Estándares Auditoría Sistemas

Separata Nº 01
Escuela Profesional: Ing. Informática Asignatura: Auditoria de Sistemas

Turno: Noche Ciclo: Décimo
Docente: Ing. Juan Alberto Pérez Quijada Fecha: 12-08-2006
EL CÓDIGO DE ÉTICA PROFESIONAL
La Information Systems Audit and Control Association, Inc. (ISACA) dispuso y

actualizó el código de ética profesional para dirigir la conducta personal y profesional
de los miembros de la asociación y/o de aquellos que cuenten con cualquiera de las
credenciales de certificación internacional de ISACA.
En ese sentido, los miembros, certificados o no, están obligados a cumplir el siguiente
código de ética:
1. Apoyar el establecimiento y cumplimiento apropiado de estándares,

procedimientos y controles en los sistemas de información.
2. Realizar sus deberes con el debido cuidado profesional, objetividad, y
diligencia, de acuerdo con los estándares profesionales y las mejores prácticas.
3. Dar servicio a sus empleadores, accionistas, clientes y público en general en
forma diligente, leal y honesta, manteniendo altos niveles de conducta y no
participar en actividades que desacrediten a la profesión.
4. Mantener la confidencialidad de la información obtenida en el curso de sus
deberes, a menos que el acceso sea requerido por una autoridad legal. Tal
información no será utilizada para la ventaja personal ni será divulgada a
terceros.
5. Mantener la capacidad en sus campos respectivos y acordar emprender
solamente aquellas actividades que razonablemente puede esperar realizarlas
competentemente.
6. Informar a las partes apropiadas los resultados del trabajo realizado,
revelándoles todos los hechos significativos.
7. Apoyar la educación de clientes, gerentes y público en general, para realzar su
comprensión de los sistemas de información, su seguridad y su control.
El cumplimiento del Código de Ética contribuye con el respeto y reconocimiento

mundialmente ganados por ISACA y contribuye al logro de sus fines. La falta de
adherencia al Código del Ética Profesional, de acuerdo a lo establecido por ISACA
Internacional, puede dar lugar a una investigación y, en última instancia, a medidas
disciplinarias.
Docente. Ing. Juan Alberto Pérez Quijada 1

Separata Nº 02

Estándares Internacionales de Auditoría de Sistemas.
La tecnología ha sido percibida en la actualidad en forma global como disparador de

cambios permanentes del ambiente de negocios. Sin embargo, existe una idea
primordial que aparece inmóvil contra esta fuerza tecnológica que implica que las
organizaciones que sobreviven, son aquellas que entregan mas valor verdadero a sus
clientes.
La función de auditoría continúa proporcionando servicios de aseguramiento tanto a

clientes internos como externos. Dado que la tecnología impacta la forma de hacer
negocios, deben haber formas efectivas y sencillas para llevar a cabo la evaluación de
los controles que deben existir para garantizar dicho servicio.
Bajo la premisa anterior, existe un gran interés en el medio por identificar los estándares
internacionales que son utilizados comúnmente por empresas tanto públicas como
privadas. Las dos preguntas más comunes que habría que resolver, ¿Cómo podrían
asegurar las organizaciones, que construyen proyectos de tecnología de información,
cubriendo adecuadamente las necesidades del cliente, en forma eficiente y oportuna y
dentro del presupuesto contemplado? y ¿Cuáles son los estándares que ofrece la
industria?
En ambos sectores, se hacen uso de una serie de estándares que guían el desarrollo de
proyectos de TI, entre ellos se pueden mencionar:
• Directrices Gerenciales de COBIT, desarrollado por la Information Systems

Audit and Control Association (ISACA)
• The Management of the Control of data Information Technology, desarrollado
por el Instituto Canadiense de Contadores Certificados (CICA)
• Administración de la inversión de tecnología de Inversión: un marco para la
evaluación y mejora del proceso de madurez, desarrollado por la Oficina de
Contabilidad General de los Estados Unidos (GAO)
• Los estándares de administración de calidad y aseguramiento de calidad ISO
9000, desarrollados por la Organización Internacional de Estándares (ISO).
• SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por
la Asociación de Contadores Públicos (AICPA) y el CICA
• El Modelo de Evolución de Capacidades de software (CMM), desarrollado por
el Instituto de Ingeniería de Software (SEI)
• Administración de sistemas de información: Una herramienta de evaluación
práctica, desarrollado por la Directiva de Recursos de Tecnología de
Información.

Auditoria de Sistemas
• Guía para el cuerpo de conocimientos de administración de proyectos,
desarrollado por el comité de estándares del instituto de administración de
proyectos.
• Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE
– CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo
de la Universidad de Carnegie Mellon.
• Administración de seguridad de información: Aprendiendo de organizaciones
líderes, desarrollado por la Oficina de Contabilidad General de los Estados
Unidos (GAO)
Alcance de los Estándares.
Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and

Control Association (ISACA):
• Las Directrices Gerenciales son un marco internacional de referencias

que abordan las mejores prácticas de auditoría y control de sistemas de
información. Permiten que la gerencia incluya, comprenda y administre los
riesgos relacionados con la tecnología de información y establezca el enlace
entre los procesos de administración, aspectos técnicos, la necesidad de
controles y los riesgos asociados.
The Management of the Control of data Information Technology, desarrollado por el

Instituto Canadiense de Contadores Certificados (CICA):
• Este modelo está basado en el concepto de roles y establece

responsabilidades relacionadas con seguridad y los controles correspondientes.
Dichos roles están clasificados con base en siete grupos: administración general,
gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así
como proveedores de servicios, desarrollo y operaciones de servicios y soporte
de sistemas. Además, hace distinción entre los conceptos de autoridad,
responsabilidad y responsabilidad respecto a control y riesgo previo al
establecimiento del control, en términos de objetivos, estándares y técnicas
mínimas a considerar.
Administración de la inversión de tecnología de Inversión: un marco para la

evaluación y mejora del proceso de madurez, desarrollado por la Oficina de
Contabilidad General de los Estados Unidos (GAO):
• Este modelo identifica los procesos críticos, asegurando el éxito de las

inversiones en tecnología de información y comunicación electrónicas. Además
los organiza en cinco niveles de madurez, similar al modelo CMM.
Estándares de administración de calidad y aseguramiento de calidad ISO 9000,

desarrollados por la Organización Internacional de Estándares (ISO):
• La colección ISO 9000 es un conjunto de estándares y directrices que

apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el
tipo de trabajo que ellos realizan.

SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la

Asociación de Contadores Públicos (AICPA) y el CICA:
• Este servicio pretende incrementar la confianza de la alta gerencia,

clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa
o actividad en particular. Este modelo incluye elementos como: infraestructura,
software de cualquier naturaleza, personal especializado y usuarios, procesos
manuales y automatizados, y datos. El modelo persigue determinar si un
sistema de información es confiable, (i.e. si un sistema funciona sin errores
significativos, o fallas durante un periodo de tiempo determinado bajo un
ambiente dado).
Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto

de Ingeniería de Software (SEI):
• Este modelo hace posible evaluar las capacidades o habilidades para

ejecutar, de una organización, con respecto al desarrollo y mantenimiento de
sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de
cinco niveles de madurez. Se puede considerar que CMM es la base de los
principios de evaluación recomendados por COBIT, así como para algunos de
los procesos de administración de COBIT.
Administración de sistemas de información: Una herramienta de evaluación práctica,

desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB):
• Este es una herramienta de evaluación que permite a entidades

gubernamentales, comprender la implementación estratégica de tecnología de
información y comunicación electrónica que puede apoyar su misión e
incrementar sus productos y servicios.
Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado

por el comité de estándares del instituto de administración de proyectos:
• Esta guía esta enfocada en las mejores prácticas sobre administración de

proyectos. Se refiere a aspectos sobre los diferentes elementos necesarios para
una administración exitosa de proyectos de cualquier naturaleza. En forma
precisa, este documento identifica y describe las prácticas generalmente
aceptadas de administración de proyectos que pueden ser implementadas en las
organizaciones.
Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE –

CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la
Universidad de Carnegie Mellon:
• Este modelo describe las características esenciales de una arquitectura de

seguridad organizacional para tecnología de información y comunicación
electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en
las organizaciones.

Administración de seguridad de información: Aprendiendo de organizaciones líderes,

desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO):
• Este modelo considera ocho organizaciones privadas reconocidas como

líderes respecto a seguridad en cómputo. Este trabajo hace posible la
identificación de 16 prácticas necesarias para asegurar una adecuada
administración de la seguridad de cómputo, las cuáles deben ser suficientes para
incrementar significativamente el nivel de administración de seguridad en
tecnología de información y comunicación electrónica.
Tendencias de los estándares y de las mejores prácticas.
Es importante considerar la forma en que los estándares y las mejores prácticas van
evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las
organizaciones.
Se ha visto que existen procesos de evolución como a continuación se menciona:
• Evolución en los estándares y marcos referenciales de la madurez de procesos.

• Evolución de estándares de administración de proyectos y de desarrollo de
software comercial.
• Evolución de estándares de software militar.
De igual manera se han visto tendencias en el uso de estándares y mejores prácticas en

el sector gubernamental, los cuáles se dan en función de las nuevas legislaciones,
además de los requerimientos de proyectos como los que se gestaron durante la década
pasada referentes a la conversión para el año 2000.
Conclusión.
Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido
aceleradamente en el sector privado, esto es, dado que se han gestado numerosos
proyectos de sistemas de información que han fracasado, y la dura realidad del
incumplimiento de los mismos con las necesidades propias de los clientes y del negocio
en sí, ha habido un incremento dramático en el número de organizaciones en el sector
privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas,
como su estrategia primordial de supervivencia

Separata Nº 03

MAGU
Sección 700 Visión general.
Sección
720 Planeamiento.
730 Fase de ejecución.
740 Elaboración del informe.
700 Visión general
01. El examen especial es una auditoría de alcance limitado que puede comprender la
revisión y análisis de una parte de las operaciones efectuadas por la entidad, con
el objeto de verificar el adecuado manejo de los recursos públicos, así como el
cumplimiento de la normativa legal y otras normas reglamentarias aplicables.
Puede incluir también una combinación de objetivos financieros, operativos y de
cumplimiento o, restringirse sólo a uno de ellos, dentro de una área o asunto
específico.
02. Mediante el examen especial se verifica en forma específica el:

• Manejo financiero de recursos por una entidad durante un período
determinado, en relación a la normativa legal y normas reglamentarias
aplicables a la gestión examinada.
• Cumplimiento de la ejecución del presupuesto en relación a la normativa legal
y normas reglamentarias.
• Denuncias de diversa índole.
• Cumplimiento de la normativa legal en relación a donaciones recibidas.
• Cumplimiento de la normativa legal en los procesos licitarios para contratación
de obras o adquisición de bienes o servicios.
• Cumplimiento de operaciones de endeudamiento público.
• Cumplimiento de contratos para la adquisición de bienes y/o servicios u obras
públicas celebrados por las entidades.
03. Las fases para llevar a cabo un examen especial son similares al de una auditoría
de gestión, es decir, comprende: planeamiento; ejecución y elaboración del
informe; sin embargo, existen algunos matices de diferencia en cada una de las
etapas del proceso. Las normas de auditoría Gubernamental-NAGU son aplicables
para el planeamiento, ejecución e informe del examen especial. El examen
especial es efectuado por los órganos conformantes del Sistema Nacional de
Control, como parte del trabajo necesario para emitir el informe sobre la Cuenta
General de la República.

