CURSO DE AUDITORÍA CONTINUA O DE TIEMPO REAL ENE.2018 PRIMERA PARTE: 1. GENERALIDADES DEL ENTORNO ORGANIZACIONAL. 2. CONCEPTOS Y DEFINICIONES. 3. EVALUACIÓN CONTÍNUA DEL CONTROL. 4. APLICACIONES PARA LA EVALUACIÓN CONTÍA DEL CONTROL. 5. MONITOREO CONTÍNUO. 6. ASEGURAMIENTO. 7. SUPERVISIÓN CONTÍNUA. 8. MARCO DE GESTIÓN DE RIESGOS EMPRESARIALES COSO ERM 2017. 9. AUDITORÍA INTERNA.

5. TODA LA ORGANIZACIÓN
AUDITORÍA

6. PARA PODER RELACIONAR LOS OBJETIVOS E IDENTIFICAR LOS INCIDENTES O
ACONTECIMIENTOS DE FUENTES INTERNAS O EXTERNAS QUE AFECTAN EL LOGRO DE LAS
METAS Y OBJETIVOS, ES IMPORTANTE TENER COMO PUNTO DE PARTIDA LA IDENTIFICACIÓN DE
LOS PROCESOS IMPLEMENTADOS POR LA ENTIDAD PARA EL LOGRO DE LOS OBJETIVOS.
ESTOS PROCESOS DEBEN INTEGRARSE EN TRES NIVELES: ESTRATÉGICOS, MISIONALES Y DE
APOYO.
PROCESOS DE INNOVACIÓN O ESTRATÉGICOS:
SON AQUELLOS QUE BUSCAN ESTABLECER LA VISIÓN Y ORIENTACIÓN
PARA EL DESARROLLO DE LOS DEMÁS PROCESOS.
GENERAN PERMANENTEMENTE INNOVACIÓN Y CRITERIOS PARA EL
ALCANCE DE LOS LOGROS Y PROPÓSITOS.
PROCESOS DE VALOR, PRIMARIOS O MISIONALES:
SON LOS PROCESOS ESENCIALES DE LA ENTIDAD, DESTINADOS A LLEVAR
A CABO LAS ACTIVIDADES QUE PERMITAN EJECUTAR EFECTIVAMENTE LAS
POLÍTICAS Y ESTRATEGIAS RELACIONADAS CON LA CALIDAD DE LOS
PRODUCTOS O SERVICIOS QUE OFRECEN A SUS CLIENTES.
PROCESOS DE APOYO O SOPORTE:
SON AQUELLOS QUE SOPORTAN Y APOYAN A LOS PROCESOS
ESTRATÉGICOS Y PRODUCTIVOS, SE ENCARGAN DE PROPORCIONAR
PERSONAL COMPETENTE, MANTENER LAS CONDICIONES DE OPERATIVIDAD
Y FUNCIONAMIENTO, COORDINAR Y CONTROLAR LA EFICACIA DEL
DESEMPEÑO ADMINISTRATIVO Y LA OPTIMIZACIÓN DE LOS RECURSOS.
CADENA DE
VALOR
ES UN MODELO QUE
DESCRIBE CÓMO SE
DESARROLLAN LAS
ACTIVIDADES DE UNA
EMPRESA SIGUIENDO EL
CONCEPTO DE CADENA,
ESTÁ COMPUESTA POR
DISTINTOS ESLABONES QUE
FORMAN UN PROCESO
ECONÓMICO, EN CADA
ESLABÓN SE AGREGA VALOR
QUE ES EN TÉRMINOS
COMPETITIVOS LA CANTIDAD
QUE LOS CONSUMIDORES
ESTÁN DISPUESTOS A PAGAR
POR UN PRODUCTO O
SERVICIO.

8. ASEGURAMIENTO CONTINUO
AUDITORÍA
RESULTADOS DEL PROCESO DE AUDITORÍA CONTINUA Y DE SUPERVISIÓN CONTINUA
DIRECCIÓN
PRUEBAS DE AUDITORÍA DE
SUPERVISIÓN CONTINUA
ACTIVIDADES, TRANSACCIONES E INCIDENTES
SISTEMAS Y PROCESOS DE NEGOCIO
SUPERVISIÓN CONTINUA
AUDITORÍA
CONTINUA

11. A SU VEZ LA CADENA DE VALOR APOYA EL NIVEL DE DOCUMENTACIÓN REQUERIDA EN LOS
MAPAS DE RIESGO.

17. ❖ SE HAN HECHO VARIOS INTENTOS PARA ALENTAR A LOS AUDITORES A QUE HAGAN UN MEJOR USO DE LA
INFORMACIÓN ELECTRÓNICA Y AUMENTEN LA EFICACIA Y LA EFICIENCIA DE LA ACTIVIDAD DE AUDITORÍA
INTERNA.
❖ EN EL ÚLTIMO TIEMPO, SE HAN APLICADO DIVERSOS TÉRMINOS PARA ESTAS INICIATIVAS, PERO SÓLO
HAN CREADO MÁS CONFUSIÓN EN EL ÁMBITO DE LA PROFESIÓN.
❖ SIN UNA COMPRENSIÓN CLARA Y UNIFICADA DE LA TERMINOLOGÍA, SERÁ DIFÍCIL FOMENTAR ESTAS
INICIATIVAS Y SE REDUCIRÁN LAS POSIBILIDADES DE ÉXITO. POR LO TANTO, UNO DE LOS PRIMEROS
REQUISITOS EN LA IMPLEMENTACIÓN DE LA AUDITORÍA CONTINUA ES EL DESARROLLO Y LA DIFUSIÓN DE
DEFINICIONES CLARAS PARA TODOS LOS TÉRMINOS RELACIONADOS.
❖ UN PUNTO CLAVE PARA COMPRENDER LA TERMINOLOGÍA RELACIONADA CON LA AUDITORÍA CONTINUA
ES ENTENDER QUE EL CONTROL Y EL RIESGO SON DOS CARAS OPUESTAS DE LA MISMA MONEDA.
❖ LOS CONTROLES EXISTEN PARA AYUDAR A MITIGAR EL RIESGO.
❖ LA IDENTIFICACIÓN DE DEFICIENCIAS DE CONTROL PERMITE DESTACAR ÁREAS DE RIESGO POTENCIAL.
❖ EN OPOSICIÓN, AL EXAMINAR EL RIESGO, LOS AUDITORES PUEDEN IDENTIFICAR ÁREAS DONDE LOS
CONTROLES SON NECESARIOS O DONDE NO FUNCIONAN.
❖ SI BIEN LA EVALUACIÓN DE CONTROLES Y RIESGOS SIEMPRE INVOLUCRA ANÁLISIS CUALITATIVOS Y
CUANTITATIVOS, EL MAYOR GRADO DE EFICIENCIA SE LOGRA AL MAXIMIZAR EL USO DE TECNOLOGÍA.
❖ EL DESAFÍO PARA LOS AUDITORES ES GARANTIZAR LA DISPONIBILIDAD Y LA UTILIDAD DE LOS DATOS,
COMPRENDER LOS SISTEMAS Y LOS PROCESOS SUBYACENTES DE NEGOCIO, Y MAXIMIZAR EL USO DE LA
AUTOMATIZACIÓN.
❖ POR ESO, EL FOCO DE ESTA GUÍA DE AUDITORÍA DE TECNOLOGÍA GLOBAL - GTAG SON LOS PROCESOS
ASISTIDOS POR LA TECNOLOGÍA QUE RESPALDAN LA AUDITORÍA CONTINUA.

18. ❖ EL ASEGURAMIENTO PUEDE CONSIDERARSE
COMO LA OPINIÓN QUE SE BRINDA A UN TERCERO
CON RESPECTO A DETERMINADA SITUACIÓN:
❖ UNA TRANSACCIÓN ESPECÍFICA, UN PROCESO DE
NEGOCIO O DE GOBIERNO, UN RIESGO O EL
DESEMPEÑO FINANCIERO GLOBAL DE UNA
OPERACIÓN DE NEGOCIO.
❖ EL ASEGURAMIENTO DE AUDITORÍA ES UNA
DECLARACIÓN SOBRE LA IDONEIDAD Y EFICACIA
DE LOS CONTROLES, Y LA INTEGRIDAD DE LA
INFORMACIÓN.
❖ LA SUPERVISIÓN CONTINUA DE LOS CONTROLES
POR PARTE DE LA DIRECCIÓN ES EL NÚCLEO DE
LAS ESTRATEGIAS DE ASEGURAMIENTO
EFECTIVAS.
❖ NO OBSTANTE ELLO, LOS AUDITORES DEBEN
ASEGURARSE QUE LAS ACTIVIDADES DE LA
DIRECCIÓN SEAN ADECUADAS Y EFICACES.
❖ EL ENFOQUE DE ASEGURAMIENTO CONTINUO ES
LA COMBINACIÓN DE TAREAS REALIZADAS POR
LA ACTIVIDAD DE AUDITORÍA INTERNA PARA
EVALUAR EN FORMA INDEPENDIENTE: EL ESTADO
DE LOS CONTROLES, LA GESTIÓN DE RIESGOS DE
LA ORGANIZACIÓN Y LA EVALUACIÓN DE LA
IDONEIDAD DE LA FUNCIÓN DE SUPERVISIÓN DE
LA DIRECCIÓN.

20. EL JEFE DEL ÓRGANO DE CONTROL INSTITUCIONAL
DEBE GARANTIZAR QUE TODOS LOS AUDITORES, LA
ALTA DIRECCIÓN Y EL COMITÉ DE AUDITORÍA
COMPRENDAN LOS ROLES Y LAS RESPONSABILIDADES
QUE TIENEN LA ACTIVIDAD DE AUDITORÍA INTERNA Y LA
DIRECCIÓN PARA LOGRAR QUE LA ECUACIÓN DE
ASEGURAMIENTO CONTINUO SEA EFECTIVA. LAS
SIGUIENTES DEFINICIONES PUEDEN APORTAR MÁS
COMPRENSIÓN:
1. LA AUDITORÍA CONTINUA
ES TODO MÉTODO UTILIZADO POR LOS AUDITORES
PARA REALIZAR ACTIVIDADES RELACIONADAS CON
LA AUDITORÍA EN FORMA (MÁS) CONTINUA.
ES LA SECUENCIA DE ACTIVIDADES QUE ABARCAN
DESDE LA EVALUACIÓN CONTINUA DE CONTROL
HASTA LA EVALUACIÓN CONTINUA DE RIESGOS
(TODAS LAS ACTIVIDADES EN LA SECUENCIA
CONTROL - RIESGO).
LA TECNOLOGÍA DESEMPEÑA UN PAPEL
FUNDAMENTAL EN LA AUTOMATIZACIÓN DE LA
IDENTIFICACIÓN DE EXCEPCIONES O ANOMALÍAS,
EL ANÁLISIS DE PATRONES DE LOS DÍGITOS DE
CAMPOS NUMÉRICOS CLAVE, EL ANÁLISIS DE
TENDENCIAS, EL ANÁLISIS DE TRANSACCIONES
DETALLADAS CON VALORES LÍMITE Y UMBRALES,
LAS PRUEBAS DE CONTROLES Y LA COMPARACIÓN
DEL PROCESO O DEL SISTEMA A TRAVÉS DEL
TIEMPO O CON OTRAS ENTIDADES SIMILARES.

21. 2. LA EVALUACIÓN CONTINUA DE CONTROL
SE REFIERE A LAS ACTIVIDADES QUE REALIZAN LOS AUDITORES
PARA BRINDAR ASEGURAMIENTO RELACIONADO CON LOS
CONTROLES.
CON LA EVALUACIÓN CONTINUA DE CONTROL, LOS AUDITORES
BRINDAN ASEGURAMIENTO AL COMITÉ DE AUDITORÍA Y A LA
ALTA DIRECCIÓN SOBRE SI LOS CONTROLES ESTÁN
FUNCIONANDO CORRECTAMENTE POR MEDIO DE LA
IDENTIFICACIÓN DE DEBILIDADES Y VIOLACIONES DE CONTROL.
LAS TRANSACCIONES INDIVIDUALES SE SUPERVISAN UTILIZANDO
UN CONJUNTO DE REGLAS DE CONTROL PARA OFRECER
ASEGURAMIENTO RELATIVO AL SISTEMA DE CONTROLES
INTERNOS Y DESTACAR LAS EXCEPCIONES.
UN CONJUNTO DE REGLAS DE CONTROL BIEN DEFINIDAS BRINDA
UNA ADVERTENCIA TEMPRANA CUANDO LOS CONTROLES SOBRE
UN PROCESO O UN SISTEMA NO ESTÁN FUNCIONANDO COMO
DEBEN O CUANDO SE HAN VIOLADO.
EL ALCANCE DE LAS ACTIVIDADES DE EVALUACIÓN CONTINUA DE
CONTROL QUE IMPLEMENTA LA ACTIVIDAD DE AUDITORÍA
INTERNA DEPENDERÁ DEL GRADO DE CUMPLIMIENTO DE LAS
RESPONSABILIDADES DE LA DIRECCIÓN EN MATERIA DE
SUPERVISIÓN CONTINUA.
UN SISTEMA SÓLIDO DE SUPER VISIÓN DE LA DIRECCIÓN
IMPLICARÁ UNA MENOR CANTIDAD DE PRUEBAS DETALLADAS
PARA QUE LOS AUDITORES PUEDAN BRINDAR ASEGURAMIENTO
SOBRE LOS CONTROLES.

22. 3. LA EVALUACIÓN CONTINUA DE RIESGOS
SE REFIERE A LAS ACTIVIDADES QUE REALIZAN LOS AUDITORES PARA IDENTIFICAR Y
EVALUAR LOS NIVELES DE RIESGO.
LA EVALUACIÓN CONTINUA DE RIESGOS IDENTIFICA Y EVALÚA LOS RIESGOS AL EXAMINAR
TENDENCIAS Y COMPARACIONES (EN UN ÚNICO PROCESO O SISTEMA, EN COMPARACIÓN
CON SU PROPIO DESEMPEÑO ANTERIOR Y CON OTROS PROCESOS O SISTEMAS EN
FUNCIONAMIENTO EN LA EMPRESA).
POR EJEMPLO: EL DESEMPEÑO DE UNA LÍNEA DE PRODUCTOS SE PODRÍA COMPARAR CON
RESULTADOS DE AÑOS ANTERIORES Y SE PODRÍA EVALUAR EN EL CONTEXTO DEL
DESEMPEÑO DE UNA PLANTA CONTRA LAS DEMÁS.
ESTAS COMPARACIONES PERMITEN UNA ADVERTENCIA TEMPRANA DE QUE UN PROCESO O
SISTEMA PARTICULAR (ENTIDAD DE AUDITORÍA) TIENE UN NIVEL MAYOR DE RIESGO QUE
AÑOS ANTERIORES O QUE OTRAS ENTIDADES.
LA RESPUESTA DE AUDITORÍA VARIARÁ SEGÚN LA NATURALEZA Y EL NIVEL DE RIESGO. LA
EVALUACIÓN CONTINUA DE RIESGOS SE PUEDE UTILIZAR EN UNA AUDITORÍA DE GRAN
ALCANCE PARA SELECCIONAR LAS UBICACIONES QUE SE VISITARÁN, PARA IDENTIFICAR
AUDITORÍAS ESPECÍFICAS O ENTIDADES QUE SE INCLUIRÁN EN EL PLAN DE AUDITORÍA
ANUAL O PARA GENERAR UNA AUDITORÍA INMEDIATA DE UNA ENTIDAD EN LA CUAL EL
RIESGO HA AUMENTADO EN GRAN MEDIDA SIN UNA EXPLICACIÓN ADECUADA.
TAMBIÉN SE PUEDE UTILIZAR PARA EVALUAR LAS ACCIONES DE LA DIRECCIÓN, PARA VER
SI LAS RECOMENDACIONES DE AUDITORÍA SE HAN IMPLEMENTADO CORRECTAMENTE Y SI
ESTÁN REDUCIENDO EL NIVEL DE RIESGO DE NEGOCIO.

24. COSO ERM
GESTIÓN DE RIESGOS CORPORATIVOS
MONITOREO
CONTÍNUO DE
CONTROLES
AUDITORÍA
CONTÍNUA

25. 4. LA SUPERVISIÓN CONTINUA
ES UN PROCESO QUE IMPLEMENTA LA DIRECCIÓN PARA GARANTIZAR QUE LAS POLÍTICAS,
LOS PROCEDIMIENTOS Y LOS PROCESOS DE NEGOCIO FUNCIONEN EFICAZMENTE.
LA DIRECCIÓN IDENTIFICA LOS PUNTOS DE CONTROL CRÍTICO E IMPLEMENTA PRUEBAS
AUTOMATIZADAS PARA DETERMINAR SI ESOS CONTROLES ESTÁN FUNCIONADO COMO
CORRESPONDE.
EL PROCESO DE SUPERVISIÓN CONTINUA HABITUALMENTE ABARCA LAS PRUEBAS
AUTOMATIZADAS DE TODAS LAS TRANSACCIONES Y LAS ACTIVIDADES DEL SISTEMA,
DENTRO DE UN ÁREA DE PROCESO DE NEGOCIO DETERMINADA, UTILIZANDO UN CONJUNTO
DE REGLAS DE CONTROL.
EN GENERAL, LA SUPERVISIÓN SE LLEVA A CABO EN FORMA DIARIA, SEMANAL O MENSUAL,
DE ACUERDO CON LA NATURALEZA DEL CICLO DE NEGOCIO SUBYACENTE.
SEGÚN CUÁL SEA LA REGLA DE CONTROL ESPECÍFICA Y LOS PARÁMETROS DE UMBRAL Y
PRUEBA RELACIONADOS, DETERMINADAS TRANSACCIONES SE MARCAN COMO
EXCEPCIONES DE CONTROL Y SE NOTIFICA A LA DIRECCIÓN.
LA FUNCIÓN DE SUPERVISIÓN DE GESTIÓN TAMBIÉN PUEDE ESTAR VINCULADA CON LOS
INDICADORES CLAVE DE RENDIMIENTO (KPI, EN INGLÉS) Y OTRAS ACTIVIDADES DE
MEDICIÓN DE DESEMPEÑO.
ES RESPONSABILIDAD DE LA DIRECCIÓN RESPONDER A LAS NOTIFICACIONES Y LAS
ALERTAS DE SUPERVISIÓN, SOLUCIONAR TODA DEFICIENCIA DE CONTROL Y CORREGIR
TRANSACCIONES DEFECTUOSAS.

28. PRIMERA LÍNEA DE DEFENSA - FUNCIONES DE GESTIÓN OPERATIVA DE QUIENES SON DUEÑOS Y GESTIONAN
LOS RIESGOS.
SEGUNDA LÍNEA DE DEFENSA - FUNCIONES QUE SUPERVISAN LOS RIESGOS, TALES COMO CUMPLIMIENTO Y
GESTIÓN DE RIESGOS.
TERCERA LÍNEA DE DEFENSA - FUNCIÓN DE AUDITORÍA INTERNA QUE PROPORCIONA UNA GARANTÍA
INDEPENDIENTE.
TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADORA (CAAT) - TÉCNICAS DE AUDITORÍA AUTOMATIZADAS
TALES COMO SOFTWARE GENERALIZADO DE AUDITORÍA, SOFTWARE UTILITARIO, DATOS DE PRUEBA,
SOFTWARE APLICATIVO DE MAPEO Y TRAZABILIDAD Y SISTEMAS EXPERTOS DE AUDITORÍA QUE AYUDAN A
LOS AUDITORES INTERNOS A CONSTRUIR LOS CONTROLES DE CUMPLIMIENTO INTEGRADOS DENTRO DE
SISTEMAS DE INFORMACIÓN Y DATOS EN ARCHIVOS INFORMÁTICOS. (AUDITORÍA INTERNA DE
ASEGURAMIENTO Y SERVICIOS DE ASESORAMIENTO, 3° ED., FUNDACIÓN PARA LA INVESTIGACIÓN DEL IIA).
CONFIGURACIÓN - AJUSTES DE CONTROL, NIVELES DE SEGURIDAD, PARÁMETROS Y DATOS DE REFERENCIA
QUE EJECUTAN LA AUTORIZACIÓN, EXACTITUD E INTEGRIDAD DEL PROCESAMIENTO DE TRANSACCIONES.
LAS OPCIONES DE CONFIGURACIÓN AFECTAN A LA FUNCIONALIDAD DEL SISTEMA, AL DESEMPEÑO Y A LOS
CONTROLES AUTOMATIZADOS.
TÉCNICAS DE AUDITORÍA BASADAS EN TECNOLOGÍA -CUALQUIER HERRAMIENTA DE AUDITORÍA
AUTOMATIZADA COMO PROGRAMAS GENÉRICOS DE AUDITORÍA, GENERADORES DE DATOS DE PRUEBA,
PROGRAMAS DE AUDITORÍA COMPUTARIZADA, UTILIDADES DE AUDITORÍA ESPECIALIZADAS Y CAATS
(NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA DEL IIA).
DATOS TRANSACCIONALES - FLUJO DE DATOS DINÁMICOS DETALLADO, NORMALMENTE RELACIONADO CON
UN PROCESO DE NEGOCIOS O UN EVENTO ECONÓMICO COMO UN PEDIDO, UNA FACTURA O UN PAGO.
DATOS NO ESTRUCTURADOS - DATOS QUE NO SE ENCUENTRAN LIMITADOS A UN CAMPO FIJO EN UNA HOJA
DE CÁLCULO O BASE DE DATOS. EJEMPLOS DE DATOS NO ESTRUCTURADOS QUE PUEDEN SER CONSULTADOS
MEDIANTE LA AUDITORÍA CONTINUA Y TÉCNICAS DE MONITOREO CONTINUO INCLUYEN TEXTO, AUDIO, VÍDEO
Y DATOS MULTIMEDIA.

29. CONCEPTOS MÁS GENERALIZADOS:
1999
UNA METODOLOGÍA PARA LA EMISIÓN DE INFORMES DE
AUDITORÍA SIMULTÁNEAMENTE, O UN CORTO PERIODO DE
TIEMPO DESPUÉS DE LA OCURRENCIA DE LOS HECHOS
RELEVANTES (AICPA, CICA; 1999)
2005
TODO MÉTODO UTILIZADO POR LOS AUDITORES PARA REALIZAR
ACTIVIDADES RELACIONADAS CON LA AUDITORÍA EN FORMA
(MÁS) CONTINUA. ES LA SECUENCIA DE ACTIVIDADES QUE
ABARCAN DESDE LA EVALUACIÓN CONTINUA DE CONTROL HASTA
LA EVALUACIÓN CONTINUA DE RIESGOS. (IIA, 2005) – GTAG 3-
2010
UN MÉTODO UTILIZADO POR LOS PROFESIONALES DE AUDITORÍA
Y ASEGURAMIENTO DE TI PARA LLEVAR A CABO EVALUACIÓN DE
RIESGOS Y CONTROLES, SOBRE UNA BASE MÁS FRECUENTE. ES
UN MÉTODO QUE UTILIZA TAAC’S QUE PERMITE A LOS
PROFESIONALES DE AUDITORÍA Y ASEGURAMIENTO DE TI
MONITOREAR LOS RIESGOS Y CONTROLES EN FORMA CONTINUA.
ESTE ENFOQUE PERMITE A LOS PROFESIONALES DE AUDITORÍA Y
ASEGURAMIENTO DE TI REUNIR EVIDENCIA SELECTIVA DE
AUDITORÍA A TRAVÉS DEL COMPUTADOR.(ISACA, 2010)
DIRECTRIZ DE AUDITORÍA 42

30. SIGLAS EN
INGLÉS
TERMINO PRINCIPALES AUTORES QUE UTILIZAN EL TÉRMINO
CCM
CONTINUOUS CONTROLS
MONITORING.
(MONITOREO DE CONTROLES
CONTINUOS).
(TEETER & BRENNAN, 2008),(GELLACIC,
2009),(CALDWELL & PROCTOR, 2010),(ALLES,
KOGAN, & VASARHELYI, 2008),(CANGEMI,
2010),(ALLES & VASARHELYI, 2009),(TEETER,
ALLES, & VASARHELYI, 2010),(RAMOS,
2007),(VASARHELYI, 2010), (ENIAC, 2006), (CHAN &
VASARHELYI, 2011),(KOGAN, ALLES, &
VASARHELYI, 2010)
CM
CONTINUOUS MONITORING.
(MONITOREO CONTINUO).
(CANGEMI, 2010),(DAIGLE, DAIGLE, & LAMPE,
2008),(VASARHELYI, KUENKAIKAEW, LITTLEY, &
WILLIAMS, 2006),(E. AQUINO, 2011),(KPMG, 2009)
CA
CONTINUOUS ASSURANCE.
(ASEGURANZA CONTINUA).
(YEH, CHANG, & SHEN, 2008),(PEROLS,
2009),(HANDSCOMBE, 2007), (KEARNEY &
TRYFONAS, 2008),(CODERRE, 2010),(KNEER,
2003),(MARKS, 2010),(KOGAN ET AL., 2010)
COA
CONTINUOUS ONLINE
AUDITING.
(AUDITORÍA CONTINUA EN
LÍNEA).
(OMOTESO & BUSINESS, 2008),(EL-MASRY & RECK,
2008),(WENMING, 2007),(VASARHELYI, 1999),
(ALLES, TOSTES, VASARHELYI, & RICCIO, 2006),
(BLUNDELL, 2007),
CDA
CONTINUOUS DATA
ASSURANCE.
(ASEGURANZA CONTINUA DE
DATOS).
(ALLES & VASARHELYI, 2009), (TEETER ET AL.,
2010),(CHAN & VASARHELYI, 2011),(KOGAN ET AL.,
2010)
CDA
CONTINUOUS DATA AUDITING.
(AUDITORÍA CONTINUA DE
DATOS).
(VASARHELYI, 2010)

31. TIPO MIDE MIDE PRINCIPAL APLICACIÓN
KRI RIESGOS
LA PROBABILIDAD Y/O
SEVERIDAD DE UN EVENTO
DE RIESGO.
ADVERTIR LA SITUACIÓN
RESPECTO DEL APETITO DE
RIESGO (ENCUADRE /
TOLERANCIA SUPERADA)
KCI CONTROLES
LA EFECTIVIDAD DE UN
CONTROL ESPECIFICO.
MOSTRAR EL RESULTADO
DE UN CONTROL (EL ÉXITO
O LA FALLA DEL MISMO).
KPI
PERFORMANCE
MEDIR EL CUMPLIMIENTO
DE UNA META DEFINIDA.
ADVERTIR EL LOGRO (EN
DEFECTO O EN EXCESO) DE
UNA META.
“…SIN EMBARGO EXISTE CIERTA DIFICULTAD EN CLASIFICAR UNÍVOCAMENTE CADA
INDICADOR, PUES EL MISMO PODRÍA SER ADJUDICADO A DISTINTAS CLASES SEGÚN
EL USUARIO QUE LO EMPLEE.”

32. SAS PROVEE UNA SOLUCIÓN MODULAR INTEGRADA QUE DA RESPUESTA A LOS RETOS QUE SE LE
PRESENTA AL AUDITOR INTERNO DE FORMA EFECTIVA Y AMIGABLE BASADO EN LAS SIGUIENTES
4 IDEAS:

35. LAS APLICACIONES PRÁCTICAS PARA LA EVALUACIÓN CONTINUA DE CONTROL DURANTE UNA AUDITORÍA,
INCLUYEN:
1. EXAMINAR DATOS DE TRANSACCIONES (POR EJEMPLO MARCAR TODAS LAS TRANSACCIONES DE
COMPRAS CON TARJETAS QUE SON MAYORES QUE EL LÍMITE DE AUTORIZACIÓN O QUE INVOLUCRAN
MERCADERÍAS PROHIBIDAS).
2. EVALUAR CONFIGURACIONES:
2.1 CUESTIONAR LOS SISTEMAS PARA DETERMINAR LA CONDICIÓN DE CONTROLES AUTOMATIZADOS
CONFIGURABLES.
2.2 REVISAR LOS NIVELES DE APROBACIÓN Y CAPACIDADES DE ACCESO.
3. EVALUAR CAMBIOS A PROGRAMAS Y PARÁMETROS.
4. REVISAR GESTIÓN DE INCIDENTES Y ERRORES.
5. REVISAR DATOS RESUMIDOS (POR EJEMPLO, LAS TRANSACCIONES MENSUALES TOTALES DE LOS
TITULARES DE TARJETAS SON MAYORES DE US$ 10.000 Y EL TITULAR DE LA TARJETA NO PERTENECE A
LA FUNCIÓN DE COMPRAS).
6. USO DE ANÁLISIS COMPARATIVO (POR EJEMPLO, LAS HORAS EXTRAORDINARIAS TOTALES PAGADAS EN
COMPARACIÓN CON TODOS LOS DEMÁS EMPLEADOS DE LA MISMA CATEGORÍA Y EL UMBRAL PARA
IDENTIFICAR EL TIEMPO EXTRA EXCESIVO O NO AUTORIZADO).
7. PRUEBAS DE SALDOS DE LAS CUENTAS DEL MAYOR GENERAL (POR EJEMPLO, DESTACANDO LAS CUENTAS
DONDE EL SALDO DIFIERE POR MÁS DEL 25% EN COMPARACIÓN CON EL AÑO ANTERIOR A FIN DE
IDENTIFICAR ALGUNA ACTIVIDAD INUSUAL COMO UN INCREMENTO EN LAS CANCELACIONES DE
CUENTAS).
8. PRUEBAS DE CUMPLIMIENTO PARA VERIFICAR EL MANTENIMIENTO ACTUALIZADO DE FICHAS DE
SEGURIDAD DE TODAS LAS SUSTANCIAS COMPRADAS, ALMACENADAS, FABRICADAS O VENDIDAS.
EN TODOS LOS CASOS, LOS AUDITORES PUEDEN PROFUNDIZAR RÁPIDAMENTE EN LOS DETALLES PARA
EVALUAR LA CAUSA POTENCIAL Y REALIZAR EL SEGUIMIENTO REQUERIDO MÁS RÁPIDO Y, POTENCIALMENTE,
MÁS FÁCILMENTE.

36. NUNCA SE HARÁ SUFICIENTE HINCAPIÉ EN LA IMPORTANCIA DE LOS CONTROLES EN LOS INFORMES FINANCIEROS Y
PROCESOS OPERATIVOS DE NEGOCIO. LA INTEGRIDAD DE LOS PROCESOS DE NEGOCIO SE BASA EN EL
CUMPLIMIENTO, LA EFICACIA Y LA EFICIENCIA DE LOS CONTROLES.
LOS CONTROLES DEBEN GARANTIZAR CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD Y CONFIABILIDAD DE LA
INFORMACIÓN.
AL PROPORCIONAR LA EVALUACIÓN CONTINUA DE CONTROL, LOS AUDITORES DEBEN ESTAR CADA VEZ MÁS
ATENTOS PARA VALIDAR QUE ESOS CONTROLES SEAN EFICACES.
LA EVALUACIÓN CONTINUA DE CONTROL PROPORCIONA UN ANÁLISIS INDEPENDIENTE DE LOS DATOS
TRANSACCIONALES A TRAVÉS DE PRUEBAS DE CONTROL PREDISEÑADAS. POR LO GENERAL, ESTAS PRUEBAS
SE BASAN EN EL ENFOQUE COSO.
EL USO DE LA EVALUACIÓN CONTINUA DE CONTROL PERMITE QUE EL DEA ENTREGUE A LA DIRECCIÓN UNA
ADVERTENCIA TEMPRANA DE LAS VIOLACIONES O DEFICIENCIAS DE CONTROL.
LA FORTALEZA DE LA EVALUACIÓN CONTINUA DE CONTROL NO RADICA EN LA CAPACIDAD DE IDENTIFICAR SIMPLES
EXCEPCIONES, TALES COMO VALORES QUE SUPERAN UN UMBRAL (POR EJEMPLO, TRANSACCIONES CON TARJETA
CORPORATIVA POR ENCIMA DE $10.000) O CASOS DONDE LA INFORMACIÓN REQUERIDA ESTÁ EN BLANCO
(POR EJEMPLO, QUE FALTE LA REFERENCIA A UNA ORDEN DE COMPRA).
ESOS SÍNTOMAS SON CONOCIDOS Y EL SISTEMA DE EVALUACIÓN CONTINUA DE CONTROL PUEDE FÁCILMENTE
REALIZAR UNA PRUEBA AL RESPECTO.
LA VERDADERA FORTALEZA DE LA EVALUACIÓN CONTINUA DE CONTROL ESTÁ EN SU CAPACIDAD DE EFECTUAR
PRUEBAS DE CONTROL MÁS COMPLEJAS Y SOFISTICADAS. ESAS PRUEBAS PUEDEN UTILIZAR:
1. TRANSACCIONES DETALLADAS (POR EJEMPLO, AUTORIZACIÓN POR PARTE DE UN USUARIO QUE NO TIENE LA
AUTORIDAD SUFICIENTE PARA EL TIPO DE TRANSACCIÓN, O BIEN, PAGOS REALIZADOS A UN PROVEEDOR CUYO
NOMBRE COINCIDE CON EL DEL USUARIO QUE APROBÓ LA TRANSACCIÓN).
2. LA TOTALIDAD DE LAS TRANSACCIONES (POR EJEMPLO, FACTURAS CON MÁS DE DOS DESVIACIONES ESTÁNDAR
POR ENCIMA DEL PROMEDIO).

37. LAS EVALUACIONES CONTINUAS DE CONTROL TAMBIÉN
PUEDEN IDENTIFICAR EXCEPCIONES, QUE SE MANIFIESTAN
COMO ANOMALÍAS.
POR EJEMPLO:
1. PROVEEDORES CON UNA SOLA FACTURA EN EL
TRIMESTRE.
2. MONTO DE CONTRATACIÓN MÁS ALTO QUE EL
ESPERADO DE $49.000, QUE EVITA LOS CONTROLES DE
CONTRATOS DE MÁS DE $50.000 (IDENTIFICADO A
TRAVÉS DEL ANÁLISIS DE LA LEY DE BENFORD).
3. CASOS EN LOS QUE UN SOLO USUARIO PROCESA
TODOS LOS CONTRATOS DE DETERMINADO
PROVEEDOR Y TIENE LAS MISMAS DIRECCIONES QUE
ESE PROVEEDOR.
LOS AUDITORES DEBEN ANALIZAR EL ENTORNO OPERATIVO
Y SUS CONTROLES INTERNOS PARA IDENTIFICAR EN QUÉ
CASOS LAS DEBILIDADES Y LAS DEFICIENCIAS PUEDEN
DEJAR A LA COMPAÑÍA EXPUESTA AL RIESGO. EL SISTEMA
DE CONTROLES INTERNOS DEBE SER EVALUADO Y
PROBADO PARA GARANTIZAR QUE FUNCIONE SEGÚN LO
ESPERADO.
SE DEBEN REVISAR MINUCIOSAMENTE PROCESOS, PUNTOS
DE CONTROL, PARTICIPANTES CLAVE Y RIESGOS.

38. PERO, ¿POR DÓNDE SE EMPIEZA? EL ENFOQUE
COSO O COBIT SE PUEDE UTILIZAR COMO
AYUDA EN EL PROCESO. EL MEJOR PUNTO DE
INICIO ES IDENTIFICAR LOS CONTROLES
CLAVE. INICIALMENTE, LA DIRECCIÓN, CON EL
APOYO DEL DEPARTAMENTO DE AUDITORÍA
INTERNA, DEBE IDENTIFICAR LAS PRINCIPALES
ACTIVIDADES DE NEGOCIO Y SUS
SUBPROCESOS PARA LUEGO DETERMINAR LOS
OBJETIVOS DE CONTROL RELACIONADOS.
LOS OBJETIVOS DE CONTROL SE PUEDEN
CLASIFICAR SEGÚN LOS ENCABEZADOS DE
COSO DE AUTORIZACIÓN, PRECISIÓN,
INTEGRIDAD, VALIDEZ, EFICACIA Y EFICIENCIA,
SEPARACIÓN DE FUNCIONES Y CUMPLIMIENTO
DE REGULACIONES.
POR EJEMPLO, LOS PROCESOS QUE AFECTAN A
LOS PEDIDOS DE COMPRA INCLUYEN CREAR,
EDITAR, PEDIR LAS MERCADERÍAS Y REALIZAR
AJUSTES.

39. LA EVALUACIÓN CONTINUA DE CONTROL COMIENZA
CON LA IDENTIFICACIÓN DE LOS CONTROLES DE LOS
PROCESOS CLAVE DE NEGOCIO.
LOS AUDITORES Y LA DIRECCIÓN DEBEN OCUPARSE DE
LA EVALUACIÓN DE LOS CONTROLES PARA LOGRAR EL
USO EFICAZ Y EFICIENTE DE LOS RECURSOS DE LA
COMPAÑÍA.
LOS CONTROLES SÓLIDOS SON PARTE ESENCIAL DE
CUALQUIER DEFENSA CONTRA FRAUDE, DESPERDICIO Y
ABUSO, PERO ES POSIBLE QUE NO ESTÉN
FUNCIONANDO SEGÚN LO ESPERADO O QUE YA NO
SEAN ADECUADOS.
LA REORGANIZACIÓN, LA REINGENIERÍA DE NEGOCIO O
LA REDUCCIÓN PUEDEN DEBILITAR O ELIMINAR LOS
CONTROLES, DE LA MISMA MANERA, LA
IMPLEMENTACIÓN DE NUEVOS SISTEMAS DE TI PUEDE
CREAR MÁS POSIBILIDADES PARA QUE SE COMETAN U
OCULTEN SITUACIONES DE FRAUDE.
TAMBIÉN, SE DEBE TENER PRESENTE EN TODO
MOMENTO QUE ES POSIBLE QUE LOS CONTROLES
OBLIGATORIOS NOMINALMENTE EN VIGENCIA SE ESTÉN
APLICANDO DE MANERA DEFICIENTE O SEAN
IRRELEVANTES.

40. UNA VEZ QUE ESTÁN DEFINIDOS LOS PROCESOS
CLAVE DE NEGOCIO, LOS SUBPROCESOS Y LOS
OBJETIVOS DE CONTROL RELACIONADOS, LAS
AUDITORÍAS INTERNAS DEBEN CALIFICARLOS PARA
IDENTIFICAR LOS PUNTOS DE CONTROL CRÍTICOS
(MAYOR IMPACTO Y RIESGO).
AL TOMAR LOS PUNTOS DE CONTROL MÁS
IMPORTANTES, EL PRÓXIMO PASO ES DEFINIR LOS
ANÁLISIS ADECUADOS PARA CADA OBJETIVO DE
CONTROL.
SE DEBE RESPONDER UNA PREGUNTA SIMPLE:
“¿CÓMO SE VERÍAN LOS DATOS SI NO SE CUMPLIERA
EL OBJETIVO DE CONTROL?”, LUEGO SE PODRÁN
DESARROLLAR PRUEBAS EN BUSCA DE SÍNTOMAS
DE LAS EXPOSICIONES.
POR EJEMPLO, DADO EL OBJETIVO DE CONTROL DE
QUE LOS PEDIDOS SE DEBEN AUTORIZAR
ADECUADAMENTE Y CUMPLIR CON LOS LÍMITES
ESTABLECIDOS, SE PUEDEN DESARROLLAR
PRUEBAS PARA BUSCAR PEDIDOS NO AUTORIZADOS,
PEDIDOS AUTORIZADOS POR PERSONAL QUE NO
TIENE LA AUTORIDAD ADECUADA Y PEDIDOS QUE SE
DIVIDIERON EN DOS O MÁS PARTES PARA EVITAR
LOS LÍMITES FINANCIEROS.

41. ROBUSTO RESILIENTE ANTI-FRÁGIL
SÓLIDA
1. LAS ORGANIZACIONES
DESARROLLAN SISTEMAS
DE CONTROL EFECTIVOS
PERO QUE SE ADAPTAN
DEFICIENTEMENTE A LOS
CAMBIOS EN EL ENTORNO.
2. ORGANIZACIONES EN
PIRÁMIDE.
REFERENCIAS
1. NORMAS ISO
2. SISTEMAS DE CONTROL
FLUYENTE
1. EL ENTORNO DE CONTROL
ESTÁ DISEÑADO PARA
ADAPTARSE AL CAMBIO
CONSTANTE, AL
IMPREVISTO.
2. BASADOS EN FUERTES
CULTURAS CORPORATIVAS
DIFÍCILES DE
DESARROLLAR.
3. ORGANIZACIONES EN RED.
REFERENCIAS
1. MODELOS GRC
2. WORLD ECONOMIC FORUM
ENTRÓPICA
1. LA ORGANIZACIÓN SE
REFUERZA CON EL
DESORDEN.
2. EL ENTORNO COMPLEJO Y
CAMBIANTE LA ALIMENTA.
3. CONTROLES BASADOS EN
LAS LEYES DE LA
TERMODINÁMICA.
4. ORGANIZACIONES
MULTIACTIVAS
REFERENCIAS
1. ANTIFRAGILIDAD
2. NASIM TALEB

42. UNA EVALUACIÓN CONTINUA DE CONTROL PROPORCIONA INDEPENDIENTE ANÁLISIS DE LOS
CONTROLES DE APLICACIÓN AUTOMATIZADOS Y DE CONTROLES GENERALES DE TI A TRAVÉS DE
CONSIDERAR SUS CONDICIONES INICIALES Y LOS CAMBIOS POSTERIORES EN LA CONFIGURACIÓN.
DEBIDO A LA DEGRADACIÓN QUE A MENUDO OCURRE EN LOS CONTROLES DE TI QUE PRECEDEN A
ERRORES EN LOS DATOS, EL USO DE LA EVALUACIÓN CONTINUA DE CONTROL PERMITE EL DEA
PROPORCIONAR A LA GERENCIA UNA ALERTA TEMPRANA DE FALLAS DE CONTROL O DEFICIENCIAS.
LAS ACTIVIDADES CLAVES Y CONSIDERACIONES PARA REALIZAR UNA EVALUACIÓN CONTINUA DE
CONTROL INCLUYEN:
1. CON RELACIÓN A OBJETIVOS DE CONTROL.
1.1 PRECAUCIÓN CON LA TENDENCIA DE AUTOMATIZAR CADA PASO DE UN PROGRAMA DE
AUDITORÍA EXISTENTE. ES PREFERIBLE IDENTIFICAR UN NÚMERO MENOR DE
EVALUACIONES QUE SE RELACIONEN CON OBJETIVOS DE CONTROL DE ALTO NIVEL.
1.2 EL VERDADERO PODER DE LA EVALUACIÓN CONTINUA DE CONTROL RADICA EN LA
CAPACIDAD DE PROPORCIONAR ASEGURAMIENTO PERTINENTE DE MANERA EFECTIVA Y
OPORTUNA.
1.3 DADO QUE LOS CONTROLES GENERALES DE TI POSIBILITAN CONFIABILIDAD PERMANENTE A
LOS CONTROLES AUTOMATIZADOS, LA EVALUACIÓN DE LOS CONTROLES GENERALES DE TI
Y LOS CONTROLES AUTOMATIZADOS DE LA APLICACIÓN ES PARTE FUNDAMENTAL PARA
OPTIMIZAR EL PROCESO DE ASEGURAMIENTO Y CUMPLIMIENTO.
1.4 LOS CONTROLES AUTOMATIZADOS SE CONFIGURAN EN LAS APLICACIONES PARA
ALCANZAR EXACTITUD, INTEGRIDAD, Y AUTORIZACIÓN DE LAS TRANSACCIONES. OBTENER
UNA COMPRENSIÓN DE LOS CONTROLES AUTOMATIZADOS A TRAVÉS DE LAS DISCUSIONES
CONJUNTAS CON LA GERENCIA Y LOS EXPERTOS EN TI.

