I.

SISTEMA DE CONTROL
DEFINICION

Es el conjunto de acciones, actividades, planes, políticas, normas, registros,

procedimientos y métodos, incluido el entorno y actitudes que desarrollan
autoridades y su personal a cargo, con el objetivo de prevenir posibles riesgos
que afectan a una entidad pública.

El sistema de control interno está a cargo de la propia entidad pública. Su

implementación y funcionamiento es responsabilidad de sus autoridades,
funcionarios y servidores. ¿Cuál es el rol de la Contraloría? La CGR es
responsable de la evaluación del sistema de control interno de las entidades
del Estado. Sus resultados contribuyen a fortalecer la institución, a través de
las recomendaciones que hace de conocimiento de la administración para las
acciones conducentes a superar las debilidades e ineficiencias encontradas.

PRINCIPIOS

 Autocontrol

Capacidad de todos los funcionarios de la organización, independientemente

del nivel jerárquico que posean, para evaluar y controlar su trabajo, detectar
desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus
funciones, así como también para la mejora de sus tareas y
responsabilidades.

 Autorregulación

Capacidad de la organización para desarrollar en su interior y aplicar

métodos, normas y procedimientos que permitan desarrollar, implementar y
mejorar el SCI.

 Autogestión

Está relacionado con la capacidad que tiene la organización para interpretar,

ejecutar y evaluar de forma eficiente y eficaz su funcionamiento.
COMPONENTES FUNCIONALES

Se fundamenta en una estructura basada en cinco componentes funcionales:

1. Ambiente de control

Lo conforman los elementos de la cultura organizacional que fomentan

en todos los integrantes de la entidad los principios, valores y conductas
orientados hacia el control. Es el pilar de todos elementos del sistema de
control interno.

2. Evaluación de riesgos

Se debe contar con un sistema de administración de riesgos que permita

minimizar los costos y daños que estos causen, buscando con esto
prevenir o evitar que se materialicen eventos que puedan afectar el
desarrollo normal de los procesos y el cumplimiento de los objetivos
empresariales.

3. Actividades de control gerencial

Son las políticas y los procedimientos que se deben seguir para lograr
que las instrucciones de la administración que se relacionan con los
riesgos y sus controles se cumplan.

4. Información y comunicación

Aquí los sistemas de información y comunicación son la base para

identificar, capturar e intercambiar información, que le permita al
personal cumplir con sus responsabilidades y a los usuarios externos
contar con elementos de juicio para adoptar las decisiones que le
corresponden en relación con la entidad respectiva.

5. Supervisión

Es un proceso en el cual se busca verificar la calidad de desempeño del

control interno a través del tiempo. Se realiza por medio de la
 supervisión continua de jefes o líderes, así como por las evaluaciones
periódicas que lleven a cabo la auditoría interna u órgano equivalente.

BENEFICIOS DE CONTAR CON UN SISTEMA DE CONTROL

Seguridad razonable de:

 Reducir los riesgos de corrupción

 Lograr los objetivos y metas establecidos
 Promover el desarrollo organizacional
 Lograr mayor eficiencia, eficacia y transparencia en las operaciones
 Asegurar el cumplimiento del marco normativo
 Proteger los recursos y bienes del Estado, y el adecuado uso de los
mismos
 Contar con información confiable y oportuna
 Fomentar la práctica de valores
 Promover la rendición de cuentas de los funcionarios por la misión y
objetivos encargados y el uso de los bienes y recursos asignados

LIMITANTES PARA UN SISTEMA DE CONTROL INTERNO

 Limitante cultural e institucional: 

Esto se genera cuando la indiferencia de los ciudadanos, los cuales no han
tomado la conciencia necesaria sobre la importancia de su rol, como
proveedora y copartícipe de la idónea utilización de los recursos del estado y
su resultado.
 Limitante económico y financieros: 
Se da por la no presencia de la coordinación de las entidades públicas, las
cuales están comprometidas al desarrollo de los programas integrales de
control interno.
 Limitante organizacional y de gestión: 
El poco interés y de conocimiento de la administración pública para darle
nuevo enfoque o eficiencia al diseño, a la implantación, evoluciona y mejora
continua del sistema de control interno.
IMPLEMENTACIÓN DEL SISTEMA DE CONTROL INTERNO

Se deben cumplir las tres fases siguientes:

Planificación
Se inicia con el compromiso formal de la Alta Dirección y la constitución de un
Comité responsable de conducir el proceso. Comprende además las acciones
orientadas a la formulación de un diagnóstico de la situación en que se
encuentra el sistema de control interno de la entidad con respecto a las normas
de control interno establecidas por la CGR, que servirá de base para la
elaboración de un plan de trabajo que asegure su implementación y garantice
la eficacia de su funcionamiento.

