GUÍA DE AUDITORÍA INTERNA.

FASE III: EJECUCIÓN DEL PLAN DE AUDITORÍA

 FASE III: EJECUCIÓN DEL PLAN DE AUDITORÍA

Una vez sean designados los miembros del equipo de trabajo y definidos el alcance y los
objetivos, con lo cual se estaría dando cumplimiento a lo establecido en la norma NIA 2200
-que establece que “los auditores internos deben elaborar y documentar un plan para
cada trabajo (auditoría), que incluya su alcance, objetivos, tiempo y asignación de
recursos”-, se debe dar inicio al desarrollo del trabajo de campo.

El trabajo de campo parte del principio definido en la norma 2240 según la cual “los
auditores internos deben preparar y documentar programas que cumplan con los objetivos
del trabajo”. Dicha etapa comienza con la reunión de apertura formal con el responsable
del proceso a auditar, la verificación de las pruebas diseñadas, el requerimiento de los
universos de información, la selección de muestras, la solicitud de información de las
muestras y la ejecución de las pruebas con su correspondiente documentación. A
continuación se describen estos pasos.

a) Ejecución del trabajo de campo: se recomienda que el líder de auditoría realice

una reunión de inicio de la etapa del trabajo de campo, en la cual se debe explicar
el alcance de la auditoría y sus objetivos, se realice la presentación de los
miembros del equipo de auditoría, se informe la fecha de finalización, y se indiquen
los requerimientos de información a realizar.

Durante dicha reunión se puede hacer entrega del requerimiento de información o,

en caso de no poder hacerlo aún, se debe informar al futuro auditado que el mismo
estará próximo a llegar. Sin embargo, en cualquiera de los dos casos es importante
recordar los lineamientos suscritos en el protocolo de comunicación con la
Administración, resaltando el número de días para la entrega de la información una
vez se haya solicitado, así como los niveles de comunicación en caso de que surja
cualquier duda, y la importancia de la colaboración por parte de todo el equipo
auditado.

b) Verificación de las pruebas diseñadas: las pruebas diseñadas por el líder de

auditoría deben ser revisadas con los auditores que las ejecutarán, de tal forma
que se valide la comprensión de las mismas, lo que incluye el entendimiento de
su objetivo, los documentos que deben ser verificados y/o analizados, así como la
conclusión a la cual se debe llegar.

La fase de validación de las pruebas es fundamental para el éxito en el

cumplimiento de los objetivos de tiempo y de entregables de la auditoría, dado que
una mala interpretación de las pruebas puede hacer que el equipo asignado
para su ejecución realice un mayor trabajo donde no lo deben hacer o ejecuten
las pruebas de forma inadecuada, situaciones que pueden representar la
inversión de tiempos adicionales en correcciones y/o nuevas ejecuciones.

www.auditool.org 1
 Debido a esto, el papel del líder de la auditoría es fundamental en el adecuado
diseño de las pruebas, que incluir aspectos tales como los siguientes:

 Objetivos individuales de las pruebas.

 Descripción de los datos y/o información que se va a probar.
 En caso de ser pruebas de controles, se debe especificar qué contiene el
control a verificar y, en lo posible, se debe anexar un ejemplo del control a
probar partiendo de la información de la prueba de recorrido, de tal forma
que un funcionario cualquiera del equipo de auditoría pueda ejecutar la
prueba sin que esté necesariamente presente el líder que realizó su diseño.
 Para las pruebas sustantivas, se deberá especificar qué fuentes de información
se deben cruzar o qué documentos se deben solicitar.
 La prueba debe incluir la cantidad de muestras a probar y, en lo posible, la
debe anexar, de tal forma que el funcionario asignado solo tenga que ejecutar.

c) Requerimiento de los universos de información: partiendo del entendimiento del

proceso, así como de la evidencia obtenida en la prueba de recorrido, y según
las pruebas de auditoría diseñadas, se debe realizar el requerimiento de los
universos de información de los cuales se toman las muestras.

Dichos requerimientos deben ser específicos en relación con los reportes que se
requieren; por lo tanto, debemos detallar la información que debe contener el
reporte. Además, se sugiere que la generación de los reportes se realice con la
presencia de un auditor de TI, de tal forma que se pueda garantizar que dicha
información no tenga cambios. Sin embargo, la decisión debe ser aprobada por el
Director de Auditoría o el responsable en quien este lo delegue, según el análisis de
riesgo que se tenga de la entidad.

Dentro del proceso de definición del universo de información se debe tener en

cuenta que sea apropiado, es decir, que corresponda con el objetivo de la
prueba.

