos de

evaluación del diseño de los controles y si éstos se incumplimiento de importancia relativa
han puesto en práctica. El control interno consiste (materialidad)
de los siguientes cinco componentes
interrelacionados: Al evaluar los riesgos de incumplimiento de
importancia relativa (materialidad), los auditores
• el ambiente de control, deben considerar los siguientes factores:
• la evaluación de riesgos de la entidad, • La complejidad de los requisitos (normativa) de
• los sistemas de información y comunicación, cumplimiento aplicables,
• La susceptibilidad de incumplimiento de los
• las actividades de control, y requisitos,
• la supervisión. • La cantidad de tiempo que la entidad ha estado
sujeta a los requisitos (normativa) de
cumplimiento aplicables,
• Las observaciones del auditor acerca de la
forma en que la entidad ha cumplido con los
requisitos (normativa) de cumplimiento
aplicables en años anteriores,
• El efecto potencial en la entidad del
incumplimiento de los requisitos,
• El grado de juicio empleado para seguir los
requisitos de cumplimiento.
Algunos ejemplos de situaciones en las que puede

haber un riesgo de incumplimiento de importancia
relativa que sea relevante para la entidad son:
• Una entidad que está experimentando
dificultades financieras y en la cual existe el
riesgo creciente de que los fondos sean
desviados para fines no autorizados.
• Una entidad que tiene un historial de mantener
un pobre registro de sus programas.
3.3.5 El riesgo de fraude

Como auditores sabemos que el fraude y la
corrupción representan un serio peligro para el
sector público. El daño potencial del fraude y la
corrupción se extienden mucho más allá de
cualquier pérdida financiera, ya que también
causan efectos sustancialmente negativos en la
reputación y el ambiente de trabajo de la entidad.
Asimismo, varios casos de fraude y corrupción
pueden reducir gravemente la confianza de la
gente en el sector público en su conjunto. Es por
eso que los riesgos de fraude y la evaluación de su
importancia relativa se consideran dentro del
contexto del alcance más amplio de las auditorías
del sector público.
Página 46
Las siguientes preguntas pueden ser relevantes al xii. ¿Existe una persona o unidad responsable de
realizar una evaluación del riesgo de fraude en una la administración del marco de control de
entidad: fraude y corrupción?
i. ¿La entidad auditada ha desarrollado un
Es importante tener una comprensión clara de lo
marco de control general claro contra el fraude
que el fraude y la corrupción significan. El factor
y la corrupción? Un marco de control de
que distingue el fraude del error es si la acción que
fraudes es un sistema de medidas coordinadas
condujo a un incumplimiento es intencional o no. El
que se aplican para evitar, detectar y
fraude y la corrupción son actos intencionales que
responder a las instancias de fraude.
implican el uso del engaño para obtener una
ii. ¿Las políticas y procedimientos relevantes
ventaja injusta o ilegal. Los responsables de un
para la prevención y detección de fraude y
acto fraudulento pueden ser miembros de la
corrupción se complementan y operan de
administración, los encargados de la gestión, los
manera coherente e integral?
empleados o terceras partes.
iii. ¿Todos los funcionarios de alto nivel han
contribuido a desarrollar la política general
Debido a las limitaciones inherentes de una
relativa a la prevención y detección de fraude y
auditoría, existe el riesgo inevitable de que algunos
corrupción?
casos de incumplimiento no sean detectados,
iv. ¿La política general aborda elementos
incluso si la auditoría se planea y realiza
relacionados con el fraude como (a) dar el tono
adecuadamente en conformidad con las ISSAI. Los
desde arriba, (b) evaluación del riesgo de
efectos potenciales de las limitaciones inherentes
fraude, (c) controles internos basados en
son particularmente significativos en los casos de
riesgos, (d) informes internos, (e) informes
desviaciones que ocurren como resultado de
externos, (f) divulgación de datos de interés
fraude. El riesgo de no detectar un caso de
público, (g) investigación, (h) código de ética,
incumplimiento producto de un fraude es más alto
(i) capacitación del personal, y (j) información a
que el riesgo de no detectar uno que resulte de un
los usuarios?
error. Contrario a los errores y equivocaciones no
v. ¿La política general y las políticas y
intencionales, un acto fraudulento normalmente
procedimientos relacionados reflejan las
involucra esquemas organizados y diseñados para
necesidades específicas de la entidad
ocultarlo, como información falsa, falsificación,
auditada?
ocultamiento o falta de documentación, o
vi. ¿El marco de control de fraudes se revisa
declaraciones falsas hechas intencionalmente al
periódicamente? ¿Cuándo se revisó por última
auditor. Tales intentos de ocultamiento pueden ser
vez?
incluso más difíciles de detectar cuando hay
vii. ¿Existe un enfoque estructurado para la
alguien coludido. La colusión puede hacer que el
aplicación de las recomendaciones de la
auditor crea que la evidencia de auditoría es
revisión?
convincente, cuando en realidad es falsa.
viii. ¿A las recomendaciones de cambios o
mejoras en las políticas y procedimientos
De acuerdo con la ISSAI 100, Principios
operativos se les ha dado prioridad o se han
Fundamentales de Fiscalización del Sector Público,
puesto en práctica?
el auditor debe considerar y evaluar el riesgo de
ix. ¿La entidad ha puesto en práctica programas
diferentes tipos de deficiencias, desviaciones o
de comunicación efectivos para aumentar el
representaciones erróneas que pudieran ocurrir.
conocimiento sobre su marco de control de
Deberán considerarse tanto los riesgos generales
fraudes?
como específicos en relación con el objeto de la
x. ¿El marco es de fácil acceso para todas las
revisión. El párrafo 47 señala de manera específica
partes involucradas?
que los auditores deberán identificar y evaluar los
xi. ¿El marco general y sus componentes
riesgos de fraude que sean relevantes para los
muestran claramente el compromiso de la
objetivos de la auditoría.
dirección con sus principios y políticas?
Página 47
El propósito de la evaluación de riesgos es: cargos oficiales8. La corrupción es un tipo de

fraude que involucra a un agente público que
a. Identificar los riesgos inherentes de fraude y
recibe un soborno, comisión o beneficio (financiero
corrupción de la entidad,
o de algún otro tipo) a cambio de proporcionar un
b. Identificar y evaluar los controles internos de la
beneficio o ventaja indebida al que da el soborno9.
entidad, y
c. Evaluar los riesgos residuales y considerar los
Como parte de la auditoría y siguiendo la
posibles procedimientos de auditoría.
evaluación inicial del riesgo de fraude, los auditores
del sector público deben reunir evidencia suficiente
Los auditores deben mantener una actitud de
y apropiada relacionada con el tema de la auditoría
escepticismo y estar alerta ante los riesgos de
a través de los procedimientos adecuados. Aunque
fraude y su impacto a lo largo de todo el proceso
detectar posibles actos ilícitos, incluyendo fraude,
de auditoría.
normalmente no es el objetivo principal de una
auditoría de cumplimiento, los auditores del sector
Existen tres elementos clave que normalmente
público incluyen los factores de riesgo de fraude en
están presentes cuando alguien comete fraude y
sus evaluaciones de riesgo y se mantienen alertas
corrupción: 1. Oportunidad, 2. Incentivo/presión, y
ante cualquier indicación de actos ilícitos,
3. Racionalización/actitud. Todos estos elementos
incluyendo el fraude, al llevar a cabo su trabajo.
deben evitarse a través de los controles internos de
la entidad, por lo que débiles controles internos
Las actividades y procesos en los que hay un
pueden indicar riesgo de fraude y corrupción.
intenso contacto con los "clientes" o relaciones
Dependiendo de su mandato, este puede ser un
externas han demostrado ser las más vulnerables
punto de arranque más apropiado para los
al fraude y la corrupción debido a que hay más
auditores que buscar indicadores de posibles actos
oportunidades y tentaciones. Ejemplos de tales
de fraude y corrupción. Mucho se puede hacer
actividades son la contratación de bienes y
para evitar el fraude y la corrupción si se soluciona
servicios, el pago de subsidios, subvenciones,
el problema de débiles controles internos.
deducciones, etc., la expedición de licencias,
permisos, documentos de identidad, etc., la
Al realizar evaluaciones específicamente sobre los
regulación, inspección, fiscalización, etc., y la
riesgos de fraude el auditor debe tener en mente
aplicación de leyes y reglamentos. El sector público
que incluso si existen controles internos efectivos
tiene deberes y responsabilidades únicas para
en el papel, esto no garantiza que en la práctica
hacer valer las leyes y reglamentos. Esto incluye
funcionen como se supone. Los defraudadores
por ejemplo las investigaciones, acciones judiciales
potenciales se enfocan más en los puntos débiles
y sanciones. Los clientes pueden tener un interés
de los controles que en sus puntos fuertes y por lo
(financiero) considerable en las actividades o
tanto se le recomienda a los auditores que
servicios del gobierno. Esto significa que se puede
"piensen como ladrones" durante la evaluación y
caer en la tentación de sobornar a los servidores
busquen posibles fallas o métodos que pudieran
públicos o manipular las decisiones del gobierno de
darle una ventaja injusta o ilegal a alguien dentro
manera favorable para el cliente. También crea la
y/o fuera de la entidad. Es aconsejable establecer
tentación entre los servidores públicos de aceptar o
un equipo de evaluación de riesgos que pueda
pedir favores.
proporcionar varios puntos de vista con base en
conocimientos, experiencias y habilidades
La administración de la propiedad pública también
diferentes.
es un área vulnerable. La propiedad con un alto
valor es susceptible a robo o pérdida. Esto incluye
El fraude y la corrupción pueden tomar diversas
formas. El fraude se caracteriza normalmente por 8
Fraud and Corruption Control, Guidelines for Best
alguna forma de engaño deliberado que facilita u Practice, Crime and Misconduct Commission, Queensland,
oculta la malversación de fondos, mientras que la Australia.
corrupción generalmente implica una violación de 9
El Tribunal de Cuentas de Brasil desarrolló una estrategia
la confianza depositada en el desempeño de para combatir el fraude y la corrupción en el gobierno
federal. El texto completo de esta estrategia está disponible
en http://portal2.tcu.gov.br/portal/pls/portal/s/2053600.PDF
Página 48
dinero, bienes muebles e inmuebles, capital decidir el enfoque apropiado e identificar la

humano e información valiosa. evidencia necesaria para conducir la auditoría. La
tabla anterior muestra un ejemplo de los posibles
Al realizar las auditorías de cumplimiento, si los enfoques de auditoría de acuerdo al riesgo.
auditores del sector público se encuentran con
Procedimientos de auditoría en respuesta al riesgo
instancias de incumplimiento que pueden ser
inherente:
indicativas de actos ilícitos o fraude, deberán
ejercer las diligencias y precaución debidas de Riesgo Respuesta al
manera que no interfieran con las posibles Enfoque de auditoría
inherente riesgo
investigaciones o procedimientos judiciales. En Alto Bajos niveles de Enfocar la respuesta de
estos casos, los auditores pueden acudir en busca control auditoría en mejorar los
controles internos a través de la
de asesoría legal o consultar a las disposiciones evaluación de planes
legales y normativas regulatorias mejorados.
Alto La dirección afirma Enfocarse en obtener la
correspondientes10. que los controles seguridad de que los controles
son adecuados siguen operando como deben y
Además, los auditores podrán comunicar sus de que hay consistencia en la
administración de riesgos.
sospechas a los niveles apropiados de la Bajo Bajos niveles de Evaluar y dar seguimiento al
administración o a aquellos encargados de la control que pueden desarrollo del nivel de riesgo.
gestión y luego darle seguimiento para asegurarse ser aceptados
conscientemente
de que se han tomado las acciones apropiadas. En por la dirección
lo que respecta a casos de incumplimiento Bajo Alto nivel de control Enfocar la respuesta de la
relacionados con fraude o irregularidades serias auditoría en los aspectos de
cumplimiento.
debido a los diferentes mandatos y estructuras Si el auditor identifica riesgos de incumplimiento de importancia
organizativas que existen internacionalmente, relativa, deberá desarrollar una respuesta general a tales riesgos.
corresponde a la EFS determinar el curso de El auditor deberá diseñar procedimientos adicionales de auditoría,
acción apropiado11. Los auditores del sector incluyendo el examen de los detalles (lo cual puede incluir el
público deberán tomar las acciones necesarias examen de las operaciones) para obtener evidencia de auditoría
suficiente y apropiada acerca del cumplimiento de la entidad con
para garantizar una respuesta apropiada con base cada uno de los requisitos aplicables en respuesta a los riesgos
en el mandato de la EFS y las circunstancias. evaluados de incumplimiento.
3.3.6 Determinando la 3.3.7 Vinculando los riesgos

confiabilidad de los controles identificados con la estrategia
internos de auditoría
Como se explicó anteriormente, el propósito de la Un aspecto importante en la planificación de las
evaluación de riesgos en las auditorías de auditorías de cumplimiento es que el auditor
cumplimiento es identificar las áreas que están considere de manera práctica el vínculo entre los
más expuestas a riesgos de incumplimiento y riesgos identificados y la estrategia de auditoría.
asignar los recursos de la auditoría a áreas que Sobre la base del valor de una detección que sea
son esenciales para el éxito y sustentabilidad de aceptable para los auditores en la evaluación de
las entidades auditadas. Por lo tanto, después de los controles internos, ellos pueden decidir si la
evaluar los riesgos relacionados con las estrategia de auditoría será un enfoque basado en
actividades estratégicas y operativas de la entidad controles o un enfoque basado en pruebas
auditada, los auditores necesitan determinar la sustantivas. En la vida real los auditores realizan
respuesta adecuada a los riesgos identificados, lo repasos de los controles identificados con el fin de
que incluye considerar el grado de madurez de los obtener cierto grado de confianza sobre la eficacia
controles internos. Con base en la evaluación del operativa de dicho control. Durante los repasos los
control interno, el auditor estará en posición de auditores ejercen su juicio profesional para
10
determinar lo que pueda salir mal y cómo reunir
ISSAI 300.
11 evidencia suficiente y apropiada para probar este
ISSAI 400.
Página 49
supuesto. La estrategia de auditoría puede

consistir entonces en confiar en las pruebas de los 3.4 DETERMINANDO LA
controles o en realizar procedimientos sustantivos.
IMPORTANCIA RELATIVA EN LA
FASE DE PLANIFICACIÓN
En el sector público, cuando los auditores obtienen
una seguridad razonable, planean y realizan la
auditoría para determinar si la información del
objeto, en todos los aspectos importantes, cumple
con los criterios establecidos.
En una auditoría de cumplimiento la importancia

relativa se determina para todas las etapas de la
misma:
a. Para la planificación,
b. Para evaluar la evidencia obtenida y los efectos
de las instancias de incumplimiento
identificadas, y
c. Para presentar los resultados del trabajo de
auditoría.
Durante el proceso de planificación, la información

acerca de la entidad se recopila para evaluar los
riesgos y establecer la importancia relativa con el
fin de diseñar los procedimientos de la auditoría. A
continuación la evidencia reunida debe evaluarse
como base para formar conclusiones y preparar
informes, por lo que determinar la importancia
relativa es fundamental para la evaluación.
Determinar la importancia relativa es una cuestión

de juicio profesional y depende de la interpretación
que el auditor haga de las necesidades del usuario.
Un objeto de la revisión puede considerarse de
importancia relativa si el conocimiento del mismo
puede influir en las decisiones de los usuarios
previstos. La importancia relativa se considera a
menudo en términos de valor, pero también tiene
otros aspectos cuantitativos y cualitativos. Las
características inherentes de una partida o un
grupo de partidas pueden hacer que un objeto de
la revisión sea de importancia relativa por su propia
naturaleza. Un objeto de la revisión también puede
ser de importancia relativa por el contexto en el
que ocurre. Una parte esencial para determinar la
importancia relativa es considerar si se puede
esperar de forma razonable que los casos
reportados de cumplimiento o incumplimiento
influyan en las decisiones de los usuarios
previstos. Los factores que deben juzgarse aquí
Página 50
son los requisitos del mandato, las expectativas o información del objeto. Como lo hemos señalado
el interés público, las áreas específicas del enfoque anteriormente, la consideración por parte del
legislativo, las solicitudes y el financiamiento. Las auditor de la importancia relativa es una cuestión
cuestiones con un nivel de valor más bajo, como el de juicio profesional y se ve afectada por la
fraude, también pueden considerarse de percepción que tiene el auditor de las necesidades
importancia relativa .12 de información de los usuarios previstos como
grupo. Dentro de este contexto, resulta razonable
Al evaluar la importancia relativa de cualquier para el auditor asumir que los usuarios previstos:
incumplimiento identificado, aspectos como los
• Tienen un conocimiento adecuado del objeto de
criterios, las condiciones, la causa y el efecto del
la revisión y están dispuestos de estudiar la
incumplimiento también deben considerarse. Este
información del objeto con la debida diligencia;
puede ser el caso en situaciones en las que la ley o
el reglamento, o los términos acordados establecen • Entienden que la información del objeto se
un requisito incondicional de cumplimiento, por prepara y asegura conforme a los niveles
ejemplo si la constitución prohibe un gasto adecuados de importancia relativa y tienen
excesivo en relación con el presupuesto conocimiento de los conceptos de importancia
aprobado13. relativa incluidos en los criterios aplicables;
• Entienden cualquier incertidumbre inherente a
la medición o evaluación del objeto de la
3.4.1 Juicios profesionales auditoría; y
acerca de la importancia relativa • Toman decisiones razonables basándose en la
información del objeto tomada en su conjunto.
Los juicios profesionales acerca de la importancia
relativa se hacen a la luz de las circunstancias que 3.4.2 Determinando la
rodean a la auditoría, pero no se ven afectadas por
el nivel de seguridad dada. Es decir, para los importancia relativa
mismos usuarios previstos y propósito la
importancia relativa para una auditoría de Las normas establecen que un objeto de la revisión
seguridad razonable es la misma que para una puede considerarse de importancia relativa si el
auditoría de seguridad limitada, ya que la conocimiento del mismo puede influir en las
importancia relativa se basa en las necesidades de decisiones de los usuarios previstos y que este
información de los usuarios. juicio se puede referir a una sola partida o un grupo
de partidas tomadas en conjunto.
En algunos casos los criterios aplicables pueden
analizar el concepto de importancia relativa dentro La importancia relativa se considera a menudo en
del contexto de la preparación y presentación de la términos de valor, pero también tiene otros
información del objeto y por lo tanto proporcionar aspectos cuantitativos y cualitativos. Las
un marco de referencia al considerar la importancia características inherentes de una partida o un
relativa para una auditoría en particular. En los grupo de partidas pueden hacer que un objeto de
casos en los que los criterios aplicables no incluyan la revisión sea de importancia relativa por su propia
un análisis del concepto de importancia relativa, el naturaleza. Un objeto de la revisión también puede
auditor podrá guiarse por un marco de referencia ser de importancia relativa por el contexto en el
como el que se explica a continuación. que ocurre14. La importancia relativa se relaciona
con la población total que cae bajo la acción de la
Los incumplimientos o las desviaciones del auditoría. El auditor diseñará el muestreo y los
cumplimiento se consideran de importancia relativa procedimientos de la auditoría de manera que, si
si, individualmente o en conjunto, se puede esperar hay incumplimientos que alcancen el nivel de
de forma razonable que influyan en las decisiones importancia relativa, entonces serán identificados
que los usuarios previstos toman con base en la en el muestreo. Como ya lo hemos mencionado, la
evaluación de la importancia relativa requiere de
12
ISSAI 400.47.
13 14
ISSAI 4100.71 y 72. ISSAI 400.47.
Página 51
juicio profesional por parte del auditor y se • Las expectativas y el interés público,
relaciona con el alcance de la auditoría, aunque es incluyendo el énfasis dado al objeto de la
posible que algunas EFS cuenten con lineamientos revisión por los comités del
para establecer el nivel (umbral) de importancia Parlamento/Congreso, como el comité de
relativa dentro del contexto de la legalidad y el cuentas públicas, incluyendo la necesidad de
cumplimiento de las operaciones con los divulgar determinada información;
reglamentos o en términos de valor.
• La necesidad de regulación y supervisión por
La determinación de la importancia relativa parte del Parlamento/Congreso en un área en
requiere que los auditores conozcan y evalúen los particular; y
factores que pueden influir en las decisiones de los • La necesidad de claridad y transparencia, por
usuarios previstos. Por ejemplo, cuando los ejemplo si hay determinados requisitos de
criterios identificados permiten variaciones en la información en el caso de fraudes y otras
presentación del objeto de la revisión, los auditores pérdidas.
deben considerar la forma en que la presentación
adoptada puede influir en las decisiones de los Otros objetos de revisión que pueden ser
usuarios previstos. La importancia relativa se considerados de importancia relativa por su
considera dentro del contexto de factores naturaleza son:
cuantitativos y cualitativos, como la magnitud
relativa, la naturaleza y extensión del efecto de • Los fraudes,
estos factores en la evaluación o medición del • El incumplimiento o los actos ilícitos
objeto de la revisión, y los intereses de los usuarios intencionales,
previstos. Por ejemplo, dentro del contexto de la • La presentación de información falsa o
legalidad y el cumplimiento de las operaciones con incompleta a la dirección, el auditor o el poder
los reglamentos, las desviaciones son de legislativo (ocultamiento),
importancia relativa si de manera razonable • Pasar por alto de manera intencional las
afectan la decisión de los usuarios de la opinión de solicitudes hechas por la dirección, las
auditoría. autoridades o los auditores,
• Los eventos y operaciones llevadas a cabo a
En la práctica de algunas EFS la importancia pesar de saber que carecen de una base legal.
relativa se basa en una evaluación de la
importancia de los resultados de la auditoría y, por
lo tanto, depende más del juicio personal que la 3.4.3 Factores cualitativos y
importancia relativa considerada en el caso de una
auditoría de seguridad razonable. En este tipo de cuantitativos al determinar la
práctica al final de la auditoría el auditor juzga si los importancia relativa
resultados son lo suficientemente significativos
como para incluirlos en el informe con base en la Como se mencionó anteriormente, la importancia
naturaleza específica de cada resultado. Para relativa se considera dentro del contexto de
abordar estos aspectos durante la fase de factores cualitativos y, cuando resulta aplicable, de
planificación los auditores necesitan considerar los factores cuantitativos. En general los aspectos
siguientes factores al determinar si una información cuantitativos se refieren a la magnitud –
es o no de importancia relativa: normalmente en términos de valor, sea un
• El contexto en el que el objeto de la revisión porcentaje, número, cantidad, etc. –, mientras que
aparece, por ejemplo si éste también está los aspectos cualitativos se refieren a la naturaleza,
sujeto al cumplimiento de las disposiciones características, etc. En algunos casos los aspectos
legales y normativas, la legislación o los cualitativos pueden hacer que incumplimientos de
reglamentos, o si la ley o los reglamentos menor grado sean de importancia relativa, mientras
prohiben el gasto excesivo de los fondos que en otros casos el incumplimiento no se
públicos, sin importar las cantidades; relaciona con ningún valor, monto o magnitud. Para
entender mejor la importancia relativa cualitativa no
Página 52
relacionada con una cantidad a continuación se • Si el incumplimiento afecta el cumplimiento con

