UCB OperationalAudit RedBckg1 v2

Auditoría Operativa
UCB LA PAZ
https://www.slido.com/ 1
Diferencias entre la
auditoría financiera, de
cumplimiento y
operacional “Los auditores
no podemos
corregir
errores, pero
podemos
mostrarte como
amortizarlo”
Diferencias entre auditoría financiera, de cumplimiento y
operacional
Tipo de Auditoría Normas Aplicables
Auditoría Revisión de EF para emitir Normas Internacionales de Auditoría (ISAs)
Financiera una opinión independiente
Auditoría Auditoría financiera, PPA’s • Normas de Auditoría Gubernamental
de Cumpli- Procedimientos • International Standards on Auditing ISAs
miento previamente acordados, • International Standards on Review
Auditorías de desempeño, Engagements (revisiones)
Revisiones de controles, etc.• International Standards on Assurance
Engagements and on Related Services
(además de auditorías y revisiones)
Auditoría Auditorías sobre Normas Internacionales para el Ejercicio
Interna información financiera y Profesional de la Auditoría Interna
Auditorías operativas 3
“”
“”
4
Auditoría Interna
Auditoría Interna (IA)
“La auditoría interna es una actividad independiente, objetiva de
aseguramiento y consultoría diseñada para agregar valor y mejorar las
operaciones de una organización.
Ayuda a una organización a alcanzar sus objetivos mediante un enfoque

sistemático y disciplinado para evaluar y mejorar la efectividad de los
procesos de gestión de riesgos, control y dirección (gobierno corporativo).
Protege el valor organizacional al proporcionar aseguramiento,

asesoramiento e información objetiva y basada en el riesgo.”
6
Qué es Auditoría Interna (IA)?
Es una actividad independiente, objetiva de aseguramiento y consultoría diseñada para

agregar valor y mejorar operaciones en una organización. IA es responsable de evaluar la
efectividad de los procesos de gestión de riesgos, control y gobernanza y de proporcionar
información y recomendaciones que pueden mejorar estos procesos, en relación con:
(a) Efectividad de las operaciones;

(b) Fiabilidad de la gestión financiera y la presentación de informes; y
(c) Cumplimiento de las leyes y reglamentos.
También puede implicar realizar investigaciones de fraude para identificar actos

fraudulentos y realizar auditorías de fraude posteriores a la investigación para identificar
fallas de control y establecer pérdidas financieras.
7
Actividades de Auditoría Interna
En la práctica, los auditores internos realizan una serie de actividades diferentes y

variadas, entre ellas para evaluar y recomendar mejoras para:
1 Adecuación y aplicación de controles financieros y operativos

2 Cumplimiento de las políticas, planes y procedimientos establecidos
3 Procedimientos de registro y protección de activos (pérdidas)
4 Prevención de pérdidas y fraude
5 Confiabilidad de la información reportada por la gerencia
6 Evaluación del desempeño de empleados y gerencia
8
Actividades de Auditoría Interna (Cont.)
Más allá de los estados financieros, hoy la auditoría interna es una oportunidad para
alertar sobre los problemas que no son evidentes para la administración:
a) ineficiencias operacionales,
b) incumplimiento de normas y regulaciones,
c) posibles ahorros de costos,
d) uso ineficiente de recursos, entre otros
9
Auditoría Interna (un resumen)
En 1941, se publicó el primer libro definitivo de auditoría interna, Victor Z. Brink’s

Modern Internal Auditing y se fundó el Instituto de Auditores Internos, dos eventos
históricos para la función de auditoría interna como profesión.
En 1941: 24 miembros
Hoy: +70,000 miembros activos en el mundo
Tradicionalistas pueden encontrar desconcertante esta expansión. El IIA es el
órgano rector de los auditores internos en todo el mundo. Fundado en 1941,
cuenta con más de 180 000 miembros en 180 países* y ha emitido guías para los
auditores internos en forma de las Normas para la Práctica Profesional de la
Auditoría Interna (las Normas), Consejos para la Práctica, Guías para la Práctica y
Documentos de Posición. Estos documentos brindan orientación sobre lo que
deben hacer los auditores internos y cómo hacerlo. 10
Independencia y
objetividad
11
Independencia y objetividad en la auditoría interna
Aunque el término "auditor independiente" generalmente se refiere a auditores en

firmas CPA independientes, la efectividad de un auditor interno depende crucialmente
de su independencia tanto del personal y de las actividades de una organización.
“La credibilidad acerca de la integridad de las conclusiones y recomendaciones de un

auditor interno están directamente relacionadas con su “independencia”.
Las Normas del Instituto de Auditores Internos para la Práctica Profesional de Auditoría
Interna resaltan la importancia de la independencia en una declaración que identifica el
estatus en la organización como un medio principal para lograr la independencia:
12
Independencia y objetividad en la auditoría interna (Cont.)
“El director ejecutivo de auditoría interna debe reportar a un nivel dentro de la

organización que permita que el cumplimiento de responsabilidades de la actividad de
IA”.
En resumen, los auditores internos deben informar a un nivel organizacional por encima
de los niveles auditados; de lo contrario, no podrían, efectivamente, criticar a sus pares
o superiores.
13
Independencia y objetividad en la auditoría interna (Cont.)
En los últimos años (resultado del mayor énfasis en atender las necesidades de la junta
directiva), la auditoría interna se ha orientado cada vez más hacia el control operativo, la
supervisión y la protección, que son responsabilidades principales de la junta directiva.
Por lo tanto, los auditores internos no son simplemente uno de los controles de la
organización, son un control sobre todos los otros controles.
Por esta razón, si bien los auditores internos pueden recomendar controles, no deben
diseñarlos ni implementarlos. Más bien, para maximizar su objetividad, los auditores
internos deberían servir a la organización como evaluadores independientes de los
controles existentes.
14
3ra Línea de
Defensa
15
Auditoría Interna IA: 3ra línea de defensa
La Alta Gerencia es responsable de implementar controles internos sólidos
Auditoría Interna (IA) es responsable de informar sus hallazgos al Directorio (Comité de

Auditoría)
Auditoría Interna (IA) es independiente del Directorio (Comité de Auditoría) y la Alta

Gerencia.
16
Auditoría Interna IA: 3ra línea de defensa (Cont.)
17
Auditoría Interna: ¿Cómo añade valor?
IA trabaja en estrecha colaboración con la administración para revisar los sistemas y

operaciones, identificar si se manejan bien los riesgos, si se implementan los procesos
correctos y si se siguen los procedimientos acordados.
Esto proporciona una indicación de la integridad de los sistemas y procesos de la

organización, su capacidad para respaldar los objetivos establecidos y para identificar
áreas para mejoras.
Auditoría interna (IA) funciona en todas las áreas de una organización, revisa aspectos
tangibles (e.g, cadena de suministro / sistemas de TI) e intangibles (e.g., cultura y ética
de la organización) de las operaciones.
18
Auditoría
Interna:
Cómo añade
valor?
19
Auditoría Interna: ¿Cómo añade valor? (Cont.)
Auditoría interna (IA) va más allá de los EF y los riesgos financieros, y considera aspectos
más amplios (e.g. reputación de la organización, crecimiento, impacto en el medio
ambiente y cómo se trata a los empleados.)
Cualquier proceso que tenga un impacto en la operación efectiva de una organización

puede incluirse en el alcance de la auditoría interna.
Auditoría interna (IA) informa al CEO y al Directorio a través del comité de auditoría y
proporciona un punto de vista independiente sobre los procesos integrados y su eficacia.
20
Auditor Interno
vs
Auditor Externo
Auditor Interno vs Auditor Externo
Area Auditor Externo Auditor Interno
Reporta a Accionistas y Stakeholders (Grupos Directorio y Alta Gerencia, que son
de Interés) fuera de la estructura parte de la estructura de gobierno
de gobierno de la entidad corporativo
Objetivos Añadir credibilidad y confiabilidad Evaluar y mejorar la efectividad del

a los Estados Financieros (EF) gobierno corporativo, riesgos
mediante la opinión gerenciales y procesos de control.
Provee seguridad al Directorio y a la
Alta Gerencia para ayudarlos a
cumplir con sus deberes
22
Auditor Interno vs Auditor Externo (Cont.)
Alcance Reportes financieros y Riesgos Todas las categorías de riesgo y
de/en reportes financieros las actividades de la Gerencia
Responsabilidad Ninguna (sin embargo es Aconsejar, entrenar en y facilitar

de implementar obligatorio reportar problemas) las mejoras, a efectos de no
mejoras reducir la responsabilidad de la
Gerencia
Aplicación Mandatorio para “todos” los Mandatorio para compañías en el

mandatoria negocios mercado de valores. Voluntario
para todas las demás compañías
23
Auditor Interno vs Auditor Externo (Cont.)
Enfoque Enfoque basado en riesgos, que Enfoque basado en riesgos, que
cubre riesgos de errores cubre todos los riesgos de
financieros negocio
Reporte final Estandarizado No estandarizado (adaptado)
Revelación n/a Mandatorio para compañías en el

pública mercado de valores
24
Similitudes entre Auditores Interno y Externo
Area Similitudes
Pruebas Ambos, auditores externos e internos usan rutinas para los test
(pruebas), que incluyen examinar y analizar transacciones y/o eventos
Estándares Ambos operan con disciplina profesional mientras se adhieren a los
estándares profesionales aplicables
Independencia Ambos deben permanecer independientes en relación al “cliente” en
todo momento
Cooperación Ambas funciones son interdependientes y deberían buscar
cooperación permanente
Reporte Ambos producen reportes formales que exponen sus hallazgos
25
Estándares Profesionales
Estándares profesionales para Auditoría Interna
Integridad
Desempeñar su trabajo con honestidad y

diligencia profesional. Respetar las leyes y
divulgar lo que corresponda (regulación y
profesión). No participar en actividades ilegales
o actos que vayan en detrimento de la profesión
o de la organización. Respetar y contribuir a los
objetivos legítimos y éticos de la organización
27
Estándares profesionales para Auditoría Interna (Cont.)
Independencia y Objetividad
(a) libre de condicionamientos que amenazan la

capacidad de IA para cumplir sus
responsabilidades de forma neutral, y
(b) actitud mental neutral que permite a IA

desempeñar su trabajo con honesta confianza en
el producto de su labor y sin comprometer su
calidad.
28
Confidencialidad
Prudencia en el uso y protección de la

información adquirida en el curso del trabajo.
No utilizar la información obtenida para lucro

personal o de alguna manera ilegal o que vaya en
contra de las leyes o en detrimento de los
objetivos legítimos y éticos de la organización.
29
Competencia
Los conocimientos, las aptitudes y otras

competencias es un término colectivo que se
refiere a la aptitud profesional requerida al IA para
llevar a cabo eficazmente sus responsabilidades
profesionales.
Se recomienda demostrar competencia

obteniendo certificaciones y cualificaciones
profesionales.
30
“Palabras prohibidas”
“”
31
Auditoría Operacional
“Casi todas las auditorías internas también pueden ser auditorías operativas.
Las auditorías operativas se distinguen de otros tipos de auditoría interna

