Unidad 3

1 //Escenario
Escenario25
Lectura fundamental
Fundamental

Etapas
Fases dedelaun plan deoperacional
auditoría comunicación
estratégica

Contenido

1 Administración de la auditoría operacional

2 Planeación de la auditoría operacional

3 Ejecución y control de la auditoría operacional

4 Informes de la auditoría operacional

5 Fase de planeación

Palabras clave: planeación, fases, examen, áreas críticas.

1. Administración de la auditoría operacional
La auditoría operacional consta de tres fases: estudio y planeación, ejecución e informe.

Estudio y planeacion Informe

Estudio preliminar o planeación Comunicación de resultados
estratégica
Recomendaciones
Compresión de la entidad a auditar
Selección del área crítica a auditar
Objetivo general y específicos
Ejecución -examen
Alcance de la auditoría
Orientación de la auditoría Exámen detallado de
las áreas críticas
Organización y recursos
Técnicas
Elaboración del plan de auditoría
Pruebas
Diseño del programa de auditoría
Evidencias
Hallazgos

Figura 1. Fases de la auditoría operacional

Fuente: elaboración propia

2. Planeación de la auditoría operacional

La planeación de la auditoría operativa inicia con dos etapas:

a. Planeación estratégica: se debe analizar y determinar los diferentes asuntos y realizar las
preguntas que se deben auditar, mediante la identificación, elección y diferenciación de las
áreas críticas, actividades, procesos o proyectos de entidad.

b. Planeación operativa: en este proceso se define la estrategia que se va a utilizar en la

auditoría operativa, la cual está a cargo de todo el equipo auditor asignado; en esta etapa se
elabora la forma de obtención de la información relevante sobre la actividad, proceso, área
o proyecto a auditar, permitiendo alcanzar el suficiente conocimiento, esto con el fin de
planear de forma adecuada la auditoría antes de su respectiva ejecución.

POLITÉCNICO GRANCOLOMBIANO 2
En esta planeación se deben elaborar los términos de referencia para que la entidad a auditar tenga el
conocimiento de la naturaleza de la auditoría, objetivo general y específicos, alcance, técnicas a utilizar,
equipo de trabajo profesional, recursos, costos, tiempo estimado para la realización y el apoyo de la entidad.
En esta fase se deben realizar las siguientes actividades:

a. Estudio preliminar o planeación estratégica: se realiza para familiarizarse con la operación

a auditar, durante esta actividad el auditor podrá utilizar cuestionarios, flujogramas o
indagaciones al personal encargado en el proceso, área o proyecto.

b. Compresión de la entidad a auditar: se determinan las políticas, objetivos, estrategias y

normas que aplica la entidad, así como sus áreas, procesos, operaciones y procedimientos.

c. Selección del área crítica a auditar: identifican el área más crítica o débil de la organización.

d. Objetivo general y específicos: características generales y específicas de la meta propuesta

para el cumplimiento de la auditoría.

e. Alcance de la auditoría: límite del trabajo.

f. Orientación de la auditoría: campo de acción en el que se actuará.

g. Organización y recursos: selección del equipo de trabajo, asignación de tareas y recursos

físicos a utilizar.

h. Elaboración del plan de auditoría: se elabora el plan general de auditoría, identificando el área
crítica a auditar, proceso o proyecto.

i. Diseño del programa de auditoría: en este se permite establecer las actividades para la
obtención de la evidencia para evaluar las operaciones identificadas en el área a auditar,
proceso o proyecto.

3. Ejecución y control de la auditoría operacional

En esta fase se desarrolla el trabajo de campo, recolección de la evidencia y el análisis de los datos
obtenidos; la evidencia deberá ser suficiente y apropiada, con el fin de respaldar los resultados,
estableciendo los hallazgos y el argumento de este; a medida que avanza el proceso se debe ir
formando el valor agregado que le da el auditor y su mejoramiento al proceso, actividad o proyecto.
Las siguientes son actividades por realizar en la fase de ejecución:

POLITÉCNICO GRANCOLOMBIANO 3
 a. Examen detallado de las áreas críticas: en esta actividad se evalúan cada uno de los posibles
hallazgos que se identifiquen en el área o áreas críticas seleccionadas, determinando la
eficacia, eficiencia y economía de las operaciones, formulando las recomendaciones
enfocadas al mejoramiento continuo.

b. Técnicas: método a utilizar para la obtención de la evidencia del área, proceso o proyecto a
evaluar.

c. Pruebas: procedimientos utilizados para el desarrollo de la auditoría.

d. Evidencias: es la información que se obtiene por parte del auditor durante el proceso de la
auditoría, adicional sustenta los hallazgos y conclusiones que expresa en su informe (evidencia
suficiente y apropiada).

e. Hallazgos: se define como las operaciones encontradas que afectan negativamente en el

examen detallado de las áreas críticas, es decir, son operaciones ineficaces, antieconómicas e
ineficientes.

