Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética

1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de Sistemas
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesiones 01 a 06

2
Bibliografía
 Mario G. Piattini Velthuis y Emilio del Peso Navarro. Auditoría
informática – Un enfoque práctico. Editorial RA-MA, 2000.
 José Antonio Echenique. Auditoría en informática. McGraw-Hill,
2001.
 Enrique Hernández Hernández. Auditoría en informática.
Compañía Editorial Continental, 2004.
 Carlos Muñoz Pazo. Auditoría en sistemas. Pearson, 2009.
 ISACA, COBIT 5
 ONGEI. Auditoría de sistemas. Disponible en:
http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm

3
¿Qué esperamos encontrar en las empresas?
 Economía
 Eficiencia
 Eficacia  Efectividad
 Transparencia
 Estrategia
 Estándares
 Mejores prácticas
 Gestión
http://www.robeco.es/vision-del-mercado/global-premium/la-
filosofia-de-los-tres-circulos.jsp
Ejecución

4

5
Experiencias –la realidad
 (in) Cumplimiento de licencias de software -identificar software pirata, control de
licencias)
 Incompatibilidad del hardware y software –problemas de integración, responsabilidad
 Errores frecuentes de la aplicación -“caída”, resultados inexactos, lentitud
 Bases de Datos con problemas de integridad
 Bajo desempeño del hardware y software –planeamiento de capacidad inadecuado,
insuficiente, inapropiado, inexistente
 Proyectos con retrasos o que “nunca terminan” –deficiencias de gestión o su inexistencia
 Insatisfacción de los usuarios para con los sistemas de información –¿niveles de servicio?
¿qué es eso?
 Demoras en la atención –más de lo mismo
 Corrección frecuente a los programas de las aplicaciones –¿sabemos programar?
 Fallas en el control de versiones -¿quién es dueño de la información?
 Retrabajos –¿qué pasó aquí?
 Alta rotación de personal –aburrimiento, desconfianza, inseguridad
 Funciones no establecidas –más de lo mismo y menos S/.S/.S/.

6
Riesgos
• Desconfianza en el servicio
• Pérdida de confianza en la corrección y compleción de la información
• Pérdida o divulgación no autorizada de información valiosa para la empresa
• Manipulación no adecuada o autorizada de la información.
• Acceso no controlado a la información.
• Protección inapropiada contra software malicioso.
• Objetivos institucionales no alcanzados
• Incremento desmedido y no controlado del CAPEX y OPEX
• Pérdida de control de los plazos de entrega
• Retraso en la toma de decisiones.
• Regulaciones incumplidas

7
Impacto
 Imagen
 Rentabilidad

8
Recomendaciones
 Implementar políticas de seguridad, apoyar la
concientización y las capacitaciones continuas a los
usuarios.
 Actualizar la política interna de seguridad de la información.
 Realizar la definición de las políticas de acceso a la
información de acuerdo a los roles y funciones establecidos
para los empleados.
 Establecer políticas y procedimientos de gestión de activos
de información y realizar capacitaciones continuas sobre el
tema.
 Aplicar criterios de seguridad de la información basándose
en los controles estipulados en las buenas prácticas de
organismos internacionales como ISO.
 Aplicar metodologías para la gestión de servicios de TI.
 Aplicar metodologías para la gestión de proyectos como
PMBoK.
 Realizar e implementar metodologías y buenas prácticas
descritas en el documento de detalle referidas a la gestión
de la seguridad de la información y controles COBIT.

9
Pero…
 ¿cómo sabemos que logramos los objetivos?
 ¿cómo sabemos si obtuvimos los resultados
esperados?
 ¿cómo sabemos cuán bien –o mal- nos fue?
 ¿cuánto realmente invertimos –gastamos,
malgastamos?
COSTOTOTALDEPROPIEDAD
ACUERDOSDENIVELDESERVICIO
PROYECTO
RIESGOS
GESTIÓN

10
Inquietudes
 ¿Está apoyando la función
informática las estrategias de
negocio?
 ¿Se utilizan estrategias, estándares
internacionales y mejores prácticas
en la industria?
 ¿Están establecidos y maduros los
procesos utilizados?
 ¿Están validados los avances
reportados en su función dentro
de la empresa?

11
Estándares nacionales a considerar
Norma Técnica
Peruana NTP ISO
9001:2008
• Sistemas de
gestión de la
calidad.
Requisitos
RESOLUCIÓN
MINISTERIAL N° 246-
2007-PCM, Norma
Técnica Peruana NTP
ISO/IEC 17799:2007
• EDI. Tecnología
de la
información.
Código de
buenas prácticas
para la gestión
de la seguridad
de la
información
RESOLUCIÓN
MINISTERIAL N° 129-
2012-PCM, Norma
Técnica Peruana NTP
ISO/IEC 27001:2008
• EDI Tecnología
de la
Información.
Técnicas de
Seguridad.
Sistemas de
Gestión de
seguridad de la
Información.
Requisitos
Norma Técnica
Peruana
NTP ISO/IEC
20000-2:2008
• Tecnología de la
información.
Gestión del
servicio. Parte 2:
Código de
buenas
prácticas. 1a
Edición
Fuente: http://searchdatacenter.techtarget.com/tip/What-to-look-for-in-a-Tier-III-data-center-provider

12
Costo total de propiedad -TCO
 Se utiliza para conocer el costo y riesgos a la hora de invertir en
tecnologías de la información.
 Information Technology Infrastructure Library -ITIL (ITIL, 2013) la
considera una estrategia del servicio.
 Factores intervinientes:
 Complejidad de la propia infraestructura tecnológica y de su propia
administración.
 Riesgos de implementación –que crecen con la complejidad de la
implementación.
 Riesgos operacionales –periodos de inactividad, pérdida de datos,
incumplimiento regulatorio o normativo, entre otros.
 Los riesgos podrían generar un mayor costo ante la aparición de un
determinado evento.
 Mejores prácticas en la industria.

13
Consideraciones
 Costos directos (presupuestados –la adquisición del bien).
 Costos indirectos y recurrentes (no presupuestados –el uso y mantenimiento
del bien) como, pero no limitados a, los siguientes:
 De operación.
 De maquinaria.
 De implantación de las TIC.
 De trabajos de consultoría.
 De infraestructura (energía eléctrica, espacio físico, climatización, sistemas contra
incendio, controles de temperatura y humedad, otros).
 Aspectos del uso, mantenimiento, reparaciones, reposiciones, depreciación.
 Proyecciones de gastos recurrentes.
 Capacitación para el personal de soporte y para usuarios.
 Período de inactividad del usuario final.
 Investigación y desarrollo, documentación, otros.
 Marketing y publicidad.
 Beneficios esperados.

14
Acuerdos de nivel de servicio
 Con este acuerdo o contrato, el usuario es quien determina el nivel de calidad en la
prestación del servicio que proporciona cada proveedor (lo que puede ofrecer), de
acuerdo con sus necesidades y expectativas (lo que se necesita y espera), y sujetas a un
acuerdo mutuo (lo que se puede obtener y es aceptado).
 Un acuerdo de nivel de servicio es parte del diseño mismo del servicio (ITIL, 2013) y se le
considera una herramienta para la mejora continua del servicio.

15
Consideraciones
 Según foro-helpdesk.com, el éxito de la implementación de un ANS
depende en gran medida de la correcta elección de los indicadores y
los objetivos a alcanzar para cada uno de ellos.
 Un indicador representa algunas de las variables que componen un
proceso o servicio brindado –sólo aquellas variables de servicio que
estén directamente ligadas con la percepción de calidad por parte del
usuario y que respondan a los intereses del negocio son importantes.
 Los objetivos estarán relacionados con la eficiencia, la eficacia, la
efectividad -o la disponibilidad de dicho servicio.
 Téngase presente que los elementos constitutivos deben ser: medibles
y específicos –a mayor detalle, menor ocurrencia de malos
entendidos y expectativas no satisfechas.

16
Ámbito de solución
 Necesidades de los usuarios:
 Levantamiento de información.
 Consultoría.
 Recursos asignados:
 Cantidad.
 Experiencia.
 Calidad.
 Tiempo asignado:
 Planeamiento.
 Diseño / análisis.
 Coordinaciones.
 Investigación.
 Implementación.
 Alcances.
 Qué sí se hará.
 Exclusiones:
 Qué no se hará.
Costos
• Responsabilidades y límites
compartidos
• Métricas de Soporte
• Indicadores de rendimiento para el
servicio al cliente
• Indicadores de rendimiento para la
organización
• El precio de la no conformidad
Involucra
varias áreas
Aspectos fuera del alcance técnico
Aspectos de posible
resolución directa
Aspectos
que
requieren
mayor
experiencia
Escalamiento
Límite
técnico
Límite funcional
Escalamiento

17
Procesos: definiciones, terminología
 Proceso:
 Conjunto de actividades
interrelacionadas que interactúan
 Transforman elementos de entrada
en elementos de salida
 Cuentan con retroalimentación
 Provee valor añadido -agregado
 Tipos
 Clave y de soporte
 Actividades
 Traspaso, control
 Entradas y salidas poseen atributos:
 Garantizado, uniforme, conforme.
 Confiable, estable, íntegro, preciso.
 Previsión, profesionalismo,
seguridad.
 Comunicación clara, concisa,
entendible, completa, considerada.
 Otros.
Las cosas deben hacerse:
- En el momento preciso
- Por quien debe hacerlas
- De manera correcta
–> desde la primera vez
Eficiencia, eficacia, efectividad
R
e
q
u
i
s
i
t
o
s
S
e
r
v
i
c
i
o
s
Recomendaciones, políticas,
estándares -buenas prácticas
Capacitación, entrenamiento
Reacción o
satisfacción
Aprendizaje
Aplicación e
implementación
Impacto en
el negocio

18
Beneficios de un proceso bien diseñado
 Satisfacción del cliente.
 Flexibilidad ante requerimientos del cliente.
 Mayor conocimiento y control.
 Mejor flujo de información y materiales.
 Reducción de tiempos y costos.
 Reducción y/o eliminación de burocracia.
 Mejora de la cadena de valor.
 Economía para la empresa.
 Mayor competitividad.
 Lograr resultados.
 Innovación.
 …