43. 2. DETERMINAR LOS CONTROLES CLAVE.
2.1 RECORRER EL ESCENARIO DE NEGOCIOS Y CONSIDERAR QUÉ PODRÍA SALIR MAL. DETERMINAR
CÓMO HAN SIDO DISEÑADAS Y CONFIGURADAS LAS TÉCNICAS AUTOMATIZADAS EN EL SISTEMA
PARA EL CONTROL DE LA AUTORIZACIÓN, LA INTEGRIDAD Y LA EXACTITUD DE LAS
TRANSACCIONES.
2.2 CUESTIONAR LOS CONTROLES CONFIGURADOS SISTEMÁTICAMENTE PARA DETERMINAR SUS
CONDICIONES ACTUALES Y DE ORIGEN Y EVALUAR SI ESTÁN OPERANDO EFECTIVAMENTE, TAL
COMO HAN SIDO DISEÑADOS.
2.3 LOS CAMBIOS AL MONITOREO, LOS CUALES DEBERÍAN SER POCO FRECUENTES, A CONTROLES
CONFIGURABLES AUTOMATIZADOS. LOS CONTROLES AUTOMATIZADOS QUE NO ESTÁN BIEN
CONFIGURADOS O CAMBIAN FRECUENTEMENTE, DISMINUYEN LA CONFIANZA DEL AUDITOR EN LA
EFICACIA DE LAS ACTIVIDADES DE CONTROL.
2.4 EVALUAR EL ESTADO INICIAL DE LOS CONTROLES.
2.5 UNA VEZ QUE LOS PROCESOS CLAVES DEL NEGOCIO, LOS OBJETIVOS DE CONTROL
RELACIONADOS Y LOS CONTROLES AUTOMATIZADOS ESTÁN DEFINIDOS, ORDÉNELOS
DECRECIENTE PARA IDENTIFICAR LOS PUNTOS DE CONTROL CRÍTICOS (EL MÁS ALTO IMPACTO /
RIESGO).
3. EVALUAR EL ESTADO INICIAL DE LOS CONTROLES.
UNA VEZ QUE LOS PROCESOS CLAVES DEL NEGOCIO, LOS OBJETIVOS DE CONTROL RELACIONADOS Y
LOS CONTROLES AUTOMATIZADOS ESTÁN DEFINIDOS, ORDÉNELOS DECRECIENTE PARA IDENTIFICAR
LOS PUNTOS DE CONTROL CRÍTICOS (EL MÁS ALTO IMPACTO / RIESGO).

44. 4. PARA LOS PUNTOS DE CONTROL
CRÍTICOS, DEFINIR UN APROPIADO
ANÁLISIS PARA CADA OBJETIVO DE
CONTROL.
4.1 EVALUAR EL ESTADO ACTUAL DE LA
CONFIGURACIÓN DE LOS CONTROLES
AUTOMATIZADOS, EN COMPARACIÓN
CON VALOR INICIAL.
4.2 DETERMINAR SI LA CONDICIÓN DE LOS
CONTROLES AUTOMATIZADOS HAN
CAMBIADO DESDE LA AUDITORÍA
INICIAL.
4.3 CONSIDERE LA FRECUENCIA Y
MAGNITUD DE LOS CAMBIOS A LOS
CONTROLES AUTOMATIZADOS.
4.4 DISPONGA DE EXCEPCIONES DE PARA
CORROBORAR SU EFECTIVIDAD.

47. 1. PARA EL DISEÑO DE LAS RUTINAS DE AUDITORÍA QUE SE IMPLEMENTARAN SOBRE EL
SISTEMA OBJETO DE ANÁLISIS, EXISTEN DOS MÉTODOS TRADICIONALMENTE USADOS
EN LOS DIFERENTES MODELOS DE AUDITORÍA CONTINUA: EL PRIMERO DENOMINADO
MÓDULOS EMBEBIDOS DE AUDITORÍA (EAM POR SUS SIGLAS EN INGLÉS, DE EMBEDDED
AUDIT MODULES) Y EL SEGUNDO COMO UNA CAPA DE MONITOREO Y CONTROL EXTERNA
DENOMINADA (MCL POR SUS SIGLAS EN INGLÉS, DE MONITORING AND CONTROL LAYER).
2- EL MÉTODO DE MÓDULOS EMBEBIDOS DE AUDITORÍA (EAM), CONSISTE EN INSERTAR
CÓDIGO DE CONTROL EN EL SISTEMA DE INFORMACIÓN QUE SOPORTA EL PROCESO DE
NEGOCIO QUE ES OBJETO DE AUDITORÍA, EL CUAL SE PUEDE ALBERGAR COMO PARTE
DEL CÓDIGO DEL SISTEMA DE INFORMACIÓN O EN LA CAPA DE BASE DE DATOS EN EL
CUAL SE SOPORTA EL SISTEMA DE INFORMACIÓN.
3. LA CAPA DE MONITOREO Y CONTROL ES UNA SOLUCIÓN DE SOFTWARE INDEPENDIENTE,
NO INTEGRADA CON EL SISTEMA DE INFORMACIÓN, PARA LO CUAL SE USA MIDDLEWARE
PARA EXTRAER DATOS Y REALIZAR ANÁLISIS, FRENTE A UNAS REGLAS PREVIAMENTE
DEFINIDAS (BEST, RIKHARDSSON, & TOLEMAN, 2009), ESTE ENFOQUE SURGIÓ COMO
UNA ALTERNATIVA A EAM, PROPUESTO POR UNA GRAN CANTIDAD DE MODELOS. ESTE
TIPO DE TÉCNICA, ES UN MÓDULO DE SOFTWARE QUE OPERA DE FORMA
INDEPENDIENTE AL SISTEMA OBJETO DE MONITOREO.
4. LA SELECCIÓN DE UNO U OTRO MÉTODO DEPENDE DEL NIVEL DE ACCESO QUE PODEMOS
TENER AL SISTEMA DE INFORMACIÓN, DE LA DISPONIBILIDAD DEL CÓDIGO FUENTE Y
DEL TIPO DE EQUIPO AUDITOR CON QUE SE CUENTA. SIN EMBARGO, EL MÉTODO MÁS
UTILIZADO ACTUALMENTE POR LA ARQUITECTURA CON LA CUAL SE CONSTRUYEN LOS
SISTEMAS DE INFORMACIÓN Y POR LAS COMPLEJIDADES DE DIVERSA ÍNDOLE, QUE
CONLLEVA ACCEDER AL CÓDIGO FUENTE DE UNA APLICACIÓN, EN CUALQUIER
ORGANIZACIÓN, ES EL MCL.

48. ➢ SI BIEN ES DE ACEPTACIÓN GENERAL EL HECHO DE QUE LA
ADMINISTRACIÓN ES RESPONSABLE DEL MONITOREO, EL
DISEÑO Y EL MANTENIMIENTO DE LOS CONTROLES, LA
NORMA 2120.A1 DEL INSTITUTE OF INTERNAL AUDITORS
(IIA) (INSTITUTO DE AUDITORES INTERNOS) ESTABLECE LO
SIGUIENTE: “EL DEPARTAMENTO DE AUDITORÍA DEBE
ASISTIR A LA ORGANIZACIÓN EN EL MANTENIMIENTO DE
CONTROLES EFICACES, A TRAVÉS DE LA EVALUACIÓN DE
LA EFECTIVIDAD Y EFICIENCIA DE ÉSTOS, Y DE LA
PROMOCIÓN DE MEJORAS PERMANENTES”.
➢ LA IDENTIFICACIÓN DE DEFICIENCIAS Y PUNTOS DÉBILES
ES BÁSICA PARA EL CUMPLIMIENTO DE LA NORMATIVA
COMO SECCIÓN 404 DE LA LEY SARBANES-OXLEY.
➢ SEGÚN EL GRADO EN EL QUE LA ADMINISTRACIÓN ESTÉ
MONITOREANDO LOS CONTROLES INTERNOS, PUEDE
ESPERARSE QUE LOS AUDITORES REALICEN
EVALUACIONES PERMANENTES DE LOS CONTROLES MÁS
MINUCIOSAS.
➢ LA EVALUACIÓN DEL CONTROL PERMANENTE DE LOS
DATOS DE TRANSACCIONES CONTRA LOS CONTROLES
INTERNOS PUEDE PONER DE RELIEVE ERRORES Y
ANOMALÍAS CON RAPIDEZ. ESTAS SITUACIONES PUEDEN
INFORMARSE A LA ADMINISTRACIÓN PARA QUE SE TOMEN
LAS MEDIDAS NECESARIAS EN FORMA INMEDIATA.
➢ TAMBIÉN PUEDE CONTRIBUIR A LA CONFIABILIDAD E
INTEGRIDAD DE LA INFORMACIÓN FINANCIERA Y
OPERATIVA, ADEMÁS DE A LA EFICIENCIA Y EFECTIVIDAD
DE LAS OPERACIONES.

49. CON LA PROMULGACIÓN DE NUEVAS REGULACIONES QUE EXIGEN QUE LA ALTA DIRECCIÓN REGISTRE
Y CERTIFIQUE LA EFICACIA DEL ENTORNO DE CONTROL Y LA PRECISIÓN DE LA INFORMACIÓN
INCLUIDA EN LOS INFORMES FINANCIEROS, LOS PRESIDENTES Y LOS DIRECTORES FINANCIEROS
ESTÁN RECURRIENDO A LA ACTIVIDAD DE AUDITORÍA INTERNA PARA QUE
COLABORE CON EL CUMPLIMIENTO DE ESTAS REGULACIONES.
SI BIEN LA CONCEPCIÓN GENERAL ES QUE LA DIRECCIÓN ES RESPONSABLE DE LA SUPERVISIÓN, EL
DISEÑO Y EL MANTENIMIENTO DE CONTROLES, LA NORMA 2130 DEL IIA ESTABLECE QUE LA
ACTIVIDAD DE AUDITORÍA INTERNA “DEBE COLABORAR CON LA ORGANIZACIÓN PARA MANTENER
CONTROLES EFICACES EVALUANDO SU EFICACIA Y EFICIENCIA, Y FOMENTANDO MEJORAS
CONTINUAS”.
COMO CONSECUENCIA DE ESTAS PRESIONES INTERNAS Y EXTERNAS, ESPECIALMENTE EN CASOS EN
LOS QUE LA DIRECCIÓN NO CUMPLE EN FORMA PROACTIVA CON SU ROL DE SUPERVISIÓN, A MENUDO
SE ESPERA QUE LOS AUDITORES REALICEN UNA EVALUACIÓN MÁS PROFUNDA Y OFREZCAN UNA
EVALUACIÓN DE CONTROL MÁS CONTINUA. ESTO TIENE UN GRAN IMPACTO EN LOS PROCESOS Y LAS
METODOLOGÍAS DE AUDITORÍA INTERNA.
LA EVALUACIÓN CONTINUA DE CONTROL BRINDA AL DEA PERSPECTIVAS CLARAS SOBRE LA EFICACIA
DE LOS SISTEMAS DE CONTROL INTERNO. ESTO, A SU VEZ, OFRECE A LOS EJECUTIVOS DE FINANZAS,
A LOS GERENTES DE PROCESO DE NEGOCIOS Y A LOS DIRECTORES DE RIESGO Y CUMPLIMIENTO
ASEGURAMIENTO INDEPENDIENTE Y OPORTUNO CON RESPECTO A LOS CONTROLES INTERNOS.
LA EVALUACIÓN CONTINUA DE CONTROL DE DATOS TRANSACCIONALES FRENTE A LOS CONTROLES
INTERNOS PERMITE DESTACAR ERRORES Y ANOMALÍAS RÁPIDAMENTE, INFORMÁNDOLOS A LA
DIRECCIÓN PARA SU INMEDIATA REVISIÓN Y ACCIÓN.
TAMBIÉN PUEDE APORTAR A LA CONFIABILIDAD E INTEGRIDAD DE LA INFORMACIÓN OPERATIVA Y
FINANCIERA, Y A LA EFICACIA Y EFICIENCIA DE LAS OPERACIONES.
ADEMÁS, LA EVALUACIÓN CONTINUA DE CONTROL TAMBIÉN PUEDE APORTAR A LA EVALUACIÓN
PERMANENTE DE RIESGO Y A LAS ACTIVIDADES DE MITIGACIÓN DE LA DIRECCIÓN.

50. LAS EVALUACIONES DE CONTROLES Y RIESGOS SON ACTIVIDADES COMPLEMENTARIAS, QUE SE RESPALDAN
MUTUAMENTE.
LOS SIGUIENTES ANÁLISIS DESCRIBEN EJEMPLOS DE SITUACIONES EN LAS QUE LA ACTIVIDAD DE
AUDITORÍA INTERNA UTILIZA EVALUACIONES CONTINUAS DE CONTROL PARA COMPLEMENTAR LA FUNCIÓN
DE SUPERVISIÓN DE GESTIÓN EN TRES ÁREAS: CONTROLES FINANCIEROS, CONTROLES DEL SISTEMA Y
CONTROLES DE SEGURIDAD.
CONTROLES FINANCIEROS. EJEMPLO: PROGRAMAS DE TARJETAS CORPORATIVAS UN GERENTE NACIONAL DE
TARJETAS CORPORATIVAS REVISÓ MANUALMENTE UNA PEQUEÑA MUESTRA DE TRANSACCIONES DE CADA
TRIMESTRE. LOS AUDITORES DETERMINARON QUE LOS CONTROLES DE LA DIRECCIÓN SOBRE LAS COMPRAS
REALIZADAS ERAN DEFICIENTES Y QUE EL POTENCIAL DE EXPOSICIÓN AL RIESGO ERA BASTANTE ELEVADO.
DESPUÉS DE REVISAR LAS POLÍTICAS APLICABLES AL USO DE TARJETAS CORPORATIVAS, LOS AUDITORES
DESARROLLARON UNA SERIE DE PRUEBAS ANALÍTICAS PARA IDENTIFICAR LOS SIGUIENTES PUNTOS:
1. USO INAPROPIADO DE LA TARJETA, POR EJEMPLO, TRANSACCIONES RELACIONADAS CON GASTOS DE
VIAJE.
2. COMPRA DE ARTÍCULOS PERSONALES (POR EJEMPLO: JOYAS, BEBIDAS ALCOHÓLICAS, ETC.).
3. TRANSACCIONES SOSPECHOSAS (POR EJEMPLO: USO DE LA TARJETA POR PARTE DE UNA PERSONA NO
AUTORIZADA, DOBLE PASE POR EL LECTOR DE BANDA MAGNÉTICA POR EL COMERCIANTE, COMPRAS
DIVIDIDAS PARA EVITAR LÍMITES FINANCIEROS, ETC.).
SE ENVIÓ EL RESULTADO DE LOS ANÁLISIS A LOS GERENTES DE LOS TITULARES DE LAS TARJETAS PARA
HACER UNA REVISIÓN DETALLADA DE LAS COMPRAS CUESTIONABLES (COTEJO DE LOS COMPROBANTES DE
LA TARJETA CORPORATIVA CON LA MERCADERÍA COMPRADA). ASÍ SE LOGRÓ IDENTIFICAR DIVERSAS
COMPRAS INAPROPIADAS Y TRES CASOS DE FRAUDE.
DESPUÉS DE FINALIZADA LA AUDITORÍA, LAS PRUEBAS DE APLICACIÓN DE EVALUACIÓN CONTINUA DE
CONTROL FUERON REMITIDAS AL COORDINADOR DE TARJETAS CORPORATIVAS PARA COLABORAR CON LOS
DIRECTORES OPERATIVOS EN LA SUPERVISIÓN DE CONTROLES DE TARJETAS EN FORMA MENSUAL.

51. UTILIZADO CON EFICACIA, EL CONTROL
CONTINUO PUEDE:
1. MEJORAR LA CAPACIDAD DE IDENTIFICAR
RÁPIDAMENTE Y REDUCIR LOS
PROBLEMAS DE CONTROL.
2. REDUCIR LA INCIDENCIA POR ERRORES Y
FRAUDES.
3. MEJORAR LA EFICIENCIA OPERACIONAL.
4. MEJORAR LOS RESULTADOS FINALES A
TRAVÉS DE UNA COMBINACIÓN DE
AHORRO DE COSTOS Y REDUCCIÓN EN
SOBRE-PAGOS Y PÉRDIDAS DE INGRESOS.
5. AUMENTAR LA SATISFACCIÓN DEL
CLIENTE MEDIANTE LA MEJORA EN LA
CALIDAD E INTEGRIDAD DEL SERVICIO AL
CLIENTE.

52. LAS PRUEBAS DE EVALUACIÓN CONTINUA DE CONTROL TAMBIÉN SE PUEDEN EJECUTAR PARA VERIFICAR QUE
LOS CONTROLES DEL SISTEMA ESTÉN FUNCIONANDO COMO CORRESPONDE.
CON TECNOLOGÍA ANALÍTICA, SE PUEDEN UTILIZAR LAS PRUEBAS PARA COMPARAR TRANSACCIONES
INDIVIDUALES CON CRITERIOS BASADOS EN REGLAS Y REVISAR TODAS LAS TRANSACCIONES PARA
ASEGURARSE DE QUE EL PERSONAL NO DESEMPEÑE FUNCIONES INCOMPATIBLES.
EN UNA ORGANIZACIÓN, LA IMPLEMENTACIÓN DE UN NUEVO SISTEMA DE PLANIFICACIÓN DE RECURSOS
EMPRESARIALES (ERP, EN INGLÉS) FUE PENSADA PARA REEMPLAZAR LOS CONTROLES MANUALES POR
CONTROLES AUTOMÁTICOS A FIN DE GARANTIZAR LA SEPARACIÓN ADECUADA DE FUNCIONES. EL EQUIPO DE
PROGRAMACIÓN DE ERP, CON LA COLABORACIÓN DE LOS PROPIETARIOS DEL NEGOCIO, DESARROLLÓ
UNA SERIE DE PERFILES DE USUARIO BASADOS EN LA FUNCIÓN, QUE ESTABLECÍAN PERMISOS PARA LOS
DIVERSOS TIPOS DE TRANSACCIONES QUE CADA USUARIO PODÍA EJECUTAR DE ACUERDO CON SU FUNCIÓN
LABORAL.
SI BIEN LOS AUDITORES ESTABAN CONFORMES CON EL ENFOQUE Y LOS PROCESOS INCLUIDOS EN EL
DESARROLLO DE LOS PERFILES BASADOS EN LA FUNCIÓN, LES PREOCUPABA LA ACTUAL ASIGNACIÓN
DE PERFILES DE USUARIOS Y REALIZARON UNA REVISIÓN DETALLADA DE TRANSACCIONES, EN BUSCA DE
INSTANCIAS EN LAS QUE NO SE HUBIERA MANTENIDO LA SEPARACIÓN DE FUNCIONES.
LOS AUDITORES OBTUVIERON UN EXTRACTO DE TODAS LAS TRANSACCIONES PROCESADAS EN EL PRIMER
TRIMESTRE DEL AÑO Y UTILIZARON TECNOLOGÍA DE ANÁLISIS DE DATOS PARA CALCULAR LA CANTIDAD DE
TRANSACCIONES PROCESADAS POR CADA USUARIO, POR TIPO DE TRANSACCIÓN.
ASÍ SE IDENTIFICÓ A DOS USUARIOS QUE PRIMERO HABÍAN CREADO ÓRDENES DE COMPRA Y QUE DESPUÉS
HABÍAN REGISTRADO LAS TRANSACCIONES DE RECEPCIÓN DE BIENES PARA LAS MISMAS ÓRDENES DE
COMPRA.
LOS RESULTADOS INDICARON UNA DEBILIDAD EN EL CONTROL DE LA SEPARACIÓN DE FUNCIONES DE LOS
PERFILES BASADOS EN LA FUNCIÓN, YA QUE ERAN FUNCIONES INCOMPATIBLES.
MIENTRAS EL SISTEMA DE ERP ES SOMETIDO A MÁS MODIFICACIONES (POR EJEMPLO: EL AGREGADO DE
NUEVAS FUNCIONES O CAMBIOS EN LAS FUNCIONES EXISTENTES), SE REALIZAN PRUEBAS DE
EVALUACIÓN CONTINUA DE CONTROL PARA VERIFICAR QUE NO EXISTAN CASOS EN LOS QUE SE HAYA
VIOLADO LA SEPARACIÓN DE FUNCIONES.

53. LA EVALUACIÓN CONTINUA DE CONTROL SIRVE PARA PROBAR LOS CONTROLES DE SEGURIDAD,
VERIFICANDO QUE TODOS LOS USUARIOS DEL SISTEMA SEAN EMPLEADOS VÁLIDOS Y QUE NO EXISTAN
INTENTOS DE PIRATEAR EL SISTEMA.
EN OTRA SITUACIÓN ORGANIZACIONAL, CADA SEMANA SE ENVÍA UN EXTRACTO DEL ARCHIVO DE REGISTRO
DE ACCESO AL SISTEMA AL DEPARTAMENTO DE AUDITORÍA INTERNA. LOS AUDITORES EXTRAEN LA
INFORMACIÓN DE INICIO DE SESIÓN Y HACEN CORRESPONDER A CADA USUARIO CON UN ARCHIVO MAESTRO
DE EMPLEADOS ACTUALES.
SE MARCAN TODOS LOS USUARIOS QUE NO SON EMPLEADOS Y SE ENVÍA UN MENSAJE DE CORREO
ELECTRÓNICO AUTOMÁTICO AL DIRECTOR DE SEGURIDAD DE SISTEMAS PARA REVOCAR LAS
IDENTIFICACIONES DE USUARIO (ID, EN INGLÉS).
ADEMÁS, LA PRUEBA BUSCA INICIOS DE SESIÓN FALLIDOS.
ASÍ SE IDENTIFICÓ UNA INSTANCIA A LAS 3 A. M. EN LA CUAL UNA ID DE USUARIO TUVO 25 INTENTOS DE
INICIO DE SESIÓN FALLIDOS A TRAVÉS DE UNA CONEXIÓN DE ACCESO TELEFÓNICO.
LOS AUDITORES UTILIZARON ESTE INFORME PARA JUSTIFICAR EL CAMBIO DE LOS PARÁMETROS DE INICIO
DE SESIÓN PARA BLOQUEAR LAS ID DE USUARIO DESPUÉS DE TRES INTENTOS DE INICIO DE SESIÓN
FALLIDOS.
LOS POSIBLES USOS DE LA EVALUACIÓN CONTINUA DE CONTROL SON PRÁCTICAMENTE ILIMITADOS.
SIEMPRE QUE EXISTA UNA EXPOSICIÓN, LOS AUDITORES INTERNOS PUEDEN DESARROLLAR UNA PRUEBA O
UNA SERIE DE ANÁLISIS PARA BUSCAR EVIDENCIA DE PERSONAS QUE INTENTAN APROVECHAR LAS BRECHAS
O LAS DEBILIDADES DE CONTROL.
EN ALGUNOS CASOS, LAS EXPOSICIONES DE CONTROL INCLUYEN CASOS POTENCIALES DE FRAUDE,
DISPENDIO Y ABUSO.
LA FRECUENCIA Y LOS INTERVALOS DE ESTAS PRUEBAS DEPENDERÁN DEL RIESGO POTENCIAL DEL
NEGOCIO, Y DE LA IDONEIDAD DEL ESQUEMA DE CONTROL Y LA FUNCIÓN DE SUPERVISIÓN DE LA DIRECCIÓN.

