Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CA Handbook ES Revisada 18-09-2014 2 PDF
CA Handbook ES Revisada 18-09-2014 2 PDF
Versión preliminar 1. 0
Índice
Acerca de este manual 4
Capítulo 1: Introducción y elementos básicos de las auditorías de
cumplimiento 6
1.1 Introducción 7
1.2 Elementos de la auditoría de cumplimiento 8
1.3 ¿Qué es lo que el auditor busca en las diferentes auditorías? 10
1.4 Diferentes formas de llevar a cabo una auditoría de cumplimiento 11
1.5 Cómo ayudan las ISSAI a realizar una auditoría de cumplimiento de calidad 13
1.6 Principios de la auditoría de cumplimiento 14
1.7 Proceso de la auditoría de cumplimiento 17
1.8 Conclusión 18
Página 2
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Lista de tablas
Tabla 2.1: Niveles de aseguramiento y tipos de auditoría de cumplimiento
Tabla 4.1: Técnicas de recopilación de evidencia
Tabla 8.1: iCAT de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con
estatus "Cumplido"
Tabla 8.2: iCAT de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con
estatus "No Cumplido / Parcialmente Cumplido"
Tabla 8.3: Análisis FODA de la EFS X
Tabla 8.4: Ejemplo y formato de preparación de un plan de acción
Lista de figuras
Figura 1.1: Disposiciones legales y normativas relacionadas con un acuerdo constitucional
específico de la EFS
Figura 1.2: Las disposiciones legales y normativas son la fuente de los criterios de auditoría
Figura 1.3: Las tres partes de la auditoría
Figura 1.4: Principios generales de las auditorías de cumplimiento
Figura 1.5: Juicio profesional y escepticismo
Figura 1.6: Proceso de la auditoría de cumplimiento
Figura 3.1: Relación entre el objeto de la revisión, el alcance y los criterios
Figura 4.1: Proceso de toma de decisiones
Figura 8.1: Proceso de toma de decisiones para la implementación de las ISSAI de auditoría de
cumplimiento
Figura 8.2 Marco de referencia para la estrategia de implementación de las ISSAI de auditoría de
cumplimiento
Figura 8.3: Los cuatro dominios principales conforme a las ISSAI de Nivel 2
Figura 8.4: Factores que determinan la selección de las opciones estratégicas para la
implementación de las ISSAI
Lista de Referencias
ISSAI 100
ISSAI 400
ISSAI 4000
ISSAI 4100
ISSAI 4200
ISSAI 1000-1999
Normas Internacionales sobre Compromiso de Aseguramiento (ISAE) 3000 (Versión revisada)
Página 3
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 4
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
1.5 Contenido
El manual se divide en ocho capítulos:
Página 5
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Capítulo 1:
Página 6
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 7
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 8
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Los criterios son los parámetros o puntos de 1.2.3 Las tres partes
referencia utilizados para evaluar o medir el asunto
de manera consistente y razonable. Las
Las auditorías de cumplimiento se basan en una
disposiciones legales y normativas son la fuente de
relación de tres partes, en la que el auditor trata de
dichos criterios, los cuales pueden derivarse de
obtener evidencia de auditoría suficiente y
leyes, políticas, reglas, reglamentos y otros
apropiada con el fin de expresar una conclusión
instrumentos, y usarse para evaluar su
que permita aumentar el grado de confianza de los
cumplimiento o falta de cumplimiento.
usuarios previstos, diferentes a la parte
responsable, en la medición o evaluación del
Por ejemplo, en el caso del programa de ayuda
objeto de la revisión conforme a los criterios
económica mencionado arriba, una condición para
establecidos. En todas las auditorías de
la elegibilidad podría ser que sólo aquellos que
cumplimiento tenemos:
ganan menos de $800 dólares al mes y mantienen
a cuatro personas recibirán $500 dólares al mes
• Una parte responsable/entidad auditada
como ayuda económica.
(normalmente una agencia gubernamental)
que recibe fondos para actividades
específicas,
Disposiciones legales
y normativas
• Los usuarios previstos (Parlamento/Congreso)
que asignan los fondos a las agencias
gubernamentales y esperan que dichos fondos
se usen conforme a las disposiciones legales y
Criterios
normativas establecidas y con estricta
observancia de los principios generales que
Figura 1.2: Las disposiciones legales y normativas rigen una administración financiera sólida y el
son la fuente de los criterios de auditoría. comportamiento de los funcionarios públicos, y
Página 9
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
5
ISSAI 100.22
6
ISSAI 300.9
Página 10
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
7 8
ISSAI 400.12 ISSAI 400.25
Página 11
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
9 10
ISSAI 400.23 ISSAI 400.26
Página 12
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
• En las auditorías de cumplimiento los auditores desarrollado cumplen plenamente con todos los
buscan casos de incumplimiento con las principios relevantes de las auditorías de
disposiciones legales y normativas definidas cumplimiento. Las ISSAI son flexibles en el sentido
(es decir, las leyes, políticas, reglas, de que destacan la necesidad de que las EFS
reglamentos, procedimientos, términos tomen en consideración sus mandatos, leyes y
contractuales o acuerdos aplicables) que reglamentos respectivos al adoptarlas. Por
pudieran tener un efecto importante en los consiguiente, estos principios no están por encima
objetivos de la entidad auditada. de los mandatos, leyes y reglamentos existentes
que rigen las prácticas de auditoría de las EFS.
Página 13
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
cumplir con las ISSAI correspondientes a cada tipo Los Principios Generales de las auditorías de
de auditoría adoptadas por las EFS y se deberán cumplimiento se describen brevemente en este
hacer las referencias respectivas. capítulo, ya que se explicarán con mayor detalle en
los siguientes capítulos del manual. Como se
1. 6 PRINCIPIOS DE LA puede ver en la Figura 1.4, el auditor deberá
ejercer su juicio profesional y su escepticismo a lo
AUDITORÍA DE CUMPLIMIENTO largo de todo el trabajo, al mismo tiempo que toma
en consideración los otros elementos de los
La ISSAI 400 describe los principios de las principios generales. Estos elementos deberán
auditorías de cumplimiento, los cuales son estar al nivel de la EFS para garantizar que la
fundamentales para su ejecución. Debido a que la auditoría de cumplimiento se realice de
naturaleza de la auditoría es iterativa y conformidad con las normas.
acumulativa, el auditor deberá considerar estos
principios antes de comenzar cualquier auditoría,
así como en más de un punto durante el proceso,
es decir, durante la planificación y diseño,
obtención y evaluación de evidencia, y elaboración
y presentación de informes.
Juicio y escepticismo
Habilidades,
Control de capacidad y Riesgo de Importancia
Documentación Comunicación
calidad experiencia del auditoría relativa
equipo de auditoría
12
ISSAI 400.4
Página 14
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 15
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
incumplimiento pudiera hacer que las instituciones al interior del equipo de auditoría. También ayudará
que dan el financiamiento dejaran de hacerlo o a mantener a todas las partes informadas acerca
impusieran controles más estrictos como una del progreso de la auditoría y ayudar de manera
condición previa para seguir haciéndolo. efectiva a resolver cualquier asunto que pudiera
obstruir la conducción de la auditoría y causar
La materialidad o importancia relativa (materiality demoras.
en inglés) se puede relacionar con una partida
individual o con un grupo de partidas tomadas en La comunicación incluye obtener datos relevantes
conjunto. La importancia relativa se considera a para la auditoría y proporcionarle a la dirección y
menudo en términos de valor, pero también tiene los encargados de la administración observaciones
otros aspectos cuantitativos y cualitativos. Las oportunas e información sobre los resultados a lo
características inherentes de una partida o un largo de todo el proceso. Cualquier dificultad
grupo de partidas pueden hacer que un objeto de significativa que se encuentre durante la auditoría,
la revisión sea de importancia relativa por su propia así como los casos importantes de incumplimiento
naturaleza. Un asunto también puede ser de deberán comunicarse al nivel de dirección
importancia relativa por el contexto en el que adecuado o a los encargados de la
ocurre. administración15. Esto ayudará a rectificar cualquier
desviación o hallazgo que el auditor encuentre
Documentación y comunicación inmediatamente o en una etapa temprana, en vez
de más tarde cuando el impacto del hallazgo
pudiera ser importante y difícil de resolver. El
Contar con suficiente documentación de auditoría
auditor también puede tener la responsabilidad de
es importante en todos los pasos de la auditoría de
comunicar los objetos de la revisión relacionados
cumplimiento. Esto es para asegurar que todos los
con la auditoría a otros usuarios, como los órganos
pasos y decisiones tomadas durante la auditoría
legislativos o de supervisión.
estén debidamente justificados y documentados de
manera que, si un auditor experimentado que no
ha tenido conocimiento previo o relación con la
auditoría la revisa, entonces la documentación de
auditoría le permitirá comprenderla. Mayor
información al respecto se dará en el Capítulo 5 de
este manual relativo a la Documentación y
Comunicación en las auditorías de cumplimiento.
15
ISSAI 400.49
Página 16
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Ejecución de la
auditoría y • Reunir evidencia a través de varios medios
recopilación de • Actualizar continuamente la planificación y evaluación de
evidencia riesgos
• Preparar el informe
Elaboración de • Incluir recomendaciones y respuestas de la entidad según
informes corresponda
• Dar seguimiento a informes previos según sea necesario
Página 17
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 18
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Capítulo 2:
Página 19
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
1 3
ISSAI 100.18. ISSAI 400.35.
2 4
ISSAI 400.12. ISSAI 4100. 4, ISSAI 4200.4
Página 20
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
tomar diversas formas y tener diferentes tomar a la "entidad" como objeto de la revisión. En
características dependiendo del objetivo y alcance este caso el alcance de la auditoría cubrirá todas
de la auditoría5. Por ejemplo, puede referirse a la las actividades de la entidad y las disposiciones
información, situación o actividad que se está legales y normativas que la regula. Sin embargo,
midiendo o evaluando conforme a determinados dar una conclusión sobre un objetivo tan amplio
criterios. puede representar un gran reto.
Por su parte, la información del objeto de la Por esta razón, las ISSAI reconocen la relación
revisión (subject matter information en inglés) se entre el objeto de la revisión y el alcance de las
refiere al resultado de evaluar o medir el objeto de auditorías de cumplimiento. La definición dada
la revisión de acuerdo a los criterios. arriba señala que "el objeto de la revisión depende
del mandato de la EFS, las disposiciones legales y
normativas relevantes y el alcance de la auditoría."
Ejemplo 1: Objeto de la revisión: Desempeño financiero Esto significa que cuando los auditores planean
y uso de los fondos asignados a una entidad del una auditoría de cumplimiento, normalmente
gobierno. Información del objeto: Información financiera, empiezan con un objeto de revisión más grande,
como por ejemplo los estados financieros. como la entidad, pero conforme van delimitando el
objetivo durante el proceso de planificación
Ejemplo 2: Objeto de la revisión: Gastos relacionados
con las actividades de capacitación de una entidad del modifican el objeto de la revisión y alcance para
gobierno. Información del objeto: Información e informes tener una auditoría más enfocada, cuyos
financieros de las actividades de capacitación. resultados serán más significativos para los
usuarios.
Página 21
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
niños por debajo de los cinco años con problemas de La cantidad de trabajo que el auditor debe realizar
desnutrición que mostraban una baja en los indicadores. para obtener un conocimiento suficiente del marco
Al mismo tiempo, los auditores notaron que una parte legal y regulatorio dependerá de la naturaleza y
importante del financiamiento del sector salud se usaba complejidad de las leyes y reglamentos. Sin
para crear instalaciones de agua potable para la gente
embargo, el auditor sólo necesita comprender las
pobre y vulnerable del país, por lo que decidieron
delimitar el alcance de la auditoría únicamente al partes de la legislación que son relevantes para la
suministro de agua potable. auditoría. En todos los casos, la entidad auditada
conserva la responsabilidad final por asegurar el
La revisión de los auditores del proceso de planificación cumplimiento con las leyes y reglamentos
también indicó que se disponía de parámetros y criterios aplicables.
apropiados para este trabajo.
Disposiciones legales y
En algunos países el objeto de la revisión de las normativas contradictorias
auditorías de cumplimiento puede estar indicado
por las leyes, mientras que en otros puede estar
Debido a la gran variedad de posibles
determinado por la evaluación de riesgos y la
disposiciones legales y normativas, puede ser que
aplicación del juicio profesional. Por ejemplo, en
algunas de sus disposiciones entren en conflicto y
algunas EFS las entidades auditables se han
estén sujetas a diferentes interpretaciones.
clasificado en entidades de alto, mediano y bajo
Además, las disposiciones legales y normativas
riesgo. De esta manera, las EFS llevan a cabo
subordinadas pueden no ser consistentes con los
auditorías de cumplimiento de las entidades de alto
requerimientos o límites de la legislación aplicable
riesgo cada año, mientras que las de mediano y
y existir vacíos legislativos. Como resultado, para
bajo riesgo se auditan cada tres años. Las EFS
evaluar el cumplimiento con estas disposiciones
deben desarrollar una forma para determinar el
legales y normativas en el sector público es
objeto de la revisión de las auditorías de
necesario contar con un buen conocimiento de la
cumplimiento tomando en consideración sus
estructura y contenido de las mismas7.
circunstancias particulares y la flexibilidad
disponible dentro del marco de las ISSAI.
Si el auditor identifica disposiciones legales y
normativas contradictorias, es importante que
considere su jerarquía: el nivel más alto de
2.4 DISPOSICIONES LEGALES Y disposiciones legales y normativas prevalecerá
NORMATIVAS (AUTORIDADES) sobre sus subordinadas. Por ejemplo, si algo se ha
definido en la ley acerca del objeto de la revisión,
Las disposiciones legales y normativas (authorities los reglamentos internos de una entidad deberán
en inglés) son el elemento fundamental de las estar en línea con esta ley. De no ser así, los
auditorías de cumplimiento, ya que su estructura y auditores deberán señalar la contradicción y, si su
contenido constituyen los criterios para la auditoría mandato se los permite, recomendar un cambio en
y, por lo tanto, son la base para saber cómo debe los reglamentos.
proceder la auditoría bajo un acuerdo
constitucional específico. Estas disposiciones De manera similar, en los casos en los que los
legales y normativas pueden incluir reglas, leyes y auditores tengan duda acerca de la correcta
reglamentos, resoluciones presupuestarias, interpretación de una norma, deberán revisar la
políticas, códigos, términos acordados o los información de respaldo para comprender la
principios generales que rigen una sólida intención y las premisas de la ley antes de usar
administración financiera del sector público y la esta norma como parámetro. Cuando enfrenten
conducta de los funcionarios públicos6. esta situación, los auditores podrán traerla a la
atención de sus superiores de manera que se siga
el curso de acción más adecuado durante la
auditoría.
6 7
ISSAI 400.28 y 29. ISSAI 400.30.
Página 22
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
8 9
ISSAI 4100.145, ISSAI 4200.152. ISSAI 400.13.
Página 23
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
10 11
ISSAI 400.31. ISSAI 100.25.