Ejecución
Comprende el desarrollo de las acciones previstas en el plan de trabajo. Se da
en dos niveles secuenciales: a nivel de entidad y a nivel de procesos. En el
primer nivel se establecen las políticas y normativa de control necesarias para
la salvaguarda de los objetivos institucionales bajo el marco de las normas de
control interno y componentes que éstas establecen; mientras que en el
segundo, sobre la base de los procesos críticos de la entidad, previa
identificación de los objetivos y de los riesgos que amenazan su cumplimiento,
se procede a evaluar los controles existentes a efectos de que éstos aseguren
la obtención de la respuesta a los riesgos que la administración ha adoptado.

Evaluación
Fase que comprende las acciones orientadas al logro de un apropiado proceso
de implementación del sistema de control interno y de su eficaz
funcionamiento, a través de su mejora continua.
 II. EL PLAN ANUAL DE CONTROL DE UNA OFICINA
DE AUDITORÍA INTERNA.
DEFINICION

El Programa Anual de Auditoría es el documento formulado y ejecutado por el

equipo de trabajo de Control Interno, cuya finalidad es planificar y establecer
los objetivos a cumplir anualmente, para evaluar y mejorar la eficiencia de los
procesos de operación, control y gobierno. Para la elaboración del Plan de
Auditoría, incluye el objetivo general del programa, y la identificación del
recurso existente para la ejecución del mismo, teniendo en cuenta el tiempo
que demora el programa, y el responsable del desarrollo de la actividad.

El Plan de las Auditorias es uno de los capítulos más importante dentro del
desarrollo del Sistema de Control Interno en él se precisa la verificación del
estado real de las dependencias y se comparan con los objetivos por alcanzar,
el alcance de los controles y exámenes de las actividades y tareas realizadas,
el perfil técnico del equipo de trabajo que tendrá a cargo la labor, el nivel de
superación del operativo para lograr una buena calidad técnico profesional en
los informes y seguimiento a la implantación de las recomendaciones, son
fundamentales para el desarrollo efectivo de esta labor.

OBJETIVOS DEL PLAN ANUAL DE AUDITORIA

Las Auditorias se programarán con fundamento en el cumplimiento de los

objetivos del Sistema de Control interno aplicados así:

 Proteger los recursos de la organización, buscando su adecuada

administración ante posibles riesgos que los afecta. - Financiera y
Presupuesto.

 Garantizar la eficacia, la eficiencia y economía en todas las operaciones,

promoviendo y facilitando la correcta ejecución de las funciones y
actividades definidas para el logro de la misión institucional; Recursos
Humanos.

 Velar porque todas las actividades y recursos de la organización estén

dirigidos al cumplimiento de los objetivos de la entidad; Presupuesto,
Recursos Físicos.
  Garantizar la correcta evaluación y seguimiento de la gestión
organizacional; Calidad y Autoevaluación.

 Asegurar la oportunidad y confiabilidad de la información y de sus

registros; Comunicación, Sistemas y Gestión Documental.

 Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las
desviaciones que se presenten en la organización y que puedan afectar
el logro de sus objetivos; Todas las dependencias.

 Garantizar que el sistema de control Interno disponga de sus propios

mecanismos de verificación y evaluación; Autoevaluación del Control.

 Velar porque la entidad disponga de procesos de planeación y

mecanismos adecuados para el diseño y desarrollo organizacional, de
acuerdo con su naturaleza y características; Planeación.