dan algunos ejemplos que pueden ser útiles: las leyes o reglamentos.
1. Los términos de un código de construcción • Si el incumplimiento es resultado de un acto
requieren de inspecciones anuales, pero el intencional o involuntario.
gobierno no las ha realizado en los últimos • Cuando la información del objeto se relaciona
cinco años. Este incumplimiento puede resultar con una conclusión sobre el cumplimiento de
significativo debido a aspectos cualitativos las leyes o reglamentos, la gravedad del
como las implicaciones para la seguridad. incumplimiento.
Aunque no implica ninguna cantidad monetaria,
el incumplimiento puede ser de importancia Los factores cuantitativos se relacionan con la
relativa debido a las posibles consecuencias magnitud de un incumplimiento relativo a las
que puede tener en la seguridad de los cantidades reportadas para aquellos aspectos de la
ocupantes del edificio. En caso de desastre información del objeto que:
existe también el riesgo de que el • Se expresan numéricamente, o
incumplimiento dé como resultado demandas
de responsabilidad civil que pudieran tener • El número de desviaciones observadas en un
importantes implicaciones financieras para el control puede ser un factor cuantitativo
gobierno. relevante cuando la información del objeto es
una declaración de que el control es efectivo.
2. Los términos de un contrato de financiamiento
establecen que el receptor de los fondos debe Así pues, determinar la importancia relativa de un
preparar estados financieros y enviarlos a la incumplimiento identificado como resultado de los
institución que da el financiamiento en procedimientos llevados a cabo requiere el juicio
determinada fecha. Sin embargo, los estados profesional del auditor. Esto se puede aclarar aún
financieros no se prepararon y enviaron a más a través del siguiente ejemplo:
tiempo. El incumplimiento puede o no ser de
relativa importancia, dependiendo de si los En una auditoría de cumplimiento la entidad pudo
estados financieros se prepararon y enviaron haber cumplido con nueve de las cláusulas de una
posteriormente, la extensión del retraso, las ley o reglamento, pero le faltó una. Por lo tanto, se
razones del mismo, las consecuencias que requiere de juicio profesional para concluir si la
pudieran surgir como resultado del entidad cumplió con la ley o reglamento en su
incumplimiento, etc. conjunto. Por ejemplo, el auditor puede considerar
la importancia de la cláusula con la que la entidad
La relevancia de los factores cualitativos y no cumplió, así como la relación de dicha cláusula
cuantitativos al considerar la importancia relativa con las demás cláusulas.
en una auditoría es una cuestión de juicio
profesional. Los factores cualitativos pueden incluir
cosas como las siguientes: 3.5 ESTRATEGIA DE AUDITORÍA
• La interacción e importancia de los diversos Y PLAN DE AUDITORÍA
componentes de la información del objeto
cuando ésta se compone de múltiples Elaborar la estrategia y el plan de auditoría es el
componentes, como por ejemplo un informe paso final en el proceso de planificación. Para
que incluye varios indicadores de desempeño. planear la auditoría de manera que ésta sea
• El tipo de redacción elegido con respecto a la efectiva es necesario discutir con los miembros del
información del objeto que está expresada en equipo y desarrollar una estrategia general de
forma de narrativa. auditoría y un plan de auditoría. Las normas
destacan la necesidad de contar con ambos, ya
• La naturaleza del incumplimiento, como por
que ayudan a las EFS a determinar la forma en
ejemplo la naturaleza de las desviaciones
que la auditoría se llevará a cabo de principio a fin.
observadas en un control cuando la información
Para ello, es necesario examinar repetidamente
del objeto es una declaración de que el control
todos los aspectos críticos de una auditoría de
es efectivo.
cumplimiento y llegar a un entendimiento sobre lo
Página 53
que se hará (estrategia de auditoría) y cómo se los controles internos que lo afectan, los auditores
hará (plan de auditoría). Tanto la estrategia como serán capaces de identificar el riesgo de que algo
el plan deberán documentarse por escrito y salga mal y de acuerdo con esto planear los
actualizarse según sea necesario durante la procedimientos de auditoría que les permitirán
auditoría. La planificación también incluye llegar a una conclusión u opinión apropiada
consideraciones relacionadas con la dirección, considerando dichos riesgos.
supervisión y revisión del equipo de auditoría. Por
lo tanto, es importante que los auditores entiendan 3.5.1 El plan de auditoría
completamente la diferencia entre la estrategia y el
plan de auditoría.
Al preparar el plan de auditoría las EFS deben
revisar, ajustar y documentar cada paso del
El propósito de la estrategia de auditoría es diseñar
proceso con suficiente detalle. De esta manera, los
una respuesta eficaz a los riesgos de
planes de auditoría funcionan eventualmente como
incumplimiento. La estrategia de auditoría
puntos de referencia con los cuales evaluar el
especifica y establece la extensión, oportunidad y
desarrollo de las actividades de la auditoría de
dirección de la misma, además de servir de guía
cumplimiento.
para el desarrollo del plan de auditoría. Asimismo
muestra la forma en que los auditores responderán
La planificación incluye diseñar procedimientos que
y harán cambios en el alcance de la auditoría
permitan responder a los riesgos identificados de
cuando se disponga de información adicional sobre
incumplimiento. La naturaleza, oportunidad y
el objeto de la revisión, los criterios o los controles,
extensión exactas de los procedimientos de
cambiando así el perfil de riesgo de la entidad
auditoría pueden variar ampliamente de una
auditada.
auditoría a otra. No obstante, los procedimientos
de las auditorías de cumplimiento incluyen en
Al formular la estrategia general de una auditoría
general determinar los criterios relevantes, es
de cumplimiento los auditores del sector público
decir, las disposiciones legales y normativas que
necesitan tomar en consideración lo siguiente:
rigen a la entidad, para luego medir la información
• Los objetivos, alcance, objeto de la revisión, del objeto de acuerdo con dichas disposiciones
criterios y otras características de la auditoría legales y normativas. En los siguientes capítulos
de cumplimiento, tomando en cuenta el relativos a la ejecución de las auditorías de
mandato de la EFS y los elementos contenidos cumplimiento y la recopilación de evidencia
en la definición de auditoría de cumplimiento; analizaremos esto procedimientos.
• Las responsabilidades y objetivos de los El plan de la auditoría de cumplimiento consiste en
informes, así como a quién y cuándo se una descripción de:
entregarán y en qué forma;
a. Los criterios identificados en relación con el
• Los factores significativos que pueden influir en alcance y las características de la auditoría de
la conducción de la auditoría; cumplimiento y con el marco legal, regulatorio o
• La importancia relativa y la evaluación de presupuestario;
riesgos; b. La naturaleza, oportunidad y extensión de los
• El conocimiento obtenido en auditorías procedimientos de evaluación de riesgos
anteriores o relacionadas; llevados a cabo para evaluar suficientemente los
riesgos de incumplimiento relacionados con los
• La composición y asignación de tareas del diferentes criterios de auditoría;
equipo de auditoría, incluyendo la necesidad de
contar con expertos en la materia; y c. La naturaleza, oportunidad y extensión de los
procedimientos de auditoría planeados en
• El calendario de la auditoría. relación con los diferente criterios y
evaluaciones de riesgos de la auditoría de
Una vez que hayan entendido los requisitos de cumplimiento.
cumplimiento aplicables al objeto de la revisión y
Página 54
3.6 CONCLUSIÓN
En este capítulo hemos hablado de las
consideraciones iniciales para la planificación de
una auditoría de cumplimiento, así como de los
pasos detallados del proceso de planificación,
incluyendo los controles internos, la evaluación de
riesgos y la importancia relativa. El capítulo
también proporciona una guía sobre cuándo dar
una seguridad "razonable" o "limitada" en una
auditoría. Para ello, los auditores deben elaborar
su plan de auditoría tomando en consideración el
riesgo de auditoría con el objetivo de llegar a una
conclusión u opinión adecuada. Asimismo los
auditores deben incluir la evaluación del riesgo de
fraude en el proceso de planificación según las
normas.
Página 55
Capítulo 4:
Obtención y evaluación de la
evidencia de auditoría
Página 56
4.1 INTRODUCCIÓN módulo de planificación, el auditor debe establecer

un vínculo entre los procedimientos de auditoría y
los riesgos identificados. Cuando los riesgos de
En el capítulo anterior hemos hablado acerca de
incumplimiento resulten significativos y el auditor
las consideraciones iniciales para la planificación y
tenga previsto basarse en los controles existentes,
su proceso. A partir de ahí los auditores pasan a la
dichos controles deberán examinarse. Cuando los
fase de ejecución de la auditoría después de haber
controles no se consideren confiables, entonces el
revisado el objeto de la revisión, los criterios, el
auditor deberá planear y realizar procedimientos
alcance, la estrategia y el plan de auditoría. Con
sustantivos para responder a los riesgos
base en los procedimientos identificados en la
identificados. Asimismo, deberá realizar
planificación los auditores reúnen y evalúan la
procedimientos sustantivos adicionales cuando el
evidencia de la auditoría como parte de su
riesgo de incumplimiento sea significativo. Si el
ejecución. El presente capítulo explica las
enfoque de auditoría consiste únicamente en
consideraciones clave para la obtención de la
procedimientos sustantivos, entonces deberán
evidencia de auditoría.
realizarse pruebas analíticas y de detalle.2
4.2 LA EVIDENCIA DE El auditor encargado de realizar una auditoría de

AUDITORÍA cumplimiento a menudo necesitará combinar y
comparar evidencia proveniente de diferentes
La evidencia de auditoría es la información que se fuentes con el fin de cumplir con los requisitos de
usa para llegar a los resultados sobre los cuales se suficiencia e idoneidad de la evidencia de
basan la conclusión u opinión del auditor. Los auditoría.3 También será necesario que ejerza su
auditores diseñan y aplican los procedimientos juicio profesional al considerar la cantidad y calidad
adecuados para obtener evidencia de auditoría de la evidencia disponible, en particular cuando se
suficiente y apropiada que les permita formular una trate de determinar la naturaleza, oportunidad y
conclusión u opinión respecto a si el objeto de la extensión de los procedimientos.
revisión cumple, en todos los aspectos
importantes, con los criterios establecidos1. De esta 4.2.1 Cantidad y calidad de la evidencia
manera, para cumplir con el alcance de la auditoría disponible
el auditor debe decidir en qué momento la
evidencia es suficiente y apropiada para servir de La evidencia de auditoría se considera suficiente
base a la conclusión u opinión. (cantidad) cuando es capaz de convencer a una
persona informada de que los resultados son
En la fase de planificación el auditor revisa: razonables. Por otra parte, la evidencia de
auditoría se considera apropiada (calidad) cuando
a. los controles internos establecidos por la entidad es relevante, está relacionada directamente con el
auditada para prevenir, detectar y rectificar los objeto de la revisión y los criterios, y es confiable.
casos de incumplimiento, y
b. si existe una unidad organizativa dentro de la La cantidad o calidad de la evidencia disponible se
entidad auditada para la administración de los ve afectada por:
controles y otros riesgos.
a. Las características del objeto de la revisión y la
Con base en esta revisión el auditor identifica los información del mismo. Por ejemplo, se espera
riesgos de control y otros riesgos, y los tiene en que la evidencia sea menos objetiva cuando la
mente mientras empieza a reunir la evidencia de información del objeto está orientada hacia el
auditoría. futuro en vez de ser histórica; y
b. En circunstancias en las que se pudiera esperar
Los procedimientos dependerán del objeto de la de manera razonable que existiera evidencia,
revisión y los criterios, así como del juicio ésta no está disponible debido a, por ejemplo,
profesional del auditor. Como se explicó en el
2
ISSAI 4200.96
1 3
ISSAI 4200.95 ISSAI 400.57
Página 57
los tiempos del trabajo de auditoría, una política • El conocimiento que se tiene de la parte
de retención de documentos de la entidad, responsable y su ambiente.
sistemas inadecuados de información o una
restricción impuesta por la parte responsable. La confiabilidad de la evidencia depende de su
fuente y su naturaleza, así como de las
4.2.2 Suficiencia, pertinencia (calidad) y circunstancias en las que se obtiene. Se pueden
confiabilidad de la evidencia de auditoría hacer generalizaciones acerca de la confiabilidad
de varios tipos de evidencia; sin embargo, tales
La suficiencia e idoneidad de la evidencia están generalizaciones están sujetas a importantes
interrelacionadas. La suficiencia (sufficiency en excepciones. Incluso cuando la evidencia se
inglés) es una medida de la cantidad de evidencia obtiene de fuentes externas, puede haber
necesaria, la cual se ve afectada por el riesgo de circunstancias que afecten su confiabilidad.
que la información del objeto no cumpla o sea
proclive a una desviación (es decir, que mientras Por ejemplo, la evidencia obtenida de una fuente
más alto sea el riesgo, mayor será la cantidad de externa puede no ser confiable si la fuente no se
evidencia necesaria) y por la calidad de dicha puede confirmar o no es objetiva. De este modo,
evidencia (es decir, que mientras mayor sea la aunque reconociendo que puede haber
calidad, menor será la cantidad de evidencia excepciones, las siguientes generalizaciones
necesaria). Sin embargo, obtener más evidencia acerca de la confiabilidad de la evidencia pueden
puede no compensar su baja calidad. ser útiles. Es posible que la evidencia sea más
confiable cuando:
Por su parte, la pertinencia o idoneidad
(appropriateness en inglés) es una medida de la • Se obtiene de fuentes ajenas a la parte
calidad de la evidencia, es decir, de su relevancia y responsable.
confiabilidad como apoyo para la conclusión del • Se genera internamente, cuando los controles
auditor. son eficaces.
• Es obtenida directamente por el auditor. Por
El juicio profesional del auditor sobre lo que ejemplo, la observación directa de la aplicación
constituye evidencia suficiente y apropiada se ve de un control es más confiable que la evidencia
influenciada por factores como los siguientes: obtenida indirectamente o por inferencia, por
ejemplo a través de preguntas sobre la
• La importancia de un posible incumplimiento o aplicación de dicho control.
desviación del cumplimiento, así como la • Existe de forma documental, ya sea en papel,
posibilidad de que tenga un efecto importante formato electrónico o en otros medios. Por
sobre la información del objeto, ya sea ejemplo, las minutas que se registran durante
individualmente o en conjunto con otros una reunión son generalmente más confiables
incumplimientos potenciales. que un informe oral de lo que se discutió.
• La eficacia de las respuestas de la parte
responsable para reducir el riesgo conocido de Normalmente se obtiene mayor seguridad de
incumplimiento o desviación del cumplimiento. evidencia consistente proveniente de diferentes
• La experiencia ganada en auditorías anteriores fuentes o de una naturaleza diferente, que de
con respecto a posibles incumplimientos o piezas de evidencia consideradas individualmente.
desviaciones del cumplimiento similares. Además, al obtener evidencia de diferentes fuentes
• Los resultados de los procedimientos o de una naturaleza diferente se puede corroborar
realizados, incluyendo si los mismos otra evidencia o indicar que una pieza individual de
identificaron incumplimientos o desviaciones evidencia no es confiable. En los casos en los que
específicas. la evidencia obtenida de una fuente sea
• La fuente y confiabilidad de la información inconsistente con la de otra, el auditor necesita
disponible. determinar los procedimientos adicionales
• La capacidad de convencimiento de la necesarios para resolver la inconsistencia.
evidencia.
Página 58
En cuanto a obtener evidencia suficiente y 4.2.3 Recopilación de evidencia

apropiada, generalmente es más difícil obtener
seguridad acerca de la información de un objeto La recopilación de evidencia de auditoría suficiente
que cubre un determinado período que acerca de y apropiada es un proceso sistemático e iterativo
la información en un determinado punto de tiempo. que incluye4:
Asimismo, las conclusiones sobre procesos
regularmente se limitan al período cubierto por el i. Reunir evidencia mediante la aplicación de
trabajo y el auditor no puede dar una conclusión procedimientos apropiados de auditoría.
acerca de si el proceso seguirá funcionando de ii. Evaluar la evidencia obtenida en términos de
igual manera en el futuro. suficiencia (cantidad) e idoneidad (calidad).
iii. Re-valuar el riesgo y reunir más evidencia
El alcance de la auditoría determina donde reunir según sea necesario.
evidencia, lo que significa que la evidencia de
auditoría puede obtenerse dentro o fuera de la Conforme el auditor realiza los procedimientos de
entidad, o ser producida directamente por el auditoría planeados, la evidencia obtenida puede
auditor. El auditor debe considerar la posibilidad de llevarlo a modificar la naturaleza, oportunidad y
usar diferentes fuentes en el proceso de extensión de otros procedimientos de auditoría.
recopilación de evidencia, la cual puede ser física, Cierta información que difiera de manera
documental, oral o analítica, dependiendo del significativa de aquella en la que se basó la
alcance de la auditoría. evaluación de riesgos al principio de la auditoría
puede llamar la atención del auditor. Por ejemplo,
el grado de desviación que el auditor detecte al
realizar los procedimientos de auditoría puede
Recopilación de
Recopilación de evidencia
evidencia de
adicional según sea
auditoría
necesario
Evaluar si la
No
evidencia de
auditoría es Re-evaluación
suficiente y
apropiada
Si
Conclusión Informe de auditoría
Figura 4.1: Proceso de toma de decisiones
4
ISSAI 4200.101, 102
Página 59
modificar su juicio respecto a la evaluación de documentos examinados no sean auténticos. En

riesgos e indicar una debilidad importante en el casos de fraude, a veces se mantienen dos
control interno. En tales circunstancias, el auditor diferentes juegos de libros y registros. Por lo tanto,
deberá re-evaluar los procedimientos de auditoría el auditor podrá llevar a cabo procedimientos de
planeados con base en los nuevos riesgos. auditoría adicionales, como hablar con diferentes
personas de la entidad para que confirmen el
origen de los documentos o sobre los controles
4.3. TÉCNICAS PARA LA aplicados para su preparación y mantenimiento.
RECOPILACIÓN DE EVIDENCIA Indagación
La eficacia del proceso de recopilación de La indagación consiste en buscar información entre

evidencia depende de una planificación realista de las personas adecuadas tanto dentro como fuera
esta parte del proceso de auditoría usando de la entidad auditada y puede incluir:
técnicas adecuadas. Las EFS pueden usar
diferentes herramientas para este propósito. Al • Solicitudes formales de información,
respecto, las normas establecen lineamientos • Pláticas informales,
sobre la forma de reunir y evaluar la evidencia de • Entrevistas y preguntas a personas de
auditoría. A continuación se dan aquí algunas referencia, incluyendo expertos,
técnicas: • Preparar y enviar cuestionarios o encuestas.
Observación En general la indagación se usa ampliamente a lo
largo de toda la auditoría y complementa otros
Los auditores observan directamente los procesos procedimientos. Por ejemplo, al observar los
o procedimientos que se están realizando. En una procesos que se están realizando, como el pago de
auditoría de cumplimiento esto puede incluir la beneficios en un país o estado, pueden hacerse
forma en que un proceso de licitación se lleva a indagaciones entre los funcionarios respecto a
cabo, la forma en que se procesa el pago de cómo se identifica e interpreta la legislación
beneficios, o si el desempeño de cualquier tipo aplicable, incluyendo los cambios y
está en línea con las leyes y reglamentos. actualizaciones. Los resultados de las
indagaciones pueden indicar que los procesos se
Inspección realizan de diferentes maneras en diversos
lugares, lo cual es causa frecuente de
La inspección puede incluir: incumplimiento.
• Examinar los libros y registros para determinar Para lograr una mejor comprensión, a menudo las
la forma en que los fondos se han indagaciones se hacen entre personas ajenas a la
contabilizado, así como la integridad de los función que se está auditando. Por ejemplo,
registros. además de hacer indagaciones sobre el personal
• Comparar los registros contables con los de contabilidad de una secretaría o ministerio,
términos de un contrato. también puede ser relevante hacer indagaciones
• Revisar los archivos y documentos relevantes sobre los departamentos legal o técnico de dicho
del caso para determinar si los receptores de ministerio.
los beneficios cumplen con los requisitos de
elegibilidad. En general, mientras más ajena sea una persona al
• Examinar un activo, como un puente o un sujeto de la auditoría, mayor será la probabilidad
edificio, para verificar que cumpla con las de que sea objetiva en sus respuestas, aunque su
especificaciones de construcción aplicables. experiencia con el área de auditoría no sea tan
cercana. Aquellos que son externos a la entidad
El auditor deberá considerar la confiabilidad de los auditada – como bancos, contratistas, medios de
documentos examinados y tener en mente el comunicación, etc. – es más probable que sean
riesgo de fraude, así como la posibilidad de que los
Página 60
objetivos en sus respuestas. En este caso el • La divulgación por parte de la dirección de

auditor necesita tener cuidado de las posibles todas las instancias de incumplimiento que han
relaciones entre la entidad auditada y el personal llegado a su conocimiento.
entrevistado. • Que la alta dirección le ha proporcionado al
auditor información completa acerca del objeto
Las indagaciones pueden ser una débil forma de de la revisión.
evidencia y por sí solas no pueden proporcionar
evidencia suficiente y apropiada para los fines de la Por su propia naturaleza las declaraciones de la
auditoría. Para lograr esto, las indagaciones deben dirección son una débil forma de seguridad, pero
realizarse junto con otros tipos de procedimientos. en los casos en los que la dirección de la entidad
Asimismo, las indagaciones resultan más eficaces auditada tiene acceso exclusivo a información
cuando se llevan a cabo con funcionarios confidencial, ésta puede ser la única fuente de
relevantes e informadas, es decir, personas en evidencia.
puestos de autoridad que están autorizadas para
hablar o dar su opinión en nombre de la entidad. Repetición
Confirmación Puede ser una técnica muy importante para

determinar si los resultados del trabajo de los
Es un tipo formal de indagación y consiste en auditores detectan una desviación en el trabajo de
obtener una respuesta de una tercera parte, la entidad auditada. En este caso, el auditor sigue
independientemente de la entidad auditada, con de manera independiente los mismos
respecto a una información en particular. En las procedimientos llevados a cabo por la entidad
auditorías de cumplimiento la confirmación puede auditada. Los sistemas de datos usados por la
incluir retroalimentación: entidad auditada pueden requerir una calificación
especial que debe considerarse antes de empezar
• Directamente de los beneficiarios para saber si la repetición. El auditor debe considerar esto y
han recibido los fondos o ayudas que la entidad evaluar la necesidad de contratar a un experto que
auditada afirma haberles pagado. entienda el sistema para, por ejemplo, repetir los
• Directamente de los beneficiarios para saber si cálculos de pensión, la selección de los receptores
los fondos se han usado para el propósito de tratamiento hospitalario o los modelos de
establecido en los términos de un contrato de ingeniería.
ayuda o financiamiento.
• Directamente de los proveedores para saber si La repetición puede hacerse manualmente o por
han proporcionado los activos a la entidad medio de técnicas de auditoría asistidas por
auditada en determinada fecha y libres de computadora. Algunos ejemplos de repetición son:
daños.
• Recibir lineamientos del Parlamento/Congreso • Revisar los expedientes individuales para
respecto a cómo interpretar una parte comprobar si la entidad auditada tomó las
específica de la legislación. decisiones correctas o proporcionó el servicio
adecuado de acuerdo con los criterios
También se pueden obtener confirmaciones establecidos.
escritas de la dirección en relación con las • Repetir las etapas del proceso para comprobar
declaraciones verbales hechas durante la auditoría. la validez de las visas o permisos de residencia
Las declaraciones escritas pueden consistir por expedidos.
ejemplo en lo siguiente: • Recalcular las deducciones fiscales en el pago
de nómina del personal de la entidad auditada
• La afirmación de cumplimiento de la dirección para confirmar las cantidades correctas
con una parte relevante de la legislación, los pagaderas al fisco.
términos de un contrato, etc. • Confirmar que la correcta aplicación de criterios
para el pago de beneficios incluye los pagos a
Página 61
las personas que cumplen con determinados de la disponibilidad de estadísticas e información

requisitos. financiera y operativa confiable. Un ejemplo sería
• En los casos en los que el pago de beneficios a comparar los aumentos y disminuciones en el pago
adultos mayores (pensión o asistencia social) de beneficios (pagos de pensión) de un año a otro
incluye el pago a personas por encima de cierta con información demográfica, como el número de
edad, la selección de los receptores hecha por ciudadanos que han alcanzado la edad de
la entidad auditada a partir de una base de jubilación en el último año. Si los pagos de pensión
datos pública puede ser repetida por los que se mantuvieron dentro del rango del 5% al 6%
auditores del sector público usando técnicas de del gasto público de 2005 a 2013 aumentaron a
auditoría asistidas por computadora para 11% en 2014, los auditores deberán examinar si
comprobar la exactitud del proceso. este cambio se debió al incumplimiento en el
• Repetir el proceso de selección de una cálculo de las obligaciones de jubilación, etc.
licitación usando los criterios de selección para
comprobar que las ofertas correctas se hayan Ejemplo: En el caso de la auditoría del IVA
seleccionado. (Impuesto al Valor Agregado) los auditores tienen
la opción de usar cualquiera de estas herramientas
Procedimientos analíticos para reunir y evaluar la evidencia, tal como se
muestra a continuación:
En los procedimientos analíticos los auditores
comparan datos o investigan las fluctuaciones o
relaciones que parecen inconsistentes. En el caso
de las auditorías de cumplimiento las
oportunidades para emplear procedimientos
analíticos pueden ser limitadas y su uso dependerá
Tabla 4.1: Técnicas de recopilación de evidencia
Técnicas Aplicación de las técnicas en el caso de la auditoría del IVA

Observación Los auditores observan si (a) se estableció una Unidad de Administración de Riesgos (UAR), y (b)
se le dotó de personal competente. Los auditores pueden visitar la UAR en la Oficina Nacional de
Administración Tributaria (ONAT) y ver cómo trabaja.
Inspección Los auditores pueden seleccionar al azar algunos casos y examinar si el IVA se ha calculado
correctamente. Además, los auditores pueden hacer el mismo ejercicio para la devolución del IVA,
la cual es un área de alto riesgo.
Indagación Los auditores investigan a los funcionarios del gobierno que participan en el manejo del IVA a
través de cartas, entrevistas y cuestionarios acerca de las deducciones y exenciones aplicables,
así como de otros requisitos procesales. En muchos casos el incumplimiento ocurre porque los
funcionarios del gobierno no entienden claramente las leyes y reglamentos aplicables.
Confirmación Los auditores pueden preguntarle a los contribuyentes si están recibiendo oportunamente la
devolución del IVA según les corresponde.
Repetición Los auditores pueden calcular el IVA o la devolución del IVA bajo el supuesto de que un
contribuyente ha pagado cierta cantidad de IVA sobre las ventas y otra cantidad sobre la compra
de suministros gravables. Con base en estas cifras, los auditores pueden determinar el monto del
IVA que se debe pagar/devolver según sea el caso. Para ello, pueden pedirle a la ONAT que les
permita calcular el pago o devolución del IVA usando su propio sistema de cómputo.
Procedimientos Los auditores pueden tabular la información sobre el IVA recaudado y devuelto durante tres años y
analíticos comparar las cifras para ver si hay un cambio anormal en la recaudación o devolución de dicho
impuesto. En caso de que los auditores vean cambios o irregularidades significativas en la
recaudación y devolución, entonces deberán buscar una explicación. Para ello necesitarán usar su
juicio profesional con el fin de llegar a una conclusión.
Página 62
4.3.1 Procedimientos para obtener evidencia Un trabajo de seguridad limitada incluye:

para trabajos de seguridad razonable y limitada
a. Con base en una buena comprensión del objeto
La naturaleza, oportunidad y extensión de los de la revisión y las circunstancias, identificar
procedimientos variará de una auditoría a otra. áreas en las que es posible que ocurra un
Tanto los trabajos de seguridad razonable como incumplimiento de la información del objeto;
los de seguridad limitada requieren la aplicación de b. Diseñar y llevar a cabo procedimientos que
habilidades y técnicas específicas, así como la permitan abordar esas áreas y obtener una
recopilación de evidencia suficiente y apropiada seguridad limitada que sustente la conclusión
como parte de un proceso sistemático e iterativo del auditor; y
que incluye entender el objeto de la revisión y las c. Si llega a conocimiento del auditor una situación
circunstancias de la auditoría. que le permita suponer que la información del
objeto puede no cumplir con los criterios
Un trabajo de seguridad razonable incluye: establecidos, diseñar y llevar a cabo
procedimientos adicionales para obtener más
a. Con base en una buena comprensión del objeto evidencia.
de la revisión y las circunstancias, identificar y
evaluar el incumplimiento y la desviación del 4.3.2 El escepticismo en la obtención de la
cumplimiento en la información del objeto; evidencia de auditoría
b. Diseñar y llevar a cabo procedimientos que
permitan responder a los riesgos evaluados y El escepticismo es una actitud que implica que el
obtener una seguridad razonable que sustente auditor esté alerta ante:
la conclusión del auditor; y
c. Evaluar la suficiencia e idoneidad de la a. Evidencia que sea inconsistente con otra
evidencia obtenida dentro del contexto del evidencia obtenida;
trabajo y, si las circunstancias lo requieren, b. Información que cuestione la confiabilidad de
tratar de obtener más evidencia. documentos y respuestas a preguntas que se
usarán como evidencia;
La naturaleza, oportunidad y extensión de los c. Circunstancias que sugieren la necesidad de
procedimientos llevados a cabo para reunir procedimientos adicionales además de los
evidencia suficiente y apropiada en un trabajo de requeridos por las normas correspondientes; y
seguridad limitada son menores en comparación d. Situaciones que pudieran indicar la posibilidad
con los de un trabajo de seguridad razonable. En de incumplimiento o de una desviación del
este sentido una norma específica para el objeto cumplimiento.
de la revisión puede establecer, por ejemplo, que la
evidencia suficiente y apropiada para un tipo Los auditores necesitan mantener el escepticismo
particular de trabajo de seguridad limitada se a lo largo de toda la auditoría para reducir el riesgo
obtiene principalmente a través de indagaciones y de:
procedimientos analíticos. Para otros tipos de
trabajos de seguridad limitada los procedimientos • Pasar por alto circunstancias inusuales;
pueden o no ser principalmente indagaciones y • Generalizar en exceso al sacar conclusiones de
procedimientos analíticos, y variarán de acuerdo las observaciones; y
con las circunstancias de la auditoría, en particular • Usar supuestos inapropiados al determinar la
el objeto de la revisión subyacente y las naturaleza, oportunidad y extensión de los
necesidades de información de los usuarios procedimientos y evaluar los resultados de los
previstos y la parte contratante, incluyendo las mismos.
limitaciones en tiempo y costo.
El escepticismo es necesario para una evaluación
Determinar la naturaleza, oportunidad y extensión crítica de la evidencia reunida por el auditor. Esto
de los procedimientos es una cuestión de juicio incluye cuestionar evidencia que sea inconsistente,
profesional y variará de un trabajo a otro. así como la confiabilidad de documentos y
respuestas a las indagaciones. También incluye
Página 63
considerar la suficiencia e idoneidad de la 4.4. CONSIDERACIÓN DE

evidencia obtenida a la luz de las circunstancias.
INCUMPLIMIENTO QUE PUEDA
Al mismo tiempo, no se espera que el auditor pase INDICAR LA EXISTENCIA DE
por alto el historial de honestidad e integridad de
aquellos que proporcionan evidencia. Sin embargo, FRAUDE O ACTOS ILÍCITOS
la suposición de que aquellos que proporcionan
evidencia son íntegros y honestos no exime al En el curso de la auditoría el auditor puede
auditor de la necesidad de mantener el encontrarse con instancias de incumplimiento que
escepticismo durante la auditoría. pueden ser indicativas de fraude. Aunque detectar
el fraude no es el objetivo principal de una auditoría
4.3.3 El uso del juicio profesional en la de cumplimiento, los auditores deberán incluir los
obtención de la evidencia de auditoría factores de riesgo de fraude en sus evaluaciones
de riesgo y mantenerse alerta ante cualquier
El juicio profesional es esencial para la conducción indicación de ello al llevar a cabo su trabajo5.
adecuada de un trabajo de aseguramiento. Esto se Cuando el auditor identifique una instancia de
debe a que la interpretación de los requisitos éticos fraude deberá ejercer las diligencias y precaución
y las normas de auditoría, así como las decisiones debidas de manera que no interfieran con cualquier
informadas que se requieren a lo largo del proceso investigación o procedimiento judicial futuro.
de auditoría no pueden hacerse sin la aplicación de
la capacitación, el conocimiento y la experiencia El fraude en las auditorías de cumplimiento se
correspondientes. La importancia del juicio relaciona principalmente con el abuso de
profesional al determinar la importancia relativa y el disposiciones legales y normativas públicas, pero
riesgo de auditoría se analizó en capítulos también con los informes fraudulentos sobre los
anteriores. También es tan importante para: aspectos de cumplimiento. Los casos de
incumplimiento con las disposiciones legales y
• Determinar la naturaleza, oportunidad y normativas pueden constituir un mal uso deliberado
extensión de los procedimientos usados para de las disposiciones legales y normativas con el fin
cumplir con los requisitos de las normas de de obtener ganancias ilícitas. El ejercicio de las
auditoría y obtener evidencia. disposiciones legales y normativas incluye
• Evaluar si se ha obtenido evidencia suficiente y decisiones, omisiones, trabajo preparatorio,
apropiada o si se necesita hacer más para asesoría, manejo de la información y otros actos
lograr los objetivos. En el caso particular de las del servicio público. Los beneficios indebidos son
auditorías de cumplimiento de seguridad ventajas de naturaleza económica o de otro tipo
limitada el juicio profesional es necesario para obtenidas por medio de un acto intencional por
evaluar si se ha obtenido un nivel significativo parte de uno o más individuos de la dirección, de
de seguridad. los encargados de la gestión, de empleados o de
• Sacar conclusiones apropiadas con base en la terceras partes.
evidencia obtenida.
Como se señaló en el Capítulo 3 sobre
La característica distintiva del juicio profesional que planificación, algunos factores que pueden
se espera de un auditor es que es ejercido por un contribuir al fraude son:
auditor cuyo conocimiento y experiencia le han
ayudado a desarrollar la capacidad necesaria para • controles internos débiles,
emitir juicios razonables. • que la dirección pase por alto los controles
internos,
• la colusión entre empleados, y
• la colusión entre empleados y terceras partes.
5
ISSAI 400.51, ISSAI 400.55
Página 64
Como se explicó en la sección 4.3, los auditores responde a los resultados de la auditoría y hacer
usan diferentes técnicas para reunir evidencia. un informe al respecto. Éste es un indicador de la
Algunas de las mismas técnicas se usan seriedad con la que la entidad toma los aspectos
ampliamente para identificar el fraude, tal como se de cumplimiento. En los casos en los que la
explica a continuación6. dirección no dé la debida importancia a las
irregularidades identificadas, lo que se reflejaría en
i. Observación: Los auditores pueden documentos sin ninguna referencia a las acciones
observar el grado con el que la dirección y el correctivas que se están tomando, el riesgo de
personal cumplen con las políticas, fraude en este tipo de ambiente será mayor. Los
procedimientos y controles internos. La auditores necesitan estar alertas ante tales señales
observación puede revelar un ambiente de mientras llevan a cabo la evaluación de riesgos
control deficiente, incluyendo la falta de ética durante la auditoría.
e integridad de parte de la dirección. Esto
implica un alto riesgo de fraude para la Si durante la recopilación de evidencia el auditor se
entidad. encuentra con instancias que permitan sospechar
ii. Inspección: Los auditores pueden examinar la existencia de actos ilícitos o fraude, estará
los registros contables que involucren facultado para evaluar si la evidencia cumple con
grandes cantidades con redondeos en o las leyes y reglamentos. En colaboración con la
cerca de la fecha de cierre de ejercicio. dirección de la EFS, el auditor podrá considerar el
iii. Entrevistas: Los auditores pueden mandato y las políticas internas de información de
entrevistar a los directores y funcionarios la EFS. Una vez que el auditor haya evaluado la
clave, y notar cambios en el comportamiento sospecha de fraude, podrá considerar la manera
de la dirección o los empleados, indicando de informar a las autoridades competentes y darle
engaño, corrupción y otras conductas seguimiento para asegurarse que se tomen las
irregulares que pudieran señalar la acciones correspondientes.
posibilidad de fraude. Las entrevistas tendrán
más sentido si los auditores sospechan la
existencia de fraude durante la inspección y 4.5 CONCLUSIÓN
las observaciones.
iv. Revisiones analíticas: Los auditores pueden
La calidad del trabajo de auditoría y el nivel de
comparar la información financiera de un
seguridad proporcionado dependerán de la
período a otro para identificar una relación
suficiencia e idoneidad de la evidencia. Es
irregular en los datos financieros. Un
importante que los auditores conozcan las
aumento inesperado en el gasto o los
diferentes técnicas que se pueden usar para reunir
ingresos pueden ser señal de fraude.
evidencia, la cual es una parte esencial del proceso
v. Seguimiento: Los auditores pueden dar
de las auditorías de cumplimiento antes de la
seguimiento a un documento original a través
evaluación y formación de conclusiones. En el
de los procesos de registro para comprobar
siguiente capítulo hablaremos de esto.
la confiabilidad de los sistemas de control
interno y descubrir puntos débiles que den la
oportunidad de cometer fraude.
Los auditores necesitan estar al tanto de la forma

en que la dirección de la entidad auditada
6
Risk Factors and Red Flags for State Auditors, Jerry E.
Spratt (2009), Auditor Legislativo Asistente para la
División Arkansas del Departamento de Auditoría
Legislativa de gobierno de los Estados Unidos. El texto
completo se encuentra en
http://www.nasact.org/conferences_training/nsaa
conferences/AnnualConferences/2009AnnualConferenc
e/PresentationsHandouts/Spratt,%20Jerry.pdf
Página 65
Capítulo 5:
Evaluación de la evidencia y
formación de conclusiones
Página 66
5.1 INTRODUCCIÓN del auditor acerca de la confiabilidad de

determinadas fuentes de información.
En el capítulo anterior hemos hablado acerca de • El auditor puede encontrar discrepancias en la
los procedimientos de auditoría identificados en la información relevante o detectar cierta
fase de planificación, con base en los cuales los inconsistencia o falta de evidencia.
auditores reúnen evidencia suficiente y apropiada. • Si se realizaron procedimientos analíticos hacia
El siguiente paso en el proceso es evaluar la el final del trabajo, los resultados de estos
evidencia de auditoría y formar conclusiones. Este procedimientos pueden indicar un riesgo de
capítulo explica las principales consideraciones incumplimiento previamente no reconocido.
que los auditores deben tomar en cuenta para
evaluar la evidencia y elaborar las conclusiones de En tales circunstancias, el auditor necesitará
la auditoría. revaluar los procedimientos planeados.
Después de haber reunido toda la evidencia, el

auditor deberá tomar los pasos necesarios para
5.2 EVALUACIÓN DE LA elaborar las conclusiones. Para evaluar la
EVIDENCIA Y FORMACIÓN DE evidencia de auditoría el auditor necesita revisar la
documentación con el fin de determinar si el objeto
CONCLUSIONES de la revisión ha sido examinado de manera
suficiente y apropiada. Asimismo, con base en los
Los auditores deben evaluar la evidencia obtenida procedimientos de auditoría realizados y la
y determinar si es suficiente y apropiada como para evidencia obtenida el auditor debe verificar si las
reducir el riesgo de auditoría hasta un nivel evaluaciones de los riesgos de incumplimiento o
aceptablemente bajo. La evaluación de la desviación del incumplimiento siguen siendo
evidencia incluye ejercer el juicio profesional y válidas o si es necesario revisarlas.
escepticismo.
El proceso de evaluación requiere que se tome en
5.2.1 Evaluación de la evidencia consideración tanto la evidencia que sustenta el
informe, la conclusión o la opinión de auditoría
Saber si se ha obtenido evidencia suficiente y acerca del cumplimiento o incumplimiento como
apropiada como base para la conclusión del auditor aquella que parece contradecirla. Si la evidencia de
es una cuestión de juicio profesional, lo cual auditoría obtenida de una fuente es inconsistente
incluye considerar la relación que existe entre el con la de otra o si hay dudas acerca de la
costo de obtener la evidencia y la utilidad de la confiabilidad de la información que se usará como
evidencia obtenida. El auditor usa su juicio evidencia, el auditor deberá determinar las
profesional y escepticismo para evaluar la cantidad modificaciones o adiciones a los procedimientos de
y calidad de la evidencia, es decir, su suficiencia e auditoría que permitan resolver el problema y
idoneidad para apoyar el informe de considerar sus implicaciones, si las hay, para los
aseguramiento. demás aspectos de la auditoría1.
Una auditoría es un proceso acumulativo e 5.2.2 Formación de conclusiones
iterativo. Conforme el auditor lleva a cabo los
procedimientos planeados, la evidencia obtenida Para llegar a una conclusión u opinión los auditores
puede hacer que el auditor cambie la naturaleza, deben evaluar la evidencia en relación con la
oportunidad y extensión de otros procedimientos. importancia relativa identificada con el fin de
Puede haber información sobre la cual se basaron detectar posibles instancias de incumplimiento. La
los procedimientos planeados que llame la determinación de la relevancia de los resultados se
atención del auditor y difiera de manera basa en el concepto de importancia relativa. Lo que
significativa de lo esperado. Por ejemplo: representa una desviación del cumplimiento de
importancia relativa es una cuestión de juicio
• El grado de incumplimiento que el auditor
identifique puede modificar el juicio profesional 1
ISSAI 400.58
Página 67
profesional e incluye consideraciones acerca del con el fin de determinar cuál es la situación
contexto así como aspectos cuantitativos y verdadera. Aquí es donde los auditores pueden
cualitativos de las operaciones o problemas usar la jerarquía de confiabilidad de la evidencia,
tratados. La siguiente lista identifica algunos de los de manera que, por ejemplo, la evidencia externa
factores que los auditores tienen que considerar al escrita es más creíble que una declaración informal
emplear su juicio profesional con el fin de de la dirección en contra3.
determinar si un caso de incumplimiento es o no de
importancia relativa2. Después de evaluar si la evidencia es suficiente y
apropiada dado el nivel de seguridad de la
• La importancia de las cantidades involucradas auditoría, el auditor debe considerar la mejor forma
(monetarias o de otro tipo, como el número de de concluirla a la luz de la evidencia4.
ciudadanos, entidades u organizaciones
afectadas, los niveles de contaminación, los Los auditores necesitan documentar
retrasos en relación con las fechas de entrega, apropiadamente todas las actividades importantes
etc.) que llevaron a cabo mientras reunían y evaluaban
• Las circunstancias. la evidencia. También necesitan revisar su
• La naturaleza del incumplimiento: con la ley, estrategia y plan de auditoría tomando en
reglamento o procedimiento interno. consideración los resultados de su trabajo en esta
• Las causas del incumplimiento: negligencia o fase. Con frecuencia llega nueva información a
acto fraudulento. conocimiento de los auditores que requiere que
• Los posibles efectos y consecuencias que el den una nueva mirada al objeto de la revisión, los
incumplimiento puede tener. criterios, el alcance, el control y evaluación de
• La presencia y sensibilidad de los criterios o riesgos, y la importancia relativa. Los auditores
programas en cuestión (por ejemplo, si son también pueden, durante las pruebas de
objeto de un interés público importante, si cumplimiento, encontrarse con instancias que
afectan a sectores vulnerables de la población, indiquen la posibilidad de fraude dentro de la
etc.). entidad auditada. Como abordar estas cuestiones
• Las necesidades y expectativas del es algo que ya se explicó en capítulos anteriores.
Parlamento/Congreso, el público u otros
usuarios del informe de auditoría. Durante esta fase los auditores también necesitan
trabajar con la dirección para poder aclarar algunos
• La naturaleza de las disposiciones legales y
puntos en relación con la forma en que ven el
normativas aplicables.
objeto de la revisión, los criterios, el alcance, el
• La magnitud o el valor monetario del
riesgo de auditoría y la importancia relativa. Esta
incumplimiento.
interacción ayuda a los auditores a hacer los
ajustes necesarios en su estrategia y plan de
Al evaluar la evidencia de auditoría el auditor debe
auditoría. Asimismo, ayuda a la dirección a
considerar si el incumplimiento de importancia es o
identificar deficiencias en el control y otras
no relevante o generalizado (pervasive en inglés).
debilidades sistemáticas que puede empezar a
Si no es capaz de obtener evidencia de auditoría
enfrentar de manera oportuna.
suficiente y apropiada debido a una incertidumbre
o limitación en el alcance, el auditor deberá evaluar
si es importancia relativa.
Asimismo, al evaluar la evidencia los auditores

pueden concluir que ésta es contradictoria, es
decir, que una parte de la evidencia apoya la
información del objeto mientras que otra parte
parece contradecirla. Los auditores necesitan
ponderar la magnitud y credibilidad de la evidencia
3
Compliance Audit Field Manual, State Audit &
Administrative Control Bureau, EFS de Palestina, 2013.
2 4
ISSAI 4100.129 ISSAI 400.58
Página 68
5.3 CONCLUSIÓN
Los auditores ejercen su juicio y escepticismo para
determinar si la evidencia de auditoría es suficiente
y apropiada a lo largo de toda la auditoría. Los
factores que los auditores deben tomar en cuenta
para evaluar la evidencia y elaborar las
conclusiones se analizan en este capítulo. El
siguiente capítulo analiza la forma en que los
resultados de la evaluación de la evidencia y las
conclusiones obtenidas se reflejan en los informes
de la auditoría de cumplimiento.
Página 69
Capítulo 6:
Documentación y comunicación
Página 70
6.1 INTRODUCCIÓN • El razonamiento detrás de todos los objetos de

la revisión significativos que requirieron el
Este capítulo tiene como objetivo proporcionar a ejercicio del juicio profesional; y
los responsables de realizar auditorías de • Las conclusiones.
cumplimiento información básica sobre la
documentación y comunicación necesarias para Una documentación adecuada le permite a los
realizar dichas auditorías en conformidad con las revisores del trabajo de auditoría comprender lo
ISSAI. La credibilidad y el impacto de la auditoría que se ha hecho, cómo se ha hecho y porqué se
dependerán de la calidad del trabajo que realicen ha hecho. Los auditores deben realizar un buen
las EFS. Una documentación adecuada a lo largo trabajo de documentación en cada una de las
de todo el ciclo de la auditoría (desde la etapa de etapas del proceso de auditoría. Para la ejecución
planificación hasta la elaboración de informes) le de cualquier auditoría de cumplimiento, los
permite a las EFS elaborar informes de auditoría documentos deben especificar:
de alta calidad. La comunicación continua y
adecuada con la entidad auditada es también a. Cómo decidieron los auditores cuál era el
importante durante todo el proceso de auditoría. El objeto, los criterios y el alcance de la auditoría.
capítulo explica la forma en que los auditores b. Qué procedimientos analíticos y de otro tipo se
pueden utilizar la documentación y la comunicación llevaron a cabo para reunir la evidencia de la
en las auditorías de cumplimiento como auditoría y determinar si el objeto de la revisión
instrumentos para mejorar la calidad de su trabajo. de la misma cumplía o no con los criterios. Que
Debido a que en las ISSAI no existe mucha la evidencia en la cual se basaron la conclusión
información sobre estos dos conceptos para las y la opinión presentadas en el informe fue
auditorías de cumplimiento, las buenas prácticas suficiente y apropiada.
han sido adaptadas para utilizarlas como guía.
La documentación de la auditoría debe prepararse
con suficiente detalle como para poder comprender
claramente su propósito, su fuente y las
6.2 DOCUMENTACIÓN conclusiones alcanzadas. Asimismo, la
documentación debe estar debidamente
La documentación de la auditoría es el registro organizada para relacionar claramente los
escrito de las bases que sustentan las resultados o aspectos significativos. Entre los
conclusiones u opiniones en una auditoría de documentos que se deben incluir se pueden
cumplimiento. Por lo tanto, para determinar si los mencionar los memorandos de oficina, las
auditores llevaron a cabo o no la auditoría en confirmaciones, la correspondencia, los anexos, los
conformidad con las ISSAI, se pueden analizar los programas de auditoría, así como las cartas
documentos elaborados durante las etapas de declaratorias, entre otros. La documentación de la
planificación, ejecución o elaboración de informes auditoría puede estar plasmada en papel, en
de una auditoría de cumplimiento. La archivos electrónicos o en otro tipo de medios.
documentación deberá ser lo suficientemente
detallada como para que un auditor experimentado
sin conocimiento previo de la auditoría pueda
comprender los siguientes puntos:
• La relación entre el objeto de la revisión, los

criterios y el alcance de la auditoría;
• La evaluación de riesgos y la estrategia de la
auditoría;
• El plan de auditoría y la naturaleza,
oportunidad, extensión y resultados de los
procedimientos realizados;
• La evidencia obtenida en apoyo de la
conclusión u opinión de los auditores;
Página 71
Administración de la calidad mediante supuesto, con las disposiciones legales y

la revisión de la documentación normativas puede incluir, entre otras cosas:
La EFS de Pakistán ha desarrollado un marco de a. Copias de los registros o documentos.
referencia para la administración de la calidad (QMF,
b. Minutas de las reuniones celebradas con la
por sus siglas en inglés) para evaluar si la
planificación, la ejecución y los informes de resultados dirección, con las personas encargadas de la
de los auditores son consistentes con las normas de gestión o con otras partes dentro o fuera de la
auditoría. Un equipo de especialistas en entidad.
administración de la calidad visita periódicamente
cada una de las 26 Oficinas de Auditoría de Campo Los auditores deben documentar los
(FAO, por sus siglas en inglés) en todo el país y procedimientos de auditoría realizados, la
estudia si estas oficinas están cumpliendo con las evidencia obtenida y las conclusiones alcanzadas
normas prescritas en la planificación, ejecución de la con respecto a los criterios utilizados en la
auditoría y presentación de informes. El alcance de auditoría de cumplimiento. Los auditores deberán
esta revisión se limita únicamente a estos conceptos.
elaborar y conservar los documentos que
En diciembre de 2013, el equipo de especialistas en
aseguramiento de la calidad llevó a cabo una revisión demuestren claramente que el trabajo se realizó.
de la fase de planificación. Se seleccionaron entre 6 y
8 auditorías de cumplimiento realizadas por cada una Al determinar la naturaleza y el alcance de la
de las 26 FAO y se verificó si estas oficinas estaban documentación de una auditoría de cumplimiento,
cumpliendo con las normas y prácticas de es aconsejable que los auditores consideren los
planificación correspondientes. El equipo basó su siguientes factores:
opinión en la calidad de la documentación utilizada en
las FAO. El informe también subrayó los motivos de la • La naturaleza de los procedimientos de
falta de cumplimiento de las normas y sugirió medidas
auditoría realizados;
para mejorar la situación.
• El riesgo de incumplimiento de importancia
relativa de los criterios aplicables y la respuesta
6.2.1 Qué debe documentarse de los auditores con respecto a los riesgos
evaluados;
Se aconseja al auditor que documente: • El grado con el cual se aplicó el juicio
profesional en el trabajo, especialmente en los
a. Los procedimientos de evaluación de riesgos casos de incumplimiento de importancia
realizados, incluyendo aquellos relacionados relativa;
con el conocimiento y comprensión del sistema • La importancia relativa de la evidencia obtenida
de control interno. conforme a los criterios.
b. Sus respuestas ante la evaluación de los
riesgos de incumplimiento de importancia La documentación deberá ser lo suficientemente
relativa, los procedimientos realizados para detallada como para permitir que un auditor
verificar si se cumplió con los requisitos experimentado, sin conocimiento previo de la
aplicables y los resultados de dichos auditoría, comprenda lo siguiente: la relación entre
procedimientos, incluyendo cualquier prueba de el objeto de la revisión, los criterios, el alcance, la
los controles. evaluación de riesgos, la estrategia y el plan de
c. La importancia relativa, cualitativa y cuantitativa, auditoría y la naturaleza, oportunidad, extensión y
y los fundamentos que se utilizaron para su resultados de los procedimientos realizados; la
determinación. evidencia que se obtenga para sustentar la
d. La manera en la que el equipo de auditoría conclusión u opinión del auditor; el razonamiento
cumplió con los requisitos específicos de detrás de todos los objetos de la revisión
auditoría del sector público (si los hay) significativos que requirieron el ejercicio de juicio
complementarios a las normas de auditoría. profesional; y las conclusiones resultantes1.
La documentación que el auditor presente de la

evidencia relativa al incumplimiento, real o 1
ISSAI 400.48
Página 72
6.2.2 Cuándo elaborar la documentación requieran. Las EFS pueden verificar si existen
políticas y procedimientos para la conservación de
La documentación debe prepararse en el momento documentos y, en caso de que así sea, verificar si
adecuado y explicar claramente los criterios son adecuados. En caso contrario, las EFS pueden
utilizados, el alcance de la auditoría, los juicios considerar el establecimiento de requisitos de
emitidos, la evidencia obtenida y las conclusiones a documentación a través de políticas y
las que se llega. procedimientos para conservar dicha información.
Estos requisitos pueden derivarse de la
El proceso de documentación debe llevarse a cabo importancia histórica de algunos tipos de
durante todo el proceso de la auditoría. Es documentos que, por ejemplo, deban conservarse
necesario reunir diferente documentación de apoyo indefinidamente en los archivos. Asimismo pueden
durante las distintas etapas del proceso de existir requisitos adicionales relativos a las
auditoría para respaldar los resultados en cada una clasificaciones de seguridad nacional, incluida la
de las fases. forma en la que la documentación debe ser
archivada. Los auditores del sector público deben
La oportunidad de la documentación también es estar familiarizados con la legislación aplicable en
importante. Preparar de manera oportuna materia de conservación de documentos3.
documentación suficiente y apropiada para la
auditoría ayuda a mejorar la calidad de la misma y 6.2.4 Aspectos de confidencialidad y
facilita la revisión y evaluación efectivas de la transparencia4
evidencia obtenida y de las conclusiones
alcanzadas antes de terminar el informe de Las EFS deben establecer y garantizar la
auditoría. La documentación preparada después de obligación de los auditores de cumplir con los
haber realizado el trabajo de auditoría muy requisitos éticos relativos a respetar en todo
probablemente será menos precisa que la momento la confidencialidad de la información
elaborada en el momento en que se realiza el contenida en la documentación de la auditoría, a
trabajo. Todos los documentos de trabajo deben menos que la entidad haya emitido una disposición
reunirse y revisarse antes de la presentación del legal y normativa específica para divulgarla, o que
informe de auditoría. exista una obligación legal o profesional para
hacerlo. En el sector público existe una necesidad
El auditor debe preparar la documentación de la continua para equilibrar la confidencialidad con la
auditoría antes de presentar su informe y rendición de cuentas. El equilibrio entre estos dos
conservarla durante un período de tiempo factores exige juicio profesional para garantizar que
razonable2. la documentación de naturaleza confidencial se
identifique claramente y se maneje como tal,
6.2.3 Conservación de la documentación permitiendo al mismo tiempo el acceso adecuado a
la misma. Por lo tanto, es importante conocer las
Algunas EFS pueden contar con políticas y políticas y procedimientos de la EFS en materia de
procedimientos consistentes con sus leyes y confidencialidad. Estos procedimientos pueden
normas de auditoría para conservar la incluir los tipos de documentación de auditoría que
documentación de su trabajo. Las políticas para la deben considerarse como confidenciales y los que
conservación de la documentación garantizan que pueden ponerse a disposición del público, líneas
el registro relevante esté disponible para su uso de responsabilidad claramente definidas para
durante un cierto número de años después de una autorizar la divulgación de la documentación de
auditoría. Estas políticas y procedimientos auditoría y procedimientos para darla a conocer en
generalmente describen (a) los documentos caso necesario. Asimismo, los auditores del sector
cubiertos (b) la forma que se público pueden tener otras obligaciones normativas
conservarán/archivarán, (c) el período durante el en materia de confidencialidad. Éstas pueden estar
cual se conservarán, y (d) la forma en que se basadas en el mandato de las EFS o en la
puede acceder a estos documentos cuando se
3
ISSAI 1230, Notas Prácticas
2 4
ISSAI 400.48 ISSAI 1230, Notas Prácticas
Página 73
legislación relativa a secretos oficiales o la 6.3 COMUNICACIÓN

privacidad. Dicha legislación, por ejemplo, podría
referirse a las auditorías de los departamentos de
El papel de la comunicación
defensa, salubridad, servicios sociales o agencias
tributarias. Los auditores del sector público deben
La comunicación se debe llevar a cabo en todas
familiarizarse con las disposiciones aplicables
las etapas de la auditoría; antes de que inicie la
relativas a la confidencialidad a la que están
auditoría, durante la fase inicial de planificación,
obligados.
durante la ejecución y en la etapa de elaboración
de informes. Cualquier dificultad significativa que
Los auditores del sector público también deben
se presente durante la auditoría, así como los
conocer cualquier legislación que permita el acceso
casos de incumplimiento de importancia relativa,
público a la correspondencia de la auditoría, por
deben ser comunicados al nivel de dirección
ejemplo, en el caso en que existan diarios
correspondiente o a las personas encargadas de la
electrónicos o de otro tipo que estén disponibles
gestión. El auditor también debe informarlo a la
para ser consultados por el público en general.
parte responsable de los criterios de la auditoría5.
Este tipo de correspondencia puede incluir cartas
dirigidas a la entidad auditada o remitidas por ésta
La buena comunicación con la entidad auditada
u otras partes en relación con la recopilación de
durante todo el proceso de la auditoría puede
evidencia, así como consideraciones y juicios
ayudar a que el proceso sea más eficiente y
relativos a las cuestiones de la auditoría. En el
constructivo. La comunicación bilateral es
sector público no es raro tener que responder a las
importante para lograr que6:
solicitudes de partes externas para obtener acceso
a la documentación de la auditoría. Esto puede ser
a. El auditor y los encargados de la gestión
especialmente delicado cuando la parte externa
comprendan los objetos de la revisión
intenta obtener indirectamente información de la
relacionados con la auditoría dentro de su
organización que realiza la auditoría al no poder
contexto, y establezcan una relación de trabajo
obtenerla directamente de la entidad auditada. Por
constructiva. Esta relación debe desarrollarse al
principio, cuando la entidad auditada tiene la
mismo tiempo que se mantiene la
obligación de recopilar y conservar cierta
independencia y objetividad del auditor;
información, las solicitudes por parte de terceros
b. Los auditores del sector público sean lo
para obtener dicha información se remiten
suficientemente sensibles como para poder
generalmente a la entidad auditada.
satisfacer las necesidades y expectativas del
Congreso/Parlamento o de las autoridades
En los casos en los que los auditores del sector
correspondientes sobre los objetos de la
público consideren la posibilidad de permitir el
revisión que se dan a conocer a otros niveles de
acceso a la documentación de la auditoría,
gestión, en especial cuando dichos asuntos
normalmente lo consultarán con las partes
sean objeto de especulación o de interés
interesadas (por ejemplo, la entidad auditada a la
público.
cual se refiere la solicitud) antes de divulgar la
c. El auditor obtenga de las personas encargadas
información.
de la gestión la información necesaria para la
auditoría. Por ejemplo, los encargados de la
En algunos ambientes, la EFS subcontrata a otros
gestión pueden ayudar al auditor a familiarizarse
auditores para realizar una auditoría del sector
con la entidad y su entorno, a identificar las
público. Por lo general, al aceptar dicha asignación,
fuentes apropiadas para obtener la evidencia de
el auditor que llevará a cabo el trabajo debe
auditoría, y a proporcionar información sobre
reconocer que la documentación de la auditoría
operaciones o eventos específicos.
puede estar sujeta a la inspección de la Entidad
Fiscalizadora Superior que lo contrató. La
documentación de la auditoría puede también estar
sujeta a la inspección de dependencias que tengan
derecho legal para acceder a la información 5
ISSAI 400.49
relacionada con las obligaciones del auditor. 6
ISSAI 1260.4
Página 74
El proceso de comunicación auditores deben revisar y estar de acuerdo en

los criterios consultándolos con la dirección.
Las EFS deben tener un sistema establecido para
evaluar si la comunicación bilateral entre el auditor 6.3.2 La comunicación en la fase de
y los encargados de la gestión es el adecuado para recopilación de evidencia
los fines de la auditoría. Si no lo es, se recomienda
que el auditor tome las acciones necesarias. En el Al reunir evidencia para su trabajo, la interacción
sector público, estas acciones pueden incluir de los auditores con la entidad auditada es de vital
comunicarse con el Parlamento/Congreso, con las importancia. Como se subrayó anteriormente, la
autoridades competentes o con los organismos de calidad de la auditoría depende de la suficiencia y
financiamiento. pertinencia de la evidencia obtenida. Los auditores
que mantienen una buena comunicación con la
Las leyes y reglamentos pueden limitar la entidad auditada están en una mejor posición para
comunicación entre los auditores y los encargados revisar los resultados iniciales con los funcionarios
de la gestión sobre determinados temas. Por de la misma, consolidar dichos resultados y reunir
ejemplo, pueden prohibir específicamente la evidencia suficiente y pertinente para apoyarlos.
comunicación o cualquier otra acción que pueda
perjudicar una investigación realizada por una Asimismo, la interacción continua permite a la
disposición legal y normativa competente sobre entidad auditada identificar las áreas débiles y
una acción ilegal real o supuesta. En algunas tomar las medidas necesarias para rectificarlas.
circunstancias los conflictos potenciales entre la Cualquier dificultad significativa que se presente
obligación del auditor de mantener la durante la auditoría, así como los casos de
confidencialidad y la de dar a conocer el objeto de incumplimiento de importancia relativa deben
la revisión pueden ser complejos. En casos como comunicarse de inmediato a nivel de dirección
estos el auditor debe considerar la posibilidad de correspondiente o a los encargados de la gestión.
obtener asesoría legal7. Aun cuando las diferentes EFS pueden tener
enfoques distintos para mantener la comunicación
La comunicación se lleva a cabo en diferentes con la entidad auditada, es conveniente informar a
etapas y a diferentes niveles8. la dirección sobre todos los casos de
incumplimiento para que ésta pueda tomar las
6.3.1 La comunicación en la fase de medidas necesarias.
planificación
6.3.3 La comunicación en las etapas de
Los auditores interactúan con el nivel de dirección presentación de informes y seguimiento
correspondiente y con los encargados de la
gestión, considerando las disposiciones relevantes Los auditores deben preparar un informe escrito
de las leyes que regulan dicha interacción. Entre para los usuarios previstos. La redacción del
los puntos clave que pueden revisarse con la informe puede diferir entre una y otra EFS, pero
entidad auditada se incluyen los siguientes: algunas de ellas incorporan las opiniones de la
dirección en el mismo. Esto le permite a los
i. La estrategia general de auditoría; usuarios analizar el punto de vista de la dirección a
ii. La oportunidad y duración de la auditoría; la vez que revisan el informe de los auditores.
iii. Las responsabilidades de los auditores y la
entidad auditada. Generalmente la entidad De acuerdo con su mandato de auditoría, algunas
auditada designa a una persona específica EFS pueden ordenar a la entidad auditada que
para que proporcione la información y el apoyo corrija los casos identificados de incumplimiento. Al
necesarios durante toda la auditoría; hacerlo, los auditores del sector público deben
iv. Los criterios de auditoría. En los casos en los determinar si su independencia y objetividad
que estos criterios no son directos, los pueden verse afectadas y tomar las acciones
necesarias para evitarlo.
7
ISSAI 1260,7
8
ISSAI 4100.115, 116
Página 75
6.4 CONCLUSIÓN
Este capítulo se centra en la importancia de la
documentación y la comunicación durante el
proceso de auditoría. El auditor siempre debe
preparar la documentación pertinente para una
auditoría específica antes de escribir el informe
sobre la misma. Además, los auditores deben
hacer uso de su juicio profesional para determinar
la forma y el contenido de la comunicación. Es
preferible que la comunicación sea por escrito ya
que esto facilita la documentación apropiada de la
interacción. En el siguiente capítulo sobre los
informes de las auditorías de cumplimiento
mostraremos la manera en la que la obtención y
evaluación de la evidencia se refleja en los
informes de las auditorías de cumplimiento.
Página 76
Capítulo 7:
Informes de una auditoría de

cumplimiento
Página 77
7.1 INTRODUCCIÓN apropiadamente los resultados de la misma. Para

garantizar que el informe se elabore de
conformidad con las normas aceptables de calidad
Este capítulo explica la etapa de elaboración del
y sea relevante para todos los usuarios, es
informe en el proceso de auditoría y se enfoca en
necesario que esté basado en los principios de
la forma y contenido del mismo en el caso de una
integridad, objetividad, oportunidad y celebración
auditoría de cumplimiento. También se refiere al
de un proceso contradictorio tanto en su formato
proceso de seguimiento. En los capítulos
como en su contenido.
anteriores se presentaron las técnicas y métodos
para la obtención y evaluación de la evidencia de
auditoría, lo que permiten alcanzar conclusiones y • El principio de integridad (completeness en
se comentó la importancia de la documentación y inglés) requiere que el auditor tome en
la comunicación en el proceso de una auditoría. consideración toda la evidencia relevante de la
Las acciones tomadas por el auditor para disminuir auditoría antes de emitir su informe.
los riesgos de auditoría y garantizar de este modo • El principio de objetividad (objectivity en inglés)
que la conclusión o la opinión sean adecuadas de requiere que el auditor aplique su juicio y
acuerdo con las circunstancias de la misma son de escepticismo para asegurar que todos los
vital importancia para todo el proceso. Esta informes sean correctos y que los resultados y
seguridad constituye el verdadero fundamento para las conclusiones se presenten de manera
la elaboración del informe de una auditoría de significativa y equilibrada.
cumplimiento. • El principio de oportunidad (timeliness en
inglés) implica que el auditor elabore el informe
en el momento oportuno, cuando los resultados
sean de utilidad y relevantes para los usuarios.
7.2 LOS INFORMES DE UNA • El principio relativo al proceso contradictorio
AUDITORÍA DE CUMPLIMIENTO (contradictory process en inglés) requiere que
el auditor verifique la exactitud de sus hallazgos
La presentación del informe es una parte con la entidad auditada e incorpore las
fundamental en una auditoría del sector público; respuestas de los funcionarios responsables
por lo tanto, es necesario manifestar si las según corresponda.
disposiciones legales y normativas aplicables han
sido incumplidas para que se lleven a cabo Asimismo, el contenido de los informes debe ser
acciones correctivas y que quienes hayan incurrido fácil de comprender, estar libre de vaguedades o
en incumplimientos sean considerados ambigüedades, ser conciso y lógico. Las EFS
responsables de sus actos. tienen diferentes opciones para elaborar el informe
de las auditorías de cumplimiento: emitir informes
El informe es también el producto más importante en formato extenso o en formato breve, emitir
de la auditoría, ya que presenta formalmente los conclusiones u opiniones. No obstante, al tomar la
resultados de la auditoría realizada por la EFS a decisión de cómo elaborar el informe, se espera
los usuarios previstos y a otros usuarios que el auditor considere los siguientes factores:
relevantes, y determina si la parte responsable ha
cumplido o no con los criterios establecidos. El • Las necesidades del usuario.
informe abre el camino para que la parte • El mandato de la EFS.
responsable tome las medidas necesarias para • La legislación y los reglamentos aplicables.
resolver los casos de incumplimiento y para que el • El nivel de seguridad que se proporciona.
auditor pueda dar seguimiento a sus resultados y, • El tipo de compromiso.
si aplica, para que lleve a cabo las acciones • La práctica acostumbrada para la elaboración
correctivas. de informes.
• La complejidad de los objetos de la revisión
En las auditorías de cumplimiento, las ISSAI sobre los que se informa.
disponen que al final de cada auditoría se elabore
un informe escrito en donde se expongan
Página 78
Esta lista no es exhaustiva; al decidir la extensión y 7.4 CONTENIDO DE UN