Por ejemplo, si el objetivo de la prueba es verificar los pagos de nómina, el

universo debería ser el conjunto de todos los pagos de nómina realizados a
todos los empleados. Igualmente, se debe tener en cuenta que el universo sea
completo según el objetivo de la prueba, o que el mismo sea estratificado, para lo
cual el auditor divide el universo en subuniversos que tengan una característica
específica según la prueba, de tal forma que minimice la variabilidad de ítems. Sin
embargo, en la constitución del subuniverso se debe asegurar que los ítems que lo
conforman sean los que corresponden, y que pertenezcan a un solo subuniverso.

www.auditool.org 2
 d) Selección de las muestras: si bien dentro de la estadística existen diferentes
1
teorías y conceptos sobre el muestreo , nuestra metodología se sustenta en el
muestreo estadístico casual (probabilidad), el cual se considera como un método
objetivo en la determinación del tamaño de la muestra, dado que el auditor, o
quien realiza su aplicación, no emplea su criterio personal, sino que los resultados
de la muestra son consecuencia de la aplicación de una formula estadística en un
software, en donde cada ítem que conforma la población tiene la misma oportunidad
de ser seleccionado.

De esta manera, dicho muestreo permitirá al auditor contar con el soporte

técnico para la selección de la muestra, así como validar que el Sistema de
Control Interno funciona para cualquier tipo de transacción u operación verificada en
un proceso.

Para la selección de la muestra se deberán tener en cuenta los siguientes aspectos:

 Establecer los objetivos de la prueba,

 Delimitar el universo de la población,
 Definir el período de tiempo a evaluar,
 Determinar el nivel de riesgo de muestreo (5% y el 10%),

Definir la herramienta con la que se realizará la selección de la muestrantro del

diseño de pruebas de auditoría relativas a la efectividad de los controles, se sugiere
evaluar la aplicabilidad de la siguiente tabla de muestras según el nivel de riesgo:

Frecuencia del control Riesgo Inherente Riesgo inherente

bajo moderado o alto
Anual 1 1
Semestral 1 2
Bimestral 3 4
Mensual 3 5
Quincenal 5 8
Semanal 6 10
Diario 25 30
Más que diario 30 40

1
El Director de Auditoría debe analizar, definir y documentar los criterios con los cuales se realiza
la selección de muestras por parte del equipo de Auditoría en su organización

www.auditool.org 3
 Una vez se ha seleccionado la muestra, el auditor debe proceder a la documentación
de cada uno de los criterios bajo los cuales se realizó dicha selección.

e) Solicitud de la información de las muestras: partiendo de los lineamientos dados

en el protocolo de comunicación, se deberá realizar el requerimiento de la
información que corresponde a las muestras seleccionadas, en el cual se deberá
especificar la información que debe ser entregada al equipo de auditoría.

Un aspecto importante es que la entrega de la documentación de soporte se haga

por medio de una relación escrita entre el auditado y el equipo de auditoría, de tal
forma que se tenga la trazabilidad de los documentos que se manejan. Esto teniendo
en cuenta que para el desarrollo del trabajo el auditor debe manejar información
sensible y original, y si se da el caso de que se pierda puede tener repercusiones
importantes que cuestionen la credibilidad del auditor.

Igualmente, el líder de auditoría deberá analizar en qué momentos es mejor

para los auditores realizar la revisión de la información en las dependencias del
auditado para no retirar la información hacia sus oficinas.

De otra parte, cuando la información a entregar se encuentra digitalizada se

recomienda informarle al auditado que puede ser posible el requerimiento de la
información en original, así como solicitar que los documentos entregados se
encuentren debidamente identificados con el requerimiento original, evitando que
el equipo de auditoría tenga que hacer devoluciones de la información por falta de
orden o claridad en dichos soportes. Asimismo, al auditado se le debe informar la
importancia de que toda la información requerida sea entregada en orden.

f) Ejecución de las pruebas: partiendo de la información correspondiente a las

muestras solicitadas para cada prueba, el auditor asignado debe proceder a
realizar su ejecución según los objetivos de la prueba y el alcance establecido, y
también el lineamiento dado en la norma 2300 sobre desempeño, que establece
que “los auditores internos deben identificar, analizar, evaluar y documentar
suficiente información de manera tal que les permita cumplir con los objetivos del
trabajo”.

Dicha ejecución debe quedar documentada bien sea en un software de auditoría o

en un archivo ordenando y consecuente que permita realizar el seguimiento al
trabajo realizado, por lo cual el Director de Auditoría deberá establecer las
políticas que orientarán la documentación de los papeles de trabajo.

www.auditool.org 4
 En la ejecución, los papeles de trabajo que soportan el desarrollo de la prueba
son la fuente tanto de la evidencia del trabajo realizado por el auditor como de las
conclusiones a las cuales se llega una vez son ejecutadas las pruebas, dando
así cumplimiento a lo establecido en la norma 2300, ya citada, en la norma 2320
que define “que los auditores internos deben basar sus conclusiones y resultados
del trabajo en análisis y evaluaciones adecuados” y en la norma 2330 que
establece que “los auditores internos deben documentar información relevante que
les permita soportar las conclusiones y los resultados del trabajo”.