04. Como el desarrollo del examen especial se encuentra focalizada en un área o

asunto específico, las actividades que se cumplen durante la fase de planeamiento
consisten, básicamente, en la obtención de un adecuado entendimiento sobre los
aspectos identificados que serán materia de examen, identificación de las líneas de
autoridad y responsabilidad involucradas, el marco legal y normas reglamentarias
aplicables.
05. En la fase de ejecución del examen especial el auditor aplica las pruebas de
auditoría que considere apropiadas en las circunstancias, para obtener evidencia
suficiente, competente y pertinente que soporte los hallazgos identificados(Ver
sección 520 , Parte III). Si en el transcurso de la fase de ejecución el auditor
determina situaciones que se refieren a indicios razonables de comisión de delito,
debe establecer el tipo de responsabilidad que corresponde a los presuntos
implicados, de conformidad con las disposiciones establecidas en las normas de
auditoría gubernamental emitidas por la Contraloría General de la República.
06. La estructura del informe del examen especial es la misma utilizada para el
informe de auditoría de gestión. Como las observaciones se refieren a situaciones
de incumplimiento de la normativa legal o normas o reglamentarias, según
corresponda, éstas son planteadas, generalmente, en un sentido negativo. En el
gráfico N°12 se describe el proceso del examen especial.
720 Planeamiento
01. La fase de planeamiento del examen especial se inicia con la programación de la

entidad a ser examinada y, dentro de ella, el área o asuntos específicos objeto de
examen. El planeamiento provee una estrategia tentativa para orientar los
esfuerzos de auditoría. La programación de un examen especial puede originarse
por:
• planeamiento general de los órganos conformantes del Sistema Nacional

de Control,
• pedido efectuado por los Poderes del Estado
• solicitudes de entidades gubernamentales o,
• denuncias formuladas en los medios de comunicación.
02. La fase de planeamiento de un examen especial comprende las siguientes

actividades:
• Comprensión del área o actividad a ser examinada

• Examen preliminar
• Definición de criterios de auditoría
• Elaboración del memorándum de programación; y,
• Elaboración del plan de examen especial
Comprensión del área o actividad a examinarse

03. La comprensión de la entidad o área a examinar constituye la tarea inicial del
equipo de auditoría designado para llevar a cabo el examen especial e implica la
obtención de información básica para adquirir un apropiado entendimiento de los
aspectos a ser auditados. Esta información puede obtenerse del archivo
permanente de la entidad, informes de auditoría interna y/o externa y, en el caso
de una denuncia escrita, las personas que la plantearon . Podría ser necesario
dentro de la fase de planeamiento, de acuerdo con las circunstancias y la
complejidad de los asuntos a examinar, incluir una etapa de investigación
preliminar y obtención de información en la propia entidad para completar la
preparación del plan de examen especial, en el caso que los trabajos sean
ejecutados por auditores de la Contraloría General.
04. La tarea de comprensión de la entidad o área objeto de examen incluye la

obtención de información sobre:
• Naturaleza y base legal de la entidad.

• Estructura orgánica y líneas de autoridad y responsabilidad en la entidad
o área a examinar.
• Rol en la actividad gubernamental.
• Influencias externas y internas, en relación al asunto por examinar.
Examen preliminar
05. En caso que el archivo permanente de la entidad no contenga información
suficiente en torno a los puntos antes mencionados, especialmente, en lo
concerniente a la organización y funciones y criterios de auditoría a ser utilizados,
puede ser apropiado llevar a cabo dentro de la fase de planeamiento la etapa de
investigación preliminar, orientada a la obtención de información básica
directamente de la entidad a ser examinada (Ver sección 435, parte III).
Identificación de criterios de auditoría

06. Los criterios a utilizarse en el examen tienen relación, generalmente, con la
normativa legal y disposiciones de carácter reglamentario. La identificación de
dicho marco debe llevarse a cabo, con el fin de definir las implicancias legales
que se derivan de las situaciones o actos que serán materia de examen, debiéndose
solicitarse el apoyo del área legal correspondiente. Por esta razón, deben
identificarse los funcionarios y empleados que tuvieron que ver, en una u otra
forma, con el asunto o actividad sujeta a examen es indispensable, para estar en
condiciones de establecer las responsabilidades a que hubiere lugar, de ser el caso.
Memorándum de programación y plan de examen especial

07. Como resultado de las tareas de planeamiento se elabora el memorándum de
programación que es el documento de soporte de las principales decisiones
adoptadas, con respecto a los objetivos, alcance y metodología a utilizar en la
ejecución del examen especial. La fase de planeamiento concluye con la
formulación del plan del examen.

08. El plan de examen especial contiene algunos de los elementos establecidos en el
plan de auditoría para la ejecución de una auditoría de gestión. Su estructura es la
siguiente:
• Origen del examen
• Antecedentes de la entidad y de los asuntos que serán examinados.
• Objetivos y alcance del examen
• Criterios de auditoría a utilizar
• Programa de procedimientos a ejecutar en el examen
• Recursos de personal y especialistas en caso necesario
• Información administrativa
− Presupuesto de tiempo
− Informes a emitir y fecha de entrega
− Formato tentativo del informe
09. El origen del examen se refiere a los motivos que han generado su ejecución,
cuyas razones principales se explican en el párrafo 1º. En el rubro antecedentes de
la entidad o asuntos que serán examinados, se describe en resumen aquellos
elementos que denotarían la existencia de situaciones problemáticas en las áreas
objeto de examen.
10. Los objetivos del examen se refiere a lo que desea lograrse, como consecuencia de
la ejecución del examen. El entendimiento de los objetivos del examen por parte
del equipo de auditoría, es esencial para que éste tenga éxito. En caso de duda, es
conveniente que el auditor recurra a otros niveles de decisión para obtener una
apropiada explicación sobre lo que desea lograrse. El auditor debe identificar las
características específicas del asunto o actividad por examinar y las
particularidades del medio ambiente en que ocurrieron los hechos. La
identificación del período a examinar y la profundidad del trabajo a ejecutar son
factores importantes para establecer el alcance del examen, en función al asunto
por evaluar.
11. Los criterios de auditoría identifican las normas legales y reglamentarias o normas
de los sistemas administrativos que la entidad se encuentra obligada a cumplir
para el desarrollo de sus actividades y operaciones. Este marco debe corresponder
a la normatividad que se encontraba vigente a la fecha en que ocurrieron los
asuntos que serán examinados por el equipo de auditoría.
12. El rubro recursos de personal del plan debe describir las características
profesionales de los miembros del equipo auditor y sus cargo, así como los
especialistas que fueran necesarios para el desarrollo de los trabajos. La
información administrativa constituye el punto final del plan de examen, en cuyo
contenido debe describirse el número de horas programadas (presupuesto de
tiempo), los informes a emitir y el formato del informe (Ver sección 650, parte
III).
13. El memorándum de programación y el plan de examen especial son preparados

por el auditor encargado y supervisor en forma conjunta. Tales documentos deben
ser aprobados por el nivel gerencial para el caso de la Contraloría General de la

República, como paso previo al inicio de la fase de ejecución. En los Órganos de
Auditoría Interna, la aprobación de tales documentos es responsabilidad del
funcionario a cargo de su jefatura.
14. El programa de procedimientos describe los pasos a seguir durante la fase de

ejecución del examen especial, a fin de dar cumplimiento a los objetivos
programados, y al mismo tiempo proporcionar una base apropiada para la
asignación de tareas al equipo de auditoría responsable.
730 Fase de Ejecución
01. Con el desarrollo de los programas de auditoría se inicia la fase ejecución del
examen especial, cuyo propósito es obtener la evidencia suficiente, competente y
pertinente, en relación a los asuntos o hechos evaluados. Esta fase se lleva a cabo
de conformidad con los lineamientos expuestos en la NAGU 2.30 "Programa de
Auditoría", parte II (Auditoría Financiera) y parte III (Auditoría de Gestión) de
este Manual.
02. Algunas veces, la naturaleza del examen especial a ejecutar puede ser de índole
repetitiva en varias entidades. En estos casos, podría adaptarse un programa
modelo o pre establecido, con los ajustes indispensables por las particularidades
de cada entidad.
Ejemplo: verificación del cumplimiento de las disposiciones que regulan la

adquisición de bienes y servicios bajo las modalidades establecidas por la ley de
presupuesto general de la República.
03. En otras oportunidades durante el desarrollo de una auditoría financiera o de

gestión en una entidad puede decidirse llevar a cabo un examen especial de un
asunto específico. En tal caso, es conveniente llevar a cabo las coordinaciones
pertinentes, de modo de integrar los procedimientos de auditoría y, de ser posible,
que las evaluaciones concernientes al examen especial sean llevadas a cabo por el
mismo equipo a cargo de la auditoría. De esta manera se minimiza los
inconvenientes a la entidad auditada, tales como duplicidad en las solicitudes de
información y ejecución de pruebas de auditoría, así como la sensación de
imprevisión y/o falta de coordinación interna.
04. El equipo encargado debe tener presente que los programas de auditoría en
determinadas circunstancias, pueden ser modificados durante la fase de ejecución
del examen, por situaciones tales como que un control en el cual nos apoyamos
para reducir el alcance de nuestras pruebas, resultó apropiado sólo durante una
parte del período o, un posible hallazgo de auditoría que no resulta de
significación frente a otros, detectados durante la búsqueda de evidencias.
05. Como fue especificado en la sección 195, Parte II y sección 660, Parte III de este
Manual la formulación de un programa involucra:
• Establecer objetivos de la auditoría y los criterios consiguientes, de ser

necesario.

• Especificar la evidencia a ser obtenida.
• Definir los procedimientos para obtener y probar la evidencia.
• Ajustar los requerimientos de personal y otros recursos para el examen.
06. Basado en los resultados obtenidos en la prueba preliminar, el auditor llevará a

cabo los procedimientos de detalle especificados en el programa de
procedimientos. El alcance de tales procedimientos debe estar basado en los
resultados del planeamiento y las decisiones en torno a la suficiencia, competencia
y pertinencia de la evidencia requerida para sustentar el informe.
07. Entre los procedimientos de auditoría mas utilizados en los exámenes especiales
figuran:
• Declaraciones de funcionarios.
• Confirmaciones.
• Inspecciones físicas.
• Revisión documentaría.
Declaraciones de funcionarios o empleados
08. Las declaraciones obtenidas de los funcionarios y empleados de la entidad, en el

curso de investigaciones o entrevistas, debe ser siempre por escrito y firmadas por
el autor de las mismas. Debe considerarse la expresión libre de los declarantes, a
quienes debe permitírseles la revisión del borrador del texto de su declaración y
su firma a continuación del párrafo final siguiente:
"He leído íntegramente el contenido del presente documento, considerando que el
mismo refleja fielmente mis declaraciones en relación al .......(asunto, entidad) y
firmo la presente en señal de conformidad".
Las declaraciones deben siempre corroborar los resultados de otros

procedimientos aplicados por los auditores en relación al asunto evaluado.
09. Cuando se considere apropiado revelar indicios y/o actos relacionados con ilegales
o irregulares debe solicitarse la asesoría legal pertinente, de modo de evitar
situaciones que se deriven de la falta de respaldo de las observaciones. Los
Órganos de Auditoría Interna son responsables de obtener la operación legal
correspondiente, como paso previo a la emisión del informe especial que hubieren
elaborado en el cumplimiento de su trabajo.
Confirmaciones
10. Las confirmaciones son procedimientos destinados a corroborar la información
obtenida de la entidad, a través de aquella obtenida de la contraparte externa de la
transacción ocurrida. En el siguiente cuadro se presentan algunos ejemplos sobre
el tema:
Rubro Confirmar de:
• Cuentas por cobrar Clientes
• Cuentas por pagar Proveedores
• Bancos Entidad bancaria
• Bienes o valores en custodia Entidad examinada
• Donaciones recibidas Donante
Donatario