19
ATRIBUTOS
• Definidos
• Documentados
• Comunicados
• Entendidos
• Repetibles
• Seguidos consistentemente
• Capacidad de realización
Elementos de un proceso
Entradas
PROVEEDOR
PROCESO
(Conjunto de
actividades
mutuamente
relacionadas o que
interactúan, las cuales
transforman
elementos de entrada
en resultados –
ISO9000)
Salidas
CLIENTE
Mecanismos y controles
Recursos
Requisitos Requisitos
• Datos
• Materia prima
• Materiales
• Servicios
• Sistemas de información útil y usable
• Producto terminado –o entregado
• Servicio implementado -o realizado
• Hardware instalado y configurado
ATRIBUTOS
• Predecibles
• Estables
• Consistentes
• Medidos
• Controlados
• Alcanzar resultados esperados
En un proceso las cosas
deben hacerse:
- En el momento preciso
- Por quien debe hacerlas
- De manera correcta
–> desde la primera vez
Procesos
anteriores
Procesos
posteriores
Necesidad o expectativa
establecida, generalmente
implícita u obligatoria

20
Proceso general de información

21
La gestión por procesos vs. la gestión por funciones
Fuente: Vicente Andreu, Director de DHO Consultores

22
¿Control de calidad?
INSUMOS PRODUCTO
EFICIENCIA EFICACIA
LÓGICA PROCESAL LÓGICA DIRECCIONAL
EFECTOS
INDESEADOS
EFECTOS
DESEADOS
EFECTOS
SERENDIPÍTICOS
EFECTOS
ANTIPARÍSTASIS
EFECTIVIDAD
Antiparístasis: interacción de dos opuestos, uno de los
cuales, por su oposición, excita y aumenta la fuerza del
otro.
Serendipia: un descubrimiento científico afortunado e
inesperado que se ha realizado accidentalmente.
BALANCE
RESULTADOS
Capacidad
para lograr un
fin empleando
los mejores
medios
posibles
Capacidad para
lograr el efecto que
se desea o se
espera, sin que
primen para ello los
recursos o los
medios empleados
PROCESO PROCESO Cuantificación
del logro de una
meta
Calidad del producto al presentar el
máximo de efectos deseados y
mínimo de indeseados, reduciendo
así los reprocesos, retrabajos y el
desperdicio
Cantidad,
calidad,
espacio y
tiempo
PROCESO TÉCNICO
ESTRUCTURADO
NORMALIZADO
PROCESO TÉCNICO-
POLÍTICO REQUIERE
CONSTRUCCIÓN DE
VIABILIDAD
Adaptación de: Kilian Zambrano D., 2004,
"Planificación y Control de la Producción Pública"

23
Puntos sugeridos de control

24
Glosario
 NAGU: Normas de auditoría gubernamental. Resolución de
Contraloría N°162-95-CG.
 NIA: Normas internacionales de Auditoría
 Statements on Auditing Standards -SAS: Declaraciones sobre
Normas de Auditoría
 Financial Accounting Standards Board -FASB: Normas de
Contabilidad Financiera
 NIC: Normas Internacionales de Contabilidad –oficializadas
 Normas Internacionales de Contabilidad para el Sector Público -
NICSP
 ¿Qué normas guían el trabajo de los profesionales de auditoría
interna?
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.
 Ley orgánica del sistema nacional de control y de la contraloría general de
la república. Ley 27785. Marco normativo.
Aplicables en la obtención
de la evidencia y
preparación de los
papeles de trabajo para
fundamentar la opinión o
dictamen del auditor
independiente.
Tienen aplicación en la
formulación de los estados
financieros, que es
responsabilidad de la
gerencia de la empresa.
Normas Internacionales para el
Ejercicio Profesional de la
Auditoría Interna (las Normas),
Código de Ética, Consejos
para la Práctica, y ayudas para
el desarrollo y la práctica

25
Auditoría –un enfoque moderno
 La auditoría es una función de dirección, un proceso
sistémico, crítico, cuantitativo y detallista, basado en
la evidencia, y realizado por un tercero, competente,
distinto y sin relación con quien preparó o se
relaciona con la información motivo de la auditoría, y
que tampoco tiene relación directa con la
información que se audita.
 Este proceso es necesario para determinar la
autenticidad, integridad y calidad de la información
que se produce, con el propósito de determinar e
informar sobre el grado de correspondencia
existente entre la información cuantificable y los
criterios establecidos.

26
 Una auditoría constituye una herramienta de control y supervisión que
contribuye a la creación de una cultura de la disciplina de la organización, al
ocuparse “fundamentalmente del conjunto de medidas, políticas y
procedimientos establecidos en las empresas para proteger el activo,
minimizar las posibilidades de fraude, incrementar la eficiencia operativa y
optimizar la calidad de la información en general”, -un enfoque tradicional
que se veía como algo negativo por la fiscalización inherente.
 El enfoque moderno es “proporcionar determinada información a la dirección
para que pueda evaluar si sus objetivos y metas se están cumpliendo
conforme a los esperado o si son efectivos los controles establecidos para
incrementar la eficacia de la empresa partiendo de la evaluación sistemática
del proceso de control interno de la empresa” -por ejemplo, al descubrir fallas
en las estructuras o vulnerabilidades existentes y presentarlas de modo
conveniente para que la empresa pueda tomar las acciones correctivas
necesarias.
Fuente: Morell González, Luisa María. “Manual de auditoria interna. Una herramienta indispensable para el auditor”. 2013. Disponible
en: http://www.monografias.com/trabajos27/manual-auditoria/manual-auditoria.shtml.
http://www.cofinhab.uh.cu/index.php/cofin/article/view/49/49

27
 Además, “ayuda a la organización a cumplir sus objetivos aportando
un enfoque sistemático y disciplinado para evaluar y mejorar la
efectividad de los procesos de gestión de riesgos, control y dirección”.
 El objetivo es detectar las desviaciones en cuanto al plan establecido y
detectar los problemas concretos con la finalidad de encontrar la
manera de rectificar las actuaciones y solucionar las contingencias.
 La imagen que la auditoría tiene hoy es la
de una actividad consultiva y docente que
añade valor a la empresa:
Fuente: Hevia, E. “Concepto moderno de auditoria interna”. Partida Doble, número 139, 1999.
Una metodología para auditar normas de calidad orientada a la
gestión de clientes en una empresa proveedora de internet
“Tiene derecho a criticar, quien tiene un corazón dispuesto a ayudar”
Abraham Lincoln

28
Control interno
 Es un proceso integral de gestión efectuado
por el titular, funcionarios y servidores de una
entidad, diseñado para enfrentar los riesgos en
las operaciones de la gestión y dar seguridad
razonable que se alcanzarán los objetivos de la
misma, es decir, es la gestión misma orientada
a minimizar riesgos.
 El Órgano de Control Institucional –OCI- es la
unidad orgánica especializada responsable de
llevar a cabo el control gubernamental en una
institución o entidad pública, de conformidad
con lo señalado en los artículos 7 y 17 de la Ley
Orgánica del Sistema Nacional de Control y de
la Contraloría General de la República.
 La finalidad de la OCI es promover la correcta y
transparente gestión de los recursos y bienes de
la entidad, cautelando la legalidad y eficiencia
de sus actos y operaciones, así como el logro de
sus resultados, mediante la ejecución de labores
de control.
Fuente: http://www.contraloria.gob.pe/
http://www.mef.gob.pe/contenidos/Portal_de_Transparencia/cci/Normas_de_Control_Interno.pdf
Normas de control relacionadas
a los distintos tipos de control que
ejerce tanto la Contraloría General
de la República como los demás
órganos del Sistema Nacional de
Control:
1. Normas Profesionales
2. Control Previo
3. Control Preventivo
4. Control Posterior
5. Actividades de Control
6. Sistema Nacional de Control
7. Potestad sancionadora
8. Control Interno
9. Organización de documentos
normativos
10. Soporte y servicios
complementarios
11. Aseguramiento de la Calidad

29
¿Ética? –claro que sí
Código de ética del auditor
gubernamental –Perú
 Aptitud de servicio
 Calidad de servicio
 Compromiso con el país
 Cordialidad
 Cuidado y esmero profesional
 Independencia, objetividad e
imparcialidad
 Probidad administrativa
 Reserva o confidencialidad
 Tecnicismo
 Vocación por la verdad y la
transparencia
Instituto de Auditores Internos
 Principios
 Integridad
 Objetividad
 Confidencialidad
 Competencia
 Normas de conducta
 Integridad
 Objetividad
 Confidencialidad
 Competencia
Revisar: http://gestion.pe/empresas/cual-
importancia-actual-auditorias-internas-
2108548
¿Quién puede ser un auditor?
¿Qué se necesita para ser auditor?
“Tiene
derecho a
criticar,
quien tiene
un corazón
dispuesto a
ayudar”
Abraham Lincoln

30

31
¿Tipos de auditoría?
 Gobierno Peruano (MAGU)
 Financiera: “proporciona certidumbre sobre
aseveraciones de la administración”
 Gestión: “identifica situaciones que inciden
en la gestión y promueve mejoras en
efectividad, eficiencia y economía, y en los
controles gerenciales”
 Especial: “identifica deficiencias de carácter
financiero-operativo e incumplimiento a la
normativa legal”
 Operacional
 Eficacia de los sistemas de administración y
de los instrumentos de control interno
incorporados a ellos.
 Eficiencia, eficacia, y economía de las
operaciones.
NO CONFORMIDAD
Es aquella confrontación de lo escrito con
las pruebas de lo acontecido y las
respectivas referencias de los registros. El
auditor observa la exactitud, integridad y
autenticidad de tales demostraciones,
registros y documentos que fueron
elaborados por una empresa durante un
periodo determinado.