Igualmente, según el Consejo para la práctica 2330-1, “los papeles de trabajo

documentan la información obtenida, los análisis efectuados y el soporte de las
conclusiones y los resultados del trabajo. La gerencia de auditoría interna revisa los
papeles de trabajo que se han preparado.

Generalmente, los papeles de trabajo:

 Ayudan a la planificación, ejecución y revisión de los trabajos.

 Proporcionan el soporte principal a los resultados del trabajo.
 Documentan si los objetivos del trabajo se han alcanzado.
 Soportan la precisión e integridad del trabajo realizado.
 Suministran una base para el programa de aseguramiento y mejora de calidad
de la actividad de auditoría interna.
 Facilitan las revisiones de terceras partes”.

De acuerdo con lo anterior, toda prueba debe contar con la evidencia suficiente y
completa que avale la conclusión del auditor, debe tener el registro formal del auditor
que la elaboró, y debe registrar la conclusión sobre su resultado.

g) Supervisión del trabajo: l a norma 2340 establece que “los trabajos deben ser
adecuadamente supervisados para asegurar el logro de sus objetivos, la calidad del
trabajo y el desarrollo personal”.

Por lo tanto, el Director de Auditoría deberá establecer los lineamientos bajo los
cuales se adelanta la supervisión de los trabajos asignados, que según el
Consejo para la práctica 2340-1 debe incluir los siguientes aspectos:

 “Asegurar que los auditores internos designados posean en conjunto los

conocimientos, técnicas y otras competencias requeridas para desempeñar
el trabajo.
 Proporcionar instrucciones adecuadas durante la planificación y aprobar el
programa de trabajo.
 C o m p r o b a r que se complete el programa de trabajo aprobado, a menos
que se justifiquen y autoricen modificaciones.

www.auditool.org 5
  Determinar que los papeles de trabajo soportan adecuadamente las
observaciones, conclusiones y recomendaciones de trabajo.
 Asegurar que las comunicaciones del trabajo sean precisas, objetivas,
claras, concisas, constructivas y oportunas.
 Asegurar que se cumplan los objetivos del trabajo.
 Proporcionar oportunidades para que se desarrollen los conocimientos,
técnicas y otras competencias de los auditores internos”.

Así mismo, la supervisión debe contar con el registro tanto de quien la realizó como
de la fecha en la cual se hizo, como también de las correcciones, aclaraciones y
demás observaciones que realiza el supervisor al trabajo adelantado por el auditor
encargado de su ejecución; por lo tanto, dicha evidencia deberá quedar registrada
en el papel de trabajo que corresponda.

De otra parte, se sugiere que el proceso de supervisión se realice de forma paralela a

la ejecución, de tal forma que el auditor encargado tenga la oportunidad de aclarar
las dudas que surjan, y el supervisor de solicitar oportunamente la profundización o
aclaración de temas durante la ejecución de la prueba, lo que permite que se
optimicen los tiempos de supervisión y efectividad de las respuestas dadas.

El supervisor deberá verificar la conclusión adecuada y el cierre de las preguntas y /u

observaciones que se generaron como resultado de su revisión, concluyendo que el
trabajo se realizó de forma completa y total según los objetivos propuestos
inicialmente.

Todo documento de soporte en físico debe ser debidamente identificado en la

documentación, y debe ser adecuadamente archivado y custodiado, con acceso
restringido al mismo.

 Ejemplos de cómo evaluar el diseño y la efectividad de los controles

1) Segregación de funciones,
2) Autorización,
3) Conciliación,
4) Indicadores clave de desempeño,
5) Acceso al sistema, configuración y mapeo de cuentas.

www.auditool.org 6
 1) Control de segregación de funciones

La segregación de funciones es una de las principales actividades de control interno

destinada a prevenir o reducir el riesgo de errores o irregularidades, y en especial el
fraude interno en las organizaciones. Su función es de asegurar que un individuo no pueda
llevar a cabo distintas fases de una operación/transacción, desde su autorización, pasando
por la custodia de activos y el mantenimiento de los registros maestros necesarios. Se da
una adecuada segregación de funciones cuando para realizar una acción fraudulenta o
irregularidad se requiera de la confabulación de dos o más empleados.