Información obtenida por el auditor durante un estudio de auditoría que cumplen la función de
sustentar los hallazgos de auditoría y las conclusiones del auditor expresadas en un informe.

4. Informes de la auditoría operacional

En esta última fase se realiza el informe final, es decir, un documento formal en el cual se comunican
los objetivos establecidos en la auditoría, el examen de la evidencia, las técnicas utilizadas, los
resultados, los hallazgos identificados y finalmente el juicio respondiendo a las preguntas que se
plantearon inicialmente. Seguido del informe en un tiempo determinado, la entidad implementará las
recomendaciones propuestas, realizándose un seguimiento con el fin de comprobar si las deficiencias
mencionadas en el informe fueron mejoradas.

No existe un formato preestablecido para realizar el informe, lo importante es incluir todos los temas
establecidos en la auditoría, por operaciones, áreas, procesos o proyectos de acuerdo al criterio
del auditor; deberá contener un párrafo de las limitaciones que se encontraron en la auditoría, la
evaluación en general de las operaciones así como su calificación; es importante informar de los
resultados positivos y negativos encontrados, estos deberán explicarse detalladamente, seguidos

POLITÉCNICO GRANCOLOMBIANO 4
de las recomendaciones de mejoramiento y los comentarios dados por los encargados del área,
proceso o proyecto; finalmente se debe realizar un párrafo que contenga los agradecimientos por la
colaboración prestada por la entidad. En esta última fase se realizan dos actividades:

a. Comunicación de resultados: el auditor comunicará los resultados de la auditoría por medio

de un informe, una vez finaliza la ejecución de la auditoría.

b. Recomendaciones: se darán a conocer las posibles soluciones a los problemas encontrados

en las áreas críticas para su mejoramiento.

5. Fase de planeación
La planeación de la auditoría se realiza de acuerdo con la naturaleza, extensión y la complejidad del
ente a auditar, así como la experiencia que posee el equipo encargado de la auditoría y los cambios
que puedan surgir en el desarrollo de esta. Dentro de esta fase, al igual que la auditoría financiera
con obligatoriedad, se analiza el control interno y se evalúan los riesgos a los que están expuestos la
entidad y el área a auditar. Adicional, se debe considerar los procesos y procedimientos del ente, la
parte administrativa y contable, su grado de eficiencia, eficacia y economía.

Esta fase es similar a la de la auditoría financiera, ya que se debe establecer el alcance del compromiso
y comunicarlo al gobierno corporativo. Además, se hace necesario suministrar el personal que va
a cumplir con este compromiso, con el fin de obtener la información histórica del ente, entender
el control interno y decidir la evidencia a obtener durante el proceso de la auditoría. Una de las
diferencias primordiales de la planeación de la auditoría operacional frente a la financiera, son los
objetivos, por lo que en esta varían de acuerdo con el proyecto, área, proceso o procedimiento a
auditar, así como el criterio y el enfoque de esta. Por ejemplo, en la auditoría financiera se debe dar
razonabilidad a las cifras financieras y en la auditoría operativa se debe medir el grado de eficiencia
del proceso de producción al elaborar cierta cantidad de zapatos o medir el grado de eficiencia en la
atención al cliente. Otra diferencia que se denota es el personal encargado de la auditoría, ya que en
la auditoría operativa se debe contratar personal adicional especializado en ciertas áreas específicas
como publicidad, producción, marketing entre otros.

Para el logro de los objetivos, deberá llegar a un consenso todo el equipo auditor estableciendo el
compromiso y los criterios de evaluación.

POLITÉCNICO GRANCOLOMBIANO 5
Antes de iniciar la auditoría operativa el auditor deberá familiarizarse con la entidad verificando
y examinando, por medio de cuestionarios, diagramas de flujo o narraciones por escrito los
procedimientos con respecto a:

a. Objetivos de la entidad.

b. Estructura organizacional.

c. Características del área crítica a auditar, proceso, actividad o proyecto.

d. Actas constitutivas.

e. Manual de funciones y responsabilidades asignadas.

f. Políticas operativas y administrativas.

g. Lineamientos administrativos.

h. Investigando los antecedentes.

i. Visitar las instalaciones.

j. Procedimiento en detalle de la organización.

k. Forma como miden el cumplimiento de los objetivos y problemas para alcanzarlos.

