2-2 - El Proceso de Aud TI - CGR

1
Material tomado de fuentes de referencia del Equipo de Auditoría de Sistemas de la Contraloría

General de la República de Costa Rica; y se utiliza estrictamente para fines académicos del
curso Auditoría Informática I de la EAN de la UCR.
Este material no constituye, en forma alguna, un documento oficial del ente contralor, es un
resumen recogido de materiales trabajados por su equipo de auditoría de TI de entonces.
METODOLOGIA DE LA CONTRALORIA GENERAL DE LA REPUBLICA
1 PLANIFICACIÓN...........................................................................................................................................3
1.1 SELECCIÓN DEL EQUIPO DE FISCALIZACIÓN................................................................................................4
1.2 ASIGNACIÓN DEL TRABAJO.........................................................................................................................4
1.3 ELABORACIÓN DEL PROGRAMA PARA LA REVISIÓN PRELIMINAR...............................................................4
1.4 PRESENTACIÓN Y TRASLADO DEL EQUIPO A LA ENTIDAD FISCALIZADA.....................................................5
1.5 EJECUCIÓN DEL PROGRAMA DE REVISIÓN PRELIMINAR..............................................................................5
1.6 EVALUACIÓN GENERAL DEL RIESGO DE AUDITORÍA...................................................................................6
1.7 PRODUCTOS DE LA REVISIÓN PRELIMINAR..................................................................................................7
1.8 ORGANIZACIÓN Y ARCHIVO DE PAPELES DE TRABAJO DE CONFORMIDAD CON LA NORMATIVA TÉCNICA.. 8
1.9 EVALUACIÓN DE CONTROLES.....................................................................................................................8
1.10 CALIFICACIÓN DEL RIESGO Y CONFECCIÓN DE LA MATRIZ DE RIESGO.....................................................9
1.11 PRODUCTOS DE LA EVALUACIÓN DE CONTROL INTERNO.........................................................................10
1.12 ELABORACIÓN DEL PROGRAMA DE ÁREAS CRÍTICAS................................................................................11
B) DEFINICIÓN Y DISCUCIÓN DE LOS OBJETIVOS ESPECÍFICOS POR ÁREA CRÍTICA........................................11
C) DEFINICIÓN DEL ALCANCE........................................................................................................................11
1.13 APROBACIÓN DEL PROGRAMA DE AUDITORÍA PARA ÁREAS CRÍTICAS......................................................12
1.14 ELABORACIÓN, ORGANIZACIÓN Y ARCHIVO DE PAPELES DE TRABAJO DE CONFORMIDAD CON LA NORMATIVA
TÉCNICA.....................................................................................................................................................13
2 EXAMEN.......................................................................................................................................................13
B) CONFORMACIÓN DEL EQUIPO DEFINITIVO.................................................................................................13
2.1 APLICACIÓN DE LOS PROGRAMAS Y RECOPILACIÓN DE LA EVIDENCIA.....................................................13
2.2 ANÁLISIS DE LA EVIDENCIA Y DETERMINACIÓN DE LOS HALLAZGOS IMPORTANTES................................14
2.3 EVALUACIÓN DE LOS RESULTADOS Y DE LA CONCLUSIÓN GLOBAL..........................................................15
2.4 ELABORACIÓN DE CONCLUSIONES, DISPOSICIONES Y/O RECOMENDACIONES POR ÁREA CRÍTICA.............16
2.5 ELABORACIÓN DEL RESUMEN DE OBSERVACIONES Y LA ESTRUCTURA DEL INFORME PARA PRESENTACIÓN DE
RESULTADOS DE LA FASE A LA ADMINISTRACIÓN DE LA ENTIDAD...........................................................16
2.6 COMUNICACIÓN Y DISCUCIÓN DE LOS RESULTADOS CON LA GERENCIA DE AREA...................................17
2.7 REDACCIÓN DEL BORRADOR DE LOS RESULTADOS DEL INFORME PARA PRESENTACIÓN A LA
ADMINISTRACIÓN.......................................................................................................................................17
2.8 ORGANIZACIÓN Y ARCHIVO DE PAPELES DE TRABAJO.............................................................................17
3 COMUNICACIÓN DE RESULTADOS.....................................................................................................18
3.1 DEFINICIÓN DE LA ESTRATEGIA DE COMUNICACIÓN DE RESULTADOS Y ELABORACIÓN DE LA PRESENTACIÓN
...................................................................................................................................................................18
3.2 PRESENTACIÓN DE RESULTADOS A LA ADMINISTRACIÓN..........................................................................19
3.3 REVISIÓN Y CONSOLIDACIÓN DE OBSERVACIONES EFECTUADAS POR LA ENTIDAD AUDITADA................21
3.4 AJUSTE DEL BORRADOR DEL INFORME FINAL...........................................................................................21
3.5 DISCUCIÓN DEL BORRADOPR DEL INFORME FINAL CON EL GERENTE DE AREA.......................................21
3.6 TRAMITACIÓN DEL INFORME FINAL...........................................................................................................21
3.7 CIERRE FINAL DEL CONTROL DE PROCESOS..............................................................................................23
3.8 ANÁLISIS Y RETROALIMENTACIÓN DE LA FISCALIZACIÓN........................................................................23
4 SEGUIMIENTO............................................................................................................................................23
4.1 RECEPCIÓN Y ANÁLISIS DE LA RESPUESTA RECIBIDA DE PARTE DE LA ENTIDAD AUDITADA....................23
4.2 PROGRAMACIÓN DE LA FISCALIZACIÓN DEL SEGUIMIENTO......................................................................24
4.3 APLICACIÓN DE LAS PRUEBAS PARA DOCUMENTAR EL SEGUIMIENTO......................................................24
2
4.4 ELABORACIÓN Y TRAMITACIÓN DEL INFORME DE SEGUIMIENTO..............................................................25

3
METODOLOGIA DE LA CONTRALORIA GENERAL DE LA REPUBLICA
Las auditorías de tecnologías y sistemas de información, se realizarán de acuerdo con la

metodología planteada en este documento, las normas aplicables sobre la materia y las guías y
lineamientos que se establezcan.
Es importante señalar, que para el desarrollo de una auditoría de tecnologías y sistemas de

información (TI/SI), se utilizará una metodología similar a la de Auditoría Operativa, con un enfoque
de fiscalización orientado hacia los resultados, salvo que el tipo de estudio requiera otro enfoque.
El proceso de la auditoría (TI/SI) comprende las siguientes cuatro etapas:
1. Planificación
2. Examen
3. Comunicación de Resultados
4. Seguimiento
FASE I PLANIFICACIÓN
La etapa de planificación debe considerarse la etapa más importante del proceso de la

auditoría, por cuanto de ella depende el éxito del trabajo de auditoría. Una adecuada
planificación permite asegurar que se preste la atención apropiada a áreas importantes, se
identifiquen los problemas potenciales y el trabajo es completado en forma expedita y la
apropiada asignación y coordinación del trabajo de los integrantes del equipo.
El grado de planificación variará de acuerdo con el tamaño de la entidad objeto de fiscalización,

la complejidad del estudio, la experiencia que posea el auditor y el conocimiento que tenga el
auditor de la entidad por fiscalizar.
a) Objetivos de la Planificación
Los objetivos de la planificación son:
 Lograr un conocimiento del área o áreas de indagación

 Preparar y ejecutar una evaluación preliminar de las áreas de indagación
 Determinar las posibles áreas de críticas
4
 Preparar un Plan de Auditoría y los correspondientes Programas para la evaluación de las