• Donaciones concedidas Dirección general Presupuesto
• Saldos presupuestarios Registros públicos
• Propiedad inmueble
11. Al requerir la confirmación, el auditor debe adoptar las precauciones necesarias

para asegurarse que la respuesta sea remitida directamente a su persona. En caso
de no recibir respuesta a la solicitud de confirmación, deberá remitirse un segundo
requerimiento y, de no obtenerse respuesta, debe aplicar procedimientos
alternativos para asegurarse de la validez de la información proporcionada por la
entidad.
12. Si los procedimientos alternativos no confirman la información en evaluación, el

auditor debe considerar al mismo como punto especial de atención y ahondar su
investigación hasta quedar satisfecho del mismo y definir su inclusión en el
informe.
Inspección física
13. La inspección física es empleada por el auditor para cerciorarse mediante
percepción sensorial y/o pruebas especiales, de la existencia de un activo o bien en
poder de una entidad. El arqueo de efectivo y/o valores y el inventario de bienes
en almacén y/o de activo fijo, constituyen la aplicación práctica de esta técnica.
14. Debe siempre tenerse en cuenta que la percepción sensorial está referida a los
cinco (5) sentidos con que está dotado el ser humano.
Por ejemplo: La determinación de la existencia de ciertas sustancias requerirán

una combinación de percepción visual (color), olfativa (olor), gustativa (sabor),
táctil (textura) mas las pruebas de laboratorio que se estime necesarias.
Revisión documentaría
15. La revisión documentaría es, probablemente, el procedimiento mas utilizado en un
examen especial. Partiendo de la premisa que cada paso, fase o etapa de una
transacción debe dejar siempre una huella documental -bien sea por la emisión de
un documento o por anotaciones en el mismo (V°B°, afectaciones a cuentas, pases
a otros departamentos, informes, etc.), es posible reconstruir una transacción en
base a la documentación disponible y llegar a conclusiones sobre faltantes
documentarios, de autorizaciones, procedimientos omitidos y/o falta de
oportunidad de los mismos, transgresiones a la normatividad vigente y otros.
16. La revisión documentaría constituye un complemento excelente de la inspección

física, pues ésta última aporta evidencia en torno a la existencia física de los
bienes, lo cual no puede ser proporcionado a través del primer procedimiento.
17. Los procedimientos descritos y otros que considere necesario llevar a cabo el
auditor, deben permitirle establecer conclusiones en relación a los objetivos del
examen. Para este propósito, obtenida la evidencia, debe evaluarse la misma para
definir su competencia, pertinencia y suficiencia, conforme a lo tratado en las
partes II y III de este Manual.

18. A continuación, el auditor debe evaluar la evidencia contra el criterio acordado

para cada objetivo, teniendo en consideración:
• La necesidad de confirmar o modificar las premisas establecidas durante la fase

planeamiento.
• El desarrollo de conclusiones relativas a los objetivos de auditoría.
• El sustento apropiado del trabajo llevado a cabo y de las observaciones y
conclusiones formuladas.
Desarrollo de hallazgos de auditoría

19. Se denomina hallazgo de auditoría al resultado de la comparación realizado entre
un criterio y la situación actual encontrada durante el examen. Es toda
información que a juicio del auditor le permite identificar hechos o circunstancias
importantes que inciden en la gestión de los recursos en la entidad bajo examen y,
que por su naturaleza merecen ser comunicados en el informe (Ver sección 560,
Parte II).
20. Los hallazgos de auditoría están relacionados con asuntos significativos e incluyen
información (evidencia) suficiente, competente y pertinente, que emerge de la
evaluación practicada en la entidad bajo examen. Generalmente, los hallazgos
corresponden a cualquier situación deficiente que se determina como
consecuencia de la aplicación de procedimientos de auditoría. Sus elementos son:
condición, criterio, causa y efecto (Ver sección 560 de la parte III).
21. Los resultados de las evaluaciones efectuadas y las conclusiones deben ser
documentados apropiadamente, confirmando que:
• Los procedimientos programados han sido llevados a cabo satisfactoriamente.

• Los cambios a la programación inicial están plenamente identificados y
autorizados.
• Están plenamente identificadas las causas y los efectos de las condiciones
observadas.
22. Tratándose de hallazgos negativos, el auditor debe desarrollar recomendaciones,

señalando la necesidad de efectuar mejoras, teniendo en cuenta su análisis de las
causas y efectos en las condiciones identificadas. A este respecto, debe tener en
cuenta:
• La factibilidad y costo de adoptar la recomendación (relación costo-

beneficio).
• Cursos alternativos de acción.
• Efectos positivos y negativos que podrían resultar de la implementación de la
recomendación.
24. Sin perjuicio de las coordinaciones llevadas a cabo con los funcionarios y
empleados de la entidad tendente a dilucidar las condiciones negativas

determinadas, antes de concluir esta fase el auditor debe dar cumplimiento a la
NAGU 3.60 "Comunicación de hallazgos".
25. La comunicación de los hallazgos debe ser por escrito, guardando las
formalidades necesarias para otorgar el derecho de ejercer su legítima defensa a
los funcionarios y empleados comprendidos en las observaciones, incluyendo aún
a aquellos que ya no laboran en la entidad. En caso de no ser posible su ubicación,
deberá emplearse el Diario Oficial "El Peruano" u otro de mayor circulación en la
ciudad donde esté ubicada la entidad.
26. Para comunicar las hallazgos debe evaluarse apropiadamente su materialidad y

señalarse un plazo perentorio a los funcionarios o empleados de la entidad
involucrados en las observaciones para la recepción de descargos documentados,
de conformidad con las normas establecidas para tal efecto. Los descargos
presentados deben ser debidamente evaluados, poniéndose énfasis en los juicios
formulados y en la documentación alcanzada no vista durante el examen. La no
presentación de descargos debe revelarse en la parte pertinente del informe.
27. La NAGU 4.40, III (Observaciones) 5, estipula que si durante el examen el auditor
determina la existencia de indicios razonables de comisión de delito, de proceder a
deslindar (señalar) el tipo de responsabilidad que corresponda a los presuntos
implicados, contando para ello con la opinión de la asesoría legal. La ley del
Sistema Nacional de Control (Decreto Ley 26162) precisa que existen tres tipos de
responsabilidades:
• Responsabilidad administrativa: es aquella en la que incurren los servidores y

funcionarios públicos que, en el ejercicio de sus funciones, desarrollaron una
gestión deficiente o negligente. La calificación de gestión deficiente o
negligente se adopta teniendo en cuenta lo siguiente:
a. Que no se hayan logrado resultados razonables en términos de
eficiencia, eficacia o economía teniendo en cuenta los planes y
programas aprobados y su vinculación con las políticas del sector a que
pertenecen.
b. Que no realicen una gestión transparente y no hayan vigilado que los
sistemas operativos, administrativos y de control estén funcionando
adecuadamente.
c. Que no respeten la independencia de la auditoría interna.
d. Que no agoten todas las acciones posibles para preservar los bienes y
recursos de la entidad a que pertenecen.
Incurren en responsabilidad administrativa igualmente, los que han contravenido
el ordenamiento jurídico-administrativo y las normas internas de la entidad a que
pertenecen.
• Responsabilidad civil: es la que incurren los servidores y funcionarios públicos
que en el ejercicio de sus funciones hayan ocasionado un daño económico a su
entidad o al Estado.
• Responsabilidad penal: es la que incurren los servidores o funcionarios
públicos que en el ejercicio de sus funciones han efectuado un acto u omisión
tipificada como delito o falta.

28. Según la NAGU 4.60, cuando durante la fase de ejecución se evidencien indicios
razonables de comisión de delito en los asuntos materia de examen, en cautela de
los intereses del Estado, el auditor sin perjuicio de la continuidad de su trabajo,
debe emitir con la celeridad del caso, un informe especial, con el sustento técnico
y legal correspondiente, para que se efectúen en forma inmediata las acciones
pertinentes en las respectivas instancias. Las instancias a las que debe informarse
son las siguientes:
• Procuraduría: auditorías realizadas por la Contraloría General de la República.

• Fiscalías y/o Procuraduría: exámenes efectuados por los Órganos de Auditoría
adscrita al sector Interna y Sociedades de Auditoría designadas.
• Contraloría General: copia del informe especial de la República elaborado por
el Órgano Auditoría Interna o Sociedad de Auditoría designada.
• Titular de la entidad: copia del informe especial, siempre que no se encuentre
comprendido en los indicios razonables de comisión de delito.
29. La carta de representación (NAGU 3.70) constituye una mutua salvaguarda, para
el auditor y el auditado, por cuanto este último reconoce haber puesto a
disposición la documentación requerida para el examen, así como cualquier hecho
significativo ocurrido hasta la terminación de la fase ejecución. La negativa de la
entidad para otorgar la carta de representación deber revelarse en el informe.
740 Elaboración del informe
01. El informe representa el producto final del trabajo del auditor y en él se presentan
sus observaciones, conclusiones y recomendaciones, expresadas en juicios
fundamentados como consecuencia del análisis de las evidencias obtenidas
durante la fase de ejecución.
02. En esta fase el auditor comunica a los funcionarios de la entidad objeto de la

auditoría, los resultados obtenidos presentados como deficiencias significativas y
las recomendaciones para promover mejoras en la ejecución de las operaciones, a
fin que la administración adopte medidas correctivas y evite su ocurrencia en el
futuro.
03. Las características y la estructura del informe, básicamente, se encuentra

establecida por la NAGU 4.40 Contenido del informe y por la sección 650, parte
III de este Manual. Por lo tanto, el contenido de un informe de examen especial es
el siguiente:
• Síntesis gerencial
• Introducción
• Conclusiones
• Observaciones y Recomendaciones
• Anexos
04. La síntesis gerencial tiene como objetivo hacer que el informe de examen especial
sea de mayor utilidad para los usuarios del informe. En su contenido la síntesis

debe presentar en forma exacta, clara y justa los aspectos más importantes del
informe, a fin de evitar errores de interpretación.
05. La introducción del informe proporciona al usuario de éste datos importantes

relativos a la entidad bajo examen, los que brindan una base apropiada para
comprender con mejor claridad el mensaje que comunica dicho documento. En
su contenido se incluyen: Motivo del examen, Objetivos y alcance, Antecedentes
y base legal de la entidad y comunicación de hallazgos de auditoría.
06. La conclusión es el juicio del auditor basado en la observación formulado como

resultado del examen practicado. En caso necesario, la conclusión debe precisar la
naturaleza de la responsabilidad incurrida por los funcionarios o servidores
públicos en el ejercicio de sus funciones. Cuando la responsabilidad identificada
sea de carácter penal, el auditor debe revelar los hechos detectados en términos de
presunción de indicios razonables de comisión de delito; debiendo obtener el
asesoramiento legal que corresponda.
07. Las observaciones están constituidas por las deficiencias o incumplimientos a la

normativa legal y otras normas reglamentarias identificadas durante el examen
que, en determinados casos requerirán la adopción de correctivos por parte de los
funcionarios de la entidad y, en otros, generarán responsabilidades específicas que
se derivan de las evidencias obtenidas durante la fase de ejecución.
08. El informe de examen especial debe reflejar solamente los comentarios sobre
observaciones significativas, debiendo los asuntos de menor importancia ser
comunicados por el auditor mediante un memorándum para que la entidad adopte
las medidas que considere pertinente. Debe ponerse especial cuidado en la
presentación de la relación de funcionarios comprendidos en las observaciones, a
fin de evitar errores en la identificación de las responsabilidades que les compete
por su gestión.
09. El informe de examen especial debe incluir los comentarios y aclaraciones por
escrito presentados por los funcionarios de la entidad comprendidos en las
observaciones. Esta información debe ser evaluada por el auditor e incluida en
forma breve en el informe, sin dejar de reflejar el sentido de los comentarios o
aclaraciones. También debe incluirse la opinión del auditor que resulte de la
evaluación de tales argumentos.
10. Las recomendaciones se refieren a las acciones correctivas sugeridas por el auditor
con el fin de corregir la deficiencia identificada. Deben estar dirigidas a los
funcionarios que tengan competencia para disponer la adopción de correctivos y
encaminadas a superar la causa del problema detectado. La elevación y remisión
del informe se sujeta a lo dispuesto en la sección 685, parte III de este Manual.