54. LA NORMA 1210.A2 DEL IIA EXIGE A LOS AUDITORES TENER CONOCIMIENTOS SUFICIENTES SOBRE LOS
INDICADORES DE FRAUDE.
LA NORMA 1210.A3 TAMBIÉN EXIGE A LOS AUDITORES TENER CONOCIMIENTOS SOBRE RIESGOS Y
CONTROLES DE TECNOLOGÍA DE LA INFORMACIÓN CLAVE, Y SOBRE TÉCNICAS BASADAS EN TECNOLOGÍA
DISPONIBLE PARA REALIZAR SU TRABAJO.
EL USO DE TECNOLOGÍAS QUE RESPALDEN LA EVALUACIÓN CONTINUA DE CONTROL PUEDE AYUDAR A LOS
AUDITORES A EXAMINAR TRANSACCIONES DETALLADAS Y DATOS RESUMIDOS, Y A IDENTIFICAR ANOMALÍAS
Y OTROS INDICADORES DE FRAUDE, DISPENDIO Y ABUSO.
POR EJEMPLO: AL APROVECHAR LAS TECNOLOGÍAS DE ANÁLISIS DE DATOS, LOS AUDITORES PUEDEN
IDENTIFICAR FÁCILMENTE INSTANCIAS EN LAS QUE EL LÍMITE DE LA AUTORIDAD DE CONTRATACIÓN ES
SUPERADO (ES DECIR, CONTRATOS MAYORES AL LÍMITE DE CONTRATACIÓN DEL PERSONAL) O ES EVADIDO
(POR EJEMPLO, CONTRATOS DIVIDIDOS).
EN EL ÁREA DE NÓMINA DE SALARIOS, SE PUEDE UTILIZAR PARA IDENTIFICAR PERSONAS DE LA NÓMINA QUE
NO ESTÁN EN LA BASE DE DATOS DE LOS EMPLEADOS O PARA IDENTIFICAR REMUNERACIONES INUSUALES.
COMO EL FRAUDE SUELE SER UN DELITO MUY VINCULADO A LAS OPORTUNIDADES, LAS BRECHAS Y LAS
DEBILIDADES DE CONTROL SE DEBEN DETECTAR Y, DE SER POSIBLE, ELIMINAR O REDUCIR.
NORMAS Y GUÍAS DE AUDITORÍA DE AMPLIA CIRCULACIÓN ABORDAN DIRECTAMENTE ESAS PROBLEMÁTICAS
RELATIVAS A LA EXPOSICIÓN, Y EXIGEN A LOS AUDITORES TENER CONOCIMIENTOS SUFICIENTES DE
POSIBLES FRAUDES PARA PODER IDENTIFICAR SUS SÍNTOMAS.
LOS AUDITORES DEBEN SABER QUÉ PUEDE SALIR MAL, CÓMO PUEDE SALIR MAL Y QUIÉNES PUEDEN ESTAR
INVOLUCRADOS.
LAS DECLARACIONES SOBRE NORMAS DE AUDITORÍA (SAS, EN INGLÉS) N.º 99 DEL INSTITUTO
ESTADOUNIDENSE DE CONTADORES PÚBLICOS CERTIFICADOS (AICPA, EN INGLÉS), “CONSIDERACIONES DE
FRAUDE EN UNA AUDITORÍA DE LOS ESTADOS CONTABLES”, TAMBIÉN FUERON DESARROLLADAS PARA
COLABORAR CON LOS AUDITORES EN LA DETECCIÓN DEL FRAUDE.

55. TIENEN UN ALCANCE MAYOR QUE SUS ANTECESORAS,
LAS SAS N.º 82, YA QUE INCORPORAN NUEVAS
DISPOSICIONES QUE INCLUYEN LOS SIGUIENTES
PUNTOS:
1. REALIZAR SESIONES DE TORMENTA DE IDEAS
SOBRE LOS RIESGOS DE FRAUDE.
2. HACER HINCAPIÉ EN UN MAYOR GRADO DE
ESCEPTICISMO PROFESIONAL.
3. ASEGURARSE DE QUE LOS GERENTES CONOZCAN
SOBRE FRAUDE.
4. UTILIZAR DIVERSAS PRUEBAS ANALÍTICAS.
5. DETECTAR CASOS EN LOS QUE LA DIRECCIÓN
ELUDE LOS CONTROLES.
TAMBIÉN DEFINEN LOS FACTORES DE RIESGO PARA LOS
INFORMES FINANCIEROS FRAUDULENTOS Y EL ROBO, Y
SE PUEDEN UTILIZAR COMO UN MODELO BASE PARA LA
EVALUACIÓN DE RIESGO DE INFORMES FINANCIEROS
FRAUDULENTOS.
LOS RIESGOS DESCRITOS EN LAS DECLARACIONES SAS
N.º 99 INCLUYEN FACTORES COMO EL ESTADO DE LA
DIRECCIÓN, EL ENTORNO COMPETITIVO Y DE NEGOCIO,
Y LA ESTABILIDAD OPERATIVA Y FINANCIERA.

56. LAS TÉCNICAS DE EVALUACIÓN CONTINUA DE CONTROL PUEDEN SER SIMILARES A LAS QUE UTILIZA LA
DIRECCIÓN PARA LA SUPERVISIÓN CONTINUA.
CUANDO LOS AUDITORES INTERNOS PUEDEN CONFIAR EN EL DESEMPEÑO DE LA SUPERVISIÓN CONTINUA
POR PARTE DE LA DIRECCIÓN, NO SE REQUIERE EL MISMO NIVEL DE DETALLE DE TÉCNICAS DE EVALUACIÓN
CONTINUA DE CONTROL.
EN CAMBIO, LOS AUDITORES SE PUEDEN CENTRAR EN LLEVAR A CABO OTROS PROCEDIMIENTOS PARA
OFRECER ASEGURAMIENTO PERMANENTE RELATIVO A LOS PROCESOS DE SUPERVISIÓN CONTINUA DE LA
DIRECCIÓN.
SIN EMBARGO, CUANDO LA SUPERVISIÓN DE LA DIRECCIÓN NO ES SUFICIENTE, LOS AUDITORES DEBEN
REALIZAR PRUEBAS DETALLADAS EMPLEANDO TÉCNICAS DE EVALUACIÓN CONTINUA DE CONTROL A FIN DE
VALORAR LA IDONEIDAD DE LOS CONTROLES.
POR MEDIO DE ANÁLISIS INTELIGENTES BASADOS EN LA TECNOLOGÍA, LOS AUDITORES PUEDEN EVALUAR LA
IDONEIDAD DEL ENFOQUE DE CONTROL INTERNO Y OFRECER ASEGURAMIENTO INDEPENDIENTE AL COMITÉ
DE AUDITORÍA Y A LA ALTA DIRECCIÓN.
NO ES NECESARIO EJECUTAR LAS EVALUACIONES CONTINUAS DE CONTROL EN TIEMPO REAL. LA
FRECUENCIA DEL ANÁLISIS DEPENDERÁ DEL NIVEL DE RIESGO Y DEL GRADO DE SUPERVISIÓN DE
CONTROLES POR PARTE DE LA DIRECCIÓN.
POR EJEMPLO: LOS ANÁLISIS DE TARJETAS CORPORATIVAS SÓLO SE PUEDEN EJECUTAR UNA VEZ AL MES,
AL RECIBIR LAS TRANSACCIONES DE LAS TARJETAS DE PARTE DE LA COMPAÑÍA EMISORA
DE TARJETAS DE CRÉDITO.
LA NÓMINA DE SALARIOS SE PUEDE EJECUTAR EN CADA PERÍODO DE PAGO, INMEDIATAMENTE ANTES DE
ENTREGAR LOS CHEQUES. LAS PRUEBAS DE FACTURAS Y PAGOS DUPLICADOS SE PUEDEN EJECUTAR TODOS
LOS DÍAS. EN ALGUNOS CASOS, UN AUDITOR PUEDE REALIZAR LAS PRIMERAS PRUEBAS DE CONTROL Y
DERIVAR LA SUPERVISIÓN PERMANENTE A LA DIRECCIÓN.

57. OTROS EJEMPLOS PRÁCTICOS DE APLICACIÓN DE
EVALUACIONES CONTINUAS DE CONTROL SON:
1. EXAMEN DE DATOS TRANSACCIONALES: POR EJEMPLO,
MARCAR TODOS LOS GASTOS DE TARJETAS CORPORATIVAS
QUE SUPEREN EL LÍMITE DE LA TARJETA O QUE
INVOLUCREN A COMERCIANTES PROHIBIDOS.
2. REVISIÓN DE DATOS RESUMIDOS: POR EJEMPLO, TOTAL DE
GASTOS DEL TITULAR DE LA TARJETA QUE SUPEREN LOS
$10.000 MENSUALES Y CUANDO EL TITULAR DE LA
TARJETA NO ESTÁ DENTRO DE LA DIVISIÓN DE COMPRAS.
3. EMPLEO DE ANÁLISIS COMPARATIVO: POR EJEMPLO, TOTAL
DE PAGOS DE HORAS EXTRAS EN COMPARACIÓN CON EL
RESTO DE LOS EMPLEADOS DE LA MISMA CALIFICACIÓN Y
NIVEL DE TRABAJO PARA IDENTIFICAR ABUSOS
POTENCIALES DE HORAS EXTRAS (EXCESO, FALTA DE
AUTORIZACIÓN, ETC.).
4. PRUEBAS DE LOS TOTALES POR CUENTA DEL LIBRO MAYOR:
POR EJEMPLO, SEÑALANDO CUENTAS CUYOS MONTOS
DIFIEREN EN MÁS DE UN 25% EN COMPARACIÓN CON EL
AÑO ANTERIOR, A FIN DE IDENTIFICAR ACTIVIDADES
INUSUALES, COMO UN INCREMENTO EN LOS DESCUENTOS.
EN TODOS LOS CASOS, LOS AUDITORES PUEDEN LLEGAR A LOS
DETALLES DE INMEDIATO PARA DESCUBRIR LA CAUSA Y
REALIZAR EL SEGUIMIENTO REQUERIDO EN FORMA RÁPIDA Y
SENCILLA.

58. EN LUGAR DE PROGRAMAR AUDITORÍAS DE ACUERDO CON UN CICLO ESTÁNDAR DE ROTACIONES DE UNO, DOS
O TRES AÑOS, LA FRECUENCIA DE LAS AUDITORÍAS SE DEBE BASAR EN LOS FACTORES DE RIESGO DE UN
PROCESO DE NEGOCIO.
EN UN ALTO NIVEL, LA EVALUACIÓN CONTINUA DE RIESGOS RESPALDA EL DESARROLLO DE PLANES DE
AUDITORÍA, PERMITIENDO LA IDENTIFICACIÓN CONTROLADA POR DATOS Y LA EVALUACIÓN DE INDICADORES
DE RIESGO.
RESPALDA TANTO EL ESTABLECIMIENTO DEL UNIVERSO DE LA AUDITORÍA COMO LA RECOPILACIÓN DE DATOS
CUANTITATIVOS, LO QUE LE PERMITE AL DEPARTAMENTO DE AUDITORÍA INTERNA CENTRARSE EN LAS
PRIORIDADES DE RIESGO MÁS ALTO DE LA COMPAÑÍA Y DESTINAR LOS RECURSOS APROPIADOS A ÁREAS
NUEVAS Y CAMBIANTES.
EL PRIMER PASO ES DEFINIR EL GRADO DEL ALCANCE Y LA COBERTURA DE LA ACTIVIDAD DE AUDITORÍA,
LUEGO IDENTIFICAR MEDIDAS DE MATERIALIDAD E INDICADORES DE RIESGO USANDO DATOS DE DIVERSOS
SISTEMAS DE NEGOCIO, COMO SISTEMAS DE INFORMACIÓN FINANCIERA, OPERATIVA Y DE RECURSOS
HUMANOS.
EN TÉRMINOS DE MATERIALIDAD, UN ENFOQUE ES ANALIZAR EL TAMAÑO RELATIVO DE CADA ENTIDAD,
MIENTRAS QUE LOS INDICADORES DE RIESGO PUEDEN TENER EN CUENTA LA COMPLEJIDAD DE LA ENTIDAD EN
RELACIÓN CON OTRAS ENTIDADES.
LA EVALUACIÓN CONTINUA DE RIESGOS TAMBIÉN DEBE INCLUIR UNA REVISIÓN DE LOS RESULTADOS DE LA
FUNCIÓN DE SUPERVISIÓN DE LA DIRECCIÓN, POR EJEMPLO: MEDIDAS DE DESEMPEÑO, CONTROL DE CALIDAD
Y SEPARACIÓN DE FUNCIONES.
EJEMPLO: DESARROLLO DEL PLAN DE AUDITORÍA
EL DESARROLLO DE UN PLAN DE AUDITORÍA BASADO EN EL RIESGO EN ABC CORP. REQUIRIÓ EL
ESTABLECIMIENTO DE UN UNIVERSO DE LA AUDITORÍA Y DEFINICIONES DE ENTIDADES DE AUDITORÍA; LA
RECOPILACIÓN Y EL ANÁLISIS DE DATOS CUALITATIVOS COMO PLANES DE NEGOCIO, ORGANIGRAMAS,
COLABORACIÓN DE LA DIRECCIÓN Y SESIONES SIMPLIFICADAS; LA RECOPILACIÓN, LA NORMALIZACIÓN Y EL
ANÁLISIS DE DATOS CUANTITATIVOS COMO INFORMACIÓN FINANCIERA, OPERATIVA Y DE RECURSOS
HUMANOS; Y EL ESTABLECIMIENTO DE PRIORIDADES DE AUDITORÍAS (ENTIDADES) BASADO EN INDICADORES
DE RIESGO.

59. A CONTINUACIÓN SE DESCRIBE DE QUÉ FORMA ABC CORP. UTILIZÓ LA EVALUACIÓN CONTINUA DE RIESGOS
PARA RESPALDAR EL DESARROLLO DEL PLAN DE AUDITORÍA ANUAL.
LA EVALUACIÓN CONTINUA DE RIESGOS SE UTILIZÓ PARA MEDIR Y ESTABLECER LA PRIORIDAD DEL NIVEL
DE RIESGO INHERENTE RELACIONADO CON LAS FINANZAS, LOS RECURSOS HUMANOS Y LAS OPERACIONES
DE CADA ENTIDAD DE AUDITORÍA.
MEDIDAS E INDICADORES FINANCIEROS
LA MATERIALIDAD FINANCIERA SE ABORDÓ PRINCIPALMENTE LA CANTIDAD TOTAL DE DÓLARES EN GASTOS,
INGRESOS Y ACTIVOS.
ESTO VARIÓ SIGNIFICATIVAMENTE, POR EJEMPLO: NO TODAS LAS ENTIDADES DE AUDITORÍA TENÍAN
INGRESOS Y ALGUNAS NO TENÍAN ACTIVOS. LOS INDICADORES DE COMPLEJIDAD CONTEMPLARON NO SÓLO
LOS CAMBIOS EN COMPARACIÓN CON EL AÑO ANTERIOR Y EL TAMAÑO RELATIVO, SINO TAMBIÉN
ELEMENTOS COMO LA CANTIDAD DE CENTROS DE RESPONSABILIDAD, EL PORCENTAJE DE GASTOS
DISCRECIONALES Y SI LA ENTIDAD TENÍA QUE GESTIONAR GASTOS, INGRESOS Y ACTIVOS.
POR EJEMPLO: LA ENTIDAD A, CON $15 MILLONES EN GASTOS (PRINCIPALMENTE PARA PAGO DE SALARIOS)
NO TENDRÍA EL MISMO NIVEL DE RIESGO FINANCIERO QUE LA ENTIDAD B, CON $5 MILLONES EN GASTOS (DE
LOS CUALES EL 82% SON DISCRECIONALES), $10 MILLONES EN INGRESOS Y $12 MILLONES EN ACTIVOS.
ADEMÁS, SI ESTE ES EL PRIMER AÑO QUE LA ENTIDAD B REGISTRA INGRESOS, EL NIVEL DE RIESGO
FINANCIERO SERÁ MAYOR.
MEDIDAS E INDICADORES DE RECURSOS HUMANOS
LA MATERIALIDAD DE RECURSOS HUMANOS TUVO EN CUENTA PRINCIPALMENTE LA CANTIDAD TOTAL DE
PERSONAL, MIENTRAS QUE LOS INDICADORES DE COMPLEJIDAD ANALIZARON LA COMBINACIÓN DE
PERSONAL (POR EJEMPLO: EMPLEADOS VS. CONTRATISTAS, DE TIEMPO COMPLETO VS. DE MEDIO TIEMPO)
ASÍ COMO LA ROTACIÓN DE PERSONAL Y LA PÉRDIDA DE TALENTOS CLAVE.
TAMBIÉN ANALIZÓ LOS CAMBIOS EN COMPARACIÓN CON AÑOS ANTERIORES (POR EJEMPLO: UNA
ORGANIZACIÓN DE RÁPIDO CRECIMIENTO PUEDE TENER DISTINTOS RIESGOS QUE UNA ORGANIZACIÓN
ESTABLE) Y LA CANTIDAD DE UBICACIONES (ES DECIR, LA DISTRIBUCIÓN GEOGRÁFICA) DE LA ENTIDAD.

60. MEDIDAS E INDICADORES OPERATIVOS
EN ABC CORP, LAS MEDIDAS Y LOS INDICADORES OPERATIVOS SE OCUPARON DE LA CUANTÍA DE PRODUCTOS;
POR ESO, LA MATERIALIDAD TAMBIÉN ESTUVO LIGADA A LA CANTIDAD DE ESTOS.
LA COMPLEJIDAD ESTUVO RELACIONADA NO SÓLO CON LOS CAMBIOS EN LA CANTIDAD Y LA COMBINACIÓN DE
PRODUCTOS, SINO TAMBIÉN CON EL TIEMPO DE DEMORA DE LA PRODUCCIÓN, LA CAPACIDAD DE RESPUESTA A
LAS DEMANDAS DE LOS CLIENTES Y LA COMPLEJIDAD DEL PROCESO DE FABRICACIÓN.
LA COMPLEJIDAD DE LA FABRICACIÓN SE DESGLOSÓ EN TRES CATEGORÍAS (ALTA, MEDIA Y BAJA) DE
ACUERDO CON LA CANTIDAD DE TIEMPO INVOLUCRADO EN EL PROCESO DE FABRICACIÓN.
EL CONCEPTO FUE QUE UN PRODUCTO CON UN PROCESO DE FABRICACIÓN DE 20 HORAS NO SÓLO INSUME
MÁS TIEMPO PARA SU PRODUCCIÓN, SINO QUE ACARREA UN NIVEL MÁS ALTO DE RIESGO OPERATIVO QUE UN
PRODUCTO CON UN PROCESO DE FABRICACIÓN DE DOS HORAS.
EL PERSONAL DE FABRICACIÓN CONSIDERÓ A ESTA PRESUNCIÓN COMO UN ELEMENTO REPRESENTATIVO
RAZONABLE DE LA COMPLEJIDAD.
DESPUÉS DE QUE TODOS LOS DATOS DE LOS TRES SISTEMAS DE NEGOCIO FUERON RECABADOS,
NORMALIZADOS Y ANALIZADOS PARA CADA ENTIDAD DE AUDITORÍA, SE CALCULÓ EL PUNTAJE RELATIVO
PARA CADA ENTIDAD. EL PUNTAJE SE DETERMINÓ CONTANDO LA CANTIDAD DE VECES QUE LA ENTIDAD
ESTUVO ENTRE LAS 10 PRINCIPALES POR LOS INDICADORES DE RIESGO DETERMINADOS.
LAS ENTIDADES FUERON CLASIFICADAS TENIENDO EN CUENTA LAS DEMÁS ENTIDADES, NO SUS VALORES
LÍMITE. COMO NO SE UTILIZÓ UN NÚMERO ABSOLUTO NI UN VALOR LÍMITE PARA NINGÚN ATRIBUTO, NO FUE
NECESARIO AJUSTAR LOS PARÁMETROS A MEDIDA QUE MEJORABA EL DESEMPEÑO.
CON UN ENTORNO DE NEGOCIO DE RÁPIDO CAMBIO, ES POSIBLE QUE LOS PLANES DE AUDITORÍA ANUALES NO
TENGAN LA SUFICIENTE CAPACIDAD DE RESPUESTA PARA LOS NIVELES CAMBIANTES DE RIESGO.
SIN EMBARGO, CON ACTIVIDADES ASISTIDAS POR LA TECNOLOGÍA, ES SENCILLO ACTUALIZAR LAS
EVALUACIONES DE RIESGOS Y SUPERVISAR LOS INDICADORES DE RIESGO EN FORMA PERMANENTE.

61. LAS PRUEBAS DE EVALUACIÓN DE RIESGOS SE PUEDEN EJECUTAR CON FRECUENCIA PARA GARANTIZAR QUE
LAS AUDITORÍAS PLANIFICADAS ABORDEN LOS RIESGOS ACTUALES O EMERGENTES.
ADEMÁS, AL COMPARAR LOS RESULTADOS DE LAS EVALUACIONES DE RIESGOS A TRAVÉS DEL TIEMPO, LOS
AUDITORES PUEDEN ANTICIPAR EXPOSICIONES A RIESGOS EMERGENTES ANTES DE QUE SEAN GRAVES. LOS
RESULTADOS SE PUEDEN UTILIZAR A FIN DE ESTABLECER LOS PARÁMETROS PARA LA ACCIÓN DE
AUDITORÍA FORMAL Y PARA DETERMINAR SUS INTERVALOS.
LA RESPUESTA DE AUDITORÍA PUEDE VARIAR EN INTENSIDAD Y URGENCIA DE ACUERDO CON EL NIVEL DE
RIESGO. LA IDENTIFICACIÓN TEMPRANA DE UN RIESGO TAL VEZ NO REQUIERA UNA AUDITORÍA COMPLETA,
SINO UNA SIMPLE CARTA A LA DIRECCIÓN QUE RESUMA LA EXPOSICIÓN Y MEDIANTE LA CUAL SE SOLICITE
UNA RESPUESTA DE LA DIRECCIÓN. ASÍ NO SÓLO SE CENTRARÁN LOS RECURSOS DE AUDITORÍA EN LAS
ÁREAS DE MAYOR RIESGO, SINO QUE TAMBIÉN SE MAXIMIZARÁ LA EFICACIA DE ESOS RECURSOS.

62. LA EVALUACIÓN CONTINUA DE RIESGOS TAMBIÉN COLABORA CON LA AUDITORÍA INDIVIDUAL AL RESPALDAR
LA IDENTIFICACIÓN Y LA EVALUACIÓN DE RIESGOS, Y EL DESARROLLO DEL ALCANCE Y LOS OBJETIVOS.
ADEMÁS, SE PUEDE UTILIZAR PARA DETERMINAR QUÉ UBICACIONES SE VISITARÁN E IDENTIFICAR CRITERIOS
ESPECÍFICOS (POR EJEMPLO: LÍNEAS DE CONSULTA).
LA PRINCIPAL DIFERENCIA ENTRE EL USO DE LA EVALUACIÓN CONTINUA DE RIESGOS PARA DESARROLLAR UN
PLAN DE AUDITORÍA ANUAL PARA TODA LA EMPRESA Y PARA RESPALDAR LA AUDITORÍA INDIVIDUAL ES EL
GRADO DE INFORMACIÓN DETALLADA QUE SE EMPLEA PARA IDENTIFICAR Y EVALUAR EL RIESGO.
ES PROBABLE QUE EL PLAN DE AUDITORÍA PARA TODA LA EMPRESA SÓLO REQUIERA INFORMACIÓN
RESUMIDA DE CADA ENTIDAD, MIENTRAS QUE PARA UNA AUDITORÍA INDIVIDUAL, SE REQUIERE INFORMACIÓN
MÁS DETALLADA PARA IDENTIFICAR RIESGOS A UN NIVEL QUE RESPALDE LA DEFINICIÓN DEL ALCANCE DE
LA AUDITORÍA Y EL DESARROLLO DE OBJETIVOS DE AUDITORÍA PARA UNA AUDITORÍA DETERMINADA.
EN UNA AUDITORÍA CONVENCIONAL, EL GRADO Y EL ALCANCE DE LOS PROCEDIMIENTOS DE REVISIÓN
ANALÍTICOS ESTÁN LIMITADOS POR EL TIPO Y LA CANTIDAD DE DATOS QUE SE PUEDEN RECABAR CON
TÉCNICAS TRADICIONALES. LA AUDITORÍA CONTINUA PERMITE AUMENTAR LA CANTIDAD Y EL ALCANCE DE
LOS DATOS DISPONIBLES PARA EL AUDITOR.
LA IMPLEMENTACIÓN DE UNA METODOLOGÍA DE AUDITORÍA CONTINUA POSIBILITA AMPLIAR EL ALCANCE Y
AUMENTAR EL GRADO DE LOS PROCEDIMIENTOS DE REVISIÓN ANALÍTICA RADICALMENTE. POR EJEMPLO:
UNA CONCILIACIÓN ANUAL, UNA VEZ AUTOMATIZADA, SE PUEDE PROGRAMAR DENTRO DE UN
PROCEDIMIENTO DE AUDITORÍA CONTINUA Y LLEVARSE A CABO CON MAYOR FRECUENCIA.
LOS COEFICIENTES QUE SE CALCULAN EN LAS REVISIONES ANALÍTICAS SE PUEDEN INCORPORAR AL
SOFTWARE DE AUDITORÍA CONTINUA, COMPUTAR CON MÁS FRECUENCIA, Y REVISAR Y COMPARAR CON
VALORES CRÍTICOS.
DE ESTE MODO, SE PUEDEN MARCAR VARIACIONES SIGNIFICATIVAS.

63. EJEMPLO: RESPALDO A LA AUDITORÍA DE CUENTAS A PAGAR (CP) COMO PARTE DE LA EVALUACIÓN
DE RIESGOS REALIZADA DURANTE LA PLANIFICACIÓN DE UNA AUDITORÍA DE LA FUNCIÓN DE CP
(QUE SE LLEVARÁ A CABO EN DIVERSOS SITIOS EN TODO EL PAÍS), EL AUDITOR CALCULÓ EL
VOLUMEN Y EL COSTO POR TRANSACCIÓN PROCESADOS POR LAS OFICINAS DE CP, Y LA CANTIDAD Y
LAS APTITUDES DE LA DOTACIÓN DE PERSONAL.
EL ANÁLISIS GENERAL DETERMINÓ QUE CP ESTABA DESCENTRALIZADO, SIN PROCESOS ESTÁNDAR.
ADEMÁS, DIFERENTES TIPOS DE TRANSACCIONES SE PROCESARON EN OFICINAS DIFERENTES.
ADEMÁS, LOS AUDITORES UTILIZARON “COSTO POR TRANSACCIÓN” Y “CANTIDAD DE
TRANSACCIONES POR USUARIO” PARA EVALUAR EL IMPACTO DE DISTINTAS OPERACIONES DE
PROCESAMIENTO DE FACTURAS E IDENTIFICARON PROBLEMAS EN LA EFICACIA Y EFICIENCIA DE
CIERTAS OFICINAS.
LOS RESULTADOS SE UTILIZARON PARA DETERMINAR QUÉ UBICACIONES SE DEBÍAN VISITAR COMO
PARTE DEL TRABAJO EN EL LUGAR.
CUANDO LA MISMA AUDITORÍA SE LLEVA A CABO UNA VEZ AL AÑO O EN DISTINTAS UBICACIONES,
SE PUEDEN REALIZAR PRUEBAS DE AUDITORÍA ESPECÍFICAS Y LOS RESULTADOS SE PUEDEN
COMPARAR CON OTRAS ENTIDADES O A TRAVÉS DEL TIEMPO. LA EVALUACIÓN CONTINUA DE
RIESGOS SE PUEDE UTILIZAR PARA OBSERVAR RIESGOS ESPECÍFICOS, COMO NO PODER USAR
EFICAZMENTE LAS TARJETAS CORPORATIVAS.
POR EJEMPLO: LA COMPARACIÓN DE DATOS DE DOS AÑOS DE CADA ENTIDAD PARA IDENTIFICAR
TENDENCIAS PERMITE A LOS AUDITORES COMPRENDER MEJOR QUÉ ENTIDADES ESTÁN
PROGRESANDO.
LA EVALUACIÓN CONTINUA DE RIESGOS TAMBIÉN SE PUEDE UTILIZAR PARA EVALUAR EL IMPACTO
DE CUALQUIER CAMBIO EN EL PROCESO LLEVANDO A CABO EL MISMO ANÁLISIS EN AÑOS
SUBSIGUIENTES. POR OTRO LADO, SE PUEDEN AGREGAR DATOS DE AÑOS FUTUROS FÁCILMENTE
PARA EVALUAR EL IMPACTO DE LA IMPLEMENTACIÓN DE LAS RECOMENDACIONES DE AUDITORÍA.

64. AL VINCULAR INDICADORES CONTROLADOS POR DATOS CON RECOMENDACIONES, LOS AUDITORES PUEDEN
UTILIZAR EVALUACIONES CONTINUAS DE RIESGOS PARA DETERMINAR SI LAS RECOMENDACIONES SE
HAN IMPLEMENTADO Y SI ESTÁN LOGRANDO EL EFECTO DESEADO DE REDUCIR EL NIVEL DE RIESGO.
EN PARTICULAR, SI SE UTILIZÓ LA EVALUACIÓN CONTINUA DE RIESGOS PARA IDENTIFICAR Y EVALUAR EL
RIESGO COMO PARTE DEL DESARROLLO DEL ALCANCE Y LOS OBJETIVOS DE AUDITORÍA, SE PUEDEN EMPLEAR
LOS MISMOS INDICADORES PARA EVALUAR EL IMPACTO DE LA IMPLEMENTACIÓN DE LAS RECOMENDACIONES
DE AUDITORÍA.
EN UNA SITUACIÓN IDEAL, CADA AUDITORÍA IDENTIFICARÁ INDICADORES CONTROLADOS POR DATOS PARA
CADA RECOMENDACIÓN. ESTO FACILITARÁ EL ESTABLECIMIENTO DE UNA BASE Y LA COMPARACIÓN DE
RESULTADOS, ANTES Y DESPUÉS DE IMPLEMENTAR LA RECOMENDACIÓN.
SIN EMBARGO, LOS AUDITORES DEBERÁN ENCONTRAR INDICADORES APROPIADOS QUE SE PUEDAN MEDIR
ELECTRÓNICAMENTE.
ESTOS INDICADORES PUEDEN SER ELEMENTOS REPRESENTATIVOS DE LO QUE SE ESTÁ MIDIENDO.
POR EJEMPLO: SI UNA AUDITORÍA DETERMINA QUE LOS EMPLEADOS TIENEN LA MORAL BAJA, UNA
RECOMENDACIÓN SE PODRÍA CENTRAR EN MEJORAR LAS COMUNICACIONES.
EL AUDITOR PUEDE MEDIR LA CANTIDAD DE DÍAS DE AUSENCIA POR ENFERMEDAD QUE SE REGISTRAN O LA
CANTIDAD DE RECLAMOS FORMALES DENUNCIADOS.
SI BIEN ESTOS INDICADORES NO MIDEN DIRECTAMENTE LA MORAL, EL AUDITOR LOS PUEDE UTILIZAR YA QUE
REFLEJARÍAN LOS CAMBIOS EN LA MORAL. LA EVIDENCIA DE UNA REDUCCIÓN EN LOS DÍAS DE AUSENCIA POR
ENFERMEDAD Y LOS RECLAMOS FORMALES SE PODRÍA UTILIZAR PARA DEMOSTRAR QUE SE IMPLEMENTARON
MEJORES MÉTODOS DE COMUNICACIÓN Y QUE IBAN LOGRANDO EL EFECTO DESEADO.
EJEMPLO: ÓRDENES DE COMPRA: UN CONTROL FINANCIERO REQUIERE QUE CADA COMPRA SUPERIOR A $5.000
HAGA REFERENCIA A UNA ORDEN DE COMPRA. LOS AUDITORES ESTABLECIERON UNA PRUEBA DE AUDITORÍA
CONTINUA CON LA CUAL EXAMINARON TODAS LAS FACTURAS SUPERIORES A $5.000 PARA VALIDAR LA
REFERENCIA DE LA ORDEN DE COMPRA REQUERIDA.

65. EN UN PRINCIPIO, SE MARCARON MUCHOS CASOS EN LOS CUALES LOS COMPRADORES NO
RESPETABAN ESTA POLÍTICA.
LOS AUDITORES RECOMENDARON UN CAMBIO EN LOS CONTROLES DE EDICIÓN DEL SISTEMA
FINANCIERO.
UN MES MÁS TARDE, DESPUÉS DE LA IMPLEMENTACIÓN DEL NUEVO COTEJO DE EDICIÓN, LA PRUEBA
INDICÓ QUE TODAS LAS TRANSACCIONES SUPERIORES A $5.000 HACÍAN REFERENCIA A UNA ORDEN DE
COMPRA.
A PESAR DE QUE LA PRUEBA INDICABA QUE LOS CONTROLES FUNCIONABAN, EL AUDITOR QUERÍA
SABER SI FUNCIONABAN CORRECTAMENTE.
SE REALIZÓ UNA PRUEBA RÁPIDA PARA DETERMINAR LA CANTIDAD TOTAL DE FACTURAS QUE HACÍAN
REFERENCIA A UNA ORDEN DE COMPRA Y PARA COMPARAR ESTE TOTAL CON LA CANTIDAD DE LAS
ÓRDENES DE COMPRA.
COMO LAS ENTREGAS RELACIONADAS CON UNA ORDEN DE COMPRA SE PUEDEN RECIBIR EN VARIOS
ENVÍOS, ALGUNAS ÓRDENES DE COMPRA TENÍAN VARIAS FACTURAS.
SIN EMBARGO, EL AUDITOR SE SORPRENDIÓ AL ENCONTRAR ÓRDENES DE COMPRA CON 100 FACTURAS
O MÁS Y PAGOS TOTALES QUE SUPERABAN CIENTOS DE VECES EL MONTO ORIGINAL DE LA ORDEN DE
COMPRA.
EL AUDITOR DETERMINÓ QUE, SI BIEN CADA FACTURA SUPERIOR A $5.000 HACÍA REFERENCIA A UNA
ORDEN COMPRA, ALGUNOS USUARIOS UTILIZABAN LA MISMA ORDEN DE COMPRA UNA Y OTRA VEZ.
EL SEGUIMIENTO DE LAS RECOMENDACIONES DE AUDITORÍA EXAMINÓ TODAS LAS TRANSACCIONES
SUPERIORES A $5.000 Y DETERMINÓ QUE LA RECOMENDACIÓN INICIAL HABÍA ASEGURADO QUE LAS
ÓRDENES DE COMPRA ESTUVIERAN REFERENCIADAS, PERO NO ABORDÓ EL PROBLEMA DE LAS
FACTURAS QUE NO HACÍAN REFERENCIA A LA ORDEN DE COMPRA CORRECTA.

66. ❖ LA EVALUACIÓN CONTINUA DE RIESGOS NO ES UN SISTEMA
ESTÁTICO.
❖ LA IDENTIFICACIÓN DE INDICADORES Y LA EVALUACIÓN DE SU
USO Y VALOR SON TAREAS CLAVE.
❖ LOS RIESGOS INTERNOS Y EXTERNOS SE DEBEN EVALUAR
CONTINUAMENTE PARA PODER ABORDAR LOS RIESGOS QUE SE
AVECINAN EN FORMA OPORTUNA Y PARA QUE LA
ORGANIZACIÓN RESPONDA AL ENTORNO DE RIESGOS
CAMBIANTES.
❖ EL JEFE DEL ÓRGANO DE CONTROL INSTITUCIONAL DEBE
GARANTIZAR QUE SE HAN IMPLEMENTADO SISTEMAS DE
NOTIFICACIÓN APROPIADOS QUE PERMITAN UNA
RETROALIMENTACIÓN SOBRE RIESGOS EMERGENTES.
❖ SE DEBE DAR PRIORIDAD A LAS ALERTAS DE RIESGO Y SE
DEBEN GESTIONAR SABIENDO CLARAMENTE QUIÉN LAS
RECIBE, CÓMO SE COMUNICAN Y QUÉ MEDIDA SE DEBE
TOMAR.
❖ EN SEGUNDO LUGAR, LOS AUDITORES DEBEN RECIBIR
CONTINUAMENTE UNA RETROALIMENTACIÓN REFERIDA A LA
UTILIDAD DE LA AUDITORÍA CONTINUA PARA LA EVALUACIÓN
DEL RIESGO Y DEBEN DESARROLLAR ESTRATEGIAS PARA
MEJORAR EL PROCESO E INFORMAR LOS RESULTADOS.
❖ EN ESPECIAL, EL DEA DEBE DETERMINAR CÓMO SE
UTILIZARÁN LOS RESULTADOS DE LA AUDITORÍA EN LA
ACTIVIDAD DE ERM QUE REALIZA LA DIRECCIÓN.

67. ACTIVIDADES DE CONTROL
LAS ACTIVIDADES DE CONTROL SON LAS ACCIONES ESTABLECIDAS A TRAVÉS DE
POLÍTICAS Y PROCEDIMIENTOS QUE CONTRIBUYEN A GARANTIZAR QUE SE LLEVEN
A CABO LAS INSTRUCCIONES DE LA DIRECCIÓN PARA MITIGAR LOS RIESGOS QUE
INCIDEN EN EL CUMPLIMIENTO DE LOS OBJETIVOS.
ASPECTOS CLAVES DE DISEÑO A IDENTIFICAR EN UN
CONTROL
1. QUIÉN LLEVA A CABO EL CONTROL (RESPONSABLE)
2. FRECUENCIA DEL CONTROL (CADA CUANTO SE REALIZA)
3. QUÉ BUSCA HACER EL CONTROL (OBJETIVO)
4. CÓMO SE LLEVA A CABO EL CONTROL (PROCEDIMIENTO)
5. QUÉ PASA CON LAS DESVIACIONES Y/O EXCEPCIONES (INVESTIGACIÓN Y
ANÁLISIS)
6. EVIDENCIA DE LA EJECUCIÓN DEL CONTROL (LA FIRMA NO ES EVIDENCIA
SUFICIENTE DE QUE UN CONTROL SE EJECUTO)

68. LA COORDINADORA DE COSTOS DE
PERSONAL MENSUALMENTE CUADRA LOS
SALDOS DE NOMINA DEL APLICATIVO VS
CONTABILIDAD DE LAS CUENTAS DE
NOMINA (VACACIONES, SUELDOS,
BONIFICACIONES, HORAS EXTRAS,
PASIVOS PENSIONALES), EXTRACTANDO
LA INFORMACIÓN DIRECTAMENTE DEL
APLICATIVO DE PEOPLE SOFT Y
COMPARÁNDOLA CON LOS AUXILIARES
CONTABLES SUMINISTRADOS POR EL
ÁREA DE CONTABILIDAD CUENTA 5120
COSTO DE PERSONAL, 2710 PASIVOS
CONSOLIDADOS, 2740 CALCULO
ACTUARIAL Y 2810 PASIVOS LABORALES,
EN CASO DE EXISTIR DIFERENCIAS SE
ESTABLECEN Y SE SOLICITAN LAS
ACLARACIONES Y CORRECCIONES
CORRESPONDIENTES.
COMO EVIDENCIA DE LA REVISIÓN
IMPRIME EL CUADRE EN EXCEL DEL
COMPARATIVO Y LO FIRMA EN SEÑAL DE
APROBACIÓN.

70. LA DOCUMENTACIÓN DEL CONTROL ES PARTE FUNDAMENTAL DEL CONTROL
INTERNO POR QUE:
AYUDA EN LA
FORMACIÓN DE
NUEVO PERSONAL.
CONSTITUYE UN
MEDIO PARA
CONSERVAR EL
CONOCIMIENTO DE
LA ORGANIZACIÓN.
APORTA CLARIDAD
A LAS FUNCIONES.
(QUIEN, QUE,
COMO, CUANDO,
EVIDENCIA).
INFORMACIÓN
ACTUALIZADA Y DE
REFERENCIA PARA
EL RESTO DE
EMPLEADOS.
ESTABLECE
EXPECTATIVAS DE
DESEMPEÑO Y
CONDUCTA.

71. LAS EVALUACIONES CONTINUAS DE
RIESGOS Y CONTROLES DEBEN SER
DISEÑADAS DE MODO QUE,
SIMULTÁNEAMENTE, MANTENGAN LA
SEGURIDAD Y EVENTUALMENTE,
EXTIENDAN EL TIEMPO ENTRE
REVISIONES TRADICIONALES DE
AUDITORÍA.
1. EVALUACIÓN CONTINUA DE LOS
RIESGOS.
2. EVALUACIÓN CONTINUA DEL
CONTROL.

72. UNA EVALUACIÓN CONTINUA DE CONTROL EVALÚA EN FORMA PERMANENTE LOS
CONTROLES INTERNOS PARTIENDO DE UN ESTADO BÁSICO O DE INICIO DETECTANDO
CAMBIOS POSTERIORES EN LAS CONDICIONES Y CONSIDERA LA INTERRELACIÓN DE
LOS CONTROLES AUTOMATIZADOS, CONTROLES GENERALES DE TI Y CONTROLES
MANUALES.
EN CADA CASO, EL AUDITOR DEBE BUSCAR COMPORTAMIENTOS INUSUALES O
DESVÍOS. LA EVALUACIÓN DEL CONTROL CONTINUO PERMITE A LOS GERENTES DE
AUDITORÍA SUMINISTRAR UN SERVICIO DE ALERTAS TEMPRANAS SOBRE
VIOLACIONES DE CONTROL O DEFICIENCIAS.

73. NO ES NECESARIO QUE LAS EVALUACIONES CONTINUAS DE
CONTROL SE EJECUTEN EN TIEMPO REAL.
LA FRECUENCIA DEL ANÁLISIS DEBE SER DETERMINADA POR EL
NIVEL DE RIESGO, EL CICLO DE PROCESOS DE NEGOCIO Y EL
GRADO CON EL CUAL LA GERENCIA ESTÁ MONITOREANDO ESTOS
CONTROLES.
POR EJEMPLO:
1. EL ANÁLISIS DE LA TARJETA DE COMPRA PODRÍA
EJECUTARSE UNA VEZ AL MES, A LA RECEPCIÓN EL
EXTRACTO DE TRANSACCIONES DE COMPRA DESDE LA
ADMINISTRADORA DE TARJETAS DE CRÉDITO.
2. EL ANÁLISIS DE LA NÓMINA DE PAGOS, PODRÍA EJECUTARSE
EN CADA PERÍODO DE PAGO, EN SINTONÍA CON LAS
TRANSACCIONES DE DEPÓSITO.
3. LAS PRUEBAS DE FACTURAS Y PAGOS DUPLICADOS PUEDEN
EJECUTARSE TODOS LOS DÍAS.
4. LOS CAMBIOS EN LOS CONTROLES AUTOMATIZADOS TIENDEN
A SER POCO FRECUENTES Y PUEDEN SER CONTROLADOS DE
FORMA SINCRONIZADA DE ACUERDO CON LA RUTINA DE TI.
5. LAS ACTUALIZACIONES DEL SISTEMA OPERATIVO PUEDE SER
REVISADAS TRIMESTRALMENTE.
6. EN ALGUNOS CASOS, UN AUDITOR PUEDE REALIZAR LA
PRUEBA DE CONTROL INICIAL Y “TRANSFERIR” EL MONITOREO
CONTINUO A LA GERENCIA.