Página 24
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 25
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Bajo tales circunstancias es posible que la parte auditorías financieras. De acuerdo con las normas
responsable se vea tentada a proporcionar para auditorías financieras el trabajo realizado por
información falsa o insuficiente a los usuarios. Por un auditor se refiere como auditoría únicamente si
razones similares, los usuarios necesitan que una proporciona una "seguridad razonable". Si el
tercera parte independiente evalúe la información. trabajo proporciona una "seguridad limitada",
También puede haber casos en los que la parte entonces se le refiere como "revisión" en vez de
responsable no proporcione información a los auditoría. En comparación, la auditoría de
usuarios y éstos exijan una evaluación cumplimiento tiene un alcance metodológico más
independiente de la situación. Ambos casos se amplio y cubre tanto la seguridad razonable como
refieren a la "seguridad" proporcionada por la EFS. la limitada. Además, la seguridad limitada tiene un
alcance más amplio que una revisión17.
La auditoría de cumplimento se define como "un
proceso sistemático para obtener y evaluar de
manera objetiva evidencia que permita determinar Seguridad razonable y limitada
si la información o las condiciones actuales se
ajustan a los criterios establecidos”15. El auditor Las auditorías de cumplimiento que se llevan a
deberá revisar que la información proporcionada cabo obteniendo una seguridad aumentan la
por las entidades gubernamentales o la situación credibilidad de la información proporcionada por el
actual de dichas entidades cumpla con las auditor u otra parte. En las auditorías de
disposiciones legales y normativas (leyes y cumplimiento existen dos niveles de seguridad: la
reglamentos aplicables, etc.) A partir de la auditoría seguridad razonable, que indica que, en opinión del
la EFS preparará un informe para los usuarios, en auditor, el objeto de la revisión o asunto
el cual se incluya una conclusión sobre el objeto de examinado cumple o no, en todos los aspectos
la revisión. De esta manera, el auditor estará importantes, con los criterios establecidos; y la
proporcionando una seguridad específica que seguridad limitada, que indica que nada ha llamado
reduce el riesgo de usar tal información. En las la atención del auditor para hacer que crea que el
ISSAI esto se conoce como "aumentar el grado de objeto de la revisión no está cumpliendo con los
confianza de los usuarios previstos". criterios. Tanto la seguridad razonable como la
seguridad limitada pueden darse en los trabajos de
El auditor lleva a cabo procedimientos para reducir certificación (compromisos de atestiguamiento) y
o administrar el riesgo de presentar conclusiones en los de información directa (compromisos de
incorrectas, reconociendo que, debido a las elaboración de informes directos) de las auditorías
limitaciones inherentes a todas las auditorías, de cumplimiento18.
ninguna auditoría puede proporcionar una
seguridad absoluta sobre la situación del objeto de Los términos "razonable" y "limitada" se han
la revisión. Esto se debe comunicar de forma escogido específicamente porque incluso si el
transparente. En la mayoría de los casos una auditor es meticuloso en su trabajo, siempre existe
auditoría de cumplimiento no cubre todos los la posibilidad de que no identifique casos de
elementos del objeto de la revisión, sino que se incumplimiento y por lo tanto llegue a una
basa en cierto grado de muestreos cualitativos o conclusión errónea. Así, no es posible proporcionar
cuantitativos16. una seguridad absoluta (del cien por ciento).
Página 26
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
19
ISSAI 100.24.
Página 27
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
La auditoría también puede proporcionar nueva Las auditorías de cumplimiento pueden ser
información, análisis o perspectivas20. trabajos de certificación (compromisos de
Asimismo, la conclusión puede expresarse atestiguamiento) o de información directa
como una respuesta más elaborada a (compromisos de elaboración de informes directos)
preguntas específicas de la auditoría21. o ambos al mismo tiempo. La diferencia radica en
quién prepara la información: la parte responsable
o el auditor.
20 22
ISSAI 100.29. ISSAI 100.30.
21 23
ISSAI 400.59. ISSAI 100.18.
Página 28
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 29
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Escenario 2:
Página 30
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 31
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Ejemplo:
2.8 ASEVERACIONES/AFIRMA-
CIONES Y LA AUDITORÍA Al publicar los estados financieros, la dirección de la
entidad hace aseveraciones implícitas sobre la
La aseveración o afirmación (assertion en inglés) información financiera en el sentido de que, habiendo
preparado dichos estados financieros en conformidad
se describe en las ISSAI como una manifestación
con el marco de información financiera aplicable, como
que se encuentra explícita o implícitamente en las las Normas Internacionales de Contabilidad para el
actividades, operaciones financieras e información Sector Público (IPSAS, por sus siglas en inglés) o las
correspondiente a la entidad auditada y que es normas de contabilidad gubernamental generalmente
usada por el auditor al considerar diferentes tipos aceptadas en un país en particular, los estados
de posibles desviaciones. Dentro del contexto de la financieros han sido preparados de acuerdo con el
auditoría de cumplimiento, la aseveración de marco de referencia aplicable, que existen activos y que
cumplimiento significa que la entidad, incluyendo son propiedad de la entidad y han sido valuados
los funcionarios responsables de la misma, están apropiadamente, etc. De manera similar, la dirección
actuando en conformidad con las disposiciones puede hacer aseveraciones implícitas relacionadas con
el cumplimiento de las disposiciones legales y
legales y normativas aplicables (y, en el caso de
normativas25.
las auditorías de gestión de los funcionarios
públicos, con las expectativas de los ciudadanos).
Las aseveraciones pueden estar incluidas en la
información del objeto presentada por la entidad Por otra parte, las ISSAI señalan que en muchas
auditada o exponerse de forma explícita en una auditorías del sector público no hay aseveraciones
carta de declaración escrita por la dirección24. o declaraciones de cumplimiento específicas que la
entidad auditada ponga a disposición de los
Esto significa que, cuando una entidad del usuarios. En vez de eso, la información del objeto
gobierno proporciona información sobre sus está contenida en el informe del auditor, ya sea en
actividades, existen ciertos supuestos que se forma de datos e información, o como una
pueden hacer acerca de esta información. Por declaración explícita en forma de opinión. Se trata
ejemplo: que la información proporcionada es entonces de un trabajo de información directa26.
exacta (aseveración de exactitud), que está
completa (aseveración de integridad) y, lo más
importante, que cumple con las leyes y
reglamentos aplicables (aseveración de
cumplimiento). De hecho, en muchos casos estos
supuestos son cualidades inseparables de la
información proporcionada, las cuales son referidas
en conjunto como aseveraciones/afirmaciones.
25
ISSAI 4200.25.
24 26
ISSAI 4100.26, ISSAI 4200.32. ISSAI 4200.26.
Página 32
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 33
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
hechos y circunstancias similares. Esto no significa • Evidencia de auditoría que contradiga a otra
necesariamente que una conclusión sea la correcta evidencia de auditoría previamente obtenida.
y la otra esté equivocada. Se espera un • Información que cuestione la confiabilidad de
cuestionamiento apropiado que permita entender documentos y respuestas usadas como
los procedimientos realizados y la base de las evidencia.
conclusiones alcanzadas. La documentación del • Situaciones que indiquen la posibilidad de
juicio profesional aplicado es importante y fraude.
demuestra que se ha seguido un proceso
meticuloso para el desarrollo de una conclusión Mantener el escepticismo a lo largo de toda la
bien razonada. Cuando el juicio profesional se auditoría es necesario si el auditor desea, por
contrasta, la documentación muestra los análisis ejemplo, reducir el riesgo de:
de los hechos, las circunstancias y las alternativas
consideradas, así como la base para las • Pasar por alto circunstancias inusuales.
conclusiones alcanzadas. • Generalizar en exceso al sacar conclusiones de
las observaciones.
• Usar supuestos inapropiados al determinar la
Escepticismo naturaleza, oportunidad y extensión de los
procedimientos de auditoría y evaluar los
El escepticismo es una actitud que requiere una resultados de los mismos.
mente inquisitiva y una evaluación crítica de la
evidencia de auditoría. Los auditores deben hacer
preguntas que les serán útiles para conocer las
consecuencias. Deben medir el efecto colateral de 2.10 CONCLUSIÓN
cada información que obtienen por medio de esta
actitud inquisitiva. También deben hacer las Este módulo trató sobre los conceptos básicos de
preguntas que les ayudarán a realizar una las auditorías de cumplimento con especial énfasis
evaluación crítica con un sólido conjunto de en el concepto de seguridad. Como se mencionó
evidencias. Sin embargo, la evaluación crítica no arriba, las auditorías de cumplimiento que se llevan
significa dudar sobre la corrección de la a cabo obteniendo una seguridad aumentan la
información en primer lugar. El auditor sólo pondrá credibilidad de la información proporcionada por el
en duda la información cuando ésta sea auditor u otra parte. Asimismo, en las auditorías de
incompatible o contradictoria. cumplimiento existen dos niveles de seguridad:
razonable y limitada. La decisión de proporcionar
El auditor debe tomar una actitud de escepticismo una seguridad razonable o limitada tendrá un fuerte
para estar alerta ante condiciones, circunstancias e impacto en el diseño de la misma, lo que se
información que sean indicativas de la existencia examinará con mayor detalle en el siguiente
de algún incumplimiento de importancia relativa y módulo que trata sobre la planificación de la
evaluar críticamente la evidencia de auditoría. auditoría.
Página 34
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Capítulo 3:
Planificación y diseño
Página 35
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 36
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
mirada más profunda de los sistemas y controles, específica de las auditorías del sector público, en
entonces una auditoría de seguridad limitada sería tales casos es posible que las EFS no estén en
más adecuada. posición de rechazarlas. Sin embargo, este factor
influirá en el nivel de seguridad proporcionado.
Las EFS pueden seguir diferentes enfoques en la
planificación de una auditoría. Algunas pueden Esto es especialmente importante en lo relativo a
hacer un plan estratégico a largo plazo, mientras los servicios externos que se contraten por la
que otras pueden hacer planes anuales de entidad auditada. Actualmente cada vez más
auditoría. Asimismo, algunas EFS pueden usar un entidades públicas contratan por fuera sus
sistema híbrido que involucre al mismo tiempo servicios, lo cual es muy común para los
planes anuales y a largo plazo. Estas variaciones relacionados con los sistemas de información. En
en la planificación no evitan que las EFS puedan tales casos, el auditor necesita tener acceso total a
seguir un enfoque consistente en la conducción de la entidad que presta los servicios con el fin de
auditorías individuales. Al planificar una auditoría realizar la auditoría. En algunos casos esto
de cumplimiento a nivel macro, las EFS pueden requerirá que la EFS audite al proveedor de
considerar los siguientes factores: servicios. Sin embargo, muchas EFS no tienen la
autoridad para hacer tales auditorías, lo que limita
• Un financiamiento vinculado al cumplimiento de considerablemente su eficacia.
los términos de contratos o acuerdos;
• Casos de incumplimiento por parte de la Las auditorías de seguridad razonable requieren
entidad; que el auditor tenga acceso a los sistemas y
• Hallazgos, resultados y recomendaciones procesos utilizados (p. ej. los controles internos de
hechos por otras partes diferentes a las EFS; la entidad) y por lo tanto necesitan más información
• La evaluación de riesgos realizada en conexión que las auditorías de seguridad limitada. Por
con auditorías financieras o de desempeño consiguiente, es probable que las limitaciones en la
indicando áreas en las que el riesgo de información lleven a una auditoría de seguridad
incumplimiento es más alto; limitada.
• La expectativa o el interés público (por ejemplo,
sospechas de fraude, malversación de fondos, La competencia de los equipos de auditoría
información dada a conocer a través de los
medios de comunicación, etc.) Las normas establecen que "las personas que
conforman el equipo de auditoría deben poseer en
Otro factor a considerar en la planificación de la conjunto el conocimiento, las habilidades y la
auditoría de cumplimiento puede ser la urgencia de experiencia necesarios para completar la auditoría
la información sobre un objeto de la revisión en con éxito1. Por lo tanto, la EFS necesita considerar
particular por parte de los usuarios previstos. Si las capacidades con las que cuenta al momento de
existe una exigencia o necesidad de los usuarios tomar la decisión sobre el alcance de la auditoría y
por obtener resultados inmediatos, conducir una el nivel de seguridad que va a dar. Si no se
auditoría de seguridad limitada sería más dispone de las capacidades necesarias dentro del
conveniente. equipo de auditoría, entonces la EFS debe
considerar otras opciones, como cambiar la
La disponibilidad de la información composición del equipo o contratar a un experto.
Aunque el acceso a la información es un aspecto Aunque las habilidades básicas para la auditoría
fundamental de una auditoría y las EFS son las mismas, es probable que las auditorías de
normalmente tienen la capacidad de lograr el seguridad razonable y limitada requieran auditores
acceso necesario, una EFS aún puede enfrentar con diferentes capacidades.
situaciones en las que la información disponible
para la auditoría sea limitada o incluso que no En una auditoría de seguridad razonable es
exista. O que el auditor no tenga suficiente acceso probable que el auditor use un enfoque sistemático
a la información existente. Debido a la naturaleza
1
ISSAI 400.45.
Página 37
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 38
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
administrar el riesgo de obtener conclusiones forma en que los conceptos de riesgo y evidencia
inadecuadas, reconociendo que una auditoría de auditoría son tratados variará de manera
nunca puede proporcionar una certeza absoluta significativa. Al realizar una auditoría de seguridad
sobre la condición del objeto de la revisión3. limitada, el enfoque usado puede no ser tan
sistemático como el de una auditoría de seguridad
La principal diferencia entre proporcionar una razonable. La auditoría se diseñará para identificar
seguridad razonable o limitada es la forma en que los incumplimientos significativos con los recursos
se trata el riesgo de auditoría y los conceptos y métodos disponibles tanto como sea posible. Al
relacionados. Cuando el objetivo es proporcionar final de la auditoría es posible que aún existan
una seguridad razonable, el auditor debe reducir el incumplimientos en las partidas que no han sido
riesgo a un nivel aceptablemente bajo dadas las examinadas por el auditor, pero con este tipo de
circunstancias de la auditoría4. En una auditoría de seguridad limitada el auditor estará reduciendo el
seguridad razonable, la conclusión del auditor riesgo de proporcionar una conclusión equivocada.
proporcionará una seguridad general sobre el
objeto de la revisión. Debido a que no es práctico Siendo diferente de una auditoría de seguridad
auditar todo el objeto de la revisión y las razonable, al final el auditor no dirá nada acerca de
operaciones relevantes, el auditor examinará una las partidas que no ha examinado y la conclusión
parte de las transacciones por medio de un no las cubrirá. El objetivo de la auditoría no es
muestreo. Esto significa que el auditor también identificar todas las instancias significativas de
proporcionará la seguridad para partidas que no incumplimiento. Debido a la naturaleza de la
han sido examinadas, en cuyo caso, si no se usa auditoría de seguridad limitada el riesgo de
un enfoque sistemático, existe un alto riesgo de auditoría también se considera de manera
que la conclusión del auditor esté equivocada. Para diferente, ya que el auditor acepta un nivel más alto
reducir el riesgo, es probable que el auditor analice de incertidumbre en las conclusiones sobre el
sistemáticamente el objeto de la revisión (como por objeto de la revisión.
ejemplo los controles internos de una entidad) e
identifique una muestra (de las operaciones, etc.) Ahora que hemos enfatizado nuevamente la
que sea representativa del total de la población. necesidad de entender el vínculo entre objeto de la
Para que el muestreo sea correcto el auditor debe revisión, criterio y alcance, y que hemos analizado
considerar el riesgo de no identificar el riesgo de auditoría y los aspectos relacionados
incumplimientos significativos y para hacer esto de seguridad, en la siguiente sección aplicaremos
identificar primero los problemas y aspectos que estos conceptos al proceso de planificación de la
son importantes para una auditoría en particular. auditoría de cumplimiento.