32
 Ambiental (un sistema)
 La auditoría ambiental es una parte integrante de un sistema de gestión ambiental
en el que la gerencia determina si los sistemas de control ambiental de la
organización son adecuados para asegurar el cumplimiento de requerimientos
regulatorios y políticas internas.
 Determinar si las operaciones cumplen con las regularizaciones.
 Determinar si los pasivos en las transferencias de propiedad se minimizan.
 Determinar si los operadores contratados para el tratamiento de desechos/polución
son competentes.
 Determinar si las decisiones sobre administración ambiental son tomadas sobre bases
fácticas.
 Determinar la identificación y seguimiento de requerimientos regulatorios, y
determinar la distribución de la información.
 Determinar el cumplimiento real (riesgo legal) de las leyes, regulaciones ambientales y
las políticas y procedimientos organizacionales.
 Evaluar la efectividad de los sistemas de gestión ambiental.
 Determinar los riesgos operativos de negocios y financieros de las prácticas ambientales
actuales.
Fuente: http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/quipukamayoc/2001/segundo/objetivos_procesos_auditor%C3%ADa.htm
http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/quipukamayoc/2000/primer/audito_medio.htm
http://www.profepa.gob.mx/innovaportal/v/542/1/mx/auditoria_ambiental.html
http://datateca.unad.edu.co/contenidos/358033/358033_CORE/leccin_1__auditora_ambiental_definicin_aspectos_generales_de_la_aud
itora_ambiental_historia_de_la_auditora_ambiental.html
Un sistema de gestión ambiental es una estructura
organizacional de responsabilidades y políticas, prácticas,
procedimientos, procesos y recursos para proteger el
ambiente y administrar cuestiones ambientales.

33
 Proyectos de Inversión Pública
 Auditoría de fases o etapas concluidas. Consiste en evaluar el logro de los
resultados y/o el cumplimiento de disposiciones legales aplicables
relacionadas con el objeto de auditoría.
 Si corresponde se evaluará, por ejemplo en función dela importancia del
objeto de la auditoría, la pertinencia de opinar sobre la eficiencia y/o la
economía con que se lograron los resultados de la fase o etapa objeto del
examen.
 Auditoría de fases o etapas sin concluir. Consiste en evaluar si los
sistemas operativos diseñados y los efectivamente implementados
aseguran:
 El logro de los objetivos; y/o
 La utilización eficiente de los recursos en el funcionamiento del sistema; y/o
 El uso económico de los recursos en el funcionamiento del sistema; y/o
 El cumplimiento de la legislación y normativa aplicable.
Fuente: http://cybertesis.unmsm.edu.pe/bitstream/cybertesis/2851/1/noriega_mj.pdf
http://doc.contraloria.gob.pe/libros/2/pdf/rc_177_2007_cg.pdf

34
Etapas de un proyecto de inversión
IDEAS
PERFIL
PRE FACTIBILIDAD
FACTIBILIDAD
ESTUDIOS
DEFINITIVOS (DISEÑO
TÉCNICO)
EJECUCIÓN
(INVERSIÓN)
OPERACIÓN
(FUNCIONAMIENTO)
• Problemas a resolver
• Oportunidades
• Análisis de la demanda (juicio o experiencia)
• Negociaciones sobre financiamiento
• Construcción e instalación
• Capacitación y organización
• Pruebas y puesta en marcha
• Inversiones probables, los costos de
operación y los ingresos que demandara y
generara el proyecto
• Estudio de recursos
• Tecnología
• Tamaño
• Localización
• Planes de desarrollo y estrategia
Si el proyecto
es viable en
todos sus
aspectos
Entonces el
proyecto es
factible
PRE INVERSIÓN

35
 Informática o de Tecnologías de la Información
y la Comunicación –TIC (un sistema)
 A la confidencialidad, integridad,
disponibilidad y confiabilidad de la
información.
 Al uso eficaz de los recursos tecnológicos.
 Al ciclo de vida de sistemas
 A un sistema en operación
 A controles generales del computador
 A la administración de la función informática
 Auditoría a las microcomputadoras aisladas
 Auditoría de redes
 ….
 A la efectividad del sistema de control interno
asociado a las Tecnologías de la Información y
la Comunicación.
Fuente: http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/ManualAuditoriaGestionTICs.pdf
http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf

36
 Tributaria
 La auditoría del área fiscal persigue un doble objetivo: en primer lugar comprobar
que la compañía ha reflejado [cumplido] adecuadamente las obligaciones
tributarias, en función del devengo, habiendo provisionado correctamente los
riesgos derivados de posibles contingencias fiscales, y, en segundo, si se ha
producido su pago efectivo según los plazos y de acuerdo a los requisitos formales
establecidos.
 La auditoría fiscal es el proceso sistemático de obtener y evaluar objetivamente la
evidencia acerca de las afirmaciones y hechos relacionados con actos y
acontecimientos de carácter tributario, a fin de evaluar tales declaraciones a la luz
de los criterios establecidos y comunicar el resultado a las partes interesadas.
 Ello implica verificar la razonabilidad con que la entidad ha contabilizado las
operaciones económicas resultantes de sus relaciones con la hacienda pública –su
grado de adecuación [cumplimiento] con Principios y Normas Contables Ge-
neralmente Aceptados– debiendo para ello investigar si se han presentado las
declaraciones tributarias oportunas, y si se han realizado de una forma razonable
con arreglo a las normas fiscales de aplicación.
Fuente:
ftp://ftp.usmp.edu.pe/separatas/FCCEF/SilabosPregrado/ESCUELA%20CONTABILIDAD%20Y%20FINANZAS/CICLO%20X/ESPECIALIDAD%20D
E%20TRIBUTACI%D3N/AUDITORIA%20TRIBUTARIA/MANUAL%20AUDITOR%CDA%20TRIBUTARIA%20-%202013%20-%20I%20-%20II.docx
http://www.ief.es/documentos/recursos/publicaciones/libros/Investigaciones/Inves2003_09.pdf

37
 Calidad
 Métodos.
 Mediciones.
 Controles de los bienes y servicios.
 Social
 Revisa la contribución a la sociedad así como la participación en
actividades socialmente orientadas
 Muchos otros tipos
 Legal
 De procesos
 Parcial
 Global
 Programada
 Extraordinaria
 …

38
Algunas definiciones
Acción correctiva Acción tomada para eliminar una no conformidad detectada u otra situación indeseable.
Acción preventiva
Acción tomada para eliminar la causa de una no conformidad potencial u otra situación
potencialmente indeseable.
Auditado Organización que es auditada.
Auditor Persona con la competencia para llevar a cabo una auditoría.
Conclusiones de la
auditoría
Resultado de una auditoría que proporciona el equipo auditor tras considerar los objetivos
de la auditoría y todos los hallazgos de la auditoría.
Conformidad Cumplimiento de un requisito.
Criterios de auditoría Conjunto de políticas, procedimientos o requisitos.
Defecto Incumplimiento de un requisito asociado a un uso previsto o especificado.
Equipo auditor
Uno o más auditores que llevan a cabo una auditoría, con el apoyo, si es necesario, de
expertos técnicos.
Evidencia de la
auditoría
Registros, declaraciones de hechos o cualquier otra información que sea pertinente para los
criterios de auditoría y que sea verificable.
Evidencia objetiva
Datos que respaldan la existencia o veracidad de algo, obtenidos por medio de la
observación, medición, prueba, etc.
Experto técnico Persona que aporta conocimientos o experiencia específicos al equipo auditor.
Hallazgos de la
auditoría
Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios
de auditoría.
¿tipos?
¿cliente?
Juicio experto

39
Algunas definiciones
NO CONFORMIDAD INCUMPLIMIENTO DE UN REQUISITO.
Plan de auditoría Descripción de las actividades y de los detalles acordados de una auditoría.
Procedimiento Forma especificada para llevar a cabo una actividad o un proceso.
Proceso
Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales
transforman elementos de entrada en resultados.
Programa de
auditoría
Conjunto de una o más auditorías planificadas para un período de tiempo determinado y
dirigidas hacia un propósito específico.
Registro
Documento que presenta resultados obtenidos o proporciona evidencia de actividades
desempeñadas.
Sistema de gestión
Es el conjunto de elementos mutuamente relacionados o que interactúan para establecer
la política y los objetivos y para lograr dichos objetivos.
Verificación Confirmación mediante evidencia objetiva del cumplimiento de los requisitos.
Fuente: Norma Técnica Peruana NTP-ISO 19011:2012 Directrices para la auditoría de los sistemas de gestión

40
Cliente
 El cliente es la persona u organización que solicita
una auditoría.
 Funciones:
 Definir los objetivos de la auditoría.
 Determinar las normas de referencia a emplear.
 Seleccionar o contratar al personal auditor.
 Determinar el período de duración de la auditoría.
 Colaborar en todo momento con el auditor.

41
Funciones del auditado
 Nombrar a un interlocutor entre el auditor y el cliente.
 Disponer de los medios suficientes para la ejecución de la auditoría y
ponerlos al alcance del auditor.
 Proponer, implantar y dar fe de las acciones correctivas adecuadas a
las no conformidades registradas en el informe final.
Fuente: http://portaljuridico.lexnova.es/articulo/JURIDICO/25766/auditorias-ambientales-i-definiciones-objetivos-caracteristicas-
generales-y-participantes
La figura del cliente y del auditado coincide
en la misma organización o persona, cuando
ésta encarga a un tercero, una entidad de
certificación, por ejemplo, la realización de
una auditoría de su propio sistema de
gestión ambiental, a fin de obtener un
certificado.

42
Categorías de auditor
 Auditor
 Persona con la competencia necesaria para realizar
la auditoría bajo la dirección del líder del equipo.
 Líder del equipo auditor; sus funciones son:
 Dirigir, planificar y ejecutar la auditoría.
 Informar al auditado acerca del plan de auditoría –
interlocutor principal.
 Elaborar el informe final de no conformidades.
 Verificar la eficacia de las acciones correctivas
adoptadas a raíz del informe.
 Conservar los documentos y registros de la
auditoría o entregarlos para su conservación en
poder del auditado, respetando la
confidencialidad.
Pueden sumarse a los
auditores otros colaboradores,
tales como auditores en
prácticas, traductores e
intérpretes o, incluso,
observadores –todos los
cuales deben permanecer
neutrales en cuanto al
desarrollo de la auditoría y no
interferir en su ejecución.

