ASEGURAMIENTO DEL CONTROL INTERNO

MARCO TEÓRICO DEL ASEGURAMIENTO DE CONTROL INTERNO

El Sistema de Control Administrativo cuya dirección corresponde a la Contraloría

General del Estado, tiene tres componentes que, bajo un enfoque sistémico, puede
presentarse de la siguiente forma:

CONTROL INTERNO AUDITORÍA INTERNA AUDITORÍA EXTERNA

"Art. 5 Sistema de Control, Fiscalización y Auditoría del Estado.- Las instituciones del
Estado, sus dignatarios, autoridades, funcionarios y demás servidores, actuarán dentro
del Sistema de Control, Fiscalización y Auditoría del Estado, cuya aplicación propenderá
a que:

1.- Los dignatarios, autoridades, funcionarios y servidores públicos, se responsabilicen

y rindan cuenta sobre el ejercicio de sus atribuciones, la utilización de los recursos
públicos, así como de los resultados obtenidos

2.- Las atribuciones y objetivos de las instituciones del Estado y los respectivos deberes
y obligaciones de sus servidores, sean cumplidos a cabalidad.

3.- Cada institución del Estado asuma la responsabilidad por la existencia y

mantenimiento de su propio sistema de control interno.

Aspectos a tomar en cuenta:

Constituyen elementos del control interno:

 El entorno de control,
 La organización,
 La idoneidad del personal,
 El cumplimiento de los objetivos institucionales,
 Los riesgos institucionales en el logro de tales objetivos y las medidas adoptadas
para afrontarlos,
 El sistema de información,
 El cumplimiento de las normas jurídicas y técnicas; y,
 La corrección oportuna de las deficiencias de control.

En su artículo 12, La Ley Orgánica de la Contraloría general del Estado, establece:

a) Control previo.- Los servidores de la institución, analizarán las actividades

institucionales propuestas antes de su autorización o ejecución, respecto a su
legalidad, veracidad, conveniencia, oportunidad, pertinencia y conformidad con los
planes y presupuestos institucionales

b) Control continuo.- Los servidores de la institución, en forma continua inspeccionarán

y constatarán la oportunidad, calidad y cantidad de obras, bienes y servicios que se
 recibieren o prestaren de conformidad con la ley, los términos contractuales y las
autorizaciones respectivas.

c) Control posterior.- La unidad de auditoría interna será responsable del control

posterior interno ante las respectivas autoridades y se aplicará a las actividades
institucionales, con posterioridad a su ejecución.

Y el artículo 77 de la Ley Orgánica de la Contraloría General del Estado dispone que los
Ministros de Estado y las máximas autoridades de las instituciones del Estado, son
responsables de los actos, contratos o resoluciones emanados de su autoridad.

Corresponde al Titular de la entidad, dirigir y asegurar la implantación, funcionamiento

y actualización del sistema de control interno y de los sistemas de administración
financiera, planificación, organización, información, de recursos humanos, materiales,
tecnológicos, ambientales y más sistemas administrativos.

Además, señala que las autoridades de las unidades administrativas y servidores deben
contribuir a la obtención de los fines institucionales y administrar en el área que les
competa, los sistemas referidos.

Corresponde a su vez, a las autoridades de la Unidad Financiera y servidores, vigilar la

incorporación de los procesos específicos de control interno, dentro del sistema
financiero y asegurar el funcionamiento del control interno financiero.

Cómo realizar el control Interno Posterior:

El desempeño y los resultados en una organización, son consecuencia de las decisiones

y acciones de sus administradores; es decir de su gestión, lo que permite decir que el
control interno posterior puede ser aplicado a la legalidad y efectividad esas decisiones.

El Control interno posterior, permitiría verificar que el desarrollo de los procesos,

programas y proyectos, con la finalidad de comprobar que se logran objetivos y metas
relacionadas con la misión y visión institucional, identificar causas y establecer
correctivos en forma oportuna. Adicionalmente, se trata de asegurar el cumplimiento de
las disposiciones y normatividad que debe ser cumplida por la organización.

La Unidad de Auditoría Interna, responsable del aseguramiento

Las Normas de Control Interno 200-09, define en los siguientes términos a la

Unidad de Auditoría Interna:

“200-09 Unidad de Auditoría Interna La auditoría interna es una actividad

independiente y objetiva de aseguramiento y asesoría, concebida para agregar
valor y mejorar las operaciones de una organización; evalúa el sistema de control
interno, los procesos administrativos, técnicos, ambientales, financieros, legales,
operativos, estratégicos y gestión de riesgos.