Separata Nº 04

ESTRUCTURA DEL INFORME
Titulo: Planificación de una Auditoria
1. Preliminares
a. Acreditar la lectura de documentos relacionados al negocio.
b. Acreditar la revisión de documentos de gestión del negocio
c. Entrevistas a las personas claves del negocio a fin de determinar problemas
d. Acreditar la revisión de informes de auditoria anteriores
2. Normatividad
a. Determinación de la normatividad legal aplicable al negocio (Leyes,
normatividad, otros)
b. Objetivos del negocio.
c. Determinación de responsabilidades (funciones) en el negocio (MOF)
d. Determinación de la correlación funcional de las áreas del negocio (en que
medida la que realiza una área afecta a otra).
3. Administración del Riesgo

a. Identificar los activos de información importantes (hardware, software, bases de
datos, redes, instalaciones, personas, etc) para lograr los objetivos del negocio.
b. Seleccionar aquellos activos que resulten los más sensitivos o críticos.
c. Evaluar por cada activo sensitivo o crítico:
a. Amenazas: vulnerabilidades de los procesos y/o activos de información.
b. Impacto: sobre los activos basados en sus amenazas y vulnerabilidades
c. Probabilidad de amenaza: combinación de la probabilidad y la frecuencia
que ocurran).
En general los riesgos del negocio son las amenazas que pueden tener un impacto
sobre los activos o sobre los procesos u objetivos de un negocio u organización
especifica, la naturaleza de la amenaza pueden ser financiera, regulatoria u
operacional y puede surgir como resultado de la interacción del negocio con su
ambiente, o como resultado de las estrategias, sistemas, y tecnología particular,
procesos, procedimientos e información usada por el negocio.
d. Realizar un análisis del riesgo, para identificar los riesgos y para

determinar la probabilidad de ocurrencia, el impacto resultante y las
medidas adicionales que mitigaran este impacto a un nivel considerado
aceptable por la gerencia.

e. Usando el COBIT, determinar los controles que mitigaran los riesgos

identificados. Estos controles son medidas preventivas para la mitigación
del riesgo que debería prevenir o reducir la probabilidad de que ocurra
un evento de riesgo, detecte la ocurrencia del evento de riesgo y
minimice el impacto o transfiera el riesgo a otra organización.
f. Determinar los Objetivos de Control implementados por la entidad:
i. Controles internos; Preventivos, de detección, correctivos.
ii. Objetivos de Control
1. Procedimientos de control (políticas y prácticas)
iii. Objetivos de Control de los sistemas de información
1. Procedimientos de control (políticas y prácticas (tareas y
actividades)
iv.
g. Determinar los puntos de control a evaluar de los objetivos de control
h. Determinar los Objetivos de Auditoria
i. Presentar las pruebas a utilizar (de cumplimiento, o sustantivas)

Separata Nº 05

EL SISTEMA DE CONTROL INTERNO Y LA AUDITORÍA
01. Desde hace varias décadas la gerencia moderna ha implementado nuevas formas
para mejorar los controles en las empresas del sector privado. Ello es importante tener
en cuenta, por cuanto el control interno tiene una vinculación directa con el curso que
debe mantener la empresa hacia el logro de sus objetivos y metas. El control interno no
puede existir si previamente no existen objetivos, metas e indicadores de rendimiento.
Si no se conocen los resultados que deben lograrse, es imposible definir las medidas
necesarias para alcanzarlos y evaluar su grado de cumplimiento en forma periódica; así
como minimizar la ocurrencia de sorpresas en el curso de las operaciones. En esta
sección se discute el concepto de Control Interno en el marco de una gerencia moderna,
así como su importancia en el desarrollo de las labores de auditoría.
DEFINICIÓN DE CONTROL
02. El Diccionario de la Lengua Española de la Real Academia considera que el término

control tiene dos acepciones:
− Inspección, fiscalización, intervención; y,
− dominio, mando, preponderancia.
03. Aun cuando el primer concepto podría asociarse con la auditoría; la segunda
acepción sobre dominio o mando, define con mayor precisión al control interno
gerencial. Por ello, tratar de discutir sobre el tema del control o materializar su
existencia, es tan difícil como pretender hacerlo con el alma del ser humano que, a pesar
de ser un ente de carácter abstracto, su existencia no es negada.
04. Controlar es una acción, en la medida en que sea tangible y, consecuentemente, el
efecto que produce pueda medirse. Al igual que el espíritu es inherente al cuerpo
humano, el control lo es a la entidad como ente concreto y, específicamente a la
administración, personificada en sus órganos de dirección y gerencia.
05. En auditoría, el término control interno comprende la organización, políticas y
procedimientos adoptados por los directores y gerentes de las entidades para administrar
las operaciones y promover el cumplimiento de las responsabilidades asignadas para el
logro de los resultados deseados.
06. El control interno es efectuado por diversos niveles, cada uno de ellos con
responsabilidades importantes. Los directivos, la gerencia y los auditores internos y
otros funcionarios de menor nivel contribuyen para que el sistema de control interno
funcione con efectividad, eficiencia y economía. Una estructura de control interno
sólida es fundamental para promover el logro de sus objetivos y la eficiencia y
economía en las operaciones de cada entidad.

07. Ninguna estructura de control interno, por muy óptima que sea, puede garantizar por
si misma, una gestión eficiente y registros e información financiera integra, exacta y
confiable, ni puede estar libre de errores, irregularidades o fraudes, especialmente,
cuando aquellas tareas competen a cargos de confianza. Por ello mantener una
estructura de control interno que elimine cualquier riesgo, puede resultar un objetivo
imposible y, es probable que, más costoso que los beneficios que se considere obtener
de su implementación.
08. Los cambios en la entidad y en la dirección pueden tener impacto sobre la
efectividad del control interno y sobre el personal que opera los controles. Por esta
razón, la dirección debe evaluar periódicamente los controles internos, informar al
personal de los cambios que se implementen y, dar un buen ejemplo a todos
respetándolos.
EL CONTROL INTERNO EN EL SECTOR PÚBLICO
09. Desde la primera definición del control interno establecida por el Instituto
Americano de Contadores Públicos Certificados-AICPA en 1949 y hasta su
modificación efectuada por el SAS N°55 en 1988, este concepto no sufrió cambios
importantes hasta 1992, cuando la Comisión Nacional sobre Información Financiera
Fraudulenta en los Estados Unidos, conocida como la Comisión Treadway, establecida
en 1985 como uno de los múltiples actos legislativos y acciones que se derivaron de las
investigaciones sobre el caso Watergate, emite el documento denominado Marco
Integrado del Control Interno (Framework Internal Control Integrated), el cual
desarrolla con mayor amplitud el enfoque moderno del control interno en el documento
conocido como el Informe COSO (Committee of Sponsoring Organizations of the
Treadway Commission).
10. El informe COSO, brinda el enfoque de una estructura común para comprender al
control interno, el cual puede ayudar a cualquier entidad a alcanzar logros en su
desempeño y en su economía, prevenir pérdidas de recursos, asegurar la elaboración de
informes financieros confiables, así como el cumplimiento de las leyes y regulaciones,
tanto en entidades privadas, como en públicas. El concepto de control interno discurre
por cinco componentes: 1) ambiente de control, 2) evaluación del riesgo, 3) actividades
de control 4) información y comunicación; y, 5) supervisión,
11. Estos componentes se integran en el proceso de gestión y operan en distintos niveles
de efectividad y eficiencia, los que permiten que los directores se ubiquen en el nivel de
evaluadores de los sistemas de control, en tanto que los gerentes que son los verdaderos
ejecutivos, se posicionen como los propietarios del sistema de control interno, a fin de
fortalecerlo y dirigir los esfuerzos hacia el cumplimiento de sus objetivos.
12. En el ámbito público, después de haber sido materia de discusión el tema del control
interno en sucesivos Congresos internacionales, en 1971 se define el concepto de
control interno. Ello ocurre en el Seminario Internacional de Auditoría Gubernamental
realizado en Austria en 1971, bajo el patrocinio de la Organización de Naciones Unidas
e INTOSAI (siglas en inglés de la Organización Internacional de Instituciones
Superiores de Auditoría), definiéndose el control interno de la siguiente manera:
es... El plan de organización y el conjunto de medidas y métodos coordinados,
adoptados dentro de una entidad pública para salvaguardar sus recursos, verificar la
exactitud y el grado de confiabilidad de sus datos contables, promover la eficiencia en
las operaciones y estimular la observación de la política...

13. El interés por este tema en la década de los 70' respondía a dos hechos importantes:
en primer lugar, el sector público había crecido de manera significativa en los países en
desarrollo, tanto en magnitud como en volumen de operaciones, y, en segundo lugar, las
entidades públicas eran muy reacias a efectuar cambios para disponer de una
administración moderna y eficaz, a pesar que se encontraban en un escenario distinto.
14. Con ocasión del XII Congreso Mundial de Entidades Superiores de Auditoría
realizado en Washington, en 1992, se aprueban las directrices del control interno que
fueron elaboradas por la Comisión de Normas de Control interno integrada por diversas
Instituciones Superiores de Auditoría-ISA's. Estas directrices fueron instituidas, con el
propósito de fortalecer la gestión financiera en el sector público, mediante la
implementación de controles internos efectivos. En su contenido se define con claridad
los objetivos del control interno en el ámbito público, así como las responsabilidades de
cada entidad en la creación, mantenimiento y actualización de su estructura de control
interno.
15. INTOSAI, establece que la estructura de control interno es el conjunto de planes,
métodos, procedimientos y otras medidas, incluyendo la actitud de la dirección que,
dispone una institución para ofrecer una garantía razonable de que han sido cumplidos
los siguientes objetivos: a) preservar las operaciones metódicas, económicas, eficientes
y eficaces y los productos y servicios de calidad, acorde con la misión que la institución
debe cumplir; b) preservar los recursos frente a cualquier pérdida por despilfarro, abuso,
mala gestión, errores, fraude e irregularidades; c) respetar las leyes, reglamentos y
directivas de la dirección; y, d) elaborar y mantener datos financieros y de gestión
fiables y presentarlos correctamente en informes oportunos.
DEFINICIÓN DE CONTROL INTERNO
16. Control interno, es una expresión que utilizamos con el fin de describir las acciones
adoptadas por los directores de entidades, gerentes o administradores, para evaluar y
monitorear las operaciones en sus entidades. Por ello, a fin de lograr una adecuada
comprensión de su naturaleza y alcance, a continuación se define el término Control
Interno tal como lo establecen las normas de control interno para el sector público:
Es un proceso continuo realizado por la dirección, gerencia y otros empleados de la

entidad, para proporcionar seguridad razonable, respecto a sí están lográndose los
objetivos siguientes:
− Promover la efectividad, eficiencia y economía en las operaciones y, la
calidad en los servicios;
− Proteger y conservar los recursos públicos contra cualquier pérdida,
despilfarro, uso indebido, irregularidad o acto ilegal;
− Cumplir las leyes, reglamentos y otras normas gubernamentales; y,
− Elaborar información financiera válida y confiable, presentada con
oportunidad.
− Promoción de la efectividad, eficiencia y economía en las operaciones y, la
calidad en los servicios
17. Este objetivo se refiere a los controles internos que adopta la administración para
asegurar que se ejecuten las operaciones de acuerdo a criterios de efectividad, eficiencia
y economía. Tales controles comprenden los procesos de planeamiento, organización,

dirección y control de las operaciones en los programas, así como sistemas de medición
de rendimiento y monitoreo de las actividades ejecutadas.
18. La efectividad tiene relación directa con el logro de los objetivos y metas
programados, en tanto que la eficiencia se refiere a la relación existente entre los bienes
y servicios producidos y recursos utilizados para producirlos (productividad) y su
comparación con un estándar de desempeño establecido. La economía, se relaciona con
la adquisición de bienes y/o servicios en condiciones de calidad, cantidad apropiada y
oportuna entrega, al mínimo costo posible.
19. La evaluación de los programas de control de calidad en el sector público debe
permitir apreciar si los esfuerzos desarrollados para obtener mejoras incrementales en
las actividades que desarrollan las entidades son razonables y tienen un impacto directo
en el público beneficiario, así como es factible medir el incremento de la productividad
en el trabajo y la disminución en los costos de los servicios que brinda el Estado.
Protección y conservación de los recursos contra cualquier pérdida, despilfarro,

uso indebido, acto irregular o ilegal
20. Este objetivo está relacionado con las medidas adoptadas por la administración para
prevenir o detectar operaciones no autorizadas, acceso no autorizado a recursos o,
apropiaciones indebidas que podrían resultar en pérdidas significativas para la entidad,
incluyendo los casos de despilfarro, irregularidades o uso ilegal de bienes o recursos
públicos.
21. Los controles para la protección de activos no están diseñados para cautelar las
pérdidas derivadas de actos de ineficiencia gerencial, como por ejemplo, adquirir
equipos innecesarios o insatisfactorios.
Cumplimiento de leyes, reglamentos y otras normas gubernamentales

22. Este objetivo se refiere a que los administradores gubernamentales, mediante el
dictado de políticas y procedimientos específicos, aseguran que el uso de los recursos
públicos sea consistente con las disposiciones establecidas en las leyes y reglamentos,
así como concordante con las normas relacionadas con la gestión gubernamental.
Elaboración de información financiera válida y confiable, presentada con

oportunidad
23. Este objetivo tiene relación con las políticas, métodos y procedimientos dispuestos
por la administración para asegurar que la información financiera elaborada por la
entidad es válida y confiable, al igual que se revela razonablemente en los informes.
Una información es válida porque se refiere a operaciones o actividades que ocurrieron
y que tienen las condiciones necesarias para ser consideradas como tales; en tanto que
una información confiable es aquella que merece la confianza de quien la utiliza.
ESTRUCTURA DEL CONTROL INTERNO

24. Se denomina estructura de control interno al conjunto de planes, métodos,
procedimientos y otras medidas, incluyendo la actitud de la dirección de una entidad,
para ofrecer seguridad razonable respecto a que están lográndose los objetivos del
control interno. El concepto moderno del control interno discurre por sus componentes
y diversos elementos, los que se integran en el proceso de gestión y operan en distintos
niveles de efectividad y eficiencia. Una estructura sólida del control interno es

fundamental para promover la efectividad y eficiencia en las operaciones de cada
entidad.
COMPONENTES DE LA ESTRUCTURA DEL CONTROL INTERNO
25. Los componentes pueden considerarse como un conjunto de normas que son
utilizadas para medir el control interno y determinar su efectividad. Para operar la
estructura (también sistema) de control interno se requiere de los siguientes
componentes:
− Ambiente de Control Interno
− Evaluación del Riesgo
− Actividades de Control gerencial
− Sistema de información y comunicación.
− Actividades de Monitoreo
Ambiente de control interno

26. Se refiere al establecimiento de un entorno que estimule e influencie las tareas del
personal con respecto al control de sus actividades; el que también se conoce como el
clima en la cima. En este contexto, el personal resulta ser la esencia de cualquier
entidad, al igual que sus atributos individuales como la integridad y valores éticos y el
ambiente donde operan, constituyen el motor que la conduce y la base sobre la que todo
descansa. El ambiente de control tiene gran influencia en la forma en que son
desarrolladas las operaciones, se establecen los objetivos y estiman los riesgos.
Igualmente, tiene relación con el comportamiento de los sistemas de información y con
las actividades de monitoreo.
27. Los elementos que conforman el ambiente interno de control son los siguientes:
− Integridad y valores éticos;
− Autoridad y responsabilidad;
− Estructura organizacional; y
− Políticas de personal;
Evaluación del riesgo.

28. El riesgo se define como la probabilidad de que un evento o acción afecte
adversamente a la entidad. Su evaluación implica la identificación, análisis y manejo de
los riesgos relacionados con la elaboración de estados financieros y que pueden incidir
en el logro de los objetivos del control interno en la entidad. Estos riesgos incluyen
eventos o circunstancias que pueden afectar el registro, procesamiento y reporte de
información financiera, así como las representaciones de la gerencia en los estados
financieros. Esta actividad de auto-evaluación que practica la dirección debe ser
revisada por los auditores internos o externos para asegurar que los objetivos, enfoque,
alcance y procedimientos han sido apropiadamente ejecutados.
29. Los elementos que forman parte de la evaluación del riesgo son:
− Los objetivos deben ser establecidos y comunicados;
− Identificación de los riesgos internos y externos;
− Los planes deben incluir objetivos e indicadores de rendimiento; y,
− Evaluación del medio ambiente interno y externo

Actividades de control gerencial

30. Se refieren a las acciones que realiza la gerencia y otro personal de la entidad para
cumplir diariamente con las funciones asignadas. Son importantes porque en si mismas
implican la forma correcta de hacer las cosas, así como también porque el dictado de
políticas y procedimientos y la evaluación de su cumplimiento, constituyen el medio
más idóneo para asegurar el logro de objetivos de la entidad. Las actividades de control
pueden dividirse en tres categorías: controles de operación, controles de información
financiera y controles de cumplimiento. Comprenden también las actividades de
protección y conservación de los activos, así como los controles de acceso a programas
computarizados y archivos de datos.
31. Los elementos conformantes de las actividades de control gerencial son:

− Políticas para el logro de objetivos;
− Coordinación entre las dependencias de la entidad; y,
− Diseño de las actividades de control
Sistema de información y comunicación

32. Está constituido por los métodos y registros establecidos para registrar, procesar,
resumir e informar sobre las operaciones de una entidad. La calidad de la información
que brinda el sistema afecta la capacidad de la gerencia para adoptar decisiones
adecuadas que permitan controlar las actividades de la entidad y elaborar informes
financieros confiables.
33. Los elementos que conforman el sistema de información son:
− Identificación de información suficiente
− Información suficiente y relevante debe ser identificada y comunicada en forma
oportuna para permitir al personal ejecutar sus responsabilidades asignadas.
− Revisión de los sistemas de información
− Las necesidades de información y los sistemas de información deben ser
revisados cuando existan cambios en los objetivos o cuando se producen
deficiencias significativas en los procesos de formulación de información.
Actividades de monitoreo
34. Es el proceso que evalúa la calidad del funcionamiento del control interno en el
tiempo y permite al sistema reaccionar en forma dinámica, cambiando cuando las
circunstancias así lo requieran.
Debe orientarse a la identificación de controles débiles, insuficientes o necesarios, para
promover su reforzamiento. El monitoreo se lleva a cabo de tres formas: durante la
realización de las actividades diarias en los distintos niveles de la entidad; de manera
separada, por personal que no es el responsable directo de la ejecución de las
actividades (incluidas las de control), o mediante la combinación de ambas
modalidades.
35. Los elementos que conforman las actividades de monitoreo son:

− Monitoreo del rendimiento;
− Revisión de los supuestos que soportan los objetivos del control interno;
− Aplicación de procedimientos de seguimiento; y,
− Evaluación de la calidad del control interno

CONTROL INTERNO GERENCIAL

36. El concepto de control interno, tradicionalmente estuvo vinculado con aspectos
contables y financieros. Desde hace algunos años se considera que su alcance va mas
allá de los asuntos que tienen relación con las funciones de los departamentos de
contabilidad, dado que incluye también en el mismo concepto aspectos de carácter
gerencial o administrativo. Aun cuando es difícil delimitar tales áreas, siempre es
apropiado establecer algunas diferencias entre el alcance del:
− Control interno financiero, y
− Control interno gerencial.
Control interno financiero

37. El control interno financiero comprende en un sentido amplio, el plan de
organización y los métodos, procedimientos y registros que tienen relación con la
custodia de recursos, al igual que con la exactitud, confiabilidad y oportunidad en la
presentación de información financiera, principalmente, los estados financieros de la
entidad o programa. Asimismo, incluye controles sobre los sistemas de autorización y
aprobación, segregación de funciones, entre las operaciones de registro e información
contable.
Control interno gerencial

38. Comprende en un sentido amplio, el plan de organización, política, procedimientos
y prácticas utilizadas para administrar las operaciones en una entidad o programa y
asegurar el cumplimiento de las metas establecidas. Incluye también las actividades de
planeamiento, organización, dirección y control de las operaciones de la entidad o
programa, así como el sistema para presentar informes, medir y monitorear el desarrollo
de las actividades. Los métodos y procedimientos utilizados para ejercer el control
interno de las operaciones, pueden variar de una entidad a otra, según la naturaleza,
magnitud, y complejidad de sus operaciones; sin embargo, un control gerencial efectivo
comprende los siguientes pasos:
− Determinación de objetivos y metas mensurables, políticas y normas;
− Monitoreo del progreso y avance de las actividades
− Evaluación de los resultados logrados
− Acción correctiva, en los casos que sean requeridos
39. En el ámbito público, el control interno gerencial se extiende más allá de las
operaciones de las entidades. Esto se refiere en su integridad a todos los controles
ejecutados para determinar en que forma se desarrollan las actividades públicas, es
decir, comprende desde la Constitución Política (asignación de mandato, autoridad y
responsabilidad), leyes y reglamentos (autorización de fondos públicos y
establecimiento de limitaciones y/o restricciones), política presidencial o sectorial y
normas de menor jerarquía, su cumplimiento y aplicación, hasta las normas de los
sistemas administrativos (presupuesto, tesorería y contabilidad pública) y de control de
entidades específicas (controles gerenciales).

Separata Nº 06

OBJETIVOS DE CONTROL DEL COBIT
Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT),

ayuda a satisfacer las múltiples necesidades de la Administración estableciendo un
puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos.
Provee buenas prácticas a través de un dominio y el marco referencial de los procesos
y presenta actividades en una estructura manejable y lógica. Las “Buenas prácticas” de
COBIT reúne el consenso de expertos - quienes ayudarán a optimizar la inversión de la
información y proporcionarán un mecanismo de medición que permitirá juzgar cuando
las actividades van por el camino equivocado.

Separata Nº 07

RESOLUCION DE CASOS PRACTICOS
Mediante el análisis, experiencia técnico profesional, conocimientos previos de una

Auditoria de Sistemas, resolver los siguientes casos prácticos de estudio siguientes.
Caso de Estudio 1: Stanley Rifkin

Caso de Estudio 2: Innovation, Inc,
Caso de Estudio 3: Departamento de Auditoría interna de Corbaut Corporativo
Caso de Estudio 4: Orchard Enterprises Limited (OEL)
Caso de Estudio 5: Auditoría interna de una firma financiera
Caso de Estudio 6: 5 Situaciones

Separata Nº 08

INFORME DE AUDITORIA
(SEGUN NAGU 4.40)
-----------------------
Síntesis Gerencial
Adicionalmente al Informe de la acción de control, podrá emitirse una “Síntesis
Gerencial del Informe”, de contenido necesariamente breve y preciso.
La Alta Dirección de la Contraloría General de la República y el Titular del Órgano
de Auditoria Interna, según el caso y dentro de su ámbito de competencia, podrán
eximir a la Comisión Auditora de la emisión de dicha Síntesis."
FORMATO – SUGERIDO: Entre signos: <>
<INFORME <AUDITORIA INTERNA> / <DEL ORGANO DE CONTROL INSTITUCIONAL>

Nº XXX-2005-<AI>/<OCI>/<INSTITUCION>/<SOA>
<TITULO DEL INFORME>

<I.- INTRODUCCIÓN>
<1.- Origen del Examen>
<Se lleva cabo el presente examen dando cumplimiento a lo establecido
por las literales <ARTICULOS> de la <NORMA> y de lo programado en
nuestro Plan Anual de Control <AÑO> como una <ACTIVIDAD>/<ACCION DE
CONTROL> con el código <CODIGO>.>
<2.- Naturaleza y Objetivos del Examen

La presente Actividad de Control tiene la naturaleza de Examen
Especial.
Los objetivos del presente examen son:
a) ...
b) ...>
<II.- CONCLUSIONES
1) ...
2) ...>
<III.- RECOMENDACIONES
Al Directorio
1) ...
2) ...
A la Gerencia
3) ...
4) ...>
<FECHA>
<FIRMA>
<c.c. <S.B.S.> / <CONTRALORIA>

GERENCIA /

<COMITÉ DE AUDITORIA> / <DIRECTORIO>
Archivo.>

Informe Final
El contenido del informe expondrá ordenada y apropiadamente los resultados de la

acción de control, señalando que se realizó de acuerdo a las Normas de Auditoria
Gubernamental y mostrando los beneficios que reportará a la entidad.
Esta norma tiene por finalidad regular el contenido del Informe de la acción de
control, trátese ésta de una auditoría financiera (informe largo), auditoría de
gestión o examen especial según sea el caso, con el objeto de asegurar que su
denominación, estructura y el desarrollo de sus resultados guarden la debida
uniformidad, ordenamiento, consistencia y calidad, para fines de su máxima
utilidad por la entidad examinada.
FORMATO – SUGERIDO: Entre signos: <>
El informe se hace entrega mediante cartas dirigidas a los Directores,

Gerencia y Entes Reguladores, Supervisores.
El informe se enumera, se utiliza “fonts” previamente definidos (para los

titulos, parrafos, tablas, etc)
<INFORME <AUDITORIA INTERNA> / <DEL ORGANO DE CONTROL INSTITUCIONAL>

Nº XXX-2005-<AI>/<OCI>/<INSTITUCION>/<SOA>>
<TITULO>
(Generalmente salen de las normas que se cumplen)
El Informe será denominado teniendo en consideración, la naturaleza o tipo de la

acción de control practicada, con indicación de los datos correspondientes a su
numeración e incluyendo adicionalmente un título, el cual deberá ser breve,
específico y redactado en tono constructivo, si fuere pertinente. En ningún caso,
incluirá información confidencial o nombres de personas.
<I.- INTRODUCCIÓN>
<1.- Origen del Examen>
Estará referido a los antecedentes o razones que motivaron la realización de la

acción de control, tales como: planes anuales de auditoría, denuncias, solicitudes
expresas (del Titular de la entidad, de la Contraloría General de la República, del
Congreso, etc.), entre otros; debiéndose hacer mención al documento y fecha de
acreditación.
Informar si el examen es una acción de control (Contraloría-SBS) o actividad de

control (SBS), un Examen especial requerido (puede se en cualquier época del
año).Se describe en cumplimiento de que (norma) se realiza el informe de auditoria,
y cual es el código en el respectivo Plan Anual de Control.
<2.- Naturaleza y Objetivos del Examen>
En este rubro se señalará la naturaleza o tipo de la acción de control practicada

(auditoría financiera, auditoría de gestión o examen especial), así como los
objetivos previstos respecto de la misma; exponiéndose ellos según su grado de
significación o importancia para la entidad, incluyendo las precisiones que
correspondan respecto del nivel de cumplimiento alcanzado en cada caso.

<El Examen Especial tiene la naturaleza de actividad de control
programada de periodicidad anual. Se describen los objetivos del
trabajo, están ligados al cumplimiento de las normas en materia de
revisión.>
<Los objetivos del trabajo, de acuerdo a la norma correspondiente,

son:
a) ..
b) ..
c) ...>
<3.- Alcance del Examen>
Se indicará claramente la cobertura y profundidad del trabajo realizado para el

logro de los objetivos de la acción de control, precisando el periodo y áreas de la
entidad examinadas, ámbito geográfico donde se realizó el examen y, asimismo,
dejándose constancia que éste se llevó a cabo de acuerdo con las Normas de
Auditoría Gubernamental; tratándose de Auditoría Financiera, se hará mención
adicionalmente a las Normas de Auditoría Generalmente Aceptadas, Normas
Internacionales de Auditoría y demás disposiciones aplicables al efecto.
<Periodo de revisión.>
Igualmente, de ser pertinente, la Comisión Auditora revelará aquí las limitaciones

de información u otras relativas al alcance del examen que se hubieran presentado
y afectado el proceso de la acción de control, así como las modificaciones
efectuadas al enfoque o curso de la misma como consecuencia de dichas
limitaciones, se acuña la frase:
<“El examen se lleva a cabo de acuerdo a las Normas de Auditoria

Gubernamental”>.
<4.- Antecedentes y Base Legal de la Entidad>
Se hará referencia, de manera breve y concisa, a los aspectos de mayor relevancia

que guarden vinculación directa con la acción de control realizada, sobre la misión,
naturaleza legal, ubicación orgánica y funciones relacionadas de la entidad y/o
área(s) examinada(s), así como las principales normas legales que le(s) sean de
aplicación, con el objeto de situar y mostrar apropiadamente el ámbito técnico y
jurídico que es materia de control; evitándose, en tal sentido, insertar simples o
tediosas transcripciones literales de textos y/o relaciones de actividades o
disposiciones normativas.
<Organización y Funcionamiento:>
Descripción de lo normativo que regula el funcionamiento de la entidad, lo

más importante.
<En la ejecución del examen se utilizaron como criterio las siguientes

normas:
1) ..
2) ..
3) ..>
<Estructura Orgánica>
Relación en orden de importancia.

<5.- Comunicación de Hallazgos>
Se deberá indicar haberse dado cumplimiento a la comunicación oportuna de los

hallazgos efectuada al personal que labora o haya laborado en la entidad
comprendido en ellos.
Asimismo, en este punto se señalará que se incluye un anexo en el Informe con la
relación del personal al servicio de la entidad examinada, finalmente considerado
en las observaciones contenidas en el mismo, consignándose en dicha nómina los
nombres y apellidos, documento de identidad, cargo(s) desempeñado(s), período(s)
de gestión, condición laboral y domicilio correspondientes, con indicación de
aquellas en que estuvieren incursos en cada caso.
<Durante el desarrollo de la acción de control, en cumplimiento a la

Norma de Auditoria Gubernamental – NAGU 3.60, los Hallazgos de
Auditoria emergentes fueron comunicados a los servidores comprendidos
en los mismos, solicitándoles la presentación de sus comentarios y/o
aclaraciones sobre los hechos observados, recibiendo la respuesta
correspondiente, las que fueron evaluadas y consideradas en el
presente informe> / <Durante el desarrollo de la acción de control no
se encontraron hallazgos que revistan importancia>.
<La relación de personas comprendidas en las observaciones se detalla

en el <Anexo Nº 1> que adjuntamos.>
<6.- Memorándum de Control Interno>
Se indicará que durante la acción de control se ha emitido el Memorándum de

Control Interno, en el cual se informó al titular sobre la efectividad de los controles
internos implantados en la entidad. Dicho documento así como el reporte de las
acciones correctivas que en virtud del mismo se hayan adoptado, se deberá
adjuntar como anexo del informe. (Leer NAGU 3.10)
<En el desarrollo del presente examen <no fue necesaria la emisión del
Memorandum de Control Interno> / <se emitieron las siguiente cartas
mediante las cuales comunicamos las deficiencias de control interno
encontradas>.>
Es la llamada Carta de Control Interno (aquella que se envía mucho antes de emitir
el informe de auditoria), únicamente a criterio del Auditor se considerara en el
Informe Final, las recomendaciones que no fueron levantadas, sin embargo es una
buena práctica adjuntar la carta de control interno para un mejor seguimiento de
medidas correctivas.
<7.- Otros Aspectos de Importancia>
Podrá referirse bajo el presente rubro aquella información verificada que la

Comisión Auditora, basada en su opinión profesional competente, considere de
importancia o significación, para fines del Informe, dar a conocer sobre hechos,
acciones o circunstancias que, por su naturaleza e implicancias, tengan relación
con la situación evidenciada en la entidad o los objetivos de la acción de control y,
cuya revelación permita mostrar la objetividad e imparcialidad del trabajo
desarrollado por la Comisión; tal como:
a) El reconocimiento de las dificultades o limitaciones, de carácter excepcional, en

las que se desenvolvió la gestión realizada por los responsables de la entidad o
área examinada,
b) El reconocimiento de logros significativos alcanzados durante la gestión
examinada,

c) La adopción de correctivos por la propia administración, durante la ejecución
de la acción de control, que hayan permitido superar hechos observables,
d) Informar de aquellos asuntos importantes que requieran un trabajo
adicional, siempre que no se encuentren directamente comprendidos
en los objetivos de la acción de control,
e) Eventos posteriores a la ejecución del trabajo de campo que hayan sido de
conocimiento de la comisión auditora y que afecten o modifiquen el
funcionamiento de la entidad o de las áreas examinadas.
f) Si alguno de los aspectos considerados en este punto por la Comisión Auditora,
demandara una exposición o desarrollo extenso, será incluido como anexo del
Informe.
g) Dichos aspectos, asimismo, podrán dar lugar a la formulación de conclusiones
y/o recomendaciones, si hubiere mérito para ello.
En esta sección se preparan cuadros o informes que pudieran mejorar la

comprensión del examen para sus lectores y tomadores de decisión (directores del
negocio.)
Si el examen requiere verificar la remisión de información a los entes reguladores

es aquí donde se pueden comentar su cumplimiento o su incumplimiento, en el
caso de incumplimiento se adjunta un comentario haciendo mención que
desarrollamos el punto en la sección de observaciones o hallazgo particular.
<II.- OBSERVACIONES>
En esta parte del Informe, la Comisión Auditora desarrollará las observaciones que,
como consecuencia del trabajo de campo realizado y la aplicación de los
procedimientos de control gubernamental, hayan sido determinadas como tales,
una vez concluido el proceso de evaluación y contrastación de los hallazgos
comunicados con los correspondientes comentarios y/o aclaraciones formulados por
el personal comprendido en los mismos, así como la documentación y evidencia
sustentatoria respectiva.
Las observaciones se deberán referir a hechos o situaciones de carácter

significativo y de interés para la entidad examinada, cuya naturaleza deficiente
permita oportunidades de mejora y/o corrección, incluyendo sobre ellos información
suficiente y competente relacionada con los resultados de la evaluación efectuada
a la gestión de la entidad examinada.
Sección para presentar los hallazgos de auditoria, pueden de ser el caso

reformularse sin cambiar el fondo de lo comunicado a los observados.
Las observaciones, para su mejor comprensión, se presentarán de manera

ordenada, sistemática, lógica y numerada correlativamente, evitando el uso de
calificativos innecesarios y describiendo apropiadamente sus elementos o atributos
característicos. Con tal propósito, dicha presentación considerará en su desarrollo
expositivo los aspectos esenciales siguientes:
Cada observación deberá redactarse en forma narrativa, teniendo en cuenta para

su presentación los aspectos siguientes:
a. Sumilla: Se refiere al titulo que utiliza el hecho observado.
b. Condición: Este término se refiere a la descripción de la situación irregular o
deficiencia hallada, cuyo grado de desviación debe ser demostrada.
c. Criterio: Son las normas transgredidas de carácter legal, operativo o de
control que regulan el accionar de la entidad examinada. El desarrollo del
criterio en la presentación de la observación debe citar específicamente la
normativa pertinente y el texto aplicable de la misma.

d. Causa: Es la razón fundamental por la cual ocurrió la condición, o el motivo por
el que no se cumplió el criterio o norma. Su identificación requiere de la
habilidad y juicio profesional del auditor y es necesaria para el desarrollo de
una recomendación constructiva que prevenga la recurrencia de la condición.
e. Efecto: Es la consecuencia real o potencial cuantitativa o cualitativa, que
ocasiona el hallazgo, indispensable para establecer su importancia y
recomendara la Administración que tome las acciones requeridas para corregir
la condición. Siempre y cuando sea posible; el auditor debe revelar en su
informe la cuantificación del efecto.
Al término del desarrollo de cada observación, se indicaran de modo sucinto los
descargos que presenten las personas comprendidas en la misma, así como la
opinión del auditor después de evaluar los hechos observados y los descargos
recibidos.
Si durante el examen el auditor aprecia logros notables en la entidad auditada y
que tengan relación con el alcance y objetivos de la auditoría, a su juicio podrá
decidir su inclusión en los comentarios del informe.
Tratándose de la existencia de posibles delitos el auditor debe deslindar y
determinar el tipo de responsabilidad que corresponda a los presuntos implicados,
contando para ello con una adecuada coordinación con la asesoría legal.
Los hallazgos se enumeran en orden correlativo.
<III.- CONCLUSIONES>
En este rubro la Comisión Auditora deberá expresar las conclusiones del Informe de
la acción de control, entendiéndose como tales los juicios de carácter profesional,
basados en las observaciones establecidas, que se formulan como consecuencia del
examen practicado a la entidad auditada.
Al final de cada conclusión se identificará el número de la(s) observación(es)

correspondiente(s) a cuyos hechos se refiere.
La Comisión Auditora, en casos debidamente justificados, podrá también formular

conclusiones sobre aspectos distintos a las observaciones, verificados en el curso
de la acción de control, siempre que éstos hayan sido expuestos en el Informe.
Se concluye por cada objetivo planteado, por cada observación

desarrollada, adjuntando la palabra (Observación Nº X), siendo “X” el
número de la observación correspondiente, es una buena práctica volver a
leer la sumilla de la observación.
<IV.- RECOMENDACIONES>
Las recomendaciones constituyen las medidas específicas y posibles que, con el

propósito de mostrar los beneficios que reportará la acción de control, se sugieren a
la administración de la entidad para promover la superación de las causas y las
deficiencias evidenciadas durante el examen. Estarán dirigidas al Titular o en su
caso a los funcionarios que tengan competencia para disponer su aplicación.
Las recomendaciones se formularán con orientación constructiva para propiciar el

mejoramiento de la gestión de la entidad y el desempeño de los funcionarios y
servidores públicos a su servicio, con énfasis en contribuir al logro de los objetivos
institucionales dentro de parámetros de economía, eficiencia y eficacia; aplicando
criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de costo
proporcional a los beneficios esperados.
Para efecto de su presentación, las recomendaciones se realizarán siguiendo el

orden jerárquico de los funcionarios responsables a quienes va dirigida,

6everenciándolas en su caso a las conclusiones, o aspectos distintos a éstas, que
las han originado.
También se incluirá como recomendación, cuando existiera mérito de acuerdo a los

hechos revelados en las observaciones, el procesamiento de las responsabilidades
administrativas que se hubiesen determinado en el Informe, conforme a lo previsto
en el régimen laboral pertinente.
Es la sección quizás más importante del trabajo del auditor, por que es la
que genera valor agregado a s trabajo, y la justificación del mismo.
Se desarrolla dirigiéndola a los estamentos de la institución.
<Al Directorio>
<A la Gerencia>
Se enumera y se recomienda por cada conclusión redactada, adjuntando

la palabra (Conclusión Nº X), siendo “X” el número de la conclusión
correspondiente.
<V.- ANEXOS>
A fin de lograr el máximo de concisión y claridad en el Informe, sólo se incluirá

como Anexos, además de los expresamente considerados en la presente norma,
aquella documentación indispensable que contenga importante información
complementaria o ampliatoria de los datos contenidos en el Informe y que no obre
en la entidad examinada.
<Anexo No. 1: Relación de Personas Comprendidas>

Son aquellas consideradas en las observaciones, se elabora cuadro con DNI, Cargo
Ocupadazo, Periodo, Observación, por cada persona comprendida.
<Anexo No. 2: Carta de Control Interno>

Copias de las cartas de control Interno enviadas, pueden haber mas de una carta
de control interno, entonces se enumera a partir del anexo 2.
<Anexo No. 3:>

Anexos que refuerzan el informe o hacen que su lectura más entendible, solo en
caso de no existir personas comprendidas o carta de control interno se puede
enumerar como anexo 1.
<Fecha>
<Huancayo, DIA de MES del 2006>
<FIRMA>
El Informe, una vez efectuado el control de calidad correspondiente previo a su
aprobación, deberá ser firmado por el Jefe de Comisión, el Supervisor y el nivel
gerencial competente de la Contraloría General de la República. En el caso de los
Órganos de Auditoria Interna del Sistema Nacional de Control, por el Jefe de
Comisión, el Supervisor y el Jefe del respectivo Órgano.
Los Informes emitidos por las Sociedades de Auditoría serán suscritos por el socio
participante y auditor responsable de la auditoría.
De ameritarlo por la naturaleza y contenido del Informe, también será suscrito por
el abogado u otro profesional y/o especialista participante en la acción de control.

Las copias a enviar dependen si es una acción de control o una actividad de control,
casi siempre se envía a los Directores, Gerencia, y se guarda una copia para el
archivo de la oficina de auditoria>
<c.c. <S.B.S.> / <CONTRALORIA>

GERENCIA /
<COMITÉ DE AUDITORIA> / <DIRECTORIO>
Archivo.>
Es una buena práctica averiguar los nombres de los Directores pues estos
cambian con facilidad.
================== OTRA PAGINA ==================

<ANEXO Nº 1>
<RELACION DE LAS PERSONAS COMPRENDIDAS EN LAS OBSERVACIONES>
<
Nº APELLIDOS CARGO PERIODO DE CONDICION DIRECCION OBSERVACION
DE Y NOMBRES DESEMPEÑADO GESTION LABORAL DOMICILIARIA Nº
ORD.
>
================== OTRA PAGINA ==================
<ANEXO Nº X>
<TITULO>
<DESARROLLO>

Separata Nº 09

ORGANIZACION DE LOS PAPELES DE TRABAJO

(NAGU 3.50)
Art. 19º, Resolucion S.B.S. Nº 1041-99
SEGUIMIENTO DE LA IMPLEMENTACION DE MEDIDAS CORRECTIVAS
(NAGU 4.60)
Lit. h.Art. 6º, Resolucion S.B.S. Nº 1041-99
--------------------------------------------------------------------
I. PAPELES DE TRABAJO
El auditor debe organizar un registro completo y detallado de la labor

efectuada y las conclusiones alcanzadas, en forma de papeles de trabajo.
Los papeles de trabajo constituyen el vínculo entre el trabajo de planeamiento

y ejecución, y el informe de auditoria. Por tanto, deberán contener la
evidencia necesaria para fundamentar los hallazgos, opiniones y conclusiones
que se presentar en el informe.
Podrán incluir medios de almacenamiento magnéticos, electrónicos, informáticos

y otros.
No hay nada que sustituya a una comprensión adecuada de los objetivos de la

Auditoría, las razones por las cuales se emprenderá determinada tarea y la
forma en que esa tarea contribuirá al cumplimiento de los objetivos. Esa
comprensión se logra cuando el auditor dispone de papeles de trabajo
debidamente planificados y organizados y, recibe instrucciones idóneas de sus
supervisores. La práctica de indicar claramente en los papeles de trabajo los
fines que se persigan, será muy útil para asegurarse de que la información
obtenida estará relacionada directamente con los objetivos de la Auditoria y
del informe correspondiente.
Propósito
a. Contribuir a la planeación y realización de la Auditoria.
b. Proporcionar el principal sustento del informe del auditor.
c. Permitir una adecuada ejecución, revisión y supervisión del
trabajo de Auditoria.
d. Constituir la evidencia del trabajo realizado y el soporte de las
conclusiones, comentarios y recomendaciones incluidas en el informe y como
prueba preconstituida para los procesos judiciales, de ser el caso.
e. Permitir las revisiones de calidad de la Auditoría.
-----------------------------------------------------------
NAGU. 1.60 CONTROL DE CALIDAD
CONTROL DE CALIDAD EXTERNO
La Contraloría General de la República, adoptará las políticas y procedimientos
que permitan efectuar periódicamente el control de calidad externo de los Órganos
de Auditoria Interna y de las Sociedades de Auditoria designadas.
El control de calidad externo, debe incluir entre otros, la revisión de los

informes de auditoria y los correspondientes papeles de trabajo, así como, la
idoneidad de los programas de capacitación y entrenamiento.
Las Sociedades de Auditoria designadas que, de acuerdo con sus políticas

internas, se encuentran sujetas a revisiones de control de calidad externa,
pondrán a disposición a requerimiento de la Contraloría General de la República,
constancia del resultado de la supervisión correspondiente."
-----------------------------------------------------------

REQUISITOS
a. Ser completos y exactos, con objeto de que permitan sustentar
debidamente los hallazgos, opiniones y conclusiones y demostrar la
naturaleza y el alcance del trabajo realizado. La concisión es
importante, pero no deberá sacrificarse la claridad y la integridad con
el único fin de ahorrar tiempo o papel.
b. Deben ser lo suficientemente claros, comprensibles y detallados
para que un auditor experimentado, que no haya mantenido una relación
directa con la auditoria, este en capacidad de fundamentar las
conclusiones y recomendaciones, mediante su revisión. No deben requerir
de explicaciones orales.
c. Ser legibles y ordenados, pues de lo contrario podrían perder su
valor como evidencia.
d. Deben contener información relevante, esto es, limitarse a los
asuntos que sean pertinentes e importantes para cumplir los objetivos del
trabajo encomendado.
CONTENIDO
La forma y contenido de los papeles de trabajo se ven afectados por factores
tales como:
a. La naturaleza de la auditoria
b. El tipo de informe a emitir.
c. La naturaleza y complejidad de la actividad de la entidad.
Como regla general, los papeles de trabajo deben contener:

a. El Memorándum de Planificación y los Programas de Auditoria que deben
estar debidamente referenciados a los papeles de trabajo.
b. Objetivos, alcance y metodología, incluyendo los criterios usados para la
selección de las muestras.
c. Indicación de la manera como se ha obtenido la información, con
referencia a los documentos base y las personas que la facilitaron
(fuentes).
Propiedad y Custodia de los Papeles de Trabajo

Los papeles de trabajo son propiedad de los órganos conformantes del Sistema
Nacional de Control, y de las sociedades de Auditoria, cuyos exámenes
practicados contaron con la autorización de la Contraloría General,
destacándose que en el caso de Auditorias practicadas por Sociedades de
Auditoria contratadas directamente por el organismo rector del Sistema, los
papeles de trabajo serán de propiedad de la Contraloría General de la
República.
La Superintendencia de Banca, Seguros y AFP’s, ha establecido lo siguiente:
“La UAI deberá mantener un archivo conteniendo los informes elaborados y otras
comunicaciones que mantenga con las diferentes unidades de la empresa, así
como la documentación sustentatoria de los mismos. Dicha información deberá
estar a disposición de la Superintendencia, los auditores externos y, de ser
el caso, de las empresas clasificadoras de riesgo, cuando así lo requieran.”