por tener el objetivo de revisar la eficiencia, la eficacia, la economía y la
ética (conocidas como las 4E).
También pueden tener otros objetivos, como evaluar el cumplimiento de la

regulación o probar los controles de un sistema de información, pero lo
importante es el examen directo de una o más de las 4E.”
33
Operacional
vs
Desempeño
34
Auditoría Operacional vs Auditoría de Desempeño
Otro término comúnmente utilizado es auditoría de desempeño, que fundamentalmente
tiene el mismo objetivo:
Auditoría operativa: Una auditoría del uso de los recursos para evaluar si esos recursos
se están utilizando de la manera más eficiente y eficaz para cumplir con los objetivos de
una organización.
Auditoría de desempeño: Una auditoría de la gestión de una organización, programa o

función para identificar si se está llevando a cabo de manera eficiente y eficaz y si las
prácticas de gestión promueven la mejora.
35
Auditoría Operacional vs Auditoría de Desempeño (Cont.)
El término auditoría operativa se usa más comúnmente en el sector corporativo
(privado), mientras que el término auditoría de desempeño se usa a menudo en el sector
público.
Las auditorías operativas del sector corporativo se llevan a cabo dentro de la

organización, mientras que las auditorías de desempeño del sector público pueden ser
realizadas por auditoría interna o por el auditor externo.
36
Diferencias con
otros tipos de
auditoría
37
¿En qué se diferencia la auditoría operativa de otros tipos
de auditoría?
La diferencia crítica está en el objetivo de la auditoría y, por lo tanto, en las habilidades y
otros recursos que deben aplicarse al trabajo.
A medida que pasamos de la auditoría básica a formas más complejas de auditoría,

aumenta la complejidad del trabajo y la dificultad de lograr que el “sponsor” de la
auditoría esté de acuerdo con los objetivos del trabajo. También puede ser más difícil
encontrar criterios de evaluación apropiados y las habilidades necesarias para realizar
esas evaluaciones.
También significa que el enfoque del compromiso pasa de los productos (resultados) a la
consideración de los efectos directos y los beneficios.
38
4E’s
39
4E’s Economía, Eficiencia, Eficacia y Etica
El objetivo de utilizar un enfoque de auditoría operativa es averiguar:
a) Si las operaciones comerciales se gestionan de manera económica, eficiente, eficaz y

ética (las 4E).
b) Si los procedimientos de promoción y seguimiento de las 4E son adecuados.
c) Si se pueden realizar mejoras reales, no solo evaluando si hay cumplimiento o no

conformidad.
40
4E’s Economía, Eficiencia, Eficacia y Ética (Cont.)
La ECONOMIA se ocupa de minimizar el costo de los recursos utilizados (personas,
materiales, equipos, etc.), teniendo en cuenta la calidad adecuada requerida,
manteniendo bajo el costo de los insumos sin comprometer la calidad. Un ejemplo podría
ser cuando se compran suministros o servicios de salud de una calidad específica al mejor
precio posible.
La EFICIENCIA tiene que ver con la relación entre los bienes y servicios producidos
(productos) y los recursos utilizados para producirlos (insumos), obteniendo el máximo
provecho de los recursos disponibles. La eficiencia se trata de 'hacer las cosas bien'. Un
ejemplo podría ser donde la calidad de la atención médica se ha mejorado con el tiempo
sin un aumento en el costo.
41
4E’s Economía, Eficiencia, Eficacia y Ética (Cont.)
La EFICACIA se relaciona con el logro de objetivos predeterminados (logros planificados
específicamente) y con el impacto real (resultado logrado) en comparación con el
impacto previsto (objetivo): lograr el objetivo predeterminado. La eficacia se trata de
"hacer las cosas correctas". Un ejemplo podría ser donde las tasas de enfermedad han
disminuido como resultado de la atención médica brindada.
La ETICA es el estándar de comportamiento moral y conducta que se espera de las

organizaciones y sus empleados. Esto tiene un efecto directo en la operación de los
controles y por lo tanto en el logro de las otras 3E.
42
Cómo realizar
una auditoria
operativa
43
Realizar una auditoría operativa
Es probable que la secuencia de una auditoría operativa coincida con la secuencia de
otras auditorías internas:
› Establecer lo que se debe hacer/lograr.
› Establecer lo que se está haciendo/logrando.
› Comparar 'lo que debería' con 'lo que es’.
› Investigar diferencias significativas.
› Evaluar los efectos de las diferencias.

44
Realizar una auditoría operativa (Cont.)
La mayoría de las auditorías se detienen aquí. Para ser verdaderamente valiosa, la
auditoría debe ir más allá:
› Determinar la causa de las diferencias.
› Desarrollar hallazgos de auditoría y opciones de valor agregado y acciones de mejora.
Estas son las partes difíciles. Por lo general, es fácil determinar un efecto, pero tratar de
identificar la causa puede ser mucho más difícil.
45
Realizar una auditoría operativa (Cont.)
Por tanto, a muchos auditores internos les resulta más fácil simplemente informar sobre
lo que está mal y evitar tratar de identificar la causa raíz de un problema.
A menudo, una recomendación de auditoría interna será algo así como "Debe reforzarse
que los empleados sigan el procedimiento". Esta recomendación de auditoría interna es
de bajo impacto (floja, perezosa) y no una recomendación particularmente adecuada.
“Puede haber muchas razones por las que un empleado no está siguiendo los
procedimientos. Pero no muchos empleados desobedecerán deliberadamente un
procedimiento a menos que sea un mal procedimiento o que algo les impida cumplirlo.”
46
Coordinar con la
Gerencia
47
Coordinación con la Gerencia
El valor real de una auditoría interna es determinar la causa de las diferencias entre "lo
que es" y "lo que debería ser" e identificar opciones de valor agregado y acciones de
mejora. Esta es la esencia de la auditoría operativa.
La gerencia y el personal de un área saben mucho más sobre el tema de auditoría que el
auditor interno. Al trabajar en estrecha colaboración con la gerencia y las partes
interesadas al final de la auditoría para identificar las causas fundamentales y discutir las
opciones de mejora, se puede lograr un mejor resultado.
Una reunión o taller al final de una auditoría, que involucre al equipo de auditoría interna
y un grupo clave de las áreas comerciales, puede ser muy productivo para decidir las
acciones de mejora más apropiadas resultantes de la auditoría.
48
Auditoría
Operacional
49
La auditoría operativa se define como:
“Una evaluación orientada al futuro, sistemática e independiente de las actividades

organizacionales.
Se pueden utilizar datos financieros, pero las principales fuentes de evidencia son las
políticas operativas y los logros relacionados con los objetivos de la organización. Los
controles internos y las eficiencias pueden evaluarse durante este tipo de revisión.”
De acuerdo con Business Dictionary, la auditoría operativa es “Una revisión de cómo

funciona la gestión de una organización y sus procedimientos operativos con respecto a
su eficacia y eficiencia en el cumplimiento de los objetivos establecidos.
50
Propósito de la Auditoría Operacional
Mejorar la rentabilidad organizacional y el logro de los objetivos organizacionales.
Va más allá de una revisión de problemas de control interno. La administración no logra

sus objetivos simplemente adhiriéndose a satisfactorios sistemas de control interno. En
cambio, la gerencia debe definir metas, establecer estrategias apropiadas, dotar a la
organización de trabajadores suficientes y competentes, y ejecución efectiva.
Implica evaluar el desempeño de la administración (quienes tienen responsabilidad

fiduciaria hacia los propietarios de la organización y otras partes interesadas relevantes).
El entorno actual es más desafiante para gerentes y auditores dado que las expectativas
de partes interesadas han incrementado: responsabilidad social empresarial, actuación
ética, protección de información clave y mantenimiento de una reputación positiva.
51
Propósito de la Auditoría Operacional (Cont.)
Otro aspecto importante es que, en lugar de simplemente verificar que los empleados
estén desempeñando sus funciones de acuerdo con las políticas y procedimientos
establecidos, los auditores internos también verifican una variedad de aspectos
cualitativos de la organización y sus actividades.
En cuanto a documentación, se espera que los auditores internos verifiquen que estos
documentos estén actualizados, que sean relevantes, que reflejen la mejor manera de
realizar el trabajo en cuanto a eficiencia y eficacia, que estén a salvo de cambios no
autorizados, que son entendidos por los empleados, y que su ubicación es conocida por
los empleados para consulta.
52
También pueden estar relacionadas con la estructura de la organización, ya que una

organización mal estructurada o en la que la información no fluye con precisión y
prontitud pone en peligro los esfuerzos para lograr los objetivos. En cambio, las
organizaciones mal estructuradas tienden a ser desorganizadas, ineficientes, tienen una
alta rotación de empleados, clientes y proveedores, y se vuelven derrochadoras.
Todas estas manifestaciones e indicios de disfunción erosionan los ingredientes para el

éxito y un auditor que aporta una perspectiva fresca y objetiva a la revisión puede
identificar estas debilidades.
53
Al final, la auditoría operativa está diseñada para evaluar la eficacia y eficiencia de las
actividades, procesos, programas, funciones y unidades comerciales.
El alcance puede ser diferente de los períodos de alcance del año fiscal tradicional, ya
que lograr estos objetivos puede requerir un análisis de múltiples períodos de tiempo
para identificar, analizar y comprender tendencias, patrones, valores atípicos y otras
dinámicas positivas o negativas de interés.
54
“”
“”
55
Auditoría Basada
en Riesgos
56
La auditoría basada en riesgos
Involucrarse en la auditoría basada en el riesgo significa que los auditores internos

deben ejercer y aplicar una visión más amplia de los riesgos organizacionales. Los riesgos
contables y financieros son solo un número limitado de los muchos riesgos que enfrentan
las organizaciones. Otros ejemplos incluyen el riesgo de demoras, desperdicio,
ineficiencia, servicio al cliente deficiente, rotación excesiva de clientes y empleados,
datos de mala calidad y fallas del sistema.
Aunque estos riesgos en realidad caracterizan los entornos de trabajo en muchas

organizaciones, y los empleados afectados describen fácilmente el impacto que estos
riesgos tienen en la rentabilidad y la capacidad de la organización para tener éxito,
muchos auditores no logran identificar, medir y evaluar suficientemente los mecanismos
establecidos para mitigar esos riesgos.
57
La auditoría basada en riesgos (Cont.)
Algunas organizaciones han recorrido un largo camino en sus intentos de corregir esta
deficiencia, como la contratación de auditores con antecedentes más diversos.
La contratación de personal sin experiencia en auditoría (ingeniería, enfermería, geología

y biología, entre otros) plantea algunos desafíos de capacitación, pero permite incorporar
una diversidad de habilidades y mentalidades que enriquecen al departamento y brindan
información valiosa sobre otros riesgos que afectan a la organización.
58
La auditoría basada en riesgos (Cont.)
El concepto de auditoría basada en riesgos contrasta con lo que se ha denominado

auditoría basada en controles.
Auditoría basada en controles se define como auditorías que se centran en identificar y