Cada institución, cuando se justifique, contará con una Unidad de Auditoría Interna
organizada, con independencia y con los recursos necesarios para que brinde asesoría
oportuna y profesional en el ámbito de su competencia, agregando valor a la
gestión institucional y garantía razonable de que la gestión de la máxima autoridad y
demás servidoras y servidores, se realiza con apego a las normas vigentes.
La Unidad de Auditoría Interna estará integrada por personal multidisciplinario. Mediante
técnicas y procedimientos de auditoría, evaluará la eficiencia del sistema de control
interno, la administración de riesgos institucionales, la efectividad de las
operaciones y el cumplimiento de leyes y regulaciones aplicables que permitan el
logro de los objetivos institucionales. Proporcionará asesoría en materia de control a
las autoridades, niveles directivos, servidoras y servidores de la entidad, para
fomentar la mejora de sus procesos y operaciones.

Los auditores de la Unidad de Auditoría Interna actuarán con criterio independiente

respecto a las operaciones o actividades auditadas y no intervendrán en la autorización
o aprobación de los procesos financieros, administrativos, operativos y ambientales.

Respecto del seguimiento y evaluación, la Norma de Control Interno 600-02

establece:

600-02 Evaluaciones periódicas

La máxima autoridad y las servidoras y servidores que participan en la conducción de

las labores de la institución, promoverán y establecerán una autoevaluación periódica
de la gestión y el control interno de la entidad, sobre la base de los planes
organizacionales y las disposiciones normativas vigentes, para prevenir y corregir
cualquier eventual desviación que ponga en riesgo el cumplimiento de los objetivos
institucionales.

Las evaluaciones periódicas, responden a la necesidad de identificar las fortalezas y

debilidades de la entidad respecto al sistema de control interno, propiciar una mayor
eficacia de sus componentes, asignar la responsabilidad sobre el mismo a todas las
dependencias de la organización, establecer el grado de cumplimiento de los objetivos
institucionales y evalúa la manera de administrar los recursos necesarios para
alcanzarlos.

Las evaluaciones periódicas o puntuales también pueden ser ejecutadas por la

unidad de auditoría interna de la entidad, la Contraloría General del Estado y las
firmas privadas de auditoría. En el caso de las disposiciones, recomendaciones y
observaciones emitidas por los órganos de control, la unidad a la cual éstas son dirigidas
emprenderá de manera efectiva las acciones pertinentes dentro de los plazos
establecidos, considerando que éstas son de cumplimiento obligatorio.

La máxima autoridad y los directivos de la entidad, determinarán las acciones

preventivas o correctivas que conduzcan a solucionar los problemas detectados e
implantarán las recomendaciones de las revisiones y acciones de control realizadas
para fortalecer el sistema de control interno, de conformidad con los objetivos y recursos
institucionales.

Reglamento para la Organización, Funcionamiento y Dependencia Técnica y

Administrativa de las Unidades de Auditoría Interna de las Entidades que
controla la Contraloría General del Estado

Con Acuerdo 25-CG-2016 se expidió el Reglamento mencionado y en sus

considerandos señala que, la actividad de Auditoría Interna debe contribuir a
la mejora de los procesos de gestión, por tanto, es necesario normar su
organización, funcionamiento, dependencia técnica y administrativa

En su artículo 2 define a la auditoría interna como una actividad independiente y

objetiva de aseguramiento y asesoría, concebida para agregar valor y mejorar las
operaciones de una organización; evalúa el sistema de control interno, los
procesos administrativos, técnicos, ambientales, financieros, legales, operativos,
estratégicos y riesgos; además, la auditoría interna está ubicada en el nivel de asesoría
de la estructura orgánica de cada institución con línea de asesoría directa a la
máxima autoridad institucional.

En el artículo 4 se responsabiliza a las Unidades de Auditoría Interna del control

posterior interno de las actividades institucionales; de la evaluación de la eficacia
del sistema de control interno, riesgos, la efectividad de las operaciones y el
cumplimiento de disposiciones legales aplicables que permitan el logro de los
objetivos institucionales.

Señala que proporcionarán asesoría y evaluación integral en materia de control, a

las autoridades, niveles directivos y servidores de la institución, para fomentar la
mejora de los procesos.