Evaluación del diseño del control Evaluación de la efectividad del control

Para determinar un correcto diseño de la Para determinar la efectividad de la

segregación de funciones debemos segregación de funciones debemos
responder a las siguientes preguntas: evaluar lo siguiente:

1. ¿Los manuales de procedimientos 1) Inspeccionar el manual de políticas y

definen una adecuada segregación procedimientos del proceso analizado
de funciones en el proceso que y observar que lo relacionado con la
estamos auditando? segregación de funciones está
2. ¿Están definidos los controles de claramente documentado.
acceso al sistema que limitan la 2) Mediante la revisión de la estructura
capacidad de los individuos de del proceso y la verificación de los
desempeñar funciones de accesos en el sistema, verificar la
autorización, custodia de activos y adecuada segregación de funciones.
mantenimiento de los registros al
mismo tiempo?
3. ¿En qué se basa la asignación de
responsabilidades?
4. ¿Existen procedimientos de revisión
de la Gerencia para garantizar que la
segregación de funciones sea
adecuada?

www.auditool.org 7
 2) Control de autorización

Identificamos dos tipos de autorizaciones:

i) Aprobación de transacciones ejecutadas de acuerdo con las políticas y los

procedimientos de la compañía.
ii) Autorización para el acceso a activos y registros de acuerdo con las políticas y
procedimientos de la compañía.

Evaluación del diseño del control Evaluación de la efectividad del

control

Las preguntas / acciones que se han de Para determinar la efectividad del

considerar son estas:
1. ¿Cómo se efectúa la autorización
(manualmente o en el sistema)?
2. ¿Qué evidencia se deja de la
autorización (firma, actas, etc.)?
3. ¿Qué busca prevenir la autorización?
4. ¿Quién realiza la autorización?
5. ¿Qué parámetros definen si la
autorización es apropiada (por ejemplo,
manual de procedimientos)?
6. ¿La autorización se realizar de acuerdo
con el manual de procedimientos?
7. ¿Qué niveles de autorización existen?
8. ¿Se autorizan todas las transacciones?
9. ¿Cómo se anula la autorización?
10. ¿Cómo se detecta la anulación de una
autorización?
11. ¿Se deja evidencia de las anulaciones?
12. ¿Existen procedimientos de revisión de
la Gerencia que garanticen que la
autorización ocurra según los planes?
control de autorización debemos
evaluar los siguientes aspectos
teniendo en cuenta la frecuencia del
control:
1. Revisar la documentación que
evidencie la autorización.
2. Si la autorización es generada por
el sistema de información,
efectuar una revisión del sistema
para determinar si el acceso al
sistema prohíbe un procesamiento
no autorizado.
3. Si ocurre la revisión de la
Gerencia, considerar usar sus
pruebas para obtener evidencia
relacionada con la eficacia del
control.

www.auditool.org 8
 3) Control de conciliación

El control de conciliación se refiere a la comparación de dos grupos de datos cuya fuente

es diferente. Por ejemplo:

 Conciliación bancaria: se compara el auxiliar de bancos (fuente contabilidad)

con el extracto bancario (fuente banco).
 Conciliación cartera: se compara el auxiliar de cartera (fuente contabilidad) con el
reporte del sistema de cartera (fuente cartera).

La conciliación es un control de doble propósito porque, por un lado, ayuda a detectar

errores o irregularidades en los estados financieros y, adicionalmente, le ayuda al auditor a
probar la razonabilidad del saldo de contabilidad.

De la comparación de los dos grupos de datos pueden surgir diferencias (partidas

conciliatorias). El auditor debe analizar el efecto de estas partidas en los estados
financieros y, si es necesario, proponer ajustes y/o emitir recomendaciones. Pero
fundamentalmente debe enfocarse en detectar debilidades o insuficiencia de los
controles.

¿Qué nos ayuda a detectar el control de conciliación? La conciliación ayuda a asegurar la

integridad, existencia y exactitud de la cuenta probada.

Estos son algunos factores que indican que el control no funciona correctamente:

a) Partidas conciliatorias con antigüedad superior a 60 días,

b) Diferencias no identificadas,
c) Partidas conciliatorias falsas (nos puede indicar que la conciliación no se ejecuta
correctamente. Normalmente, las partidas falsas se usan para CUADRAR las
conciliaciones),
d) La persona que elabora la conciliación puede realizar ajustes para modificar
alguna de las dos fuentes,
e) Partidas conciliatorias significativas con efecto en los estados financieros. Por
ejemplo, devoluciones y descuentos por contabilizar. Efecto: menor valor del
ingreso y la cuenta por cobrar,
f) La conciliación no es revisada por alguien de un nivel superior de la persona que la
prepara.

