Referencia

Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 1 de 15

FAC O7 –
INSTRUCTIVO PARA EVALUACION DEL CONTROL FISCAL INTERNO.

1. INTRODUCCIÓN

Evaluación de Control Interno es el análisis de los sistemas de control de las

entidades sujetas a la vigilancia, con el fin de determinar la calidad de los mismos,
el nivel de confianza que se les pueda otorgar, si son eficaces y eficientes en el
cumplimiento de sus objetivos.

El conocimiento del control interno forma parte de la comprensión de la entidad y

la materia controlada. Los auditores deben evaluar los controles internos y valorar
el riesgo de que el sistema de control no prevenga o detecte incumplimientos
significativos.

El presente instructivo ha sido elaborado con la finalidad de guiar a los auditores

en el diligenciamiento del formato FAC-08, Matriz para la Evaluación del Control
Fiscal Interno AC, en adelante la Matriz, para generar una calificación sobre la
calidad y eficiencia del referido control en la entidad o proceso auditado bajo el
enfoque de la auditoría de cumplimiento.

Para este propósito se ha diseñado una matriz, en archivo Excel, siguiendo los
conceptos y principios contenidos en el documento de Principios, Fundamentos y
Aspectos Generales para las Auditorías en la CGR, en su numeral 1.14.3
Evaluación del Control Fiscal Interno. Así mismo, se han considerado como guía,
los requerimientos contenidos en la ISSAI 41001 sobre comprensión del control
interno de la entidad auditada, análisis de riesgos y consideraciones relativas al
fraude en el análisis de riesgos; y en la ISSAI 13152 sobre el entendimiento
necesario sobre la entidad y su entorno, incluido el control interno de la entidad.

De esta manera se contribuye al cumplimiento de lo expuesto en el numeral 6 del

Art. 268 de la Constitución Política de Colombia.

Este documento es parte integrante de la Guía de Auditoría de Cumplimiento

(GAC) de la CGR.

1
ISSAI 4100 Directrices para las auditorías de cumplimiento realizadas separadamente de la auditoría de
estados financieros.
2
ISSAI 1315 Identificación y evaluación de los riesgos de irregularidades importantes a través de una
compresión de la entidad y su entorno.

1
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 2 de 15

2. INSTRUCCIONES A SEGUIR PARA USO DE LA MATRIZ PARA LA

EVALUACIÓN DEL CONTROL FISCAL INTERNO EN LA AUDITORÍA DE
CUMPLIMIENTO

Los auditores durante el proceso de la auditoría de cumplimiento, aplicarán el

siguiente procedimiento para cumplir los dos propósitos de la evaluación del
Control Fiscal Interno:

a. Determinar el grado de confianza que pueden depositar en los controles

implementados por los sujetos de vigilancia y control fiscal, para establecer
la estrategia de auditoría, indicando el alcance y la extensión de las
pruebas de auditoría, y
b. Coadyuvar en la emisión del concepto que exprese la CGR, sobre la
calidad y eficiencia del control fiscal interno de las entidades y organismos
del Estado.

Teniendo en cuenta lo anteriormente expuesto, la aplicación de la Matriz para la

Evaluación del Control Fiscal Interno – AC se realizará de acuerdo con lo expuesto
en la Figura No. 1. En ella se muestra de forma integral el esquema seguido para
este propósito, donde básicamente se realizan tres tipos de evaluaciones para
poder llegar a una única conclusión sobre la calidad y eficiencia del control fiscal
interno.

A continuación, se detallan los tres tipos de evaluaciones y el peso específico de

cada una de ellas dentro de este esquema:

a. Evaluación por componentes, con una ponderación de 10% sobre el

resultado global.
b. Evaluación del diseño de los controles que intentan mitigar los riesgos de
incumplimiento identificados, con una ponderación de 20% sobre el
resultado global.
c. Evaluación de la efectividad de los controles que intentan mitigar los
riesgos de incumplimiento identificados, con una ponderación de 70%
sobre el resultado global.