Esto se hace determinando la importancia relativa.
Página 39
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Una planificación adecuada ayuda a prestar la los procedimientos con el trabajo que éstos
debida atención a las áreas importantes de la implican, aunque el plan y la estrategia general de
auditoría, identificar problemas potenciales de la auditoría siguen siendo responsabilidad del
manera oportuna, y organizar y dirigir la auditoría auditor. Sin embargo, al discutir elementos
para responder a las necesidades de los usuarios incluidos en el plan y la estrategia general de
de manera eficiente y eficaz. Una planificación auditoría es importante no comprometer la eficacia
adecuada también le ayuda al auditor a asignar las de la misma. Por ejemplo, discutir con detalle la
tareas a los miembros del equipo y facilita la naturaleza y oportunidad de los procedimientos con
dirección, supervisión y revisión de su trabajo. la entidad auditada puede comprometer la eficacia
Asimismo, ayuda a la coordinación del trabajo de la auditoría al hacer que el proceder del
hecho por otros auditores y expertos en caso personal de la parte responsable sea demasiado
necesario. Por otra parte, la naturaleza y extensión predecible.
de las actividades de planificación variará de
acuerdo con las circunstancias de la auditoría, En auditorías más pequeñas o menos complejas,
como por ejemplo la complejidad del objeto de la el trabajo puede ser realizado por un pequeño
revisión y los criterios. Ejemplos de algunos de los equipo de auditoría. Con un equipo más pequeño,
principales aspectos que deben tomarse en la coordinación y comunicación entre los miembros
consideración durante la planificación incluyen: se facilita. En tales casos establecer la estrategia
general de auditoría no necesita ser un ejercicio
• Las características de la auditoría que definen complejo o que consuma tiempo. Esto varía de
su alcance, incluyendo las características del acuerdo con el tamaño de la entidad, la
objeto de la revisión y los criterios. complejidad de la auditoría (incluyendo el objeto de
• Los tiempos esperados y la naturaleza de la la revisión y los criterios) y el tamaño del equipo de
comunicación requerida. auditoría.
• Si el conocimiento adquirido en otras auditorías
realizadas por el auditor para la parte Los auditores también deberán establecer los
responsable es relevante. elementos legales de su trabajo con pleno
• El proceso de auditoría. conocimiento del mandato de la EFS, las
• El conocimiento que el auditor tiene de la parte responsabilidades de los auditores del sector
responsable y su ambiente, incluyendo el público, y el estatus y responsabilidades
riesgo de que el objeto de la revisión pueda no constitucionales de la entidad auditada, así como
cumplir con los criterios. las expectativas de los usuarios previstos. Este
• El ambiente de control y el control interno de la conocimiento provee a los auditores del sector
entidad. público de un marco de referencia con el cual
• La identificación de los usuarios previstos y sus aplicar su juicio profesional a lo largo de todo el
necesidades de información, así como las proceso de auditoría.
consideraciones sobre la importancia relativa y
los componentes del riesgo de auditoría.
• El grado con el que el riesgo de fraude es 3.3.1 Determinando el objeto de
relevante para la auditoría. la auditoría, los criterios y el
• La naturaleza, oportunidad y los recursos
necesarios para realizar la auditoría, como por alcance en la planificación de
ejemplo el personal y los conocimientos una auditoría de cumplimiento
necesarios, incluyendo la naturaleza y el grado
de participación de expertos en la matera. Determinar el objeto de la revisión y los criterios es
• El impacto del área de auditoría interna. uno de los primeros pasos que se deben llevar a
cabo para la planificación y ejecución de una
El auditor puede discutir algunos elementos de la auditoría de cumplimiento.
planificación con la parte responsable o entidad
auditada para facilitar la ejecución y dirección de la No obstante, en algunas situaciones el alcance y la
auditoría, por ejemplo para coordinar algunos de naturaleza de la auditoría de cumplimiento no
Página 40
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
provienen directamente del mandato y la que cumpla con las expectativas de los usuarios
legislación aplicable de la EFS, sino que se basan previstos. Por lo tanto, las EFS siempre tratarán de
en el juicio profesional del auditor. En tales encontrar:
circunstancias resulta importante informar a la
entidad auditada por escrito acerca del alcance y a. Los aspectos significativos de un objeto de la
naturaleza de la auditoría6. revisión; y
b. Si se dispone de criterios adecuados para medir
Como se mencionó en los párrafos anteriores, los
el objeto de la revisión.
conceptos de “objeto de la revisión”, “criterios” y
“alcance” están estrechamente relacionados. Los A continuación se mencionan algunos ejemplos
auditores necesitan tener presente todo el tiempo como referencia:
que estos conceptos influyen unos en otros tal
como se muestra en la Figura 3.1.
• Rendimiento financiero:
• Uso de fondos públicos (ejecución
presupuestaria)
ALCANCE • Recaudación de ingresos, p. ej. impuestos
municipales o aplicación de multas y
penalizaciones
• Uso de créditos y subvenciones
• Compras públicas
• Gastos y egresos
OBJETO DE • Prestación de servicios – médicos, educativos,
LA CRITERIOS etc.
REVISIÓN • Demandas públicas
• Protección del patrimonio
• Gestión/Correcto desempeño de los
funcionarios/toma de decisiones de la entidad
Figura 3.1: Relación entre el objeto de la revisión, auditada
el alcance y los criterios de la auditoría
• Salud y seguridad pública
• Protección del medio ambiente
Al revisar esta relación los auditores necesitan • Marco de control interno
ejercer su juicio profesional. El objetivo de la • Seguridad social y pago de pensiones
revisión es identificar adecuadamente el alcance • Características físicas, uso de suelo, acceso a
de una auditoría de cumplimiento con fines de edificios gubernamentales, etc.
planificación. Puede resultar útil recordar el
ejemplo del Capítulo 1 en el que los auditores
redujeron el alcance de la auditoría del sistema de 3.3.2 Conociendo a la entidad
salud al proyecto de suministro de agua potable.
Es importante señalar aquí que el alcance de una Conocer y comprender a la entidad auditada es
auditoría de cumplimiento puede cambiar durante esencial para la auditoría de cumplimiento, ya que
su ejecución si los auditores identifican información esto puede ser usado para determinar el objeto de
que haga necesario reconsiderar el alcance. la revisión y los criterios, la importancia relativa de
la auditoría y la evaluación de los riesgos de
Invariablemente las EFS tienen la obligación y el incumplimiento a todos los niveles. Por lo tanto, el
interés de producir informes de auditoría de alta auditor debe examinar los siguientes factores a la
calidad, para lo cual necesitan concentrarse en el luz de las disposiciones legales y normativas
objeto de la revisión y los criterios de manera correspondientes. En ocasiones la auditoría de
puntual, de modo que puedan elaborar un informe cumplimiento puede cubrir más de una entidad, en
cuyo caso los auditores deben tener conocimiento
6 de todas las entidades cuyas actividades se
ISSAI 4100.12
Página 41
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
auditarán. Por ejemplo, algunas EFS realizan • Las minutas de las juntas y reuniones (del
auditorías de cumplimiento sobre la adecuada consejo de administración, la dirección, etc.);
utilización de un fondo que es empleado por más • Los informes de auditoría interna;
de una entidad. Para ello, el auditor necesita • Los resultados de auditorías anteriores;
considerar los siguientes aspectos de la entidad • Las estadísticas nacionales;
auditada: • Visitar el sitio web de la entidad;
• Revisar los registros de correo electrónico (en
Estrategias, operaciones y administración de la caso de ser posible).
entidad. Conocer y evaluar si:
• las metas y objetivos fundamentales y las Un conocimiento completo y detallado de la entidad
medidas tomadas para ponerlos en práctica de auditada de acuerdo con las leyes, políticas y
acuerdo con el plan estratégico de la entidad normas ayuda a los auditores a reconocer cuándo
auditada están en línea con su mandato y las ha ocurrido una desviación, así como a evaluar la
normas correspondientes; evidencia obtenida a través de la auditoría.
• las metas especificadas en los planes de
acción estratégicos están vinculadas con los
resultados; 3.3.3 Comprendiendo el
• las actividades y operaciones están dirigidas ambiente de control y el sistema
hacia la obtención de las metas y objetivos de de control interno
la entidad auditada, lo cual debe responder a
su vez a todos los requisitos de cumplimiento El conocimiento que los auditores tienen de la
de la entidad; entidad auditada y del objeto de la revisión no
• los actos jurídicos aplicados a todas las estará completo a menos que se estudien
operaciones de la entidad y otras disposiciones cuidadosamente sus controles internos. El
legales y normativas, como políticas ambiente de control establece el tono de la
administrativas, procedimientos internos e organización e influye en la conciencia de su gente.
instrucciones, no contradicen la normativa. La entidad auditada establece controles internos
con el objetivo de satisfacer los requisitos de
Los auditores pueden usar las siguientes fuentes cumplimiento en sus operaciones, por lo que los
de información para desarrollar un conocimiento auditores necesitan entender:
adecuado de la naturaleza de la entidad auditada,
incluyendo: a. cuáles son estos controles,
b. si los controles son adecuados y pueden
• Leyes y reglamentos; detectar, prevenir y corregir casos de
• La legislación presupuestaria y/o el incumplimiento, y lo más importante
presupuesto aprobado; c. si los controles están funcionando como deben.
• El código de ética o código de conducta;
• Las políticas internas, planes estratégicos, Dentro del contexto de las auditorías de
planes operativos y manuales de cumplimiento, un sistema de control interno se
procedimientos; compone de políticas, estructura, procedimientos,
• Los contratos; procesos, tareas y otros factores tangibles e
• Los acuerdos y contratos de subvención; intangibles que ayudan a la entidad auditada a
• Los informes de los medios de comunicación; responder de forma apropiada a los riesgos de
• El informe anual, las auditorías de certificación incumplimiento de los requisitos. Un sistema eficaz
(compromisos de atestiguamiento) y de debe salvaguardar los activos de la entidad
información directa (compromisos de auditada, facilitar la preparación de informes
elaboración de un iforme directo), y la internos y externos, y ayudar a la entidad auditada
supervisión interna o externa que se relacione a cumplir con las leyes.
directamente con los objetivos de la auditoría
de cumplimiento;
Página 42
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
El auditor necesita tener una visión clara del reportar a la dirección los casos de
funcionamiento interno del objeto de la revisión a incumplimiento;
través de la evaluación del ambiente de control y • Que la dirección promueva sistemas
los controles internos de la entidad auditada. adecuados de información y presentación de
informes;
Evaluando el ambiente de control • Que los sistemas y programas de cómputo
incluyan controles para el ingreso de datos, p.
En general los auditores examinan si la dirección ej. controles de edición, informes de excepción,
ha creado y mantenido una cultura de honestidad y control de acceso, revisión de datos de entrada
comportamiento ético y si los elementos del y salida; y
ambiente de control proporcionan en conjunto una • Que la información pueda ser analizada, lo cual
base sólida para los otros componentes de control dependerá del objeto de la revisión. Por
interno, además de averiguar si estos ejemplo, si el objeto de la revisión está
componentes no están debilitados por deficiencias relacionado con activos, que éstos estén
en el ambiente de control. Para ello los auditores asegurados y contabilizados periódicamente y
pueden llevar a cabo evaluaciones reuniendo y que se hayan comparado con los montos
analizando la siguiente información de la entidad7: registrados.
• Que las políticas y procedimientos, incluyendo
el código de ética, estén claramente escritos y
Ejemplo: Los controles internos de la Oficina
publicados; Nacional de Administración Tributaria (ONAT) de
• Que el desarrollo de las tareas, su revisión y Platonia
mantenimiento de registros estén debidamente
separadas; La ONAT ha desarrollado y puesto en práctica un
• Que se cuente con un marco organizativo Manual de Políticas y Procedimientos (MPP) que indica,
(consejo/comité) para revisar las auditorías/ entre otras cosas, lo que se debe hacer, cómo se debe
comunicación de los auditores y que las actas hacer, quién debe hacerlo y cómo se medirá el
del consejo/comité se documenten y se les dé desempeño de los empleados. El MPP incluye todas las
leyes, reglas y reglamentos aplicables para el cobro del
seguimiento apropiadamente;
IVA y otros impuestos cuya recaudación está a cargo de
• Que la dirección haya respondido la ONAT. Para garantizar que las políticas y
positivamente a los resultados y procedimientos se apliquen apropiadamente, la ONAT
recomendaciones de auditorías anteriores; ha establecido una Unidad de Administración de
• Que las responsabilidades de los gerentes, Riesgos (UAR) que informa directamente al titular de la
directores y funcionarios clave estén ONAT. La UAR lleva a cabo revisiones periódicas para
claramente definidas; evaluar, entre otras cosas, que:
• Que los gerentes, directores y funcionarios
a. el registro de los negocios para el pago del IVA esté
clave cuenten con el conocimiento y
completo,
experiencia necesarias para cumplir sus b. los ingresos por concepto de IVA se registren
responsabilidades; debidamente, y
• Que el personal esté capacitado c. las devoluciones del IVA a los contribuyentes se
adecuadamente acerca de los requisitos de hagan apropiadamente.
cumplimiento y tenga la responsabilidad de
Con base en esta evaluación periódica, la UAR hace
7
El siguiente texto relativo a la evaluación del control y cambios en las políticas y procedimientos, e implementa
la administración de riesgos se basa en los lineamientos nuevas iniciativas para reducir al mínimo el riesgo de
proporcionados por la Oficina General de Rendición de que la ONAT no satisfaga los requisitos de cumplimiento
Cuentas (GAO) del Gobierno de los Estados Unidos aplicables.
para la Evaluación del Control Interno por parte de los
auditores, el cual ha sido adaptado para ajustarse a los
requisitos de las ISSAI. Para mayor información sobre la El tipo de controles que se evalúen dependerá del
forma de llevar a cabo la evaluación de los controles objeto de la revisión y de la naturaleza y alcance
internos visite el sitio web de la GAO: de la auditoría de cumplimiento. Al evaluar los
http://www.gao.gov/special.pubs/ai00021p.pdf
Página 43
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
controles internos los auditores del sector público • el gasto excesivo o el mal uso de los recursos
deben considerar el riesgo de que la estructura de públicos, así como de los controles internos y el
control no evite o detecte incumplimientos de ambiente de control.
importancia relativa. El sistema de control interno
de una entidad también puede incluir controles El auditor debe identificar qué riesgos vienen de las
diseñados para corregir las instancias de leyes, reglamentos, operaciones riesgosas,
incumplimiento identificadas. En estos casos los actividades, etc. A continuación debe evaluar si la
auditores necesitan tener un buen conocimiento de entidad cuenta o no con un sistema de control y
los controles internos relevantes para los objetivos procedimientos para administrar estos riesgos. Si
de la auditoría y analizar lo que se espera de ellos. el auditor encuentra que ningún riesgo significativo
El resultado de la evaluación de los controles proviene de las leyes y reglamentos, entonces toca
internos ayudará a los auditores a determinar el el turno a los mecanismos de control.
nivel de confianza y, por lo tanto, la extensión de
los procedimientos de auditoría. Considerando lo anterior, la evaluación de riesgos
del auditor empieza por identificar los riesgos de
incumplimiento con las leyes y reglamentos, y a
3.3.4 Evaluación de riesgos del continuación revisa los controles internos y la
forma en que estos riesgos son manejados por la
objeto de la revisión/entidad entidad. Esto incluye evaluar la capacidad de la
auditada entidad auditada para identificar, medir, supervisar
y controlar los riesgos clave que enfrenta al cumplir
Uno de los criterios clave que se usan para medir con su mandato y tratar de lograr sus metas y
la importancia de una posible área de auditoría es objetivos estratégicos y operativos.
la tolerancia al riesgo contenida en las estrategias
de riesgo de la entidad auditada. La evaluación de Después de revisar los controles internos, los
riesgos comienza por analizar la forma en que la auditores necesitan enfocarse en determinar:
entidad auditada está administrando el riesgo. Por
lo tanto, a la luz de los criterios de auditoría, el a. la posibilidad de que no se cumpla con la
alcance de la auditoría y las características de la normativa, y
entidad auditada, los auditores deben considerar
tanto los controles como las prácticas de b. el impacto de dicho incumplimiento en la entidad
administración de riesgos de la entidad auditada al auditada en lo que respecta a sus objetivos
hacer la evaluación durante la fase de planificación organizativos.
de la auditoría de cumplimiento.