II. SEGUIMIENTO DE RECOMENDACIONES DE AUDITORIAS ANTERIORES.
Los órganos conformantes del Sistema Nacional de Control deben efectuar el

seguimiento a la implementación de las recomendaciones planteadas en los
informes de auditorias anteriores, con la finalidad de determinar si se
emprendieron acciones correctivas por parte de los funcionarios responsables
de las organizaciones auditadas.
1. La administración de la organización auditada es la responsable de

superar las observaciones mediante la implementación de las
recomendaciones, y de mantener un proceso permanente para efectuar el
seguimiento que pueda contribuir a que cumpla de mejor manera con sus
responsabilidades de gestión. Corresponde al titular de la entidad
auditada dictar las disposiciones necesarias para la aplicación de las
recomendaciones formuladas en el informe, cautelando su cumplimiento. En
concordancia con el artículo 24. literal g) del Decreto Ley Nº 26162, en
caso el titular de la entidad no ejecute las recomendaciones de una
acción de control que conlleven la asunción de decisiones administrativas
y el titular de la entidad que ejerce tuición no obliga a su
cumplimiento, la Contraloría General de la República puede sancionar a
quienes incumplieron.
2. Al órgano de Auditoría Interna le corresponde realizar el seguimiento a
la implementación de las recomendaciones como actividad permanente, con
la respectiva verificación directa en cada área responsable, informando
de sus resultados a la Contraloría General y a su titular. Las auditorías
a cargo de la Contraloría General, de los Organos de Auditoría Interna y
de las Sociedades de Auditoría designadas deben incluir como objetivos el
seguimiento a la implementación de las medidas correctivas, por parte de
los responsables de la administración.
3. El seguimiento a la implementación de las recomendaciones que realizan
los órganos del Sistema Nacional de Control debe incluir la evaluación de
los resultados de las acciones adoptadas por la entidad que fuere
examinada con anterioridad a efecto de establecer si fueron implementadas
las recomendaciones y superadas las observaciones reveladas en el informe
de auditoría.
4. Para efecto del seguimiento, las recomendaciones se reportarán según los
siguientes estados de implementación:
4.1. Pendiente
Cuando el titular aún no ha designado a los responsables de aplicar las
recomendaciones o habiéndolos designado, éstos no han iniciado las
acciones de implantación efectivas.
4.2. En Proceso
Cuando el titular ha designado a los funcionarios responsables de la
aplicación y éstos han iniciado las acciones de implementación
correspondientes.
4.3. Superada
Cuando se hayan aplicado las medidas sugeridas en las recomendaciones,
corrigiendo así la desviación detectada y desapareciendo la causa que
motivó la observación. Para calificar como superada, en el seguimiento de
las recomendaciones, el auditor debe poner más atención en que las
deficiencias evidenciadas hayan sido corregidas.(*)
La Superintendencia de Banca, Seguros y AFP’s, ha establecido
“h. Efectuar el seguimiento permanente de la implementación de las

observaciones y recomendaciones formuladas por esta Superintendencia, los
auditores externos, así como las realizadas por la propia UAI.”

Separata Nº 10

PLAN DE SEGURIDAD DE LA INFORMACION (PSI)

Art. 5º Circular S.B.S. Nº G-105-2002; ISACA
PLAN DE CONTINUIDAD DEL NEGOCIO (PCN)
Art. 11º, 12º, y 13º Circular S.B.S. Nº G-105-2002; ISACA
“Riesgos de Tecnologia de Informacion”

--------------------------------------------------------------------
Según la norma citada,

--------------------------------------------------------------
Auditoria Interna y Externa
Artículo 16º.- La Unidad de Auditoría Interna deberá incorporar en su
Plan Anual de Trabajo la evaluación del cumplimiento de lo dispuesto
en la presente norma.
Asimismo, las Sociedades de Auditoría Externa deberán incluir en su
informe sobre el sistema de control interno comentarios dirigidos a
indicar si la entidad cuenta con políticas y procedimientos para la
administración de los riesgos de tecnología de información,
considerando asimismo, el cumplimiento de lo dispuesto en la presente
norma.
--------------------------------------------------------------
PLAN DE SEGURIDAD DE LA INFORMACION (PSI).-

PROTECCION DE LOS ACTIVOS DE INFORMACION
Existe el ISO 17799, controles para la Administración de la Seguridad de

Información
− Los objetivos de seguridad para satisfacer los requerimientos de

negocio:
− Asegurar la integridad de la información almacenada en sus sistemas de
cómputo (datos completos y tienen exactitud, consistencia, validez y
verificabilidad. Integridad se refiere a la confiabilidad de los datos, s
relevancia en un asunto posterior).
− Preservar la confidencialidad de los datos sensitivos.
− Asegurar el cumplimiento con la confianza depositada y de la obligación
en relación con cualquier información relativa a una persona identificada o
identificable (es decir, sujeto de datos) en conformidad con su política de
privacidad o leyes y regulaciones de privacidad aplicables.
− Asegurar la disponibilidad continua de sus sistemas de información.
− Asegurar que se ajusten a las leyes, regulaciones y normas aplicables.
Las fallas de seguridad pueden ser costosas para el negocio. Las perdidas
pueden ocurrir como resultado de la falla misma o pueden ser incurridos en la
recuperación del incidente, seguidos por más costos para asegurar los sistemas
y prevenir mas fallas. Un conjunto bien definido de políticas y procedimientos
de seguridad puede prevenir perdidas de reputación y financieras, así como
ahorrar dinero.
Elementos Clave de la Administración de la Seguridad de la Información

Compromiso y soporte de la alta gerencia
Políticas y procedimientos
Organización
Conciencia de la Seguridad y educación
Monitoreo y cumplimiento

Manejo y respuesta a incidentes
Planeación y preparación
Detección
Iniciación
Evaluación
Contención
Erradicación
Respuesta
Recuperación
Cierre
Revisión posterior al incidente
Lecciones aprendidas
Mantener la responsabilidad sobre los activos de información

Inventario de activos de información
Clasificación
PLAN DE CONTINUIDAD DEL NEGOCIO (PCN).
PLANEACION DE LA CONTINUIDAD DEL NEGOCIO/RECUPERACION DE DESASTRES
El negocio moderno no puede evitar todas las formas de riesgo corporativo o de

daño potencial.
El objetivo de la continuidad del negocio es garantizar que un negocio
continúe funcionando en caso de una interrupción y que sobreviva a una
interrupción por un desastre de sus sistemas de información. Es necesario una
planeación rigurosa y una dedicación de recursos para tener un plan adecuado
para cada evento que se pueda presentar.

Estándares Auditoría Sistemas

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Estándares Auditoría Sistemas

Cargado por

Copyright:

Formatos disponibles

Separata Nº 01

Escuela Profesional: Ing. Informática Asignatura: Auditoria de Sistemas

EL CÓDIGO DE ÉTICA PROFESIONAL

La Information Systems Audit and Control Association, Inc. (ISACA) dispuso y

1. Apoyar el establecimiento y cumplimiento apropiado de estándares,

El cumplimiento del Código de Ética contribuye con el respeto y reconocimiento

Docente. Ing. Juan Alberto Pérez Quijada 1

Escuela Profesional: Ing. Informática Asignatura: Auditoria de Sistemas

Estándares Internacionales de Auditoría de Sistemas.

La tecnología ha sido percibida en la actualidad en forma global como disparador de

La función de auditoría continúa proporcionando servicios de aseguramiento tanto a

• Directrices Gerenciales de COBIT, desarrollado por la Information Systems

Docente. Ing. Juan Alberto Pérez Quijada 1

Alcance de los Estándares.

Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and

• Las Directrices Gerenciales son un marco internacional de referencias

The Management of the Control of data Information Technology, desarrollado por el

• Este modelo está basado en el concepto de roles y establece

Administración de la inversión de tecnología de Inversión: un marco para la

• Este modelo identifica los procesos críticos, asegurando el éxito de las

Estándares de administración de calidad y aseguramiento de calidad ISO 9000,

• La colección ISO 9000 es un conjunto de estándares y directrices que

Docente. Ing. Juan Alberto Pérez Quijada 1

SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la

• Este servicio pretende incrementar la confianza de la alta gerencia,

Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto

• Este modelo hace posible evaluar las capacidades o habilidades para

Administración de sistemas de información: Una herramienta de evaluación práctica,

• Este es una herramienta de evaluación que permite a entidades

Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado

• Esta guía esta enfocada en las mejores prácticas sobre administración de

Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE –

• Este modelo describe las características esenciales de una arquitectura de

Docente. Ing. Juan Alberto Pérez Quijada 2

Administración de seguridad de información: Aprendiendo de organizaciones líderes,

• Este modelo considera ocho organizaciones privadas reconocidas como

Tendencias de los estándares y de las mejores prácticas.

Se ha visto que existen procesos de evolución como a continuación se menciona:

• Evolución en los estándares y marcos referenciales de la madurez de procesos.

De igual manera se han visto tendencias en el uso de estándares y mejores prácticas en

Docente. Ing. Juan Alberto Pérez Quijada 3

Escuela Profesional: Ing. Informática Asignatura: Auditoria de Sistemas

700 Visión general

02. Mediante el examen especial se verifica en forma específica el:

Docente. Ing. Juan Alberto Pérez Quijada 4

04. Como el desarrollo del examen especial se encuentra focalizada en un área o

01. La fase de planeamiento del examen especial se inicia con la programación de la

• planeamiento general de los órganos conformantes del Sistema Nacional

02. La fase de planeamiento de un examen especial comprende las siguientes

• Comprensión del área o actividad a ser examinada

Comprensión del área o actividad a examinarse

Docente. Ing. Juan Alberto Pérez Quijada 5

04. La tarea de comprensión de la entidad o área objeto de examen incluye la

• Naturaleza y base legal de la entidad.

Identificación de criterios de auditoría

Memorándum de programación y plan de examen especial

Docente. Ing. Juan Alberto Pérez Quijada 6

13. El memorándum de programación y el plan de examen especial son preparados

Docente. Ing. Juan Alberto Pérez Quijada 7

14. El programa de procedimientos describe los pasos a seguir durante la fase de

730 Fase de Ejecución

Ejemplo: verificación del cumplimiento de las disposiciones que regulan la