evaluar los controles internos sin tener en cuenta su valor para el proceso (ej. auditores
toman un programa de trabajo preexistente sin entender ni investigar apropiadamente
los matices y/o el alcance de la auditoría actual).
También ocurre cuando los auditores realizan actividades de planificación, entrevistas y

otras investigaciones enfocándose sólo en identificar los controles existentes sin
comprender completamente los riesgos clave y los objetivos del proceso bajo revisión.
59
Valor agregado
de la auditoría
60
Valor agregado de una auditoría
Los auditores internos sirven al público y a los intereses comunes asegurándose de que
los propietarios reciban el rendimiento de sus inversiones al que tienen derecho y que los
medios para generar esas ganancias estén dentro de los límites de la ley.
Sin embargo, más allá de los accionistas, los auditores internos ayudan en el proceso de
garantizar que se satisfagan los intereses de todas las partes interesadas relevantes
(stakeholders).
Las partes interesadas (stakeholders) se pueden categorizar como económicas/primarias

y no económicas/secundarias.
61
Valor agregado de una auditoría (Cont.)
Empleados
Stakeholders primarios (económicos)
Los actores económicos o de mercado se
caracterizan por tener un intercambio Inversores Proveedores
monetario entre ellos. Realizan transacciones
con la empresa en el cumplimiento de su Empresa
objetivo principal de proporcionar bienes y (Entidad)
servicios. En consecuencia, los empleados,
clientes, acreedores y proveedores son Acreedores Clientes
actores económicos. A veces también se los
denomina partes interesadas primarias, Entidas
porque son fundamentales para la existencia Relacionadas
y las actividades de la empresa.
62
Stakeholders secundarios (no económicos) Gobiernos
Las interacciones secundarias ocurren cuando

otros individuos y grupos muestran interés o Público en Medios de
general prensa
preocupación por las actividades de la
organización. Son personas, grupos u
Empresa
organizaciones que, aunque no participan en un (Entidad)
intercambio económico directo con la Sociedad,
se ven afectados o pueden afectar sus Comunidades
Grupos de
activistas
actividades y decisiones principales. La lista
incluye comunidades, público en general, Grupos de
gobiernos, grupos de activistas sociales, medios soporte de
negocios
de comunicación y grupos de apoyo empresarial.
63
Un aspecto importante del trabajo del gerente y auditor moderno es identificar a las
partes interesadas relevantes y comprender sus intereses. También es importante
entender el poder que tienen para hacer valer estos intereses.
Este proceso se denomina análisis de las partes interesadas y plantea tres preguntas
fundamentales:
1. ¿Quiénes son las partes interesadas relevantes?

2. ¿Cuáles son los intereses de cada parte interesada?
3. ¿Cuál es el poder de cada parte interesada?
64
Stakeholder: Empleados
Interés: Mantener un empleo estable, Recibir un pago justo, Trabajar en un
ambiente seguro y cómodo
Poder: Poder de negociación, Acciones laborales, huelgas y juicios, Publicidad
Stakeholder: Proveedores
Interés: Recibir pedidos regulares de bienes/servicios, Recibir pagos puntualmente
Poder: Rechazar pedidos, Suministrar a los competidores
Stakeholder: Clientes
Interés: Recibir valor y calidad por su dinero, Recibir productos seguros y confiables
Poder: Comprar a la competencia, Boicotear, Negarse a pagar
65
Stakeholder: Acreedores
Intereses: Recibir reembolso de préstamos, Cobrar deudas e intereses
Poder: Pedir préstamos, Usar su autoridad legales para recuperar activos
Stakeholder: Inversionistas
Intereses: Recibir un rendimiento adecuado por su inversión, Generar una apreciación
del valor de su inversión
Poder: Ejercer derechos de voto, Capacidad para inspeccionar registros e informes
de la empresa
66
Stakeholder: Gobiernos
Interés: Promover el desarrollo económico, Recaudar ingresos a través de
impuestos
Poder: Adoptar reglamentos y leyes, Expedir/Emitir licencias y permisos
Stakeholder: Medios de prensa

Interés: Mantener al público informado, Monitorear las acciones de la empresa
Poder: Publicitar eventos que afectan/llegan al público
Stakeholder: Grupos de activistas

Interés: Supervisar el comportamiento ético y legal de la empresa
Poder: Presionar al gobierno para obtener regulaciones, Ganar apoyo público
67
Stakeholder: Grupos de apoyo empresarial

Interés: Proporcionar investigación e información para mejorar la competitividad
Poder: Usar personal/recursos para ayudar a empresas, Dar apoyo legal y político
Stakeholder: Comunidades
Interés: Emplear residentes locales, Garantizar el desarrollo local
Poder: Emitir/restringir licencias de operación, Promover regulación del gobierno
Stakeholder: Público en general

Interés: Minimizar riesgos, Lograr prosperidad para la sociedad
Poder: Apoyar a los activistas, Presionar al gobierno para que actúe, Elogiar o
condenar a las empresas
68
Identificar
Amenazas y
Vulnerabilidades
69
Identificar amenazas y vulnerabilidades operativas
El enfoque tradicional consistía en realizar revisiones post mórtem para verificar que lo
que se hizo se hizo correctamente. Esta fue una práctica que siguió los pasos de las
firmas de contadores públicos, que inspeccionan las transacciones que ocurrieron
durante el año fiscal anterior.
Los auditores internos deben ir más allá de inspeccionar las transacciones mucho
después de que se hayan realizado porque ahora el enfoque se inclina hacia un examen
de las amenazas y vulnerabilidades futuras que pueden afectar el cumplimiento de las
metas y objetivos de la organización a corto, mediano e incluso a largo plazo.
Cuando el auditor interno, al igual que en el pasado, sólo se dedica a corregir los
problemas del pasado, lo que se genera es un re-trabajo.
70
Identificar amenazas y vulnerabilidades operativas (Cont.)
Las amenazas y vulnerabilidades orientadas al futuro pueden ser:
Operacional: el mantenimiento de la capacidad operativa, la velocidad de ejecución (la

duración del ciclo), los niveles de personal, la motivación de los empleados, la
transferencia de conocimientos, el desarrollo y la implementación de sistemas,
Tecnológico: incluida la protección de la propiedad intelectual y la información de

identificación personal, ataques que interrumpan el servicio, continuidad comercial
debido a la rotación de personal y desarrollo de sistemas.
71
Las amenazas y vulnerabilidades orientadas al futuro pueden ser: (Cont.)
Estratégico: preocupaciones relacionadas con relaciones sólidas con clientes y

proveedores, lealtad del cliente, creación de asociaciones comerciales efectivas,
acuerdos de subcontratación y fusiones y adquisiciones.
Ambiental: que puede incluir un suministro confiable de agua y electricidad, lograr una
menor huella de carbono y reducir la cantidad de recursos naturales utilizados durante
las actividades comerciales.
72
Amenazas y vulnerabilidades pueden evaluarse a mediano y largo plazo, y también más

allá de las fronteras nacionales. Se evalúa la oficina central y la dinámica del país de las
operaciones, si existen leyes locales, si se aplican y cómo, y qué requisitos reemplazan a
cuáles. Los problemas políticos, malestar social y cambios demográficos son importantes
para los auditores de hoy, ya que cualquiera de estos cambios puede afectar las
empresas y a su capacidad para lograr sus objetivos de manera económica y oportuna.
Todas estas dinámicas requieren que los auditores internos adopten una visión más
futurista de sus roles, estén informados sobre la dinámica en sus industrias, países y
regiones, y no solo el microcosmos de sus organizaciones, como pueden haber estado
haciendo en el pasado. Una metodología de auditoria interna más dinámica y
perspicaz, debe estar basada en el riesgo.
73
Habilidades
requeridas
74
Auditorías operativas efectivas, habilidades requeridas
El cambio de paradigma de realizar una auditoría basada en controles a basada en riesgo

requiere que los auditores internos tengan y apliquen diferentes habilidades. Se debe
examinar la exposición al riesgo y las medidas implementadas (más allá de los riesgos
contables y financieros).
De acuerdo con el IIA, Informe de Competencias Básicas, las siguientes son las principales
competencias generales de los auditores internos:
1. Habilidades de comunicación, como habilidades orales, escritas, de redacción de

informes y de presentación.
2. Habilidades de identificación y solución de problemas, como el pensamiento
conceptual y analítico.
75
(Cont.)
… competencias generales de los auditores internos: (Cont.)
3. Capacidad para promover el valor de la auditoría interna

4. Conocimiento de los cambios en la industria, la regulación y los estándares.
5. Habilidades de organización
6. Habilidades de negociación/resolución de conflictos
7. Capacitación y desarrollo del personal
8. Marcos contables, herramientas y técnicas
9. Habilidades de gestión del cambio
10. Marco, herramientas y técnicas de TI
11. Fluidez cultural y habilidades en idiomas extranjeros
76
(Cont.)
Las tres competencias básicas comunes identificadas en el informe son habilidades de
comunicación, habilidades de identificación y solución de problemas, y mantenerse al día
con los cambios regulatorios y de la industria y los estándares profesionales.
Además, los auditores internos deben tener habilidades de comportamiento, como ser:
• Confidencialidad • “Sensibilidad” de • Construir equipo

• Objetividad gobernanza y ética • Influencia
• Comunicación • Trabajo en equipo • Facilitación
• Juicio • Relacionamiento • Gestión de personal
• Trabajar bien con todos • Trabajar de forma • Habilidad de generar
los niveles de gestión independiente cambios (catalizador)
• Liderazgo 77
Capacidades del
Auditor Interno
78
Capacidades del auditor interno
Nivel 5: Optimización
Características: Auditoría interna reconocida como agente de cambio
La auditoría interna es reconocida como un agente de cambio clave, mejorando

continuamente sus prácticas profesionales, integrando datos de desempeño, prácticas
líderes globales y retroalimentación para fortalecer continuamente la unidad y la
organización.
Planifica las necesidades de su fuerza laboral estratégicamente y mantiene relaciones

efectivas y continuas con otras unidades dentro de la organización para comprender las
direcciones estratégicas de la organización, los problemas emergentes y los riesgos.
79
Capacidades del auditor interno (Cont.)
Nivel 4: Administración
Características: Garantía general sobre gobierno, gestión de riesgos y control
La auditoría interna brinda aseguramiento general sobre el gobierno corporativo, la

gestión y el control de riesgos, contribuye al desarrollo de la gestión de la organización,
apoya a los organismos profesionales, tiene un mecanismo de planificación para su
fuerza laboral y utiliza métricas cuantitativas y cualitativas.
Coordina sus actividades para que sean lo suficientemente integrales y brinden una
seguridad razonable a nivel corporativo de que los procesos de GRC (Gobierno, Gestión
de riesgos y Cumplimiento) son adecuados y funcionan según lo previsto para cumplir
con los objetivos de la organización.
80
Nivel 3: Integración
Características: Servicios de asesoramiento
Auditoría interna proporciona orientación y asesoramiento a la dirección. Asesoramiento

agrega valor sin que el auditor asuma responsabilidad de la gestión. Los servicios están
dirigidos a facilitar en lugar de garantizar, e incluyen capacitación, revisiones de
desarrollo de sistemas, autoevaluación de desempeño y control y asesoramiento.
La IA se centra en creación de equipos y competencia, desarrollo de personal calificado

profesionalmente y una coordinación eficaz de la fuerza laboral dentro de la unidad y con
otros grupos de revisión. Utiliza medidas de rendimiento y realiza un seguimiento de sus
costos. La IA es un componente integral del equipo de gestión de la organización.
81
Nivel 2: Infraestructura
Características: Auditoría de cumplimiento
La función de auditoría interna se enfoca en las auditorías de cumplimiento, las cuales

evalúan la conformidad y apego a las políticas internas, leyes, reglamentos, contratos y
otros acuerdos o requisitos que presiden las actividades y metas del área, proceso o
sistema auditado.
82
Nivel 1: Inicial
Características: Auditorías ad hoc/aisladas
La función de auditoría interna no está estructurada y opera de manera ad hoc. Realiza

auditorías aisladas principalmente examinando documentos y transacciones para
verificar su precisión y cumplimiento.
El equipo de auditoría a menudo forma parte de una unidad organizacional separada sin
capacidades o infraestructura establecidas para respaldar la función.
Ad hoc – cuando sea necesario