Normas Internacionales para el ejercicio profesional de la auditoria interna

expedidas por el Instituto de Auditores Internos

Definen a la auditoría interna como una actividad independiente y objetiva de

aseguramiento y consulta, concebida para agregar valor y mejorar las
operaciones de una organización. Ayuda a una organización a cumplir sus objetivos
aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de
los procesos de gestión de riesgos, control y gobierno; y su estructura está
constituida por normas sobre atributos, normas sobre desempeño y normas de
implantación

En las normas sobre los atributos de la auditoría interna se establece la norma

1220.A2 del debido cuidado profesional en la que señala que el auditor interno debe
estar alerta a los riesgos materiales que pudieran afectar los objetivos, las
operaciones o los recursos. Sin embargo, los procedimientos de aseguramiento por
sí solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no
garantizan que todos los riesgos materiales sean identificados.

En la norma 1300 Programa de aseguramiento de calidad y cumplimiento el auditor

debe desarrollar y mantener un programa de aseguramiento de calidad y mejora
que cubra todos los aspectos de la actividad de auditoría interna y revise continuamente
su eficacia. El programa debe estar diseñado para ayudar a la actividad de auditoría
interna a añadir valor y a mejorar las operaciones de la organización y a proporcionar
aseguramiento de que la actividad de auditoría interna cumple con las Normas y el
Código de Ética.

En cuanto a las normas de desempeño se encuentran las normas 2000 Administración

de la actividad de auditoría interna en la que el director ejecutivo de auditoría debe
gestionar efectivamente la actividad de auditoría interna para asegurar que añada
valor a la organización y en la norma 2010 Planificación el director ejecutivo de
auditoría debe establecer planes basados en los riesgos, a fin de determinar las
prioridades de la actividad de auditoría interna. Dichos planes deberán ser
consistentes con las metas de la organización.

Las normas de desempeño la 2100 Naturaleza del trabajo, establecen que la actividad
de auditoría interna evalúa y contribuye a la mejora de los sistemas de gestión de
riesgos, control y gobierno; la 2110 Gestión de riesgos señala que la actividad de
auditoría interna debe asistir a la organización mediante la identificación y evaluación
de las exposiciones significativas a los riesgos, y la contribución a la mejora de los
sistemas de gestión de riesgos y control; la 2110.A1 indica que la actividad de auditoría
interna debe supervisar y evaluar la eficacia del sistema de gestión de riesgos de la
organización; y en la norma 2110.A2 la actividad de auditoría interna debe evaluar las
exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de
la organización, con relación a lo siguiente:

 Confiabilidad e integridad de la información financiera y operativa,

 Eficacia y eficiencia de las operaciones,
 Protección de activos, y
 Cumplimiento de leyes, regulaciones y contratos.

En la norma 2120 Control, la actividad de auditoría interna debe asistir a la

organización en el mantenimiento de controles efectivos, mediante la evaluación
de la eficacia y eficiencia de los mismos y promoviendo la mejora continua, con la
norma 2120.A3 los auditores internos deben revisar las operaciones y programas
para cerciorarse de que los resultados sean consistentes con los objetivos y
metas establecidos, y de que las operaciones y programas estén siendo implantados o
desempeñados tal como fueron planeados, en la norma 2600 Aceptación de los Riesgos
por la Dirección si el director ejecutivo de auditoría considere que la alta dirección
ha aceptado un nivel de riesgo residual que es inaceptable para la organización,
debe discutir esta cuestión con la alta dirección. Si la decisión referida al riesgo
residual no se resuelve, el director ejecutivo de auditoría y la alta dirección deben
informar esta situación al Consejo para su resolución.

Con los antecedentes normativos descritos, se evidencia el rol protagónico de la

auditoría interna en el fortalecimiento de los sistemas de control interno, lo cual incluye
de manera obligatoria una participación activa en la identificación oportuna de los
riesgos corporativos que puedan afectar el logro de los objetivos institucionales definidos
en el nivel estratégico u operativo.

No obstante, la auditoría de ninguna forma puede intervenir en la gestión propia de las

organizaciones de servicio público, su participación es viable en la asesoría de aquellos
temas sobre los cuales tiene competencia, esto es el sistema de control interno y
externo.

Como parte del sistema de control interno, la auditoría interna debe vigilar el correcto
funcionamiento del mismo para el logro de los objetivos en sus diferentes niveles y
categorías. Este eficaz funcionamiento garantizará el logro de las metas y objetivos,
pues en el camino, tuvieron el efecto deseado, la mitigación de los riesgos que los
puedan afectar.