2
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 3 de 15

Figura No. 1. Esquema para la Evaluación del Control Fiscal Interno

2.1. Evaluación de componentes

La evaluación de componentes para el propósito seguido en la auditoría de

cumplimiento se realizará mediante la evaluación particular de cada uno de los
cinco (5) componentes asumidos por la metodología, como lo son: ambiente de
control, evaluación del riesgo, sistemas de información y comunicación,
procedimientos y actividades de control y supervisión y monitoreo, una explicación
acerca de los componentes se presenta en el Apéndice 1 de este documento.

Para la evaluación de cada uno de los cinco componentes se realizarán

cuestionarios que serán registrados en la hoja “Componentes de Control Interno”
de la Matriz para la Evaluación del control Interno (FAC-08).

Para la redacción de las “preguntas de evaluación” de esta matriz los auditores

poseen ejemplos y/o sugerencias contenidas en el Apéndice 2 de este documento,
el listado de ejemplos y/o sugerencias no es restrictivo y deben hacerse todas
aquellas que el equipo auditor considere, y que permitan comprender las medidas

3
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 4 de 15

establecidas por los sujetos de vigilancia y control fiscal, para mitigar el riesgo de
incumplimiento.

Cada una de las “preguntas de evaluación” contenidas en cada componente serán

respondidas como “SI” o “NO” dependiendo de la existencia de evidencia
verificada por los auditores. A las respuestas “SI” se les otorgará una calificación
de “1” para los controles “Adecuados” y a las “NO” una calificación de “3” como
controles “Inadecuados”, así la combinación de resultados (por componentes) y de
resultados totales nos llevaría a concluir como: “Adecuado, Parcialmente
Adecuado o Inadecuado”.

Los resultados parciales y el resultado final obtenido en esta hoja son transferidos
de forma automática a la hoja “RESULTADOS” de la Matriz.

2.2. Evaluación del diseño de los controles para mitigar los riesgos de
incumplimiento identificados.

Durante la fase de planeación de la Auditoría de Cumplimiento, el equipo auditor

con la orientación técnica del Supervisor, partiendo de los criterios de auditoría o
de evaluación que se pretenden confrontar de acuerdo con los objetivos general y
específicos, procederá a identificar y evaluar los Riesgos de Incumplimiento en
función de los criterios identificados bajo el alcance de la auditoría. De la misma
manera, evaluarán y calificarán el diseño de los controles que los sujetos de
vigilancia y control fiscal, han establecido para mitigar la ocurrencia de los riesgos
identificados para el asunto o materia a evaluar.

Para este proceso los auditores harán uso de la hoja “RIESGOS Y CONTROLES”
de la Matriz, incluirán en ella los criterios identificados para la auditoría en
cuestión. Cada uno de estos criterios debe ser asociado con un Factor de Riesgo,
los que a su vez se encuentra listados en la hoja “FACTORES DE RIESGO” de la
misma Matriz.

De manera predeterminada se incluyen los factores de riesgo de la tabla siguiente.

Si el auditor considera que adicionalmente hay otro(s) que pudieran ser
considerados, los puede incluir en la hoja “FACTORES DE RIESGO”, indicando su
nombre y descripción.

FACTORES DE RIESGO
AUDITORÍA DE CUMPLIMIENTO
No. Factor de riesgo Definición

1 Legalidad Que las actividades u operaciones no se hayan realizado de

conformidad con las normas que le son aplicables.
2 Eficacia Que las actividades u operaciones no se realicen o que sus resultados
no se logren de manera adecuada y en concordancia con los objetivos
y metas previstas.

4
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 5 de 15

3 Oportunidad Que las actividades u operaciones se lleven a cabo por fuera de los
términos o el plazo establecido para su ejecución.
4 Consistencia de la información Que la información sobre las actividades u operaciones no refleje la
realidad de manera fidedigna: 1) que no incluya la totalidad de las
actividades u operaciones, 2) que incluya datos erróneos sobre las
mismas, 3) que incluya datos sobre situaciones que no han sucedido en
la realidad, o 4) que los datos e información no sean pertinentes y
confiables a los fines que se persiguen.
5 Competencia Que las actividades u operaciones no sean ordenadas, autorizadas,
realizadas, supervisadas y/o controladas por las personas o instancias
facultadas para tales efectos.
6 Idoneidad Que las actividades u operaciones sean ordenadas, autorizadas,
realizadas, supervisadas y/o controladas por personas que no cuenten
con la experiencia, capacitación y/o conocimientos necesarios para
hacerlo.
7 Infraestructura Que para la realización de las actividades u operaciones no se cuente
con la disponibilidad de recursos y elementos necesarios, o que la
capacidad de los recursos y elementos sea insuficiente.
8 Personal Que para la realización de las actividades y operaciones no se cuente
con el personal necesario, o que éste no cuente con las condiciones
físicas, de salud, o de seguridad suficientes.
9 Procesos Que para la realización de las actividades u operaciones no se cuente
con un adecuado diseño de procesos o procedimientos, que no exista
segregación de funciones e identificación precisa de responsables para
su direccionamiento, ejecución, control y evaluación, que los
proveedores e insumos (entradas) no sean los más adecuados a los
fines que se persiguen, o que los resultados o salidas no estén
claramente definidos.
10 Tecnología Que para la realización de las actividades u operaciones no se cuente la
tecnología necesaria.

Una vez asociados los Factores de Riesgo a los criterios, los auditores deben
identificar los Riesgos de Incumplimiento, los cuales corresponden a riesgos
inherentes, para esta identificación los auditores cuentan como fuente adicional los
resultados del cuestionario “1.1 Riesgo Inherente”, del formato “FAC-11 -
Identificación de Riesgos de Auditoría”, siempre que se orienten dichas preguntas
hacia los objetivos de la AC especifica.

Finalmente procederán a calificar el Nivel del Riesgo de Incumplimiento en Alto,

Medio o Bajo, de acuerdo con el juicio profesional basado en las variables de
impacto y probabilidad de ocurrencia.

En la misma hoja “RIESGOS Y CONTROLES”, los integrantes del equipo de

auditoría comprenderán, evaluarán y calificarán el “diseño de los controles” para
mitigar el Riesgo de Incumplimiento de los criterios a evaluar, teniendo especial
cuidado de obtener evidencia que dé respuesta (Si o No) a las siguientes
preguntas:

a. ¿El control está dirigido a mitigar el riesgo?

b. ¿Hay un Responsable definido para aplicar el control?
c. ¿Hay una periodicidad definida?

5
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 6 de 15

d. ¿El control está documentado y socializado?

Cada una de las “preguntas” serán respondidas como “SI” o “NO” dependiendo del
juicio y de la evidencia evaluada por los auditores a cargo. A las respuestas “SI” se
les otorgará una calificación de “Adecuado” y a las “NO” una calificación
“Inadecuado”; así la combinación de resultados nos llevaría a concluir como:
“Adecuado, Inadecuado o Parcialmente Adecuado” el diseño de los controles.
La interpretación de la calificación del diseño de controles, es la siguiente:

EVALUACIÓN DEL
DISEÑO DE CRITERIOS PUNTAJE
CONTROLES
Adecuado Cumple con todos los criterios 1
Cumple con el criterio:
Parcialmente Adecuado apropiado, pero incumple con 2
algún otro de los criterios.
Incumple con el criterio
Inadecuado o Inexistente apropiado, o no cumple con 3
ninguno de los criterios.

Los resultados parciales de la evaluación del diseño de los controles son

transferidos de forma automática a la hoja “RESULTADOS”.

La combinación de la calificación otorgada a los Riesgos de Incumplimiento con

los resultados de la evaluación del diseño de los Controles, determinan la
calificación de Bajo, Medio o Alto para el Riesgo Combinado, el cual es calculado
automáticamente y todos estos resultados son transferidos de igual forma a la hoja
de “Resultados ”.

Del mismo modo, en la Fase de Planeación los auditores deberán identificar

posibles Riesgos de Fraude relacionados con el incumplimiento de los criterios
evaluados. Para este procedimiento, los auditores utilizarán lo previsto en el
Formato “FAC 12 - Consideraciones sobre Riesgo de Fraude”, el cual contiene
una lista sugerida de preguntas, que no pretende ser exhaustiva ni limitante. La
posible existencia de fraude será identificada a través del uso de un “SI” o un
“NO”, que automáticamente se incorporara en la hoja de “Resultados”.

En la Auditoría de Cumplimiento, el Riesgo de Fraude se relaciona generalmente

con el abuso de la autoridad pública, con la presentación de informes fraudulentos
en materia de cumplimiento y con otras situaciones como las mencionadas en el
aparte sobre Riesgo de Fraude de la GAC. Si bien este riesgo no se califica, se
constituye en una alerta sobre el riesgo al cual puede estar expuesta la entidad, el

6
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 7 de 15

programa, el proyecto, el asunto o materia que se está examinando en la

auditoría.

2.3. Evaluación de la efectividad de los controles para mitigar los

riesgos de incumplimiento identificados.

Durante la Fase de Ejecución de la Auditoría de Cumplimiento, los auditores

mediante la aplicación de los procedimientos de auditoría que incluyen pruebas de
cumplimiento y sustantivas, determinarán si los controles son efectivos a partir del
cumplimiento de los criterios de auditoría definidos. Para estos efectos, se
considerarán los resultados de las pruebas de auditoría (hallazgos) asociados a
esos controles evaluados.

La evaluación de la efectividad se fundamenta en:

¿Se detectó hallazgo en la auditoría por deficiencias en este
control?

Este atributo se califica en “SI” o “NO”, donde un “SI” califica de “Inefectivo” con
una puntación de “3” y un “NO” califica de “Efectivo” con una puntuación de “1” a la
Efectividad del Control.

Los resultados de la evaluación de la efectividad de los controles son transferidos

de forma automática a la hoja “RESULTADOS”

Una vez conseguidos los resultados de las tres evaluaciones expuestas

anteriormente, en la misma hoja de “RESULTADOS”, se calcula de forma
automática la calificación final del Control Fiscal Interno con un rango numérico
asociado a calificaciones de Eficiente, con Deficiencias o Ineficiente.

Finalmente, la calificación del Control Fiscal Interno en el caso de auditorías en las

que se involucren puntos de control, se realizará de acuerdo con los criterios y
directrices generales establecidas en el documento de Principios, Fundamentos y
Aspectos Generales para las Auditorias en la CGR3.

3
Numeral 1.14.3

7
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 8 de 15

APÉNDICE 1. COMPONENTES CONTROL INTERNO

La estructura de control interno COSO, contempla políticas y procedimientos

específicos para dar a la Administración garantía razonable de que se cumplirán
sus objetivos, y pueden clasificarse en una o más de las siguientes categorías,
dependiendo del tipo de auditoría:

a. Objetivos orientados hacia el cumplimiento de la Constitución Política, las

leyes, normas, reglamentos y regulaciones que apliquen. (Auditoría de
Cumplimiento).
b. Objetivos orientados hacia la confiabilidad de la información financiero-
contable-presupuestal; (Auditoría Financiera).
c. Objetivos orientados hacia la economía, eficiencia y eficacia de las
operaciones; (Auditoría de Desempeño).

Igualmente, tales políticas y procedimientos que conforman dicha estructura de

control interno se pueden subdividir en cinco componentes (Enfoque COSO) a
saber:

Figura 5.- Estructura del Sistema de Control Interno

a. Ambiente de Control.

Entender el ambiente de control es fundamental para comprender los

otros componentes de la estructura de control interno de la entidad. El
ambiente de control refleja la actitud y el compromiso de la Alta

8
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 9 de 15

Administración y funcionarios de la entidad respecto de la importancia que

otorgan a tal estructura.

Un ambiente de control adecuado en la entidad se demuestra mediante el

establecimiento de mecanismos que favorezcan la implementación y
ejecución de las actividades y operaciones de control hacia el cumplimiento
de las leyes y normas aplicables. Un ambiente de control débil, propiciaría
las condiciones para la materialización del incumplimiento y/o de fraudes.
Por el contrario, un ambiente de control fuerte permite al auditor depositar
mayor confianza en los sistemas de control, seleccionar controles como
fuentes de satisfacción de auditoría y posiblemente reducir la cantidad de
evidencia requerida para obtener la conclusión de que los controles
seleccionados funcionan adecuadamente; por esa razón el auditor necesita
obtener una comprensión suficiente y adecuada del ambiente de control
como insumo para la planeación de la auditoría.

El ambiente de control tiene dos características importantes:

i. La Conciencia de Control se refiere a la importancia que la

Administración brinda al control interno y, por lo tanto, a la atmósfera
dentro de la cual funcionan los controles internos específicos de la
entidad. Dicha conciencia es, en gran parte, un elemento intangible; es
una actitud de la Administración que, cuando se comunica y busca
cumplirse, sirve para reducir la probabilidad de que los controles no se
cumplan. Un indicador que puede dar origen a la falta de confiabilidad
por parte del auditor en el ambiente de control, es el hecho que la
Administración, con el propósito de motivar al personal a lograr las
metas previstas, crea una atmósfera que conduce a un comportamiento
indisciplinado o poco ético, o permita al personal de la entidad que
logre las metas evitando los controles establecidos. Para que la
conciencia de control sea realista, la Administración debe haber
impartido directrices claras a sus funcionarios, con el fin de que se
observen todos los controles instalados en las operaciones de la
entidad. A fin de lograr el objetivo deseado la entidad establece
mecanismos generales de control para hacerlo eficaz. La adopción de
medidas correctivas oportunas por la Administración al conocer una
debilidad existente en el control interno, demuestra su compromiso y
refuerza la conciencia de control.

ii. Los procedimientos y sistemas administrativos de control proporcionan

la disciplina necesaria para que los controles sobre los procesos de
información no rutinarios funcionen eficazmente, las cuales podrían
referirse a la estructura organizacional, el apoyo del sistema de

9
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 10 de 15

información computarizado, la función de auditoría interna, la integridad

y competencia del personal y, la existencia de un código de conducta.

b. Evaluación del riesgo por parte de la Administración.

Con relación a este componente de control interno, debemos entender como

la Administración ha establecido los objetivos generales para la entidad y
objetivos relacionados con actividades y operaciones y cómo ha identificado y
analizado los riesgos de que dichos objetivos no se fuesen a lograr. En el
caso de la Auditoría de Cumplimiento, toma relevancia el hecho de cómo la
entidad o entidades en el ejercicio de su gestión fiscal, se anticipan para
manejar el riesgo de incumplimiento de las principales disposiciones legales,
normativas y regulatorias a las cuales está sometida. Todas las entidades,
independientemente de su tamaño, estructura, naturaleza o industria están
sujetas a los riesgos propios de su actividad u operación.

Estos riesgos pueden afectar la capacidad de la entidad para competir

exitosamente dentro del servicio gubernamental, mantener su solidez
patrimonial e imagen pública positiva y salvaguardar la calidad total de sus
productos, servicios y el bienestar de su personal.
La Administración del sujeto de control determina los riesgos que se han de
aceptar, y el alcance y los métodos que se han de aplicar para vigilar y mitigar
los riesgos. Debido a que las condiciones en que opera la(s) entidad(es)
cambian (por ejemplo, económicas, nivel de exigencia de público cada vez
mayor, regulaciones y otras), se necesitan mecanismos para identificar y
manejar los riesgos específicos relacionados con el cambio.

c. Procedimientos y Actividades de Control.

Para este componente debemos entender los pasos, tareas y políticas
establecidas por la Administración, adicionales a aquellos diseñados para
propiciar un ambiente de control sano y transparente, que igualmente
coadyuvan a la entidad a obtener seguridad razonable en el logro de sus
objetivos y el cumplimiento con las leyes, normas y regulaciones.
Existen potencialmente muchos procedimientos y actividades de control en
cualquier operación; sin embargo, podemos llegar a clasificarlos en cinco
categorías a saber:

i. Separación adecuada de responsabilidad. Los auditores deben

obtener una comprensión sobre las responsabilidades y
funciones dentro de los procesos identificados y verificar la
existencia o no de funciones incompatibles.
ii. Autorización adecuada de operaciones y actividades. Los
auditores deben verificar que exista una adecuada política de

10
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 11 de 15

autorización de las operaciones y que existan límites para las

mismas.
iii. Documentos y registros adecuados. Se verificará que los
documentos y registros resulten adecuados y conservados en
archivos que aseguren la permanencia y seguridad de la
información.
iv. Control físico sobre activos y registros. Los auditores deben
comprender cómo la entidad controla el riesgo de robo o extravío
de información, así como el acceso a documentos críticos.
v. Verificaciones independientes sobre el desempeño. Los
auditores deben comprender los controles operativos existentes
en la entidad, para asegurar el desempeño de las operaciones de
manera continua y conforme a los procedimientos diseñados para
tales fines.

d. Sistema de Información y Comunicación.

Este componente de la estructura de control interno de una entidad o de

varias entidades comprende lo que se identifica, captura, procesa y comunica
de una manera y en un espacio de tiempo que les permite a los funcionarios
de la entidad cumplir con sus responsabilidades.

La comunicación se refiere al suministro de información a todos los niveles de

una entidad y entre estos, así como externamente, según sea apropiado. La
comunicación efectiva incluye un mensaje claro de la Administración, de que
las responsabilidades de control se asuman seriamente, así como
información sobre la manera en que cada uno de los funcionarios de la
entidad se relaciona con el control interno y el trabajo de los demás.

El equipo de auditoría debe comprender como el sistema de información

provee reportes que contienen información sobre las operaciones e
información relacionada con el cumplimiento legal, que hacen posible la
operación y el control de la entidad; además, este sistema no solamente
utiliza los datos generados internamente, sino que también utiliza información
sobre sucesos, actividades y condiciones externas que son necesarias para
tomar decisiones bien fundamentadas de negocios y emitir informes externos.

e. Supervisión y Monitoreo.

Las actividades de comprensión de este componente están orientadas a

evaluar la efectividad de la estructura de control interno de la entidad de
manera sostenible. Los auditores deben comprender, cómo la entidad, por
medio de actividades continuas, evaluaciones puntuales o una combinación

11
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 12 de 15

de las dos, ejecuta una supervisión efectiva para informar a los niveles
ejecutivos sobre las debilidades de control interno y a la Alta Administración
sobre los asuntos más importantes. El auditor puede evidenciar que en las
entidades puede existir una supervisión continua complementada con
evaluaciones puntuales para proveer certeza de que la estructura de control
interno mantiene su eficacia a lo largo del tiempo.

12
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 13 de 15

APENDICE 2. EJEMPLOS DE CUESTIONARIOS PARA EVALUACIÓN DE

COMPONENTES

Esta sección está constituida por una serie de preguntas pre-elaboradas,

organizadas en listas, relativas a los controles de las distintas áreas que
cubren una Auditoría de Cumplimiento.

El equipo auditor puede utilizar este recurso para reconocer los distintos
aspectos de la estructura de control interno que pudieran ser inadecuados.
En su gran mayoría, estos cuestionarios contienen preguntas cerradas de
tal modo que las respuestas sean afirmativas o negativas, revelando así
potenciales debilidades de control. Estas preguntas deben ser
complementadas con procedimientos alternativos para validar sus
respuestas.

El cuestionario también prevé una columna para comentarios particulares

que el equipo auditor considere conveniente, como la presencia de riesgos,
futuras comprobaciones que sería necesario realizar, aclaraciones por parte
del funcionario que contestó el cuestionario, entre otros.

Esta herramienta de investigación posee la ventaja de cubrir con mayor

capacidad las áreas de auditoría, además de la rapidez con la que se
obtienen los resultados al principio de la auditoría.

Un buen cuestionario de control interno se caracteriza porque sigue el

esquema de los objetivos de auditoría y las preguntas se plantean como un
desglose de dichos objetivos cuyas respuestas confirman en forma concreta
las afirmaciones de la entidad en sus informes.

Constituye un error que el auditor entregue el cuestionario de control interno

al funcionario para que lo conteste por sí mismo, pues el objetivo es
aprovechar la entrevista en la que aplique el cuestionario de control interno
para obtener una mejor comprensión con preguntas adicionales no
estipuladas en el cuestionario.

Para el caso del entendimiento y evaluación de los componentes, los

auditores deben diseñar cuestionarios de preguntas relacionadas con el o
los criterios evaluados en la Auditoría de Cumplimiento, relacionados a su
vez con cada uno de los cinco componentes evaluados de manera
individual.

13
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 14 de 15

A continuación, se presenta un listado, no exhaustivo ni limitante, de

preguntas y/o requerimientos a ser considerados en la evaluación de los
componentes del control interno institucional.

Ambiente de Control:
i. Se han identificado la existencia de conflictos de intereses relacionados
con el cumplimiento de las leyes y regulaciones.
ii. Ha tenido la administración el conocimiento de no cumplimiento de
asuntos éticos de algunos de sus servidores con relación al
cumplimiento de sus funciones.
iii. La administración incentiva de manera frecuente con el cumplimiento de
los procesos administrativos.
iv. Los procesos de tomas de decisiones demuestran un comportamiento
ético en el contexto de las acciones de los funcionarios.
v. Los manuales y procedimientos están actualizados para los procesos
bajo evaluación.
vi. Se han producido cambios recientes en la entidad que pudieran afectar
el desempeño de las funciones.
vii. Se han producido cambios recientes en el mandato, objetivos y ámbitos
temáticos.
viii. La Dirección maneja adecuadamente el logro de los objetivos y la
gestión de riesgo garantizando la observancia de las leyes.

Valoración de Riesgo:
i. Existen mecanismos de análisis que permitan identificar, analizar y
evaluar los riesgos asociados al cumplimiento con las leyes y
regulaciones.
ii. Se han establecido de manera clara los objetivos en función a las leyes
y regulaciones que hay que cumplir.
iii. Se ha preparado al personal en cuanto a la probabilidad de cambios en
las normativas que rigen los procesos.

Procedimientos y Actividades de Control:

i. Existe segregación de funciones respecto a la realización y aprobación
de los procesos.
ii. Se reportan frecuentemente errores y debilidades aducidos a la mala
aplicación de los procesos sin seguimiento posterior.
iii. Se hacen verificaciones independientes de los procesos realizados
fundamentados en el cumplimiento de la legalidad.
iv. Están definidas las responsabilidades y las funciones.
v. Se toman acciones correctivas cuando se identifican debilidades en el
cumplimiento del marco legal.

14
 Referencia
Preparado por
Revisado por
Aprobado por
Fecha 00/00/0000
Página Página 15 de 15

vi. Se entrena el personal de forma oportuna y suficiente ante cualquier

cambio en el marco legal que ataña directamente a la entidad.

Información y Comunicación:
i. Se proveen oportunamente los informes que deben generarse en los
procesos.
ii. Los sistemas se actualizan o son adecuados para producir información.
iii. Las acciones de la administración son consistentes con las políticas
escritas.
iv. Los manuales existentes están actualizados y se usan.
v. Los procesos se realizan de forma manual o automatizada.
vi. Se comunica oportunamente mediante informes sobre situaciones de
incumplimientos del marco legal.
vii. La entidad posee mecanismos para comunicar oportunamente sobre los
cambios en el marco legal y las implicaciones de los mismos sobre el
funcionamiento de la entidad.

Supervisión y Monitoreo:
i. Existe seguimiento al cumplimiento del marco legal, normativas y
políticas.
ii. Existen registros de Supervisión, está definida la frecuencia o los
mecanismos de Supervisión.
iii. Se atienden las observaciones de los auditores internos y se prepara
documentación al respecto.
iv. Existen canales claros de comunicación.

15