En la mayoría de los casos los auditores tratan con
Al evaluar los riesgos del objeto de la revisión o la un universo de reglas y reglamentos bajo los
entidad, el auditor necesita tener en cuenta las cuales opera el objeto de la auditoría y, por lo
limitaciones inherentes al cumplimiento, tanto, es esencial que se enfoquen en identificar el
incluyendo: incumplimiento con las leyes, reglas, reglamentos y
procedimientos aplicables que sean de importancia
• que la dirección puede aplicar su propio criterio relativa dentro del contexto de la auditoría de
al interpretar las leyes y reglamentos; cumplimiento.
• que los errores humanos ocurren;
• que los sistemas pueden no estar diseñados Los auditores deberán estar alerta ante la
apropiadamente o funcionar de manera poco posibilidad de que el incumplimiento ocurra debido
efectiva; a fraude o error, y ambos aspectos deberán estar
• que los controles pueden evitarse y que la presentes en la evaluación de riesgos durante
evidencia puede ocultarse o retenerse; todas las etapas del ciclo de auditoría. Esto le
• la preocupación de las partes interesadas permitirá al auditor determinar la naturaleza,
• los cambios significativos, oportunidad y extensión de los procedimientos de
• la posibilidad de fraude, auditoría asociados con el universo potencial. Más
aún, le ayudará a identificar las áreas prioritarias
Página 44
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 45
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 46
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Las siguientes preguntas pueden ser relevantes al xii. ¿Existe una persona o unidad responsable de
realizar una evaluación del riesgo de fraude en una la administración del marco de control de
entidad: fraude y corrupción?
i. ¿La entidad auditada ha desarrollado un
Es importante tener una comprensión clara de lo
marco de control general claro contra el fraude
que el fraude y la corrupción significan. El factor
y la corrupción? Un marco de control de
que distingue el fraude del error es si la acción que
fraudes es un sistema de medidas coordinadas
condujo a un incumplimiento es intencional o no. El
que se aplican para evitar, detectar y
fraude y la corrupción son actos intencionales que
responder a las instancias de fraude.
implican el uso del engaño para obtener una
ii. ¿Las políticas y procedimientos relevantes
ventaja injusta o ilegal. Los responsables de un
para la prevención y detección de fraude y
acto fraudulento pueden ser miembros de la
corrupción se complementan y operan de
administración, los encargados de la gestión, los
manera coherente e integral?
empleados o terceras partes.
iii. ¿Todos los funcionarios de alto nivel han
contribuido a desarrollar la política general
Debido a las limitaciones inherentes de una
relativa a la prevención y detección de fraude y
auditoría, existe el riesgo inevitable de que algunos
corrupción?
casos de incumplimiento no sean detectados,
iv. ¿La política general aborda elementos
incluso si la auditoría se planea y realiza
relacionados con el fraude como (a) dar el tono
adecuadamente en conformidad con las ISSAI. Los
desde arriba, (b) evaluación del riesgo de
efectos potenciales de las limitaciones inherentes
fraude, (c) controles internos basados en
son particularmente significativos en los casos de
riesgos, (d) informes internos, (e) informes
desviaciones que ocurren como resultado de
externos, (f) divulgación de datos de interés
fraude. El riesgo de no detectar un caso de
público, (g) investigación, (h) código de ética,
incumplimiento producto de un fraude es más alto
(i) capacitación del personal, y (j) información a
que el riesgo de no detectar uno que resulte de un
los usuarios?
error. Contrario a los errores y equivocaciones no
v. ¿La política general y las políticas y
intencionales, un acto fraudulento normalmente
procedimientos relacionados reflejan las
involucra esquemas organizados y diseñados para
necesidades específicas de la entidad
ocultarlo, como información falsa, falsificación,
auditada?
ocultamiento o falta de documentación, o
vi. ¿El marco de control de fraudes se revisa
declaraciones falsas hechas intencionalmente al
periódicamente? ¿Cuándo se revisó por última
auditor. Tales intentos de ocultamiento pueden ser
vez?
incluso más difíciles de detectar cuando hay
vii. ¿Existe un enfoque estructurado para la
alguien coludido. La colusión puede hacer que el
aplicación de las recomendaciones de la
auditor crea que la evidencia de auditoría es
revisión?
convincente, cuando en realidad es falsa.
viii. ¿A las recomendaciones de cambios o
mejoras en las políticas y procedimientos
De acuerdo con la ISSAI 100, Principios
operativos se les ha dado prioridad o se han
Fundamentales de Fiscalización del Sector Público,
puesto en práctica?
el auditor debe considerar y evaluar el riesgo de
ix. ¿La entidad ha puesto en práctica programas
diferentes tipos de deficiencias, desviaciones o
de comunicación efectivos para aumentar el
representaciones erróneas que pudieran ocurrir.
conocimiento sobre su marco de control de
Deberán considerarse tanto los riesgos generales
fraudes?
como específicos en relación con el objeto de la
x. ¿El marco es de fácil acceso para todas las
revisión. El párrafo 47 señala de manera específica
partes involucradas?
que los auditores deberán identificar y evaluar los
xi. ¿El marco general y sus componentes
riesgos de fraude que sean relevantes para los
muestran claramente el compromiso de la
objetivos de la auditoría.
dirección con sus principios y políticas?
Página 47
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 48
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 49
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 50
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
son los requisitos del mandato, las expectativas o información del objeto. Como lo hemos señalado
el interés público, las áreas específicas del enfoque anteriormente, la consideración por parte del
legislativo, las solicitudes y el financiamiento. Las auditor de la importancia relativa es una cuestión
cuestiones con un nivel de valor más bajo, como el de juicio profesional y se ve afectada por la
fraude, también pueden considerarse de percepción que tiene el auditor de las necesidades
importancia relativa .12 de información de los usuarios previstos como
grupo. Dentro de este contexto, resulta razonable
Al evaluar la importancia relativa de cualquier para el auditor asumir que los usuarios previstos:
incumplimiento identificado, aspectos como los
• Tienen un conocimiento adecuado del objeto de
criterios, las condiciones, la causa y el efecto del
la revisión y están dispuestos de estudiar la
incumplimiento también deben considerarse. Este
información del objeto con la debida diligencia;
puede ser el caso en situaciones en las que la ley o
el reglamento, o los términos acordados establecen • Entienden que la información del objeto se
un requisito incondicional de cumplimiento, por prepara y asegura conforme a los niveles
ejemplo si la constitución prohibe un gasto adecuados de importancia relativa y tienen
excesivo en relación con el presupuesto conocimiento de los conceptos de importancia
aprobado13. relativa incluidos en los criterios aplicables;
• Entienden cualquier incertidumbre inherente a
la medición o evaluación del objeto de la
3.4.1 Juicios profesionales auditoría; y
acerca de la importancia relativa • Toman decisiones razonables basándose en la
información del objeto tomada en su conjunto.
Los juicios profesionales acerca de la importancia
relativa se hacen a la luz de las circunstancias que 3.4.2 Determinando la
rodean a la auditoría, pero no se ven afectadas por
el nivel de seguridad dada. Es decir, para los importancia relativa
mismos usuarios previstos y propósito la
importancia relativa para una auditoría de Las normas establecen que un objeto de la revisión
seguridad razonable es la misma que para una puede considerarse de importancia relativa si el
auditoría de seguridad limitada, ya que la conocimiento del mismo puede influir en las
importancia relativa se basa en las necesidades de decisiones de los usuarios previstos y que este
información de los usuarios. juicio se puede referir a una sola partida o un grupo
de partidas tomadas en conjunto.
En algunos casos los criterios aplicables pueden
analizar el concepto de importancia relativa dentro La importancia relativa se considera a menudo en
del contexto de la preparación y presentación de la términos de valor, pero también tiene otros
información del objeto y por lo tanto proporcionar aspectos cuantitativos y cualitativos. Las
un marco de referencia al considerar la importancia características inherentes de una partida o un
relativa para una auditoría en particular. En los grupo de partidas pueden hacer que un objeto de
casos en los que los criterios aplicables no incluyan la revisión sea de importancia relativa por su propia
un análisis del concepto de importancia relativa, el naturaleza. Un objeto de la revisión también puede
auditor podrá guiarse por un marco de referencia ser de importancia relativa por el contexto en el
como el que se explica a continuación. que ocurre14. La importancia relativa se relaciona
con la población total que cae bajo la acción de la
Los incumplimientos o las desviaciones del auditoría. El auditor diseñará el muestreo y los
cumplimiento se consideran de importancia relativa procedimientos de la auditoría de manera que, si
si, individualmente o en conjunto, se puede esperar hay incumplimientos que alcancen el nivel de
de forma razonable que influyan en las decisiones importancia relativa, entonces serán identificados
que los usuarios previstos toman con base en la en el muestreo. Como ya lo hemos mencionado, la
evaluación de la importancia relativa requiere de
12
ISSAI 400.47.
13 14
ISSAI 4100.71 y 72. ISSAI 400.47.
Página 51
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
juicio profesional por parte del auditor y se • Las expectativas y el interés público,
relaciona con el alcance de la auditoría, aunque es incluyendo el énfasis dado al objeto de la
posible que algunas EFS cuenten con lineamientos revisión por los comités del
para establecer el nivel (umbral) de importancia Parlamento/Congreso, como el comité de
relativa dentro del contexto de la legalidad y el cuentas públicas, incluyendo la necesidad de
cumplimiento de las operaciones con los divulgar determinada información;
reglamentos o en términos de valor.
• La necesidad de regulación y supervisión por
La determinación de la importancia relativa parte del Parlamento/Congreso en un área en
requiere que los auditores conozcan y evalúen los particular; y
factores que pueden influir en las decisiones de los • La necesidad de claridad y transparencia, por
usuarios previstos. Por ejemplo, cuando los ejemplo si hay determinados requisitos de
criterios identificados permiten variaciones en la información en el caso de fraudes y otras
presentación del objeto de la revisión, los auditores pérdidas.
deben considerar la forma en que la presentación
adoptada puede influir en las decisiones de los Otros objetos de revisión que pueden ser
usuarios previstos. La importancia relativa se considerados de importancia relativa por su
considera dentro del contexto de factores naturaleza son:
cuantitativos y cualitativos, como la magnitud
relativa, la naturaleza y extensión del efecto de • Los fraudes,
estos factores en la evaluación o medición del • El incumplimiento o los actos ilícitos
objeto de la revisión, y los intereses de los usuarios intencionales,
previstos. Por ejemplo, dentro del contexto de la • La presentación de información falsa o
legalidad y el cumplimiento de las operaciones con incompleta a la dirección, el auditor o el poder
los reglamentos, las desviaciones son de legislativo (ocultamiento),
importancia relativa si de manera razonable • Pasar por alto de manera intencional las
afectan la decisión de los usuarios de la opinión de solicitudes hechas por la dirección, las
auditoría. autoridades o los auditores,
• Los eventos y operaciones llevadas a cabo a
En la práctica de algunas EFS la importancia pesar de saber que carecen de una base legal.
relativa se basa en una evaluación de la
importancia de los resultados de la auditoría y, por
lo tanto, depende más del juicio personal que la 3.4.3 Factores cualitativos y
importancia relativa considerada en el caso de una
auditoría de seguridad razonable. En este tipo de cuantitativos al determinar la
práctica al final de la auditoría el auditor juzga si los importancia relativa
resultados son lo suficientemente significativos
como para incluirlos en el informe con base en la Como se mencionó anteriormente, la importancia
naturaleza específica de cada resultado. Para relativa se considera dentro del contexto de
abordar estos aspectos durante la fase de factores cualitativos y, cuando resulta aplicable, de
planificación los auditores necesitan considerar los factores cuantitativos. En general los aspectos
siguientes factores al determinar si una información cuantitativos se refieren a la magnitud –
es o no de importancia relativa: normalmente en términos de valor, sea un
• El contexto en el que el objeto de la revisión porcentaje, número, cantidad, etc. –, mientras que
aparece, por ejemplo si éste también está los aspectos cualitativos se refieren a la naturaleza,
sujeto al cumplimiento de las disposiciones características, etc. En algunos casos los aspectos
legales y normativas, la legislación o los cualitativos pueden hacer que incumplimientos de
reglamentos, o si la ley o los reglamentos menor grado sean de importancia relativa, mientras
prohiben el gasto excesivo de los fondos que en otros casos el incumplimiento no se
públicos, sin importar las cantidades; relaciona con ningún valor, monto o magnitud. Para
entender mejor la importancia relativa cualitativa no
Página 52
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 53
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
que se hará (estrategia de auditoría) y cómo se los controles internos que lo afectan, los auditores
hará (plan de auditoría). Tanto la estrategia como serán capaces de identificar el riesgo de que algo
el plan deberán documentarse por escrito y salga mal y de acuerdo con esto planear los
actualizarse según sea necesario durante la procedimientos de auditoría que les permitirán
auditoría. La planificación también incluye llegar a una conclusión u opinión apropiada
consideraciones relacionadas con la dirección, considerando dichos riesgos.
supervisión y revisión del equipo de auditoría. Por
lo tanto, es importante que los auditores entiendan 3.5.1 El plan de auditoría
completamente la diferencia entre la estrategia y el
plan de auditoría.
Al preparar el plan de auditoría las EFS deben
revisar, ajustar y documentar cada paso del
El propósito de la estrategia de auditoría es diseñar
proceso con suficiente detalle. De esta manera, los
una respuesta eficaz a los riesgos de
planes de auditoría funcionan eventualmente como
incumplimiento. La estrategia de auditoría
puntos de referencia con los cuales evaluar el
especifica y establece la extensión, oportunidad y
desarrollo de las actividades de la auditoría de
dirección de la misma, además de servir de guía
cumplimiento.
para el desarrollo del plan de auditoría. Asimismo
muestra la forma en que los auditores responderán
La planificación incluye diseñar procedimientos que
y harán cambios en el alcance de la auditoría
permitan responder a los riesgos identificados de
cuando se disponga de información adicional sobre
incumplimiento. La naturaleza, oportunidad y
el objeto de la revisión, los criterios o los controles,
extensión exactas de los procedimientos de
cambiando así el perfil de riesgo de la entidad
auditoría pueden variar ampliamente de una
auditada.
auditoría a otra. No obstante, los procedimientos
de las auditorías de cumplimiento incluyen en
Al formular la estrategia general de una auditoría
general determinar los criterios relevantes, es
de cumplimiento los auditores del sector público
decir, las disposiciones legales y normativas que
necesitan tomar en consideración lo siguiente:
rigen a la entidad, para luego medir la información
• Los objetivos, alcance, objeto de la revisión, del objeto de acuerdo con dichas disposiciones
criterios y otras características de la auditoría legales y normativas. En los siguientes capítulos
de cumplimiento, tomando en cuenta el relativos a la ejecución de las auditorías de
mandato de la EFS y los elementos contenidos cumplimiento y la recopilación de evidencia
en la definición de auditoría de cumplimiento; analizaremos esto procedimientos.
• Las responsabilidades y objetivos de los El plan de la auditoría de cumplimiento consiste en
informes, así como a quién y cuándo se una descripción de:
entregarán y en qué forma;
a. Los criterios identificados en relación con el
• Los factores significativos que pueden influir en alcance y las características de la auditoría de
la conducción de la auditoría; cumplimiento y con el marco legal, regulatorio o
• La importancia relativa y la evaluación de presupuestario;
riesgos; b. La naturaleza, oportunidad y extensión de los
• El conocimiento obtenido en auditorías procedimientos de evaluación de riesgos
anteriores o relacionadas; llevados a cabo para evaluar suficientemente los
riesgos de incumplimiento relacionados con los
• La composición y asignación de tareas del diferentes criterios de auditoría;
equipo de auditoría, incluyendo la necesidad de
contar con expertos en la materia; y c. La naturaleza, oportunidad y extensión de los
procedimientos de auditoría planeados en
• El calendario de la auditoría. relación con los diferente criterios y
evaluaciones de riesgos de la auditoría de
Una vez que hayan entendido los requisitos de cumplimiento.
cumplimiento aplicables al objeto de la revisión y
Página 54
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
3.6 CONCLUSIÓN
En este capítulo hemos hablado de las
consideraciones iniciales para la planificación de
una auditoría de cumplimiento, así como de los
pasos detallados del proceso de planificación,
incluyendo los controles internos, la evaluación de
riesgos y la importancia relativa. El capítulo
también proporciona una guía sobre cuándo dar
una seguridad "razonable" o "limitada" en una
auditoría. Para ello, los auditores deben elaborar
su plan de auditoría tomando en consideración el
riesgo de auditoría con el objetivo de llegar a una
conclusión u opinión adecuada. Asimismo los
auditores deben incluir la evaluación del riesgo de
fraude en el proceso de planificación según las
normas.
Página 55
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Capítulo 4:
Obtención y evaluación de la
evidencia de auditoría
Página 56
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 57
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
los tiempos del trabajo de auditoría, una política • El conocimiento que se tiene de la parte
de retención de documentos de la entidad, responsable y su ambiente.
sistemas inadecuados de información o una
restricción impuesta por la parte responsable. La confiabilidad de la evidencia depende de su
fuente y su naturaleza, así como de las
4.2.2 Suficiencia, pertinencia (calidad) y circunstancias en las que se obtiene. Se pueden
confiabilidad de la evidencia de auditoría hacer generalizaciones acerca de la confiabilidad
de varios tipos de evidencia; sin embargo, tales
La suficiencia e idoneidad de la evidencia están generalizaciones están sujetas a importantes
interrelacionadas. La suficiencia (sufficiency en excepciones. Incluso cuando la evidencia se
inglés) es una medida de la cantidad de evidencia obtiene de fuentes externas, puede haber
necesaria, la cual se ve afectada por el riesgo de circunstancias que afecten su confiabilidad.
que la información del objeto no cumpla o sea
proclive a una desviación (es decir, que mientras Por ejemplo, la evidencia obtenida de una fuente
más alto sea el riesgo, mayor será la cantidad de externa puede no ser confiable si la fuente no se
evidencia necesaria) y por la calidad de dicha puede confirmar o no es objetiva. De este modo,
evidencia (es decir, que mientras mayor sea la aunque reconociendo que puede haber
calidad, menor será la cantidad de evidencia excepciones, las siguientes generalizaciones
necesaria). Sin embargo, obtener más evidencia acerca de la confiabilidad de la evidencia pueden
puede no compensar su baja calidad. ser útiles. Es posible que la evidencia sea más
confiable cuando:
Por su parte, la pertinencia o idoneidad
(appropriateness en inglés) es una medida de la • Se obtiene de fuentes ajenas a la parte
calidad de la evidencia, es decir, de su relevancia y responsable.
confiabilidad como apoyo para la conclusión del • Se genera internamente, cuando los controles
auditor. son eficaces.
• Es obtenida directamente por el auditor. Por
El juicio profesional del auditor sobre lo que ejemplo, la observación directa de la aplicación
constituye evidencia suficiente y apropiada se ve de un control es más confiable que la evidencia
influenciada por factores como los siguientes: obtenida indirectamente o por inferencia, por
ejemplo a través de preguntas sobre la
• La importancia de un posible incumplimiento o aplicación de dicho control.
desviación del cumplimiento, así como la • Existe de forma documental, ya sea en papel,
posibilidad de que tenga un efecto importante formato electrónico o en otros medios. Por
sobre la información del objeto, ya sea ejemplo, las minutas que se registran durante
individualmente o en conjunto con otros una reunión son generalmente más confiables
incumplimientos potenciales. que un informe oral de lo que se discutió.
• La eficacia de las respuestas de la parte
responsable para reducir el riesgo conocido de Normalmente se obtiene mayor seguridad de
incumplimiento o desviación del cumplimiento. evidencia consistente proveniente de diferentes
• La experiencia ganada en auditorías anteriores fuentes o de una naturaleza diferente, que de
con respecto a posibles incumplimientos o piezas de evidencia consideradas individualmente.
desviaciones del cumplimiento similares. Además, al obtener evidencia de diferentes fuentes
• Los resultados de los procedimientos o de una naturaleza diferente se puede corroborar
realizados, incluyendo si los mismos otra evidencia o indicar que una pieza individual de
identificaron incumplimientos o desviaciones evidencia no es confiable. En los casos en los que
específicas. la evidencia obtenida de una fuente sea
• La fuente y confiabilidad de la información inconsistente con la de otra, el auditor necesita
disponible. determinar los procedimientos adicionales
• La capacidad de convencimiento de la necesarios para resolver la inconsistencia.
evidencia.
Página 58
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Recopilación de
Recopilación de evidencia
evidencia de
adicional según sea
auditoría
necesario
Evaluar si la
No
evidencia de
auditoría es Re-evaluación
suficiente y
apropiada
Si
4
ISSAI 4200.101, 102
Página 59
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 60
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 61
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 62
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 63
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
5
ISSAI 400.51, ISSAI 400.55
Página 64
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Como se explicó en la sección 4.3, los auditores responde a los resultados de la auditoría y hacer
usan diferentes técnicas para reunir evidencia. un informe al respecto. Éste es un indicador de la
Algunas de las mismas técnicas se usan seriedad con la que la entidad toma los aspectos
ampliamente para identificar el fraude, tal como se de cumplimiento. En los casos en los que la
explica a continuación6. dirección no dé la debida importancia a las
irregularidades identificadas, lo que se reflejaría en
i. Observación: Los auditores pueden documentos sin ninguna referencia a las acciones
observar el grado con el que la dirección y el correctivas que se están tomando, el riesgo de
personal cumplen con las políticas, fraude en este tipo de ambiente será mayor. Los
procedimientos y controles internos. La auditores necesitan estar alertas ante tales señales
observación puede revelar un ambiente de mientras llevan a cabo la evaluación de riesgos
control deficiente, incluyendo la falta de ética durante la auditoría.
e integridad de parte de la dirección. Esto
implica un alto riesgo de fraude para la Si durante la recopilación de evidencia el auditor se
entidad. encuentra con instancias que permitan sospechar
ii. Inspección: Los auditores pueden examinar la existencia de actos ilícitos o fraude, estará
los registros contables que involucren facultado para evaluar si la evidencia cumple con
grandes cantidades con redondeos en o las leyes y reglamentos. En colaboración con la
cerca de la fecha de cierre de ejercicio. dirección de la EFS, el auditor podrá considerar el
iii. Entrevistas: Los auditores pueden mandato y las políticas internas de información de
entrevistar a los directores y funcionarios la EFS. Una vez que el auditor haya evaluado la
clave, y notar cambios en el comportamiento sospecha de fraude, podrá considerar la manera
de la dirección o los empleados, indicando de informar a las autoridades competentes y darle
engaño, corrupción y otras conductas seguimiento para asegurarse que se tomen las
irregulares que pudieran señalar la acciones correspondientes.
posibilidad de fraude. Las entrevistas tendrán
más sentido si los auditores sospechan la
existencia de fraude durante la inspección y 4.5 CONCLUSIÓN
las observaciones.
iv. Revisiones analíticas: Los auditores pueden
La calidad del trabajo de auditoría y el nivel de
comparar la información financiera de un
seguridad proporcionado dependerán de la
período a otro para identificar una relación
suficiencia e idoneidad de la evidencia. Es
irregular en los datos financieros. Un
importante que los auditores conozcan las
aumento inesperado en el gasto o los
diferentes técnicas que se pueden usar para reunir
ingresos pueden ser señal de fraude.
evidencia, la cual es una parte esencial del proceso
v. Seguimiento: Los auditores pueden dar
de las auditorías de cumplimiento antes de la
seguimiento a un documento original a través
evaluación y formación de conclusiones. En el
de los procesos de registro para comprobar
siguiente capítulo hablaremos de esto.
la confiabilidad de los sistemas de control
interno y descubrir puntos débiles que den la
oportunidad de cometer fraude.
Página 65
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Capítulo 5:
Evaluación de la evidencia y
formación de conclusiones
Página 66
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 67
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
profesional e incluye consideraciones acerca del con el fin de determinar cuál es la situación
contexto así como aspectos cuantitativos y verdadera. Aquí es donde los auditores pueden
cualitativos de las operaciones o problemas usar la jerarquía de confiabilidad de la evidencia,
tratados. La siguiente lista identifica algunos de los de manera que, por ejemplo, la evidencia externa
factores que los auditores tienen que considerar al escrita es más creíble que una declaración informal
emplear su juicio profesional con el fin de de la dirección en contra3.
determinar si un caso de incumplimiento es o no de
importancia relativa2. Después de evaluar si la evidencia es suficiente y
apropiada dado el nivel de seguridad de la
• La importancia de las cantidades involucradas auditoría, el auditor debe considerar la mejor forma
(monetarias o de otro tipo, como el número de de concluirla a la luz de la evidencia4.
ciudadanos, entidades u organizaciones
afectadas, los niveles de contaminación, los Los auditores necesitan documentar
retrasos en relación con las fechas de entrega, apropiadamente todas las actividades importantes
etc.) que llevaron a cabo mientras reunían y evaluaban
• Las circunstancias. la evidencia. También necesitan revisar su
• La naturaleza del incumplimiento: con la ley, estrategia y plan de auditoría tomando en
reglamento o procedimiento interno. consideración los resultados de su trabajo en esta
• Las causas del incumplimiento: negligencia o fase. Con frecuencia llega nueva información a
acto fraudulento. conocimiento de los auditores que requiere que
• Los posibles efectos y consecuencias que el den una nueva mirada al objeto de la revisión, los
incumplimiento puede tener. criterios, el alcance, el control y evaluación de
• La presencia y sensibilidad de los criterios o riesgos, y la importancia relativa. Los auditores
programas en cuestión (por ejemplo, si son también pueden, durante las pruebas de
objeto de un interés público importante, si cumplimiento, encontrarse con instancias que
afectan a sectores vulnerables de la población, indiquen la posibilidad de fraude dentro de la
etc.). entidad auditada. Como abordar estas cuestiones
• Las necesidades y expectativas del es algo que ya se explicó en capítulos anteriores.
Parlamento/Congreso, el público u otros
usuarios del informe de auditoría. Durante esta fase los auditores también necesitan
trabajar con la dirección para poder aclarar algunos
• La naturaleza de las disposiciones legales y
puntos en relación con la forma en que ven el
normativas aplicables.
objeto de la revisión, los criterios, el alcance, el
• La magnitud o el valor monetario del
riesgo de auditoría y la importancia relativa. Esta
incumplimiento.
interacción ayuda a los auditores a hacer los
ajustes necesarios en su estrategia y plan de
Al evaluar la evidencia de auditoría el auditor debe
auditoría. Asimismo, ayuda a la dirección a
considerar si el incumplimiento de importancia es o
identificar deficiencias en el control y otras
no relevante o generalizado (pervasive en inglés).
debilidades sistemáticas que puede empezar a
Si no es capaz de obtener evidencia de auditoría
enfrentar de manera oportuna.
suficiente y apropiada debido a una incertidumbre
o limitación en el alcance, el auditor deberá evaluar
si es importancia relativa.
Página 68
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
5.3 CONCLUSIÓN
Los auditores ejercen su juicio y escepticismo para
determinar si la evidencia de auditoría es suficiente
y apropiada a lo largo de toda la auditoría. Los
factores que los auditores deben tomar en cuenta
para evaluar la evidencia y elaborar las
conclusiones se analizan en este capítulo. El
siguiente capítulo analiza la forma en que los
resultados de la evaluación de la evidencia y las
conclusiones obtenidas se reflejan en los informes
de la auditoría de cumplimiento.
Página 69
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Capítulo 6:
Documentación y comunicación
Página 70
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 71
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 72
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
6.2.2 Cuándo elaborar la documentación requieran. Las EFS pueden verificar si existen
políticas y procedimientos para la conservación de
La documentación debe prepararse en el momento documentos y, en caso de que así sea, verificar si
adecuado y explicar claramente los criterios son adecuados. En caso contrario, las EFS pueden
utilizados, el alcance de la auditoría, los juicios considerar el establecimiento de requisitos de
emitidos, la evidencia obtenida y las conclusiones a documentación a través de políticas y
las que se llega. procedimientos para conservar dicha información.
Estos requisitos pueden derivarse de la
El proceso de documentación debe llevarse a cabo importancia histórica de algunos tipos de
durante todo el proceso de la auditoría. Es documentos que, por ejemplo, deban conservarse
necesario reunir diferente documentación de apoyo indefinidamente en los archivos. Asimismo pueden
durante las distintas etapas del proceso de existir requisitos adicionales relativos a las
auditoría para respaldar los resultados en cada una clasificaciones de seguridad nacional, incluida la
de las fases. forma en la que la documentación debe ser
archivada. Los auditores del sector público deben
La oportunidad de la documentación también es estar familiarizados con la legislación aplicable en
importante. Preparar de manera oportuna materia de conservación de documentos3.
documentación suficiente y apropiada para la
auditoría ayuda a mejorar la calidad de la misma y 6.2.4 Aspectos de confidencialidad y
facilita la revisión y evaluación efectivas de la transparencia4
evidencia obtenida y de las conclusiones
alcanzadas antes de terminar el informe de Las EFS deben establecer y garantizar la
auditoría. La documentación preparada después de obligación de los auditores de cumplir con los
haber realizado el trabajo de auditoría muy requisitos éticos relativos a respetar en todo
probablemente será menos precisa que la momento la confidencialidad de la información
elaborada en el momento en que se realiza el contenida en la documentación de la auditoría, a
trabajo. Todos los documentos de trabajo deben menos que la entidad haya emitido una disposición
reunirse y revisarse antes de la presentación del legal y normativa específica para divulgarla, o que
informe de auditoría. exista una obligación legal o profesional para
hacerlo. En el sector público existe una necesidad
El auditor debe preparar la documentación de la continua para equilibrar la confidencialidad con la
auditoría antes de presentar su informe y rendición de cuentas. El equilibrio entre estos dos
conservarla durante un período de tiempo factores exige juicio profesional para garantizar que
razonable2. la documentación de naturaleza confidencial se
identifique claramente y se maneje como tal,
6.2.3 Conservación de la documentación permitiendo al mismo tiempo el acceso adecuado a
la misma. Por lo tanto, es importante conocer las
Algunas EFS pueden contar con políticas y políticas y procedimientos de la EFS en materia de
procedimientos consistentes con sus leyes y confidencialidad. Estos procedimientos pueden
normas de auditoría para conservar la incluir los tipos de documentación de auditoría que
documentación de su trabajo. Las políticas para la deben considerarse como confidenciales y los que
conservación de la documentación garantizan que pueden ponerse a disposición del público, líneas
el registro relevante esté disponible para su uso de responsabilidad claramente definidas para
durante un cierto número de años después de una autorizar la divulgación de la documentación de
auditoría. Estas políticas y procedimientos auditoría y procedimientos para darla a conocer en
generalmente describen (a) los documentos caso necesario. Asimismo, los auditores del sector
cubiertos (b) la forma que se público pueden tener otras obligaciones normativas
conservarán/archivarán, (c) el período durante el en materia de confidencialidad. Éstas pueden estar
cual se conservarán, y (d) la forma en que se basadas en el mandato de las EFS o en la
puede acceder a estos documentos cuando se
3
ISSAI 1230, Notas Prácticas
2 4
ISSAI 400.48 ISSAI 1230, Notas Prácticas
Página 73
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 74
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 75
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
6.4 CONCLUSIÓN
Este capítulo se centra en la importancia de la
documentación y la comunicación durante el
proceso de auditoría. El auditor siempre debe
preparar la documentación pertinente para una
auditoría específica antes de escribir el informe
sobre la misma. Además, los auditores deben
hacer uso de su juicio profesional para determinar
la forma y el contenido de la comunicación. Es
preferible que la comunicación sea por escrito ya
que esto facilita la documentación apropiada de la
interacción. En el siguiente capítulo sobre los
informes de las auditorías de cumplimiento
mostraremos la manera en la que la obtención y
evaluación de la evidencia se refleja en los
informes de las auditorías de cumplimiento.
Página 76
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Capítulo 7:
Página 77
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 78
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
1 2
ISSAI 4100 párrafo 142. ISSAI 400,59
Página 79
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
objeto de auditoría, tomando como base los • Métodos de medición o evaluación utilizados
criterios establecidos. La introducción también cuando los criterios aplicables permiten elegir
debe indicar el período de tiempo en el que se entre diferentes procesos.
realizó la auditoría. • Cualquier interpretación significativa obtenida al
utilizar los criterios aplicables en las
d. Identificación o descripción del objeto de circunstancias del trabajo.
la revisión3
El objeto de la revisión se refiere a la información, f. Identificación de las normas de auditoría
condición o actividad que se mide o evalúa frente a aplicadas al realizar el trabajo
determinados criterios. Esto se debe explicar Cuando las normas de auditoría de las EFS se
claramente en el informe de auditoría. basan en los Principios Fundamentales de
Auditoría de INTOSAI o son consistentes con
e. Criterios identificados 4 éstos, se puede hacer referencia a los mismos en
Los criterios contra los cuales se evalúa el objeto los informes de auditoría utilizando la siguiente
de la revisión deben estar debidamente leyenda:
identificados en el informe del auditor. Por lo tanto,
la identificación clara de los criterios en el informe …Hemos realizado nuestra auditoría de
es importante para que los destinatarios del mismo conformidad con [normas], que están basadas en
puedan comprender la base sobre la que se [o son consistentes con] los Principios
sustenta el trabajo y las conclusiones de los Fundamentales de Auditoría (ISSAI 100-999) de
auditores del sector público. Estos criterios pueden las Normas Internacionales de las Entidades
incluirse directamente en el informe o se puede Fiscalizadoras Superiores.
hacer referencia a ellos si se incluyen en una
declaración de la dirección o si se pueden obtener En algunos casos, las EFS pueden adoptar las
de otra fuente fácilmente accesible y confiable. Directrices de Auditorías de Cumplimiento como
las disposiciones legales y normativas autorizadas
Cuando los criterios no sean fácilmente para la elaboración de su trabajo. En estos casos,
identificables, o se tengan que obtener de otras se debe hacer referencia a ello mediante la
fuentes, deberán presentarse claramente en la siguiente leyenda:
sección correspondiente del informe del auditor.
Cuando los criterios sean contradictorios es … …Hemos realizado nuestra[s] auditoría[s] de
necesario explicar la contradicción. En estos casos [cumplimiento] de conformidad con las Normas
se deberán detallar, en la medida de lo posible, las Internacionales de las Entidades Fiscalizadoras
consecuencias potenciales que ello puede tener y, Superiores [para auditorías de cumplimiento].
si es necesario, emitir las recomendaciones
pertinentes. La referencia puede incluirse en el informe de
auditoría o la EFS puede manifestarla de manera
En tales circunstancias puede ser importante incluir más general incluyendo una gama definida de
lo siguiente: trabajos.
Página 80
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 81
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
casos, la clave es determinar si las opinión, lo cual debe manifestarse de manera clara
recomendaciones permiten a la entidad hacer uso y explícita.
de cualquier mecanismo que considere adecuado
de acuerdo a las circunstancias para lograr el Las conclusiones/opiniones deben estar
cumplimiento. directamente relacionadas con el objeto de la
revisión y la evidencia obtenida. Deben esclarecer
l. Fecha del informe y dar un mayor significado a resultados específicos
El informe de la auditoría de cumplimiento debe presentados en el informe. La desviación de los
fecharse y firmarse. El auditor debe asegurarse criterios lógicamente debe emanar de los
que la fecha del informe no sea anterior a la fecha resultados. Las conclusiones/opiniones deben ir
en que se haya obtenido la evidencia suficiente y más allá de presentar nuevamente la evidencia.
apropiada para respaldar su conclusión. Mientras que los resultados de la auditoría se
identifican comparando lo que debe ser (criterios
m. Firma de evaluación) con lo que realmente está
El informe de la auditoría de cumplimiento estará sucediendo (condiciones basadas en la evidencia
firmado por la persona debidamente autorizada de la auditoría), las conclusiones/opiniones reflejan
para hacerlo, generalmente el titular de la EFS u el resumen de la EFS y las opiniones basadas en
otra persona a la que se le haya delegado dicha estos resultados. Las conclusiones/opiniones
autoridad. pueden incluir la identificación de un tema general
o un determinado patrón en los resultados.
Como se mencionó anteriormente en este capítulo,
el auditor puede decidir elaborar un informe Como se mencionó anteriormente, la conclusión
extenso por diferentes razones, dependiendo de la puede presentarse como una declaración
necesidad de los usuarios o los objetivos claramente redactada de la opinión sobre el
específicos de una auditoría en particular. El cumplimiento, frecuentemente además de la
informe de formato extenso, también conocido opinión sobre los estados financieros. También
como informe especial, tiene la misma estructura puede expresarse como una respuesta más
básica que el informe de formato breve; no elaborada a las cuestiones específicas de
obstante, existen algunas pequeñas diferencias. auditoría. Mientras que la opinión es común en los
Dos de ellas son la inclusión de un Resumen trabajos de certificación (compromisos de
Ejecutivo y la estructura de las observaciones y los atestiguamiento o de elaboración de informes
resultados. directos), la respuesta a cuestiones específicas de
auditoría se utiliza con mayor frecuencia en los
trabajos de información directa. Cuando se emite
una opinión, el auditor debe manifestar si se ha
7.5 CONCLUSIONES/OPINIONES modificado o no basándose en la evaluación de la
DE UNA AUDITORÍA DE importancia relativa y la importancia. Para emitir
una opinión normalmente se requieren una
CUMPLIMIENTO estrategia y un enfoque de la auditoría más
elaborados7.
El informe de las auditorías de cumplimiento puede
variar dependiendo de las diferentes formas de
Los conceptos de los trabajos de información
conclusiones y opiniones estandarizadas. Cuando
directa y de certificación se incluyeron en el
la auditoría de cumplimiento se lleva a cabo
Capítulo 2 que hace énfasis en los Conceptos
conjuntamente con una auditoría de los estados
Principales. En ambos tipos de trabajo, el resultado
financieros, la conclusión puede presentarse como
final es el informe de cumplimiento. En los trabajos
una opinión clara sobre el cumplimiento. Cuando
de certificación (compromisos de atestiguamiento o
esto ocurre, la opinión sobre el cumplimiento debe
de elaboración de informes directos), al auditor se
estar claramente separada de la opinión sobre los
le entrega la información del objeto y por lo tanto,
estados financieros. Sin considerar el tipo de
expresa una conclusión/opinión para determinar si
trabajo o el nivel de seguridad proporcionado, el
auditor puede decidir si emitir una conclusión o una 7
ISSAI 400.59
Página 82
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 83
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
los siguientes ejemplos de informe breve al Tributaria cumple en todos los aspectos importantes
expresar sus opiniones/conclusiones: con la Ley del Impuesto al Valor Agregado, CAP 223A.
… [secciones adecuadas para concluir el informe]…
7.5.2 Conclusión/opinión no
modificada 7.5.3 Conclusión/opinión modificada
Si no existe ningún caso de incumplimiento de
importancia relativa que reportar, el auditor expresa Los auditores del sector público modificarán sus
una conclusión no modificada (también llamada conclusiones en los siguientes casos8:
opinión limpia, sin reservas, o no calificada) cuando
supone: a. Casos de incumplimiento de importancia
relativa. Dependiendo del grado de
En el caso de un trabajo de seguridad razonable, incumplimiento, éste puede dar como resultado:
que la información del objeto ha sido elaborada, en
todos los aspectos importantes, de conformidad i. Una opinión o conclusión calificada (con
con los criterios aplicables; o reservas/con salvedades) (“Basándonos en el
trabajo de auditoría efectuado, consideramos
En el caso de un trabajo de seguridad limitada, que que, salvo en lo referente a [describir la
basándose en los procedimientos realizados y en excepción], la información del objeto de la
la evidencia obtenida, no ha surgido ninguna entidad auditada cumple, en todos los
cuestión que lleve al auditor a creer que la aspectos significativos, con [los criterios
información del objeto no se ha preparado, en aplicados '), o
todos los aspectos importantes, en conformidad ii. Una opinión o conclusión adversa (negativa)
con los criterios aplicables. (Con base en el trabajo de auditoría
efectuado, encontramos que la información
Ejemplo de una conclusión no modificada: del objeto no cumple…'); o
Página 84
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
conclusión. Cuando una auditoría de cumplimiento los aspectos importantes con la Ley del Impuesto al
se realiza en conjunción con una auditoría de los Valor Agregado, CAP 223A.
estados financieros, el auditor puede expresar una
… [secciones adecuadas para concluir el informe]…
opinión calificada si las desviaciones del
cumplimiento son de importancia relativa, o si el
auditor no puede obtener evidencia suficiente y
7.5.5 Conclusión/opinión adversa
adecuada para la auditoría y los posibles efectos (negativa)
pueden ser de importancia relativa aunque no
generalizadas.9 Cuando los auditores del sector público concluyen
que existen desviaciones del cumplimiento de
Ejemplo de una conclusión calificada de una importancia relativa, la opinión expresada10 puede
auditoría de cumplimiento: ser cualquiera de las siguientes:
En este ejemplo, el objeto de la revisión de la a. Calificada (si las desviaciones del cumplimiento
auditoría de cumplimiento se relaciona con la son de importancia relativa, pero no
oficina nacional de recaudación tributaria y el generalizada, o si los auditores del sector
auditor expresa un caso de incumplimiento que público no pueden obtener evidencia de
ocasionó cargos adicionales y multas a la entidad auditoría suficiente y apropiada y sus posibles
auditada. La desviación del cumplimiento no es tan efectos pueden ser de importancia relativa
significativa como para emitir una conclusión aunque no generalizada); o
adversa. Las secciones introductorias sobre las b. Adversa (si las desviaciones del cumplimiento
responsabilidades de la dirección y del auditor, así son de importancia relativa y generalizada).
como las secciones finales del informe son
similares a las presentadas en el ejemplo de la El auditor obtuvo evidencia de auditoría suficiente y
sección 7.6 de este capítulo. apropiada y concluye que las desviaciones del
cumplimiento, ya sean individual o conjuntamente,
El siguiente ejemplo de informe en formato breve son tanto de importancia relativa como
solo debe utilizarse para fines ilustrativos. Algunas generalizadas.