www.auditool.org 9
  Evaluación del control de conciliación
A continuación, mostraremos los parámetros a tener en cuenta en la evaluación del
control de conciliación:
Evaluación del diseño del control
Para determinar un correcto diseño de
este control debemos responder a las
siguientes preguntas:
1) ¿En qué consiste el proceso de
conciliación?, ¿ qué fuentes utiliza?
2) ¿Se prepara manualmente o la
prepara el sistema, o una
combinación de ambos?
3) ¿Cómo se asegura el responsable
del proceso de que toda la
información de base (p. ej., cuentas
bancarias, cuentas por cobrar, etc.)
se ha capturado en el proceso de
conciliación?
4) ¿Qué busca prevenir o detectar este
control?
5) ¿Con qué frecuencia se prepara el
proceso de conciliación?
6) ¿Quién realiza el proceso de
conciliación?, ¿ la persona que
realiza la conciliación posee la
competencia y el conocimiento
necesarios?
7) ¿La persona que prepara la
conciliación puede realizar ajustes a
las fuentes? (ver control de
segregación de funciones)
8) ¿La conciliación es revisada por
alguien de un nivel superior de la
persona que la prepara?, ¿la
persona que realiza la revisión
posee la competencia y el
conocimiento necesarios?
9) ¿Qué tipo de evidencia se deja del
proceso de conciliación?
www.auditool.org
Evaluación de la efectividad del control
Inspeccionar la conciliación y determinar
la eficacia operativa del control, teniendo
en cuenta los siguientes aspectos
básicos:
1) ¿Los saldos de la conciliación cruzan
con los saldos de las fuentes?
2) ¿Los soportes de las fuentes son
confiables? Por ejemplo: extractos
bancarios originales, auxiliares
bajados directamente del sistema,
etc.
3) ¿La fecha de preparación de la
conciliación es oportuna?
4) ¿Las partidas conciliatorias existen?
(esto lo verificamos con el soporte de
la partida conciliatoria, p. ej.,
consignación en extracto no en
contabilidad -revisamos que la
partida conciliatoria efectivamente
aparece en el extracto y no está en
el auxiliar del banco-).
5) ¿Se observan partidas conciliatorias
con efecto significativo en los
estados financieros?, ¿es necesario
ajustarlas al cierre?
6) ¿Se observan partidas conciliatorias
con antigüedad superior a 60 días?
7) ¿Qué gestión está realizando la
compañía para ajustar las partidas
conciliatorias significativas y
antiguas?
8) ¿Las conciliaciones están revisadas
por alguien de un nivel superior de la
persona que las prepara?
10
¿Cuántas conciliaciones debemos probar?

Para el diseño, con una conciliación es suficiente. Para la efectividad debemos tener en
cuenta la tabla sugerida. Normalmente, las conciliaciones son mensuales. Si es una
conciliación mensual la debemos probar entre 3 y 5 veces al año dependiendo de la
calificación del riesgo inherente. Para este caso, sugerimos probar al precierre y al cierre;
el resto, en los meses que el auditor considere; cuando son varias las conciliaciones –p.
ej., cinco bancos-, debemos probar el 100% de las conciliaciones las veces sugeridas
(entre 3 y 5).

4) Indicador clave de desempeño

Los indicadores clave de desempeño se refieren a las medidas cuantitativas, financieras y

no financieras, que la Administración de la compañía genera para realizar seguimiento al
progreso de sus objetivos.

Como auditores podemos generar valor agregado ayudando a nuestros clientes a

encontrar mejores formas de medición, monitoreo y control de sus negocios.

 Buenas prácticas

Como ya hemos citado en la Fase II, existen dos herramientas que son utilizadas como
buenas prácticas para definir sus indicadores claves de desempeño, el Balanced
Scorecard y Benchmark.

 Balanced Scorecard

Es la representación en una estructura coherente de la estrategia del negocio a través de

objetivos claramente encadenados entre sí, medidos con los indicadores de desempeño,
sujetos al logro de unos compromisos determinados y respaldados por un conjunto de
iniciativas o proyectos. Los componentes para un buen Balanced Scorecard son los
siguientes:

a. Una cadena de relaciones de causa-efecto que expresen el conjunto de

hipótesis de la estrategia a través de objetivos. Como ejemplo de la relación
causa – efecto: empleados calificados y motivados (causa), procesos eficientes
y efectivos (efecto).
b. Un balance de indicadores de resultados e indicadores guía: indicadores que
reflejen las cosas que se necesita "hacer bien" para cumplir con el objetivo.
c. Mediciones que generen e impulsen el cambio: la medición motiva determinados
comportamientos, asociados tanto al logro como a la comunicación de los
resultados organizacionales.

www.auditool.org 11
 d. Alineación de iniciativas o proyectos con las estrategias a través de los objetivos
estratégicos: cada proyecto que exista debe relacionarse directamente con los
logros esperados para los diversos objetivos expresados por sus indicadores.