43
Para salvaguardar el principio de independencia, el auditor interno debe ocupar un nivel
jerárquico en la empresa suficiente para que se sienta respaldado en su actuación
Fuente: http://www.mcgraw-
hill.es/bcv/guide/capitulo/8448178971.pdf
http://www.forumcyt.cu/UserFiles/forum/
Textos/0208765.pdf

44
¿Cómo hacemos una auditoría? –características generales (1)
 Disponibilidad de personal competente.
 Establecer, previamente, el objetivo, alcance y criterios empleados
para determinar la conformidad.
 Realizar el acopio y revisión de la documentación pertinente –
incluyendo los registros e informes de auditorías previas.
 Establecer los oportunos contactos, mediante reuniones previas y de
apertura, entre el cliente, el equipo auditor y el auditado. En estas
reuniones se explicará el objetivo de la auditoría y las líneas generales
de actuación durante su desarrollo.
 Revisión de la documentación, para comprobar que la organización
posee los Procedimientos e Instrucciones técnicas que le son
aplicables. Del mismo modo, se debe comprobar que la emisión y
control de los documentos se realiza de manera adecuada.

45
¿Cómo hacemos una auditoría? –características generales (2)
 Examen de los registros y evidencias documentales que demuestren el
cumplimiento de las disposiciones del sistema de gestión ambiental.
 Se evaluarán, solamente, las evidencias objetivas y contrastadas.
 En caso de detectarse una posible deficiencia, se investigará, hasta confirmarla o
no, averiguando si es fortuita o sistemática, y, si es posible, se identificarán sus
causas y efectos.
 Se realizará un seguimiento exhaustivo de las anomalías detectadas en anteriores
auditorías.
 Supervisión directa de los procesos, para comprobar que las actividades se
desarrollan conforme a lo previsto en la documentación del sistema de
gestión.
 Realizar una reunión con el auditado, o persona delegada, al que expondrá las
desviaciones encontradas, para obtener su acuerdo con éstas o para que
formule sus observaciones y, conjuntamente, proponer las acciones
correctivas y preventivas pertinentes.
 Redactar el Informe de Auditoría.

46
Adaptado de: M.C.T.C. Adrián Zaragoza Tapia
Red de los Sistemas Bibliotecarios de las Universidades del Centro –RESBIUC
Reunión de Auditores Internos de Calidad para el análisis de hallazgos de auditoria, 2012
3.9.5 hallazgos de la auditoría
resultados de la evaluación de la evidencia de la auditoría (3.9.4) recopilada frente a los criterios
de auditoría (3.9.3)
NOTA Los hallazgos de la auditoría pueden indicar conformidad (3.6.1) o no conformidad (3.6.2) con los criterios
de auditoría, u oportunidades de mejora.
auditoria
criterios
evidencia hallazgo
resultados
discretos o
continuos
conformidad
no conformidad
ISO 9000:2005
ÁREA DE
CONTRASTACIÓN
ÁREA DE
INTERPRETACIÓN
0 ….. 1
ZONA DE SESGO
DISCRECIONAL
ZONA DE SESGO
OBSERVACIONAL
PERCEPCIÓN DEL AUDITADO
PERCEPCIÓN DEL AUDITOR
evaluación
evaluación
¿observación?
Aparición de una diferencia en
los resultados o conclusiones
experimentales debido a asuntos
personales, culturales o
antecedentes. Tipos:
entrevistador, los recuerdos y la
clasificación errónea.
Intencional,
selectivo,
representativo.

47
RESBIUC
REUNIÓN DE AUDITORES INTERNOS DE CALIDAD PARA EL ANÁLISIS DE HALLAZGOS DE AUDITORIA
ISO 9001:2008
8.2.2 Auditoría interna
Se debe planificar un programa de auditorías tomando en consideración el estado y la
importancia de los procesos y las áreas a auditar, así como los resultados de auditorías previas.
Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y la
metodología. La selección de los auditores y la realización de las auditorías deben asegurar la
objetividad e imparcialidad del proceso de auditoría. Los auditores no deben auditar su propio
trabajo.
criterios de auditoría
alcance
frecuencia
metodología
Programa de
auditoría
Necesario para la
redacción de hallazgos
de auditoría
Adaptado de: M.C.T.C. Adrián Zaragoza Tapia
Recordemos: una auditoría evalúa el grado en el que el sistema es eficaz

48
Comunicación efectiva:
la responsabilidad es tanto del emisor como del receptor
 Características
 El transmisor debe establecer credibilidad, debe conocer el tema, conocer a
quien y cómo se debe emitir el mensaje para evitar malos entendidos.
 El mensaje debe mostrar componentes intelectuales (lenguaje que nos
ayude entender y razonar) y componentes emocionales (las emociones y
sentimientos explican nuestro sentir sobre el mensaje).
 El receptor debe escuchar y entender el mensaje para responder
efectivamente a la situación.
 El mensaje debe ser claro, organizado,
preciso (datos correctos, concretos y
medibles), objetivo, veraz, correcto,
completo, conciso, asertivo, convincente.
Fuente: http://comunicacion-efectiva.blogspot.com/2006/10/comunicacin-efectiva-definicin-y.html
http://www.eoi.es/blogs/mintecon/2013/06/11/la-comunicacion-efectiva-en-las-empresas/
http://promocionyturismo.galeon.com/productos2058802.html
Barreras:
• Creemos que lo que comunicamos es
tan claro para los demás como lo es
para nosotros.
• Creemos que todos damos el mismo
significado a las palabras.
• Creemos que la manera en que
percibimos las situaciones es igual a
como la perciben los demás.
• Creemos que estamos en lo correcto
y los demás están equivocados.
• Creemos que sólo hay una manera
correcta de hacer las cosas, por
supuesto la nuestra.
Elementos de una
comunicación
Emisor o transmisor
Codificación
Mensaje
Medios
Decodificador
Receptor
Barreras
Respuesta
Retroalimentación
Ruido
Problemas:
• Inadecuado aprendizaje
• Falta de hábito de lectura
• Falta de atención y concentración
• Personalidad
• Escribir para sí mismo
• Olvido de normas gramaticales y sintácticas
• Hábitos y actitudes
• Miedo a comprometerse con la información
• Limitación de tiempo
Gestión de interesados en el PMBoK

49
Papeles de trabajo (NIA 230)
 Los papeles de trabajo son el conjunto de documentos preparados por el auditor,
los cuales le permiten disponer de la información y de las pruebas efectuadas
durante su trabajo profesional en la empresa, así como también de las decisiones
tomadas para fundamentar su opinión, suministrar la evidencia del trabajo
llevado acabo para respaldar la opinión del auditor, y servir de evidencia legal.
 Es el conjunto de formularios y/o documentos en los cuales el auditor revela toda la
evidencia encontrada como consecuencia de la realización de un examen de
auditoría.
 Permite la revisión de la calidad del trabajo efectuado.
 Los papeles de trabajo se elaboran en el momento en que se realiza el trabajo y
son propiedad del auditor, quien debe adoptar las medidas oportunas para
garantizar su protección sin peligro y su confidencialidad ya que el auditor va
integrando en los papeles de trabajo documentos reservados y de uso exclusivo
de la empresa.
Fuente: https://www.scribd.com/doc/126465012/Hallazgos-de-Auditoria-de-Sistemas
www.ccpl.org.pe/downloads/PruebasAuditoriaPapelesTrabajo.pdf
http://aobauditores.com/nias/nia230.pdf
Para ser considerados como tales deben contar con referencias y “marcas de auditoria”, leyenda,
comentarios y conclusiones del auditor, además de ser codificados y visados por los auditores que
efectuaron el trabajo.
Garantiza en
forma
adecuada,
que una
auditoría se
hizo de
acuerdo a las
normas de
auditoría
generalmente
aceptadas.

50
Papeles de trabajo
 La extensión de los papeles de trabajo es un caso de juicio profesional.
 Evitar el exceso en la documentación, es decir medir el trabajo por la calidad y no
por la cantidad.
 Permiten el registro eficiente de la información que se recolecta en el proceso
de evaluación, planificación, ejecución, supervisión y revisión de la auditoria.
 Se registran la naturaleza, oportunidad y el alcance de los procedimientos de
auditoría desarrollados.
 Es afectada por factores como:
 La naturaleza del trabajo de auditoría
 El tipo de dictamen o informe del auditor
 La naturaleza y evaluación de los sistemas auditados y control interno de la entidad
 Las necesidades en las circunstancias particulares, de dirección, supervisión, y
revisión de los trabajos realizados por los auxiliares
 Metodología y tecnología de auditoría usadas en el curso del examen.
Fuente: http://artemisa.unicauca.edu.co/~gcuellar/normas.htm
http://186.116.129.40/gat/pdf/fase_ejecucion.pdf

51
Evidencia (3.3 NTC – ISO 19011)
 Son registros, declaraciones de hechos o cualquier otra información que son pertinentes
para los criterios de auditoría y que son verificables.
 Clasificación:
 Evidencia documental: puede ser de carácter física o electrónica. Pueden ser externas o
internas a la organización. Las evidencias externas abarcan, entre otras, cartas, facturas de
proveedores, contratos, auditorías externas y otros informes o dictámenes y confirmaciones de
terceros. Las evidencias internas tienen su origen en la organización, incluye, entre otros,
registros contables, correspondencias enviadas, descripciones de puestos de trabajo, planes,
presupuestos, informes internos, políticas y procedimientos internos.
 Evidencia física: se obtiene mediante inspección y observación directa de las actividades,
bienes o sucesos; esta evidencia puede presentarse en forma de documentos, fotografías,
gráficos, cuadros, mapas o muestras materiales.
 Evidencia testimonial: se obtiene de otras personas en forma de declaraciones hechas en el
curso de investigaciones o entrevistas.
 Evidencia analítica: surge del análisis y verificación de los datos. El análisis puede realizarse
sobre cálculos, indicadores de rendimiento y tendencias reportadas en los informes financieros
 Evidencia informática: puede encontrarse en datos, sistemas de aplicaciones, instalaciones y
soportes, tecnologías y personal informático.
La evidencia
de la
auditoría
puede ser
cualitativa o
cuantitativa
Fuente: https://isocalidad2000.wordpress.com/2013/08/02/como-obtener-evidencias-objetivas-tengo-que-hacer-una-auditoria-interna-y-
no-se-por-donde-empezar-ix/
http://www.forumcyt.cu/UserFiles/forum/Textos/0208765.pdf
Sólo son admisibles las evidencias que
no están sometidas a interpretación