áreas críticas.
b) Fases de la Planificación
La planificación comprende las siguientes fases:
1.1 Selección del equipo de fiscalización
El Gerente de Area seleccionará el coordinador del equipo que realizará el estudio. Para
efectuar la selección del coordinador, el Gerente considerará entre otras cosas el grado de
dificultada o complejidad del estudio, así como el conocimiento y experiencia que poseen los
funcionarios de su área.
1.2 Asignación del trabajo
El Gerente de área designa formalmente al coordinador del equipo. Posteriormente, en forma

conjunta el Gerente y el Coordinador evaluarán la necesidad de recurso humano adicional para
desarrollar la fase de planificación considerando las prioridades de trabajo, la carga de trabajo
asignada a los funcionarios, la disponibilidad de personal, la complejidad de la auditoría y los
conocimientos requeridos para efectuar el estudio.
El nivel directivo procede a girar la instrucción al asistente administrativo del área para que
registre inicio del trabajo en el control de procesos.
El Coordinador del Grupo se reúne con los integrantes del equipo y les comunica formalmente
la asignación del estudio, así como las fechas de inicio y finalización del mismo. Además, en
esa reunión se procede a definir el objetivo u objetivos los estudios (generales y específicos),
los resultados y productos esperados.
El equipo de fiscalización confecciona un plan general para la ejecución del estudio, detallando
todas las actividades por desarrollar utilizando para ello la herramienta escogida al efecto.
1.3 Elaboración del programa para la revisión preliminar

5
Una de las primeras actividades que debe ser acometida por el equipo de fiscalización luego de
ser designado es realizar una revisión preliminar, la cual por lo general se realizará en la oficina.
La revisión preliminar tiene como propósitos:
 Obtener el conocimiento del ente u órgano a efecto de identificar posibles áreas de

indagación o actualizar el conocimiento obtenido anteriormente.
 Determinar cualquier situación o limitación importante que exista para la realización de
la auditoría.
El equipo designado elabora un programa para llevar a cabo la revisión preliminar. Dicho
programa contendrá:
 El objetivo de esta fase.

 El alcance de la fase (comprende: ámbito, período y normativa). En este debe
definirse con toda precisión el entorno y los límites en que va ha desarrollarse la
auditoría y se complementa con los objetivos de esta. Indefinición en el alcance
compromete el éxito de la auditoría.
 Los procedimientos a ejecutar.
 Los recursos necesarios para ejecutar el referido programa.
 Identificación de las fuentes de información internas y externas
Para preparar el programa es imprescindible estudiar la información disponible en el Sistema de

Conocimiento de la Entidad (SICOEN) para determinar aquellos aspectos del perfil institucional
que se deben actualizar, con el fin de cubrir los requerimientos de información para la ejecución
del estudio.
1.4 Presentación y traslado del equipo a la entidad fiscalizada
El equipo de fiscalización designado efectúa una reunión inicial en la entidad objeto de estudio,
con el fin de presentarse formalmente con el máximo jerarca, enterarlo del trabajo por realizar,
solicitarle un espacio físico para ubicarse en la institución y coordinar cualquier otro aspecto que
se estime importante para la realización del estudio. Luego que se efectúe dicha reunión el
equipo se trasladará a la institución e iniciará el trabajo.
Esta fase requiere de la realización de las siguientes actividades:
 Solicitar audiencia para realizar reunión.

 Confeccionar una nota de presentación a la entidad a fiscalizar.
 Efectuar la reunión de presentación del equipo (en esta reunión se comunica el
objetivo de a auditoría y se solicita colaboración para realizar el estudio. Se discuten
aspectos considerados importantes para la auditoría, se identifican eventos o
legislación importante para el estudio y se obtiene información sobre aquellas áreas
6
particulares a las que la Administración le gustaría que el equipo le prestara particular

atención en relación con el objetivo de auditoría).
 Solicitar espacio en la institución para ubicarse.
 Traslado y ubicación en la oficina designada en la institución por auditar.
1.5 Ejecución del programa de Revisión Preliminar
En esta fase el equipo de fiscalización ejecuta el programa de revisión preliminar y con base en
los resultados obtenidos actualiza el sistema de conocimiento de la entidad (SICOEN) y define
las áreas de indagación.
Los primeros esfuerzos que el equipo de fiscalización realizará al iniciar la ejecución de la

revisión preliminar, se dirigirán a establecer contactos estratégicos con la auditoría interna y
otras unidades claves de la institución. Además, se contactarán aquellas unidades de la
institución con las cuales se tendrá que tener relación directa durante el estudio.
La realización de contactos es de suma importancia, pues permitirá una coordinación de las

actividades de auditoría por realizar, tendente a evitar la duplicación de esfuerzos, así como
para lograr la participación y apoyo de la auditoría interna y administración de la entidad en la
ejecución del estudio.
Algunas actividades que deben realizarse en esta fase:
 Visitas a las instalaciones para hacer observaciones del aspecto por auditar y el
ambiente en el que opera.
 Entrevistas con la administración superior (preparar agendas específicas, reuniones y
documentar su ejecución).
 Revisión de documentos significativa. Es esencial para desarrollar la estrategia de la
auditoría. Es importante revisar la normativa que regula el ente auditado, organigrama,
políticas institucionales, el plan estratégico, plan anual operativo, el presupuesto, las
actas del órgano colegiado superior, los informes presupuestarios, de gestión y
financieros y operativos e informes de la auditoría interna y cualquier otra información
importante para comprender mejor las actividades y operaciones, cumplimiento de
objetivos y metas de los riesgos de operación.
 Análisis de cambios importantes en las operaciones estudiadas. (tales como esfuerzos
de reestructuración, decisiones políticas y algunos otros detectados. El impacto sucesos
como los citados deben considerarse al establecer la estrategia, el alcance y los planes
de auditoría detallados.
 Estudio de los sistemas de información. Es pertinente acumular un conocimiento
actualizado de los sistemas importantes que apoyan la gestión de la entidad y la
tecnología asociada a estos, así como del ambiente en el que operan.
7
1.6 Evaluación general del riesgo de auditoría
Después de obtener un conocimiento de los sistemas y la tecnología asociada a estos, así

como del ambiente en el que operan, el equipo de fiscalización procede a hacer una
evaluación general del riesgo a un alto nivel, para algunos o todos aspectos identificados, con
el fin de establecer los factores de riesgo a los que esta expuesta la entidad.
La evaluación general del riesgo la realiza el equipo de fiscalización, en sus distintos

componentes:
a) Riesgo de negocio: Son los riesgos que pueden impactar la viabilidad a largo plazo de
una organización. La naturaleza de estos riesgos puede ser financiera, regulatoria u
operativa.
b) Riesgo inherente: o susceptibilidad a errores de las operaciones que están siendo

examinadas.
c) Riesgo de control: posibilidad de que los controles preventivos, detectivos y correctivos,

relacionados con sistemas de información y que tiene en operación la entidad fiscalizada
no sean efectivos.
d) Riesgo de detección: posibilidad de que los procedimientos de auditoría aplicados no

detecten los errores importantes que tampoco haya detectado el sistema de control de la
entidad
La evaluación general del riesgo en sus componentes permite obtener una valoración del
riesgo general de auditoría, el cual fundamenta la comprensión del ambiente de control de la
entidad fiscalizada. Además, constituye un elemento fundamental para el proceso de
planificación, pues coadyuva al establecimiento de las áreas de potencial interés, hacia las
cuales se dirigirán en primera instancia los esfuerzos de auditoría, con lo cual se minimiza la
probabilidad de destinar esfuerzos y recursos de auditoría en áreas donde no se requiera,
evitando de esa forma el desperdicio de recursos.
La evaluación general del riesgo comprenderá factores de riesgo relacionados con aspectos
tales como: cuantía de los recursos asignados, impacto en la opinión pública, naturaleza de
los programas, prioridades de fiscalización, niveles de documentación. A los factores
identificados, se les asignará un valor y un peso, acorde con lo establecido en el Sistema de
Evaluación del Riesgo “SER”, los cuales permitirán establecer un criterio sobre cuales son las
áreas de mayor riesgo o criticidad y que por ende constituirán áreas de potencial interés de
indagación en la siguiente fase de la auditoría.
8
1.7 Productos de la revisión preliminar
Al finalizar la revisión preliminar, con base en los resultados obtenidos, el equipo de

fiscalización podrá emitir al menos dos productos:
Un informe interno para comunicar a la Gerencia de Area, los aspectos importantes

determinados y las actividades futuras de la auditoría. Dicho informe debe ser discutido
oportunamente con la Gerencia de Area, con el fin de obtener de ella su criterio y
observaciones sobre los resultados. El informe en mención contendrá lo siguiente :
 Descripción de los resultados importantes obtenidos en la fase

 Identificación de las áreas de potencial interés por indagar en la siguiente fase
 Identificación de las áreas sugeridas para futuros estudios
 Condiciones reportables a la administración de la entidad fiscalizada a este nivel.
 Condiciones existentes para iniciar la evaluación de la estructura de control interno en las
áreas de potencial interés y la viabilidad de cumplir con el objetivo definido para el estudio.
 Indicación de la realización de la comunicación y discusión de resultados con la Gerencia
de Área.
El otro producto consiste en un informe o memorándum para la administración de la entidad

auditada, el cual contiene aquellas debilidades de control detectadas en la revisión preliminar,
que requieren que la administración tome una acción inmediata. Previo a la emisión del
memorándum para la administración debe realizarse una reunión, con los principales
funcionarios y los involucrados en los aspectos determinados, con el fin de validar las
condiciones reportables con la Administración. Una vez efectuada la validación de resultados
con la Administración (incluye trámite administrativo y análisis de las respuestas de la
administración) se procede a Comunicación formal.
1.8 Organización y archivo de papeles de trabajo de conformidad con la normativa técnica.
El fiscalizador debe documentar los asuntos importantes para ello debe confeccionar y retener
los Papeles de trabajo que a su juicio: sean suficientes, completos y detallados para
proporcionar una comprensión global del trabajo realizado, y dejar evidencia de que el trabajo
se llevó a cabo de acuerdo con la normativa vigente.
Los papeles de trabajo contendrán la evidencia de que el trabajo fue planeado, la naturaleza,
oportunidad y el alcance de los procedimientos de auditoria ejecutados, los resultados y las
conclusiones extraídas de la evidencia de auditoría obtenida.
Los papeles de trabajo resumen la evidencia que sustenta las afirmaciones del auditor.
En este sentido la evidencia es la información obtenida por o para el auditor para llegar a las
conclusiones sobre las que se basa la opinión de auditoría.
9
La evidencia comprenderá los documentos fuente, los registros, así como cualquier
información o hechos que utiliza y obtiene el fiscalizador y que le sirven para documentar y
justificar sus observaciones y conclusiones. Por lo tanto la evidencia es utilizada para probar o
desaprobar una declaración dada por la administración.
La recopilación de evidencia es un aspecto fundamental para el éxito del trabajo de auditoría,

por lo que es muy importante en la ejecución de proceso de auditoría y sobre todo en la etapa
del examen.
La evidencia recopilada debe quedar documentada en los papeles de trabajo (P/T), bajo el
concepto de “papeles de trabajo electrónicos”, bajo la filosofía de “cero papeles de trabajo”, el
cual se fundamenta en la premisa de reducción lo más posible de la utilización de papel y el
uso intensivo de las tecnologías de información.
Los papeles de trabajo constituyen el enlace entre el trabajo de campo y el informe de

auditoría y comprenderán el material preparado, obtenido o retenido por y para el auditor en el
desempeño de la auditoría. Los papeles de trabajo pueden ser en la forma de datos
almacenados en papel, película, medios electrónicos u otros medios.
La evidencia se puede clasificar en diferentes tipos de evidencia:
Evidencia Física.
Evidencia Oral.
Evidencia Documental.
Evidencia Analítica.
La evidencia que recopila el fiscalizador debe ser: relevante, apropiada, competente,

suficiente, representativo, consistente, oficial, confiable, objetiva, oportuna, verificable y no
contradictoria.
Para obtener la evidencia de auditoría el fiscalizador podrá utilizar uno o varias

procedimientos de los siguientes: inspección, observación, investigación, confirmación y
procedimientos de cómputo y analíticos.
Siempre se debe tener en cuenta los siguientes factores que pueden incidir en la confiabilidad
de la evidencia:
- Independencia del proveedor de la evidencia.

- Calificación de la persona que suministra la información o evidencia.
- Objetividad de la evidencia
Es recomendable que al preparar sus papeles de trabajo el fiscalizador considere lo que sería
necesario proporcionar a otro auditor sin experiencia previa con la auditoría para lograr una
comprensión apropiada del trabajo desempeñado y las base de las principales decisiones
tomadas.
10
Los papeles de trabajo deberán ser diseñados y organizados de acuerdo con las
circunstancias y necesidades de cada auditoría en particular (véase lineamientos sobre
papeles de trabajo). Sin embargo, para mejorar la eficiencia del trabajo en ocasiones se
pueden utilizar papeles de trabajo estandarizados o utilizar documentos preparados por la
entidad fiscalizada en cuyo caso el fiscalizador debe estar satisfecho con dichos documentos.
Los papeles de trabajo deben ser clasificados y retenidos en dos archivos de auditoría a
saber “Archivo Permanente” y “Archivo Periódico” y el contenido de cada uno de esos
archivos será el siguiente:
a) El Archivo Permanente contendrá los documentos de importancia para estudios futuros y

deberán ser actualizados al inicio de nuevos estudios, la con información obtenida en la
Revisión Preliminar.
b) El Archivo Periódico contendrá información que se relaciona con cada estudio particular.
Los papeles de trabajo se retendrán de acuerdo con los requisitos legales y profesionales de
retención de documentación, por un período suficiente para satisfacer las necesidades de la
oficina.
2 EXAMEN
2.1 Evaluación de Controles.
Esta fase, consiste en realizar un mapeo del universo de controles asociados a cada uno de
los procesos que se ejecutan en las áreas seleccionadas como áreas de potencial interés,
con el fin de determinar los controles aplicables en operación.
Identificados los controles en operación, éstos son evaluados mediante la aplicación de guías
o listas de verificación, diagramas de flujo, cuestionarios de control, alguna técnica de
auditoría asistida por computadora u otras pruebas identificadas para el efecto, con el fin de
establecer si los controles están diseñados, así como su cumplimiento y efectividad.
2.2 Calificación del Riesgo y Confección de la Matriz de Riesgo
Conjuntamente con la identificación de los controles asociados a cada uno de los procesos
que se ejecutan en las áreas seleccionadas como áreas de potencial interés, se deberá hacer
una evaluación de los riesgos asociados, la cual permitirá establecer una calificación de los
riesgos asociados a cada una de esas áreas.
Al realizar la calificación del riesgo al que se encuentran expuestas cada una de las diferentes
áreas de potencial interés, se deben valorar distintos escenarios de cumplimiento de los
controles relacionados a cada una de ellas (por ejemplo: bueno, regular, malo). A cada uno
11
de esos escenarios se debe asignar un valor y un peso en concordancia con lo establecido en

la normativa que al efecto se dicte sobre gestión de riesgos.
Los resultados obtenidos en la calificación del riesgo efectuada para cada control evaluado
deben ser cuantificados, sintetizados y tabulados en un documento debidamente referenciado
a los “Papeles de Trabajo” donde se encuentra la evidencia de respaldo. Este documento se
denomina “Hoja Matriz de Riesgo”.
La calificación del riesgo y la preparación de la hoja matriz de riesgo, constituyen una