• Perspectivas del Balanced Scorecard

1) Perspectiva de innovación y aprendizaje

En esta perspectiva se analiza la capacidad que tiene la compañía de proporcionar los

recursos y la infraestructura apropiada para permitir a otros procesos lograr sus
objetivos. Clasifica los activos relativos a la innovación y aprendizaje así:

• Capacidad y competencia de las personas (gestión de los empleados). Incluye

indicadores de satisfacción de los empleados, productividad, necesidad de
formación, etc.
• Sistemas de información (sistemas que proveen información útil para el trabajo).
Indicadores: bases de datos estratégicos, software propio, etc.
• Cultura-clima-motivación para el aprendizaje y la acción. Indicadores: iniciativa
de las personas y equipos, la capacidad de trabajar en equipo, el alineamiento
con la visión de la empresa.

2) Perspectiva interna del negocio

Analiza la adecuación de los procesos internos de la empresa de cara a la obtención de la

satisfacción del cliente y la consecución de altos niveles de rendimiento financiero. Para
alcanzar este objetivo se propone un análisis de los procesos internos desde una
perspectiva del negocio y una predeterminación de los procesos clave a través de la
cadena de valor. Se distinguen cuatro tipos de procesos:

• Procesos de operaciones. Desarrollados a través de los análisis de calidad y

reingeniería. Los indicadores son los relativos a costos, calidad, tiempos o
flexibilidad de los procesos.
• Procesos de gestión de clientes. Indicadores: selección de clientes, captación de
clientes, retención y crecimiento de clientes.
• Procesos de innovación. Algunos ejemplos de indicadores: % de productos
nuevos, % productos patentados, introducción de nuevos productos en relación
a la competencia.
• Procesos relacionados con el medio ambiente y la comunidad. Indicadores
típicos de Gestión Ambiental, Seguridad e Higiene y Responsabilidad Social
Corporativa.

www.auditool.org 12
 3) Perspectiva del cliente

Para lograr el desempeño que una empresa desea es fundamental que posea clientes
leales y satisfechos. Para lograr ese objetivo, en esta perspectiva se miden las relaciones
con los clientes y las expectativas que los mismos tienen sobre los negocios. Además, en
esta perspectiva se toman en cuenta los principales elementos que generan valor para los
clientes, para poder centrarse en los procesos que para ellos son más importantes y que
más los satisfacen.

4) Perspectiva financiera

La perspectiva financiera tiene como objetivo responder a las expectativas de los

accionistas. Esta perspectiva está particularmente centrada en la creación de valor para el
accionista, con altos índices de rendimiento y garantía de crecimiento y mantenimiento del
negocio. Esto requerirá definir objetivos e indicadores que permitan responder a las
expectativas del accionista en cuanto a los parámetros financieros de rentabilidad,
crecimiento, y valor al accionista. Algunos indicadores típicos de esta perspectiva son:

• Valor Económico Agregado (EVA)

• Retorno sobre Capital Empleado (ROCE)
• Margen de operación
• Ingresos, rotación de activos
• Presupuesto

 Benchmarking

El Benchmarking es un proceso continuo de medición y comparación de productos,

servicios y prácticas contra competidores más duros o aquellas compañías reconocidas
como líderes en la industria.

El objetivo del Benchmarking es construir sobre las ideas de otros para mejorar la
actuación futura de la compañía. La expectativa es que con esta comparación de los
procesos y las prácticas pueden conseguirse mejoras mayores. Esto es, copiemos lo que
hace el mejor del grupo.

No debe considerarse hacer Benchmarking externo que hasta que se hayan analizado sus
rendimientos internos y se haya establecido completamente un sistema eficaz de medida
interior.

www.auditool.org 13
¿Que nos ayuda a detectar el control Indicador Clave de Desempeño? Un Indicador Clave
de Desempeño le puede ayudar al auditor a asegurar la integridad y existencia de la
cuenta probada o a medir la gestión en la administración de los riesgos de negocio. Por
ejemplo, presupuesto de ventas, una variación importante entre las ventas
presupuestadas y las ventas reales nos puede dar indicios de sobrestimación de
ingresos.

Un indicador de cartera por edades nos puede dar indicios de la gestión de cobro realizada
por la compañía.