83
Objetivos de la
Auditoría
Operacional
84
Auditoria Operacional: Objetivos
Objetivos clave de las auditorías operativas
Definir los objetivos es fundamental como paso inicial. Sin objetivos claramente
definidos, comunicados y entendidos, es probable que todos los involucrados se
desvíen durante el curso de la revisión al solicitar documentación irrelevante,
entrevistar a personas innecesariamente, examinar transacciones y analizar
características del proceso que son ajenas a las prioridades de la auditoría.
No tener objetivos claramente definidos resultará en pérdida de tiempo y dinero,

frustración para todos los involucrados y daño a la reputación de la función de
auditoría interna.
85
Auditoria Operacional: Objetivos (Cont.)
Objetivos clave de las auditorías operativas (Cont.)
En general, la definición de objetivos debería involucrar a la gerencia del auditado

(no debería ser unilateral). Los objetivos de la revisión podrían ser impulsados por:
1. Nuevas reglas (o actualizadas): Procedimientos y políticas (internos), Leyes y

reglamentos (externos), una combinación o una adopción voluntaria
(responsabilidad social).
2. Mal desempeño: Las ineficiencias, desperdicio, repetición del trabajo o quejas de

clientes y proveedores pueden requerir la participación de la gerencia y de
auditoría interna.
86
Objetivos clave de las auditorías operativas (Cont.)
3. Cumplimiento: Acciones correctivas resultan de iniciativas internas (ej. control de

calidad) y/o emitidas por reguladores.
4. Ingresos o gastos anómalos: Auditoría interna puede revisar las transacciones

relacionadas cuando las cifras de ingresos o gastos generan dudas (evaluar si son
legítimas y registradas por el monto y en el período correcto)
87
Consideraciones al definir objetivos
a) Examinar la infraestructura de la organización

Marco básico de un sistema u organización y los recursos (personal, edificios o
equipos necesarios para una actividad, incluyendo la planificación, presupuesto,
reportes, responsabilidades y roles, tecnología).
b) Riesgos del negocio

Dinámica y cambios en el entorno interno y/o externo de la organización y de
gobierno corporativo. Ej. ética, higiene y seguridad, consistencia en el uso de
políticas y procedimientos, expectativas de responsabilidad social, etc.
88
Consideraciones al definir objetivos (Cont.)
c) Tecnología
Una organización o un programa se compone de procesos diseñados para soortar el
programa, sub-procesos y unidades de la organización. Si el diseño es efectivo y
funcionan como se espera, apoyarán el logro de los objetivos.
89
“Qué es una auditoría?”
“”
90
Fases de la Auditoría
Operacional
Fases:
Planificación
92
Auditoria Operacional: Fases
Al igual que las auditorías tradicionales: planificación, trabajo de campo (ejecución)

y reporte.
Planificación
Incluye determinar el alcance, el presupuesto, la definición del universo, cómo se
realizarán las pruebas y la notificación del inicio de la auditoría. Podría decirse que
la planificación es la parte más importante de una auditoría.
La mala planificación conduce a ineficiencias y demoras.
93
Auditoria Operacional: Fases (Cont.)
Planificación (Cont.)
La planificación inicia mucho antes de la auditoría real. Primero se evalúan los

riesgos de la entidad y se elabora un plan de auditoría (todas las actividades
auditables: cuentas, procesos, programas y funciones de la organización, y riesgos
asociados con el cumplimiento de sus objetivos).
La evaluación de riesgos de negocio debe realizarse en colaboración con la alta

dirección y el consejo de administración (identificar preocupaciones y prioridades).
Esta evaluación genera dos resultados clave:
(1) un plan estratégico para la organización, y
(2) un plan de auditoría
94
En el plan de auditoría se debe identificar lo que se revisará en función de recursos

disponibles (objetivos vs capacidades vs uso de especialistas) y las
necesidades/prioridades de la organización.
Una evaluación más táctica se realizará para cada auditoría específica: actividades,
riesgos relevantes y la importancia/consecuencia relativa y
posibilidad/probabilidad de los riesgos.
El tiempo dedicado a la planificación, como % de la auditoría, variará con cada

organización, tipo de auditoría y nivel de experiencia de los involucrados (25%).
95
La definición de riesgos debe considerar preguntas como:
• ¿Qué podría salir mal?

• ¿Cómo podría fallar esa unidad?
• ¿Existen activos líquidos que requieran especial cuidado y supervisión?
• ¿Qué activos físicos se compran y utilizan? ¿Cómo deben protegerse y utilizarse
para obtener la máxima eficacia?
• ¿Qué activos intelectuales o digitales se utilizan y constituyen un factor clave de
éxito? Estos pueden incluir información personal, derechos de autor y licencias.
• ¿Cómo podría alguien o algo interrumpir las operaciones?
96
• ¿Cuáles son los objetivos y cómo sabemos si la unidad los está logrando?
• ¿Dónde son vulnerables las personas, los procesos, los sistemas o los activos?
• ¿En qué gastan más dinero?
• ¿Cómo facturan y recaudan ingresos?
• ¿Qué actividades son más complejas?
• ¿Qué actividades están reguladas?
• ¿Cuál es su mayor exposición legal?
• ¿Qué decisiones requieren más juicio?
• ¿Cómo podría alguien robar de la unidad?
• ¿Qué sistemas están en uso? ¿Quién tiene acceso a estos sistemas y qué
actividades pueden realizar (accesos)? 97
¿Qué debe salir bien para que la auditoría tenga éxito?
Auditoría interna puede ayudar a la gerencia a lograr sus objetivos organizacionales

al enfocarse en la revisión de actividades y la exposición al riesgo significativa y la
probabilidad de daños a la organización.
La posición de los auditores internos en la estructura organizacional, su enfoque

basado en el riesgo y sus habilidades y conocimiento, los hace especialmente
calificados para agregar valor. Auditores proactivos van más allá de los eventos
negativos aislados, buscan las interdependencias que tienen los objetivos y
recursos estratégicos de la administración.
98
¿Qué debe salir bien para que la auditoría tenga éxito? (Cont.)
En lugar de enfocarse en lo que puede salir mal, la capacidad de la dirección para

lograr sus objetivos y los de los stakeholders mejorará cuando los auditores
internos ayuden a la dirección a determinar qué debe salir bien e identificar los
factores críticos de éxito, incluida la asignación adecuada de los recursos limitados
de la organización.
En consecuencia, la evaluación de riesgos no debe limitarse a la identificación de

riesgos, sino que también debe ayudar a identificar oportunidades, determinar la
preparación de la organización y las responsabilidades frente a los riesgos.
99
Factores de riesgo
Juegan un papel importante durante la planificación y, en particular, durante la

evaluación de riesgos. Factores de riesgo son condiciones y otras variables, cuya
presencia o ausencia, exacerban o disminuyen el riesgo subyacente.
Por ejemplo, un factor de riesgo muy importante que el Marco Integrado de

Control Interno (COSO) menciona frecuentemente es la competencia de los
empleados. A mayor competencia, disminuye el riesgo de errores, omisiones y
mejora el control.
100
Factores de riesgo (Cont.)
Ejemplos de estas situaciones son:
• La persona que prepara las conciliaciones bancarias no tiene conocimientos

suficientes pero se asegura de que las "matemáticas funcionan“.
• El empleado no comprende completamente la importancia de investigar y

corregir los elementos de conciliación. Simplemente se limita a listar/enumerar
los elementos abiertos y permite que se acumulen.
101
Factores de riesgo (Cont.)
Otro factor de riesgo es el grado de juicio utilizado. A medida que aumenta el

alcance del juicio, aumenta el riesgo subyacente de error, abuso y malversación.
Otro factor de riesgo es el volumen de operaciones. A medida que incrementa el

número de transacciones de interés, aumentan los riesgos de errores y omisiones.
Otros factores incluyen: el tiempo transcurrido desde que se realizó la última

auditoría, la dispersión geográfica de las operaciones, el nivel de motivación de los
empleados, el clima ético, la complejidad de las operaciones, el tamaño de los
activos, el volumen, la liquidez y la presión para producir o alcanzar las metas.
102
Tipos de procedimientos de auditoría (Cont.)
Verificar: Confirmar, probar o corroborar que un hecho es cierto.
Trazabilidad: Implica el seguimiento de una transacción desde el origen (ej., un

recibo de caja, la creación de un archivo) hasta su destino, que podría ser un
informe financiero, operativo o reglamentario.
Vouching: Implica el "rastreo inverso" de una transacción desde el destino (p. ej.,
informe financiero, operativo o regulatorio) hasta su fuente (p. ej., orden de venta,
compra y hoja de tiempo).
103
Reconciliar: Relacionar la información de dos fuentes separadas para verificar la

precisión o las discrepancias esperadas.
Recalcular: Agregar los elementos en una columna o en una fila.
Observar: Para un área de interés, observe y anote las condiciones físicas (p. ej.,
temperatura, limpieza, seguridad de las paredes y/o demarcación)
Otros procedimientos incluyen: comparar, preparar, obtener, verificar y recontar.
104
La función de auditoría interna es verificar que la administración, con la autoridad

recibida de la junta directiva, establezca la estructura, políticas, procedimientos y
métricas para lograr la visión, misión y objetivos de la empresa, y esto debe hacerse
dentro de los parámetros del comportamiento ético, los requisitos legales y las
expectativas de los stakeholders.
105
Fases:
Trabajo de
Campo
(Ejecución)
106

y reporte.
Trabajo de Campo - Ejecución

En esta fase se realiza la mayor parte de las pruebas: entrevistas, documentación,
aplicación de pruebas, gestión del trabajo de campo y reportes de progreso.
1. Determinar si el proceso o programa bajo revisión está diseñado de manera

efectiva para que las metas y los objetivos relacionados puedan alcanzarse.
2. Verificar que los controles implementados estén funcionando según lo
diseñado por la gerencia
107
Trabajo de Campo – Ejecución (Cont.)
Separar el compromiso en fases no significa que las actividades sean excluyentes