Por lo expuesto se plantean las siguientes estrategias para lograr la pertinente

participación técnica de la auditoría interna, al tener del nuevo rol que debe asumir para
garantizar mayores niveles de eficacia en su accionar:
 Esta actividad involucra la intervención del auditor en la difusión de los aspectos
relevantes del sistema de control interno como responsabilidad propia del gestor
público.
 Además es importante proporcionar la visión sistemática de todos los
componentes del sistema de control interno, los mismos que se encuentran
estructurados en los 6 grupos de normas de control interno.
 La participación activa del auditor en la preparación de mapas de riesgo es
fundamental. Esta labor involucra la asesoría con respecto al contenido específico
de estas herramientas y su implementación dentro de la organización.
 La información que se genere en el mapa de riesgos es esencial para un enfoque
adecuado de los planes anuales de control de las diferentes unidades de
auditoría interna.
 La experiencia y conocimiento que el auditor interno posee con respecto a las
organizaciones en las que presta sus servicios es importante al momento de
identificar aquellos riesgos relacionados con los objetivos institucionales.
 Esta matriz de riesgos debe incluir aspectos como:

o Importancia del objetivo. En este aspecto se incluyen criterios cuantitativos como

la materialidad del área relacionada y cualitativos como la relación del área o
proceso con las actividades misionales
o Probabilidad del riesgo. El comportamiento histórico de los eventos negativos que
podrían afectar a los objetivos institucionales proporciona al auditor elementos de
calificación en función a su frecuencia.
o Impacto del riesgo. Tener pleno conocimiento de los efectos negativos de dichos
eventos en los objetivos permitirá al gestor identificar aquellos que pueden afectar
gravemente el cumplimiento de la planificación estratégica y operativa.

 Los resultados de la matriz de riesgos proporcionarán los insumos necesarios

para una correcta planificación anual de auditoría, pues los riesgos residuales,
que se obtienen como producto de esta matriz, identificarán aquellas áreas,
procesos, actividades o unidades administrativas cuyo riesgo residual, al ser
elevado, debe ser incluido obligatoriamente en los planes de control con el objeto
de mitigarlo y lograr su disminución a niveles aceptables.

 Es precisamente el control externo por medio de las auditorías y exámenes

especiales debidamente enfocados hacia las áreas críticas o de alto riesgo, el que
se encarga de coadyuvar en la gestión de riesgos institucionales. Se genera un
efecto sinérgico entre el control interno y el control externo.

La nueva visión del auditor interno debe orientarse a una participación colaborativa con
el gestor en la administración del riesgo corporativo. La información que se genera en
la matriz de riesgo, cuya aplicación es competencia propia de los administradores, es
definitivamente el mejor insumo para diseñar planes anuales de control mejor orientados
que garanticen eficiencia y eficacia de la auditoría.

¿CÓMO PONER EN PRÁCTICA EL ROL DE AUDITORÍA INTERNA?

Los antecedentes teóricos y normativos, nos dicen Qué debería realizar la Auditoría
Interna. A continuación, se expone Cómo se podrían ejecutar en la práctica las labores
de Asesoría, aseguramiento, control interno posterior, evaluaciones:
 ASESORÍA EN LA IMPLEMENTACIÓN Y ACTUALIZACIÓN DEL S. CONTROL
1
INTERNO
DIFUSIÓN DE LAS NORMAS DE CONTROL INTERNO EMITIDAS POR LA CGE:

 Asegurarse de que la máxima autoridad difunda las NCI

1.1
 Realizar recordatorios a través de la página web y correos electrónicos
 Realizar talleres por áreas

SEGUIMIENTO DE LA IMPLEMENTACIÓN DE LOS INSTRUMENTOS DERIVADOS DE

LAS NCI

 Definir instrumentos clave: planes, procesos, normas internas, políticas, controles de

1.2 gestión, supervisión, indicadores, sistemas de información, archivos
 Elaborar listas de verificación
 Aplicar cuestionarios
 Recomendar el cumplimiento de brechas y aplicación de los instrumentos faltantes
ASESORIA EN LA GENERACIÓN DE CONTROLES CLAVE - ESCENCIALES PARA EL
FUNCIONAMIENTO DEL SCI
1.3
 Identificar los controles clave derivados de las NCI
 Identificar los controles clave derivados de la base legal general
 Identificar los controles clave derivados de las normas internas
ASESORIA EN LA IMPLEMENTACIÓN DEL SCI, RESPECTO DE LOS PROCESOS
AGREGADORES DE VALOR
1.4
 Identificación de controles en los procesos misionales
 Detallar y difundir los controles por procesos misionales