Repasemos el análisis de control interno y la evaluación del riesgo:

5.1. Control interno

El control se define como una serie de procesos que las organizaciones deben definir de acuerdo
con el tamaño y tipo de actividad a la que se dedique. Una vez se establecen los controles permite
a la organización minimizar riesgos, la gerencia es la directa responsable del cumplimiento de los
controles, bajo una estructura que permita tomar acciones preventivas y la forma correcta de
detectar errores y solucionarlos de manera eficaz. Un estudio profundo de los modelos de control
interno y de su alcance, permite que se avance en el desarrollo y la consolidación de una cultura de
control para la sostenibilidad empresarial. Existe diferentes modelos de control interno aplicados
por las organizaciones, entre ellos se tiene los modelos COSO, MECI, COBIT y CADBURY; a
continuación, se explicará el modelo COSO:

POLITÉCNICO GRANCOLOMBIANO 6
El modelo COSO, evalúa el cumplimiento de las normas y políticas internas, la efectividad y eficiencia
de las operaciones, confiabilidad de la información y la salvaguarda de los recursos; la misión del
modelo es proveer el liderazgo intelectual a través de marcos y orientaciones sobre la gestión del
riesgo, disuasión del fraude y el control interno, este fue diseñado para el mejoramiento continuo del
desempeño de la organización y la reducción del fraude. El modelo COSO se basa en 5 componentes
y 17 principios:
Tabla 1. Componentes del modelo COSO, concepto y principios

Componente Concepto Principios

Comportamiento de la
Ambiente de control
organización
1. Compromiso por la integridad y los valores éticos.
2. Se denota la independencia de la administración y se
ejerce supervisión, desarrollo y rendimiento de controles
internos.
3. La Administración establece, con la aprobación del
consejo, las estructuras, líneas de reporte y las autoridades y
responsabilidades apropiadas en la búsqueda de objetivos.
4. La organización demuestra un compromiso a atraer,
desarrollar y retener personas competentes en alineación
con los objetivos.
5. La organización retiene individuos comprometidos con
sus responsabilidades de control interno en la búsqueda de
objetivos.
6. La organización especifica objetivos con suficiente
claridad para permitir la identificación y valoración de los
riesgos relacionados a los objetivos.

Mecanismos para la 7. La organización identifica los riesgos sobre el

identificación y evaluación
Evaluación del riesgo
de los riesgos, para
alcanzar los objetivos
Acciones, normas
y procedimientos que
tiende a asegurar que se
Actividades de control cumplan las directrices
y políticas de la dirección
para afrontar los riesgos
identificados.
cumplimiento de los objetivos a través de la entidad, y analiza
los riesgos para determinar cómo deben de administrarse.
8. La organización considera la posibilidad de fraude en la
evaluación de riesgos para el logro de los objetivos.
9. La organización identifica y evalúa cambios que pueden
impactar significativamente al sistema de control interno.
10. La organización elige y desarrolla actividades de control
que contribuyen a la mitigación de riesgos para el logro de
objetivos a niveles aceptables.
11. La organización elige y desarrolla actividades de control
generales sobre la tecnología para apoyar el cumplimiento de
los objetivos.
12. La organización despliega actividades de control a
través de políticas que establecen lo que se espera y
procedimientos que ponen dichas políticas en acción.

POLITÉCNICO GRANCOLOMBIANO 7
 Componente Concepto
Sistemas que permiten que
el personal de la entidad
Información y capte e intercambie la
comunicación información requerida para
desarrollar, gestionar y
controlar sus operaciones.
Evalúa la calidad del
Supervisión y monitoreo control interno en
el tiempo.
Fuente: elaboración propia, modificado del modelo COSO, (2013)
Principios
13. La organización obtiene o genera y usa información
relevante y de calidad para apoyar el funcionamiento del
control interno.
14. La organización comunica información internamente,
incluyendo objetivos y responsabilidades sobre el control
interno, necesarios para apoyar funcionamiento del control
interno.
15. La organización se comunica con grupos externos con
respecto a situaciones que afectan el funcionamiento del
control interno.
16. La organización selecciona, desarrolla, y realiza
evaluaciones continuas o separadas para comprobar cuándo
los componentes de control interno están presentes y
funcionando.
17. La organización evalúa y comunica deficiencias de control
interno de manera adecuada a aquellos grupos responsables
de tomar la acción correctiva, incluyendo la alta dirección y
el consejo de administración, según sea apropiado.

5.2. Evaluación de los riesgos

Un riesgo es cuando hay probabilidad de que algo negativo suceda o que algo positivo no suceda,
impactando los objetivos (Rodrígo, 2013, p. 57). De ahí la importancia de que la empresa identifique
los riesgos a los que están expuestos, los cuales pueden originarse interna o externamente.

Los riesgos que cualquier organización debe enfrentar pueden dividirse en tres grandes categorías de
acuerdo con su origen o posible ocurrencia: externos, internos y mixtos (Calderón, 2016). Existen
diferentes tipos de riesgos empresariales: los riesgos estratégicos y de negocio, riesgos financieros y
riesgos generales y de apoyo.

En la auditoría operacional o de desempeño, el auditor deberá identificar los riesgos del ente a auditar,
conociendo y evaluando la matriz de riesgos, esta es una herramienta que permite identificar los
riesgos empresariales a los que están expuestos en la organización frente a cada uno de los procesos,
sus causas internas o externas, la descripción, las consecuencias, así como su valoración y control.

Administración del riesgo: en la administración del riesgo se establece la matriz con base en la norma
ISO 31.000 de 2009, en ella se identifica la probabilidad de que haya una posibilidad que pueda
ocurrir el riesgo, identificando la frecuencia y el impacto del riesgo. Es decir, el auditor deberá evaluar
el análisis cualitativo que realiza la organización, junto con el cuantitativo.

POLITÉCNICO GRANCOLOMBIANO 8
Análisis de riesgos de auditoría (inherente, detección y control)

Existe el riesgo de que el auditor exprese una opinión de auditoría inadecuada de forma relevante, a
este riesgo se le denomina riesgo de auditoría. Por ello el auditor debe planear la auditoría reduciendo
el riesgo a nivel aceptable bajo, siendo consistente con el objetivo general de la auditoría operacional.
Existen tres tipos de riesgos en una auditoría: inherente, de control y de detección, los dos primeros
no los puede controlar el auditor y se originan de la entidad a auditar, mientras que el riesgo de
detección es identificado por el auditor operacional o de desempeño.

Riesgo inherente: es la posibilidad inherente a la actividad que realiza la empresa y que existan
errores de importancia relativa en el proceso de contabilidad, independientemente de la existencia de
controles internos en la entidad.

Riesgo de control: es la posibilidad de que existan errores importantes y no son detectados o

corregidos por el sistema de control interno.

Riesgo de detección: es la posibilidad de que existan errores importantes y no son detectados por el
sistema de control interno y por la aplicación de las pruebas adecuada de auditoría.

5.3. Estudio preliminar o planeación estratégica

El estudio preliminar comprende la obtención y análisis de la información de la organización o entidad

pública a auditar, con el fin de que el equipo auditor se documente sobre los antecedentes del tema
a auditar, evaluando las situaciones y deficiencias generales encontradas; este estudio servirá como
instrumento para el desarrollo de las siguientes etapas a examinar, adicional para ajustar los objetivos,
el alcance, el equipo de trabajo, áreas de interés y los costos. En este estudio el auditor deberá
recopilar información relacionada con:

POLITÉCNICO GRANCOLOMBIANO 9
 Operaciones
Operaciones más relevantes de la
Antecedentes organización.
Por qué y para qué se creó la entidad. Manuales de procedimiento.
Objetivos iniciales de la empresa.
Informes técnicos actuales.

Control interno
Marco legal
Manual de auditoría.
Documentos de constitución.
Manuales específicos de control.
Estatutos.
Reglamentos.
Pacto laboral.
Otas leyes y normas que afecten
directamente el desarrollo de las Riesgos
operaciones de la entidad
Mapa de riesgos.
Ocurrencia de los riesgos.
Financiamiento
Presupuesto.
Fuentes de financiamiento.
Relación utilización de los recursos Informes
frente al resultado. Informe de gestión.
Informe administrativo.
Organización Informe financiero.
Organigrama. Informes de auditoría anteriores.
Asignación de responsabilidades.
Autoridad.
Manual de funciones. Tecnología
Reglamento interno. Uso de la tecnología actual.
Proyectos de tecnología.