entre sí. En ocasiones, se identifican condiciones reportables en la planificación.
Por tanto, podríamos encontrarnos aplicando pruebas durante la planificación y

planificando durante el trabajo de campo, debido a que las condiciones eran
diferentes a las anticipadas, elementos que se consideraban de bajo riesgo son en
realidad riesgos mayores, y viceversa (en lo posible, minimizar los cambios a
programas, plazos y alcances de auditoría establecidos, revisados y aprobados).
108
Tipos de evidencia de auditoría
Durante la revisión, los auditores deben corroborar su trabajo, conclusiones y

opiniones sobre hechos o información. Es decir, recopilan evidencia para respaldar
su trabajo (hallazgos) y demostrar si las condiciones son satisfactorias o no. Los
tipos de evidencia de auditoría incluyen:
a) Testimonial
Declaraciones o afirmaciones verbales o escritas dadas por alguien como prueba
sobre el asunto que se está discutiendo. Ej. pasos para procesar una solicitud de
préstamo, cómo se pagan las facturas entrantes, cómo se registra la compra de
inventario en contabilidad o los pasos para notificar un alta de empleado.
109
Tipos de evidencia de auditoría (Cont.)
a) Testimonial (Cont.)
Testimonio es lo que el individuo afirma sobre su propio conocimiento personal

sobre algo, mientras que el Rumor es el testimonio basado en lo que se escuchó
sobre ese tema, es decir, se escuchó dicho por otra persona. La Gerencia del
auditado debe asegurar que los empleados entiendan que las declaraciones falsas
hechas al auditor son motivo de acción disciplinaria.
Ej. Verbal (entrevistas, llamadas telefónicas), Escritas (cuestionario, email).
110
b) Observación
En general, se evalúa visualmente las instalaciones físicas, condiciones y prácticas

para verificar su existencia, su condición, valoración y protección. La observación se
puede hacer de dos maneras:
• El auditado sabe que el auditor está observando

• El auditado no sabe que el auditor está observando
111
b) Observación (Cont.)
Ejemplos:
• La seguridad para evitar que personas no autorizadas ingresen a las instalaciones
• El diseño del área de servicio al cliente para comprender mejor el flujo de clientes
• Verificar que la maquinaria exista y esté en condiciones de trabajo
• Caminar por el perímetro de un sitio de construcción para confirmar que hay una
cerca que restringe el acceso solo a personas autorizadas
• La forma en que se cargan y descargan los camiones en el almacén para
confirmar el cumplimiento de los procedimientos de seguridad
• Verificar que el centro de datos cumpla con pautas de temperatura y humedad
112
b) Observación (Cont.)
La calidad de los resultados podría depender de si el auditado sabe o no que el

auditor está tomando nota (ej. En una fábrica, regularmente los trabajadores no
usan su equipo de seguridad; pero…). La modificación del comportamiento puede
dar como resultado falsos negativos (comportamiento típico no observable).
Similarmente, la “deseabilidad social” puede ocasionar que los participantes en una

encuesta respondan preguntas de una manera que otros verán favorablemente (ej.
Énfasis en el “buen comportamiento” y/o minimizar el “mal comportamiento”).
113
c) Inspección de documentos (Cont.)
Es uno de los procedimientos más comunes para verificar fecha y monto de las
transacciones, acuerdos realizados entre varias partes, pruebas de autorizaciones y
registro de las decisiones tomadas, entre otros.
Los documentos pueden ser internos, externos o una combinación.
114
Interno: facturas producidas, memorandos, informes (ej. producción, inventario y

hojas de tiempo), declaraciones de políticas, documentación de procedimientos.
Externo: facturas recibidas, extractos bancarios, extractos de confirmación,

certificados de seguro, informes de crédito, estados financieros.
Combinación: contratos
115
Por ejemplo, en el caso de pagos de cuentas por pagar, el auditor puede querer ver
el monto de cada pago para compararlo con la factura recibida, la dirección a la que
se debería haber enviado el pago y el nombre de la persona que aprobó el pago.
para asegurarse de que el aprobador esté autorizado para hacerlo.
No se espera que los auditores internos sean expertos en documentos alterados o

falsificados, deben prestar mucha atención a cada documento en busca de
elementos anómalos que constituyan señales de alerta.
116
d) Re-cálculo/Re-proceso
El recálculo matemático consiste en verificar la exactitud de documentos/registros,

para verificar precisión, integridad del trabajo realizado y confirmar importes.
Ej. La provisión para incobrables a menudo se basa en un % de ventas. La premisa

clave es que un % de ventas eventualmente se convertirá en una deuda incobrable.
Ventas a múltiples clientes $12 000 000. Experiencia 1,5 % de estos clientes no
pagarán. Provisión para saldos incobrables $180 000 ($12 000 000 × 0,015).
117
Atributos de la evidencia “persuasiva” de auditoría
La evidencia se recopila para respaldar los resultados y las conclusiones alcanzadas.

La persuasión se define como la confianza alcanzada al llegar a una conclusión.
Relevancia: debe ser relevante para los objetivos y el alcance de la auditoría
Objetiva vs Subjetiva: es objetiva cuando es muy probable que dos o más auditores,
trabajando de forma independiente, lleguen al mismo resultado; también cuando
las partes involucradas no estén influenciadas por sentimientos u opiniones
personales al considerar y representar los hechos (ej. un recuento físico del
inventario es más objetivo y persuasivo que una estimación del jefe de almacén).
118
Atributos de la evidencia “persuasiva” de auditoría (Cont.)
Documentación: evidencia documentada es más persuasiva que no documentada.
Externalidad: evidencia obtenida de un tercero generalmente es más persuasiva

que la evidencia generada dentro de la organización auditada.
Tamaño de la muestra: muestras más grandes son generalmente más persuasivas.
Método de muestreo: muestras estadísticas suelen ser más persuasivas que las
muestras no estadísticas, porque reducen la probabilidad de sesgo de muestreo.
119
Corroborable: evidencia corroborada es más persuasiva que la no corroborada.
Oportuna: elementos recientes suelen ser más persuasivos que los elementos más
antiguos o los producidos después de un retraso
Autoridad: evidencia de un “experto (autoridad)” es más persuasiva que la de un

ajeno; ej. el operador de un equipo tiene más autoridad respecto a su operación,
que el ingeniero que la construyó o el gerente que rara vez o nunca uso el equipo).
120
Directa: evidencia directa es más persuasiva que la evidencia indirecta, ej. un

documento original es más persuasivo que una copia.
Idoneidad de los controles: evidencia de un sistema confiable y bien controlado es

más persuasiva que la evidencia de un sistema cuestionable o mal controlado.
121
Consideraciones adicionales sobre el trabajo de campo - ejecución
Pruebas de recorrido son útiles para mejorar la calidad de la auditoría y obtener

mejor comprensión de la integridad y precisión de datos utilizados en la revisión.
“Una firma de autorización por sí sola no es evidencia suficiente de que ocurrió un control”
Un recorrido consiste en el proceso de observar el flujo de transacciones de

principio a fin y, cuando corresponda, la revelación en los estados financieros. Es
una herramienta muy útil para identificar áreas donde podrían ocurrir errores y
declaraciones erróneas y para probar el diseño general de los controles.
122
Consideraciones adicionales sobre el trabajo de campo - ejecución (Cont.)
Usando los documentos y sistemas informáticos utilizados por la organización, se

debe aplicar una combinación de procedimientos, incluidas técnicas de indagación,
observación, inspección o repetición para evaluar el diseño y la eficacia del control,
y también verificar la precisión e integridad de los datos utilizados en el control.
Hacer preguntas abiertas (requieren descripción o explicación), es más eficaz que

las cerradas (ej., sí/no). Un enfoque más dinámico en lugar de simplemente leer
una lista de verificación proporciona mayor información.
123
Consideraciones adicionales sobre el trabajo de campo - ejecución (Cont.)
También es importante evaluar el nivel de competencia de la persona que realiza el

control (falta de conocimiento = errores por parte del procesador o aprobador).
Identificar una debilidad puede requerir un análisis más profundo. Considernado

esto, se debe equilibrar la naturaleza inquisitiva de las preguntas con dinámicas de
tipo conversacional (para reducir el estrés y la ansiedad del auditado).
La cantidad de evidencia, pruebas y clasificación de hallazgos es una cuestión de

juicio profesional, considerando: cuando se realizó la prueba anterior? efectividad
del control previamente auditado?, cambios en el control? riesgo asociado?
124
Fases:
Reporte
125

y reporte.
Reporte
Comunicar resultados (reporte) consiste en comunicar hallazgos, observaciones y
mejores prácticas observadas en la revisión y recomendar las acciones correctivas.
Hallazgos son la documentación de las desviaciones de lo que se esperaba y forman
la base para el informe de auditoría. “Hallazgos” son condiciones reportables serias
y “Observaciones” se refieren a elementos de menor riesgo.
126
Reporte (Cont.)
Atributos de “Hallazgos” de Auditoría Efectivos

Atributo: Importancia (¿Qué significa?)
Criterio: ¿Qué se esperaba? Consiste en lo que debe existir u ocurrir
Condición: ¿Qué existe realmente? Lo que el auditor descubrió como resultado
de la ejecución de los procedimientos de auditoría
Causa: Razón por la que existe la condición y por qué es diferente de los
criterios (foco en la causa raíz del problema, no en síntomas).
Efecto: Consecuencia o impacto de la condición.
Recomendación: Acción necesaria para corregir la condición, para que el desempeño
sea consistente con los criterios.
127
Reporte (Cont.)
De corresponder, el auditor debe cuantificar los hallazgos (ej. valor monetario, otras
métricas, tiempo desde que ocurrió la condición, cuántas personas u organizaciones
se ven afectadas, la antigüedad de los activos involucrados, etc.).
Exsiten dos (2) tipos de deficiencias:
• Diseño
• Funcionamiento
128
Reporte (Cont.)
Diseño: deficiencias en el diseño del programa o proceso (mal estructurado,

deficiente, ausente). Recordar que el “control” es responsabilidad de la gerencia.
Funcionamiento: controles que se están desempeñando de manera deficiente y no

actúan según lo diseñado.
Los hallazgos deben discutirse con los “dueños” del proceso y stakeholders relevantes
antes de incluirlos en el informe. Brinda la oportunidad de discutir los hechos y sus
implicaciones, preparar su respuesta antes de que su jefe se entere del problema y
permite “depurar” las posibles acciones correctivas.
129
Reporte (Cont.)
Hacer énfasis en la recomendación (decirl qué hacer) presenta dos problemas:
1) Dependencia: no permite desarrollar ideas propias ni identificar algunas

alternativas posibles para corregir el problema (riesgo: el auditor hace el trabajo).
2) Falta de propiedad (compromiso): se debe evitar “el auditor me dijo que lo haga
de esa manera”. Una recomendación debe entenderse (dejar claro que) es una
sugerencia o propuesta y queda a criterio del destinatario aceptarla o no.
130
Fases (?):
Seguimiento
131
Finalmente, tanto la gerencia como el auditor deben verificar que las acciones
correctivas se apliquen y que los problemas se solucionen como se esperaba.
Seguimiento
Dado que los hallazgos son significativos y son reportados a la alta gerencia y al
directorio, corresponde a la organización tomar medidas correctivas con prontitud.
Cuándo debe realizarse el seguimiento depende del riesgo asociado con el hallazgo.
Para algunos riesgos, la gerencia debe tomar medidas inmediatas y los auditores
también deben verificar de inmediato (ej. el firewall no funciona)
132
Seguimiento (Cont.)
El seguimiento significa que el auditor está verificando que se implementó la acción

correctiva. La gravedad de la observación determina el tipo de seguimiento.
De naturaleza administrativa: una revisión limitada para verificar que se actualizó la

documentación de los procedimientos.
Hallazgos de gravedad media o alta: pueden requerir una visita al sitio, seleccionar
una muestra de registros para probarlos o analizar el 100% de las transacciones para
verificar que ya no existe una deficiencia.
133
Seguimiento (Cont.)
Los hallazgos recurrentes (en mas de una auditoría) ocurren debido a:
1) El hallazgo es un síntoma de otro problema y al aplicar acciones las correctivas se

abordó un síntoma o los registros/archivos afectados, pero no la causa raíz.
2) La acción correctiva fue solo temporal y los comportamientos y actividades
volvieron a su condición original (gestión deficiente de los cambios).
3) No hubo compromiso para corregir el problema y la gerencia no actuó de acuerdo
con la observación.
134
“”
“”
135
Controles Internos:
Qué son?
Controles internos, ¿qué son?
Los controles internos son un conjunto de políticas (directrices, manuales) y

procedimientos (procesos) que la Administración tiene la responsabilidad de
implementar y mantener.
El objetivo del control interno es proporcionar una seguridad razonable de que se

alcanzan los objetivos de la empresa.
El objetivo del control interno es detectar y prevenir declaraciones erróneas que

puedan derivarse de fraude y error.
137
Controles internos, ¿qué son? (Cont.)
También se establece una buena estructura de control interno para:
1. Maximizar la eficiencia y efectividad de las operaciones
2. Proteger los activos de la empresa de pérdidas o daños debido a ineficiencia,

error o fraude
3. Proporcionar información contable precisa, oportuna, confiable y relevante a

través del mantenimiento adecuado de los registros contables
4. Asegure el cumplimiento de todas las leyes y regulaciones aplicables
138
Tipos de
Controles
139
Tipos de controles
Detectivo:
Diseñados para DESCUBRIR eventos una vez

que han ocurrido, e.g. Video vigilancia & Detecti Preventivo
Seguros en las puertas & Controles físicos vo
sobre el efectivo
Directivo Correctivo
140
Tipos de controles
Preventivo:
Diseñados para DETENER la ocurrencia de

eventos indeseables, e.g. separación de Detectivo
Preven
funciones & autorización y aprobación tivo
Directivo Correctivo
141
Tipos de controles
Correctivo:
Diseñados para REMEDIAR problemas que

Detectivo Preventivo
pueden ser “sistemáticamente” corregidos
(son desarrollados como resultado de la
observación de problemas sistémicos, no a
través de la evaluación de riesgos
Directivo
Correct
ivo
142
Tipos de controles
Directivo:
Diseñados para PROMOVER CUMPLIMIENTO,

Detectivo Preventivo
e.g. Código de ética & Manual de funciones &
Manuales de operación
Directi Correctivo
vo
143
COSO
Framework
144
COSO Framework: control interno
COSO define el control interno como un proceso, ejecutado por el Directorio, la

Alta Gerencia y otro personal de la entidad, diseñado para proveer seguridad
razonable en relación con el logro de los objetivos de la organización
La misión de COSO es: "... Proporcionar liderazgo intelectual a través del desarrollo
de marcos generales y orientaciones sobre la Gestión del Riesgo, Control Interno y
Disuasión del Fraude, diseñado para mejorar el desempeño organizacional y reducir
el alcance del fraude en las organizaciones.”
145
COSO
Framework
COMPONENTES
OBJETIVOS
146
ESTRUCTURA DE LA
ENTIDAD
COSO: Consideraciones principales
1 Inclusión de buenas prácticas de Gobierno

2 Fortalece la rendición de cuentas
3 Relevancia del fraude
4 Mayor nivel de competencia de los funcionarios
5 Integración de conceptos como riesgo inherente, nivel de tolerancia
6 Consideraciones sobre los servicios de outsourcing y como la Administración los
monitorea
7 Relevancia de los Sistemas de Información, Tecnologías de Información (TI) se
relaciona con 14 de los 17 principios
147
Relación entre
Componentes y
Principios
148
COSO: Componentes
Ambiente de Control: Ambiente de trabajo caracterizado por la forma en que está

estructurada la organización, forma de liderazgo, grado de apertura, estilo gerencial,
tener y practicar los principios de su código de ética y declaración de valores. Incluye
el tono en la parte superior y el grado en que hay congruencia entre el "hablar" y el
"andar" de la gerencia. En otras palabras, ¿los gerentes practican lo que predican?
Evaluación de riesgos: Se relaciona con la identificación, cuantificación, análisis y

gestión de riesgos organizacionales. Aquellos eventos que pueden poner en peligro
la capacidad de la organización para lograr sus objetivos. Riesgos representan lo que
puede salir mal mientras se realizan actividades comerciales en la búsqueda de
objetivos organizacionales.
149
COSO: Componentes (Cont.)
Actividades de control: Acciones establecidas a través de políticas y procedimientos

que mitigan la probabilidad y/o impacto de los riesgos. Se realizan en todos los
niveles de la organización, en las distintas etapas de los procesos y sobre la
infraestructura tecnológica de la organización.
Los controles pueden ser manuales (los realizan personas individuales y, a menudo,
utilizan elementos "tangibles" como papel y candados)
Los controles automatizados son realizados por computadoras y sistemas

electrónicos a menudo sin interacción humana directa o exclusiva.
Otros controles son una combinación de manual y automatizado.

150
COSO: Componentes (Cont.)
Información y comunicación: Idealmente brindan dirección y establecen métricas

para medir el desempeño. Emanan de la parte superior de la organización y son
instrucciones claras, consistentes, oportunas y con un propósito. También fluye
hacia arriba, proporcionando retroalimentación sobre los resultados, problemas y/o
desafíos sin resolver. Es la base para los informes operativos y financieros de gestión.
Actividades de monitoreo (seguimiento): Evaluaciones continuas, separadas o una

combinación. Utilizadas para determinar si cada uno de los cinco componentes del
CI está presente y funcionando. Al estar integradas en los procesos en todos los
niveles, brindan información oportuna sobre qué tan bien o mal se desempeñan las
actividades. Evaluaciones separadas o cíclicas varían en términos de alcance y
frecuencia (considera la evaluación de riesgos y resultados de evaluaciones previas).
151
COSO: Relación entre componentes y principios
Soporte a los esfuerzos de las organizaciones sobre el cumplimiento de objetivos.
Se debe considerar que el Control Interno es un proceso dinámico, iterativo e

integral. Por tanto, no es un proceso lineal en el que un componente afecta solo al
siguiente componente.
Más bien es un proceso integrado en el que los componentes pueden y van a

impactar en cualquier otro.
152
COSO: Relación entre componentes y principios (Cont.)
De los cinco componentes de Control Interno que

establece COSO, se deberán considerar los 17
principios que representan los conceptos
fundamentales relacionados con los componentes
para el establecimiento de un efectivo Sistema de
Control Interno.
153
01/ La organización demuestra compromiso por la integridad y valores éticos.
02/ El Consejo de Administración demuestra una independencia de la

administración y ejerce una supervisión del desarrollo y el rendimiento de los
controles internos.
03/ La Administración establece, con la aprobación del Consejo, las estructuras,

líneas de reporte y las autoridades y responsabilidades apropiadas en la búsqueda
de objetivos.
154
06/ La organización especifica objetivos con suficiente claridad para permitir la

identificación y valoración de los riesgos relacionados a los objetivos.
07/ La organización identifica los riesgos sobre el cumplimiento de los objetivos a

través de la entidad y analiza los riesgos para determinar cómo esos riesgos deben
de administrarse.
155
08/ La organización considera la posibilidad de fraude en la evaluación de riesgos

para el logro de los objetivos.
09/ La organización identifica y evalúa cambios que pueden impactar

significativamente al sistema de control interno.
156
10/ La organización elige y desarrolla actividades de control que contribuyen a la

mitigación de riesgos para el logro de objetivos a niveles aceptables.
11/ La organización elige y desarrolla actividades de control generales sobre la

tecnología para apoyar el cumplimiento de los objetivos.
12/ La organización despliega actividades de control a través de políticas que

establecen lo que se espera y procedimientos que ponen dichas políticas en acción.
157
13/ La organización obtiene o genera y usa información relevante y de calidad para

apoyar el funcionamiento del control interno.
14/ La organización comunica información internamente, incluyendo objetivos y

responsabilidades sobre el control interno, necesarios para apoyar funcionamiento
del control interno.
15/ La organización se comunica con grupos externos con respecto a situaciones

que afectan el funcionamiento del control interno.
158
16/ La organización selecciona, desarrolla, y realiza evaluaciones continuas y/o

separadas para comprobar que los componentes de CI están presentes y funcionan.
17/ La organización evalúa y comunica deficiencias de CI de manera adecuada a

aquellos grupos responsables de tomar la acción correctiva, incluyendo la Alta
Dirección y el Consejo de Administración, según sea apropiado.
159
Ejemplo:
160
“XXXXXXXXXXXXX?”
“”
161
Beneficios de un
Sistema de
Control Interno
162
Beneficios de un sistema de control interno
Define las normas de conducta y actuación, funcionando como conductor del
establecimiento del Sistema de Control Interno.
Ayuda a reducir sorpresas aportando confianza en el cumplimiento de los objetivos,

provee feedback del funcionamiento del negocio.
Establece las formas de actuación en todos los niveles de la organización, través de

la fijación de objetivos claros y medibles, y de actividades de control.
Otorga una seguridad razonable sobre la adecuada administración de los riesgos
del negocio.
Y el establecimiento de mecanismos de monitoreo formales para la resolución de

desviaciones al funcionamiento del sistema de control interno.
163
Beneficios de un sistema de control interno (Cont.)
Ejemplos:
1) En temas de Ambiente de Control, el definir e implementar el Código de Ética,

apoyados de un Buzón de Denuncia ayuda a identificar los esquemas de fraude
que se materializan en la empresa.
2) Mejora de los procesos de la Compañía a través del establecimiento de

controles, a nivel de automatización, alineación con los riesgos del negocio, y
con el cumplimiento de objetivos.
3) Cambios en la Función de Auditoría Interna alineada a los riesgos de negocio

críticos, asegurando el cumplimiento y apego de políticas, así como las
actividades de control claves definidos en cada componente.
164
COSO:
Componentes
165
.
166
01/ Demuestra compromiso a la integridad y valores
éticos
XXXX
XXXX
167
éticos (Cont.)
¿Que aspectos pueden indicar a las organizaciones la necesidad de implementar un
Sistema Integral de Ética?
Altos niveles de rotación en toda la empresa o en áreas focalizadas.
Disminución de la reputación y la imagen a través de medios, como las redes sociales.
¿Que aspectos pueden indicar a las organizaciones la necesidad de implementar un

Sistema Integral de Ética?
Menor valor de tu acción en la Bolsa, si es que eres una empresa que cotiza.
Caída en los indicadores internos de ambiente laboral.