EFS utilizan el formato extenso del informe en el
cual los resultados se describen con mayor detalle Ejemplo de una conclusión de auditoría de
en el contenido del mismo. cumplimiento adversa:
9 10
ISSAI 4200.169a ISSAI 4200.169b
Página 85
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 86
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Si, a juicio del auditor es necesario informar sobre 7.6 EJEMPLO DE UN INFORME
un objeto de la revisión diferente a los presentados
o divulgados en la información del objeto y éste es BREVE DE UNA AUDITORÍA DE
relevante para que los usuarios previstos CUMPLIMIENTO
comprendan la auditoría, las responsabilidades del
auditor o el informe de auditoría, el auditor añadirá Como se explicó anteriormente, el formato de un
un párrafo sobre otros objetos de la revisión. informe de auditoría de cumplimiento puede variar
dependiendo del número de factores tales como el
En caso de tener que incluir otro objeto de la mandato de la EFS, la legislación aplicable, las
revisión, el auditor debe indicar claramente en un prácticas seguidas habitualmente para la
párrafo del informe, con un encabezado adecuado, elaboración de los informes o la complejidad de las
que su conclusión no se ha modificado con cuestiones que se informan. Sin embargo, cierto
respecto al objeto de la revisión de la auditoría. Por grado de consistencia en el formato del informe
otro lado, en el caso de tener que incluir un párrafo puede ayudar a los destinatarios a comprender el
de énfasis, dicho párrafo sólo hará referencia a la trabajo realizado y las conclusiones resultantes, así
información presentada y divulgada en la como a identificar circunstancias especiales, en
información del objeto. El siguiente ejemplo sólo se caso de que surjan. El siguiente ejemplo de
presenta con fines ilustrativos. informe breve es exclusivamente de carácter
ilustrativo. Algunas EFS optarán por un informe
extenso en el que los resultados se describen
con más detalle en el contenido del documento.
Página 87
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 88
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 89
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
7.8 CONCLUSIÓN
Este capítulo se enfocó en la elaboración de
informes que son el producto final de una auditoría
de cumplimiento. El informe del auditor debe estar
completo, ser objetivo y oportuno, y estar sujeto al
proceso revalidación antes de concluirlo. El
capítulo también resaltó las consideraciones que
deben tenerse en mente al emitir una
conclusión/opinión y los tipos de informes y de
conclusiones/opiniones.
Página 90
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Capítulo 8:
Página 91
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
8.1 INTRODUCCIÓN
La guía proporcionada en este capítulo es para las
EFS que han decidido implementar las ISSAI para
La implementación de las ISSAI significa un
auditorías de cumplimiento de nivel 4, es decir, que
cambio fundamental que requiere de
han adoptado las ISSAI serie 4000 como sus
consideraciones institucionales y estratégicas por
normas reguladoras. Sin embargo, como se explicó
parte de la dirección de la EFS. Por lo tanto, antes
anteriormente, las EFS también pueden hacer
de emprender la iniciativa de implementación se
referencia a normas internas que sean
recomienda examinar algunos aspectos clave
consistentes con los principios fundamentales de
relacionados con las operaciones de la EFS. Estos
las auditorías de cumplimiento. Aunque esta guía
aspectos son, por ejemplo, el mandato de la EFS,
se limita a la estrategia de implementación de las
las expectativas de los usuarios, los recursos
ISSAI para auditorías de cumplimiento, se está
disponibles, el ambiente bajo el cual está operando
planeando desarrollar una guía con los
la EFS, sus prácticas actuales, etc. Sólo después
lineamientos para la implementación general del
de examinar estos aspectos a fondo la EFS estará
marco de referencia de las ISSAI como un
en posición de decidir de forma realista si quiere
documento separado. Muchas EFS cuentan con un
referirse a las ISSAI de las auditorías de
plan estratégico para un período en particular, por
cumplimiento (así como de otros tipos de
lo que resulta importante que la EFS integre su
auditoría). Si la respuesta es afirmativa, entonces
estrategia de implementación de las ISSAI para
necesitará saber cómo hacerlo y desarrollar la
auditorías de cumplimiento a su estrategia general,
estrategia de implementación que se describe en
tal como está establecido en su propio plan
este capítulo.
estratégico.
8.1.1 Estrategia de implementación de las ISSAI
para auditorías de cumplimiento
Página 92
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Figura 8.1: Proceso de toma de decisiones para la implementación de las ISSAI de las auditorías de
cumplimiento
Nivel 3 Nivel 4
Si No
Página 93
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 94
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Función de la Auditoría de
Cumplimiento de la EFS
Paso 1
iCAT
Fortalezas Debilidades
Paso 2 FODA
Independencia y Procesos básios de la
marco legal EFS
Oportunidades Amenazas
Liderazgo y Expectativas de los
gobernanza interna usuarios
DETERMINAR
Paso 3 LAS
PRIORIDADES
Paso 4 FORMULAR LA
ESTRATEGIA
Tamaño
Ambiente:
• Político
Recursos • Social
• Económico
Paso 5
Experiencias SELECCIONAR
LAS OPCIONES
ESTRATÉGICAS
Paso 5
Estrategia de Implementación de las ISSAI
Figura 8.2 Marco de referencia para la estrategia de implementación de las ISSAI para auditorías de
cumplimiento
Página 95
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 96
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
La EFS X tiene el mandato constitucional de realizar auditorías financieras, de cumplimiento y de desempeño, así
como la autoridad exclusiva de fiscalizar a todas las agencias del gobierno. La EFS X cuenta además con un
Código de Auditoría que explica sus poderes y funciones constitucionales, su jurisdicción y su estructura
organizativa.
La EFS tiene un Código de Ética que actualmente está siendo actualizado. También se ha creado una Oficina de
Investigación Administrativa bajo las órdenes del titular de la EFS para investigar cualquier comportamiento indebido
de los auditores, así como las posibles violaciones al Código de Ética y la Ley Anticorrupción. Los empleados de la
EFS tienen asimismo la obligación de presentar regularmente una declaración patrimonial.
La EFS cuenta con un Centro de Educación Continua que proporciona constantemente cursos prácticos y de
capacitación a varios niveles para su personal en distintas disciplinas. Para obtener una promoción es necesario
completar los cursos de un nivel particular. La EFS solamente contrata a profesionistas con licenciatura como
abogados debido a sus funciones de tipo judicial, contadores públicos certificados, ingenieros y otros profesionistas
que han aprobado el Examen del Servicio Público Profesional.
La EFS premia a sus empleados por su desempeño ejemplar y durante años sus galardonados han recibido el
reconocimiento del Estado de manos del presidente.
El código de auditoría requiere que las agencias auditadas proporcionen un espacio permanente y adecuado de
oficinas, así como los fondos y el equipo necesarios para el trabajo de los auditores de la EFS (auditorías
residentes). El código prohibe estrictamente que los auditores reciban algo más allá de esto de parte de las
entidades auditadas. Los infractores son inmediatamente sancionados, con penas que van desde una amonestación
hasta la terminación de su contrato con suspensión de beneficios.
Los grupos de auditorías pasan por un proceso de coordinación en el que los aspectos de alto impacto que parecen
existir en diferentes agencias o donde hay proyectos que son puestos en marcha por varias agencias son revisados
simultáneamente con la Dirección. Cuando esto sucede los auditores llenan formularios preestablecidos para cada
fase de la auditoría, empezando con una comprensión clara de la entidad que constituye la base para la
identificación de riesgos de incumplimiento. Los resultados se unen con las demás fases hasta que la auditoría
alcance la etapa de elaboración de informes.
Aunque el proceso de revisión es un tanto elaborado, la EFS X aún no ha puesto en operación una Oficina de
Aseguramiento de la Calidad para llevar a cabo una revisión independiente de los procesos de control de calidad de
la auditoría. Recientemente se realizó una evaluación del grado de cumplimiento de la EFS con las ISSAI usando la
iCAT para Auditorías de Cumplimiento. Los resultados preliminares se muestran más adelante.
La EFS X ha decidido implementar las ISSAI para realmente se necesita para que un requisito en
auditorías de cumplimiento de nivel 4 siguiendo el particular se “cumpla”, es decir, que la práctica de
proceso de seis pasos. Su primera tarea es auditoría de la EFS “cumpla” con ese requisito, el
completar el mapeo de sus prácticas actuales con presente ejemplo se da únicamente con fines
respecto a los requisitos de las ISSAI. ilustrativos y no para llevar a cabo el mapeo
completo usando la iCAT.
La Tabla 8.1 muestra un ejemplo de algunos de los
requisitos de las ISSAI para auditorías de Nota: El curso virtual realizado de octubre a
cumplimiento usados para mapear los casos de diciembre de 2012 bajo el Programa 3i proporcionó
cumplimiento con las prácticas de auditoría de la los lineamientos para la realización del mapeo
EFS X. Debido a que se ha hecho énfasis en que completo usando la iCAT para auditorías de
la iCAT debe aplicarse considerando lo que cumplimiento.
Página 97
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Manejo y control
implementación
Documentación
Comunicación
Mecanismo de
Resultados
de calidad
Política
Documentos
Requisitos Referencia Justificación de la evaluación
de referencia
10.1: El auditor identifica y evalúa el riesgo de ISSAI 4100.82 Cumpl Cumpl Cumpl Cumpl El requisito se encuentra incluido en el Manual de
fraude y obtiene evidencia suficiente y ido ido ido ido manual de auditorías de cumplimiento. Se auditorías de
apropiada en relación con los riesgos de fraude han preparado procedimientos y un cumplimiento.
detectados mediante la aplicación de cuestionario estándar para uso de los
procedimientos de auditoría adecuados. auditores. Los casos de fraude están
incluidos en el informe. La revisión del
procedimiento por parte de la dirección está
documentada en la auditoría.
10.2: En presencia de un presunto fraude, los ISSAI 4100.82 Cumpl Cumpl Cumpl Se encuentra incluido en el manual. Los Manual de
auditores del sector público se aseguran de ido ido ido auditores consultan a la dirección, asesores auditorías de
actuar adecuadamente en función del mandato legales y autoridades competentes. El cumplimiento,
de la EFS y las circunstancias particulares. asesor legal es parte del equipo de lineamientos
auditoría, así que siempre está "en el legales
lugar". La revisión de la dirección está
documentada.
11.5: Se procederá a realizar pruebas ISSAI 4100.89 Cumpl Cumpl El muestreo se hace con base en el juicio Manual de
adicionales de confirmación cuando existan ido ido profesional, sin embargo cuando se trata de auditorías de
riesgos significativos de incumplimiento. Si el áreas de alto riesgo existe la duda acerca cumplimiento.
enfoque de auditoría consiste sólo en pruebas de la suficiencia de los casos examinados.
de confirmación, entonces se llevarán a cabo Se usan principalmente pruebas de detalle.
pruebas de detalle (y no sólo pruebas Revisión de los documentos por parte de la
analíticas). dirección.
12.4: La EFS conservará la documentación de ISSAI Cumpl Cumpl Cumpl Se cuenta con requisitos para los métodos Reglas para el
la auditoría de cumplimiento en la que 4100.113 ido ido ido y tiempo de conservación de los archivos manejo y
constarán los criterios empleados, el trabajo de la auditoría. Los tiempos son apropiados conservación de
efectuado, la evidencia obtenida, los juicios y se comunican a todas las divisiones archivos y
emitidos y la revisión. Estos documentos se interesadas. La supervisión de la dirección documentos
conservarán durante un determinado período está documentada.
de tiempo.
14.1: Los auditores se mantendrán alerta ante ISSAI Cumpl Cumpl Cumpl El requisito se encuentra incluido en el Manual de
la posibilidad de que surjan indicios de actos 4100.118 ido ido ido manual. Se han preparado procedimientos auditorías de
ilícitos, incluyendo fraude, al llevar a cabo su y un cuestionario estándar sobre fraude cumplimiento.
labor. para uso de los auditores. La revisión de la
dirección está documentada.
Tabla 8.1: iCAT de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con estatus
"Cumplido"
Página 98
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Manejo y control
implementación
Documentación
Comunicación
Mecanismo de
Resultados
de calidad
Política
Documentos
Requisitos Referencia Justificación de la evaluación
de referencia
2.3: Se han identificado criterios o pautas para ISSAI 4100.42 Parcial No No No Parcial Los criterios no están claramente definidos Manual de
cada auditoría mente cumpli cumpli cumpli mente en los documentos de trabajo ni en el auditorías de
cumpli do do do cumpli informe de auditoría debido al amplio cumplimiento.
do do alcance del objeto de la revisión, así como
de criterios adecuados. Ciertas acciones se
dan en la metodología, aunque la lista no es
exhaustiva.
2.6: Al identificar los criterios, se analiza la ISSAI 4100.50 No No No Cuando se evalúan los casos de
materialidad o importancia relativa en relación cumpli cumpli cumpli incumplimiento se está considerando la
con el riesgo de incumplimiento en cada objeto do do do importancia cualitativa dependiendo de las
de la revisión de la auditoría. circunstancias, por lo que en la etapa de
planificación la importancia relativa no está
claramente definida.
10.4: Se tendrán presentes las relaciones entre ISSAI 4100.84 No No Normalmente la auditoría se concentra en
distintas entidades públicas al analizar el riesgo cumpli cumpli las relaciones entre los sectores público y
de la auditoría, particularmente el de fraude o do do privado, que es donde hay mayor
incumplimiento. posibilidad de que ocurra fraude. Las
relaciones entre los organismos públicos
rara vez se consideran.
12.2: La documentación es una actividad que ISSAI Parcial No Todos los requisitos se encuentran Informe de
tiene lugar durante toda la auditoría. 4100.113 mente cumpli incluidos en el manual, pero el informe de revisión, manual
cumpli do revisión muestra deficiencias en la
do documentación y en la revisión continua de
la calidad.
15.5: El auditor aplicará procedimientos de ISSAI Parcial No No No No Normalmente todo el trabajo realizado a Manual de
auditoría para determinar si han sucedido 4100.134 mente cumpli cumpli cumpli cumpli este respecto se basa en hallazgos auditoría.
hechos posteriores durante el tiempo cumpli do do do do accidentales más que en procedimientos de
comprendido entre la finalización del trabajo de do auditoría enfocados. Los procedimientos de
campo y la fecha del informe de la auditoría auditoría necesarios no están claramente
que puedan dar lugar a un incumplimiento definidos en la metodología.
significativo.
Tabla 8.2: iCAT de la EFS X (paso 1) en la que se muestran requisitos de las ISSAI de Nivel 4 con estatus "No
cumplido"
Página 99
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Las razones del incumplimiento pueden expresarse determinar sus debilidades y fortalezas en los
en términos de: términos de la auditoría de cumplimiento. A través
del análisis FODA la EFS puede evaluar su
• Las razones por las que decimos que no
situación actual y elaborar sus opciones
estamos cumpliendo, es decir, señalando cuál
estratégicas. Este ejercicio ayudará a explorar las
es el problema; o
amenazas y oportunidades que rodean a la EFS,
• Los hechos que demuestran la forma en que no además de ayudar a la alta dirección a tomar
estamos cumpliendo o que estamos decisiones informadas.
cumpliendo parcialmente con un requisito,
como se puede ver en este ejemplo. En el ejemplo de la iCAT de la Tabla 8.2 la
columna "justificación de la evaluación" explica las
Los ejemplos de la iCAT en las Tablas 8.1 y 8.2 razones del incumplimiento. Todo los requisitos
proporcionan una buena idea del grado de incumplidos de las ISSAI pueden tener la
cumplimiento de la EFS X con los requisitos de las explicación de su incumplimiento en esta columna
ISSAI para auditorías de cumplimiento de Nivel 4. de la iCAT. Una vez que la iCAT está completa
Sin embargo, para tener un panorama completo la muestra que por lo general las causas del
EFS debe llevar a cabo el mapeo de todos los incumplimiento con los requisitos tienen su origen
requisitos. La información de la iCAT ayuda al en un nivel organizacional más amplio, como el
equipo de diagnóstico a identificar las deficiencias, mandato, la legislación, los procedimientos
así como los sistemas y prácticas en vigor con los establecidos de la EFS o las prácticas diarias del
que cuenta para lograr el cumplimiento de los personal. Una vez más, todos estos aspectos
requisitos. organizacionales se encuentran en el nivel 2 de las
ISSAI, que trata aspectos como la independencia,
Paso 2: Realizar un análisis FODA el valor y beneficio, la transparencia y rendición de
cuentas, la ética y el control de calidad.