ELEMENTOS DE UN PLAN ANUAL DE AUDITORIA

La importancia de saber cómo preparar y ejecutar un Plan de Auditoría Interna

de Calidad según ISO 9001 ayuda a las organizaciones a poder llevar a cabo
diversos objetivos y tareas planificadas a través del Sistema de Gestión de
Calidad (SGC).
Un Plan de Auditoría es elaborado por el responsable o líder de la realización
de las auditorías. Dicha elaboración es consensuada de acuerdo con el
auditado y establece una guía de los horarios y de las necesidades existentes
de coordinación entre todas las partes que intervienen.

Todo Plan de Auditoría tiene una serie de características que condicionan

cómo se conforma dicho Plan: el tipo de auditoría, el alcance y la complejidad.

La naturaleza del Plan es dinámica, lo cual significa que no se trata de un

documento estático e inamovible, sino que debe evolucionar acorde a las
necesidades y el contexto que una organización esté experimentando.

Antes de empezar la ejecución del Plan, todas las partes que intervienen deben
conocer el documento y deben de ser avisados de cualquier cambio que se
quiera realizar, ya que se debe llegar a un acuerdo por todas las partes para
poder producirse el mismo.

El Plan de Auditoría está compuesto por los siguientes elementos:

 Objetivos de la auditoría.
 Documentos y criterios de referencia.
 Alcance.
 Lugares donde se realizan la auditoría.
 Fechas, hora y duración de actividades.
 Responsabilidades y funciones de los miembros del equipo auditor.
 Recursos que se emplean.
 Identificación del representante auditado.
 Cualquier tipo de preparativo adicional necesario.
 Otra documentación de trabajo para la auditoría: listas de verificación,
planes de muestreo y formularios de recogida de información.

PASOS PARA ELABORAR UN PLAN ANUAL DE AUDITORIA

Paso 1: Determinación Del Universo De Auditoría

Según las etapas y fases de la auditoría interna, es necesario realizar un

análisis general de la organización que será auditada. De esa manera, el
equipo de auditoría puede tener una mejor comprensión de cómo funcionan los
procesos y cuáles son los objetivos de la entidad.

Concretamente, el universo de auditoría se refiere al conjunto de áreas de la

organización que son susceptibles de auditoría (gestión de talento humano,
gestión financiera., gestión tecnológica, gestión comercial, gestión de
comunicaciones) con el fin de brindar un aseguramiento adecuado a cada una
de dichas funciones de negocio.

Paso 2: Establecimiento Del Plan De Auditoría Interna.

En línea con las etapas y fases de la auditoría interna, el plan debe basarse en
los datos recopilados en el primer paso, y contener información como:
Objetivos, alcance y criterios de la auditoría, unidades y áreas que serán
auditadas dentro de la empresa, funcionarios encargados de la calidad de los
procesos, aspectos prioritarios, tiempo y duración de las inspecciones, entre
otros.
El plan de trabajo debe basarse también en información documentada y se
deben tener en cuenta los comentarios de la alta dirección y del consejo. El
auditor que coordine la realización del plan anual es a su vez el encargado de
comunicar los recursos que se requieren para la auditoría interna y el posible
impacto en caso de que dichos recursos sean limitados.
Para realizar el plan anual es necesario evaluar el nivel de riesgo inherente en
los procesos, identificar los requerimientos del comité de auditoría y la
dirección, conocer cuáles son los requerimientos de ley para auditoría interna y
documentar posibles hallazgos y oportunidades de mejora que surgieron en
planes de épocas anteriores.

Paso 3: Plan Anual De Auditoría Vs. Recursos.

Según los proyectos que surjan en el plan, es necesario destinar los recursos
humanos, financieros y de tiempo que se requerirán para llevar a cabo el plan.
De acuerdo a la disponibilidad de dichos recursos, será posible decantar los
proyectos que se podrán atender, según el nivel de prioridad.

Paso 4: Comunicación Y Aprobación Del Plan.

Finalmente, el plan anual de auditoría debe ser presentado a la alta gerencia
con el fin de obtener aprobación final del mismo por parte de la junta directiva o
el comité de auditoría. En esta presentación, es necesario demostrar que se
tomaron acciones en caso de limitación de recursos.

A su vez, le aconsejamos informar a la alta dirección y al consejo sobre los

trabajos de auditoría que han sido reprogramados, cuáles son las razones de
peso para ese cambio y cuál es el grado de riesgo asociado a los trabajos
reprogramados.
Los productos CERO están concebidos para apoyar su organización en la
realización de su plan de auditoría interna, por medio de un proceso de gestión
integral de riesgo que le ayude a controlar, prevenir y mitigar todo tipo de
eventos que puedan intervenir en el cumplimiento de sus objetivos.

III. PROGRAMACIÒN DE ACCIONES DE CONTROL

ANUALES

ACCIONES DE CONTROL

En el diseño organizacional deben establecerse las políticas y procedimientos

que ayuden a que las normas de la organización se ejecuten con una
seguridad razonable para enfrentar de forma eficaz los riesgos.
Las acciones de control se definen como las acciones establecidas a través de
las políticas y procedimientos que contribuyen a garantizar que se lleven a
cabo las instrucciones de la dirección para mitigar los riesgos con impacto
potencial en los objetivos.
Las acciones de control se ejecutan en todos los niveles de la entidad, en las
diferentes etapas de los procesos de negocio y en el entorno tecnológico, y
sirven como mecanismos para asegurar el cumplimiento de los objetivos.
Según su naturaleza pueden ser preventivas o de detección y pueden abarcar
una amplia gama de actividades manuales y automatizadas. Las actividades de
control conforman una parte fundamental de los elementos de control interno.
Estas acciones están orientadas a minimizar los riesgos que dificultan la
realización de los objetivos generales de la organización. Cada control que se
realice debe estar de acuerdo con el riesgo que previene, teniendo en cuenta
que demasiados controles son tan peligrosos como lo es tomar riesgos
excesivos. Estos controles permiten:
 Prevenir la ocurrencia de riesgos innecesarios.
 Minimizar el impacto de las consecuencias de los mismos.
 Restablecer el sistema en el menor tiempo posible.

En todos los niveles de la organización existen responsabilidades en las

acciones de control, debido a esto es necesario que todo el personal dentro de
la organización conozca cuáles son las tareas de control que debe ejecutar.
Para esto se debe explicitar cuáles son las funciones de control que le
corresponden a cada individuo.
PRINCIPIOS DE LAS ACCIONES DE CONTROL

1. La organización define y desarrolla acciones de control que

contribuyen a la mitigación de los riesgos hasta niveles aceptables
para la consecución de los objetivos

Características
 Se integra con la evaluación de riesgos. Las acciones de control ayudan
a asegurar que las respuestas a los riesgos que direccionan y mitigan
los riesgos son llevadas a cabo.
 Considera factores específicos de la entidad. La administración
considera cómo el ambiente, complejidad, naturaleza y alcance de sus
operaciones, así como las características específicas de la organización,
afectan la selección y desarrollo de las actividades de control.
 Determina la importancia de los procesos del negocio. La administración
determina la importancia de los procesos del negocio en las acciones de
control.
 Evalúa una mezcla de tipos de acciones de control. Las acciones de
control incluyen un rango y una variedad de controles que pueden incluir
un equilibrio de enfoques para mitigar los riesgos teniendo en cuenta
controles manuales y automatizados, y controles preventivos y de
detección.
 Considera en qué nivel las acciones son aplicadas. La administración
considera las acciones de control en varios niveles de la entidad.
 Direcciona la segregación de funciones. La administración segrega
funciones incompatibles, y donde dicha segregación no es práctica, la
administración selecciona y desarrolla actividades de control
alternativas.

2. La organización define y desarrolla acciones de control a nivel de

entidad sobre la tecnología para apoyar la consecución de los
objetivos.
 Características
 Determina la relación entre el uso de la tecnología en los procesos del
negocio y los controles generales de tecnología: La dirección entiende y
determina la dependencia y la vinculación entre los procesos de
negocios, las actividades de control automatizadas y los Controles
Generales de tecnología.
 Establece acciones de control para la infraestructura tecnológica
relevante: la Dirección selecciona y desarrolla acciones de control
diseñadas e implementadas para ayudar a asegurar la completitud,
precisión y disponibilidad de la tecnología.
 Establece las acciones de control para la administración de procesos
relevantes de seguridad: la dirección selecciona y desarrolla actividades
de control diseñadas e implementadas para restringir los derechos de
acceso, con el fin de proteger los activos de la organización de
amenazas externas.
 Establece acciones de control relevantes para los procesos de
adquisición, desarrollo y mantenimiento de la tecnología: la dirección
selecciona y desarrolla acciones de control sobre la adquisición,
desarrollo y mantenimiento de la tecnología y su infraestructura.

3. La organización despliega las acciones de control a través de

políticas que establecen las líneas generales del control interno y
procedimientos.

Características
 Establece políticas y procedimientos para apoyar el despliegue de las
directivas de la administración: la administración establece acciones
de control que están construidas dentro de los procesos del negocio
y las actividades del día a día de los empleados a través de políticas
estableciendo lo que se espera y los procedimientos relevantes
especificando acciones.
 Establece responsabilidad y rendición de cuentas para ejecutar las
políticas y procedimientos: la administración establece la
responsabilidad y rendición de cuentas para las actividades de
control con la administración (u otro personal asignado) de la unidad
de negocios o función en el cual los riesgos relevantes residen.
 Funciona oportunamente: el personal responsable desarrolla las
actividades de control oportunamente, como es definido en las
políticas y procedimientos.
 Toma acciones correctivas: el personal responsable investiga y actúa
sobre temas identificados como resultado de la ejecución de
actividades de control.
 Trabaja con personal competente: personal competente con la
suficiente autoridad desarrolla actividades de control con diligencia y
continúa atención.
 Reevalúa políticas y procedimientos: la administración revisa
periódicamente las actividades de control para determinar su
continua relevancia, y las actualiza cuando es necesario.
 IV. APROBACIÓN DEL PLAN ANUAL DE CONTROL.
De acuerdo a las Normas de Auditoría Interna tanto nacionales como
internacionales, el Jefe de Auditoría Interna debe comunicar al Jefe del Servicio
para su revisión y aprobación, los planes y requerimientos de recursos de la
auditoría interna, incluyendo los cambios provisionales significativos. También
debe comunicar los efectos de limitar los recursos solicitados.

El Plan Anual de Auditoría debe ser aprobado por el Jefe de Servicio en forma
explícita previa a su ejecución. Lo anterior sin perjuicio de la validación técnica
que hará la gerencia.

Para comunicar los planes y requerimientos al Jefe de Servicio, el Jefe de

Auditoría Interna le enviará anualmente, para su revisión y aprobación, el
proyecto de Plan Anual de Auditoría, los calendarios de trabajos, el personal
que participará y en la medida de lo posible el presupuesto financiero
requerido. El Plan Anual de Auditoría estará documentado por escrito y se
anexarán los documentos que respalden los análisis que en él se contienen.

Los Planes Anuales de Auditoría elaborados por las Unidades de Auditoría

Interna deberán considerar los requerimientos específicos del Jefe del Servicio
y deberán remitirse a la gerencia para su consideración técnica. A su vez el
Jefe de Auditoría deberá comunicar a la gerencia la aprobación del Plan Anual
de Auditoría por el Jefe del Servicio, en los términos indicados.

Una vez formulado el Plan Anual de Auditoría debe ser discutido con el Jefe del
Servicio, sometiéndolo a su aprobación final antes de comenzar a aplicarlo en
el periodo para el cual se formuló. El Plan Anual, con la constancia de haber
sido aprobado por la autoridad, deberá ser remitido a la gerencia de la empresa
para su revisión y consideración técnica. Una vez realizado ello, podrá ser
aplicado en el periodo para el que fue formulado.
Existen situaciones en las cuales, durante el transcurso del año, será necesario
realizar actualizaciones al Plan Anual de Auditoría, debido a cambios
importantes en los trabajos de auditoría contenidas en él, o a situaciones
urgentes de contingencia. En estos casos, deberá informarse de forma
oportuna al Jefe del Servicio, para la aprobación de estos cambios, y deberá,
asimismo, remitirse a la gerencia de la empresa para su consideración técnica.

Sin perjuicio de lo anterior, la gerencia podrá requerir en el transcurso del año,

hacer ajustes al Plan Anual de Auditoría, que deben acompañarse el Informe
de Diagnóstico, con su respectivo fundamento.