2 ASESORÍA EN LA GESTIÓN DE RIESGO

APOYO EN LA IDENTIFICACIÓN Y ANALISIS DE RIESGOS EN FUNCIÓN DE
PLANES Y PROCESOS

2.1  Identificar objetivos estratégicos y operativos, procesos y recursos más

importantes
 Según el caso: inducir a la identificación y análisis de riesgos; o, verificar si se
realizó la identificación y análisis

ASESORÍA EN LA GENERACIÓN DEL MAPA DE RIESGO

2.2
 Apoyar la elaboración del mapa de riesgo o verificar su elaboración en función de
la NCI norma 300

ASESORÍA EN LA IDENTIFICACIÓN DE RESPUESTAS A LOS RIESGOS

2.3
 Motivar la generación de respuestas o, verificar la consistencia de las respuestas
generadas
 ASESORÍA EN LA IDENTIFICACIÓN DE ACTIVIDADES DE CONTROL
2.4
 Motivar la generación de controles internos o, verificar la consistencia de los
controles implementados

ASESORÍA EN LA GENERACIÓN DEL PLAN DE MITIGACIÓN

2.5
 Apoyar la elaboración del plan de mitigación o verificar su elaboración en función
de la NCI 300

SEGUIMIENTO A LA APLICACIÓN DE ACTIVIDADES DE CONTROL QUE LIMITEN

EL RIESGO RESIDUAL
2.6
 Realizar seguimientos, pruebas de cumplimiento y valoración del riesgo

3 CONTROL INTERNO POSTERIOR

ANÁLISIS PERIÓDICO DE OPERACIONES POR SISTEMA DE GESTIÓN:

3.1 Gestión Financiera, Gestión de Talento Humano, Contratación Pública, Administración

de Bienes, Tecnología, Documentación y Archivo,

VALORACIÓN PERIÓDICA DEL RIESGO PARA FINES DE AUDITORÍA EXTERNA

 "Selección aleatoria (gastos) o estratificada (inversiones) y análisis de operaciones

a partir en los meses de enero, abril, julio y octubre de cada año.
3.2
 Producto del seguimiento se valora el nivel de confianza y riesgo de control. Este
análisis sirve para la ejecución de acciones de control y auditoria externa"

SEGUIMIENTO DE RECOMENDACIONES
3.3
 Verificación de la implementación real de las acciones correctivas, en los procesos
institucionales
VERIFICACIÓN DE APLICACIÓN DE INDICADORES
3.4
 Verificación selectiva de la aplicación de fuentes de información, veracidad de los
datos, validez de los cálculos y reportes del cumplimiento de hitos y metas
VERIFICACIÓN DEL CUMPLIMIENTO DE LA LEGALIDAD
3.5
 Verificación del cumplimiento de las principales disposiciones legales aplicables a
los diferentes sistemas
IDENTIFICAR POTENCIALES RIESGOS DE INTEGRIDAD Y FRAUDE

 Programas y proyectos no planificados actividades y asesorías que no son parte

de la estructura, alta rotación de autoridades y mandos medios, nepotismo,
pluriempleo, conflicto de intereses; seguimiento de operaciones en función de las
3.6 fases, liquidez y disponibilidad presupuestaria, "contratos no integrados a la
planificación y programación.

 Términos de referencia preestablecidos

 Incidencia de las declaratorias de emergencia
3 CONTROL INTERNO POSTERIOR

 Relaciones societarias viciadas para participar y/o ganar concursos" "contratos

ocasionales que se convierten en contratos de servicios profesionales,
desvirtuando su naturaleza

 Confidencialidad de pruebas técnicas

 Relaciones de mandos medios con empresas reclutadoras

 Consultorías de talento humano, a pesar de existir personal técnico

 Análisis de consanguinidad y afinidad de autoridades "

 ingreso de bienes no contratados, que se subsanan con convenios de pago

4 ACCIONES DE CONTROL
CORDINACIÓN DE ACCIONES DE CONTROL CON LAS UNIDADES DE AUDITORÍA
EXTERNA

 Actualización del archivo permanente

 Identificación del universo de operaciones
4.1  Estratificación de operaciones por criterios de materialidad y legalidad
 Información sobre involucrados por sistemas, procesos y/o actividades auditables,
para fines de notificación
 Análisis financiero
 Identificación de áreas críticas por mayor riesgo calculado
 Entrega a la auditoria externa de los riesgos calculados
PLANIFICACION DE ACCIONES DE CONTROL EN FUNCIÓN DE LOS RIESGOS
4.2
VALORADOS
4.3 EXAMENES ESPECIALES ASIGNADOS
4.4 ANÁLISIS DE DENUNCIAS ASIGNADAS
4.5 OTROS