52
Factores para la evaluación
 Experiencia obtenida en auditorías previas.
 La evaluación de la naturaleza y nivel del riesgo inherente, del giro del
negocio, situación económica y financiera de la entidad.
 Fuente y confiabilidad de información disponible.
 Cuanto mayor sea el nivel de riesgo inherente mayor será la cantidad
de evidencia necesaria.
 Evaluación de riesgos de control, así como de los sistemas de
contabilidad y de control interno.
 Materialidad de la partida o transacción que se examina.
Fuente: http://revistasinvestigacion.unmsm.edu.pe/index.php/quipu/article/viewFile/5944/5140
http://artemisa.unicauca.edu.co/~gcuellar/normas.htm
• La evidencia obtenida de fuentes externas es de mayor confiabilidad que la obtenida dentro la empresa. Por
ejemplo, las confirmaciones recibidas de una tercera persona es más confiable que la generada internamente.
• La evidencia generada internamente es más confiable cuando los sistemas de contabilidad y de control interno
relacionados son efectivos.
• La evidencia obtenida directamente por el auditor es más confiable que la obtenida en la propia entidad.
• La evidencia en la auditoría en forma de documentos y manifestaciones escritas es más confiable que las
manifestaciones orales.

53
Características
 Competencia
 Es la "medida de la calidad de
evidencia de la auditoría y su
relevancia para una particular
afirmación y su confiabilidad".
 La evidencia será más
confiable cuando se base en
hechos más que en criterios.
 Suficiencia
 Es la "medida de la cantidad
de evidencia de la auditoría".
 El auditor, a su criterio
profesional, obtiene evidencia
suficiente al tener en cuenta
los factores como: posibilidad
de información errónea,
importancia y costo de la
evidencia.
Fuente: http://revistasinvestigacion.unmsm.edu.pe/index.php/quipu/article/viewFile/5944/5140
http://www.atconsultores.com/coldataPersonal/upload/documentales/Obtencion_de_Evidencia_en_Auditoria.pdf
• Relevancia.- Cuando ayuda al
auditor a llegar a una
conclusión respecto a los
objetivos específicos de
auditoría.
• Autenticidad.- Cuando es
verdadera en todas sus
características.
• Verificabilidad.- Requisito
que permite que dos o más
auditores lleguen por
separado a las mismas
conclusiones, en iguales
circunstancias.
• Neutralidad.- Requisito de
que esté libre de prejuicios –
o de intereses especiales.
Pruebas selectivas o de muestreo estadístico
Aplicación de pruebas y procedimientos
sustantivos y/o métodos (técnicas)
La calidad de la
evidencia está influida
por su fuente de
procedencia.
Las que son
independientes de la
empresa, en principio,
ofrecen mayores
garantías que las que
están bajo el control
de la misma.
La evidencia obtenida
directamente por el
auditor es más
persuasiva que la que
procede de un tercero
o de la propia
empresa.
Si la evidencia de una
prueba se corrobora
con la de otras, la
confianza es superior.

54
Pruebas y procedimientos sustantivos
 Las pruebas de cumplimiento representan procedimientos de auditoria
diseñados para verificar si el sistema de control interno del cliente está
siendo aplicado de acuerdo con lo establecido.
 Si, después de la comprobación, los controles del cliente parecen estar
operando efectivamente, el auditor justifica el poder tener confianza en
el sistema y por consiguiente puede reducir sus pruebas sustantivas.
 “Procedimientos [Pruebas] sustantivos” (NIA 330 Procedimientos del
Auditor en Respuesta a los Riesgos Evaluados), significa pruebas
realizadas para obtener evidencia de auditoría para detectar
representaciones erróneas de importancia en los estados financieros.
 Son de dos tipos:
 Pruebas de detalles de transacciones y balances
 Procedimientos analíticos sustantivos
Fuente: http://aobauditores.com/nias/normativa-internacional-auditoria-nias.pdf
http://disagahon.blogspot.com/2012/10/nia-330-respuestas-del-auditor-los.html
http://artemisa.unicauca.edu.co/~gcuellar/normas.htm

55
Métodos (técnicas)
 Métodos prácticos
de investigación y
pruebas que el
auditor utiliza para
obtener la
evidencia y la
certeza necesaria
para fundamentar
su opinión, con
relación al examen
realizado.
Fuente: www.ccpl.org.pe/downloads/PruebasAuditoriaPapelesTrabajo.pdf
http://tecnicasdeauditoriainvest.blogspot.com/
http://www.eumed.net/libros-gratis/2010e/804/Tecnicas%20de%20auditoria.htm
Las técnicas son el conjunto de recursos que se
emplean en un arte o una ciencia.

56
Hallazgos (3.4 NTC – ISO 19011)
 Clasificación:
 Conforme: cumplen con los requisitos
 No conforme: incumplimiento con los requisitos especificados. Puede originar
no conformidades de consecuencias limitadas o mayores
 Observación: se entiende como observación a un aspecto de un requisito que
podría mejorarse y que no se requiere que se haga de manera inmediata
Fuente: http://186.116.129.40/gat/html/4_fase_ejecu/4_p6_FaseEjecucion.html
http://www.iaicr.com/boletin/boletin07/hallazgos_auditoria_interna.pdf
Los hallazgos de auditoría pueden conducir a la identificación de oportunidades de
mejora o registro de buenas prácticas.
• Hecho relevante que se constituye en un resultado
determinante en la evaluación de un asunto en particular, al
comparar la condición [situación detectada, la realidad o
condición que el auditor está determinando en la instancia
o unidad que está evaluando –LO QUE ES] con el criterio [la
conformidad con las normas, leyes, reglamentos y sanas
prácticas administrativas –LO QUE DEBE SER].
• Aquellas situaciones que revisten importancia relativa, para
la actividad u operación objeto de examen del auditor, que
requiere ser documentada y debidamente comprobada,
que va a ser de utilidad para exponer o emitir criterio, en el
respectivo documento o informe de auditoría.
¿Conveniencia?
¿Acuerdo?

57
Factores para la evaluación
 Las condiciones y circunstancias existentes al momento en que ocurrió
el hecho o se efectuó la transacción o hecho.
 La índole, complejidad y magnitud de las operaciones que se están
evaluando La necesidad de someter el hallazgo potencial o un análisis
honesto y crítico.
 La labor debe ser lo suficientemente completa para presentar una base
sólida para las conclusiones y recomendaciones
 El ambiente de control en que se presenta, no verlos en forma aislada,
sino integral de todo el proceso que se está auditando.
 Diferencias de opinión con respecto a los auditados.
 Análisis crítico de cada hallazgo importante.
 Integridad del trabajo de auditoría.
 Autoridad legal.

58
Factores que generan una desviación
Fuente: http://es.slideshare.net/1116238557yina/capacitacin-redaccin-de-hallazgos-para-blog

59
Ayuda: 6W-2H
What - Qué (objeto)
•¿Qué hacer?
•¿Qué se está haciendo?
•¿Qué debería hacerse?
•¿Qué otra cosa puede ser hecha?
•¿Qué otra cosa debería hacerse?
Why - Por qué (propósito)
• ¿Por qué él/ ella lo hace?
•¿Por qué lo hace?
•¿Por qué lo hace allí?
•¿Por qué de esta manera?
•¿Por qué en ese momento?
Where - Dónde (localización)
•¿Dónde hacerlo?
•¿Dónde está siendo hecho?
•¿Dónde debería ser hecho?
•¿Dónde más puede hacerse?
•¿Dónde más debería hacerse?
•¿Por qué tiene que hacerse allí?
When - Cuándo (tiempo, secuencia)
•¿Cuándo hacerlo?
•¿Cuándo está siendo hecho?
•¿Cuándo debería hacerse?
•¿Es necesario hacerlo en ese momento?
Who - Quién (persona)
• ¿Quién hace la tarea?
• ¿Quién la está haciendo?
• ¿Quién debería estarla haciendo?
• ¿Quién más puede hacerla?
• ¿Quién más debería estar haciéndola?
• ¿Por qué soy yo (él/ella) el que hace esto?
To Whom (a/para quién)
• ¿A quién le sirve?
• ¿Quién se beneficia a continuación?
• ¿Quién emplea directamente mi entregable?
How - Cómo (método)
• ¿Cómo hacerlo?
• ¿Cómo es hecho?
• ¿Cómo debería ser hecho?
• ¿Existe otra forma de hacerlo?
• ¿Es ésta la mejor forma de hacerlo?
How much - Cuánto (costo)
• ¿Cuánto cuesta?
• ¿Cuánto está costando?
• ¿Cuánto debería costar?
• ¿Cuánto deberíamos ahorrar?
How much - Cuánto (tiempo)
• ¿Cuánto toma?
• ¿Tiene un hito?
Fuente: https://isocalidad2000.wordpress.com/2013/07/19/las-preguntas-en-una-auditoria-tengo-que-hacer-una-auditoria-interna-y-
no-se-por-donde-empezar-vii/

60
Características y requisitos
Característica /
Requisito
Concepto
Objetivo
El hallazgo se debe establecer con fundamento en la comparación entre
el criterio y la condición.
Factual
(de los hechos, o
relativo a ellos)
Debe estar basado en hechos y evidencias precisas que figuren en los
papeles de trabajo. Presentados como son, independientes de valor
emocional o subjetivo.
Relevante
Que la materialidad y frecuencia merezca su comunicación e interprete la
percepción colectiva del equipo auditor.
Claro
Que contenga afirmaciones inequívocas, libres de ambigüedades, que
esté argumentado y que sea válido para los interesados.
Verificable
Que se pueda confrontar con hechos, evidencias o pruebas –es
demostrable ante terceros, soporta un análisis honesto y crítico.
Útil
Que su establecimiento contribuya a la economía, eficiencia, eficacia,
equidad y a la sostenibilidad ambiental en la utilización de los recursos
públicos, a la racionalidad de la administración para la toma de decisiones
y que en general sirva al mejoramiento continuo de la organización.