Figura 2. Información estudio preliminar

Fuente: elaboración propia

5.4. Comprensión de la entidad a auditar

Una vez recolectada la información del estudio preliminar, el auditor adicional deberá estudiar, analizar
y establecer:

a. Los problemas relacionados con la actividad económica y el medio en que se desenvuelve.

b. Los antecedentes encontrados en auditorías anteriores.

c. El mejoramiento frente a los hallazgos identificado en periodos anteriores por las auditorías.

d. La estructura administrativa relacionada con la planeación, organización, dirección y control

del ente.

POLITÉCNICO GRANCOLOMBIANO 10
De acuerdo con la guía de desempeño emitida por la Contraloría General de la República de
Colombia, para diagnosticar y conocer la entidad a auditar de una forma más amplia, el auditor podrá
aplicar las siguientes técnicas:

a. Matriz DOFA y diagrama de verificación de riesgo: se identifican debilidades y fortalezas a

nivel interno y oportunidades y amenazas a nivel externo; identificación de la matriz de riesgo
de la entidad.

b. TASCOI (transformación, actores, suministradores, clientes, owners, intervinientes): se

obtiene información por medio de entrevistas a los directivos de las entidades estableciendo:
¿Qué hace realmente la entidad? ¿Cómo lo hace? ¿Para qué lo hace? ¿Quiénes son sus
propietarios? ¿Cuáles son sus clientes?

c. Desdoblamiento de complejidad: mapa de las actividades primarias de la entidad, análisis de

cada una a nivel estructural (misión, visión, objetivos, actividades y tareas).

d. Análisis stakeholder: identifica los principales grupos de interés, opiniones y conflictos de

intereses, información importante.

e. Espina de pescado: identifica posibles causas de un problema y causas principales.

f. Mapa de procesos: conocer el funcionamiento de los procesos, buenas prácticas,

oportunidades de racionalizar y perfeccionar los procesos

g. Mapa de productos e indicadores de desempeño: se pueden conocer los objetivos principales

de la entidad, representar las relaciones de dependencia entre los productos, responsables de
los productos críticos, elaboración de indicadores de desempeño.

h. Árbol de problemas: identifica los problemas y sus causales que lo explican, causas y
consecuencias del problema, tronco del problema principal.

i. Modelo lógico: identificar los resultados clave, los sistemas y operaciones que los producen,
relacionar objetivos, subobjetivos y los productos.

Al finalizar esta fase de la auditoría operacional, el auditor alcanzará un buen grado de conocimiento
sobre la entidad auditada.

5.5. Selección del área crítica a auditar

POLITÉCNICO GRANCOLOMBIANO 11
Cada entidad con sus directivos y colaboradores deberá identificar las áreas a auditar seleccionando
la más significativa para su evaluación en la auditoría operacional; el auditor será partícipe de acuerdo
con el campo en el que se desempeña. Se tendrán en cuenta las auditorías anteriores de las áreas,
con el fin de verificar su mejoramiento o tomar la decisión de incluirla de nuevo como área crítica.
También de acuerdo con las operaciones que no han sido objeto de verificación en la auditoría
financiera, podrán incluirlas para realizarles un examen operacional, así mismo, la auditoría financiera
sirve de base para seleccionar áreas críticas.

POLITÉCNICO GRANCOLOMBIANO 12
Referencias
Blanco, Y. L. (2012). Auditoría integral: Normas y procedimientos (2.a edición). Ecoe Ediciones.

Contraloría General de la República de Colombia. (2017). Guia de auditoría de desempeño - GAD.

Bogotá: Contraloría General de la República de Colombia.

Fonticiella, M. T. (2005). La auditoría operativa de gestión pública y los organismos de control

externo (OCEX). Innovar, 120-137.

Referencias tablas
Coso (Comittee of Sponsoring Organization of the Treadway Comission). (2013). Componentes del
modelo COSO, concepto y principios. Recuperado de: https://auditoresinternos.es/uploads/media_
items/coso-resumen-ejecutivo.original.pdf

POLITÉCNICO GRANCOLOMBIANO 13
 INFORMACIÓN TÉCNICA

Módulo: Auditoría Operativa

Unidad 3: Fase de planeación en la auditoría operacional
Escenario 5: Fases de la auditoría operacional

Autor: Sonia Patricia Rojas

Asesor Pedagógico: Ana Milena Raga

Diseñador Gráfico: Andrés Felipe Figueroa
Asistente: Julieth Sthefhany Ortiz

Este material pertenece al Politécnico Grancolombiano.

Prohibida su reproducción total o parcial.

POLITÉCNICO GRANCOLOMBIANO 14