74. RELACIONAR
OBJETIVOS DE
CONTROL
DETERMINAR
CONTROLES
CLAVE
EVALUAR
CONDICIÓN DE
INICIO DE LOS
CONTROLES
1. AUTORIZACIÓN
2. INTEGRIDAD
3. EXACTITUD
VERIFICACIÓN DE
APROBACIONES
CREDITICIAS.
COINCIDENCIA DE “TRES
VÍAS”.
SEGREGACIÓN DE TAREAS.
ELEMENTOS REQUERIDOS A
SISTEMAS:
▪ DATOS DEL CLIENTE
▪ DATOS DEL MATERIAL
▪ PRECIO
ESCALADA EN LA
RECONCILIACIÓN
CODIFICACIÓN DE LAS
CUENTAS DE INGRESOS
NIVELES DE TOLERANCIA
CONDICIÓN:
¿ESTÁ ACTIVO EL CONTROL
CONFIGURABLE?.
CAMBIO:
¿SE CONCRETÓ ALGÚN
CAMBIO AL CONTROL
CONFIGURADO DESDE LA
AUDITORÍA ANTERIOR?.

76. DURANTE UN PROCEDIMIENTO, LA
EVALUACIÓN CONTINUA DE RIESGOS SE
PUEDE UTILIZAR PARA COMPRENDER
MEJOR EL PROCESO DE NEGOCIO.
POR EJEMPLO, EN CUENTAS POR PAGAR
(CP), EL EXAMEN DE LOS TIPOS DE PAGO
PUEDE CONDUCIR AL DESCUBRIMIENTO DE
QUE LAS TRANSFERENCIAS ELECTRÓNICAS
DE FONDOS SON COMPLETADAS POR UN
DEPARTAMENTO DE CP Y QUE LOS
CONTROLES MANUALES ESTÁN SIENDO
PRODUCIDOS POR OTRO.
ESTA INFORMACIÓN PERMITE AL AUDITOR
COMPRENDER MEJOR EL PROCESO DE CP
EN CADA UBICACIÓN Y EVALUAR EL RIESGO
CORRESPONDIENTE.

77. LA GESTIÓN DE RIESGOS INTENTA ALINEAR
LAS ESTRATEGIAS, LOS PROCESOS, LA
TECNOLOGÍA Y EL CONOCIMIENTO DE LA
ORGANIZACIÓN CON EL FIN DE MEJORAR SU
CAPACIDAD DE EVALUAR Y GESTIONAR LAS
INCERTIDUMBRES QUE PUEDEN AFECTAR SU
CAPACIDAD DE ALCANZAR LOS OBJETIVOS.
LA GESTIÓN DE RIESGOS, COMO TAL, ES
UNA FUNCIÓN DE GESTIÓN ESENCIAL.
NO OBSTANTE, LA NORMA 2120 DEL IIA
ESTABLECE QUE LAS AUDITORÍAS DEBEN
EVALUAR LA EFICACIA Y CONTRIBUIR A LA
MEJORA DE LOS PROCESOS DE GESTIÓN DE
RIESGOS. LA NORMA 2010 ESTABLECE
ADEMÁS QUE EL PLAN DEL DEPARTAMENTO
DE AUDITORÍA DEBE ESTAR BASADO EN UNA
EVALUACIÓN DE RIESGOS.

78. EL ANÁLISIS DE DATOS DEBE SER UTILIZADO COMO SOPORTE DEL DESARROLLO DE LOS INDICADORES
CLAVES PARA ACTIVAR LA REALIZACIÓN DE AUDITORÍAS ESPECÍFICAS O DE ÁREAS QUE DEBEN INCLUIRSE
EN EL PLAN.POR EJEMPLO, AYUDADA POR INDICADORES CLAVES, LA EVALUACIÓN CONTINUA DE RIESGOS SE
PUEDE APROVECHAR PARA INCREMENTAR EL ALCANCE EN CIERTAS UBICACIONES A SER VISITADAS,
ENFOCAR LOS OBJETIVOS Y EL ALCANCE DE LA AUDITORÍA, INCLUIR AUDITORÍAS ESPECÍFICAS O ENTIDADES
EN EL PLAN ANUAL DE AUDITORÍA O DESENCADENAR UNA INMEDIATA PRUEBA DE RECORRIDO DE UNA
ENTIDAD DONDE EL RIESGO SE HA INCREMENTADO SIGNIFICATIVAMENTE SIN UNA APARENTE
JUSTIFICACIÓN.
EJEMPLOS DE APLICACIONES PRÁCTICAS DE EVALUACIONES CONTINUAS DE RIESGOS DURANTE EL
DESARROLLO DEL PLAN DE AUDITORÍA INCLUYEN:
1. LA APLICACIÓN DE UN CONTEXTO MÁS ESTRATÉGICO AL DESARROLLO DE PLANES DE AUDITORÍA Y
HACER PERMANENTES AJUSTES AL PLAN ANTE CAMBIOS EN LOS PERFILES DE RIESGO.
2. LA ASIGNACIÓN DE LOS RECURSOS DE AUDITORÍA ESCASOS ALTAMENTE CALIFICADOS A LAS ZONAS
CON DESVÍOS QUE REPRESENTAN EL MAYOR RIESGO DE LA ORGANIZACIÓN.
3. LA EVALUACIÓN DE LAS ACTIVIDADES DE MITIGACIÓN DE RIESGOS DE LA GERENCIA.
4. EL DESARROLLO DE LAS ÁREAS DE TEMAS DE INTERÉS Y ESTRATÉGICO PARA EL UNIVERSO DE
AUDITORÍA INTERNA.
5. EL ALCANCE Y LOS OBJETIVOS DE AUDITORÍAS INDIVIDUALES.
LA PRINCIPAL DIFERENCIA ENTRE EL APROVECHAMIENTO DE LA EVALUACIÓN CONTINUA DE RIESGOS PARA
DESARROLLAR EL PLAN DE AUDITORÍA DE LA EMPRESA RESPECTO DEL APOYO A UN TRABAJO DE AUDITORÍA
ES EL NIVEL DE DETALLE DE LA INFORMACIÓN REQUERIDA.
LA INFORMACIÓN RESUMIDA PUEDE SER SUFICIENTE PARA IDENTIFICAR DESVÍOS Y REORIENTAR LOS
RECURSOS CUANDO SE ESTÁ DESARROLLANDO EL PLAN DE AUDITORÍA. POR EL CONTRARIO, ES PROBABLE
QUE SE REQUIERA INFORMACIÓN MÁS DETALLADA PARA IDENTIFICAR RIESGOS Y PROBAR CONTROLES CON
LA FINALIDAD DE CONCRETAR EL ALCANCE Y OBJETIVOS DE UN TRABAJO DE AUDITORÍA.

79. AL DESARROLLAR UNA CAPACIDAD DE
EVALUACIÓN CONTINUA DE RIESGOS,
LOS AUDITORES PRIMERO DEBEN
DETERMINAR SI LA DIRECCIÓN HA
IMPLEMENTADO UNA FUNCIÓN DE ERM.
SI SE LLEVA A CABO ESA ERM, LOS
AUDITORES PUEDEN COMENZAR POR
REVISAR LA SUFICIENCIA DE LAS
ACTIVIDADES DE GESTIÓN DE RIESGO
PUESTAS EN PRÁCTICA.
SI LA ORGANIZACIÓN NO EFECTÚA LA
ERM ADECUADAMENTE, SE DEBERÁ
DESARROLLAR, DESDE CERO, LA
EVALUACIÓN CONTINUA DE RIESGOS.
ESTA DEBE SER MÁS SÓLIDA Y LA
ACTIVIDAD DE AUDITORÍA INTERNA
DEBE EJECUTARLA CON MÁS
FRECUENCIA.
UN BUEN PUNTO DE INICIO ES EL
ENFOQUE INTEGRADO DE GESTIÓN DE
RIESGO EMPRESARIAL DE COSO.

81. PARA QUE LOS AUDITORES IDENTIFIQUEN Y
EVALÚEN LOS NIVELES DE RIESGO, DEBEN
COMPRENDER LA MISIÓN, LOS OBJETIVOS DE
NEGOCIO CLAVE Y LOS SUBOBJETIVOS DE LA
ORGANIZACIÓN.
ADEMÁS, DEBEN SABER CUÁNDO Y QUÉ PODRÍA
SUCEDER EN LA ORGANIZACIÓN EN EL CURSO
NORMAL DE LAS OPERACIONES DE NEGOCIO O
COMO RESULTADO
DE ALGÚN OTRO EVENTO INUSUAL.
EL DEA DEBE MANTENERSE ACTUALIZADO
RESPECTO DE LO QUE ESTÁ SUCEDIENDO EN EL
ENTORNO INTERNO Y EXTERNO QUE, A SU TURNO,
PODRÍA TENER UN IMPACTO EN LA CAPACIDAD DE
LA ORGANIZACIÓN PARA LOGRAR SUS OBJETIVOS.
LOS AUDITORES DEBEN ESTAR INFORMADOS NO
SÓLO DE LAS ÁREAS EN LAS
QUE SU ORGANIZACIÓN PODRÍA ESTAR EN RIESGO,
SINO TAMBIÉN DE LOS IMPACTOS POTENCIALES.

82. EL PRÓXIMO PASO EN LA EJECUCIÓN DE LA
EVALUACIÓN CONTINUA DE RIESGOS ES
CONSIDERAR LAS CATEGORÍAS DE RIESGOS O LOS
TIPOS DE EXPOSICIONES. LAS CATEGORÍAS DE
RIESGOS TÍPICAS INCLUYEN:
1. ENTORNO EXTERNO
2. LEGAL
3. REGLAMENTARIO
4. GOBIERNO
5. ESTRATÉGICO
LAS CATEGORÍAS DE RIESGOS PUEDEN AYUDAR A
IDENTIFICAR Y EVALUAR LOS RIESGOS.
LOS RIESGOS QUE NO SE GESTIONAN
ADECUADAMENTE O NO SE MITIGAN REPRESENTAN
UNA EXPOSICIÓN PARA LA INTEGRIDAD DE LA
ORGANIZACIÓN.
LA IDENTIFICACIÓN DE LAS CATEGORÍAS DE
RIESGOS AYUDARÁ A LOS AUDITORES A
CONSIDERAR EN QUÉ CASOS LOS EVENTOS
POTENCIALES PODRÍAN AFECTAR EL LOGRO DE
LOS OBJETIVOS DE NEGOCIO.

83. EL PRÓXIMO PASO ES IDENTIFICAR LAS
CONSECUENCIAS DE LA EXPOSICIÓN AL
RIESGO.
¿EL RIESGO OCASIONARÁ PÉRDIDA
MONETARIA O ROBO DE ACTIVOS, PÉRDIDA
DE DATOS DE PROPIEDAD EXCLUSIVA O
VENTAJA COMPETITIVA?.
AÚN SI LOS AUDITORES PUDIERAN
IDENTIFICAR TODAS LAS POSIBLES
EXPOSICIONES, ES PROBABLE QUE NO HAYA
SUFICIENTES RECURSOS COMO PARA
ABORDARLOS A TODOS.
AL CENTRAR LA ATENCIÓN DE LA AUDITORÍA
DE MANERA EFICAZ, LOS AUDITORES NO
SÓLO DEBEN IDENTIFICAR Y EVALUAR LOS
RIESGOS, SINO QUE TAMBIÉN DEBEN
ENTENDER CUÁL ES EL GRADO DE
ACEPTACIÓN DE RIESGO ASUMIDO POR LA
ORGANIZACIÓN, A LA VEZ, QUE DEBEN
TENER UNA POSICIÓN TAL QUE LES
PERMITA ESTABLECER PRIORIDADES ENTRE
LOS RIESGOS IDENTIFICADOS.

84. UNA VEZ QUE SE IDENTIFICARON LAS
EXPOSICIONES, ES IMPORTANTE
EVALUAR EL NIVEL DE RIESGO.
DOS DE LAS MEDIDAS DE RIESGO
USUALES SON LA PROBABILIDAD Y LA
GRAVEDAD.
LA PROBABILIDAD MIDE EL GRADO DE
CERTEZA DE QUE LA EXPOSICIÓN
OCASIONARÁ UNA PÉRDIDA. LA
GRAVEDAD MIDE HASTA DÓNDE SE
SENTIRÁ EL IMPACTO.
LA EVALUACIÓN DE RIESGOS DEBE
INCLUIR EL ANÁLISIS DE LOS
CONTROLES ADOPTADOS PARA MITIGAR
ESTOS RIESGOS.

85. LAS EVALUACIONES CONTINUAS DE RIESGOS DEBEN INCLUIR UNA REVISIÓN DE LOS
RESULTADOS DE LOS ESFUERZOS DE MONITOREO DE LA GERENCIA, INCLUYENDO INDICADORES
PREDICTIVOS, MEDIDAS DE RENDIMIENTO, CONTROLES DE CALIDAD Y SEGREGACIÓN DE TAREAS.
LA EVALUACIÓN CONTINUA DE RIESGOS EN FORMA PERMANENTE IDENTIFICA Y EVALÚA LOS
RIESGOS MEDIANTE TÉCNICAS DE AUDITORÍA BASADAS EN TECNOLOGÍA, PARA:
1. EXAMINAR Y ANALIZAR LAS TENDENCIAS, COMPARACIONES Y DESVÍOS EN UN SOLO
PROCESO, EN COMPARACIÓN CON DESEMPEÑOS ANTERIORES Y TAMBIÉN RESPECTO DE
OTROS PROCESOS O SISTEMAS QUE OPERAN DENTRO DE LA EMPRESA.
2. CORRELACIONAR Y ANALIZAR DESVÍOS PARA MOSTRAR CÓMO RESPONDE LA GERENCIA A
LOS RIESGOS Y PROPORCIONAR UNA VISIÓN DE FUTURO SOBRE RIESGOS EMERGENTES.
3. DESTACAR POSIBLES RIESGOS EN EL ENFOQUE DEL ALCANCE DE LA AUDITORÍA (EN FORMA
PERIÓDICA Y EN LÍNEA).
4. DETECTAR DESVÍOS EN LAS UNIDADES DE NEGOCIO, SUCURSALES O PROCESOS QUE
PUEDEN ESTAR ASUMIENDO UN MAYOR RIESGO O QUE EXPERIMENTAN CAMBIOS EN FORMA
ATÍPICA.
5. RESALTAR ZONAS DONDE LOS CONTROLES SON INEXISTENTES O DONDE NO SE
ENCUENTRAN OPERANDO DE FORMA ADECUADA, LO QUE SUGIERE QUE LOS AUDITORES
DEBAN REALIZAN EVALUACIONES DE CONTROL MÁS EXHAUSTIVAS EN ÁREAS ESPECÍFICAS.
6. ADMINISTRAR HOJAS DE CÁLCULO DE NEGOCIOS CRÍTICOS Y OTRAS APLICACIONES
DESARROLLADAS POR EL USUARIO.
7. PREDECIR O ANTICIPAR LOS RIESGOS FUTUROS.
LOS RESULTADOS DE LA EVALUACIÓN CONTINUA DE RIESGOS SIRVEN COMO “ENTRADA” PARA EL
PLANEAMIENTO DE LA AUDITORÍA Y LA EVALUACIÓN CONTINUA DE CONTROLES.

86. LA META PRINCIPAL DE LA AUDITORÍA CONTINUA ES GARANTIZAR
LA EFICACIA DE TODOS LOS CONTROLES Y AYUDAR A MITIGAR
RIESGOS.
EN LA PRÁCTICA, ESTO SE PUEDE LOGRAR MEJOR AL IDENTIFICAR
LOS CONTROLES CLAVE Y LAS CATEGORÍAS DE RIESGOS.
COMO SE OBSERVA EN LAS PAUTAS DEL CONSEJO DE SUPERVISIÓN
CONTABLE DE SOCIEDADES PÚBLICA (PCAOB, EN INGLÉS) PARA LA
IMPLEMENTACIÓN DE LA NORMA DE AUDITORÍA N.º 2, LOS
AUDITORES DEBEN UTILIZAR LA EVALUACIÓN DE RIESGOS PARA
DETERMINAR QUÉ CONTROLES SE DEBEN ANALIZAR.
EL JEFE DEL ÓRGANO DE CONTROL INSTITUCIONAL DEBE
DEDICARSE A LAS ACTIVIDADES QUE LE PROPORCIONARÁN EL
MAYOR Y MÁS INMEDIATO RETORNO DE INVERSIÓN.
LOS AUDITORES DEBEN FUNDAMENTARSE EN HISTORIAS DE ÉXITO
QUE DEMUESTREN LA FACTIBILIDAD Y UTILIDAD DE LA AUDITORÍA
CONTINUA.
POR LO TANTO, ES NECESARIO ESTABLECER LA PRIORIDAD DE LOS
SISTEMAS Y PROCESOS DE NEGOCIO PREDISPUESTOS A LA
AUDITORÍA CONTINUA.
EN LA FIJACIÓN DE LOS OBJETIVOS, EL JEFE DEL ÓRGANO DE
CONTROL INSTITUCIONAL TAMBIÉN DEBE DETERMINAR EL
CONOCIMIENTO, LAS APTITUDES Y LAS DISCIPLINAS NECESARIAS
PARA REALIZAR LA AUDITORÍA CONTINUA EFICAZMENTE.
EN ESPECIAL, LOS AUDITORES DEBERÁN TENER EL TIPO Y NIVEL
APROPIADOS DE EXPERIENCIA
TÉCNICA Y ACCESO A TECNOLOGÍAS ESPECÍFICAS Y ADECUADAS.

87. SI BIEN LA DIRECCIÓN ES RESPONSABLE DE DESARROLLAR Y MANTENER UN SISTEMA PARA
IDENTIFICAR Y MITIGAR EL RIESGO, LA NORMA 2120 DEL IIA ESTABLECE QUE LOS AUDITORES
DEBEN EVALUAR LA EFICACIA Y CONTRIBUIR A LA MEJORA DE LOS PROCESOS DE GESTIÓN DE
RIESGOS.
LA NORMA 2010 DEL IIA ALIENTA A LOS DEA A ESTABLECER PLANES BASADOS EN RIESGOS PARA
DETERMINAR LAS PRIORIDADES DE LA ACTIVIDAD DE AUDITORÍA INTERNA, EN CONFORMIDAD CON
LAS METAS DE LA ORGANIZACIÓN.
ESTAS DOS ACTIVIDADES ESTÁN RELACIONADAS Y LOS AUDITORES PUEDEN UTILIZAR UNA
EVALUACIÓN CONTINUA DE RIESGOS PARA IDENTIFICAR Y EVALUAR NIVELES CAMBIANTES DE
RIESGO.
ESTO LES PERMITE EVALUAR LAS ACTIVIDADES DE MITIGACIÓN DE RIESGOS DE LA DIRECCIÓN Y
RESPALDA EL DESARROLLO DE OBJETIVOS PARA AUDITORÍAS INDIVIDUALES Y DEL PLAN DE
AUDITORÍA ANUAL.
LA EVALUACIÓN CONTINUA DE RIESGOS SE PUEDE UTILIZAR PARA IDENTIFICAR Y EVALUAR EL
RIESGO EN FORMA PERMANENTE. SE LOGRA NO SÓLO COMPARANDO LAS TRANSACCIONES CON
VALORES LÍMITE SINO TAMBIÉN UTILIZANDO UN ANÁLISIS COMPARATIVO DE LA TOTALIDAD
DE LAS TRANSACCIONES.
CON ESTE TIPO DE COMPARACIÓN, LOS AUDITORES PUEDEN EXAMINAR LA CONSISTENCIA DE UN
PROCESO MIDIENDO LA VARIABILIDAD DE DIVERSAS DIMENSIONES.
EN PRODUCCIONES, POR EJEMPLO, MEDIR LA VARIABILIDAD EN LA CANTIDAD DE DEFECTOS ES UN
MÉTODO PARA PROBAR LA CONSISTENCIA DE UNA LÍNEA DE PRODUCCIÓN. CUANTA MÁS
VARIABILIDAD HAYA EN LA CANTIDAD DE DEFECTOS, MÁS PREOCUPACIONES SE GENERARÁN
ACERCA DEL FUNCIONAMIENTO CORRECTO Y CONSISTENTE DE LA LÍNEA DE PRODUCCIÓN.

88. ESTA MISMA PREMISA SE PUEDE APLICAR A LA MEDICIÓN DE LA INTEGRIDAD DE UN SISTEMA FINANCIERO
MIDIENDO LA VARIABILIDAD (POR EJEMPLO: CANTIDAD Y VALOR EN DÓLARES DE LOS ASIENTOS DE AJUSTE) A
TRAVÉS DEL TIEMPO Y EN COMPARACIÓN CON OTRAS ENTIDADES SIMILARES.
EL CONCEPTO DE VARIABILIDAD ES EL FACTOR DE DIFERENCIACIÓN CLAVE DE LA EVALUACIÓN CONTINUA DE
RIESGOS FRENTE A LOS MÓDULOS DE AUDITORÍA INTEGRADOS E INFORMES DE EXCEPCIÓN.
AL REALIZAR EVALUACIONES CONTINUAS DE RIESGOS, LOS JEFES DE LOS ÓRGANOS DE CONTROL
INSTITUCIONAL PUEDEN APLICAR UN CONTEXTO MÁS ESTRATÉGICO AL DESARROLLO DE PLANES DE
AUDITORÍA Y HACER AJUSTES CONSTANTES CUANDO CAMBIAN LOS PERFILES DE RIESGO PARA MANTENER EL
PLAN DE AUDITORÍA VIGENTE DURANTE TODO EL AÑO Y PARA ASIGNAR RECURSOS DE AUDITORÍA ESCASOS Y
CON UN ALTO NIVEL DE CAPACITACIÓN A LAS ÁREAS QUE REPRESENTAN LA MAYOR EXPOSICIÓN AL RIESGO
PARA LA ORGANIZACIÓN.
LAS EVALUACIONES CONTINUAS DE RIESGOS TAMBIÉN PUEDEN DESTACAR ÁREAS DONDE NO HAY CONTROLES
O DONDE LOS CONTROLES NO FUNCIONAN CORRECTAMENTE, INDICANDO A LOS AUDITORES QUE DEBEN
REALIZAR EVALUACIONES CONTINUAS DE CONTROL EN ÁREAS ESPECÍFICAS. POR LO TANTO, LA EVALUACIÓN
CONTINUA DE RIESGOS PUEDE CONTRIBUIR NO SÓLO CON EL PLAN DE AUDITORÍA, SINO TAMBIÉN CON LAS
ACTIVIDADES DE EVALUACIÓN CONTINUA DE CONTROL.
EJEMPLO: SELECCIÓN BASADA EN RIESGOS DE SITIOS DE AUDITORÍA CON MÁS DE 1.100 TIENDAS MINORISTAS
EN DISTINTAS PARTES DEL PAÍS, EL DEPARTAMENTO DE AUDITORÍA INTERNA DE ABC FOOD NECESITABA UNA
FORMA EFICAZ Y EFICIENTE DE SELECCIONAR AUDITORÍAS DE TIENDAS INDIVIDUALES. ANTES, LOS
AUDITORES INTENTABAN VISITAR CADA TIENDA AL MENOS UNA VEZ AL AÑO PARA REALIZAR UNA AUDITORÍA
BASADA EN EL CUMPLIMIENTO. SIN EMBARGO, ESTO NO RESULTABA EFICAZ PARA ABORDAR LAS
VERDADERAS ÁREAS DE RIESGO.
EL DEA NECESITABA UNA SOLUCIÓN DE EVALUACIÓN DE RIESGOS CONFIABLE, CON CRITERIOS CONTROLADOS
POR DATOS, PARA PODER OFRECER ASEGURAMIENTO A LAS 1.100 TIENDAS SIN TENER QUE VISITAR CADA
UNA, CADA AÑO. SE UTILIZÓ LA EVALUACIÓN CONTINUA DE RIESGOS PARA ESTABLECER LOS ANÁLISIS
NECESARIOS, COMO LA PÉRDIDA DE INVENTARIO INFORMADA Y LA ROTACIÓN DE PERSONAL CON
EXPERIENCIA.
AHORA, EL EQUIPO DE AUDITORÍA INTERNA PUEDE LOCALIZAR RÁPIDAMENTE LAS TIENDAS CON MAYOR
GRADO DE RIESGO Y DESARROLLAR UN ENFOQUE DE AUDITORÍA MÁS OPORTUNO, EFICIENTE Y EFICAZ.

89. UN INGREDIENTE CLAVE DE LA SECUENCIA CONTINUA DE CONTROLES RIESGO ES LA LIBRE CIRCULACIÓN DE
INFORMACIÓN EN AMBAS DIRECCIONES.
LOS AUDITORES QUE EFECTÚAN EVALUACIONES CONTINUAS DE RIESGO NO SÓLO DEBEN ALIMENTAR LAS
ACTIVIDADES DE ERM DE LA DIRECCIÓN, SINO QUE ADEMÁS DEBEN UTILIZAR LOS RESULTADOS DE LA
EVALUACIÓN DE RIESGOS COMO DATO DE ENTRADA PARA LA EVALUACIÓN CONTINUA DE CONTROLES. LA
NORMA 2130.A1 DEL IIA ESTABLECE LO SIGUIENTE:
LA ACTIVIDAD DE AUDITORÍA INTERNA DEBE EVALUAR LA ADECUACIÓN Y EFICACIA DE LOS CONTROLES EN
RESPUESTA A LOS RIOESGOS DEL GOBIERNO, OPERACIONES Y SISTEMAS DE INFORMACIÓN DE LA
ORGANIZACIÓN.
COMO ES DE ESPERAR, UN MAYOR NIVEL DE RIESGO PODRÍA INDICAR FÁCILMENTE UN CONTROL DEFICIENTE O
NO EXISTENTE.
POR OTRO LADO, LAS DEFICIENCIAS DE CONTROL IDENTIFICADAS SE DEBEN CONSIDERAR AL MOMENTO DE
ANALIZAR LOS NIVELES DE RIESGO.
ESTO NO IMPLICA QUE UN MAYOR RIESGO EXIJA CONTROLES ADICIONALES NI QUE LAS DEBILIDADES DE
CONTROL NECESARIAMENTE GENEREN MAYOR RIESGO. NO OBSTANTE, LOS RESULTADOS OBTENIDOS DE LA
EVALUACIÓN DE UNO DE ELLOS SE DEBEN INGRESAR EN LA EVALUACIÓN DEL OTRO.
LA ACTIVIDAD DE AUDITORÍA Y EL DEA PUEDEN AGREGAR UN VALOR SIGNIFICATIVO AL REALIZAR LAS
SIGUIENTES TAREAS:
1. REVISAR LOS SISTEMAS DE CONTROL CRÍTICO Y PROCESOS DE GESTIÓN DE RIESGOS.
2. EVALUAR LA EFICACIA DE LAS EVALUACIONES DE RIESGOS DE LA DIRECCIÓN Y LOS CONTROLES
INTERNOS.
3. PROPORCIONAR ASESORAMIENTO SOBRE EL DISEÑO DEL ENFOQUE DE CONTROL (Y MEJORAS) Y
ESTRATEGIAS DE MITIGACIÓN DE RIESGOS.

91. LOS CONTROLES PARA UNA ADECUADA GESTIÓN DE RIESGOS SE DEBEN VALIDAR
EN SU:
DISEÑO EJECUCIÓN
¿PODRÍA OPERAR BIEN
PERO NO ESTA BIEN
DISEÑADO?.
¿PODRÍA ESTAR BIEN
DISEÑADO PERO
OPERA MAL?.

92. RIESGO ANTES DE
CONTROLES
SE IDENTIFICAN LOS
RIESGOS INHERENTES Y
SE EVALÚAN EN
TÉRMINOS DE IMPACTO Y
PROBABILIDADES.
CAUSA
SE IDENTIFICAN LAS CAUSAS O
FALLAS QUE PUEDAN DAR
ORIGEN A LA MATERIALIZACIÓN
DE RIESGOS. (INDUCTOR DE
RIESGO).
CONTROL
POR CADA CAUSA
SE IDENTIFICA EL
O LOS CONTROLES.
RIESGO DESPUÉS
DE CONTROLES
EVALUAR SI LOS
CONTROLES SI ESTÁN
BIEN DISEÑADOS PARA
MITIGAR LAS CAUSAS
Y SI SE EJECUTAN COMO
ESTÁN DISEÑADOS.

95. LA GERENCIA DEBE POSEER Y EJECUTAR
MONITOREO CONTINUO.
MUCHAS DE LAS TÉCNICAS QUE LA GERENCIA
UTILIZA PARA MONITOREAR CONTINUAMENTE LOS
CONTROLES SON SIMILARES A LAS TÉCNICAS DE
AUDITORÍA CONTINUA UTILIZADOS POR LOS
AUDITORES INTERNOS.
LOS PRINCIPIOS DE MONITOREO CONTINUO
INCLUYEN:
1. PROPÓSITO - CONSIDERAR EL OBJETIVO DE
NEGOCIO Y LOS FACTORES CRÍTICOS DE
ÉXITO.
2. RIESGO - DETERMINAR POSIBLES
OBSTÁCULOS QUE LIMITEN EL ÉXITO DE LA
ORGANIZACIÓN.
3. RESPUESTA - ALINEAR DIVERSAS FUENTES DE
DATOS PARA DESCUBRIR Y CORROBORAR LOS
RIESGOS EMERGENTES TALES COMO LAS
CONDICIONES CONFIGURABLES, CAMBIOS,
REGISTRO DE EVENTOS, TRANSACCIONES
FINANCIERAS Y DATOS NO ESTRUCTURADOS.
4. SINCRONIZACIÓN - DETECTAR PROBLEMAS DE
CONTROL EN TIEMPO REAL.
5. ACCIÓN – SEGUIR LAS DEFICIENCIAS PARA LA
TOMA DE ACCIONES CORRECTIVAS.

96. 1. ES EL PROCESO SISTEMÁTICO DE
RECOLECTAR, ANALIZAR Y
UTILIZAR INFORMACIÓN PARA
HACER SEGUIMIENTO AL
PROGRESO DE UN PROGRAMA EN
POS DE LA CONSECUCIÓN DE SUS
OBJETIVOS, Y PARA GUIAR LAS
DECISIONES DE GESTIÓN.
2. EL MONITOREO GENERALMENTE
SE DIRIGE A LOS PROCESOS EN LO
QUE RESPECTA A CÓMO, CUÁNDO
Y DÓNDE TIENEN LUGAR LAS
ACTIVIDADES, QUIÉN LAS EJECUTA
Y A CUÁNTAS PERSONAS O
ENTIDADES BENEFICIA.
3. EL MONITOREO SE REALIZA UNA
VEZ COMENZADO EL PROGRAMA Y
CONTINÚA DURANTE TODO EL
PERÍODO DE IMPLEMENTACIÓN.

97. COSO MONITORING PONE
ÉNFASIS EN 2 PRINCIPIOS:
1. EL MONITOREO DEBE ESTAR
DISEÑADO PARA DETERMINAR
SI TODOS LOS COMPONENTES
DEL CONTROL INTERNO
OPERAN EFICAZMENTE A LO
LARGO DEL TIEMPO.
2. LAS DEBILIDADES DE CONTROL
INTERNO DEBEN
COMUNICARSE
OPORTUNAMENTE A LOS
RESPONSABLES DE PROCESOS
Y DE ACUERDO CON SU
SIGNIFICATIVIDAD A LA ALTA
GERENCIA Y AL DIRECTORIO,
PARA QUE SE LLEVEN A CABO
ACCIONES CORRECTIVAS.

98. AUDITORÍA CONTINUA
MÉTODO PARA REALIZAR
ACTIVIDADES RELACIONADAS
CON LA AUDITORÍA EN FORMA
PERMANENTE.
MONITOREO CONTINUO
MÉTODO PARA ASEGURAR QUE
LAS POLÍTICAS Y LOS PROCESOS
ESTÁN FUNCIONANDO
EFECTIVAMENTE Y PARA
EVALUAR LA CALIDAD DE LOS
CONTROLES.

99. LA AUDITORÍA CONTINUA DEBE PERMANECER FLEXIBLE Y
ATENTA A LOS CAMBIOS QUE SE PRODUCEN EN LA
EXPOSICIÓN AL RIESGO Y EN EL ENTORNO DE CONTROL.
EL JEFE DEL ÓRGANO DE CONTROL INSTITUCIONAL DEBE
ACTUALIZAR PERIÓDICAMENTE LA ESTRATEGIA DEL
PROGRAMA DE AUDITORÍA CONTINUA PARA ADAPTARSE A
LAS NUEVAS PRIORIDADES Y TEMÁTICAS.
PUEDE RESULTAR NECESARIO AÑADIR PUNTOS DE CONTROL
ADICIONALES O EXPOSICIONES AL RIESGO, U OTROS QUE
PUEDEN SER MIGRADOS A LOS ESFUERZOS DE MONITOREO
CONTINUO DE LA GERENCIA.
A TRAVÉS DEL TIEMPO, PROBABLEMENTE SEA NECESARIO
AJUSTAR O RELAJAR UMBRALES, PRUEBAS DE CONTROL Y
PARÁMETROS PARA DIFERENTES ANÁLISIS.
CON POSTERIORIDAD A LA IMPLEMENTACIÓN, EL JEFE DEL
ÓRGANO DE CONTROL INSTITUCIONAL DEBE REGISTRAR
LOS BENEFICIOS ALCANZADOS POR EL MONITOREO
CONTINUO EN OTRAS INICIATIVAS DE LA GERENCIA TALES
COMO GESTIÓN INTEGRAL DE RIESGOS DE LA EMPRESA Y
MEDIDAS DE DESEMPEÑO.
LA CUANTIFICACIÓN DE LOS BENEFICIOS EXPERIMENTADO
POR LOS AUDITORES Y OTROS PROVEEDORES DE
ASEGURAMIENTO DOCUMENTA EL RETORNO DE LA
INVERSIÓN, MEJORA LA REPUTACIÓN Y JUSTIFICA LA
FINANCIACIÓN DE NUEVAS INVERSIONES Y DESARROLLO
ESTRATÉGICO.

100. 1. PROCESO LLEVADO A CABO POR LA
GERENCIA A FIN DE DETERMINAR SI LAS
POLÍTICAS Y LOS CONTROLES
FUNCIONAN DE MANERA EFECTIVA.
2. ESTABLECE OBJETIVOS DE CONTROL Y
REAFIRMACIÓN DEL ASEGURAMIENTO, Y
UTILIZA COMPROBACIONES
AUTOMATIZADAS PARA IDENTIFICAR
ACTIVIDADES Y TRANSACCIONES QUE
NO CUMPLEN LAS NORMAS Y
POLÍTICAS.
3. PERMITE QUE LA GERENCIA RESUELVA
LOS PROBLEMAS EN LOS CONTROLES
EN FORMA OPORTUNA: EXISTE UNA
MEJORA EN LOS MISMOS Y EN EL
DESEMPEÑO OPERATIVO, OBTENIENDO
“UN BLINDAJE OPERATIVO”.
4. LA TECNOLOGÍA JUEGA UN ROL
FUNDAMENTAL

101. LA DIFERENCIA PRINCIPAL FUNDAMENTAL RADICA EN: ¿QUIÉN ES EL DUEÑO? Y EL OBJETIVO DEL
PROCESO.
CONCEPTOS AUDITORÍA CONTÍNUA MONITOREO CONTÍNUO
RESPONSABILIDAD
METODOLOGÍA USADA POR LOS AUDITORES
PARA REALIZAR VALIDACIÓN DEL CONTROL
DE MANERA RECURRENTE.
1. OBTENCIÓN DE EVIDENCIA DE
AUDITORÍA DE FORMA REPETITIVA Y
SOSTENIBLE.
2. REDISEÑO DE PROCESOS DE AUDITORÍA.
3. USO EXTENSIVO DE LA TECNOLOGÍA.
4. IDENTIFICACIÓN DE ASUNTOS MÁS
IMPORTANTES PARA TRABAJOS DE
AUDITORÍA.
5. MEJOR ASIGNACIÓN DE RECURSOS DE
AUDITORÍA.
6. MEJOR CALIDAD EN TRABAJOS DE
AUDITORÍA.
7. MEJOR SOPORTE A LA GERENCIA.
PROCESO GEREL QUE AYUDA AL PERSONAL A
CUMPLIR CON SUS RESPONSABILIDADES DE
SUPERVISIÓN.
1. ASEGURAMIENTO DE EFICIENCIA EN LOS
PROCESOS DEL NEGOCIO.
2. ASEGURAMIENTO DE CUMPLIMIENTO DE
POLÍTICAS Y PROCEDIMIENTOS.
3. CONTROL DE LA EFECTIVIDAD DEL CONTROL
INTERNO A NIVEL OPERATIVO.
4. RESPUESTA MÁS RÁPIDA A DESVIACIONES.
5. MEJOR GESTIÓN DE RIESGOS.
6. MEJOR ASEGURAMIENTO DE LOGRO DE
BJETIVOS.
DEFINICIÓN
PROCESO QUE PRUEBA TRANSACCIONES
SELECCIONADAS O PUNTOS DE CONTROL
BASADO EN UN CRITERIO
PREDETERMINADO.
PROCESO QUE VERIFICA LA EJECUCIÓN DE UNA
ACTIVIDAD EN BASE A UN ESTÁNDAR O NORMA DEL
DEPARTAMENTO O DE LA ORGANIZACIÓN.
ENFOQUE
ES PARTE DE LAS RESPONSABILIDADES DE
AUDITORÍA INTERNA EN EL PROCESO DE
ASEGURAMIWENTO.
ES PARTE DE LAS RESPONSABILIDADES DE LA
GERENCIA.

102. EXISTE UNA RELACIÓN INVERSA ENTRE LA
AUDITORÍA CONTINUA Y EL MONITOREO CONTINUO.
LAS TRES LÍNEAS DE DEFENSA CONTRIBUYEN A LA
MEDICIÓN Y EL FORTALECIMIENTO DE LA EFICACIA
DE LA GESTIÓN DE RIESGOS Y CONTROL.
LA AUDITORÍA INTERNA DEBE AJUSTAR EL ALCANCE
DE SU TRABAJO DE AUDITORÍA CONTINUA TENIENDO
EN CUENTA LA ADECUACIÓN Y COHERENCIA QUE LA
GERENCIA DESPLIEGA SOBRE EL MONITOREO
CONTINUO.
SI EL MONITOREO CONTINUO EJECUTADO POR LA
PRIMERA Y SEGUNDA LÍNEAS DE DEFENSA ES
INSUFICIENTE O INCONSISTENTE, LA AUDITORÍA
INTERNA DEBE INCREMENTAR SUS ESFUERZOS DE
AUDITORÍA CONTINUA DE MANERA PROPORCIONAL.
EN LAS ÁREAS DONDE LA GERENCIA NO HA
IMPLEMENTADO MONITOREO CONTINUO, LOS
AUDITORES DEBEN REALIZAR PRUEBAS DE
CUMPLIMIENTO EXTENSIVAS MEDIANTE EL USO DE
TÉCNICAS DE AUDITORÍA CONTINUA.
DONDE LA PRIMERA O SEGUNDA LÍNEA DE DEFENSA
REALIZA MONITOREO CONTINUO DE FORMA
INTEGRAL CON PRUEBAS “DE EXTREMO A EXTREMO”
SOBRE PROCESOS DE NEGOCIO, LA AUDITORÍA
INTERNA PUEDE NO REALIZAR LAS MISMAS
TÉCNICAS DETALLADAS DE AUDITORÍA CONTINUA

103. EN LAS ÁREAS DONDE LA GERENCIA NO HA IMPLEMENTADO MONITOREO CONTINUO,
LOS AUDITORES DEBEN REALIZAR PRUEBAS DE CUMPLIMIENTO EXTENSIVAS
MEDIANTE EL USO DE TÉCNICAS DE AUDITORÍA CONTINUA.
DONDE LA PRIMERA O SEGUNDA LÍNEA DE DEFENSA REALIZA MONITOREO CONTINUO
DE FORMA INTEGRAL CON PRUEBAS “DE EXTREMO A EXTREMO” SOBRE PROCESOS
DE NEGOCIO, LA AUDITORÍA INTERNA PUEDE NO REALIZAR LAS MISMAS TÉCNICAS
DETALLADAS DE AUDITORÍA CONTINUA. EN LUGAR DE ELLO, LOS AUDITORES
DEBERÍAN EJECUTAR PROCEDIMIENTOS PARA DETERMINAR SI EL PROCESO DE
MONITOREO CONTINUO ES CONFIABLE.
TALES PROCEDIMIENTOS INCLUYEN:
1. REVISIÓN DE LAS ANOMALÍAS DETECTADAS Y GESTIÓN DE RESPUESTA.
2. REVISIÓN DE LOS ACUERDOS DE LA GERENCIA EN CUANTO A PROMULGAR Y
MANTENER PLANES CORRECTIVOS.
3. REVISIÓN Y PRUEBAS DE LOS CONTROLES SOBRE EL PROCESO DE MONITOREO
CONTINUO EN SÍ MISMO, COMO SON:
3.1 SEGURIDAD.
3.2 CONTROL DE CAMBIOS
3.3 OPERACIONES DE TI

104. 1. EN SU CONCEPCIÓN MÁS AMPLIA, EL
MONITOREO ES UNA HERRAMIENTA
DE GESTIÓN Y DE SUPERVISIÓN
PARA CONTROLAR EL AVANCE DE
LOS PROYECTOS, PROGRAMAS O
PLANES EN EJECUCIÓN, EL CUAL
PROPORCIONA INFORMACIÓN
SISTEMÁTICA, UNIFORME Y FIABLE,
PERMITIENDO COMPARAR LOS
RESULTADOS CON LO QUE SE
PLANIFICÓ.
2. A DIFERENCIA DE LA SUPERVISIÓN,
EL MONITOREO SE PUEDE EFECTUAR
CON EL ANÁLISIS DE LA
INFORMACIÓN, ENVIADA POR LOS
DIFERENTES NIVELES, SIN IR AL
TERRENO.
3. SU OBJETIVO ES IDENTIFICAR
LOGROS Y PROBLEMAS, DETERMINAR
SU IMPORTANCIA, ANALIZAR SUS
CAUSAS, Y ADOPTAR MEDIDAS
PERTINENTES EN FORMA INMEDIATA.

107. DESDE HACE UN TIEMPO SE HABLA DEL CONCEPTO DE “AUDITORÍA CONTINUA Y MONITOREO
CONTINUO”, TANTO EN LOS CONGRESOS DE AUDITORES, DE CONTROL INTERNO O EN LAS AULAS Y
LA IMPORTANCIA DE ESTO, ES QUE AYUDA A IDENTIFICAR ILÍCITOS O DEFICIENCIAS DE CONTROL
DE FORMA MÁS RÁPIDA Y ANTES DE QUE UN RIESGO SE MATERIALICE CON IMPACTO ALTO EN LA
ORGANIZACIÓN, PARA QUE ESTO NO AFECTE EL INCREMENTO DEL VALOR.
TODAS LAS OPERACIONES SE RIGEN POR NORMAS Y LEYES EMITIDAS POR DIVERSOS ENTES
REGULADORES Y LOS DATOS DEBEN TAMBIÉN CUMPLIR CON ESAS NORMAS, ELLO HACE NECESARIO
LA INCORPORACIÓN DEL MONITOREO CONTINUO DE CUMPLIMIENTO EN LA AUDITORÍA CONTINUA.
SE HA DEFINIDO QUE LA AUDITORÍA CONTINUA ES EL USO DE MÉTODOS DE AUDITORÍA PARA
REALIZAR UNA AUDITORÍA DE DATOS, EVALUACIÓN DE CONTROLES, DE RIESGOS Y DE
CUMPLIMIENTO DE FORMA CONTINUA.
EN CAMBIO, EL MONITOREO CONTINUO ES EL PROCESO PUESTO EN MARCHA POR LA GERENCIA
PARA ASEGURAR QUE LOS PROCESOS DEL NEGOCIO ESTÁN OPERANDO EFICIENTEMENTE, Y QUE SE
ESTÁN CUMPLIENDO LAS POLÍTICAS Y PROCEDIMIENTOS DISEÑADOS POR ELLA.
PARA LIBERAR TODO EL POTENCIAL DE LA AUDITORÍA CONTINUA SE DEBE COORDINAR CON LOS
PROGRAMAS DE MONITOREO CONTINUOS REALIZADOS POR LAS FUNCIONES OPERATIVAS Y DE
SUPERVISIÓN DE LAS GERENCIAS DE LA ORGANIZACIÓN.
EL OBJETIVO ES LA OBTENCIÓN DE EVIDENCIA DE AUDITORÍA CON UN ENFOQUE REPETITIVO Y
SOSTENIBLE, REDISEÑANDO PROCESOS Y HACIENDO USO EXTENSIVO DE LA TECNOLOGÍA, A FIN
QUE LA GERENCIA PUEDE MEJORAR PROCESOS, IMPLEMENTAR CURSOS DE ACCIÓN CORRECTIVA,
GESTIONAR RIESGOS Y ASEGURARSE DE MEJOR MANERA QUE LA ENTIDAD PUEDA LOGRAR SUS
OBJETIVOS.
LA AUDITORÍA CONTINUA Y EL MONITOREO CONTINUO DE LOS MODELOS DE CONTROL INTERNO
(MCI), DE LA GESTIÓN INTEGRAL DE RIESGOS (ERM) Y DE LA GESTIÓN DE CUMPLIMIENTO DE LEYES
Y REGULACIONES ESTÁN BAJO EL PARAGUAS DE LA GOBERNABILIDAD CORPORATIVA DE LAS
ORGANIZACIONES.

108. LA AUDITORÍA CONTINUA PROPORCIONA UNA MANERA DE IDENTIFICAR
INDICADORES DE RIESGO Y EVALUAR LOS PARÁMETROS DE RIESGO A
TRAVÉS DE LAS OPERACIONES DE TI, APLICACIONES DE TI Y PROCESOS
DE NEGOCIO MEDIANTE SISTEMAS DE ANÁLISIS DE GTAG – RESUMEN
EJECUTIVO
CAMBIOS, SEGURIDAD, INCIDENTES, DESVÍOS Y TRANSACCIONES.
LA AUDITORÍA CONTINUA MEJORA LA CAPACIDAD DE LOS AUDITORES
INTERNOS PARA OPINAR SOBRE LA DISPONIBILIDAD Y UTILIDAD DE LOS
DATOS, COMPRENDER LOS CONTROLES DE LAS APLICACIONES Y
OPTIMIZAR LOS PROCESOS DE NEGOCIO AUTOMATIZÁNDOLOS. CUANDO
SE IMPLEMENTA DE MANERA EFECTIVA, LA AUDITORÍA CONTINUA:
▪ SE CENTRA EN OBJETIVOS Y AFIRMACIONES DE AUDITORÍA TALES
COMO INTEGRIDAD, EXACTITUD, Y AUTORIZACIÓN PARA DETERMINAR
LA CONFIABILIDAD DE LA INFORMACIÓN UTILIZADA PARA LA TOMA DE
DECISIONES.
▪ PUEDE DETECTAR NUEVAS ÁREAS DE DEBILIDADES EN RIESGOS Y
CONTROLES.
BAJO EL MARCO BÁSICO DE ASEGURAMIENTO CONTINUO, NO SE
PRODUCE SUPERPOSICIÓN ENTRE AUDITORÍA CONTINUA Y MONITOREO
CONTINUO Y LA AUDITORÍA CONTINUA SE PUEDE REALIZAR INCLUSO SI
EL MONITOREO CONTINUO NO EXISTE EN LA PRIMERA Y SEGUNDA LÍNEA
DE DEFENSA.
SIN EMBARGO, EXISTEN OPORTUNIDADES PARA EL MONITOREO
CONTINUO EN CUALQUIER SITIO QUE EXISTAN OPORTUNIDADES PARA LA
AUDITORÍA CONTINUA.
PUEDE EXISTIR UNA OPORTUNIDAD PARA UNA OBSERVACIÓN O
RECOMENDACIÓN DE AUDITORÍA SI LAS OPORTUNIDADES DE MONITOREO
CONTINUO ESTÁN PRESENTES PERO NO ESTÁN SIENDO APROVECHADAS
POR LA GERENCIA DE LÍNEA.

109. • ES UN PROCESO QUE
IMPLEMENTA LA ALTA
DIRECCIÓN DE LA
ENTIDAD PARA
GARANTIZAR QUE LAS
POLÍTICAS, LOS
PROCEDIMIENTOS Y LOS
PROCESOS FUNCIONEN
EFICAZMENTE.
• LA DIRECCIÓN
IDENTIFICA LOS PUNTOS
DE CONTROL CRÍTICO E
IMPLEMENTA PRUEBAS
AUTOMATIZADAS PARA
DETERMNAR SI ESOS
CONTROLES ESTÁN
FUNCIONANDO COMO
CORRESPONDE.

113. 1. EL CONTEXTO HA CAMBIADO: REVISIÓN
(COMPROBACIÓN 100%), [SIGLO 20: PRIMERA
MITAD]
2. ATESTACIÓN (FE PÚBLICA) [SIGLO 20: SEGUNDA
MITAD]
3. ASEGURAMIENTO (INTERÉS PÚBLICO), [SIGLO 21]
HAY DISTINTOS NIVELES EN LOS SERVICIOS
PROFESIONALES
▪ ASEGURAMIENTO ALTO: AUDITORÍA DE
ESTADOS FINANCIEROS
▪ ASEGURAMIENTO MEDIO: REVISIÓN Y OTROS
SERVICIOS DE ASEGURAMIENTO
4. AHORA LA METODOLOGÍA ES ADMINISTRACIÓN
DE RIESGOS:
a. BASADA EN RIESGOS.
b. DESDE ARRIBA HACIA ABAJO.
c. CONTROLES A NIVEL DE ENTIDAD.
d. ADIÓS AL MUESTREO SELECTIVO (SU
INCLUSIÓN EN LAS NORMAS
INTERNACIONALES DE AUDITORÍA – ISA, ES
UNA FALLA).

114. BAJO EL MARCO BÁSICO DE
ASEGURAMIENTO CONTINUO, NO SE
PRODUCE SUPERPOSICIÓN ENTRE
AUDITORÍA CONTINUA Y MONITOREO
CONTINUO Y LA AUDITORÍA CONTINUA SE
PUEDE REALIZAR INCLUSO SI EL
MONITOREO CONTINUO NO EXISTE EN LA
PRIMERA Y SEGUNDA LÍNEA DE DEFENSA.
SIN EMBARGO, EXISTEN OPORTUNIDADES
PARA EL MONITOREO CONTINUO EN
CUALQUIER SITIO QUE EXISTAN
OPORTUNIDADES PARA LA AUDITORÍA
CONTINUA.
PUEDE EXISTIR UNA OPORTUNIDAD PARA
UNA OBSERVACIÓN O RECOMENDACIÓN DE
AUDITORÍA SI LAS OPORTUNIDADES DE
MONITOREO CONTINUO ESTÁN PRESENTES
PERO NO ESTÁN SIENDO APROVECHADAS
POR LA GERENCIA DE LÍNEA.

115. EL ASEGURAMIENTO SE PUEDE DESCRIBIR COMO UNA OPINIÓN QUE SE OFRECE A UN
TERCERO SOBRE DETERMINADA SITUACIÓN. EN GENERAL, INVOLUCRA A TRES PARTES:
1. LA PERSONA O EL GRUPO QUE PREPARA LA INFORMACIÓN.
2. LA PERSONA O EL GRUPO QUE UTILIZA LA INFORMACIÓN PARA TOMAR DECISIONES.
3. EL TERCERO OBJETIVO.
CON FRECUENCIA, EL ASEGURAMIENTO SE CONSIDERA UNA ACTIVIDAD ESTRICTAMENTE
RELACIONADA CON LA AUDITORÍA, EN GENERAL, DE NATURALEZA FINANCIERA. SIN EMBARGO,
OTROS PROFESIONALES, COMO LOS INVOLUCRADOS EN EL ÁMBITO LEGAL, TAMBIÉN BRINDAN
SERVICIOS DE ASEGURAMIENTO.
EL ASEGURAMIENTO DE AUDITORÍA ES UNA DECLARACIÓN SOBRE LA IDONEIDAD Y EFICACIA
DE LOS CONTROLES Y LA INTEGRIDAD DE LA INFORMACIÓN.
LA SUPERVISIÓN CONTINUA DE LOS CONTROLES POR PARTE DE LA DIRECCIÓN ES EL NÚCLEO
DE LAS ESTRATEGIAS DE ASEGURAMIENTO EFECTIVAS; NO OBSTANTE, LA ACTIVIDAD DE
AUDITORÍA TAMBIÉN DEBE ASEGURAR QUE LAS ACTIVIDADES DE LA DIRECCIÓN SEAN
ADECUADAS Y EFICACES.
LA AUDITORÍA INTERNA OFRECE SERVICIOS DE ASEGURAMIENTO REALIZANDO EXÁMENES
OBJETIVOS DE EVIDENCIA A FIN DE BRINDAR UNA EVALUACIÓN INDEPENDIENTE DE LAS
ESTRATEGIAS Y LAS PRÁCTICAS DE GESTIÓN DE RIESGOS, LOS ENFOQUES Y LAS PRÁCTICAS
DE CONTROL DE GESTIÓN, Y LA INFORMACIÓN UTILIZADA PARA LA TOMA DE DECISIONES Y
LOS INFORMES.
EL ASEGURAMIENTO CONTINUO SE PUEDE OFRECER CUANDO LOS AUDITORES REALIZAN UNA
EVALUACIÓN CONTINUA DE RIESGOS Y CONTROLES (ES DECIR, UNA AUDITORÍA CONTINUA) Y
EVALÚAN LA IDONEIDAD DE LAS ACTIVIDADES DE SUPERVISIÓN CONTINUA DE LA DIRECCIÓN.

116. LOS AUDITORES EXAMINAN LAS
ACTIVIDADES QUE REALIZA LA DIRECCIÓN,
VERIFICAN EL FUNCIONAMIENTO DE LOS
CONTROLES, RECOMIENDAN CAMBIOS Y
GARANTIZAN QUE EL RIESGO SE
GESTIONE.
SI LOS AUDITORES LLEVAN A CABO SU
TRABAJO; REVISANDO Y VERIFICANDO LOS
CONTROLES Y RIESGOS, Y ASEGURÁNDOSE
DE QUE LA DIRECCIÓN REALICE SU
TRABAJO DE SUPERVISIÓN; LA
ORGANIZACIÓN TENDRÁ UN NIVEL DE
ASEGURAMIENTO MÁS ELEVADO RELATIVO
AL FUNCIONAMIENTO DE LOS CONTROLES,
A LA GESTIÓN DE RIESGOS Y A LA
INTEGRIDAD DE LA
INFORMACIÓN UTILIZADA PARA LA TOMA
DE DECISIONES.
LA DIRECCIÓN DESEMPEÑA UN PAPEL EN
LA ECUACIÓN DE ASEGURAMIENTO
DESARROLLANDO, DISEÑANDO Y
SUPERVISANDO LOS CONTROLES, Y
GESTIONANDO LOS RIESGOS.

118. EN ALGUNOS CASOS, LOS AUDITORES INTERNOS
PUEDEN ESTRATÉGICAMENTE COLABORAR CON
LAS FUNCIONES DE QUIENES SON PROPIETARIOS Y
GESTIONAN LOS RIESGOS Y CONTROLES (PRIMERA
LÍNEA DE DEFENSA) Y LAS FUNCIONES QUE
SUPERVISAN LOS RIESGOS Y CONTROLES
(SEGUNDA LÍNEA DE DEFENSA), AYUDANDO A
ESTABLECER PROCESOS DE GESTIÓN DE RIESGOS Y
CONTROLES.
EL ASEGURAMIENTO CONTINUO SE OPTIMIZA
CUANDO LAS TÉCNICAS DE AUDITORÍA CONTINUA
BASADAS EN TECNOLOGÍA SON ADOPTADAS PARA
SU USO EN LOS ESFUERZOS DE MONITOREO
CONTINUO DE LAS PRIMERAS Y SEGUNDAS LÍNEAS
DE DEFENSA, Y AQUELLOS ESFUERZOS DE
MONITOREO CONTINUO SERÁN CONFIABLES Y
SENSIBLES AL RIESGO.
CUANDO LAS TÉCNICAS DE AUDITORÍA CONTINUA
SON ADOPTADAS POR LA GERENCIA PARA EL
MONITOREO CONTINUO, SE INTRODUCE UNA
DELGADA LÍNEA DE DIFERENCIACIÓN, PORQUE HAY
UNA PROBABLE SUPERPOSICIÓN ENTRE EL
MONITOREO CONTINUO Y LA AUDITORÍA CONTINUA
Y ENTRE LA SEGUNDA Y TERCERA LÍNEAS DE
DEFENSA. CUANDO LAS TÉCNICAS DE AUDITORÍA
CONTINUA SE ESTÁN TRANSFIRIENDO A LA
GERENCIA DEBEN TOMARSE RESGUARDOS PARA
ASEGURAR QUE LOS AUDITORES NO ASUMAN UN
ROL DE “DUEÑO” RESPECTO DEL MONITOREO
CONTINUO, LO QUE CUAL PUEDE AFECTAR SU
OBJETIVIDAD.

120. EL ASEGURAMIENTO CONTINUO SE
LOGRA MEDIANTE LAS SIGUIENTES
ACTIVIDADES DE AUDITORÍA INTERNA:
1. PRUEBAS DEL MONITOREO
CONTINUO DE LAS PRIMERA Y
SEGUNDA LÍNEA DE DEFENSA.
2. AUDITORÍA CONTINUA.

121. EL ASEGURAMIENTO DE AUDITORÍA ES
UNA DECLARACIÓN SOBRE LA
IDONEIDAD Y EFICACIA DE LOS
CONTROLES, Y LA INTEGRIDAD DE LA
INFORMACIÓN.
PUEDE CONSIDERARSE COMO LA
OPINIÓN QUE SE BRINDA A UN TERCERO
CON RESPECTO A DETERMINADA
SITUACIÓN:
1. UNA TRANSACCIÓN ESPECÍFICA,
2. UN PROCESO DE NEGOCIO O DE
GOBIERNO,
3. UN RIESGO
4. EL DESEMPEÑO FINANCIERO GLOBAL
DE UNA OPERACIÓN DE NEGOCIO.

126. LA SUPERVISIÓN CONTINUA SE REFIERE A LOS PROCESOS QUE LA DIRECCIÓN IMPLEMENTA PARA
GARANTIZAR QUE LAS POLÍTICAS, LOS PROCEDIMIENTOS Y LOS PROCESOS DE NEGOCIO FUNCIONEN
EFICAZMENTE.
EN GENERAL, IMPLICA LA RESPONSABILIDAD DE LA DIRECCIÓN EN CUANTO A EVALUAR LA
IDONEIDAD Y EFICACIA DE LOS CONTROLES.
MUCHAS DE LAS TÉCNICAS QUE UTILIZA LA DIRECCIÓN PARA SUPERVISAR LOS CONTROLES EN
FORMA CONTINUA SON SIMILARES A LAS APLICADAS POR LOS AUDITORES INTERNOS EN LA
AUDITORÍA CONTINUA.
LOS PRINCIPIOS DE LA SUPERVISIÓN CONTINUA SON SENCILLOS E INCLUYEN LOS SIGUIENTES
COMPONENTES:
1. DEFINIR LOS PUNTOS DE CONTROL DE UN PROCESO DE NEGOCIO DETERMINADO, SI ES POSIBLE,
DE ACUERDO CON EL ENFOQUE DE COSO ERM.
2. IDENTIFICAR LOS OBJETIVOS DE CONTROL Y LAS AFIRMACIONES DE ASEGURAMIENTO PARA
CADA PUNTO DE CONTROL.
3. ESTABLECER UNA SERIE DE PRUEBAS AUTOMATIZADAS PARA INDICAR SI ES PROBABLE QUE
ALGUNA TRANSACCIÓN NO HAYA CUMPLIDO CON TODOS LOS OBJETIVOS DE CONTROL Y LAS
AFIRMACIONES DE ASEGURAMIENTO PERTINENTES.
4. SOMETER TODAS LAS TRANSACCIONES A UN CONJUNTO DE PRUEBAS EN UN PUNTO CERCANO
AL MOMENTO EN EL QUE OCURRE LA TRANSACCIÓN.
5. INVESTIGAR TODAS LAS TRANSACCIONES QUE NO HAYAN PASADO ALGUNA PRUEBA DE
CONTROL.
6. SI CORRESPONDE, CORREGIR LA TRANSACCIÓN.
7. SI CORRESPONDE, CORREGIR LA DEBILIDAD DE CONTROL.

127. LA CLAVE DE LA SUPERVISIÓN CONTINUA ES
QUE EL PROCESO DEBE ESTAR A CARGO DE Y
SER EJECUTADO POR LA DIRECCIÓN, COMO
PARTE DE SU RESPONSABILIDAD HACIA LA
IMPLEMENTACIÓN Y EL MANTENIMIENTO DE
SISTEMAS DE CONTROL EFICAZ.
COMO LA DIRECCIÓN ES RESPONSABLE DE LOS
CONTROLES INTERNOS, DEBE DISPONER DE
MEDIOS PARA DETERMINAR EN FORMA
PERMANENTE SI LOS CONTROLES ESTÁN
FUNCIONANDO COMO CORRESPONDE.
AL IDENTIFICAR Y CORREGIR PROBLEMAS DE
CONTROL DE MANERA OPORTUNA, SE PUEDE
MEJORAR EL SISTEMA DE CONTROL GENERAL.
OTRO BENEFICIO HABITUAL PARA LA
ORGANIZACIÓN ES QUE SE REDUCEN
CONSIDERABLEMENTE LOS CASOS DE ERROR Y
DE FRAUDE, SE INCREMENTA LA EFICIENCIA
OPERATIVA Y SE MEJORAN LOS RESULTADOS
FINALES GRACIAS A UNA COMBINACIÓN DE
AHORRO EN LOS COSTOS Y A UNA REDUCCIÓN
DE LOS SOBREPAGOS Y FUGAS DE INGRESOS.

128. ES UN PROCESO DE ASESORÍA TÉCNICA, DONDE EL SUPERVISOR:
1. RECOPILA INFORMACIÓN PARA OBTENER INFORMACIÓN ACTUALIZADA SOBRE LOS
LOGROS OBTENIDOS Y LAS DIFICULTADES IDENTIFICADAS.
2. ANALIZA EL DESARROLLO DE LAS ACTIVIDADES Y LAS COMPARA CON LAS METAS
Y EL PLAN DE TRABAJO, Y
3. TOMA, SI ES NECESARIO, ACCIONES CORRECTIVAS O COMPLEMENTARIAS PARA
LOGRAR LOS OBJETIVOS Y METAS, Y MEJORAR EL RENDIMIENTO DE LAS
ACTIVIDADES.
4. LA SUPERVISIÓN NO ESTÁ CIRCUNSCRITA A UNA SOLA PERSONA, SINO QUE DEBE
SER REALIZADA POR TODOS LOS RECURSOS HUMANOS DE LA ORGANIZACIÓN DE
ACUERDO AL MOMENTO, A LAS NECESIDADES, Y AL DESARROLLO DEL PLAN ANUAL
INSTITUCIONAL.
5. SE REALIZA EN PERIODOS DE TIEMPO CORTOS, EN FORMA CONTINUA Y PUNTUAL.
6. PARA EL PLAN ANUAL INSTITUCIONAL ES NECESARIO QUE LA SUPERVISIÓN SE
REALICE CON PERIODICIDAD MENSUAL COMO MÍNIMO, DE MANERA QUE SI
EXISTEN PROBLEMAS SE PUEDAN DETECTAR TEMPRANAMENTE.
7. HAY DIFERENTES CIRCUNSTANCIAS QUE MUCHAS VECES DIFICULTAN O IMPIDEN
QUE LA SUPERVISIÓN SE EFECTÚE MENSUALMENTE, PERO SE DEBEN HACER
TODOS LOS ESFUERZOS NECESARIOS PARA LOGRARLO A NIVEL LOCAL, YA QUE
ESTO ES UN PROCESO DE CAPACITACIÓN DEL RECURSO HUMANO.

129. LA SUPERVISIÓN MEJORA EL DESEMPEÑO
PRIMERO:
MEDIR EL DESEMPEÑO
ACTUAL
SEGUNDO
COMPARA EL
DESEMPEÑO DE LAS
FUNCIONES EN
RELACIÓN CON LAS
NORMAS Y METAS.
TERCERO
TOMAR MEDIDAS
GERENCIALES
METAS Y
OBJETIVOS
➢ ORGANIZACIÓN.
➢ PLANES.

130. EXISTE UNA RELACIÓN INVERSA ENTRE LA IDONEIDAD DE LAS
ACTIVIDADES DE GESTIÓN DE RIESGOS Y DE SUPERVISIÓN QUE
REALIZA LA DIRECCIÓN, Y EL ALCANCE DE LAS PRUEBAS
DETALLADAS DE CONTROLES Y EVALUACIONES DE RIESGOS QUE
DEBEN REALIZAR LOS AUDITORES.
EL ENFOQUE Y EL GRADO DE LA AUDITORÍA CONTINUA QUE
APLICA LA ACTIVIDAD DE AUDITORÍA DEPENDEN DEL GRADO DE
IMPLEMENTACIÓN DE LA SUPERVISIÓN CONTINUA A CARGO DE
LA DIRECCIÓN.
EN LAS ÁREAS EN LAS CUALES LA DIRECCIÓN NO HAYA
IMPLEMENTADO UNA SUPERVISIÓN CONTINUA, LOS AUDITORES
DEBEN REALIZAR PRUEBAS DETALLADAS MEDIANTE TÉCNICAS
DE AUDITORÍA CONTINUA.
EN ALGUNOS CASOS, LOS AUDITORES INCLUSO PUEDEN
DESEMPEÑAR UN PAPEL PROACTIVO ASISTIENDO A LA
ORGANIZACIÓN EN EL ESTABLECIMIENTO DE PROCESOS DE
GESTIÓN DE RIESGOS Y EVALUACIÓN DE CONTROL.
SIN EMBARGO, SE DEBE PRESTAR ATENCIÓN PARA ASEGURARSE
DE QUE LOS AUDITORES NO ASUMAN UN ROL DE PROPIEDAD
SOBRE ESTOS PROCESOS, YA QUE PODRÍAN COMPROMETER SU
INDEPENDENCIA Y OBJETIVIDAD.
EN LOS CASOS EN QUE LA DIRECCIÓN REALIZA UNA
SUPERVISIÓN CONTINUA EN FUNCIÓN DE UNA BASE INTEGRAL
EN LAS ÁREAS DE PROCESO DE NEGOCIO PUNTO A PUNTO, LA
ACTIVIDAD DE AUDITORÍA INTERNA YA NO NECESITA APLICAR
LAS MISMAS TÉCNICAS DETALLADAS QUE, DE OTRO MODO,
UTILIZARÍA EN LA AUDITORÍA CONTINUA.