61
Atributos
 Condición: “Lo que es” Aquello que el auditor encuentra o descubre. Lo que es, en términos del
hecho irregular o deficiencia determinada por el auditor interno.
 Criterio: “Lo que debe ser” Marco de referencia (medidas o normas aplicables) con el que se
compara la condición para encontrar divergencias. Ley, reglamento, carta, circular, memorando,
procedimiento, norma de control interno, norma de sana administración, principio de contabilidad
generalmente aceptado, opinión de un experto o finalmente juicio del auditor. Para auditorías de
sistemas de información y TI: GAISP, COBIT, ISO 17799, SB 443/2003, NAG 270 y otros.
 Causa: “Por qué” El origen de la condición observada. El porqué de la diferencia entre la condición y
el criterio, deberán ser desarrolladas de acuerdo a la explicación que de el responsable. En este punto
hay que tener capacidad de diferenciar, la causa del efecto. Para definir este aspecto se requiere de la
habilidad y juicio profesional del auditor.
 Efecto: “Las consecuencias” Surge de las diferencias entre la condición y el criterio. El efecto tendrá
un resultado positivo o negativo. De ser posible en forma cuantitativa o cualitativa.
 Recomendación: “Arregla la condición” La recomendación se deberá elaborar habiendo desarrollado
los anteriores atributos del hallazgo. La recomendación deberá emitirse con la idea de mejorar o
anular la condición y llegar al criterio atacando la causa y arreglar el efecto para futuras situaciones.
La recomendación deberá ser viable técnica y económicamente.
http://www.iaicr.com/boletin/boletin07/hallazgos_auditoria_interna.pdf
Un buen informe no necesariamente debe contener solo hallazgos negativos pues podrían haber algunos
con enfoque positivo; ello evidenciaría un trabajo integral del auditor, en un proceso investigativo
analítico, profesional y crítico, que será de utilidad para la toma de decisiones.

62
Descripción de un hallazgo
• Registros, evidencias objetivas
¿CÓMO? ¿Cómo se identificó el hallazgo?
• Identificar dónde se evidenció la situación.
¿DÓNDE? ¿Dónde esta ocurriendo el efecto?
• ¿Qué es lo que está mal, qué es lo adverso?
¿QUÉ? ¿Cuál es el efecto?
• Estimar la frecuencia o el tiempo en el que ha aparecido el problema.
¿CUÁNTO? ¿Con qué frecuencia se viene presentando el efecto o en que tiempo?
• ¿Qué se está incumpliendo? Un requisito, un principio, una política, una directriz, un
manual.
¿POR QUÉ? ¿Por qué es un problema?
Fuente: http://s3.amazonaws.com/ppt-download/capacitacinredaccindehallazgosparablog-140323214710-phpapp02.pdf?response-content-
disposition=attachment&Signature=5pIySy%2FbGkLoKPGs4JORnkv86Fw%3D&Expires=1429497294&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ

63
Redacción

64
Redacción

65
Redacción

66
Presentación - Redacción
¿RIESGOS?
Fuente: http://auditordesistemas.blogspot.com/2012/02/guias-de-hallazgos.html
http://www.sunai.gob.ve/images/stories/PDF/Ponencias/EF/_Jesus_Garcia.pdf

67
RESBIUC
LISTA DE VERIFICACIÓN PARA LA EVALUACIÓN DE HALLAZGOS DE AUDITORÍA
INTERNA
1. ¿Se ha considerado el efecto del sesgo observacional?
2. ¿Se ha considerado el efecto del sesgo discrecional?
3. ¿Representa un resultado discreto o continuo?
4. ¿Contribuye a mejorar la eficacia de las colecciones y servicios bibliotecarios?
5. ¿Representa una oportunidad de mejora de la biblioteca?
6. ¿Facilita la implantación de acciones correctivas o preventivas?
7. ¿Se han electo los criterios de auditoria requeridos por la biblioteca?
8. ¿Es congruente con el alcance de auditoria determinado por la biblioteca?
9. ¿Se redacta en función de la frecuencia de auditoria determinada?
10. ¿Considera la metodología determinada por la biblioteca?
Fuente: http://es.slideshare.net/zatapia/anlisis-de-hallazgos-de-auditoria?related=1

68
RESBIUC
ELEMENTOS PARA LA REDACCIÓN DE UN HALLAZGO DE AUDITORÍA
No. ELEMENTO DESCRIPCIÓN
1 CONDICIONES DE OBSERVACIÓN Refleja de qué manera se observó la evidencia de hallazgo y las condiciones del
contexto de observación
2 CONDICIONES DE INTERPRETACIÓN Indica con precisión si se tomó en cuenta los criterios de auditoria u otros
elementos percibidos
3 TIPO DE RESULTADO Se refiere a un cumplimiento discreto o considerado como una valor continuo
4 REFERENCIA A LA EFICACIA Explica de qué manera afecta al cumplimiento de los objetivos de las colecciones
y servicios bibliotecarios
5 REFERENCIA A LA MEJORA Aclara si se refiere a un incumplimiento o a una debilidad que puede mejorarse
en función de los servicios bibliotecarios
6 REFERENCIA A LAS ACCIONES
CORRECTIVAS - PREVENTIVAS
Permite identificar si se requiere una acción preventiva o correctiva
7 REFERENCIA A LOS CRITERIOS Hace explícitos los criterios determinados en el programa de auditoria y aclara
excepcionalmente otros requeridos
8 REFERENCIA DE ALCANCE Se redacta dentro del alcance del programa de auditoria y aclara
excepcionalmente otro requerido
9 REFERENCIA DE FRECUENCIA Se redacta en función de la frecuencia establecida y requerida
10 METODOLOGÍA Es congruente con la metodología aplicada

69
RESBIUC
EJEMPLO DE REDACCIÓN DE HALLAZGO
ÁREA DESCRIPCIÓN RESULTADO
6.2
8.4 (a)
(1) Dado que no se tuvo la oportunidad de observar al personal de la
biblioteca clasificando y catalogando acervos, (2) pero sí se revisaron 10
registros catalográficos completos, mismos que cumplen con las reglas
de catalogación presentadas, (3) se considera que el personal del
departamento de procesos técnicos es competente por lograr un
producto conforme, (4) por lo que se esperaría obtener buenos
resultados en el proceso de organización documental de los acervos de
la biblioteca. (5) sin embargo el proceso puede mejorarse, ya que no se
constató que se lleve a cabo un (6) análisis de los datos de la
satisfacción de los usuarios de la biblioteca con el catálogo. Pero
considerando que, en la presente auditoria se programó solamente (7)
la revisión del área 6.2 de la norma de referencia en (8) dicho
departamento, y que (9) no se planeó revisar la (10) medición de la
satisfacción del usuario en ésta auditoria, de deja como una oportunidad
de mejora para la biblioteca.
C
OM

70
Fuente: www.perucontadores.com/audgub/NAGU.pdf
http://186.116.129.40/gat/html/5_fase_infor/5_p1_FaseInforme.html
www.contraloria.gob.ec/documentos/normatividad/manaudfin.pdf
www.contraloria.gob.bo/portal/Uploads/PDFportal/20121217_333.pdf
http://www.forumcyt.cu/UserFiles/forum/Textos/0208765.pdf
Informe de auditoría
 Sintetiza el resultado del cumplimiento de los
objetivos definidos en el memorando de asignación
de auditoría, en el plan de trabajo y el resultado de
las pruebas adelantadas en la ejecución.
 Los propósitos del informe definitivo son:
 Registrar los resultados de la auditoría adelantada
 Describir de manera precisa, clara y concisa los
hallazgos determinados durante el proceso auditor
 Apoyar el control político que ejercen las
respectivas corporaciones públicas
 Servir de insumo para que el ente auditado formule
el plan de mejoramiento
 Comunicar e informar públicamente los resultados
de la auditoría
Requisitos:
• Debe estar respaldado por la
evidencia obtenida.
• Debe estar expresado con el
rigor científico necesario y
suficiente.
• Debe ser expuesto con estilo
objetivo, en forma clara, veraz,
exacta, completa, concisa e
imparcial, teniendo en cuenta
el tacto y la critica constructiva.
• Debe usarse un lenguaje
correcto, actual, comprensible,
persuasivo, cuidando la
gramática, signos de
puntuación, estilo impersonal.