168
éticos (Cont.)
XXXX
XXXX
169
éticos (Cont.)
XXXX
XXXX
170
éticos (Cont.)
XXXX
XXXX
171
01/ Demuestra compromiso a la integridad y
valores éticos (Cont.)
XXXX
XXXX
172
éticos (Cont.)
El tono puede ser un conductor o una barrera
La actitud en los niveles superiores y en todas las partes de la organización es

fundamental para el buen funcionamiento de un sistema de Control Interno.
La falta de un adecuado tono en la organización que soporte una cultura de CI,

puede repercutir en una conciencia de riesgo debilitada, respuestas a riesgos
inadecuadas, inadecuada definición o seguimiento de las actividades de control
deficientes, la información y comunicación puede fallar y la retroalimentación
sobre la supervisión de actividades puede no ser escuchada o atendida
oportunamente.
173
02/ Ejerce su responsabilidad de supervisión
XXXX
XXXX
174
02/ Ejerce su responsabilidad de supervisión (Cont.)
XXXX
XXXX
175
A. Establece responsabilidades de supervisión:
El Consejo de Administración identifica y acepta sus responsabilidades de

supervisión en relación con los requerimientos establecidos y las expectativas.
B. Aplica los conocimientos especializados pertinentes:
El Consejo de Administración define, mantiene y evalúa periódicamente las

habilidades y conocimientos necesarios entre sus miembros.
176
C. Opera de forma independiente:
El Consejo de Administración cuenta con miembros independientes, con

objetividad en evaluaciones y en la toma de decisiones.
D. Proporciona supervisión para el sistema de control interno:
El Consejo de Administración mantiene la responsabilidad de supervisión del

diseño, implementación y conducción del control interno.
177
A. Establece
responsabilidades de
supervisión:
El Consejo de
Administración identifica
y acepta sus
responsabilidades de
supervisión en relación
con los requerimientos
establecidos y las
expectativas.
178
B. Aplica los conocimientos especializados pertinentes:
El Consejo de Administración define, mantiene y evalúa periódicamente las

habilidades y conocimientos necesarios entre sus miembros.
179
C. Opera de forma
independiente:
El Consejo de
Administración cuenta
con miembros
independientes, con
objetividad en
evaluaciones y en la
toma de decisiones.
180
D. Proporciona supervisión
para el sistema de control
interno:
El Consejo de
Administración mantiene la
responsabilidad de
supervisión del diseño,
implementación y
conducción del control
interno.
181
02/ Ejerce su responsabilidad de supervisión
(Cont.)
D. Proporciona
supervisión para el
sistema de control
interno:
El Consejo de
Administración mantiene
la responsabilidad de
supervisión del diseño,
implementación y
conducción del control
interno.
182
03/ Establece estructura, autoridad y responsabilidades
1. Considera todas las estructuras de la entidad:
El Consejo de Administración consideran las múltiples estructuras utilizadas

(incluyendo unidades operativas, jurídicas, distribución geográfica y prestadores de
servicios) para apoyar el logro de objetivos.
2. Establece líneas para la presentación de informes:
La administración diseña y evalúa líneas de reporteo en la entidad para la ejecución

de autoridades y responsabilidades, y el flujo de información.
183
(Cont.)
3. Define, asigna y limita autoridades y responsabilidades:
La administración y el Consejo de Administración delegan autoridad, definen

responsabilidades y usan la tecnología y procesos adecuados para asignar
responsabilidades y segregar funciones.
184
(Cont.)
.
185
(Cont.)
.
186
(Cont.)
.
187
(Cont.)
.
188
(Cont.)
.
189
(Cont.)
.
190
(Cont.)
.
191
(Cont.)
.
192
04/ Demuestra compromiso con talento competente
XXXX
XXXX
193
(Cont.)
194
(Cont.)
195
05/ Asegura rendición de cuentas
(a) Asegura la rendición de cuentas a través de las Estructuras, Autoridades y

Responsabilidades
(b) Establece/evalúa métricas de desempeño, incentivos y recompensas
(c) Considera el exceso de presión
(d) Evalúa el desempeño y establece las recompensas o medidas disciplinarias

según sea apropiado (evaluar el desempeño del control interno)
196
05/ Asegura rendición de cuentas (Cont.)
El Tono de la Administración ayuda a establecer y exigir la rendición de cuentas, la

moral y un propósito común a través de:
Claridad de las expectativas de la Administración y el Consejo de Administración.
Orientación proporcionada por la administración a través de su filosofía y estilo

operativo, expresado el estado de actuación, formalidad, persistencia y otras
actitudes de administración hacia el control interno.
Control y flujo de información.
197
Canales de comunicación adecuados para empleados y prestadores de servicios

que se sientan confiables para reportar cualquier violación de las normas éticas.
Compromiso del empleado hacia objetivos colectivos.
Respuesta oportuna de la administración ante desviaciones identificadas sobre

estándares y comportamientos esperados.
Los lineamientos y guías de contenido son fuentes de información y serán

requeridas para que los órganos de gobierno puedan revisar, evaluar y, en su caso,
aprobar los siguientes temas:
198
199
Alcance del Gobierno Corporativo
200
.
201
Principios relacionados a la Evaluación de Riesgos
(1) Especifica objetivos para la identificación y valoración de los riesgos

relacionados a dichos objetivos
(2) Analiza los riesgos para determinar cómo deben de administrarse
(3) Considera la posibilidad de fraude en la evaluación de riesgos
(4) Identifica y evalúa cambios que pueden impactar significativamente la gestión

de riesgos
202
Qué es el riesgo?
Objetivos de una compañía:

Proteger el valor de sus activos existentes y crear nuevos
activos/valor para el futuro & Valor para la compañía es el valor
integrado para los stakeholders en su totalidad (internos y
externos).
Riesgo:
Es el impacto y la probabilidad de que una amenaza (o una serie
de eventos/amenazas) puedan afectar adversamente la
consecución de objetivos.
203
Administración del riesgo empresarial
204
Tomar riesgos: es bueno o malo?
El tomar riesgos es malo y es necesario evitarlo
Riesgos No recompensados (preservación/pérdida de valor)
El tomar riesgos es bueno dentro de un marco/ contexto donde el riesgo sea bien
administrado
Riesgos recompensados (creación de valor)
205
Preservación/Pérdida de valor
El mercado castiga severamente el fallar en la preservación de los activos existentes

(sin premio / el riesgo es malo)
Bottom-up y foco en las operaciones, reporte y cumplimiento.
La mayoría de los esfuerzos para administrar el riesgo se enfocan en los activos

actuales y se realizan aisladamente.
El manejo tradicional del riesgo es probabilístico –habitualmente no se trata el

riesgo en los extremos.
Riesgo sin retribución, por ejemplo: no es atractivo el tomar riesgo cuando se

compara con la desventaja que implican las pérdidas en las que se puede incurrir
206
Creación de valor
1 El mercado premia la habilidad de crear y sustentar el crecimiento futuro (algunos
riesgos valen la pena / son buenos)
2 Sin riesgo, no hay retribución. Esta es la base del capitalismo, e.g. Realizar inversiones
riesgosas y obtener buenos rendimientos de ellas.
3 Mejor entendimiento de lo ventajoso de las grandes inversiones y sus riesgos para

llegar al éxito y como superarlos.
4 La dirección se enfoca en riesgos críticos para la estrategia de la empresa y su
ejecución.
5 La toma de riesgos tiene retribuciones, por ejemplo: las compañías reciben premios
por tomar y administrar eficazmente los riesgos asociados con nuevos productos,
nuevos mercados, nuevos modelos de negocios, alianzas, adquisiciones, etc.
207
.
208
Actividades de control interno en una empresa
1 Revisiones de alto nivel (top-level)
La gerencia y los auditores internos, en varios niveles, deben revisar los resultados
de su desempeño, comparándolos con presupuestos, estadísticas competitivas y
otras mediciones de referencia. Las acciones de la administración para dar
seguimiento a los resultados de estas revisiones de nivel superior y tomar medidas
correctivas representan una actividad de control.
209
Actividades de control interno en una empresa (Cont.)
2 Gestión funcional o de actividad directa
Los gerentes en varios niveles deben revisar los informes operativos de sus
sistemas de control y tomar medidas correctivas según corresponda. Muchos
sistemas de gestión se han creado para producir informes de excepción que cubren
estas actividades de control.
Ej. Un sistema de seguridad de TI tendrá un mecanismo para informar intentos de

acceso no autorizados. La actividad de control aquí es el proceso de gestión de
seguimiento de estos eventos informados y tomar las medidas correctivas
apropiadas.
210
3 Procesamiento de información
Los sistemas de TI contienen muchos controles donde los sistemas verifican

internamente el cumplimiento en ciertas áreas y luego informan cualquier
excepción de control interno. Las excepciones informadas deben recibir medidas
correctivas vía sistemas automatizados, personal operativo o la administración.
Otras actividades incluyen controles sobre el desarrollo de nuevos sistemas o sobre

el acceso a datos y archivos de programa.
211
4 Controles físicos
Una empresa debe tener un control adecuado sobre sus activos físicos, incluidos
los accesorios, inventarios y valores negociables. Un procedimiento activo de
inventarios físicos periódicos representa una actividad de control importante aquí,
y los auditores internos pueden desempeñar un papel importante en el monitoreo
del cumplimiento.
212
5 Indicadores de rendimiento
La gerencia debe relacionar series de datos, tanto operativos como financieros,

entre sí y tomar las medidas analíticas, de investigación o correctivas adecuadas.
Este proceso representa una importante actividad de control empresarial que
también puede satisfacer los requisitos de informes financieros y operativos.
6 Segregación de deberes
Los deberes se deben segregar entre las diferentes personas para reducir el riesgo
de error o acciones inapropiadas. Este procedimiento básico de control interno
debería estar en el radar de casi todos los auditores internos.
213
.
214
Relación de la información con el control interno
Una empresa necesita información a todos los niveles para lograr sus objetivos
operativos, financieros y de cumplimiento.
El control interno de COSO adopta un enfoque amplio del concepto de un sistema de

información, reconociendo que los sistemas pueden ser manuales, automatizados o
conceptuales. Cualquiera de estos sistemas puede ser formal o informal.
El control interno de COSO adopta un enfoque amplio del concepto de un sistema de