la estructura de los informes de una auditoría de
cumplimiento, las EFS deben considerar el entorno INFORME DE UNA AUDITORÍA
en el que éstas operan. DE CUMPLIMIENTO
Por lo general, los informes de las auditorías de
7.3 TIPOS DE INFORMES DE LA cumplimiento deben incluir los siguientes
elementos; aunque no necesariamente en el orden
AUDITORÍA DE CUMPLIMIENTO abajo indicado:
En las auditorías de cumplimiento el informe puede
a. Título.
presentarse en formato breve o extenso con el fin
b. Destinatario.
de proporcionar información eficiente a los usuarios
c. Alcance de la auditoría, incluyendo el período
previstos. Dependiendo de las circunstancias y los
de tiempo cubierto.
factores arriba mencionados, la EFS decidirá si
d. Identificación o descripción del objeto de la
prepara un informe breve o extenso.
revisión.
e. Criterios identificados.
Los informes extensos, a veces conocidos como
f. Identificación de las normas de auditoría
“informes especiales de auditorías de
aplicadas al realizar el trabajo.
cumplimiento”, incluyen otros datos y explicaciones
g. Resumen del trabajo realizado.
cuyo objetivo no es menoscabar la conclusión del
h. Resultados.
auditor. Además de los elementos básicos, los
i. Conclusión/opinión.
informes extensos pueden describir en detalle los
j. Respuestas de la entidad auditada (según
términos del trabajo, los criterios utilizados, los
proceda).
resultados relacionados con aspectos específicos
k. Recomendaciones (según proceda).
de la auditoría, referencias sobre la formación
l. Fecha del informe.
profesional y experiencia del auditor, así como otro
m. Firma2.
tipo de datos relacionados con el trabajo, la
divulgación de los niveles de importancia relativa y,
A continuación se presenta una breve explicación
en algunos casos, recomendaciones.
de cada una de las secciones del informe.
Los informes breves por lo general incluyen
a. Título:
únicamente los elementos básicos. Estos informes
El título debe dar una idea resumida del alcance de
son más concisos y están escritos en un formato
la auditoría a un lector no involucrado en el
más estandarizado. El auditor puede considerarlo
proceso.
útil para transmitir sólo la información significativa
para las necesidades del usuario.
b. Destinatario:
En los casos en que el mandato de la EFS El destinatario es la parte o las partes a quienes
establece que los informes deben tener un formato está dirigido el informe. El informe de auditoría
diferente al previsto en las directrices de las generalmente se dirige a la parte responsable pero,
auditorías de cumplimiento, éstas, no obstante, en algunos casos puede haber algún otro usuario
pueden ser útiles a los auditores del sector público que lo requiera.
adaptándolas de acuerdo a las circunstancias
específicas.1 c. Alcance de la auditoría, incluyendo el
período de tiempo cubierto
La introducción del informe establece el alcance de
la auditoría mediante una explicación clara del
objeto de la revisión principal, de la trascendencia y
los límites del trabajo en cuanto al cumplimiento del
1 2
ISSAI 4100 párrafo 142. ISSAI 400,59
Página 79
objeto de auditoría, tomando como base los • Métodos de medición o evaluación utilizados
criterios establecidos. La introducción también cuando los criterios aplicables permiten elegir
debe indicar el período de tiempo en el que se entre diferentes procesos.
realizó la auditoría. • Cualquier interpretación significativa obtenida al
utilizar los criterios aplicables en las
d. Identificación o descripción del objeto de circunstancias del trabajo.
la revisión3
El objeto de la revisión se refiere a la información, f. Identificación de las normas de auditoría
condición o actividad que se mide o evalúa frente a aplicadas al realizar el trabajo
determinados criterios. Esto se debe explicar Cuando las normas de auditoría de las EFS se
claramente en el informe de auditoría. basan en los Principios Fundamentales de
Auditoría de INTOSAI o son consistentes con
e. Criterios identificados 4 éstos, se puede hacer referencia a los mismos en
Los criterios contra los cuales se evalúa el objeto los informes de auditoría utilizando la siguiente
de la revisión deben estar debidamente leyenda:
identificados en el informe del auditor. Por lo tanto,
la identificación clara de los criterios en el informe …Hemos realizado nuestra auditoría de
es importante para que los destinatarios del mismo conformidad con [normas], que están basadas en
puedan comprender la base sobre la que se [o son consistentes con] los Principios
sustenta el trabajo y las conclusiones de los Fundamentales de Auditoría (ISSAI 100-999) de
auditores del sector público. Estos criterios pueden las Normas Internacionales de las Entidades
incluirse directamente en el informe o se puede Fiscalizadoras Superiores.
hacer referencia a ellos si se incluyen en una
declaración de la dirección o si se pueden obtener En algunos casos, las EFS pueden adoptar las
de otra fuente fácilmente accesible y confiable. Directrices de Auditorías de Cumplimiento como
las disposiciones legales y normativas autorizadas
Cuando los criterios no sean fácilmente para la elaboración de su trabajo. En estos casos,
identificables, o se tengan que obtener de otras se debe hacer referencia a ello mediante la
fuentes, deberán presentarse claramente en la siguiente leyenda:
sección correspondiente del informe del auditor.
Cuando los criterios sean contradictorios es … …Hemos realizado nuestra[s] auditoría[s] de
necesario explicar la contradicción. En estos casos [cumplimiento] de conformidad con las Normas
se deberán detallar, en la medida de lo posible, las Internacionales de las Entidades Fiscalizadoras
consecuencias potenciales que ello puede tener y, Superiores [para auditorías de cumplimiento].
si es necesario, emitir las recomendaciones
pertinentes. La referencia puede incluirse en el informe de
auditoría o la EFS puede manifestarla de manera
En tales circunstancias puede ser importante incluir más general incluyendo una gama definida de
lo siguiente: trabajos.
• La fuente de los criterios aplicables e indicar si Al identificar las responsabilidades relativas se

éstos se incluyen en una ley o reglamento, o si debe informar a los usuarios previstos que la parte
han sido publicados por alguna dependencia responsable lo es del objeto de la revisión, que el
autorizada o reconocida de expertos que evaluador lo es de la evaluación o medición de
aplican un procedimiento legal transparente; es dicho objeto de conformidad con los criterios
decir, si existen o no criterios establecidos aplicables y que el papel del auditor es expresar de
dentro del contexto del objeto de la revisión (si manera independiente una conclusión sobre la
no los hay, se debe explicar porqué se información del objeto.
consideran pertinentes).
3
ISSAI 100.26
4
ISSAI 4100/4200, sección 9.1.1.1.
Página 80
g. Resumen del trabajo realizado

El resumen del trabajo realizado facilita al usuario i. Conclusión/opinión
previsto la comprensión de la conclusión del El informe del auditor sobre objetos de la revisión
auditor. En teoría, en muchas de las auditorías se de cumplimiento, normalmente contiene una
puede utilizar una infinidad de procedimientos. No conclusión fundamentada en el trabajo de
obstante, en la práctica no es fácil expresarlos de auditoría. Cuando la auditoría de cumplimiento se
manera clara y sin ambigüedades. Por lo tanto, el lleva a cabo conjuntamente con una auditoría de
resumen del trabajo realizado debe dar una los estados financieros, la conclusión puede
explicación breve para que un lector no presentarse como una opinión (véase “Opinión”).
familiarizado con el objeto de la revisión sea capaz La conclusión también puede expresarse como una
de entender la manera en que se efectuó la respuesta más elaborada a preguntas específicas
auditoría. de auditoría5. El tipo de redacción puede verse
influido por el mandato de la EFS y el marco
Entre los factores que se deben considerar al jurídico en el que se desarrolla la auditoría6.
determinar el nivel de detalle que debe presentar el
resumen del trabajo realizado se incluyen los En el numeral 7.5 se explica en detalle la
siguientes: conclusión/opinión del auditor en una auditoría de
cumplimiento.
• Circunstancias específicas de la entidad (por
ejemplo, la naturaleza específica de las j. Respuestas de la entidad auditada (según
actividades de la entidad en comparación con proceda).
las que son típicas del sector). Incorporar las respuestas de la entidad auditada
• Circunstancias específicas del trabajo de para obtener el punto de vista de los funcionarios
auditoría que afecten la naturaleza y el alcance responsables entra dentro del principio conocido
de los procedimientos realizados. como principio contradictorio. Este principio es una
• Las expectativas del usuario previsto sobre el característica exclusiva e importante de las
nivel de detalle que debe mostrar el informe, auditorías del sector público. Se trata de presentar
basándose en las prácticas habituales o las las deficiencias o los resultados críticos de modo
leyes o reglamentos aplicables. tal que se aliente a la entidad auditada a tomar
medidas correctivas. Implica llegar a un acuerdo
Es importante redactar el resumen de manera con la entidad auditada sobre los hechos para
objetiva de modo que los usuarios previstos garantizar que se presentan de forma exhaustiva,
comprendan que el trabajo realizado es la base precisa y fidedigna. También supone, llegado el
sobre la que se sustenta la conclusión del auditor. caso, incorporar las respuestas de la entidad
Sin embargo, es necesario asegurarse de que el auditada a las cuestiones suscitadas de forma
resumen no sea tan sucinto como para restarle completa o resumida.
valor al trabajo de los auditores, especialmente
cuando ya han emitido una conclusión u opinión. k. Recomendaciones (según proceda)
El informe del auditor puede incluir, según proceda,
h. Resultados recomendaciones destinadas a lograr mejoras. Aún
La sección de hallazgos o resultados contiene la cuando dichas recomendaciones sean
descripción del auditor de la evidencia obtenida, la constructivas para la entidad auditada, no deben
cual se compara con los criterios utilizados. Debe ser tan detalladas como para menoscabar la
estar estructurada de manera lógica y basarse en objetividad del auditor del sector público en futuras
los criterios identificados para que el lector pueda auditorías. Si el auditor hace una recomendación
seguir el curso lógico de un argumento específico. específica y la parte responsable no la lleva a cabo
Cuando se incluye una gran cantidad de sino que considera otra opción, el auditor puede
información para sustentar los resultados de la verse tentado, en auditorías subsecuentes, a
auditoría, es mejor que esta información se incluya juzgar esto como un incumplimiento. En tales
en los apéndices.
5
ISSAI 4100/4200, sección 4 Definiciones.
6
ISSAI 4100/4200, sección. 9.1.1.2.
Página 81
casos, la clave es determinar si las opinión, lo cual debe manifestarse de manera clara
recomendaciones permiten a la entidad hacer uso y explícita.
de cualquier mecanismo que considere adecuado
de acuerdo a las circunstancias para lograr el Las conclusiones/opiniones deben estar
cumplimiento. directamente relacionadas con el objeto de la
revisión y la evidencia obtenida. Deben esclarecer
l. Fecha del informe y dar un mayor significado a resultados específicos
El informe de la auditoría de cumplimiento debe presentados en el informe. La desviación de los
fecharse y firmarse. El auditor debe asegurarse criterios lógicamente debe emanar de los
que la fecha del informe no sea anterior a la fecha resultados. Las conclusiones/opiniones deben ir
en que se haya obtenido la evidencia suficiente y más allá de presentar nuevamente la evidencia.
apropiada para respaldar su conclusión. Mientras que los resultados de la auditoría se
identifican comparando lo que debe ser (criterios
m. Firma de evaluación) con lo que realmente está
El informe de la auditoría de cumplimiento estará sucediendo (condiciones basadas en la evidencia
firmado por la persona debidamente autorizada de la auditoría), las conclusiones/opiniones reflejan
para hacerlo, generalmente el titular de la EFS u el resumen de la EFS y las opiniones basadas en
otra persona a la que se le haya delegado dicha estos resultados. Las conclusiones/opiniones
autoridad. pueden incluir la identificación de un tema general
o un determinado patrón en los resultados.
Como se mencionó anteriormente en este capítulo,
el auditor puede decidir elaborar un informe Como se mencionó anteriormente, la conclusión
extenso por diferentes razones, dependiendo de la puede presentarse como una declaración
necesidad de los usuarios o los objetivos claramente redactada de la opinión sobre el
específicos de una auditoría en particular. El cumplimiento, frecuentemente además de la
informe de formato extenso, también conocido opinión sobre los estados financieros. También
como informe especial, tiene la misma estructura puede expresarse como una respuesta más
básica que el informe de formato breve; no elaborada a las cuestiones específicas de
obstante, existen algunas pequeñas diferencias. auditoría. Mientras que la opinión es común en los
Dos de ellas son la inclusión de un Resumen trabajos de certificación (compromisos de
Ejecutivo y la estructura de las observaciones y los atestiguamiento o de elaboración de informes
resultados. directos), la respuesta a cuestiones específicas de
auditoría se utiliza con mayor frecuencia en los
trabajos de información directa. Cuando se emite
una opinión, el auditor debe manifestar si se ha
7.5 CONCLUSIONES/OPINIONES modificado o no basándose en la evaluación de la
DE UNA AUDITORÍA DE importancia relativa y la importancia. Para emitir
una opinión normalmente se requieren una
CUMPLIMIENTO estrategia y un enfoque de la auditoría más
elaborados7.
El informe de las auditorías de cumplimiento puede
variar dependiendo de las diferentes formas de
Los conceptos de los trabajos de información
conclusiones y opiniones estandarizadas. Cuando
directa y de certificación se incluyeron en el
la auditoría de cumplimiento se lleva a cabo
Capítulo 2 que hace énfasis en los Conceptos
conjuntamente con una auditoría de los estados
Principales. En ambos tipos de trabajo, el resultado
financieros, la conclusión puede presentarse como
final es el informe de cumplimiento. En los trabajos
una opinión clara sobre el cumplimiento. Cuando
de certificación (compromisos de atestiguamiento o
esto ocurre, la opinión sobre el cumplimiento debe
de elaboración de informes directos), al auditor se
estar claramente separada de la opinión sobre los
le entrega la información del objeto y por lo tanto,
estados financieros. Sin considerar el tipo de
expresa una conclusión/opinión para determinar si
trabajo o el nivel de seguridad proporcionado, el
auditor puede decidir si emitir una conclusión o una 7
ISSAI 400.59
Página 82
las declaraciones emitidas por la parte responsable • Cuando se expresan en términos de la

son o no correctas. En un trabajo de certificación el información del objeto y los criterios aplicables
auditor puede proporcionar una seguridad limitada “En nuestra opinión, las estimaciones de la
o razonable. Por otra parte, en el trabajo de actividad de la entidad han sido elaboradas
información directa (compromiso de elaboración de correctamente en todos los aspectos
informes directos) el auditor realiza la auditoría significativos con base en los criterios
basándose en los criterios y el objeto de la revisión aplicables”;
que ha sido identificado por la EFS. Una vez más,
la conclusión/opinión puede dar una seguridad Seguridad limitada: La conclusión/opinión de la
limitada o razonable. auditoría manifiesta que, con base en los
procedimientos realizados, no hay ningún elemento
Sin importar el tipo de trabajo, el informe debe que haya llamado la atención del auditor para que
manifestar claramente cualquier limitación del considere que el objeto de la revisión no cumple
alcance, la relevancia de los criterios y el nivel de con los criterios aplicables. Los procedimientos
seguridad proporcionado. Se debe observar que realizados en una auditoría de seguridad limitada
aunque una opinión es común en los trabajos de son pocos en comparación con los procedimientos
certificación, esto no significa que sólo las necesarios para obtener una seguridad razonable,
opiniones puedan o no modificarse. La ISSAI 4100 pero se espera que el nivel de seguridad, de
establece que las conclusiones (no las opiniones) acuerdo con el juicio profesional del auditor, sea
también pueden o no modificarse, lo cual se ha significativo para los usuarios previstos. Un informe
demostrado con ejemplos en esta sección. Estas de seguridad limitada transmite la naturaleza
conclusiones pueden ser similares a las opiniones limitada de la seguridad proporcionada.
pero también pueden ser las respuestas a las
cuestiones específicas. Entre los ejemplos de las conclusiones expresadas
de manera apropiada para un trabajo de seguridad
7.5.1 Conclusiones/opiniones en limitada se incluyen los siguientes casos:
trabajos de seguridad limitada y
• Cuando se expresan en términos del objeto de
razonable la revisión y los criterios aplicables, “Con base
en los procedimientos realizados y la evidencia
Al emitir sus conclusiones y opiniones, el auditor obtenida, no hemos detectado nada que nos
debe considerar el nivel de seguridad lleve a creer que [la entidad] ha dejado de
proporcionada: cumplir, en todos los aspectos importantes, con
los criterios establecidos.”
Seguridad razonable: Aquí la conclusión/opinión • Cuando se expresan en términos de la
de la auditoría se expresa de manera positiva, información del objeto y los criterios aplicables,
expresando que, en opinión del auditor, se cumple “Con base en los procedimientos realizados y la
o no con el objeto de la revisión en todos los evidencia obtenida, no consideramos que sea
aspectos importantes o, en los casos relevantes, necesario llevar a cabo ninguna modificación
que la información del objeto proporciona una de importancia relativa a la evaluación de los
visión real y justa de acuerdo con los criterios principales indicadores para que estén de
aplicables. acuerdo con los criterios establecidos.”
Entre los ejemplos de conclusiones expresadas de Como se indicó anteriormente, el formato del
manera apropiada en un trabajo de seguridad informe de auditoría de cumplimiento puede variar
razonable se incluyen los siguientes casos: mucho; no obstante, la consistencia de dicho
formato puede facilitar a los usuarios la
• Cuando se expresan en términos del objeto de comprensión del trabajo realizado y las opiniones
la revisión y los criterios aplicables, ”En nuestra alcanzadas, así como identificar circunstancias
opinión, la entidad ha cumplido con los criterios inusuales cuando ocurran. Esto, a su vez, facilita la
aplicables en todos los aspectos significativos”; calidad de la decisión tomada con base en el
informe de auditoría. Los auditores pueden utilizar
Página 83
los siguientes ejemplos de informe breve al Tributaria cumple en todos los aspectos importantes
expresar sus opiniones/conclusiones: con la Ley del Impuesto al Valor Agregado, CAP 223A.
… [secciones adecuadas para concluir el informe]…
7.5.2 Conclusión/opinión no
modificada 7.5.3 Conclusión/opinión modificada
Si no existe ningún caso de incumplimiento de
importancia relativa que reportar, el auditor expresa Los auditores del sector público modificarán sus
una conclusión no modificada (también llamada conclusiones en los siguientes casos8:
opinión limpia, sin reservas, o no calificada) cuando
supone: a. Casos de incumplimiento de importancia
relativa. Dependiendo del grado de
En el caso de un trabajo de seguridad razonable, incumplimiento, éste puede dar como resultado:
que la información del objeto ha sido elaborada, en
todos los aspectos importantes, de conformidad i. Una opinión o conclusión calificada (con
con los criterios aplicables; o reservas/con salvedades) (“Basándonos en el
trabajo de auditoría efectuado, consideramos
En el caso de un trabajo de seguridad limitada, que que, salvo en lo referente a [describir la
basándose en los procedimientos realizados y en excepción], la información del objeto de la
la evidencia obtenida, no ha surgido ninguna entidad auditada cumple, en todos los
cuestión que lleve al auditor a creer que la aspectos significativos, con [los criterios
información del objeto no se ha preparado, en aplicados '), o
todos los aspectos importantes, en conformidad ii. Una opinión o conclusión adversa (negativa)
con los criterios aplicables. (Con base en el trabajo de auditoría
efectuado, encontramos que la información
Ejemplo de una conclusión no modificada: del objeto no cumple…'); o
En este ejemplo, el objeto de la revisión de b. Limitación del alcance. Según la magnitud de la

cumplimiento se relaciona con la oficina nacional limitación, el resultado puede ser:
de recaudación tributaria y la auditoría reveló que
no existía ningún caso de incumplimiento con i. Una opinión o conclusión calificada (con
respecto a la ley aplicable. Las secciones reservas/con salvedades) ('Basándonos en el
introductorias sobre las responsabilidades de la trabajo de auditoría efectuado, consideramos
dirección y del auditor, así como las secciones que, salvo en lo referente a [describir la
finales del informe son similares a las presentadas excepción], la información del objeto de la
en el ejemplo de la sección 7.6 de este capítulo. entidad auditada cumple en todos los
aspectos significativos, con [los criterios
El siguiente ejemplo de informe en formato breve aplicados]…” o
solo debe utilizarse para fines ilustrativos. Algunas ii. Una abstención (Basándonos en el trabajo de
EFS utilizan el formato extenso del informe en el auditoría efectuado, no podemos emitir una
cual los resultados se describen con mayor detalle conclusión …')
en el contenido del mismo.
7.5.4 Conclusión/opinión calificada
.... [secciones introductorias del informe]… (con reservas/salvedades)
[Hemos auditado el cumplimiento de la Oficina
Nacional de Recaudación Tributaria de acuerdo con la El auditor expresa una conclusión calificada
Ley del Impuesto al Valor Agregado, CAP 223A de cuando, según su juicio profesional, los efectos o
fecha xx.xx.20XX.] posibles efectos de un objeto de la revisión no son
tan importantes como para emitir una conclusión
Conclusión no modificada
Con base en el trabajo de auditoría realizado, adversa o para abstenerse de emitir una
encontramos que la Oficina Nacional de Recaudación
8
ISSAI 4200.156
Página 84
conclusión. Cuando una auditoría de cumplimiento los aspectos importantes con la Ley del Impuesto al
se realiza en conjunción con una auditoría de los Valor Agregado, CAP 223A.
estados financieros, el auditor puede expresar una
… [secciones adecuadas para concluir el informe]…
opinión calificada si las desviaciones del
cumplimiento son de importancia relativa, o si el
auditor no puede obtener evidencia suficiente y
7.5.5 Conclusión/opinión adversa
adecuada para la auditoría y los posibles efectos (negativa)
pueden ser de importancia relativa aunque no
generalizadas.9 Cuando los auditores del sector público concluyen
que existen desviaciones del cumplimiento de
Ejemplo de una conclusión calificada de una importancia relativa, la opinión expresada10 puede
auditoría de cumplimiento: ser cualquiera de las siguientes:
En este ejemplo, el objeto de la revisión de la a. Calificada (si las desviaciones del cumplimiento
auditoría de cumplimiento se relaciona con la son de importancia relativa, pero no
oficina nacional de recaudación tributaria y el generalizada, o si los auditores del sector
auditor expresa un caso de incumplimiento que público no pueden obtener evidencia de
ocasionó cargos adicionales y multas a la entidad auditoría suficiente y apropiada y sus posibles
auditada. La desviación del cumplimiento no es tan efectos pueden ser de importancia relativa
significativa como para emitir una conclusión aunque no generalizada); o
adversa. Las secciones introductorias sobre las b. Adversa (si las desviaciones del cumplimiento
responsabilidades de la dirección y del auditor, así son de importancia relativa y generalizada).
como las secciones finales del informe son
similares a las presentadas en el ejemplo de la El auditor obtuvo evidencia de auditoría suficiente y
sección 7.6 de este capítulo. apropiada y concluye que las desviaciones del
cumplimiento, ya sean individual o conjuntamente,
El siguiente ejemplo de informe en formato breve son tanto de importancia relativa como
solo debe utilizarse para fines ilustrativos. Algunas generalizadas.
EFS utilizan el formato extenso del informe en el
cual los resultados se describen con mayor detalle Ejemplo de una conclusión de auditoría de
en el contenido del mismo. cumplimiento adversa:
... [secciones introductorias del informe]… En este ejemplo, el objeto de la revisión de la

auditoría se refiere a la oficina nacional de
[Hemos auditado el cumplimiento de la Oficina recaudación tributaria y la auditoría reveló que no
Nacional de Recaudación Tributaria de acuerdo con la
se estaban aplicando las medidas necesarias para
Ley del Impuesto al Valor Agregado, CAP 223A de
fecha xx.xx.20XX.] los contribuyentes morosos como se estipulaba en
la Ley. La desviación del cumplimiento se
Bases de la conclusión/opinión calificada consideró de importancia relativa. Las secciones
introductorias sobre las responsabilidades de la
La legislación del IVA requiere que la Oficina Nacional dirección y del auditor, así como las secciones
de Recaudación Tributaria envíe al Congreso informes finales del informe son similares a las presentadas
trimestrales. No se elaboraron informes para el período
correspondiente del 1 de abril al 30 de junio de 2013.
en el ejemplo de la sección 7.6 de este capítulo.
Opinión/conclusión calificada El siguiente ejemplo de informe en formato breve

solo debe utilizarse para fines ilustrativos. Algunas
Con base en el trabajo de auditoría realizado, EFS utilizan el formato extenso del informe en el
encontramos que, excepto por el caso de cual los resultados se describen con mayor detalle
incumplimiento indicado en el párrafo correspondiente
en el contenido del mismo.
a las Bases para una Conclusión Calificada, la Oficina
Nacional de Recaudación Tributaria cumple en todos
9 10
ISSAI 4200.169a ISSAI 4200.169b
Página 85
de cumplimiento con respecto al cumplimiento de

... [secciones introductorias del informe]… la Oficina Nacional de Recaudación Tributaria con
la Ley del Impuesto al Valor Agregado, CAP 223A.
[Hemos auditado el cumplimiento de la Oficina
La oficina respectiva no conservaba
Ley del Impuesto al Valor Agregado, CAP 223A de adecuadamente los expedientes individuales de los
fecha xx.xx.20XX.] contribuyentes del Impuesto al Valor Agregado;
además, sólo 20 de los 200 expedientes de los
Bases para la conclusión/opinión adversa contribuyentes registrados estaban completos y
contenían evaluaciones. Las secciones
La legislación del IVA estipula que los decomisos y introductorias sobre las responsabilidades de la
embargos en casos de incumplimiento deben aplicarse
a los contribuyentes morosos que deban más de
dirección y del auditor, así como las secciones
US$10,000.00. Aun cuando hubo casos de finales del informe son similares a las presentadas
contribuyentes morosos en dicha categoría, estas en el ejemplo de la sección 7.6 de este capítulo.
medidas no se pusieron en práctica tal como la Ley lo
estipula. El siguiente ejemplo de informe en formato breve
solo debe utilizarse para fines ilustrativos. Algunas
Conclusión adversa
EFS utilizan el formato extenso del informe en el
Con base en el trabajo de auditoría realizado, cual los resultados se describen con mayor detalle
encontramos que, debido a la importancia del objeto en el contenido del mismo.
de la revisión indicado en el párrafo anterior referente a
las Bases para una Conclusión Adversa, la Oficina
Nacional de Recaudación Tributaria no cumple en .... [secciones introductorias del informe]…
todos los aspectos importantes con la Ley del
Impuesto al Valor Agregado, CAP 223A. [Hemos auditado el cumplimiento de la Oficina
… [secciones adecuadas para concluir el informe]… Ley del Impuesto al Valor Agregado, CAP 223A de
fecha xx.xx.20XX.]
Bases para la abstención

7.5.6 Abstención de
La Oficina Nacional de Recaudación Tributaria no ha
opinión/conclusión conservado adecuadamente los expedientes
individuales de los contribuyentes que contienen
Cuando los auditores del sector público no pueden información sobre la evaluación del Impuesto al Valor
obtener evidencia suficiente o apropiada del Agregado. Sólo 20 de los 200 expedientes de los
cumplimiento con las disposiciones legales y contribuyentes registrados estaban completos y
contenían evaluaciones. No hubo otros procedimientos
normativas y los posibles efectos son de
confiables que pudiéramos efectuar para determinar si
importancia relativa y generalizada, los auditores la Oficina Nacional de Recaudación Tributaria cumplía
del sector público se abstienen de emitir una con la Ley del IVA con respecto a la evaluación de los
opinión sobre el cumplimiento11. contribuyentes.
El auditor no ha podido obtener evidencia Abstención

suficiente y apropiada para la auditoría debido a
Con base en el trabajo de auditoría efectuado y debido
incertidumbre o limitaciones en el alcance que son a la importancia del objeto de la revisión señalado en
tanto de importancia relativa como generalizada. el párrafo anterior correspondiente a las Bases para la
Abstención, no podemos emitir ninguna conclusión
Ejemplo de abstención en una auditoría de sobre el cumplimiento de la Oficina Nacional de
cumplimiento Recaudación Tributaria de las estipulaciones de la Ley
del IVA.
Se emite una abstención cuando el auditor del … [secciones adecuadas para concluir el informe]…
sector público no ha podido emitir una conclusión.
En este ejemplo, se debía efectuar una auditoría
11
ISSAI 4200.170
Página 86
7.5.7 Párrafo de énfasis y párrafo Ejemplo de un párrafo de énfasis u otro(s) objeto(s) de

la revisión
sobre otros objetos de la revisión
Las secciones introductorias sobre las responsabilidades
En ciertas situaciones puede ser necesario dar de la dirección y del auditor, así como las secciones finales
detalles sobre algunos objetos de la revisión del informe son similares a las presentadas en el ejemplo
de la sección 6. 6.
específicos que no afectan la conclusión del
informe de la auditoría de cumplimiento pero que .... [secciones introductorias del informe]…
es importante mencionarlos debido a que han
llamado la atención del auditor. En tales Conclusión
circunstancias el auditor utiliza el párrafo de énfasis Con base en el trabajo de auditoría realizado, encontramos
en el objeto de la revisión u otros objetos de que la Oficina Nacional de Recaudación Tributaria cumple
en todos los aspectos importantes con la Ley del Impuesto
revisión. La decisión de incluir este párrafo
al Valor Agregado, CAP 223A.
depende de si el objeto de la revisión específico se
presenta o divulga o no, tal como se explica más Párrafo de énfasis
adelante. Llamamos la atención sobre la Nota xx de las cuentas que
detallan gastos administrativos por $xxxx.xx en relación
Párrafo de énfasis en el objeto de la revisión: con la información facilitada por la agencia sobre el
cumplimiento de las estipulaciones del convenio de
financiamiento. Nuestra conclusión no ha sido calificada
Si el auditor considera necesario llamar la atención con respecto a este objeto de la revisión.
de los usuarios previstos sobre un objeto de la
revisión presentado o divulgado en la información Párrafo sobre otros objetos de la revisión
del objeto que, a juicio del auditor sea tan Llamamos la atención sobre el hecho de que el presente
importante que resulte fundamental para que los informe ha sido elaborado para su utilización por la
usuarios previstos comprendan dicha información, organización donante XYZ y que, por lo tanto, puede no
resultar adecuado para otros fines.
deberá añadir un párrafo de énfasis en el objeto de
la revisión. … [secciones adecuadas para concluir el informe].…
Párrafo sobre otros objetos de la revisión:
Si, a juicio del auditor es necesario informar sobre 7.6 EJEMPLO DE UN INFORME
un objeto de la revisión diferente a los presentados
o divulgados en la información del objeto y éste es BREVE DE UNA AUDITORÍA DE
relevante para que los usuarios previstos CUMPLIMIENTO
comprendan la auditoría, las responsabilidades del
auditor o el informe de auditoría, el auditor añadirá Como se explicó anteriormente, el formato de un
un párrafo sobre otros objetos de la revisión. informe de auditoría de cumplimiento puede variar
dependiendo del número de factores tales como el
En caso de tener que incluir otro objeto de la mandato de la EFS, la legislación aplicable, las
revisión, el auditor debe indicar claramente en un prácticas seguidas habitualmente para la
párrafo del informe, con un encabezado adecuado, elaboración de los informes o la complejidad de las
que su conclusión no se ha modificado con cuestiones que se informan. Sin embargo, cierto
respecto al objeto de la revisión de la auditoría. Por grado de consistencia en el formato del informe
otro lado, en el caso de tener que incluir un párrafo puede ayudar a los destinatarios a comprender el
de énfasis, dicho párrafo sólo hará referencia a la trabajo realizado y las conclusiones resultantes, así
información presentada y divulgada en la como a identificar circunstancias especiales, en
información del objeto. El siguiente ejemplo sólo se caso de que surjan. El siguiente ejemplo de
presenta con fines ilustrativos. informe breve es exclusivamente de carácter
ilustrativo. Algunas EFS optarán por un informe
extenso en el que los resultados se describen
con más detalle en el contenido del documento.
Página 87
Informe de la auditoría de cumplimiento realizada por la

7.7 SEGUIMIENTO DE LA
EFS de XXX AUDITORÍA
[Destinatario, por ejemplo, Organización donante XYZ]
Informe sobre [el cumplimiento por la agencia gubernamental Las directrices de auditoría recomiendan que los
ABC de las estipulaciones del convenio de financiamiento auditores den seguimiento a los casos de
celebrado con la organización donante XYZ de fecha incumplimiento cuando esto sea conveniente.
xx.xx.20XX]
Hemos auditado [el cumplimiento por la agencia
En el proceso de seguimiento, el auditor de
gubernamental ABC de las estipulaciones del convenio de
financiamiento celebrado con la organización donante XYZ de cumplimiento supervisa el caso para asegurarse
fecha xx.xx.20XX, tal y como se establece en las cuentas del que la parte responsable ha puesto en práctica
proyecto para el ejercicio que finalizó el 31.12.20XX que medidas correctivas para reparar el incumplimiento
muestran gastos por un total de $ xxxxxx.xx].. identificado en el (los) informe(s) previo(s) de
Obligaciones de la dirección auditoría. Cuando esto es necesario, la EFS debe
De conformidad con [las estipulaciones del convenio de dar seguimiento a sus recomendaciones para
financiamiento celebrado con la organización donante XYZ de poder entregar al usuario pertinente una
fecha xx.xx.20XX], la dirección de la agencia gubernamental
actualización de las acciones e iniciativas de la
ABC tiene la obligación de [elaborar las cuentas íntegras del
proyecto en cumplimiento de lo estipulado en el convenio de parte responsable para corregir el incumplimiento.
financiamiento].
Obligaciones del auditor Se debe tener en cuenta que el proceso de
Nuestra obligación es expresar de manera independiente una seguimiento puede no ser aplicable en todos los
conclusión sobre [las cuentas del proyecto] basada en nuestra casos y en todas las EFS. El mandato de la EFS
auditoría. Nuestro trabajo se ajustó a lo dispuesto en los junto con la naturaleza de la auditoría determinará
[Principios fundamentales de auditoría y Directrices para la si el seguimiento debe efectuarse.
auditoría de cumplimiento de la INTOSAI]. Estos principios
requieren de nuestra parte la observancia de las exigencias
éticas y una planificación y ejecución de la auditoría 7.7.1 Razón para el seguimiento
destinadas a obtener una seguridad razonable de que [la
utilización de los fondos del proyecto se ha efectuado, en
todos los aspectos significativos, conforme a lo estipulado en
La EFS juega un papel importante para vigilar las
el convenio de financiamiento de fecha xx.xx.20XX].. acciones adoptadas por la parte responsable en
Una auditoría implica la aplicación de procedimientos para
respuesta a las cuestiones resultantes del informe
obtener evidencia suficiente y apropiada que fundamente de auditoría. La necesidad de dar seguimiento a
nuestra conclusión. Los procedimientos aplicados dependerán los casos de incumplimiento previamente
del juicio profesional del auditor, que podrá consistir también reportados variará según la naturaleza del objeto
en el análisis del riesgo de incumplimiento de importancia de la revisión en cuestión, el incumplimiento
relativa, ya sea por fraude o error. Los procedimientos de
auditoría aplicados son los que hemos juzgado convenientes identificado y las circunstancias específicas de la
según las circunstancias. Opinamos que la evidencia de auditoría. El proceso de seguimiento facilita la
auditoría obtenida resulta suficiente y apropiada para implementación eficiente de las acciones
fundamentar nuestra conclusión. correctivas y proporciona retroalimentación útil a la
Conclusión entidad auditada, a los usuarios del informe y a los
Con base en el trabajo de auditoría efectuado, consideramos auditores para la planificación de futuras auditorías.
que [la utilización por la agencia gubernamental ABC de los
fondos para el proyecto recibidos de la organización donante El seguimiento sirve a las tres partes para muchos
XYZ] cumple, en todos los aspectos significativos, con [lo
estipulado en el convenio de financiamiento de fecha propósitos. Entre estos se incluyen los siguientes:
xx.xx.20XX]. • Para la parte responsable:
[Respuestas de la entidad auditada, según corresponda, por Demuestra la eficiencia de la entidad auditada
ejemplo de modo resumido bajo el encabezado “Respuestas para tratar el objeto de la revisión.
de la entidad auditada “, o en forma de apéndice] • Para el presunto usuario:
[Recomendaciones cuando corresponda, por ejemplo bajo el Es una actualización de lo que ha logrado la
encabezado “Recomendaciones”, o en forma de apéndice] parte responsable y las fallas existentes, si las
[Fecha del informe del auditor] hay.
[Firma del auditor] • Para el auditor:
Página 88
Evaluar la eficacia de su trabajo. Algunas EFS, dependiendo de la frecuencia de un

trabajo de auditoría, efectuarán las acciones de
7.7.2 A qué se le debe dar seguimiento al mismo tiempo que realizan la
auditoría.
seguimiento
El seguimiento se centra en determinar si la 7.7.4 Cómo efectuar el seguimiento
entidad auditada ha tratado de resolver de manera
adecuada los objetos de la revisión destacados en Las EFS pueden haber establecido políticas y
un informe de auditoría específico. procedimientos para efectuar el seguimiento. El
auditor puede preparar un plan de auditoría
A continuación presentamos algunos ejemplos de identificando los recursos que se van a utilizar, las
los aspectos a los que debe darse seguimiento: recomendaciones y los resultados de la auditoría
que deben ser examinados y el periodo de tiempo
• Recomendaciones en el informe de auditoría. en que se debe concluir.
• Cuestiones planteadas por los usuarios
previstos; por ejemplo, el Algunos procedimientos de auditoría que se
Parlamento/Congreso, alguna de sus utilizaron durante el trabajo inicial pueden aplicarse
comisiones o el público en general. durante el seguimiento. El auditor debe determinar
la conveniencia de usar estos procedimientos.
Es importante resaltar que el auditor puede
extender el alcance para incluir otros aspectos Otros procesos de seguimiento pueden incluir
relevantes además de sus recomendaciones. En revisiones y evaluaciones internas realizadas por la
este caso, la clave es determinar si la entidad entidad auditada u otros organismos.
cumplió con todas las normas necesarias.
Sin importar la forma, el auditor debe obtener
evidencia de auditoría suficiente y apropiada para
7.7.3 Cuándo realizar un seguimiento respaldar sus resultados y conclusiones.
La decisión de cuándo realizar un seguimiento se El informe de seguimiento puede utilizar los
basará en varios factores. Si la auditoría fue un mismos lineamientos que se usaron en el trabajo
trabajo de certificación (compromiso de de auditoría, incluyendo su presentación a los
atestiguamiento o compromiso de elaboración de usuarios previstos.
informes directos), entonces el seguimiento puede
no ser necesario. No obstante, si los auditores
detectan desviaciones significativas que tengan
7.7.5 Decisiones de la EFS
implicaciones para los ciudadanos, incluso si el
trabajo de auditoría es aislado, es necesario dar Con base en los resultados del seguimiento, la
seguimiento a sus resultados. EFS puede continuar supervisando las medidas
implementadas por la entidad auditada o puede
Si la auditoría es un trabajo directo (compromiso de decidir llevar a cabo un trabajo de auditoría
elaboración de informes directos) y se realiza en completamente nuevo. En el caso de auditorías
períodos específicos, entonces el seguimiento periódicas, las acciones de seguimiento pueden
puede ser necesario. formar parte de la evaluación de riesgos del año
siguiente.
El auditor debe dar a la parte responsable tiempo
suficiente para implementar las recomendaciones
pero también debe asegurarse de que el
seguimiento es relevante para los usuarios
previstos. Como resultado, el auditor ejercerá su
juicio profesional a este respecto.
Página 89
7.8 CONCLUSIÓN
Este capítulo se enfocó en la elaboración de
informes que son el producto final de una auditoría
de cumplimiento. El informe del auditor debe estar
completo, ser objetivo y oportuno, y estar sujeto al
proceso revalidación antes de concluirlo. El
capítulo también resaltó las consideraciones que
deben tenerse en mente al emitir una
conclusión/opinión y los tipos de informes y de
conclusiones/opiniones.
Se destacaron y explicaron las partes específicas

de los informes breves. Finalmente, se mencionó el
concepto de seguimiento, en especial el momento
y la forma de realizarlo. Los factores importantes,
tales como el tipo de trabajo y la política de las
EFS en materia de seguimiento determinarán el
momento y la forma en que debe efectuarse.
Hasta el momento, el enfoque de este documento

ha sido presentarle a los participantes las
principales consideraciones que deben tomar en
cuenta al efectuar una auditoría de cumplimiento.
Ahora estamos listos para continuar con el
siguiente capítulo que explica la forma en que las
EFS pueden tomar acciones concretas para poner
en práctica las ISSAI en las auditorías de
cumplimiento.
Página 90
Capítulo 8:
Estrategias de implementación de las

ISSAI para auditorías de cumplimiento
Página 91
8.1 INTRODUCCIÓN
La guía proporcionada en este capítulo es para las
EFS que han decidido implementar las ISSAI para
La implementación de las ISSAI significa un
auditorías de cumplimiento de nivel 4, es decir, que
cambio fundamental que requiere de
han adoptado las ISSAI serie 4000 como sus
consideraciones institucionales y estratégicas por
normas reguladoras. Sin embargo, como se explicó
parte de la dirección de la EFS. Por lo tanto, antes
anteriormente, las EFS también pueden hacer
de emprender la iniciativa de implementación se
referencia a normas internas que sean
recomienda examinar algunos aspectos clave
consistentes con los principios fundamentales de
relacionados con las operaciones de la EFS. Estos
las auditorías de cumplimiento. Aunque esta guía
aspectos son, por ejemplo, el mandato de la EFS,
se limita a la estrategia de implementación de las
las expectativas de los usuarios, los recursos
ISSAI para auditorías de cumplimiento, se está
disponibles, el ambiente bajo el cual está operando
planeando desarrollar una guía con los
la EFS, sus prácticas actuales, etc. Sólo después
lineamientos para la implementación general del
de examinar estos aspectos a fondo la EFS estará
marco de referencia de las ISSAI como un
en posición de decidir de forma realista si quiere
documento separado. Muchas EFS cuentan con un
referirse a las ISSAI de las auditorías de
plan estratégico para un período en particular, por
cumplimiento (así como de otros tipos de
lo que resulta importante que la EFS integre su
auditoría). Si la respuesta es afirmativa, entonces
estrategia de implementación de las ISSAI para
necesitará saber cómo hacerlo y desarrollar la
auditorías de cumplimiento a su estrategia general,
estrategia de implementación que se describe en
tal como está establecido en su propio plan
este capítulo.
estratégico.
8.1.1 Estrategia de implementación de las ISSAI
para auditorías de cumplimiento
Las EFS pueden usar las ISSAI de nivel 3, es

decir, los principios fundamentales de las
auditorías de cumplimiento para establecer normas
internas como base para conducir sus auditorías o
usar las ISSAI de nivel 4. Al conducir una auditoría
las EFS necesitan declarar las normas que
aplicarán en ellas. Las EFS pueden declarar que
en las auditorías han aplicado las normas internas
que desarrollaron o adoptaron y que están basadas
en o son consistentes con las ISSAI de nivel 3. Sin
embargo, sólo pueden afirmar eso si sus normas
internas cumplen plenamente con todos los
principios relevantes de las ISSAI. En tales casos
sus informes de auditoría podrán incluir una
referencia al hecho de que las normas internas
usadas se basan o son consistentes con los
principios fundamentales de las auditorías de
cumplimiento de las ISSAI.
Por otro lado, en los casos en los que las EFS

quieran referirse a las ISSAI de nivel 4, el primer
paso será determinar los requisitos
correspondientes de las ISSAI para auditorías de
cumplimiento y evaluar el estado de la EFS con
respecto a dichos requisitos. La Figura 8.1 muestra
un resumen de este proceso.
Página 92
Figura 8.1: Proceso de toma de decisiones para la implementación de las ISSAI de las auditorías de
cumplimiento
¿La EFS quiere implementar las ISSAI?

SI
¿Cuál es el mandato de la EFS?
¿Cuáles son las expectativas de los usuarios?
¿Con qué recursos cuenta la EFS?
¿La EFS quiere hacer referencia a las ISSAI de

nivel 4 o desarrollar normas internas consistentes
con las ISSAI de nivel 3?
Nivel 3 Nivel 4
¿La EFS cuenta con normas internas para

auditorías de cumplimiento?
La EFS adoptó las ISSAI serie 4000

como normas reguladoras
Si No
Mapear las normas internas Es necesario desarrollar Mapear la metodología y práctica de

con los requisitos de Nivel 3 normas internas auditoría con las ISSAI utilizando la
herramienta iCAT CA
Mapear la práctica con los

requisitos
Evaluar lo que se necesita para
implementar las ISSAI para las
Evaluar las necesidades de auditorías de cumplimiento
implementación
Estrategia de implementación de las Estrategia de implementación de las

ISSAI para auditorías de cumplimiento ISSAI para auditorías de cumplimiento
Página 93
Como se puede ver en la Figura 8.1, cuando una

EFS quiere implementar las ISSAI y establecer una Las EFS pueden elaborar un solo documento
estrategia para ello necesita considerar primero normativo, una serie de tales documentos o una
cuál es su mandato, es decir, si las leyes combinación de documentos normativos y otros
respectivas le dan a la EFS la facultad de conducir documentos reguladores.
auditorías de cumplimiento. De ser así, entonces
¿en qué forma se menciona en las leyes la El siguiente paso es mapear las normas internas
capacidad de la EFS para conducir diferentes tipos con los requisitos de las respectivas ISSAI de nivel
de auditorías? La interpretación del mandato 3. Sin embargo, para referirse a las ISSAI de nivel
también es muy importante, ya que permite saber 3 no es suficiente con revisar que las normas
su alcance y los diferentes tipos de auditoría que internas sigan sólo los requisitos de dichas ISSAI.
puede desarrollar. Es igual de importante corroborar que las
auditorías de la EFS se conduzcan conforme a las
Además de su mandato, la EFS también necesita normas. Mediante este mapeo la EFS será capaz
determinar cuáles son las expectativas que tienen de identificar las necesidades evaluando las
los usuarios sobre su trabajo con qué recursos deficiencias tanto en las normas como en la
cuenta, p. ej. recursos humanos o de otro tipo, así práctica. A partir de esto se puede formular una
como la competencia y capacidad de la fuerza de estrategia de implementación para superar tales
trabajo disponible para llevar a cabo las auditorías deficiencias.
de manera profesional y el ambiente en el que está
operando. Finalmente, junto con estos aspectos la Del mismo modo, como se muestra en la Figura
EFS necesita responder a la pregunta clave: 8.1, si el objetivo de la EFS es referirse a las ISSAI
¿cómo puede referirse a las ISSAI en sus informes para auditorías de cumplimiento de nivel 4
de auditoría? entonces puede empezar por mapear su práctica
actual con respecto a los requisitos de estas ISSAI.
Antes de formular una estrategia de La Herramienta para la Evaluación del
implementación de las ISSAI para auditorías de Cumplimiento de las ISSAI para auditorías de
cumplimiento, la EFS necesita decidir cómo le cumplimiento (iCAT) puede usarse para este
gustaría referirse a las ISSAI. El proceso de toma propósito. La siguiente sección de este capítulo
de decisiones con dos escenarios posibles se sirve de guía para el desarrollo de una Estrategia
ilustra en la Figura 8.1. Como se mencionó de Implementación de las ISSAI para auditorías de
anteriormente, si la EFS decide referirse a las cumplimiento basada en la iCAT.
ISSAI de nivel 3, entonces necesita contar con
normas internas para auditorías de cumplimiento 8.1.2. Marco de referencia para la estrategia de
que estén en línea con los principios de la ISSAI implementación de las ISSAI
400. Si la EFS no cuenta con tales normas pero
aún así desea referirse a las ISSAI de nivel 3, Para integrar las ISSAI de Nivel 4 en sus prácticas
entonces necesita desarrollarlas. de auditoría se ha desarrollado una herramienta
que proporciona un procedimiento paso a paso
Las ISSAI de nivel 3, Principios Fundamentales de para servir de guía a las EFS. Este procedimiento
Auditoría, son la base de las Directrices Generales toma en cuenta varios factores que le permitirán a
de Auditoría del nivel 4 del marco de referencia de las EFS adoptar diferentes estrategias de acuerdo
las ISSAI. Los principios del nivel 3 se pueden usar con su mandato, leyes y reglamentos. El marco de
para desarrollar normas reguladoras en tres referencia propuesto para la Estrategia de
formas: Implementación de las ISSAI para auditorías de
cumplimiento (Figura 8.2) describe cada paso por
• como base sobre la que las EFS pueden el que la EFS necesita pasar para formular una
desarrollar normas; estrategia que se adapte a su naturaleza y su
• como base para la adopción de normas ambiente.
internas consistentes;
• como base para la adopción de las Directrices
Generales de Auditoría como normas.
Página 94
Función de la Auditoría de
Cumplimiento de la EFS
Paso 1
iCAT
Fortalezas Debilidades
Paso 2 FODA
Independencia y Procesos básios de la
marco legal EFS
Oportunidades Amenazas
Liderazgo y Expectativas de los
gobernanza interna usuarios
DETERMINAR
Paso 3 LAS
PRIORIDADES
Paso 4 FORMULAR LA
ESTRATEGIA
Tamaño
Ambiente:
• Político
Recursos • Social
• Económico
Paso 5
Experiencias SELECCIONAR
LAS OPCIONES
ESTRATÉGICAS
Paso 5
Estrategia de Implementación de las ISSAI
Figura 8.2 Marco de referencia para la estrategia de implementación de las ISSAI para auditorías de
cumplimiento
Página 95
8.2 PROCESO DE Nota: Bajo el Programa 3i, la Iniciativa de

Desarrollo de la INTOSAI (IDI), en colaboración
FORMULACIÓN DE LA con los tres subcomités del Comité de Normas
ESTRATEGIA DE Profesionales de la INTOSAI y las EFS regionales
han capacitado a un grupo de facilitadores en
IMPLEMENTACIÓN DE LAS determinadas EFS. La información de los
ISSAI facilitadores de las ISSAI está disponible en el
portal de la Comunidad 3i en
Como se puede ver en la Figura 8.2, hay varios www.idicommunity.org. Los facilitadores de las
pasos críticos que la EFS debe seguir para ISSAI en cada EFS podrán ayudarlas a aplicar la
formular una estrategia de implementación sólida y iCAT para sus respectivas prácticas de auditoría.
eficaz que permita una aplicación sostenible de las Por lo tanto, se recomienda ampliamente a las EFS
ISSAI. Estos pasos son los siguientes. que contraten a facilitadores capacitados para
guiar y ayudar al equipo que está trabajando con la
Paso 1: Mapear la práctica de las auditorías de iCAT.
cumplimiento de la EFS con respecto a los
requisitos de las ISSAI.
Paso 2: Realizar un análisis FODA
Paso 3: Determinar las prioridades de la EFS
Paso 4: Identificar las opciones estratégicas para
abordar los aspectos prioritarios
Paso 5: Seleccionar las opciones estratégicas de
la EFS
Paso 6: Formular la estrategia de implementación
de las ISSAI para las auditorías de
cumplimiento
A continuación se explican estos seis pasos.
Paso 1: Mapear la práctica de las auditorías de

cumplimiento de la EFS con respecto a los
requisitos de las ISSAI
El primer paso de la EFS es mapear su práctica

actual con respecto a los requisitos de las ISSAI
para las auditorías de cumplimento. La
Herramienta de Detección de Necesidades para el
Cumplimiento de las ISSAI (iCAT) de las auditorías
de cumplimiento ayudará a la EFS con este
ejercicio. Por medio de esta herramienta la EFS
será capaz de identificar las causas de
incumplimiento y formular las acciones necesarias
para cumplir con las ISSAI. Es importante que la
EFS conduzca este ejercicio con diligencia y
profesionalismo, ya que constituye una valiosa
aportación para la formulación de estrategias
prácticas y realizables.
Página 96
Para entender mejor los seis pasos del proceso

que se muestra en la Figura 8.2, se ha usado un
sencillo estudio de caso de la EFS X como
ejemplo. El contexto de la EFS X es el siguiente:
La EFS X tiene el mandato constitucional de realizar auditorías financieras, de cumplimiento y de desempeño, así
como la autoridad exclusiva de fiscalizar a todas las agencias del gobierno. La EFS X cuenta además con un
Código de Auditoría que explica sus poderes y funciones constitucionales, su jurisdicción y su estructura
organizativa.
La EFS tiene un Código de Ética que actualmente está siendo actualizado. También se ha creado una Oficina de
Investigación Administrativa bajo las órdenes del titular de la EFS para investigar cualquier comportamiento indebido
de los auditores, así como las posibles violaciones al Código de Ética y la Ley Anticorrupción. Los empleados de la
EFS tienen asimismo la obligación de presentar regularmente una declaración patrimonial.
La EFS cuenta con un Centro de Educación Continua que proporciona constantemente cursos prácticos y de
capacitación a varios niveles para su personal en distintas disciplinas. Para obtener una promoción es necesario
completar los cursos de un nivel particular. La EFS solamente contrata a profesionistas con licenciatura como
abogados debido a sus funciones de tipo judicial, contadores públicos certificados, ingenieros y otros profesionistas
que han aprobado el Examen del Servicio Público Profesional.
La EFS premia a sus empleados por su desempeño ejemplar y durante años sus galardonados han recibido el
reconocimiento del Estado de manos del presidente.
El código de auditoría requiere que las agencias auditadas proporcionen un espacio permanente y adecuado de
oficinas, así como los fondos y el equipo necesarios para el trabajo de los auditores de la EFS (auditorías
residentes). El código prohibe estrictamente que los auditores reciban algo más allá de esto de parte de las
entidades auditadas. Los infractores son inmediatamente sancionados, con penas que van desde una amonestación
hasta la terminación de su contrato con suspensión de beneficios.
Los grupos de auditorías pasan por un proceso de coordinación en el que los aspectos de alto impacto que parecen
existir en diferentes agencias o donde hay proyectos que son puestos en marcha por varias agencias son revisados
simultáneamente con la Dirección. Cuando esto sucede los auditores llenan formularios preestablecidos para cada
fase de la auditoría, empezando con una comprensión clara de la entidad que constituye la base para la
identificación de riesgos de incumplimiento. Los resultados se unen con las demás fases hasta que la auditoría
alcance la etapa de elaboración de informes.
Aunque el proceso de revisión es un tanto elaborado, la EFS X aún no ha puesto en operación una Oficina de
Aseguramiento de la Calidad para llevar a cabo una revisión independiente de los procesos de control de calidad de
la auditoría. Recientemente se realizó una evaluación del grado de cumplimiento de la EFS con las ISSAI usando la
iCAT para Auditorías de Cumplimiento. Los resultados preliminares se muestran más adelante.
La EFS X ha decidido implementar las ISSAI para realmente se necesita para que un requisito en
auditorías de cumplimiento de nivel 4 siguiendo el particular se “cumpla”, es decir, que la práctica de
proceso de seis pasos. Su primera tarea es auditoría de la EFS “cumpla” con ese requisito, el
completar el mapeo de sus prácticas actuales con presente ejemplo se da únicamente con fines
respecto a los requisitos de las ISSAI. ilustrativos y no para llevar a cabo el mapeo
completo usando la iCAT.
La Tabla 8.1 muestra un ejemplo de algunos de los
requisitos de las ISSAI para auditorías de Nota: El curso virtual realizado de octubre a
cumplimiento usados para mapear los casos de diciembre de 2012 bajo el Programa 3i proporcionó
cumplimiento con las prácticas de auditoría de la los lineamientos para la realización del mapeo
EFS X. Debido a que se ha hecho énfasis en que completo usando la iCAT para auditorías de
la iCAT debe aplicarse considerando lo que cumplimiento.
Página 97
La Tabla 8.1 muestra la evaluación de algunos

requisitos bajo el Nivel 4, en los que el estatus de
cumplimiento de la iCAT aplicada por la EFS X
aparece como "cumplido".
Manejo y control
implementación
Documentación
Comunicación
Mecanismo de
Resultados
de calidad
Política
Documentos
Requisitos Referencia Justificación de la evaluación
de referencia
10.1: El auditor identifica y evalúa el riesgo de ISSAI 4100.82 Cumpl Cumpl Cumpl Cumpl El requisito se encuentra incluido en el Manual de
fraude y obtiene evidencia suficiente y ido ido ido ido manual de auditorías de cumplimiento. Se auditorías de
apropiada en relación con los riesgos de fraude han preparado procedimientos y un cumplimiento.
detectados mediante la aplicación de cuestionario estándar para uso de los
procedimientos de auditoría adecuados. auditores. Los casos de fraude están
incluidos en el informe. La revisión del
procedimiento por parte de la dirección está
documentada en la auditoría.
10.2: En presencia de un presunto fraude, los ISSAI 4100.82 Cumpl Cumpl Cumpl Se encuentra incluido en el manual. Los Manual de
auditores del sector público se aseguran de ido ido ido auditores consultan a la dirección, asesores auditorías de
actuar adecuadamente en función del mandato legales y autoridades competentes. El cumplimiento,
de la EFS y las circunstancias particulares. asesor legal es parte del equipo de lineamientos
auditoría, así que siempre está "en el legales
lugar". La revisión de la dirección está
documentada.
11.5: Se procederá a realizar pruebas ISSAI 4100.89 Cumpl Cumpl El muestreo se hace con base en el juicio Manual de
adicionales de confirmación cuando existan ido ido profesional, sin embargo cuando se trata de auditorías de
riesgos significativos de incumplimiento. Si el áreas de alto riesgo existe la duda acerca cumplimiento.
enfoque de auditoría consiste sólo en pruebas de la suficiencia de los casos examinados.
de confirmación, entonces se llevarán a cabo Se usan principalmente pruebas de detalle.
pruebas de detalle (y no sólo pruebas Revisión de los documentos por parte de la
analíticas). dirección.
12.4: La EFS conservará la documentación de ISSAI Cumpl Cumpl Cumpl Se cuenta con requisitos para los métodos Reglas para el
la auditoría de cumplimiento en la que 4100.113 ido ido ido y tiempo de conservación de los archivos manejo y
constarán los criterios empleados, el trabajo de la auditoría. Los tiempos son apropiados conservación de
efectuado, la evidencia obtenida, los juicios y se comunican a todas las divisiones archivos y
emitidos y la revisión. Estos documentos se interesadas. La supervisión de la dirección documentos
conservarán durante un determinado período está documentada.
de tiempo.
14.1: Los auditores se mantendrán alerta ante ISSAI Cumpl Cumpl Cumpl El requisito se encuentra incluido en el Manual de
la posibilidad de que surjan indicios de actos 4100.118 ido ido ido manual. Se han preparado procedimientos auditorías de
ilícitos, incluyendo fraude, al llevar a cabo su y un cuestionario estándar sobre fraude cumplimiento.
labor. para uso de los auditores. La revisión de la
dirección está documentada.
Tabla 8.1: iCAT de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con estatus
"Cumplido"
Página 98
De manera similar, la Tabla 8.2 muestra algunos

casos de incumplimiento con los requisitos de las
ISSAI en la EFS X.
Manejo y control
implementación
Documentación
Comunicación
Mecanismo de
Resultados
de calidad
Política
Documentos
Requisitos Referencia Justificación de la evaluación
de referencia
2.3: Se han identificado criterios o pautas para ISSAI 4100.42 Parcial No No No Parcial Los criterios no están claramente definidos Manual de
cada auditoría mente cumpli cumpli cumpli mente en los documentos de trabajo ni en el auditorías de
cumpli do do do cumpli informe de auditoría debido al amplio cumplimiento.
do do alcance del objeto de la revisión, así como
de criterios adecuados. Ciertas acciones se
dan en la metodología, aunque la lista no es
exhaustiva.
2.6: Al identificar los criterios, se analiza la ISSAI 4100.50 No No No Cuando se evalúan los casos de
materialidad o importancia relativa en relación cumpli cumpli cumpli incumplimiento se está considerando la
con el riesgo de incumplimiento en cada objeto do do do importancia cualitativa dependiendo de las
de la revisión de la auditoría. circunstancias, por lo que en la etapa de
planificación la importancia relativa no está
claramente definida.
10.4: Se tendrán presentes las relaciones entre ISSAI 4100.84 No No Normalmente la auditoría se concentra en
distintas entidades públicas al analizar el riesgo cumpli cumpli las relaciones entre los sectores público y
de la auditoría, particularmente el de fraude o do do privado, que es donde hay mayor
incumplimiento. posibilidad de que ocurra fraude. Las
relaciones entre los organismos públicos
rara vez se consideran.
12.2: La documentación es una actividad que ISSAI Parcial No Todos los requisitos se encuentran Informe de
tiene lugar durante toda la auditoría. 4100.113 mente cumpli incluidos en el manual, pero el informe de revisión, manual
cumpli do revisión muestra deficiencias en la
do documentación y en la revisión continua de
la calidad.
15.5: El auditor aplicará procedimientos de ISSAI Parcial No No No No Normalmente todo el trabajo realizado a Manual de
auditoría para determinar si han sucedido 4100.134 mente cumpli cumpli cumpli cumpli este respecto se basa en hallazgos auditoría.
hechos posteriores durante el tiempo cumpli do do do do accidentales más que en procedimientos de
comprendido entre la finalización del trabajo de do auditoría enfocados. Los procedimientos de
campo y la fecha del informe de la auditoría auditoría necesarios no están claramente
que puedan dar lugar a un incumplimiento definidos en la metodología.
significativo.
Tabla 8.2: iCAT de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con estatus "No
cumplido"
Página 99
Las razones del incumplimiento pueden expresarse determinar sus debilidades y fortalezas en los
en términos de: términos de la auditoría de cumplimiento. A través
del análisis FODA la EFS puede evaluar su
• Las razones por las que decimos que no
situación actual y elaborar sus opciones
estamos cumpliendo, es decir, señalando cuál
estratégicas. Este ejercicio ayudará a explorar las
es el problema; o
amenazas y oportunidades que rodean a la EFS,
• Los hechos que demuestran la forma en que no además de ayudar a la alta dirección a tomar
estamos cumpliendo o que estamos decisiones informadas.
cumpliendo parcialmente con un requisito,
como se puede ver en este ejemplo. En el ejemplo de la iCAT de la Tabla 8.2 la
columna "justificación de la evaluación" explica las
Los ejemplos de la iCAT en las Tablas 8.1 y 8.2 razones del incumplimiento. Todo los requisitos
proporcionan una buena idea del grado de incumplidos de las ISSAI pueden tener la
cumplimiento de la EFS X con los requisitos de las explicación de su incumplimiento en esta columna
ISSAI para auditorías de cumplimiento de Nivel 4. de la iCAT. Una vez que la iCAT está completa
Sin embargo, para tener un panorama completo la muestra que por lo general las causas del
EFS debe llevar a cabo el mapeo de todos los incumplimiento con los requisitos tienen su origen
requisitos. La información de la iCAT ayuda al en un nivel organizacional más amplio, como el
equipo de diagnóstico a identificar las deficiencias, mandato, la legislación, los procedimientos
así como los sistemas y prácticas en vigor con los establecidos de la EFS o las prácticas diarias del
que cuenta para lograr el cumplimiento de los personal. Una vez más, todos estos aspectos
requisitos. organizacionales se encuentran en el nivel 2 de las
ISSAI, que trata aspectos como la independencia,
Paso 2: Realizar un análisis FODA el valor y beneficio, la transparencia y rendición de
cuentas, la ética y el control de calidad.
Después de evaluar el cumplimiento con los
requisitos de las ISSAI usando la iCAT, el equipo
deberá realizar un análisis FODA de la EFS para
La Figura 8.3 identifica los siguientes elementos de las ISSAI de nivel 2 y los agrupa en cuatro dominios.
Relaciones con
Liderazgo y partes
gobernanza interesadas
interna externas
Independencia y Procesos básicos
marco legal • Código de Ética de la EFS • Prácticas para la
• Disposiciones para la elaboración y
gestión presentación de
• Recursos informes
• Comunicación
Página 100
El primer dominio se refiere a la independencia Con base en los cumplimientos e incumplimientos

institucional de la EFS y describe los requisitos identificados por los resultados de la iCAT así
establecidos en la ISSAI 10 como por el escenario de la EFS, ésta puede
determinar sus puntos fuertes, puntos débiles,
El segundo dominio se refiere a la capacidad oportunidades y amenazas. Éstas pueden
organizativa y profesional del personal y la alta clasificarse bajo los cuatro dominios señalados en
dirección de la EFS. Una combinación de requisitos la Figura 8.3. Una vez que los puntos débiles y las
de las ISSAI de Nivel 2 se encuentra bajo este amenazas relacionadas se hayan identificado, se
dominio. podrá dar la dirección correcta a la EFS para
canalizar sus recursos con el fin de lograr una
El tercer dominio se refiere a los procesos básicos mejoría. Esto también ayudará a explorar los
de la EFS, que son los requisitos específicos para puntos fuertes y las oportunidades que la EFS
los procedimientos de auditoría. puede capitalizar para formular estrategias que le
permitan instituir prácticas sólidas de auditoría de
El cuarto dominio se refiere a las relaciones con los cumplimiento en conformidad con todos los
usuarios y partes interesadas externas, tanto en requisitos de las ISSAI.
términos de elaboración y presentación de
informes como de comunicación sobre la eficacia e El análisis FODA (paso 2) para la EFS X se
impacto de la auditoría. muestra en la Tabla 8.3.
Tabla 8.3: Análisis FODA de la EFS X