Algunos factores que indican que el control no funciona correctamente son los siguientes:

 Las bases sobre las cuales se prepara el indicador no son confiables. Por ejemplo,
un presupuesto de ventas que se hace con base en el incremento del PAAG sin
tener en cuenta otros factores como situación actual del mercado, nuevos productos,
nuevos competidores, etc.
 La persona que prepara el indicador clave es la misma que evalúa el resultado
(segregación de funciones),
 El indicador clave no es revisado por alguien de un nivel superior de la persona que
lo prepara.

www.auditool.org 14
 A continuación, mostraremos los parámetros a tener en cuenta en la evaluación del
control Indicador Clave de Desempeño:
Evaluación del diseño del control
Para determinar un correcto diseño de
este control debemos responder a las
siguientes preguntas:
1) ¿En qué consiste el Indicador Clave
de Desempeño empleado?
2) ¿Cómo se elabora?, ¿sobre qué
bases? ¿Son confiables las bases?,
¿se prepara manualmente o lo
prepara el sistema, o una
combinación de ambos?
3) ¿Cómo se establecen las bases de
referencia con que se compara el
indicador clave de desempeño (p. ej.,
presupuestos, promedios de la
industria, etc.)?
4) ¿Cuál es el objetivo del Indicador?
5) ¿Con qué frecuencia se prepara este
indicador?
6) ¿Quién elabora el indicador?, ¿la
persona que elabora el indicador
posee la competencia y el
conocimiento precisos?
7) ¿El indicador es revisado por alguien
de un nivel superior de la persona que
la prepara?, ¿la persona que realiza
la revisión posee la competencia y el
conocimiento adecuados?
8) ¿Qué tipo de evidencia deja del
proceso de revisión?
9) ¿Qué medida se toma si la fluctuación
esperada del revisor no guarda
proporción con la fluctuación real en
el análisis de indicadores clave del
desempeño?, ¿resulta oportuna esa
medida?
www.auditool.org
Evaluación de la efectividad del control
Inspeccionar la conciliación y determinar
la eficacia operativa del control, teniendo
en cuenta los siguientes aspectos
básicos:
1) Inspeccionar la documentación del
indicador clave del desempeño
tomando en consideración esto:
¿La base de comparación es la
aprobada por el nivel superior? Por
ejemplo: presupuesto aprobado por la
Junta Directiva.
¿La fecha de preparación es
oportuna?, ¿Están documentadas las
explicaciones de las fluctuaciones
extraordinarias?
Comprobar que coincida con los libros
/ registros que estemos auditando.
2) Verificar la adecuación del
seguimiento.
3) Usar la técnica corroborativa de
indagación con otras personas que
realizan el seguimiento.
4) Analizar este indicador e identificar
posibles riesgos.
5) Documentar nombres, fechas,
resumen de la entrevista y la medida
de seguimiento tomada.
15
 5) Controles en el sistema de información

En los sistemas de información identificamos dos tipos de controles clave que pueden ser
evaluados por el auditor:

a) Acceso al sistema
b) Configuración y mapeo de cuentas

a) Acceso al sistema

Se refiere a la capacidad que tienen los usuarios de acceder al sistema de información de

acuerdo con las funciones asignadas.

• Buenas prácticas:

 El acceso a la aplicación requiere de una autorización por parte de un nivel

superior.
 El acceso a la aplicación se determina teniendo en cuenta una adecuada
segregación de funciones (el control asegura que un individuo no pueda llevar
a cabo todas las fases de una operación/transacción, desde su autorización,
pasando por la custodia de activos y el mantenimiento de los registros
maestros necesarios).
 Existe un proceso de verificación permanente por parte de la Administración
de la compañía por el cual se revisa que únicamente ingresan a la
aplicación las personas autorizadas. En caso de existir excepciones se les
realiza un adecuado seguimiento de la causa y el efecto.
 La aplicación debe estar configurada de tal forma que le solicite al usuario
cambiar su contraseña de acceso periódicamente y no debe permitir que se
reemplace por contraseñas usadas anteriormente.
 La aplicación debe estar configurada de tal forma que a más de tres intentos
fallidos para ingresar a la aplicación, el usuario es bloqueado y esta situación
se le informa al administrador del sistema para que investigue la causa y el
efecto.
 Los manuales de procedimientos definen la forma como se estructuran los
accesos al sistema, las personas autorizadas para definir esta estructura y
los procedimientos de monitoreo para su cumplimiento.

www.auditool.org 16
Evaluación del control
Evaluación del diseño del control
Para determinar un correcto diseño de este
control debemos responder a las siguientes
preguntas:
1. ¿En qué consiste el control de acceso al
sistema?
2. ¿Cómo se estableció (funciones,
responsabilidades, etc.)?
3. ¿Los manuales de procedimientos
definen la forma como se estructuran los
accesos al sistema y las personas
autorizadas para definir esta estructura?
Evidenciar.
4. ¿La forma como está estructurado el
control y las autorizaciones para el
acceso y modificaciones están de
acuerdo con el manual de
procedimientos?
5. ¿Quiénes son las personas autorizadas
para realizar los cambios de
configuración de accesos al sistema?,
¿tienen la experiencia y el conocimiento
adecuado?, ¿se deja evidencia de la
autorización del cambio?
6. ¿Se tiene en cuenta una adecuada
segregación de funciones en este
control?
7. ¿Existen restricciones relacionadas con
cambios a la configuración del sistema?,
¿identifica algún riesgo importante?
8. ¿La Administración de la compañía
monitorea que el acceso al sistema se
esté realizando de acuerdo con lo
establecido en sus manuales de
procedimientos?, ¿cómo lo hace?, ¿está
documentado y, si es así, puedo ver una
copia?, ¿quién es responsable y qué
calificaciones tiene?
9. ¿ Existe un proceso de verificación
permanente por parte de la
Administración de la compañía por el
cual se revisa que únicamente ingresan a
la aplicación las personas autorizadas?,
¿en caso de existir excepciones se les
realiza un adecuado seguimiento de la
causa y el efecto?
www.auditool.org
Evaluación de la efectividad del
control
Inspeccione el control de acceso al
sistema y determine la eficacia
operativa del control, teniendo en
cuenta los siguientes aspectos
básicos:
1. Verifique en el sistema que los
niveles de acceso estén de
acuerdo con lo autorizado por la
Administración.
2. Solicite a Recursos Humanos el
reporte del personal que ha
ingresado durante el año en
curso y con apoyo del
administrador del sistema
seleccione aquellos que tienen
acceso a la aplicación que
estamos auditando. Verifique que
los accesos fueron aprobados
por los niveles adecuados.
3. Solicite a Recursos Humanos el
reporte del personal que se ha
retirado de la compañía durante
el año en curso y con apoyo del
administrador del sistema
seleccione aquellos con acceso a
la aplicación que estamos
auditando. Verifique que los
retiros de personal fueron
informados por el área de
Recursos Humanos y autorizados
por los niveles adecuados.
Adicionalmente, verifique que
estas personas fueron dadas de
baja de la aplicación.
4. Solicite al administrador de
sistemas la relación de cambios
de perfiles ocurridos durante el
año y verifique que fueron
autorizadas por los niveles
adecuados. ¿ Los cambios
afectan la segregación de
funciones?
5. Verifique que otros usuarios no
autorizados tengan acceso al
módulo que se está verificando.
17
 b) Configuración y mapeo del sistema

Definiciones:

 Configuración del sistema: es la forma como está parametrizado un sistema de

información. Por ejemplo, límites de cupos de crédito, autorizaciones, límites para
realizar desembolsos, límites de acceso, etc.

 Mapeo del sistema: se refiere a la forma como están direccionadas las entradas de
información a un registro específico.

Es importante que el auditor identifique los cambios en la configuración y el mapeo del

sistema, con el fin de evaluar si fueron implementados de forma adecuada; por tanto,
debemos obtener evidencia suficiente y adecuada que nos permita concluir que los
cambios a los sistemas de información fueron solicitados, autorizados, realizados,
probados e implementados para el logro de los objetivos de control de la aplicación de la
Gerencia.

Algunos riesgos que se pueden generar son estos:

 Un mapeo errado puede no mostrar las cuentas en los estados financieros o puede
que se muestren de forma errada- Por ejemplo, un gasto se registra como activo, un
pasivo como un ingreso, etc.
 Los controles de configuración pueden desactivar las características de control de
seguridad. Por ejemplo, el hecho de no asignar cupos de crédito a los clientes,
desactivar la segregación de funciones, etc.

www.auditool.org 18
  Evaluación del control

Evaluación del diseño del control Evaluación de la efectividad del control

Para determinar un correcto diseño de este En caso de identificar cambios

control debemos responder a las siguientes realizados en la configuración y el mapeo
preguntas: del sistema dentro del año auditado,
debemos verificar:
1. ¿Cómo se realiza la configuración del
sistema?  La documentación del cambio,
2. ¿Quién la realiza?
 Que se realizó de acuerdo con el
3. ¿Se efectuaron pruebas del manual de procedimientos,
establecimiento del diseño inicial? Si
fue así, ¿están documentadas?  Que el cambio fue revisado y
¿Puedo ver la evidencia? autorizado por un nivel superior.
4. ¿Quién revisa y autoriza los cambios a
la configuración del sistema?
5. ¿Existen restricciones relacionadas
con cambios a la configuración del
sistema?, ¿identifica algún riesgo
importante?
6. ¿Se han realizado cambios a la
configuración del sistema en el último
año?, ¿existe documentación y puedo
verla?
7. ¿Qué existe que garantice la
integridad de la información?
8. ¿Qué prácticas se observan para
comprobar los cambios a la
configuración?, ¿ tienen
procedimientos documentados?,
¿ puedo verlos?

www.auditool.org 19