información, reconociendo que los sistemas pueden ser manuales, automatizados o
conceptuales. Cualquiera de estos sistemas puede ser formal o informal.
215
Relación de la información con el control interno (Cont.)
Ej. Las conversaciones regulares con clientes o proveedores pueden ser fuentes de
información muy importantes y son un tipo informal de un sistema de información.
La empresa efectiva debe contar con sistemas de información para escuchar las
solicitudes o quejas de los clientes y enviar la información iniciada por el cliente al
personal apropiado.
216
Sistemas estratégicos & Sistemas integrados
Los procesos contables y financieros fueron los primeros sistemas automatizados o

de TI de la empresa, comenzando con el registro unitario o las máquinas de
contabilidad de tarjetas IBM los 50s y pasando a los primeros sistemas
informáticos.
La mayoría de las empresas actuales han actualizado sus sistemas de TI en

múltiples ocasiones, pero a veces su combinación básica de procesos de soporte
puede no haber cambiado significativamente.
217
Sistemas estratégicos & Sistemas integrados (Cont.)
Mediante un sistema estratégico, el informe de control interno de COSO sugiere

que la gerencia debería considerar la planificación, el diseño y la implementación
de sus sistemas de información como parte de su estrategia empresarial general.
Estos sistemas estratégicos apoyan el negocio de la empresa, ayudan a alcanzar su

objetivo empresarial, e identificar y reaccionar oportunamente a los cambios en su
ambiente.
218
Sistemas estratégicos & Sistemas integrados (Cont.)
El control interno de COSO también enfatiza la importancia de integrar sistemas de

información automatizados con otras operaciones.
Ej. Un sistema de fabricación totalmente automatizado que controla tanto las

máquinas de producción como los inventarios de equipos.
Ej. Un sistema de distribución que controla el inventario y programa los envíos.
Al respecto, solo porque un sistema es nuevo, no necesariamente proporcionará

mejores controles. Sistemas antiguos se han probado y probado a través del uso,
mientras que nuevos sistemas pueden tener debilidades desconocidas o no probadas.
219
Calidad de la información
Los sistemas de información de baja calidad, llenos de errores y omisiones, afectan

la capacidad de la gerencia para tomar las decisiones apropiadas.
Los informes deben contener suficientes datos e información para respaldar

actividades efectivas de control interno. Para determinar la calidad de la
información, uno debe determinar si:
1 El contenido de la información reportada es apropiado

2 La información es oportuna y está disponible cuando se requiere
3 La información es actual o al menos la última disponible
4 Los datos y la información son correctos
5 La información es accesible para las partes apropiadas
220
Medios y métodos de comunicación de información
No existe un medio correcto para comunicar información de control interno dentro

de la empresa. Una empresa moderna puede comunicar sus mensajes a través de
anuncios en el tablero, manuales de procedimientos, transmisiones por Internet,
presentaciones grabadas en video o discursos de miembros de la gerencia.
Sin embargo, las acciones tomadas antes o después del mensaje darán una señal
más fuerte a los destinatarios de la comunicación. Los controles internos de COSO
resumen este elemento de comunicación:
221
Medios y métodos de comunicación de información
(Cont.)
Una entidad con una larga y rica historia de operación con integridad, y cuya
cultura es bien entendida por las personas a través de la empresa, probablemente
encuentre pocas dificultades para comunicar su mensaje.
Una entidad sin esa tradición probablemente necesitará poner más en la forma en
que se comunican los mensajes.
222
.
223
Monitoreo
La Dirección debe establecer un proceso de monitoreo para evaluar la efectividad de

los componentes de CI y tomar medidas correctivas cuando sea apropiado.
Esta responsabilidad relacionada a auditoría interna no puede relegarse solo a los

auditores internos cuando la administración permanece ajena a otros posibles
problemas de control.
Una empresa necesita establecer una variedad de actividades de monitoreo para medir
la efectividad de sus controles internos.
Puede hacerlo a través de evaluaciones separadas, así como con actividades continuas
para monitorear el desempeño y tomar medidas correctivas cuando sea necesario.
224
Actividades de monitoreo continuo (ejemplos)
1 Gestión operativa funciones normales
Las revisiones normales de la gerencia sobre las operaciones y los informes

financieros constituyen una importante actividad de monitoreo continuo.
Se deben atender las excepciones reportadas y las posibles desviaciones del control
interno, a objeto de iniciar las acciones correctivas apropiadas.
225
Actividades de monitoreo continuo (ejemplos) (Cont.)
2 Comunicaciones de terceros
Los monitores de medición de comunicación externa, por ejemplo el número de

teléfono de una queja del cliente, son importantes; sin embargo, la empresa
necesita monitorear de cerca estas llamadas y luego iniciar acciones correctivas
cuando sea apropiado.
226
3 Estructura empresarial y actividades de supervisión
La alta gerencia siempre debe revisar los informes y tomar medidas correctivas (el
primer nivel de supervisión y la estructura empresarial juegan un papel
importante).
e.g. El supervisor directo de actividades de oficina debe revisar y corregir

rutinariamente los errores de nivel inferior y asegurar mejor desempeño.
Adicionalmente, la división de tareas representa un control de monitoreo.
227
4 Inventarios físicos y conciliación de activos
Los inventarios físicos periódicos, ya sea de existencias de almacén, valores

negociables u otros activos, son una actividad de monitoreo importante.
e.g. Un inventario anual en una tienda minorista puede indicar una pérdida
significativa de mercancías. Sin embargo, la sospecha de robo (posible razón) indica
la necesidad de mejores controles de seguridad.
228
Reporte de deficiencias de control interno
"Todas las deficiencias de control interno que pueden afectar el logro de los
objetivos de la entidad deben informarse a quienes pueden tomar las medidas
necesarias".
Una empresa moderna, no importa cuán bien organizada sea, será culpable de una
variedad de errores u omisiones de control interno.
COSO sugiere que todos estos deben ser identificados e informados y que incluso
los errores más leves deben investigarse para comprender si fueron causados por
alguna deficiencia de control sistémica.
229
Reporte de deficiencias de control interno (Cont.)
Por ejemplo, un empleado toma unos pocos dólares del fondo de caja chica. Esto
podría verse como un asunto menor debido a la pequeña cantidad, pero debe
considerarse una deficiencia de control en varios niveles.
El asunto debe ser investigado en lugar de ignorado, ya que "tal uso personal
tolerante del dinero de la entidad podría enviar un mensaje no deseado a los
empleados".
230
Reporte de deficiencias de control interno (Cont.)
Los hallazgos sobre las deficiencias de control interno generalmente se deben

informar no solo a la persona responsable de la función o actividad involucrada,
que está en posición de tomar medidas correctivas, sino también al menos a un
nivel de gestión por encima de la persona directamente responsable. Este proceso
permite que ese individuo brinde el apoyo o la supervisión necesarios para tomar
medidas correctivas, y para comunicarse con otros cuyas actividades pueden verse
afectadas. Cuando los hallazgos traspasen los límites de la organización, los
informes también deben cruzarse y dirigirse a un nivel suficientemente alto para
garantizar la acción adecuada.
231

UCB OperationalAudit RedBckg1 v2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

UCB OperationalAudit RedBckg1 v2

Cargado por

Copyright:

Formatos disponibles

Auditoría Operativa

Ayuda a una organización a alcanzar sus objetivos mediante un enfoque

Protege el valor organizacional al proporcionar aseguramiento,

Es una actividad independiente, objetiva de aseguramiento y consultoría diseñada para

(a) Efectividad de las operaciones;

También puede implicar realizar investigaciones de fraude para identificar actos

En la práctica, los auditores internos realizan una serie de actividades diferentes y

1 Adecuación y aplicación de controles financieros y operativos

En 1941, se publicó el primer libro definitivo de auditoría interna, Victor Z. Brink’s

Aunque el término "auditor independiente" generalmente se refiere a auditores en

“La credibilidad acerca de la integridad de las conclusiones y recomendaciones de un

“El director ejecutivo de auditoría interna debe reportar a un nivel dentro de la

La Alta Gerencia es responsable de implementar controles internos sólidos

Auditoría Interna (IA) es responsable de informar sus hallazgos al Directorio (Comité de

Auditoría Interna (IA) es independiente del Directorio (Comité de Auditoría) y la Alta

IA trabaja en estrecha colaboración con la administración para revisar los sistemas y

Esto proporciona una indicación de la integridad de los sistemas y procesos de la

Cualquier proceso que tenga un impacto en la operación efectiva de una organización

Objetivos Añadir credibilidad y confiabilidad Evaluar y mejorar la efectividad del

Responsabilidad Ninguna (sin embargo es Aconsejar, entrenar en y facilitar

Aplicación Mandatorio para “todos” los Mandatorio para compañías en el

Reporte final Estandarizado No estandarizado (adaptado)

Revelación n/a Mandatorio para compañías en el

Desempeñar su trabajo con honestidad y

(a) libre de condicionamientos que amenazan la

(b) actitud mental neutral que permite a IA

Prudencia en el uso y protección de la

No utilizar la información obtenida para lucro

Los conocimientos, las aptitudes y otras

Se recomienda demostrar competencia

Las auditorías operativas se distinguen de otros tipos de auditoría interna

También pueden tener otros objetivos, como evaluar el cumplimiento de la

Auditoría de desempeño: Una auditoría de la gestión de una organización, programa o

Las auditorías operativas del sector corporativo se llevan a cabo dentro de la

A medida que pasamos de la auditoría básica a formas más complejas de auditoría,

a) Si las operaciones comerciales se gestionan de manera económica, eficiente, eficaz y

b) Si los procedimientos de promoción y seguimiento de las 4E son adecuados.

c) Si se pueden realizar mejoras reales, no solo evaluando si hay cumplimiento o no

La ETICA es el estándar de comportamiento moral y conducta que se espera de las

› Establecer lo que se debe hacer/lograr.

› Establecer lo que se está haciendo/logrando.

› Comparar 'lo que debería' con 'lo que es’.

› Investigar diferencias significativas.

› Evaluar los efectos de las diferencias.

› Determinar la causa de las diferencias.

› Desarrollar hallazgos de auditoría y opciones de valor agregado y acciones de mejora.

La auditoría operativa se define como:

“Una evaluación orientada al futuro, sistemática e independiente de las actividades

De acuerdo con Business Dictionary, la auditoría operativa es “Una revisión de cómo

Mejorar la rentabilidad organizacional y el logro de los objetivos organizacionales.

Va más allá de una revisión de problemas de control interno. La administración no logra

Implica evaluar el desempeño de la administración (quienes tienen responsabilidad

También pueden estar relacionadas con la estructura de la organización, ya que una

Todas estas manifestaciones e indicios de disfunción erosionan los ingredientes para el

Involucrarse en la auditoría basada en el riesgo significa que los auditores internos

Aunque estos riesgos en realidad caracterizan los entornos de trabajo en muchas

La contratación de personal sin experiencia en auditoría (ingeniería, enfermería, geología

El concepto de auditoría basada en riesgos contrasta con lo que se ha denominado

Auditoría basada en controles se define como auditorías que se centran en identificar y

También ocurre cuando los auditores realizan actividades de planificación, entrevistas y

Las partes interesadas (stakeholders) se pueden categorizar como económicas/primarias

Stakeholders secundarios (no económicos) Gobiernos

Las interacciones secundarias ocurren cuando