herramienta importante para que el equipo de fiscalización logre alcanzar los objetivos de
auditoría a un nivel satisfactorio, ya que constituye una base para planificar un enfoque
eficiente y efectivo para la siguiente fase de la auditoría.
Lo anterior por cuanto, con base en los resultados obtenidos en la calificación del riesgo y lo
consignado en la Hoja Matriz de Riesgo, el equipo de fiscalización estará en capacidad de
establecer:
a) La naturaleza, oportunidad y alcance de los procedimientos necesarios por ejecutar como

parte de la auditoría.
b) Definición de las áreas críticas. El equipo de fiscalización cuando las circunstancias lo

ameriten (por aspectos de costo, oportunidad e imposibilidad práctica), deberá definir las
áreas críticas para el logro de los objetivos de auditoría respectivos.
Al realizar la selección de las Areas Críticas se debe efectuar una cuantificación de cada
control evaluado para determinar la exposición al riesgo, para esa labor la Hoja matriz de
calificación del riesgo constituye una herramienta muy importante.
Además, para la selección de las áreas críticas se deben considerar los siguientes aspectos:
 Decisiones claves de la administración de la entidad fiscalizada entorno al sujeto de

estudio.
 Impacto de la función informática en la operación de la entidad.
 Problemas relacionados con la integridad de la información
 Criticidad de la información
 Importancia de los sistemas en la operación de la entidad
 Naturaleza, tamaño e impacto de la función informática en las operaciones
2.3 Productos de la Evaluación de Control Interno
Producto de la evaluación de controles y los riesgos asociados a ellos, el equipo de

fiscalización procede a elaborar una cédula de trabajo donde consigna los resultados obtenidos
e indicando aquellas debilidades de control que deban reportarse a la administración.
12
De acuerdo con los resultados obtenidos el equipo de fiscalización podría confeccionar los
siguientes dos documentos:
a) Informe para comunicar a la Gerencia de Area, los aspectos importantes determinados y

las actividades futuras de la auditoría. Dicho informe debe ser discutido oportunamente
con la Gerencia de Area, con el fin de obtener de ella su criterio y observaciones sobre
los resultados. El informe en mención contendrá lo siguiente :
 Descripción de los resultados importantes obtenidos en la fase

 Identificación de las áreas críticas por evaluar en la siguiente etapa
 Condiciones reportables a la administración de la entidad fiscalizada a este nivel.
 Condiciones existentes para iniciar la etapa de examen con la evaluación de las áreas
críticas y la viabilidad de cumplir con el objetivo definido para el estudio.
 Indicación de la realización de la comunicación y discusión de resultados con la
Gerencia de Área.
b) Informe para la administración de la entidad examinada. En la realización de la evaluación

de control interno el fiscalizador puede determinar la existencia de debilidades de control
de importancia relativa en los sistemas, las cuales deben ser validadas apropiadamente
con quien corresponda en la administración, para posteriormente hacerse saber a un nivel
apropiado de responsabilidad de la administración, tan pronto como sea posible.
La comunicación a la administración de la entidad auditada de las debilidades de

importancia relativa ordinariamente se debe realizar por escrito. Sin embargo, el equipo de
fiscalización podría acordar conjuntamente con la Gerencia de Area, que la comunicación
verbal de dichas debilidades es suficiente y apropiada, en cuyo caso, debe dejarse
evidencia apropiada en los papeles de trabajo de la realización de dicha comunicación.
En relación con la comunicación escrita podría considerarse oportuno que la

comunicación de las deficiencias importantes de control interno, se realice en la etapa de
la examen, por medio de memorándum a la administración. Asimismo, se podría
contemplar hacer la comunicación de los resultados por medio de informes parciales y la
conclusión global sobre el área de indagación en el informe final que da cierre al proceso
de auditoría.
2.4 Elaboración del programa de áreas críticas
Para lograr el cumplimiento del objetivo planteado para el estudio, el equipo de fiscalización debe
planear un enfoque de fiscalización que sea eficiente y efectivo para la siguiente fase, que responda
a la calificación del riesgo en la auditoría. Este deberá contener: un resumen de las áreas críticas
determinadas que serán evaluadas en la siguiente fase de la auditoría con los objetivos específicos
para cada área y global, el plazo que se estima se requerirá para la ejecución de la evaluación
(fechas de inicio y finalización estimada), por área y total y una estimación de recursos (humanos,
equipo y materiales y suministros) para la ejecución en forma eficiente de esta fase de la auditoría.
13
Los programas específicas de auditoría para cada área crítica determinada deberá contener lo
siguiente:
a) Nombre de la entidad fiscalizada y el sujeto de estudio.
3 Definición y discusión de los objetivos específicos por área crítica
El equipo establecerá para el estudio de cada una de las áreas críticas identificadas, los
objetivos específicos, los cuales deberán tener una relación directa con el objetivo general de
la auditoría.
4 Definición del alcance
El equipo de auditoría en consenso elabora los programas de auditoría para cada área de
interés identificada. Esos programas contendrán los procedimientos de auditoría detallados
que permitirán la obtención de la evidencia suficiente y competente que permitirá el logro de
los objetivos.
El equipo de fiscalización establece el alcance de auditoría para cada área de crítica, que
maximiza la utilización de los recursos de auditoría. Para llevar a cabo en forma eficiente
esta labor se deben considerar los criterios de riesgo, materialidad, impacto y auditabilidad.
El alcance de las auditorías contendrá una descripción del sujeto de auditoría, la extensión y
profundidad de las pruebas.
La definición del alcance implica una combinación óptima de los procedimientos y ejecución
de pruebas, lo cual está en función de la solidez o debilidad del control interno y de la
naturaleza, volumen o complejidad de las operaciones del ente examinado.
El tiempo, otro componente del alcance, se refiere al período que abarca el examen.
La naturaleza de las pruebas, que también debe ser definida, se refiere al tipo de estudio
practicado, que a su vez depende de la naturaleza de las operaciones estudiadas.
b) Procedimientos por aplicar
Los procedimientos de auditoría por desarrollar (analíticos, de control y sustantivos) los

cuales deben contener un detalle de la evidencia por recopilar y las técnicas por utilizar.
c) Identificación de otras fuentes de información; la mayoría relacionadas con el área de

trabajo propia de auditoría de sistemas
d) Identificación de requerimientos de otros recursos (humano, tecnológico, otros), así

como la asignación de esos recursos.
e) El cronograma de actividades que incluirá el total de horas presupuestadas para la

ejecución del estudio
14
Los programas elaborados constituirán las guías para el trabajo por realizar y constituirán una
herramienta de supervisión y control efectiva, para el cumplimiento del presupuesto y garantiza la
calidad del trabajo.
En la confección de los programas específicos el equipo de auditoría acometerá las siguientes

funciones:
 Efectúa una comparación entre la relevancia de las labores y el tiempo requerido, para lo cual
realiza un análisis de costo/beneficio entre el costo estimado del trabajo y los objetivos de
auditoría.
 Establecer la relación lógica y coordinación de los procedimientos contenidos en los programas,
preparados para cada una de las diferentes áreas de interés, con el fin de evitar duplicación de
procedimientos.
 Asesorarse sobre programas especializados o estándares
 Definir, discutir y aprobar los programas de auditoría específicos (se deberán analizar
apropiadamente los procedimientos para cada objetivo específico).
 Asegurar que los programas han sido debidamente terminados y revisados.
4.1 Aprobación del programa de auditoría para áreas críticas
Los programas específicos de áreas críticas debe someterse a conocimiento del Gerente de Área,
con el propósito de conocer su opinión, recibir asesoría y en caso de ser necesario hacerle las
mejoras pertinentes.
El Gerente de Área aprueba los Programas Específicos de Auditoría y deja constancia formal de esa
aprobación. Las modificaciones posteriores que se requiera hacer al PGA, también se harán del
conocimiento del Gerente de Área y deberán ser aprobadas por este.
4.2 Elaboración, organización y archivo de papeles de trabajo de conformidad con la

normativa técnica.
El fiscalizador deberá documentar los asuntos importantes para ello debe confeccionar y retener los
Papeles de trabajo que a su juicio: sean suficientes, completos y detallados para proporcionar una
comprensión global del trabajo realizado, y dejar evidencia de que el trabajo se llevó a cabo de
acuerdo a la normativa vigente y deberá retenerse de acuerdo con los requisitos legales y
profesionales de documentación, por un período suficiente para satisfacer las necesidades de la
oficina.
5 EXAMEN ÁREAS CRÍTICAS

15
Objetivo de la etapa
Los objetivos de esta etapa de la auditoría son:
 Estudiar aquellas áreas identificadas como críticas y desarrollar los hallazgos de auditoría.
 Obtener evidencia sobre las áreas críticas y desarrollar opinión y sentido crítico
Conformación del equipo definitivo
El Gerente de Área y el coordinador del equipo, con base en la estimación de recursos

humanos y técnicos aprobados en los Programas de Auditoría para Areas Críticas y de acuerdo
con la disponibilidad de personal, proceden a la conformación del equipo definitivo (se
incorporará el personal que se estime necesario y los especialistas o encargados la evaluación
técnica de una área en particular).
Esta etapa involucra varias fases las cuales se detallan a continuación:
5.1 Aplicación de los programas y recopilación de la evidencia
El equipo de fiscalizadores ejecuta los procedimientos contenidos en los programas de auditoría

y obtiene la evidencia necesaria para sustentar los hallazgos de auditoría, las conclusiones y
recomendaciones derivadas del estudio.
5.2 Análisis de la evidencia y determinación de los hallazgos importantes.
En esta fase el equipo de fiscalizadores analiza la evidencia recopilada en el estudio, para

identificar aquellos hallazgos importantes.
El fiscalizador clasificará un hallazgo como importante luego de determinar que este cumple con
los siguientes requisitos básicos de un hallazgo de auditoría:
a) Importancia relativa que amerite su desarrollo y comunicación formal.

b) Basado en hechos y evidencia precisos que figuren en los papeles de trabajo.
c) Objetivo, al fundamentarse en hechos reales.
d) Basado en una labor de auditoría suficiente para respaldar las conclusiones resultantes.
e) Convincente para una persona que no ha participado en la ejecución de la auditoría.
La identificación de los hallazgos es una actividad de mucha importancia, la cual requiere que el
fiscalizador comprenda claramente los cuatro atributos básicos de un hallazgo, a saber:
Condición, criterio, causa y efecto.
16
Adicionalmente, para efectuar el desarrollo adecuado de un hallazgo, el fiscalizador debe

considerar los siguientes elementos de un hallazgo:
a) Identificar las líneas de autoridad y responsabilidad.

b) Determinar la frecuencia de la deficiencia (caso aislado o sistemático).
c) Considerar la importancia relativa de las deficiencias en relación con los objetivos de la
auditoría.
d) Obtener opiniones de los funcionarios y entidades directamente relacionadas.
e) Determinar las conclusiones de auditoría con base en la evidencia.
f) Determinar las acciones correctivas (recomendaciones).
Al realizar la identificación adecuada de los hallazgos importantes, se puede llegar a la

conclusión de que es necesario realizar un cambio en la dirección, objetivo o énfasis del trabajo
planificado. El desarrollo de los hallazgos identificados debe continuarse sólo si su importancia
y los logros potenciales justifican la utilización de los recursos de auditoría disponibles.
5.3 Evaluación de los resultados y de la conclusión global
Los fiscalizadores deben analizar la evidencia recopilada con el fin de verificar que sustenta los
resultados de auditoría y a la vez concluir acerca del área de indagación bajo un enfoque
integral, conclusión que se incluirá en el informe final que se tramita.
En la evaluación de los resultados y elaboración de la conclusión global el equipo debe

asegurarse de que tales resultados obedecen a los objetivos, el alcance y los criterios fijados
para la auditoría.
El equipo de fiscalizadores debe evaluar con la debida profundidad, bajo el criterio de

importancia, relativa las condiciones encontradas, comparándolas contra los criterios
respectivos, con el fin de verificar las causas y los efectos identificados; y poder estar en
posibilidad de llegar a conclusiones acertadas y proponer las medidas correctivas efectivas que
solucionen o prevengan la recurrencia de un hallazgo, o fortalezcan las acciones de la
Administración respecto de determinadas operaciones y que, a su vez, justifiquen la
recomendación.
5.4 Elaboración de conclusiones, disposiciones y/o recomendaciones por área crítica
El fiscalizador que tenga a cargo el estudio elabora las conclusiones, disposiciones y/o
recomendaciones, las cuales deben ser analizadas y validadas en primera instancia en el seno
del equipo de fiscalización y posteriormente con la administración de la entidad fiscalizada.
Todas las conclusiones y recomendaciones deben ser revisadas por el coordinador del equipo.
Las conclusiones son una parte importante de la auditoría, por lo tanto deben ser formulabas en
forma concreta, con absoluta independencia de criterio, objetividad, claridad y responsabilidad.
17
Estas son deducciones lógicas de los resultados del estudio y establecen si los objetivos de la
auditoría han sido alcanzados.
Los miembros del equipo de fiscalización serán individualmente responsables por las
conclusiones preparadas sobre el trabajo realizado y por los criterios que han aplicado.
Lo normal es que los hallazgos y conclusiones estén seguidos de recomendaciones y

disposiciones a los funcionarios responsables con el propósito de establecer las mejoras
necesarias, para prevenir, corregir o fortalecer las situaciones encontradas durante el estudio.
Las recomendaciones deben estar directamente relacionadas con las causas determinadas en
el desarrollo de los hallazgos.
Al elaborar las disposiciones y/o recomendaciones, el fiscalizador debe contestares las

siguientes preguntas:
a) Puede la administración de la entidad fiscalizada controlar los factores que originan los
efectos adversos?
b) La implementación de la recomendación es viable y factible desde el punto de vista práctico
y económico?
c) Han sido revisados los posibles efectos positivos y negativos y los costos para implementar
la recomendación?
d) Se han considerado las dificultades que la administración de la entidad fiscalizada puede
enfrentar en la implementación de la recomendación?
e) La recomendación emitida es coincidente con otras dictadas en el pasado?
f) Está debidamente soportada por el correspondiente análisis?
5.5 Elaboración del resumen de observaciones para la presentación de

resultados a la Gerencia de Área.
En esta fase el equipo de fiscalizadores prepara un resumen de las principales observaciones

detectadas para ser discutido en el seno del equipo y que servirá como base para la
elaboración de la estructura del informe.
Es importante, que el resumen de las observaciones, se prepare de tal forma que facilite la
preparación del borrador del informe de auditoría, conforme a las normas que se dicten al
efecto.
El equipo de fiscalización prepara una estructura del informe de auditoría el cual incluirá las
diferentes observaciones del estudio y se someterá a discusión en el seno del equipo para su
aprobación.
La estructura del informe debe ser discutida y analizada concienzudamente en el seno del
equipo de fiscalización, puesto que con base en ella se preparará el borrador del informe
18
respectivo para discusión inicial de los resultados con la administración de la entidad

fiscalizada.
5.6 Comunicación y discusión de los resultados con la Gerencia de Area
El Coordinador del equipo someterá los resultados de la auditoría a conocimiento del Gerente
de Area, con el fin de conocer su opinión, recibir asesoría y en caso de ser necesario le
introduzca las mejoras que este considere pertinentes.
5.7 Redacción del borrador de los resultados del informe para presentación a la
administración.
Luego de realizar la discusión de los resultados con la Gerencia de Area, se procede a redactar
en borrador del informe de auditoría respectivo, de conformidad la estructura definida y las
normas establecidas, el cual servirá como base para la presentación de los resultados a la
administración.
El borrador del informe debe elaborarse de tal forma que la información sea presentada en
forma clara y concisa. Además, debe contener los soportes suficientes y convincentes para
soportar las conclusiones y recomendaciones.
El borrador del informe una vez confeccionado debe ser revisado, discutido y aprobado en el
seno del equipo de fiscalización. Asimismo, en caso de que el Gerente lo considere necesario
será nuevamente sometido a conocimiento de la Gerencia para obtener de ella sus
observaciones y sugerencias finales.
5.8 Organización y archivo de Papeles de Trabajo
En esta fase el fiscalizador procede a organizar los papeles de trabajo (P/T) que documentan la
evidencia recopilada en legajos que contienen datos almacenados en forma de papel o en
archivos electrónicos u otro medio, siguiendo lo establecido en las normas.
Debido a la variedad y volumen de los papeles de trabajo, es importante su ordenamiento

lógico, tanto durante el curso de la auditoría como después de terminado el estudio e incluso
para su archivo.
19
6 COMUNICACIÓN DE RESULTADOS
El objetivo de está etapa de comunicación de resultados es dar a conocer los principales

resultados obtenidos a la administración de la entidad y otros usuarios de los productos de
auditoría.
Es importante destacar que el proceso de comunicación tanto a lo interno del equipo de

auditoría como con la entidad fiscalizada, se mantiene a través de la ejecución de todo el
proceso de la auditoría. Por lo anterior, es importante señalar, que las actividades que aquí se
comentan corresponden a la comunicación final de los resultados a la entidad auditada y a otros
usuarios de los productos de auditoría.
La comunicación final de resultados se realizará de dos formas, en forma oral inicialmente y

escrita posteriormente, tanto a la administración de la entidad fiscalizada, como a aquellos
clientes y usuarios que se estime conveniente informarles.
Para efectos de esta metodología la etapa de comunicación de resultados comprenderá las

siguientes fases:
6.1 Definición de la estrategia de comunicación de resultados y elaboración de la

presentación
Las primeras acciones que el equipo de fiscalización acomete en esta fase es la relativa a la
discusión y definición de la estrategia que seguirá para comunicar (en forma oral inicialmente y
escrita posteriormente) los principales resultados de la auditoría, así como las
recomendaciones y/o disposiciones que se van a girar en el informe a la entidad fiscalizada
y/o clientes.
La definición de la estrategia a seguir para la comunicación de resultados podría requerir que

el equipo se reúna una o varias veces, dependiendo de la complejidad, naturaleza y amplitud
de lo que se vaya a comunicar.
Una vez definida la estrategia que se va a utilizar para la presentación de resultados, el equipo
de fiscalización dedicará sus esfuerzos a planear y elaborar la presentación oral de resultados
a la administración.
Las tareas fundamentales que el equipo realizará en esta fase comprenden lo siguiente:
a) Selección de la fecha y hora en que se realizará la reunión.

b) Definición del lugar donde se realizará la presentación de los resultados.
c) Revisión de las instalaciones y confirmación de su disponibilidad.
d) Determinación de los participantes en la reunión tanto de la administración como de la
CGR o unidad de auditoría interna. El equipo de fiscalización debe decidir sobre cuales
son las personas y los funcionarios de la entidad, que se requiere participen en la reunión
de presentación de resultados.
20
e) Negociación de agendas (fechas) con participantes y consideración de retrasos en la

fijación de fechas por la no asistencia de un funcionario en particular.
f) Redacción de invitación y agenda para los funcionarios de la administración convocados.
g) Envío de la invitación formal que contiene la convocatoria individual cursada a los
funcionarios participantes de la entidad fiscalizada y de la CGR ajenos al equipo;
h) Confirmación de asistencia de los participantes invitados o en su defecto la de los
designados por estos.
i) Definición de ayudas de presentación y logística.
j) Preparación y envío de agenda de la reunión a los participantes.
k) Confección de acta de la reunión
l) Utilización del borrador de informe revisado;
m) Montaje del plan de contingencias que prevenga “sorpresas” que afecten la ejecución de la
reunión;
n) Asignación del papel que cumplirán los fiscalizadores participantes en la reunión;
o) Anticipación de problemas potenciales derivados de los resultados y conclusiones
expuestos y preparación de la “línea de defensa” del equipo de fiscalización;
p) Verificación de funcionamiento de los apoyos audiovisuales y capacitación en su manejo;
q) Elaboración de la presentación con base en las ayudas de instrucción y técnicas de
exposición seleccionadas;
r) Práctica y entrenamiento de la presentación en forma previa a la ejecución con funcionarios
invitados al efecto con propósitos de introducir mejoras; y
s) Discusión con el Gerente de Area sobre la introducción de la presentación.
Previo a la presentación de los resultados, el equipo debe prepararse apropiadamente para

atender cualquier consulta u observación que se pudiera presentar el día de la reunión
relacionada con:
a) Relevancia y exactitud de las observaciones;

b) Propiedad de los criterios empleados;
c) Validez de las muestras diseñadas objeto de evaluación;
d) Propiedad de las conclusiones emitidas por los fiscalizadores; y
e) Viabilidad de las recomendaciones.
6.2 Presentación de resultados a la administración
El propósito fundamental de la presentación de resultados a la administración es el de validar

los resultados, obtener la opinión y observaciones de los funcionarios del ente examinado
sobre dichos resultados, para eventualmente hacer cualquier ajuste que se considere
pertinente previo a la confección el informe final escrito respectivo. Además, la realización de
esta reunión permitirá aclarar, negociar y llegar a acuerdos entre el equipo de fiscalización y la
administración de la entidad auditada sobre aquellos contenidos del informe en que haya
discrepancia y respecto a la implementación de las disposiciones y recomendaciones
correspondientes.
21
El equipo de fiscalización previamente definió los nombres y cargos de las personas que
participarán en la reunión de presentación de resultados. Por lo general las personas que se
invitará a participar en la reunión de presentación de resultados serán:
a) Jerarca o miembros del órgano colegiado de la entidad fiscalizada, o la persona a quién

deleguen.
b) Principales funcionarios administrativos (encargados del área informática y áreas usuarias).
c) Auditor interno.
d) Miembros del equipo de fiscalización que realizó el estudio.
e) Gerente de Area.
f)Cualesquiera otros funcionarios de la CGR que sean requeridos.
La participación en la reunión del nivel jerárquico superior de la entidad fiscalizada y de los

directivos encargados del manejo de las operaciones es fundamental para motivar la
implementación de las disposiciones y recomendaciones y para que tengan la oportunidad de
manifestar su criterio sobre las situaciones informadas. También es fundamental, y casi
obligatoria, tanto la participación de los gerentes o directores generales que tengan a su cargo
las unidades involucradas en el examen del sujeto estudiado como del auditor interno, para
involucrarlos en la discusión de las recomendaciones que se van a girar, a los primeros y en la
fiscalización del seguimiento correspondiente a los aspectos contemplados en el informe, al
segundo. En esta reunión los funcionarios participantes de la entidad fiscalizada podrán
presentar sus comentarios, opiniones e información documental pertinente sobre los asuntos
contenidos en el borrador del informe.
La invitación de los funcionarios de la entidad, Gerente de Area y cualesquiera otra

persona que se estime pertinente citar a la reunión, se efectuará mediante el envío de una
Convocatoria que contendrá una agenda de los principales puntos por tratar en la reunión.
Dicha convocatoria (así como un resumen de los resultados cuando se estime preciso) se
enviará con antelación a la realización de la reunión mencionada para que los funcionarios
invitados tengan la oportunidad de prepararse y asesorarse.
La realización de la junta conlleva poner en marcha la planificación realizada por el equipo;

sin embargo debe recordarse tomar en cuenta los siguientes aspectos:
a) La agenda establecida previamente define el curso de la reunión;

b) El proceso es participativo y por lo tanto debe promoverse el intercambio de ideas;
c) La creación de un ambiente positivo para la discusión y escucha de las ideas de los
fiscalizados por parte de los expositores;
d) Los modales de los oradores y la forma de presentar la información;
e) La presentación del Gerente de Area;
f)La explicación del objetivo de la junta y de las “reglas de juego”;
g) La presentación de los participantes;
h) La explicación del papel del moderador;
i)La utilización amplia del apoyo audiovisual y de las tecnologías de información;
j)La relevancia a los hechos e ideas claves;
k) La negociación de los puntos en discusión y no entrar en debates que conlleven a las
respuestas emocionales y defensivas y al tono alto en las discusiones; y
22
l)Preparación del papel del expositor: evitar movimientos excesivos, cuidarse con el
lenguaje no verbal (gestual), mantener contacto visual y un volumen de voz que permita
escuchar claramente al auditorio e inspirar sinceridad.
En la ejecución de la presentación de resultados, principalmente de aquellas auditorías

relevantes y complejas, la participación del Gerente de Area es fundamental, pues reviste
de importancia la actividad y da respaldo y apoyo al trabajo realizado por el equipo de
fiscalización.
La reunión de presentación de resultados, se concluye con la firma del acta respectiva por
parte de las personas que participaron en la reunión.
Es importante señalar que la comunicación verbal de los resultados no debe retrasar la

comunicación escrita de los resultados a la administración.
6.3 Revisión y consolidación de observaciones efectuadas por la entidad auditada
Una vez efectuada la presentación de los resultados el equipo analiza las observaciones
significativas realizadas sobre los resultados del informe, por la administración de la
entidad en la reunión de presentación de resultados y si el caso lo amerita, realiza las
modificaciones que se consideren pertinentes al borrador del informe.
6.4 Ajuste del borrador del informe final
El coordinador del equipo de fiscalización consolidará los resultados significativos obtenidos

en la auditoría y redactará el borrador final del informe de auditoría, considerando en el mismo
aquellas modificaciones que se pudieran originar como producto de la presentación de los
resultados a la administración.
6.5 Discusión del borrador del informe final con el Gerente de Area
El borrador del informe final confeccionado, se someterá a conocimiento del Gerente de Area,
con el propósito de obtener de este su opinión, observaciones y criterios, así mismo en caso
de considerarse pertinente proceder a efectuar las modificaciones que este estime necesarias.
6.6 Tramitación del informe final.
Esta fase comprende la realización de las siguientes actividades:

23
a) Traslado del borrador final del informe al asistente administrativo para la preparación
del informe en limpio (alineación del documento acorde con los modelos establecidos y
su impresión y empaste).
b) Preparación y firma de las cartas de presentación y remisión del informe.
c) Envío del informe a los clientes respectivos (administración de la entidad fiscalizada,
Asamblea Legislativa y medios);
d) Ingreso en el sistema administrador de documentos institucional para ponerlo a
disposición del público;
e) Coordinación con el Despacho del Contralor General y la Unidad de Prensa y
Comunicaciones en caso de informes importantes, que requieren una divulgación
especial, por ejemplo a la Asamblea Legislativa.
En el caso que se requiera tecnología que no se encuentra disponible en las áreas de

fiscalización para la distribución del informe se deberá recurrir a la Unidad de
Publicaciones.
Por la importancia que tiene el informe para la CGR, la entidad fiscalizada y terceros
usuarios de la información, es necesario que este producto cumpla con la normativa que
regula su calidad y a la vez cumplir con unos requisitos mínimos que prevén la existencia
de uniformidad en su presentación.
No existe una estructura única o estándar para la presentación del informe final de auditoría,
sin embargo, dicho documento debe incluir al menos las siguientes partes:
a) Introducción: Incluye la información relativa a los antecedentes, el alcance del estudio, las
limitaciones que se presentaron para llevarlo a cabo.
b) Resultados: contiene el desarrollo de los hallazgos de auditoría detallando aquí los
componentes de los mismos (condición, criterio, causa y efecto).
c) Conclusiones: están referidas a, por lo general a cada componente desarrollado durante
la auditoría o parte de ella, en estas se consigna la posición de la CGR sobre lo auditado,
fundamentándose en la medida de lo posible en los efectos cuantificados.
d) Disposiciones y Recomendaciones: este es un aparte muy importante del informe, en
el se consignan las disposiciones y recomendaciones que se le hacen a la administración
tendentes a prevenir, solucionar o fortalecer las situaciones determinadas en el estudio. En
esta sección se solicitará a la administración el cumplimiento de las disposiciones y
recomendaciones contenidas en el informe en un plazo determinado, de acuerdo con un
plan de acciones que deben elaborar para ello.
Los resultados de la auditoría pueden presentarse de varias maneras atendiendo algunas

de las siguientes consideraciones:
a) Importancia de los resultados obtenidos.

b) Partiendo de las observaciones generales para llegar a las específicas.
c) Siguiendo el proceso de lo estudiado.
d) Importancia de las actividades estudiadas.
24
El informe de auditoría debe confeccionares de tal forma que se le facilite a los usuarios la
comprensión del contenido y promuevan la efectiva aplicación de las acciones correctivas,
sugeridas en él, por lo tanto es importante cumplir con los siguientes requisitos:
a) Claridad y simplicidad.
b) Importancia del contenido.
c) Respaldo adecuado.
d) Objetividad.
e) Utilidad y oportunidad.
f) Tono constructivo.
g) Precisión.
h) Concisión.
6.7 Cierre final del control de procesos.
El nivel directivo procede a girar la instrucción al asistente administrativo del área para que
registre la finalización del trabajo en el control de procesos.
6.8 Análisis y retroalimentación de la fiscalización
El Gerente de Area y el coordinador del estudio evalúan la ejecución del trabajo de

fiscalización en aspectos tales como aplicabilidad de la metodología, limitaciones
encontradas, resultados obtenidos y otras situaciones específicas que ameriten la adecuación
o desarrollo de procesos específicos; obviamente en esta evaluación se toma el parecer de
los miembros del equipo que ejecutaron la auditoría. Los resultados de este análisis y
evaluación se envían a la Secretaría Técnica para la retroalimentación del diseño de
metodologías y procesos, en caso de que corresponda. Se compendia además la evaluación
del desempeño del equipo y del coordinador de estudio para propósitos de consolidación del
desempeño anual, en concordancia con lo definido al respecto.
7 SEGUIMIENTO
El seguimiento es una etapa posterior a la finalización de la auditoría y su objetivo se resume

en una verificación en dos sentidos, uno que la entidad fiscalizada haya cumplido con la
implementación de las disposiciones y recomendaciones de acuerdo con los plazos acordados,
y el otro, que haya elevado sus niveles de eficiencia, efectividad y economía a raíz de esa
implementación.
25
La etapa de seguimiento comprenderá las siguientes fases:
7.1 Recepción y análisis de la respuesta enviada por la entidad fiscalizada.
El Area de fiscalización que realizó el estudio, recibe la respuesta enviada por la

administración de la entidad fiscalizada a la cual se debe adjuntar un cronograma con los
plazos para implementar las disposiciones y/o recomendaciones giradas en el informe de
auditoría y la traslada al coordinador del estudio para su análisis y respuesta.
El Coordinador del equipo de auditoría analiza la respuesta y el citado cronograma y