Fortalezas Debilidades
Independencia y marco legal Independencia
• Mandato fuerte y claro • Auditorías residentes
Liderazgo y gobernanza Liderazgo y gobernanza
• Liderazgo fuerte y dinámico que dirige con el ejemplo • Falta de tiempo o asignación de recursos insuficientes
• Auditores de cumplimiento enérgicos y competentes, capacitados para llevar a acabo las auditorías
en la interpretación estatutaria y legal y en la identificación y Procesos básicos de la EFS
análisis de la evidencia de auditoría • Falta de capacidad para organizar y preparar
• Clara rendición de cuentas en los trabajos de auditoría documentos de trabajo que puedan ser fácilmente
• Asignación y aceptación de la responsabilidad para los trabajos de comprendidos (Principio de documentación)
auditoría • No se cuenta con un marco estandarizado de calidad a
Procesos básicos de la EFS nivel de trabajo.
• Un sistema sólido para comunicar los resultados de la auditoría • Conocimiento inadecuado del proceso de administración
• Fuerte apoyo legal de riesgos de las entidades auditadas
• Educación continua del personal de la EFS • Estrategia general y planificación de la auditoría
• Procedimiento y metodología de auditoría que asegura que los preparadas de manera incorrecta
auditores apliquen la evaluación de riesgos e identifiquen los
riesgos de fraude
Oportunidades Amenazas
Liderazgo y gobernanza interna Independencia
• La dirección apoya una práctica sólida y firme nominando a sus • Alto riesgo de mala reputación debido a la percepción de
mejores auditores para que reciban el reconocimiento del gobierno falta de independencia
Procesos básicos de la EFS Procesos básicos de la EFS
• Autoridad exclusiva en la determinación del alcance, las áreas y • Aumento en el riesgo de auditoría
los métodos de auditoría • Prácticas de auditoría ineficientes e ineficaces
• Libre de intervención externa Relaciones externas con las partes interesadas externas
• Excelente conocimiento de las entidades auditadas • Riesgo de emitir un informe de auditor inapropiado
Relaciones externas con las partes interesadas externas
• Anima a los donadores a que financien las actividades de
capacitación con la asistencia de un Centro de Educación Continua
y un Manual de Auditoría
• Anima a las entidades auditadas a proporcionar capacitación en
leyes, reglamentos y normas de contabilidad y auditoría con ayuda
de las instalaciones de la EFS
Página 101
Al analizar los aspectos identificados en cada Por lo tanto, integrar los resultados de las dos
cuadro se obtiene un panorama general de los herramientas, iCAT y FODA, permitirá revelar una
puntos débiles y los retos que enfrentan las EFS e serie de aspectos estratégicos que requieren de
impiden que cumplan con los requisitos de las intervención.
ISSAI. La EFS también puede identificar sus
propias fortalezas y buenas prácticas que facilitan Paso 3: Determinar las prioridades de la EFS
el cumplimiento de los requisitos. Por otro lado, a
partir del análisis FODA las EFS también pueden Una vez que el equipo ha realizado el análisis
identificar sus puntos fuertes y buenas prácticas FODA para la EFS, los resultados muestran los
que facilitan su cumplimiento con los requisitos de principales problemas que enfrenta la organización.
las ISSAI. Por lo tanto, el análisis FODA, si se En esta etapa el equipo de evaluación debe hacer
conduce de manera objetiva, presenta un conjunto una lista de las fortalezas y debilidades en
único de hechos para cada EFS dentro de los diferentes áreas. En muchos casos pueden existir
cuatro dominios del Nivel 2. Por ejemplo, el fortalezas y debilidades similares a través de los
requisito de la ISSAI 4100.82 presentado en la cuatro dominios. Se espera que el equipo agrupe
iCAT de la EFS X en la Tabla 8.1 estipula que "El estos aspectos con los aspectos más amplios que
auditor identifica y evalúa el riesgo de fraude y enfrenta la EFS. Estos aspectos se considerarán
obtiene evidencia suficiente y apropiada en prioridades estratégicas si tienen el potencial de
relación con los riesgos de fraude detectados afectar o impedir directamente el establecimiento
mediante la aplicación de procedimientos de de una sólida práctica de auditoría de cumplimiento
auditoría adecuados". en la EFS. Por ejemplo, la EFS X no cuenta con un
"marco de control de calidad". Ésta es una cuestión
Al mismo tiempo, el análisis FODA reveló que la importante para la EFS, ya que el marco podría
EFS X cuenta con un punto fuerte identificado proporcionar las directrices para completar los
como un “procedimiento y metodología de auditoría archivos de auditoría a tiempo y establecer
que asegura que los auditores apliquen la expectativas claras de documentación. De la
evaluación de riesgos e identifiquen los riesgos de misma manera, aspectos como la falta de
fraude". capacidad e independencia del personal pueden
ser objetos de la revisión prioritarios para la EFS X.
El vínculo entre la iCAT y el análisis FODA explica
muchas de las relaciones causales de las En esta etapa es probable que el equipo deba
deficiencias identificadas mediante la iCAT. Por lo realizar un análisis más profundo para identificar
tanto, el análisis también ayudará a identificar las los aspectos comunes a los dominios principales.
razones de tales deficiencias. Al considerar las Se debe tener cuidado y actuar con la debida
deficiencias y sus causas a través de los dominios, diligencia para identificar los aspectos prioritarios
identificados como independencia y marco legal, bajo cada dominio. Puede resultar conveniente
liderazgo y gobernanza interna, procesos básicos involucrar en el proceso a la dirección, a los
de la EFS y relaciones con partes interesadas gerentes de nivel medio así como, de ser posible, a
externas, es posible que muchas de ellas puedan todo el personal. Sin embargo, se recomienda
vincularse bajo un aspecto común. Por ejemplo, la contar al menos con la participación de
ISSAI 4100.113 señala que “la documentación es representantes del personal, jefes de equipo o un
una actividad que tiene lugar durante toda la grupo focal familiarizado con las políticas, prácticas
auditoría” – un requisito no cumplido por la EFS X, y limitaciones del ambiente de trabajo. La
según lo revela la iCAT en la Tabla 8.2. Un análisis participación de personal de distintos niveles
posterior utilizando el FODA reveló que cuando se proporcionará diferentes perspectivas y ayudará a
evalúan casos de incumplimiento, existe la falta de identificar los aspectos estratégicos.
capacidad para organizar y preparar documentos
de trabajo que puedan ser fácilmente La EFS deberá dar prioridad a los aspectos
comprendidos, lo cual es un problema relacionado incluidos en el cuadro de debilidades y la
con la documentación. asignación de recursos o la estrategia deberán
enfocarse en remediar las deficiencias observadas
y en mitigar las posibles amenazas. Sin embargo,
Página 102
la EFS no deberá descuidar sus propias fortalezas, En esta etapa el equipo identifica varias opciones
ya que representan diferentes oportunidades para estratégicas dirigidas a superar las deficiencias.
aprovechar las mejores prácticas y sistemas con Por lo tanto, deberá empezar haciendo consultas y
los que ya cuenta. Apoyarse en estas fortalezas evaluando diversas ideas sobre las causas de
ayudará a la EFS a alcanzar su objetivo final que dichas deficiencias. Al igual que en el paso 3, el
es la implementación de una práctica de auditoría equipo deberá contar con la participación de la alta
de cumplimiento en conformidad con las ISSAI dirección, los gerentes de nivel medio y el grupo
focal para identificar las diversas opciones. Este
Como se puede ver en los ejemplos de iCAT y del enfoque participativo también ayudará a aumentar
análisis FODA de la EFS X, algunos de los la aceptabilidad y reducir la resistencia de los
aspectos prioritarios identificados (paso 3) por la empleados a la implementación de las estrategias.
EFS son:
En este ejemplo la EFS X ha identificado los
• Determinar el alcance de la auditoría; aspectos prioritarios enumerados en el paso 3.
• Las debilidades en las actividades de Para ilustrar el paso 4, algunas de las opciones
planificación; estratégicas que se tienen para abordar las
• Un proceso de documentación que incluya los prioridades identificadas son:
documentos de trabajo;
• Métodos para la recopilación de evidencia; • Revisar las prácticas seguidas por la EFS para
• Revisiones de calidad; e determinar el alcance de la auditoría;
• Independencia de los auditores residentes. • Actualizar la metodología existente para la
documentación de archivos, evaluación de
Paso 4: Identificar las opciones estratégicas riesgos y planificación de las auditorías de
para abordar los aspectos prioritarios cumplimiento;
• Mejorar la capacidad del equipo para
Con base en los aspectos prioritarios identificados documentar su trabajo de auditoría; y
en el paso 3, el equipo deberá buscar diversas • Desarrollar un sólido sistema de aseguramiento
opciones estratégicas para solucionar de la calidad.
apropiadamente estos problemas. Como se
mencionó arriba, se deberá enfocar en los
aspectos prioritarios y obtener una mayor
asignación de recursos para su resolución.
Figura 8.4: Factores que determinan la selección de las opciones estratégicas para la
implementación de las ISSAI
Recursos
Estrategia de
Tamaño Implementación Experiencia
de las ISSAI
Ambiente
Página 103
Paso 5: Seleccionar las opciones estratégicas propuestas, ya que es probable que cuenten con
de la EFS recursos limitados para llevar a cabo otros
proyectos además de las actividades de auditoría
Una vez que el equipo ha formulado las distintas establecidas por mandato en comparación con las
opciones estratégicas, deberá valorar las EFS más grandes. Sin embargo, éste puede no ser
alternativas dentro del contexto de varios factores el caso para todas las situaciones, dependiendo
clave que pudieran determinar la factibilidad de las del contexto local y otros factores. Por lo tanto, el
estrategias. Por lo tanto, al evaluar las opciones el equipo deberá considerar las diferentes opciones
equipo deberá considerar la disponibilidad de tomando en cuenta el tamaño de la EFS.
recursos, el tamaño de la EFS, los años de
experiencia en la conducción de auditorías de iii. Experiencia
cumplimiento y la dinámica del ambiente en el que
opera. Todos estos factores requieren de una Existen EFS con distintos grados de experiencia en
consideración cuidadosa, ya que implican aspectos auditorías de cumplimiento. La regla general es
complejos que son capaces de afectar que las EFS con más años de experiencia pueden
negativamente las iniciativas o estrategias tener cierta ventaja en la implementación de las
propuestas durante la implementación. estrategias en comparación con las EFS que
apenas están empezando o no tienen experiencia
Cada opción estratégica identificada en el paso 4 en la conducción de auditorías de cumplimiento.
se someterá a evaluación y se examinará con Por lo tanto, la selección de las opciones
respecto a varios factores para justificar la estratégicas también puede depender en gran
factibilidad y beneficios de las estrategias medida del número de años que la EFS lleva
propuestas. Por lo tanto, la selección de las realizando estas auditorías.
opciones estratégicas para la implementación de
las ISSAI debe verse desde cuatro aspectos o iv. Ambiente
factores principales, tal como se muestra en la
Figura 8.4. La viabilidad y factibilidad de las estrategias de
implementación de las ISSAI para auditorías de
i. Recursos cumplimiento también dependerá en gran medida
del ambiente en el que la EFS está operando
La elección de una opción estratégica debe tomar actualmente. Por lo tanto, el equipo también
en cuenta la disponibilidad de los recursos, tanto deberá analizar el ambiente desde varios aspectos,
humanos como financieros. Es muy común, incluyendo la diversidad social, económica, política
especialmente en las EFS de los países en y cultural para seleccionar las opciones
desarrollo, que este aspecto tenga demasiado estratégicas más viables. Es importante recordar
peso al determinar la elección de las alternativas que cada EFS opera en ambientes completamente
disponibles. Debido a que algunas de las diferentes y puede no haber una estrategia única
estrategias propuestas pueden implicar un reajuste que se adapte a todas ellas. Existen EFS con un
en la práctica de las auditorías de cumplimiento, lo esquema institucional estructurado bajo el sistema
que puede incluir reformas institucionales, el de tribunales o bajo el sistema Westminster
desarrollo y armonización de las leyes existentes y (parlamentarista), dependiendo del sistema político
la elaboración de manuales y políticas, la del país. Del mismo modo, cada EFS opera en un
consideración sobre los recursos es fundamental país con un nivel diferente de desarrollo
en todas las iniciativas propuestas. Los recursos socioeconómico y con diferentes creencias y
humanos e institucionales también son vitales al valores culturales, por lo que imponer una sola y
determinar si la EFS tiene la capacidad para poner única estrategia podría no tener sentido. Desde
en práctica las estrategias propuestas. una perspectiva geográfica más amplia todas las
EFS alrededor del mundo pertenecen a uno de los
ii. Tamaño muchos grupos regionales, como ASOSAI,
AFROSAI-E, ARABOSAI, CAROSAI, CREFIAF,
En general, las EFS pequeñas pueden encontrar EUROSAI, PASAI y OLACEFS. Sin embargo,
más difícil la implementación de las estrategias también es posible que no todas las EFS bajo el
Página 104
mismo grupo regional tengan una situación en promotor y tendrá un papel más importante en el
común, lo que requerirá de un conjunto único y éxito o fracaso de la implementación. Por lo tanto,
diferente de estrategias acorde a las necesidades el apoyo del titular de la EFS a las estrategias de
específicas de la EFS y a la situación que impera implementación de las ISSAI es esencial.
en su ambiente.
En el ejemplo de la EFS X, a partir de las dos
En el ejemplo de la EFS X, ésta formuló una lista opciones estratégicas la EFS X decidió actualizar
de opciones estratégicas como las descritas en el la metodología existente para la documentación de
paso 4. Asumiendo la disponibilidad de recursos, el archivos, evaluación de riesgos y planificación de
tamaño pequeño de la EFS, el nivel moderado de las auditorías de cumplimiento, para lo cual formuló
experiencia en la conducción de auditorías de un plan de acción.
cumplimiento y un ambiente favorable para la
implementación de las opciones estratégicas La siguiente sección describe el proceso de
seleccionadas, la EFS eligió las siguientes formulación de un plan de acción en los cuatro
opciones (paso 5): dominios identificados en el paso 2. En la Tabla 8.4
se muestra un ejemplo y se proporciona un formato
• Actualizar la metodología existente para la para preparar el plan de acción.
documentación de archivos, evaluación de
riesgos y planificación de las auditorías de
cumplimiento;
• Desarrollar un sólido sistema de aseguramiento
de la calidad.
Nota: es importante recordar que éste es

solamente un ejemplo con fines informativos y
puede no ser válido para todo tipo de situaciones.
Paso 6: Formular la estrategia de

implementación de las ISSAI para las auditorías
de cumplimiento
La implementación de estrategias toma tiempo y

más aún para las EFS que apenas empiezan. Para
lograr la implementación de estrategias a gran
escala se recomienda dar pequeños pasos en una
o dos estrategias fáciles en las que la EFS tenga
alguna confianza y experiencia. Comenzar con
estrategias fáciles y pequeñas le proporcionará
valiosas lecciones y experiencias que le permitirán
no tener que lidiar más adelante con estrategias
complicadas que pueden requerir un reajuste
mayor en la práctica de las auditorías de
cumplimiento.
Por lo tanto, el equipo deberá tomar en

consideración todos los factores discutidos arriba al
determinar la estrategia de implementación más
viable. Sin embargo, en esta etapa también es muy
importante que el equipo diseñe un proceso para
que el titular de la EFS y la alta dirección participen
en la selección de las opciones estratégicas más
viables. De hecho, la alta dirección es el principal
Página 105
8.3 FORMULACIÓN DE UN PLAN DE ACCIÓN

El plan de acción seguirá después de haber realizado el análisis
FODA y una vez que se ha pasado por el análisis de las
necesidades. Éste se presenta en forma de cuatro dominios, junto
con los problemas que se han identificado. A continuación se puede
ver un ejemplo del plan de acción para uno de los dominios:
Independencia y marco legal.
Tabla 8.4: Ejemplo y formato de preparación de un plan de acción
Dominio 1: Independencia y marco legal

Acciones/pasos Calendario Persona(s) Recursos Evaluación
de trabajo responsable(s)
[¿Qué se hará?] [Humanos/Financieros/ [¿Cómo sabrá la EFS que
[¿Cuándo?] [¿Quién lo hará?] Equipo/Herramientas, está progresando? ¿Cuáles
etc.] son los puntos de referencia?
Lanzar una iniciativa y trabajar 4° trimestre Titular de la EFS Grupo de trabajo Al hacer cumplir la
de cerca con el de 2014 y representante disposición de autonomía
Parlamento/Congreso para legal financiera.
hacer cumplir la disposición de
autonomía financiera de la
EFS X.
Lanzar una iniciativa y trabajar 4° trimestre Titular de la EFS Grupo de trabajo Al aprobar la enmienda para
de cerca con el de 2014 y representante la autonomía en la
Parlamento/Congreso para legal contratación de la EFS X
proponer cambios a la ley y propuesta al Parlamento o
darle al mandato de la EFS X Congreso.
la autonomía suficiente para la
contratación y desarrollo
profesional de los auditores.
Establecer la prioridad de las 4° trimestre Jefes de División Sin costo • Al clasificar a las entidades
asignaciones para las de 2014 en tres categorías: A, B y C
auditorías de acuerdo con los [A: auditoría anual; B:
recursos humanos y auditoría una vez cada dos
financieros disponibles y con años; y C: auditoría una
la capacidad del personal. vez cada tres años].
• Al usar el monto del
presupuesto asignado a
las entidades, la naturaleza
y el perfil de riesgo como
criterios para la
categorización.
Aprobado por:
Firma: _______________________________ Fecha: ___________________________
Nombre: _____________________________ Puesto: __________________________
Página 106
8.4 COMPROMISO DE LA ALTA 8.5 LINEAMIENTOS PARA LA

DIRECCIÓN EN LA PREPARACIÓN DEL PLAN DE
IMPLEMENTACIÓN DEL PLAN ACCIÓN
DE ACCIÓN
Al traducir estas opciones en un plan de acción, la
EFS necesitará identificar las actividades, el
Una vez que se ha preparado el plan de acción con
calendario de trabajo, los recursos necesarios y la
base en la serie de problemas a los que se
responsabilidad. Los planes de acción deberán
enfrenta la EFS para la implementación de las
evaluarse de manera continua para asegurar que
ISSAI, el mismo deberá presentarse al titular de la
la implementación de las ISSAI siempre siga por
EFS ya que el éxito de la implementación
buen camino. Después de completar el plan de
dependerá de su compromiso y dirección.
acción, éste deberá discutirse a nivel de dirección
Asimismo, el calendario de trabajo y los recursos
con el funcionario responsable y ser aprobado por
indicados en el plan de acción deberán acordarse y
el titular de la EFS.
ser aprobados por el titular de la EFS.
i. Identificación de las actividades para alcanzar
Para demostrar su compromiso con la
el resultado final
implementación del plan de acción, por ejemplo, el
titular de la EFS deberá emitir una orden ejecutiva
Al identificar las actividades, la EFS deberá hacer
para hacer que los funcionarios responsables
una lista de los proyectos o mejoras a los procesos
cumplan con el calendario de trabajo establecido
que deberán llevarse a cabo para lograr el
en el plan y evaluar el resultado de las acciones
resultado final.
implementadas. La EFS también deberá desarrollar
una cultura de la transparencia en la que los
ii. Calendario de trabajo
funcionarios señalados en el plan de acción sean
responsables de cualquier falla que llegara a
También es vital para el plan de acción programar
ocurrir y en la que aquellos con un alto desempeño
cada tarea, por lo que la EFS necesitará elaborar
sean premiados según corresponda.
un calendario de trabajo en el que se indique la
realización o aprobación de cada tarea. La EFS
También es el papel del titular de la EFS buscar el
deberá determinar si las fechas de entrega son a
financiamiento necesario para implementar el plan
corto o largo plazo con base en sus prioridades y el
de acción, en especial en las áreas de capacitación
ambiente actual. Estas fechas deberán ser
y adquisición de equipo, y contar con la
realistas, alcanzables y dependerán del ambiente y
infraestructura necesaria para lograr dichos
la disponibilidad de recursos de la EFS. Las EFS
resultados.
más pequeñas quizá deban considerar la
reasignación de funciones y deberes o el personal
Debido a que la implementación de las ISSAI
deberá desempeñar múltiples funciones debido a la
puede ser un área completamente nueva para
falta de personal dedicado exclusivamente a la
algunas EFS, la gestión y adaptación a dichos
realización de estas actividades. Esto podrá
cambios a menudo se vuelve difícil. Por lo tanto, la
requerir más tiempo para realizar las tareas. En
alta dirección de la EFS deberá comprometerse a
cuanto a la obtención de fondos, ésta deberá ser a
impulsar el cambio. El titular de la EFS podrá
largo plazo, ya que algunas EFS deben pasar por
delegar la responsabilidad por la implementación
un proceso presupuestario.
del plan de acción; sin embargo, deberá asumir la
responsabilidad final de la misma.
iii. Recursos necesarios
Las EFS necesitan considerar los recursos

necesarios para implementar las soluciones. Estos
recursos podrán ser de financiamiento, experiencia
técnica, materiales, equipo, recursos humanos y
Página 107
sistemas entre otros. La EFS también necesitará las EFS de los países en vías de desarrollo trabaja
considerar el costo de estos recursos con base en con recursos limitados. Todos estos pasos se han
su ambiente y su situación actual. ilustrado a través del ejemplo de la EFS X.
iv. Funcionario responsable Las diferencias entre las prácticas o la situación

actual de la EFS y los requisitos de las ISSAI se
Para que una estrategia tenga éxito, el recurso explican a través de una relación causal
humano constituye uno de los factores más identificada en el análisis FODA realizado para la
importantes. Por lo tanto, la EFS necesita EFS. Este análisis ayuda a determinar varias
considerar a las personas que llevarán a cabo las fortalezas y debilidades y establecer la posición de
diferentes tareas. Las personas elegidas serán las la EFS. Al integrar los resultados de ambas
responsables y actuarán como agentes de cambio herramientas, iCAT y FODA, se revela una serie de
para lograr que toda los funcionarios afectados por problemas estratégicos que pueden requerir de
el proyecto o la estrategia participen con el fin de intervención. Resulta interesante señalar que
obtener su apoyo y compromiso. Las tareas y muchas de las deficiencias identificadas tienen una
actividades deberán traducirse en un plan de relación causal con las carencias que se
trabajo individual para cada funcionario encuentran en el estrato superior de los cuatro
responsable. dominios identificados bajo el Nivel 2. Por lo tanto,
la clave para la implementación de prácticas
v. Supervisión del plan sólidas de auditoría de cumplimiento en la EFS
radica en eliminar las carencias que tienen su
También deberán tomarse medidas para la origen en los principales dominios del nivel 2.
supervisión del plan. Esto deberá hacerse para
medir la realización oportuna de las tareas y
actividades planeadas, identificar problemas y
recomendar medidas de contingencia.
8.6 CONCLUSIÓN
La formulación de una sólida estrategia de
implementación de las ISSAI para las auditorías de
cumplimiento es clave para la adopción de una
práctica de auditorías de cumplimiento que sea
consistente y cumpla con los requisitos de las
ISSAI. El enfoque estructurado propuesto en este
capítulo puede resultar útil para el equipo o los
facilitadores de las ISSAI al momento de formular
la estrategia de implementación para sus
respectivas EFS.
El proceso paso a paso toma en cuenta diversos

factores que deben considerarse bajo cada etapa,
desde la aplicación de la iCAT hasta la realización
del análisis FODA, el cual ayudará a determinar las
prioridades, explorar estrategias alternativas y
seleccionar las opciones estratégicas más viables
de acuerdo a la naturaleza, experiencia y ambiente
de la EFS. La selección de las opciones
estratégicas también toma en cuenta la
disponibilidad de recursos, ya que la mayoría de
Página 108
Acerca del Programa 3i de IDI

El Programa de Iniciativas de Implementación de las ISSAI (Programa 3i) es un programa
global lanzado por la IDI en apoyo a la implementación de las ISSAI. Mientras que las
actividades del programa en las cinco regiones de la INTOSAI de habla inglesa iniciaron en
2012, las actividades en las regiones de idioma árabe, francés y español inician en 2014.
Socios
El Programa de Implementación de las ISSAI es un proyecto conjunto entre el Comité de
Normas Profesionales de INTOSAI, sus subcomités de Auditoría Financiera, de Desempeño y
de Cumplimiento, el Comité para la Creación de Capacidades de INTOSAI y las regiones de
habla inglesa correspondientes. El objetivo del programa es crear la capacidad necesaria para
la implementación de las ISSAI de auditoría financiera (incluyendo las auditorías de
cumplimiento) y auditorías de desempeño de Nivel 4 en las cinco regiones de habla inglesa de
AFROSAI-E, ASOSAI, CAROSAI, EUROSAI y PASAI.
Página 109

CA Handbook ES Revisada 18-09-2014 2 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CA Handbook ES Revisada 18-09-2014 2 PDF

Cargado por

Copyright:

Formatos disponibles

Curso de capacitación virtual de IDI para la

"Implementación de las ISSAI de Auditoría de Cumplimiento"

Curso de capacitación virtual de la IDI para la

MANUAL DE IMPLEMENTACIÓN DE LAS ISSAI

Programa de Certificación en las ISSAI Página 1

Capítulo 2: Principales conceptos de las auditorías de cumplimiento 19

Capítulo 3: Planificación y diseño de una auditoría de cumplimiento 35

Capítulo 4: Obtención de la evidencia de auditoría 56

Capítulo 5: Evaluación de la evidencia y formación de conclusiones 66

Capítulo 6: Documentación y comunicación 70

Capítulo 7: Informes de una auditoría de cumplimiento 77

Capítulo 8: Estrategias de implementación de las ISSAI para auditorías de

práctica de campo. Con ello los usuarios serán capaces

1.1 Introducción Los usuarios de este manual deberán tomar en

El objetivo de este manual es explicar los conceptos de

1ISSAI 400, Principios Fundamentales de las Auditorías

Capítulo 1: Introducción y elementos básicos de las

1.6 Vínculo entre el manual y la

El primer paso para una EFS es tener un panorama

La Herramienta para el Diagnóstico del Cumplimiento de

Introducción y Elementos Básicos de

1.1 INTRODUCCIÓN en todos los aspectos importantes, con las

transparencia, rendición de cuentas y gestión se (compromiso de elaboración de informes directos).

• Las EFS que llevan a cabo la auditoría en

a. La actividad, que sería el propio programa de

b. Las operaciones financieras del programa, o USUARIO

Figura 1.3: Las tres partes de una auditoría

1.2.4 Nivel de seguridad 1.3 ¿QUÉ ES LO QUE EL

Aquí los auditores revisan cualquier objeto, materia

eficiencia y eficacia. ¿El gobierno está usando los 1.4.1 La auditoría de

cumplimiento dentro de un solo proceso. Las Auditorías de cumplimiento en

1. 5 CÓMO AYUDAN LAS ISSAI • Como base para la adopción de normas

Los principios fundamentales se agrupan de

Figura 1.4: Principios generales de las auditorías de cumplimiento

Juicio profesional y después de que las EFS han hecho esta

El escepticismo se refiere a mantener una distancia Riesgo de auditoría

Por su parte, la comunicación tiene lugar en todas

1.7 PROCESO DE LA AUDITORÍA DE CUMPLIMIENTO

• Determinar el alcance de la auditoría de cumplimiento

Consideraciones Considerar los principios que son éticamente significativos

• Determinar los elementos de la auditoría

• Evaluar si se ha obtenido evidencia suficiente y pertinente

Figura 1.6: Proceso de la auditoría de cumplimiento

i. Consideraciones iniciales y etapa el auditor debe considerar la importancia

En la fase inicial los auditores determinan el

ii. Ejecución de la auditoría y 1.8 CONCLUSIÓN

Principales conceptos de las

2.1 INTRODUCCIÓN usuarios previstos, diferentes a la parte

La auditoría de cumplimiento es una evaluación 2.3 OBJETO DE LA REVISIÓN E

Por ejemplo, los auditores pueden empezar la

Dos tipos de criterios se necesitan en las normas

acciones y el comportamiento de los funcionarios 2.5 LAS TRES PARTES

Comprender a los usuarios previstos es esencial,

El papel de la información para criterios, procedimientos para la recopilación de

Los niveles de seguridad se examinarán más

razonable o limitada tendrá un fuerte impacto en el 2.7 TRABAJOS DE

Las auditorías del sector público se pueden

• En los trabajos de certificación (attestation

• En los trabajos de información directa (direct

El objeto de la revisión de una auditoría de

La diferencia entre los dos tipos de auditoría está

Veamos esto con un ejemplo que muestra el

Veamos ahora quién produce la información del