71
Atributos
Preciso
Diga lo que tiene que decir. Es conveniente ser exacto (puntual) en cada
frase y en el informe completo. Su redacción debe ser sencilla, clara,
ordenada, coherente y en orden de importancia.
Conciso
La redacción debe ser breve pero sin omitir lo relevante, la breve dad
permite mayor impacto. Se debe buscar la forma de redac tar los
hallazgos en forma concreta, pero sin dejar de decir lo que se tiene que
decir sobre la condición (situación detectada); asimismo, se debe incluir el
criterio de auditoría, la causa y la consecuencia, aspectos que muestren
claramente el impacto que tiene la situación detectada por la contraloría
territorial.
Objetivo
Todos los hallazgos deben reflejar una situación real, manejada con
criterios técnicos, analíticos e imparciales.
Soportado
Las afirmaciones, conceptos, opiniones y hallazgos, deben estar
respaldadas con evidencia válida, suficiente, pertinente y competente.
Oportuno
Debe cumplir los términos de elaboración, consolidación, entrega,
comunicación y publicidad.
Fuente: http://186.116.129.40/gat/html/5_fase_infor/5_p1_FaseInforme.html

72
Consideraciones
 Un principio es definido como una verdad fundamental, una doctrina o
ley básica, no necesitan ser demostrados; son generalmente aceptados
por la profesión; son reconocidos por las disposiciones legales locales.
 Los requisitos básicos de la evidencia están referidos a la suficiencia,
competencia y relevancia.
 Cuando los resultados no sean reproducibles a causa de la naturaleza
de las mediciones, la dinámica del estado ambiental u otras razones
válidas, debe asegurarse que el proceso de acumulación de evidencia
cuente con supervisión específica.
 Para asegurar el criterio de reproducción, se debe otorgar un énfasis
especial a la supervisión del diseño y/o elección y aplicación de
metodologías, criterios y técnicas de evaluación.
Revisar: http://fccea.unicauca.edu.co/old/tgarf/tgarf.html#tgarfpa1.html

73
Consideraciones
 Metodologías
 Conjunto de procedimientos que, con el propósito de acumular
evidencia, se diseña y/o elige (en función de la naturaleza de los objetivos
y alcances específicos de la auditoría, de la complejidad de las
evaluaciones y de las tecnologías disponibles) durante la planificación y/o
el trabajo de campo.
 Para cada procedimiento asociado, y siempre que corresponda, se debe
identificar aspectos críticos; establecer riesgos de evaluación; riesgos de
ilegalidad; y definir ciertos parámetros tales como el número, tipo y/o la
calidad de las muestras requeridas.
 Criterios
 Estándares contra los cuales se compara la evidencia para obtener
resultados de auditoría.
 Normas y sistema de gestión ante los que comparamos los hallazgos de
auditoría.
 Deben ser relevantes, confiables, completos, objetivos, comprensibles,
comparables, aceptables y accesibles.
 Técnicas
 Procedimientos o métodos especializados de obtención y/ verificación de
información, que incluyen prácticas analíticas de laboratorio u otras de
diversa índole, diseñadas y/o elegidas con el propósito de comprobar
aspectos específicos del objeto de auditoría.

74
Algunas diferencias
Inspección Auditoría
Sin comunicación previa Con comunicación previa
No siempre es planeada y documentada Planeada y documentada
Procura verificar fallos Procura verificar hechos (negativos y positivos)
Centraliza las acciones Supervisa las acciones
Se centra en aspectos menos importantes Se centra en aspecto más importantes
Evalúa de cerca un producto o un servicio basado
en los requisitos específicos, el diseño, otros
Identifica el cumplimiento y el incumplimiento de algunas
especificaciones, normas, acuerdos contractuales u otros criterios
Evalúa la calidad de los bienes producidos Inspecciona el equipo y los procesos con base en los
procedimientos escritos
Fuente: http://clubresponsablesdecalidad.com/diferencia-entre-auditoria-e-inspeccion/
http://www.qmsas.com/b/diferencias-entre-qa-y-qc.html
http://c2.com/cgi/wiki?QualityAssuranceIsNotQualityControl
http://www.asiaqualityfocus.com/blog/es/diferencia-entre-auditoria-e-inspeccion/
http://elsmar.com/
Según la norma ISO 900:2005 “Sistemas de gestión de la calidad. Fundamentos y
vocabulario”:
• Control de calidad (QC): Parte de la gestión de calidad orientada al cumplimiento de los requisitos
de calidad  Orientado al producto
• Aseguramiento de la calidad (QA): Parte de la gestión de calidad orientada a proporcionar
confianza en que se cumplirán los requisitos de la calidad  Orientado al proceso

75
Algunas herramientas para la auditoría
 Matriz FODA
 Técnica de TASCOI (transformación, actores, suministradores –o
proveedores, clientes –o usuarios, owners –o propietarios,
intervinientes)
 El equipo auditor establece la identidad en uso de la organización, con el
propósito de determinar ¿Qué hace la entidad?, ¿Cómo lo hace?, ¿Para
qué lo hace?, ¿Quiénes son sus propietarios? y ¿Cuáles sus clientes?
 PEST (políticos, económicos, sociales-culturales, tecnológicos)
 Mide el potencial y la situación de un mercado, indicando
específicamente crecimiento o declive, y en consecuencia su atractivo,
potencial de negocios y lo adecuado de su acceso.
Fuente: http://sistemau.blogspot.com/p/tecnica-de-tascoi-elequipo-auditor_07.html
http://s3.amazonaws.com/ppt-download/conocimientodelaentidad-121023195026-phpapp01.ppt?response-content-
disposition=attachment&Signature=HRxdx3mAW5ZBuwT2WfGZvBRUOto%3D&Expires=1429851994&AWSAccessKeyId=AKIAIA7QTBO
H2LDUZRTQ

76
Contenido –informe de auditoría [informática]
 Nombre de la empresa auditada
 Nombre de [la aplicación] auditada
 Nombre de la firma auditora
 Identificación del informe
 Fecha del informe
 Antecedentes
 Descripción de [la aplicación]
 Objetivos de [la aplicación]
 Alcance de la auditoría (incluyendo
procesos, departamentos,
delegaciones, etc.)
 Metodología utilizada y técnicas de
evaluación
---- sugerido
… bueno, casi
Planeamiento
Riesgos
Objetivos
Recursos
Operaciones
Medios
Mejoras
Fuente: http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html

77
Contenido –informe de auditoría [informática]
 Criterios de auditoría
 Equipo auditor, con nombres, apellidos y figura que
ocupa en el equipo.
 Fechas y lugares en las que se realizó la auditoría
 Pruebas realizadas
 Reseña de aspectos positivos
 Hallazgos y evidencias –específicos / relevantes
 Conclusiones –específicos / relevantes (expuestos de
manera consistente y en correlación directa con los
objetivos y alcances de la auditoría)
 Recomendaciones –específicos / relevantes
(objetivas y realizables, con resultados verificables,
que ataquen la causa, muestren una acción
específica y dirigida a quien debe realizar la acción)
 Declaración del grado de cumplimiento del sistema
auditado sobre los criterios de auditoría
 Firma del auditor responsable
---- sugerido
… bueno, casi
Programas de auditoría
Calidad
Documentos,
fotografías, gráficos,
cuadros, mapas o
muestras materiales,
en forma física o
electrónica
… podría ...
… debería considerar …
Fuente: http://www.auditool.org/blog/auditoria-interna/3322-prohiba-el-deberia-en-los-informes-de-auditoria
http://www.iaiperu.org/index.php?option=com_content&view=article&id=90:icomo-hace-auditoria-interna-para-priorizar-sus-
recursos&catid=49:preguntas-frecuentes&Itemid=40

78
1. Corrección
2. No conformidad
3. Requisito
4. Sistema de gestión de calidad
5. Procedimiento
6. Acción correctiva
7. Evidencia objetiva
8. Auditoria
9. Criterios de auditoria
10. Formato
11. Acción preventiva
12. Evidencia de la auditoria
13. Hallazgo de la auditoria
14. Proceso
15. Conclusiones de la auditoria
16. Auditado
17. Equipo auditor
18. Auditor
19. Manual de calidad
20. Eficacia
21. Eficiencia
A. Proceso sistemático independiente y documentado para obtener de la auditoria y
evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen
los criterios de auditoria.
B. Relación entre resultado alcanzado y los recursos utilizados.
C. Documento en el que se recolecta evidencia objetiva.
D. Persona con la competencia de llevar a cabo una auditoria.
E. Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los
criterios de auditoría.
F. Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales
transforman elementos de entrada en resultados (salidas).
G. Incumplimiento de un requisito.
H. Necesidad o expectativa establecida generalmente implícita u obligatoria.
I. Extensión en la que se realizan las actividades planificadas y se alcanzan los resultados
planificados.
J. Conjunto de políticas , procedimientos y requisitos utilizados como referencia.
K. Sistema de gestión para dirigir y controlar una organización con respecto a la calidad.
L. Acción tomada para eliminar una no conformidad detectada.
M. Forma especifica para llevar a cabo una actividad o un proceso.
N. Acción tomada para eliminar la causa de una no conformidad potencial u otra situación
indeseable.
O. Registro, declaraciones de hechos o cualquier otra información que son pertinentes
para los criterios de auditoria y que son verificables.
P. Resultado de una auditoria que proporciona el equipo auditor tras considerar los
objetivos de la auditaría y todos los hallazgos de la auditoria..
Q. Datos que respaldan la existencia o veracidad de algo.
R. Uno o mas auditores que llevan a cabo una auditoria.
S. Documento que especifica el sistema de gestión de la calidad de una organización.
Ejercicio
Correlacionar términos
con descripción

79
Para cada una de las siguientes situaciones indique si se trata
de una no conformidad o no
1. No se ha establecido en el manual de calidad los objetivos de
calidad.
2. No se encontró disponible el gráfico de control estadístico para el
diámetro de los alambres de la línea NOKIA 325, correspondiente a
los días 1 y 8 de diciembre de 1998.
3. No se elaboró el gráfico de control estadístico como se establece en
el procedimiento GPC-2 literal 5.2, para el diámetro del alambre de
la maquina Laguetto A-450, correspondiente a los días 2, 3 y 4 de
marzo de 1999.
4. Aunque el procedimiento PE-01 CURSOS DE ENTRENAMIENTO
(aprobado en agosto 1/98). Se especifica que después de cada curso
de entrenamiento se realizará un “Examen escrito de
conocimientos”, para el curso de entrenamiento “Control Estadístico
de Temperatura”, dictado a los operadores del cuarto de control en
marzo 2/99, no se realizó el examen correspondiente.