conjuntamente con el Gerente de Area y envía un oficio de respuesta a la entidad para
informar sobre la conformidad o disconformidad con dicha respuesta y disponer cualquier
otra acción que se requiera.
Si una vez tramitado el informe final y transcurrido el tiempo prudencial que se otorga a la
administración de la entidad fiscalizada para dar respuesta al mismo, no se recibe
respuesta, se seguirán las políticas y procedimientos establecidos para solicitarle a la
entidad fiscalizada que comunique las acciones realizadas, haciendo uso de recordatorios u
otras medidas para lograr que comuniquen su respuesta al informe.
El documento de respuesta de la administración es registrado en el sistema integrado de

seguimiento de disposiciones, en donde el Gerente de Area hace indicación expresa del
plazo al cual la CGR deberá integrar un equipo para realizar la fiscalización en el “campo”,
en los casos en que se estime pertinente.
7.2 Programación de la fiscalización del seguimiento
El Gerente de Area con base en el cronograma con plazos de cumplimiento de disposiciones

con el que se comprometió la entidad fiscalizada y la disponibilidad del recurso humano destina
los funcionarios necesarios para realizar la fiscalización del cumplimiento de disposiciones y
recomendaciones. En lo posible se designará a algún miembro del equipo que participó en la
auditoría, en razón de su conocimiento especializado sobre la entidad y los pormenores y
circunstancias que giraron alrededor de la ejecución de la auditoría.
En lo posible las fiscalizaciones que se realicen para verificar en el campo el cumplimiento de

disposiciones y recomendaciones, deben ser previstas en la planificación institucional.
Previo a la preparación del plan anual operativo, se verificará en el sistema integrado de

seguimiento de disposiciones, los estudios que requieren verificación de campo sobre el
cumplimiento de las disposiciones y recomendaciones de la CGR.
26
7.3 Aplicación de las pruebas para documentar el seguimiento
Los fiscalizadores designados para que realicen el seguimiento en el campo de las

disposiciones y recomendaciones giradas en el informe de la auditoría, elaboran y ejecutan
un programa de auditoría que contiene las pruebas necesarias, con el objeto de recabar la
evidencia adecuada para cumplir con el objetivo de fiscalización de seguimiento.
7.4 Elaboración y tramitación del informe de seguimiento
Los fiscalizadores preparan un informe que contiene los resultados del seguimiento con sus
respectivas conclusiones y disposiciones. El informe es sometido a conocimiento del
Gerente de Area, con el fin de introducir las mejoras que correspondan y efectuar la
comunicación correspondiente al ente auditado.
En caso de que se determine que la administración de la entidad fiscalizada no cumplió con

su compromiso de acciones para implementar las disposiciones, se evaluará la situación, en
forma conjunta entre el Gerente de Area y el fiscalizador a cargo del seguimiento, en
términos de importancia y riesgo, para determinar las acciones por ejecutar, con base en las
regulaciones legales, el marco normativo y técnico, y los procedimientos internos de la CGR
en relación con el incumplimiento de sus disposiciones que tienen carácter vinculante para
las entidades ubicadas en

2-2 - El Proceso de Aud TI - CGR

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2-2 - El Proceso de Aud TI - CGR

Cargado por

Copyright:

Formatos disponibles

1

Material tomado de fuentes de referencia del Equipo de Auditoría de Sistemas de la Contraloría

METODOLOGIA DE LA CONTRALORIA GENERAL DE LA REPUBLICA

4.4 ELABORACIÓN Y TRAMITACIÓN DEL INFORME DE SEGUIMIENTO..............................................................25

METODOLOGIA DE LA CONTRALORIA GENERAL DE LA REPUBLICA

Las auditorías de tecnologías y sistemas de información, se realizarán de acuerdo con la

Es importante señalar, que para el desarrollo de una auditoría de tecnologías y sistemas de

El proceso de la auditoría (TI/SI) comprende las siguientes cuatro etapas:

La etapa de planificación debe considerarse la etapa más importante del proceso de la

El grado de planificación variará de acuerdo con el tamaño de la entidad objeto de fiscalización,

Los objetivos de la planificación son:

 Lograr un conocimiento del área o áreas de indagación

 Preparar un Plan de Auditoría y los correspondientes Programas para la evaluación de las

La planificación comprende las siguientes fases:

1.1 Selección del equipo de fiscalización

1.2 Asignación del trabajo

El Gerente de área designa formalmente al coordinador del equipo. Posteriormente, en forma

1.3 Elaboración del programa para la revisión preliminar

 Obtener el conocimiento del ente u órgano a efecto de identificar posibles áreas de

 El objetivo de esta fase.

Para preparar el programa es imprescindible estudiar la información disponible en el Sistema de

1.4 Presentación y traslado del equipo a la entidad fiscalizada

Esta fase requiere de la realización de las siguientes actividades:

 Solicitar audiencia para realizar reunión.

particulares a las que la Administración le gustaría que el equipo le prestara particular

1.5 Ejecución del programa de Revisión Preliminar

Los primeros esfuerzos que el equipo de fiscalización realizará al iniciar la ejecución de la

La realización de contactos es de suma importancia, pues permitirá una coordinación de las

Algunas actividades que deben realizarse en esta fase:

1.6 Evaluación general del riesgo de auditoría

Después de obtener un conocimiento de los sistemas y la tecnología asociada a estos, así

La evaluación general del riesgo la realiza el equipo de fiscalización, en sus distintos

b) Riesgo inherente: o susceptibilidad a errores de las operaciones que están siendo

c) Riesgo de control: posibilidad de que los controles preventivos, detectivos y correctivos,

d) Riesgo de detección: posibilidad de que los procedimientos de auditoría aplicados no

1.7 Productos de la revisión preliminar

Al finalizar la revisión preliminar, con base en los resultados obtenidos, el equipo de

Un informe interno para comunicar a la Gerencia de Area, los aspectos importantes

 Descripción de los resultados importantes obtenidos en la fase

El otro producto consiste en un informe o memorándum para la administración de la entidad

1.8 Organización y archivo de papeles de trabajo de conformidad con la normativa técnica.

La recopilación de evidencia es un aspecto fundamental para el éxito del trabajo de auditoría,

Los papeles de trabajo constituyen el enlace entre el trabajo de campo y el informe de

La evidencia se puede clasificar en diferentes tipos de evidencia:

La evidencia que recopila el fiscalizador debe ser: relevante, apropiada, competente,

Para obtener la evidencia de auditoría el fiscalizador podrá utilizar uno o varias

- Independencia del proveedor de la evidencia.

a) El Archivo Permanente contendrá los documentos de importancia para estudios futuros y

2.1 Evaluación de Controles.

2.2 Calificación del Riesgo y Confección de la Matriz de Riesgo

de esos escenarios se debe asignar un valor y un peso en concordancia con lo establecido en

La calificación del riesgo y la preparación de la hoja matriz de riesgo, constituyen una

a) La naturaleza, oportunidad y alcance de los procedimientos necesarios por ejecutar como

b) Definición de las áreas críticas. El equipo de fiscalización cuando las circunstancias lo

 Decisiones claves de la administración de la entidad fiscalizada entorno al sujeto de

2.3 Productos de la Evaluación de Control Interno

Producto de la evaluación de controles y los riesgos asociados a ellos, el equipo de

a) Informe para comunicar a la Gerencia de Area, los aspectos importantes determinados y

 Descripción de los resultados importantes obtenidos en la fase

b) Informe para la administración de la entidad examinada. En la realización de la evaluación

La comunicación a la administración de la entidad auditada de las debilidades de

En relación con la comunicación escrita podría considerarse oportuno que la