Después de evaluar el cumplimiento con los
requisitos de las ISSAI usando la iCAT, el equipo
deberá realizar un análisis FODA de la EFS para
La Figura 8.3 identifica los siguientes elementos de las ISSAI de nivel 2 y los agrupa en cuatro dominios.
Relaciones con
Liderazgo y partes
gobernanza interesadas
interna externas
Independencia y Procesos básicos
marco legal • Código de Ética de la EFS • Prácticas para la
• Disposiciones para la elaboración y
gestión presentación de
• Recursos informes
• Comunicación
Página 100
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 101
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Al analizar los aspectos identificados en cada Por lo tanto, integrar los resultados de las dos
cuadro se obtiene un panorama general de los herramientas, iCAT y FODA, permitirá revelar una
puntos débiles y los retos que enfrentan las EFS e serie de aspectos estratégicos que requieren de
impiden que cumplan con los requisitos de las intervención.
ISSAI. La EFS también puede identificar sus
propias fortalezas y buenas prácticas que facilitan Paso 3: Determinar las prioridades de la EFS
el cumplimiento de los requisitos. Por otro lado, a
partir del análisis FODA las EFS también pueden Una vez que el equipo ha realizado el análisis
identificar sus puntos fuertes y buenas prácticas FODA para la EFS, los resultados muestran los
que facilitan su cumplimiento con los requisitos de principales problemas que enfrenta la organización.
las ISSAI. Por lo tanto, el análisis FODA, si se En esta etapa el equipo de evaluación debe hacer
conduce de manera objetiva, presenta un conjunto una lista de las fortalezas y debilidades en
único de hechos para cada EFS dentro de los diferentes áreas. En muchos casos pueden existir
cuatro dominios del Nivel 2. Por ejemplo, el fortalezas y debilidades similares a través de los
requisito de la ISSAI 4100.82 presentado en la cuatro dominios. Se espera que el equipo agrupe
iCAT de la EFS X en la Tabla 8.1 estipula que "El estos aspectos con los aspectos más amplios que
auditor identifica y evalúa el riesgo de fraude y enfrenta la EFS. Estos aspectos se considerarán
obtiene evidencia suficiente y apropiada en prioridades estratégicas si tienen el potencial de
relación con los riesgos de fraude detectados afectar o impedir directamente el establecimiento
mediante la aplicación de procedimientos de de una sólida práctica de auditoría de cumplimiento
auditoría adecuados". en la EFS. Por ejemplo, la EFS X no cuenta con un
"marco de control de calidad". Ésta es una cuestión
Al mismo tiempo, el análisis FODA reveló que la importante para la EFS, ya que el marco podría
EFS X cuenta con un punto fuerte identificado proporcionar las directrices para completar los
como un “procedimiento y metodología de auditoría archivos de auditoría a tiempo y establecer
que asegura que los auditores apliquen la expectativas claras de documentación. De la
evaluación de riesgos e identifiquen los riesgos de misma manera, aspectos como la falta de
fraude". capacidad e independencia del personal pueden
ser objetos de la revisión prioritarios para la EFS X.
El vínculo entre la iCAT y el análisis FODA explica
muchas de las relaciones causales de las En esta etapa es probable que el equipo deba
deficiencias identificadas mediante la iCAT. Por lo realizar un análisis más profundo para identificar
tanto, el análisis también ayudará a identificar las los aspectos comunes a los dominios principales.
razones de tales deficiencias. Al considerar las Se debe tener cuidado y actuar con la debida
deficiencias y sus causas a través de los dominios, diligencia para identificar los aspectos prioritarios
identificados como independencia y marco legal, bajo cada dominio. Puede resultar conveniente
liderazgo y gobernanza interna, procesos básicos involucrar en el proceso a la dirección, a los
de la EFS y relaciones con partes interesadas gerentes de nivel medio así como, de ser posible, a
externas, es posible que muchas de ellas puedan todo el personal. Sin embargo, se recomienda
vincularse bajo un aspecto común. Por ejemplo, la contar al menos con la participación de
ISSAI 4100.113 señala que “la documentación es representantes del personal, jefes de equipo o un
una actividad que tiene lugar durante toda la grupo focal familiarizado con las políticas, prácticas
auditoría” – un requisito no cumplido por la EFS X, y limitaciones del ambiente de trabajo. La
según lo revela la iCAT en la Tabla 8.2. Un análisis participación de personal de distintos niveles
posterior utilizando el FODA reveló que cuando se proporcionará diferentes perspectivas y ayudará a
evalúan casos de incumplimiento, existe la falta de identificar los aspectos estratégicos.
capacidad para organizar y preparar documentos
de trabajo que puedan ser fácilmente La EFS deberá dar prioridad a los aspectos
comprendidos, lo cual es un problema relacionado incluidos en el cuadro de debilidades y la
con la documentación. asignación de recursos o la estrategia deberán
enfocarse en remediar las deficiencias observadas
y en mitigar las posibles amenazas. Sin embargo,
Página 102
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
la EFS no deberá descuidar sus propias fortalezas, En esta etapa el equipo identifica varias opciones
ya que representan diferentes oportunidades para estratégicas dirigidas a superar las deficiencias.
aprovechar las mejores prácticas y sistemas con Por lo tanto, deberá empezar haciendo consultas y
los que ya cuenta. Apoyarse en estas fortalezas evaluando diversas ideas sobre las causas de
ayudará a la EFS a alcanzar su objetivo final que dichas deficiencias. Al igual que en el paso 3, el
es la implementación de una práctica de auditoría equipo deberá contar con la participación de la alta
de cumplimiento en conformidad con las ISSAI dirección, los gerentes de nivel medio y el grupo
focal para identificar las diversas opciones. Este
Como se puede ver en los ejemplos de iCAT y del enfoque participativo también ayudará a aumentar
análisis FODA de la EFS X, algunos de los la aceptabilidad y reducir la resistencia de los
aspectos prioritarios identificados (paso 3) por la empleados a la implementación de las estrategias.
EFS son:
En este ejemplo la EFS X ha identificado los
• Determinar el alcance de la auditoría; aspectos prioritarios enumerados en el paso 3.
• Las debilidades en las actividades de Para ilustrar el paso 4, algunas de las opciones
planificación; estratégicas que se tienen para abordar las
• Un proceso de documentación que incluya los prioridades identificadas son:
documentos de trabajo;
• Métodos para la recopilación de evidencia; • Revisar las prácticas seguidas por la EFS para
• Revisiones de calidad; e determinar el alcance de la auditoría;
• Independencia de los auditores residentes. • Actualizar la metodología existente para la
documentación de archivos, evaluación de
Paso 4: Identificar las opciones estratégicas riesgos y planificación de las auditorías de
para abordar los aspectos prioritarios cumplimiento;
• Mejorar la capacidad del equipo para
Con base en los aspectos prioritarios identificados documentar su trabajo de auditoría; y
en el paso 3, el equipo deberá buscar diversas • Desarrollar un sólido sistema de aseguramiento
opciones estratégicas para solucionar de la calidad.
apropiadamente estos problemas. Como se
mencionó arriba, se deberá enfocar en los
aspectos prioritarios y obtener una mayor
asignación de recursos para su resolución.
Figura 8.4: Factores que determinan la selección de las opciones estratégicas para la
implementación de las ISSAI
Recursos
Estrategia de
Tamaño Implementación Experiencia
de las ISSAI
Ambiente
Página 103
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Paso 5: Seleccionar las opciones estratégicas propuestas, ya que es probable que cuenten con
de la EFS recursos limitados para llevar a cabo otros
proyectos además de las actividades de auditoría
Una vez que el equipo ha formulado las distintas establecidas por mandato en comparación con las
opciones estratégicas, deberá valorar las EFS más grandes. Sin embargo, éste puede no ser
alternativas dentro del contexto de varios factores el caso para todas las situaciones, dependiendo
clave que pudieran determinar la factibilidad de las del contexto local y otros factores. Por lo tanto, el
estrategias. Por lo tanto, al evaluar las opciones el equipo deberá considerar las diferentes opciones
equipo deberá considerar la disponibilidad de tomando en cuenta el tamaño de la EFS.
recursos, el tamaño de la EFS, los años de
experiencia en la conducción de auditorías de iii. Experiencia
cumplimiento y la dinámica del ambiente en el que
opera. Todos estos factores requieren de una Existen EFS con distintos grados de experiencia en
consideración cuidadosa, ya que implican aspectos auditorías de cumplimiento. La regla general es
complejos que son capaces de afectar que las EFS con más años de experiencia pueden
negativamente las iniciativas o estrategias tener cierta ventaja en la implementación de las
propuestas durante la implementación. estrategias en comparación con las EFS que
apenas están empezando o no tienen experiencia
Cada opción estratégica identificada en el paso 4 en la conducción de auditorías de cumplimiento.
se someterá a evaluación y se examinará con Por lo tanto, la selección de las opciones
respecto a varios factores para justificar la estratégicas también puede depender en gran
factibilidad y beneficios de las estrategias medida del número de años que la EFS lleva
propuestas. Por lo tanto, la selección de las realizando estas auditorías.
opciones estratégicas para la implementación de
las ISSAI debe verse desde cuatro aspectos o iv. Ambiente
factores principales, tal como se muestra en la
Figura 8.4. La viabilidad y factibilidad de las estrategias de
implementación de las ISSAI para auditorías de
i. Recursos cumplimiento también dependerá en gran medida
del ambiente en el que la EFS está operando
La elección de una opción estratégica debe tomar actualmente. Por lo tanto, el equipo también
en cuenta la disponibilidad de los recursos, tanto deberá analizar el ambiente desde varios aspectos,
humanos como financieros. Es muy común, incluyendo la diversidad social, económica, política
especialmente en las EFS de los países en y cultural para seleccionar las opciones
desarrollo, que este aspecto tenga demasiado estratégicas más viables. Es importante recordar
peso al determinar la elección de las alternativas que cada EFS opera en ambientes completamente
disponibles. Debido a que algunas de las diferentes y puede no haber una estrategia única
estrategias propuestas pueden implicar un reajuste que se adapte a todas ellas. Existen EFS con un
en la práctica de las auditorías de cumplimiento, lo esquema institucional estructurado bajo el sistema
que puede incluir reformas institucionales, el de tribunales o bajo el sistema Westminster
desarrollo y armonización de las leyes existentes y (parlamentarista), dependiendo del sistema político
la elaboración de manuales y políticas, la del país. Del mismo modo, cada EFS opera en un
consideración sobre los recursos es fundamental país con un nivel diferente de desarrollo
en todas las iniciativas propuestas. Los recursos socioeconómico y con diferentes creencias y
humanos e institucionales también son vitales al valores culturales, por lo que imponer una sola y
determinar si la EFS tiene la capacidad para poner única estrategia podría no tener sentido. Desde
en práctica las estrategias propuestas. una perspectiva geográfica más amplia todas las
EFS alrededor del mundo pertenecen a uno de los
ii. Tamaño muchos grupos regionales, como ASOSAI,
AFROSAI-E, ARABOSAI, CAROSAI, CREFIAF,
En general, las EFS pequeñas pueden encontrar EUROSAI, PASAI y OLACEFS. Sin embargo,
más difícil la implementación de las estrategias también es posible que no todas las EFS bajo el
Página 104
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
mismo grupo regional tengan una situación en promotor y tendrá un papel más importante en el
común, lo que requerirá de un conjunto único y éxito o fracaso de la implementación. Por lo tanto,
diferente de estrategias acorde a las necesidades el apoyo del titular de la EFS a las estrategias de
específicas de la EFS y a la situación que impera implementación de las ISSAI es esencial.
en su ambiente.
En el ejemplo de la EFS X, a partir de las dos
En el ejemplo de la EFS X, ésta formuló una lista opciones estratégicas la EFS X decidió actualizar
de opciones estratégicas como las descritas en el la metodología existente para la documentación de
paso 4. Asumiendo la disponibilidad de recursos, el archivos, evaluación de riesgos y planificación de
tamaño pequeño de la EFS, el nivel moderado de las auditorías de cumplimiento, para lo cual formuló
experiencia en la conducción de auditorías de un plan de acción.
cumplimiento y un ambiente favorable para la
implementación de las opciones estratégicas La siguiente sección describe el proceso de
seleccionadas, la EFS eligió las siguientes formulación de un plan de acción en los cuatro
opciones (paso 5): dominios identificados en el paso 2. En la Tabla 8.4
se muestra un ejemplo y se proporciona un formato
• Actualizar la metodología existente para la para preparar el plan de acción.
documentación de archivos, evaluación de
riesgos y planificación de las auditorías de
cumplimiento;
• Desarrollar un sólido sistema de aseguramiento
de la calidad.
Página 105
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Aprobado por:
Firma: _______________________________ Fecha: ___________________________
Nombre: _____________________________ Puesto: __________________________
Página 106
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Página 107
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
sistemas entre otros. La EFS también necesitará las EFS de los países en vías de desarrollo trabaja
considerar el costo de estos recursos con base en con recursos limitados. Todos estos pasos se han
su ambiente y su situación actual. ilustrado a través del ejemplo de la EFS X.
8.6 CONCLUSIÓN
La formulación de una sólida estrategia de
implementación de las ISSAI para las auditorías de
cumplimiento es clave para la adopción de una
práctica de auditorías de cumplimiento que sea
consistente y cumpla con los requisitos de las
ISSAI. El enfoque estructurado propuesto en este
capítulo puede resultar útil para el equipo o los
facilitadores de las ISSAI al momento de formular
la estrategia de implementación para sus
respectivas EFS.
Página 108
Curso de capacitación virtual de IDI para la
"Implementación de las ISSAI de Auditoría de Cumplimiento"
Socios
El Programa de Implementación de las ISSAI es un proyecto conjunto entre el Comité de
Normas Profesionales de INTOSAI, sus subcomités de Auditoría Financiera, de Desempeño y
de Cumplimiento, el Comité para la Creación de Capacidades de INTOSAI y las regiones de
habla inglesa correspondientes. El objetivo del programa es crear la capacidad necesaria para
la implementación de las ISSAI de auditoría financiera (incluyendo las auditorías de
cumplimiento) y auditorías de desempeño de Nivel 4 en las cinco regiones de habla inglesa de
AFROSAI-E, ASOSAI, CAROSAI, EUROSAI y PASAI.
Página 109