80
5. No se ha documentado el compromiso de la dirección para con la
calidad.
6. En el procedimiento QA-001 “control de la línea de embotellado”
versión 2, se establece que la verificación del nivel llenado se hace
en el lente No 1, en la práctica se evidenció que esta verificación se
está realizando en lente no se he establecido la disposición para
verificar el contenido de azúcar.
7. Según el registro de calibración F-MEC-02 de septiembre 3 de 1998
el manómetro M-089-01 empleado en la inspección de producto
terminado, no cumple con los requisitos de aceptación especificados
en el procedimiento “MEC-02 CALIBRACION DE MANOMETROS”
(vigente a partir de septiembre 3 de 1998).
8. No se realizó seguimiento en las fechas previas a las no
conformidades 1, 3 y 4 de las auditorías internas del periodo 98-99.
Como se establece en el procedimiento AIC versión 2.

81
9. No se conservan los registros de evaluación periódica realizada a los
productos en proceso ubicados en la “zonas de transito” de la planta
de pintura.
10. En el manual de compras del director administrativo se encontraron
dos copias de procedimiento “DEA-90 SELECCIÓN Y EVALUACION DE
SUBCONTRATISTAS”, una de las copias es la versión anterior y la
disposición del procedimiento establece que los documentos
obsoletos se deben destruir.
11. No se está cumpliendo el procedimiento CO-345 para el trámite y
autorización de los gastos de viaje.
12. No se ha documentado la responsabilidad para la liberación de los
tubos de aleación 23 durante la inspección de recepción.

82
13. No existe evidencia de la toma de pH de la corriente que entra al
reactor 5545 para la esterificación del glicerol, como se establece en
la instrucción del proceso SX-90.
14. El manual de calidad (versión 3 de enero de 1998) especifica la
revisión del sistema de calidad cada 6 meses por parte del comité de
calidad. Se constató que a la fecha sólo se ha realizado una revisión
del sistema de calidad.
15. No se ejecutó la auditoria en el área de ventas directas, programada
para el 98-08-01 establecida en el cronograma de auditorias
internas.
16. No se han ejecutado las 4 auditorías internas programadas en el
tercer trimestre de 1998 en las áreas de compra laboratorio
metrología, ventas nacionales y oficina técnica.

83
Recuerde…
Fuente: http://elsmar.com/Audit/sld100.htm
http://elsmar.com/Imp/sld001.htm
http://fccea.unicauca.edu.co/old/tgarf/tgarf.html#tgarfpa1.html

84
Recuerde

85
Recuerde

86
Recuerde …
 Usted es el auditor
 NO es supervisor
 NO es QA/QC
 NO ES OTRA COSA DIFERENTE
 Comuníquese asertivamente
 TOME NOTAS –no confíe en su memoria
 NUNCA juzgue o comente o emita opiniones personales o suponga
 Tenga una ACTITUD totalmente objetiva, imparcial y NEUTRA
 Sólo debe observar e informar, nunca debe recriminar, dar órdenes o decir a
las personas auditadas cómo se deben hacer las cosas
 Busque ser efectivo y proactivo -concentrarse en lo importante: preparación,
prevención, planificación, entre otras actividades
 Concéntrese y no se aparte del plan
Fuente: http://nahunfrett.blogspot.com/2014/08/tips-para-reuniones-de-trabajo.html
http://nahunfrett.blogspot.com/2014/08/11-preguntas-para-mejorar-una-reunion.html
http://www.liderazgohoy.com/7-habitos-personas-altamente-efectivas-stephen-covey/
http://nahunfrett.blogspot.com/2014/08/mandamientos-del-bueno-comunicador.html
http://www.iaiperu.org/index.php?option=com_content&view=article&id=85:icomo-mantiene-auditoria-interna-su-independencia-y-
objetividad&catid=49:preguntas-frecuentes&Itemid=40
http://www.gerencie.com/el-auditor-solo-debe-observar-e-informar-no-dar-ordenes-a-sus-auditados.html

87
Recuerde …
 No atosigar al auditado con una batería de preguntas
 Darle un cierto tiempo para responder, en muchos casos
deberá procesar la pregunta
 No anticipar la respuesta
 Replantear las preguntas cuando el auditado no las
entienda
 Nunca entrar en discusiones interpretativas con el
auditado
 No transmitir sensación de enojo ante respuestas
evasivas
 Comunicar al entrevistado los fundamentos de los
hallazgos de auditoría
 No irradiar sensación de alegría ante la detección de
hallazgos
Fuente: https://isocalidad2000.wordpress.com/2013/07/26/la-actitud-del-auditor-retroalimentacion-tengo-que-hacer-una-
auditoria-interna-y-no-se-por-donde-empezar-viii/

88
Recuerde …
 El auditor no es, ni debe esperarse que sea un perito en todas
las materias –para eso está su equipo de especialistas.
 Los auditores deben planear y llevar a cabo la auditoría con
escepticismo profesional y ejercer su juicio profesional
durante todo el proceso de la misma.
 Los auditores deben comprender el ambiente de control y los
controles internos relevantes y considerar si es posible
asegurar el cumplimiento.
 Los auditores deben realizar una evaluación de riesgos para
identificar los riesgos de incumplimiento.
 Los auditores deben de considerar el riesgo de fraude.
 Los auditores deben desarrollar una estrategia y un plan de
auditoría.
 Los auditores deben preparar un informe basado en los
principios de integridad, objetividad, oportunidad y
celebración de un proceso contradictorio.
Fuente: http://es.issai.org/media/79470/issai-400-s-new.pdf
http://www.auditool.org/blog/auditoria-externa/3318-eficacia-y-eficiencia-en-auditia-el-reto-de-actuar-con-equilibrio
http://nahunfrett.blogspot.com/2014/08/7-pecados-que-los-clientes-no-perdonara.html
http://auditoresinternos.es/la-f%C3%A1brica-de-pensamiento/documentos
Podemos actuar eficientemente sin eficacia
(capacidad de lograr el efecto que se desea) y actuar
eficazmente sin eficiencia

89
Recuerde …
 Para establecer adecuadamente un hallazgo referente a
una NO CONFORMIDAD:
 Observe los hechos, ESCUCHE y RELACIÓNELOS con los
requisitos.
 CONCÉNTRESE en el qué pasó, cuándo, cuántos, dónde.
 No olvide el por qué, ¿recuerda 6W-2H?.
 REVISE las evidencias, VERIFIQUE la información solicitada
 Y RE-VERIFIQUE TODO.
 Revise los REQUISITOS que se incumplen y COMPÁRELOS
con los hechos.
 Sea PRECISO en fechas, términos, cantidades.
 Una vez esté seguro, levante la no conformidad (hallazgo).
 ÚNICAMENTE COMO RESULTADO AL INCUMPLIMIENTO DE
UN REQUISITO.
Según la norma ISO 9000:2005 una NO CONFORMIDAD es un
incumplimiento de un requisito del sistema, sea este especificado o
no. Se conoce como requisito una necesidad o expectativa
establecida, generalmente explícita u obligatoria.
Fuente: http://www.aec.es/web/guest/centro-conocimiento/no-conformidad
http://www.metepec.gob.mx/sistemadegestion/MANUAL_DE_CALIDAD/11%20GUIAS%20DE%20APOYO/Documentando%20una%20no
%20conformidad.pdf
Hay tres partes en una
no conformidad bien
documentada:
• la evidencia de
auditoría que soporta
los hallazgos del
auditor;
• un registro del
requerimiento contra
el cual la no
conformidad se
detecta;
• el enunciado de la
no conformidad.
El enunciado de la no conformidad lleva
a la organización al análisis de la causa,
la corrección y la acción correctiva
Contrastar
Comparar
Evaluar

90
Riesgos
Riesgo que el sistema de control
esté incapacitado para detectar o
evitar errores o irregularidades
significativas en forma oportuna
Susceptibilidad a la existencia
de errores o irregularidades
significativas, antes de
considerar la efectividad de
los sistemas de control
Riesgo que los procedimientos
de auditoría seleccionados, no
detecten errores o
irregularidades existentes
Existe una relación inversa entre
el nivel de Materialidad de las
pruebas del auditor y el nivel de
Riesgo de Auditoría, es decir a
mayor nivel de Materialidad,
menor Riesgo de Auditoría o
viceversa
Incertidumbre relacionada con:
• La calidad y competencia de las evidencias
• La eficacia de las actividades de control
• La presentación de los estados contables
Todo auditor “en Dios
confía del resto, duda”
Riesgo de que el auditor dé una opinión de
auditoría inapropiada cuando los registros
están elaborados en forma errónea -de una
manera importante.
Fuente: http://www.facpce.org.ar:8080/miniportal/archivos/informes_del_cecyt/area_auditoria_informe_16.pdf
Riesgo de auditoría aceptable: Aceptación por
el auditor de que existan errores importantes
después de terminar la auditoría.
Riesgo de detección planeada: Alcance de las
evidencias que el auditor planea reunir.
Empresa Auditor

91
Factores de riesgo
 Ramo del negocio del ente auditado.
 Tipo de organización.
 Integridad de la administración.
 Motivación del cliente.
 Resultados de auditorías anteriores.
 Operaciones con partes relacionadas.
 Operaciones no rutinarias.
 Cambios en los negocios o en los sistemas.
 Prácticas o criterios satisfactorios para un buen registro.
 Competencia, economía del país, cambios en el consumo, etc.
 El hecho de tratarse de una primera auditoría o de una auditoría repetitiva.
 Competencias del equipo auditor.
 Aspectos diversos.
A mayor riesgo, menos seguridad.
La seguridad de auditoría implica la
satisfacción del auditor sobre la
confiabilidad de las afirmaciones
hechas por el ente auditado y, en
general, significa la probabilidad de
la inexistencia de errores o la
seguridad de que una vez producidos
determinados errores, los mismos
serán detectados y corregidos por los
controles implementados por la
empresa o detectados por el auditor.
Fuente: http://www.facpce.org.ar:8080/miniportal/archivos/informes_del_cecyt/area_auditoria_informe_16.pdf

92

93
¡¡¡¡ Ahí viene el auditor !!!!
¡¡¡¡ CUIDADO!!!!

Gracias por su atención
¿Preguntas?

Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética

Similar a Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética (20)

Más de Jack Daniel Cáceres Meza

Más de Jack Daniel Cáceres Meza (20)

Último

Último (12)

Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética