Este documento describe los pasos para planificar y programar auditorías. Explica que la planificación incluye desarrollar un plan de trabajo para cada proceso auditado que especifique el alcance, objetivos, tiempo y recursos asignados. También cubre prepararse para comprender el proceso a través de reuniones iniciales y evaluaciones de riesgos y controles clave. El objetivo es contribuir al cumplimiento de los objetivos de la organización a través de una auditoría efectiva.
2.
2
Tabla
de
contenido
Introducción
..........................................................................................................................................
3
Planificación
del
Trabajo
.......................................................................................................................
4
Preparación
para
el
entendimiento
del
proceso...............................………………………………………………….6
3.
3
INTRODUCCIÓN
Como
ya
hemos
señalado
en
anteriores
documentos,
la
metodología
de
Auditool
se
divide
en
cinco
fases
y
en
esta
etapa
revisaremos
la
Fase
III,
la
correspondiente
a
la
Ejecución
del
Plan
de
Auditoría.
Esta
tercera
fase
de
la
metodología
Auditool,
se
fundamenta
en
las
siguientes
Normas:
2200
–
Planificación
del
Trabajo
2210
–
Objetivos
del
Trabajo
2220
–
Alcance
del
trabajo
2230
–
Asignación
de
Recursos
para
el
trabajo
2240
–
Programa
de
Trabajo
2300
–
Desempeño
del
Trabajo
2310
–
Identificación
de
la
Información
2320
–
Análisis
y
Evaluación
2330
–
Documentación
de
la
Información
2340
–
Supervisión
del
Trabajo
Una
vez
finalizada
la
etapa
de
planificación
y
aprobación
del
correspondiente
Plan
de
Auditoría
por
parte
del
Comité
de
Auditoría,
iniciamos
la
etapa
de
Ejecución
de
dicho
Plan,
en
la
que
debemos
interesarnos,
en
primer
lugar,
por
la
planificación
y
la
programación
de
las
auditorías
incluidas
en
dicho
Plan.
4.
4
2200
–
Planificación
del
Trabajo
Según
la
definición
establecida
en
la
Norma
Internacional
de
Auditoría
2200:
“Los
auditores
internos
deben
elaborar
y
documentar
un
plan
para
cada
trabajo,
que
incluya
su
alcance,
objetivos,
tiempo
y
asignación
de
recursos”
De
acuerdo
al
cronograma
de
procesos
a
ser
auditados
según
el
Plan
de
Auditoría,
el
Director
de
Auditoría
Interna
debe
dar
inicio
al
desarrollo
del
plan
de
trabajo
que
corresponde
a
cada
uno
de
los
procesos
a
revisar
y
para
lo
cual
detallamos
algunas
actividades
que
permiten
formalizar
el
inicio
de
la
auditoría
según
nuestra
fase
de
lineamientos
y
lo
establecido
en
la
siguiente
Norma:
2201
–
Consideraciones
sobre
la
planificación:
“Al
planificar
el
trabajo,
los
auditores
internos
deben
considerar:
• Los
objetivos
de
la
actividad
que
está
siendo
revisada
y
los
medios
con
los
cuales
la
actividad
controla
su
desempeño;
• Los
riesgos
significativos
de
la
actividad,
sus
objetivos,
recursos
y
operaciones,
y
los
medios
con
los
cuales
el
impacto
potencial
del
riesgo
se
mantiene
a
un
nivel
aceptable;
• La
adecuación
y
eficacia
de
los
procesos
de
gestión
de
riesgos
y
control
de
la
actividad
comparados
con
un
enfoque
o
modelo
de
control
relevante.
• La
oportunidad
de
introducir
mejoras
significativa
en
los
procesos
de
gestión
de
riesgos
y
control
de
la
actividad.
Para
poder
dar
cumplimiento
a
las
consideraciones
establecidas
en
la
Norma
internacional
sobre,
la
planificación
del
trabajo
debemos
empezar
por
realizar
la
reunión
de
apertura
de
formalización
de
la
Auditoría,
continuar
con
la
etapa
de
entendimiento
del
proceso,
realizar
la
correspondiente
evaluación
de
riesgos
vs
controles
claves
del
proceso,
así
como
evaluar
la
Apertura
de
la
Auditoría
1
Es
fundamental
que
se
realicen
reuniones
de
inicio
con
el
dueño
del
proceso
en
donde
se
sigan
los
correspondientes
protocolos
de
comunicación,
formalizando
así
el
inicio
de
la
auditoría
y
ofreciendo
nuestro
acompañamiento
como
un
área
de
apoyo,
de
tal
forma
que
nos
puedan
compartir
los
aspectos
que
el
dueño
del
proceso
considera
son
críticos
en
su
trabajo.
Nuestra
actitud
como
auditores
debe
orientarse
a
brindar
confianza
al
auditado,
pues
nuestro
objetivo
es
contribuir
al
cumplimiento
de
sus
objetivos
y
así
a
los
de
la
organización.
1
El
Auditor
de
acuerdo
al
proceso
y
a
la
estructura
de
la
organización,
debe
evaluar
si
es
necesario
hacer
más
de
una
reunión
con
el
dueño
del
proceso
durante
la
etapa
de
inicio.
5.
5
En
estas
reuniones
se
deberá
indagar
al
mayor
nivel
de
detalle
los
objetivos
del
área,
los
riesgos
identificados,
los
proyectos
tecnológicos
en
los
que
trabaja,
el
nivel
de
componentes
tecnológicos
del
proceso,
la
estructura
del
área,
entre
otros.
Es
importante
no
confundir
la
reunión
sostenida
en
la
etapa
de
planeación
con
la
reunión
de
apertura
a
la
ejecución
de
auditoría,
pues
si
bien
en
la
primera
conocimos
el
área
para
analizar
el
nivel
de
riesgo
que
representa
para
la
organización,
en
la
segunda
estamos
formalizando
el
inicio
de
nuestro
trabajo
en
dicha
área,
así
como
también
puede
ocurrir
que
entre
el
tiempo
transcurrido
de
la
etapa
de
planeación
y
la
ejecución
de
la
auditoría
se
hayan
presentado
cambios
que
no
se
encuentran
registrados
en
nuestro
conocimiento
obtenido
en
la
etapa
de
planeación.
A
dicha
reunión
debemos
ir
lo
suficientemente
documentados,
por
lo
cual
podemos
acudir
a
fuentes
tales
como:
• Resumen
de
la
reunión
de
planificación.
• Organigrama.
• Informes
de
Auditoría
de
años
anteriores.
• Políticas
y
procedimientos.
• Noticias
de
la
industria.
Igualmente
durante
esta
primera
reunión
podemos
entender
cómo
funciona
el
proceso
en
su
nivel
básico,
identificando
los
funcionarios
claves
en
el
proceso
y
con
quienes
posteriormente
nos
debemos
entrevistar
para
conocer
en
mayor
detalle
el
proceso
auditado.
Durante
dicha
reunión
se
puede
realizar
la
presentación
de
los
funcionarios
que
lideran
el
equipo
de
Auditoría,
sin
realizar
la
presentación
oficial
de
todo
el
equipo
de
trabajo,
pues
de
acuerdo
al
nivel
de
riesgos
y
complejidad
del
proceso,
la
asignación
de
recursos
se
debe
realizar
una
vez
se
tenga
el
entendimiento
de
todo
el
proceso.
Sin
embargo
la
metodología
Auditool
sugiere
que
el
Director
de
Auditoría
evalué
si
de
acuerdo
al
proceso
auditado,
es
viable
en
la
primera
reunión
realizar
la
presentación
de
todo
el
equipo
asignado
a
dicho
proyecto,
o
si
es
necesario
realizar
una
segunda
reunión
antes
de
la
ejecución
formal
de
las
pruebas
de
auditoría.
En
todo
caso
lo
más
importante
es
propender
por
dar
cumplimiento
a
la
siguiente
Norma:
2230
–
Asignación
de
recursos
para
el
trabajo.
Los
auditores
internos
deben
determinar
los
recursos
adecuados
y
suficientes
para
lograr
los
objetivos
del
trabajo,
basándose
en
una
evaluación
de
la
naturaleza
y
complejidad
de
cada
trabajo,
las
restricciones
de
tiempo
y
los
recursos
disponibles.
Así
mismo
durante
esta
primera
reunión
es
fundamental
para
el
auditor
explicarle
al
dueño
del
proceso
y
a
los
funcionarios
claves,
el
método
utilizado
para
el
requerimiento
de
información
(funcionario
al
que
se
le
hace
el
requerimiento,
medio
de
solicitud,
forma
de
entrega,
entrega
de
la
información
que
efectivamente
se
está
solicitando
y
no
de
otra)
así
como
incluir
los
acuerdos
de
tiempos
para
la
entrega
de
la
información
solicitada
y
los
cuales
deberán
ser
razonables
para
las
dos
partes,
de
tal
forma
que
se
pueda
dar
cumplimiento
con
los
programas
de
auditoría
a
realizar.
Igualmente
se
sugiere
revisar
los
horarios
más
favorables
para
realizar
las
reuniones
de
entendimiento
y
validación
a
las
que
haya
lugar.
6.
6
La
anterior
coordinación
de
actividades
es
clave
para
el
éxito
del
trajo
del
auditor,
dado
que
en
muchas
ocasiones
hemos
escuchado
“nosotros
no
trabajamos
solo
para
la
auditoría”,
por
lo
cual
realizar
dichos
acuerdos
hará
que
el
auditado
sienta
que
efectivamente
estamos
respetando
la
operación
de
su
proceso,
que
entendemos
las
múltiples
labores
del
día
a
día,
pero
que,
también,
requerimos
la
colaboración
de
todo
su
equipo
de
trabajo
para
el
éxito
de
nuestra
vista
y
el
cumplimiento
de
nuestros
objetivos,
pues
es
claro
que
si
no
nos
entregan
la
información
de
forma
oportuna,
nos
entregan
lo
que
no
es
requerido
o
sin
ningún
orden,
en
cuyo
caso
deberemos
incurrir
en
mayores
tiempos
a
los
inicialmente
programados.
Al
finalizar
la
reunión
debemos
tener
claramente
identificados
los
objetivos
del
proceso,
la
normatividad
que
regula
sus
operaciones,
los
niveles
de
reporte
que
debe
tener
y
el
nivel
de
salvaguarda
de
los
activos.
Así
mismo
puede
ocurrir
que
dentro
de
esta
reunión
solicitemos
el
apoyo
en
la
generación
de
reportes
que
pueden
contribuir
como
fuente
de
información
en
la
definición
del
alcance
que
podemos
tener;
ejemplo,
ventas
del
último
año
y
devoluciones
realizadas
en
el
mismo
período
de
tiempo.
Lo
anterior
nos
permitiría
conocer
el
porcentaje
de
las
devoluciones
sobre
las
ventas
y
poder
visualizar
un
posible
problema
en
dicho
proceso
que
requiera
una
mayor
atención
en
el
trabajo
a
realizar.
La
anterior
reunión
deberá
documentarse
para
formalizar
los
acuerdos
establecidos
con
el
cliente.
Preparación
para
el
Entendimiento
del
Proceso
Una
vez
identificados
los
responsables
claves
del
proceso
y
teniendo
como
único
fin
entender
el
funcionamiento
del
proceso
a
revisar
dentro
del
marco
de
controles
definidos
por
la
organización,
así
como
de
acuerdo
a
la
evaluación
de
riesgos
realizada
por
Auditoría,
los
funcionarios
lideres
proceden
a
realizar
la
programación
de
entrevistas
para
obtener
el
entendimiento
del
proceso
con
los
funcionarios
claves.
Para
dicho
entendimiento
es
recomendable
documentarnos
con:
Ø Las
Políticas
y
procedimientos
de
la
organización.
Ø Las
mejores
prácticas
definidas
para
el
proceso
objeto
de
nuestra
reunión.
Ø Estadísticas
del
proceso.
Con
la
anterior
información
es
recomendable
preparar
un
cuestionario
de
preguntas
claves,
que
consideramos
debemos
validar
para
tener
un
mejor
entendimiento
del
proceso.
La
etapa
de
entendimiento
nos
debe
permitir
comprender
los
objetivos
del
proceso,
los
riesgos
asociados
a
dichos
objetivos,
los
controles
establecidos
por
la
organización
para
mitigar
el
riesgo,
la
ausencia
de
controles,
la
identificación
de
controles
con
debilidades
en
su
diseño,
así
como
los
problemas
que
presenta
el
proceso
en
su
funcionamiento.
Solicitar
la
reunión:
De
acuerdo
a
la
identificación
de
los
funcionarios
claves
que
intervienen
en
el
proceso,
procedemos
a
programar
la
reunión
con
cada
uno
de
ellos,
por
lo
cual
es
recomendable
contactarlos
primero
telefónicamente
o
personalmente
cuando
por
alguna
razón
no
haya
sido
posible
conocerlos
en
la
reunión
de
apertura.
En
cualquiera
de
los
dos
casos
debemos
comunicarles
cuál
l
es
el
objetivo
de
la
7.
7
reunión,
así
como
validar
la
disponibilidad
de
tiempo
para
realizarla,
acordando
con
el
auditado
la
fecha.
Una
vez
acordada
la
reunión,
procedemos
a
realizar
su
formalización,
realizando
la
correspondiente
agenda,
para
lo
cual
es
recomendable
tener
en
cuenta
lo
siguiente:
Objetivo:
Al
agendar
la
reunión
siempre
debemos
ser
muy
claros
en
informar
que
nuestro
objetivo
es
“entender”
el
funcionamiento
del
proceso,
así
como
realizar
la
prueba
de
recorrido
a
dicho
proceso,
del
tal
forma
que
nuestro
entrevistado
esté
preparado
para
la
reunión.
Lugar:
Se
recomienda
que
sea
en
la
oficina
del
responsable
del
proceso
a
auditar,
de
tal
forma
que
al
momento
de
realizar
la
prueba
de
recorrido
podamos
tener
acceso
a
la
documentación
y
archivos
que
se
tengan
del
proceso,
así
como
a
la
evidencia
de
los
controles.
Fecha:
Si
bien
en
nuestra
comunicación
inicial
pudimos
haber
acordado
una
fecha,
es
importante
que
siempre
programemos
la
reunión
con
varios
días
de
anticipación,
preferiblemente
una
semana
antes.
Hora:
Los
expertos
consideran
que
el
mejor
horario
para
realizar
las
reuniones
es
a
las
9:00
am.
Y
a
las
3:00
pm.,
sin
embargo
es
recomendable
que
nos
ajustemos
a
la
disponibilidad
del
auditado.
Duración:
Teniendo
en
cuenta
que
nuestro
objetivo
es
entender
el
funcionamiento
del
proceso
de
acuerdo
a
sus
actividades
y
realizar
la
prueba
de
recorrido,
recomendamos
programar
la
reunión
para
2
horas2,
dicho
tiempo
depende
de
lo
complejo
que
sea
el
proceso.
Asistentes:
Del
equipo
de
auditoría
se
recomienda
que
asistan
los
líderes
y/o
coordinadores
del
trabajo,
sin
embargo
se
recomienda
que
para
aquellos
procesos
que
tienen
un
alto
componente
tecnológico
(
lo
cual
identificamos
en
la
reunión
de
apertura),
asista
un
funcionario
de
tecnología,
de
tal
forma
que
solo
citemos
a
las
dueños
del
proceso
una
sola
vez
con
los
funcionarios
de
auditoría,
y
no
dos
veces
para
explicar
el
proceso
con
funcionarios
diferentes,
pues
esto
incomoda
al
auditado
y
no
trasmite
la
mejor
imagen
de
nuestra
parte.
Por
parte
del
auditado
en
algunas
ocasiones
los
funcionarios
solicitan
la
participación
de
colaboradores
que
tienen
un
mayor
involucramiento
en
la
parte
operativa,
por
lo
cual
dichas
personas
pueden
asistir,
si
a
bien
lo
considera
nuestro
entrevistado
principal.
El
día
de
la
reunión
Debemos
transmitir
una
buena
imagen
a
nuestro
entrevistado,
y
en
donde
una
buena
imagen
es
la
combinación
tanto
de
la
parte
interior
como
de
la
parte
exterior
de
una
persona.
Ser
amable,
educado,
agradable
y
vestir
de
forma
discreta
nos
proyectará
como
profesionales
integrales
y
ayudará
a
que
nuestro
entrevistado
tome
interés
durante
el
transcurso
de
la
reunión.
2
El
Auditor
debe
evaluar
si
el
entendimiento
del
proceso
se
puede
llevar
a
cabo
en
menos
tiempo,
o
si
por
el
contrario
requiere
mayor
tiempo,
debiendo
programar
más
de
una
reunión.
8.
8
Es
necesario
tener
en
cuenta
los
siguientes
puntos
antes
de
iniciar
formalmente
la
reunión:
• Vestir
de
forma
discreta
y
prestando
atención
al
cuidado
personal.
• Sea
puntual
tanto
en
la
hora
de
inicio
como
la
de
finalización
• En
caso
que
no
alcance
a
llegar
a
tiempo
a
la
reunión
realice
una
llamada
y
antes
del
inicio
de
la
reunión
comente
la
situación
y
solicite
excusas
por
la
demora.
• Salude
mirando
a
los
ojos,
con
un
apretón
de
manos
moderado
y
con
una
sonrisa
sincera.
• Apague
su
celular
o
póngalo
en
silencio
antes
de
iniciar
la
reunión,
y
en
lo
posible
trate
que
el
entrevistado
perciba
esta
acción
con
el
fin
de
animarlo
de
forma
indirecta
a
que
igualmente
el
haga
lo
mismo.
• Si
la
reunión
es
en
la
oficina
del
entrevistado,
solicite
permiso
para
apoyar
su
computador
en
el
escritorio
del
entrevistado.
• Antes
de
iniciar
con
el
desarrollo
de
la
agenda,
rompa
el
hielo
de
tal
forma
que
el
entrevistado
se
relaje.
Ejemplo:
Se
puede
iniciar
la
reunión
comentando
una
noticia
de
último
momento.
• Explique
cuál
es
el
objetivo
de
la
reunión.
• Recuerde
que
su
responsabilidad
es
controlar,
dirigir
y
centrar
continuamente
la
reunión.
• No
olvide
pedir
siempre
el
favor
y
dar
las
gracias.
• No
debemos
ser
arrogantes,
petulantes.
“La
sabiduría
no
se
impone,
simplemente
se
manifiesta
y
los
demás
la
perciben”
Desarrollo
de
la
Reunión
Para
dar
inicio
al
desarrollo
de
la
reunión
y
tal
como
lo
explicamos
anteriormente,
es
clave
ilustrar
a
nuestro
interlocutor
sobre
el
objetivo
de
la
reunión,
comprender
el
proceso,
es
decir
como
auditores
nuestro
objetivo
es
que
nos
expliquen
cómo
funciona
el
proceso
desde
el
inicio
hasta
el
final,
permitiéndonos
conocer
tanto
el
diseño
como
la
efectividad
de
los
controles,
los
riesgos
asociados
a
dichos
controles,
así
como
la
identificación
de
oportunidades
de
mejora
en
el
proceso.
Realizar
este
tipo
de
entrevistas
requiere
que
no
tengamos
ningún
tipo
de
limitación
para
preguntar,
pues
en
algunas
ocasiones
podemos
pensar
que
no
es
necesario
preguntar
o
simplemente
consideramos
que
al
solicitar
explicación
de
un
tema
que
no
fue
explicado
de
forma
clara
por
el
entrevistado
o
que
simplemente
no
entendimos,
decidimos
callar
y
continuar
la
entrevista.
La
anterior
situación
es
un
grave
error,
pues
como
auditores
y
previa
la
preparación
que
realizamos
para
las
reuniones,
nuestro
objetivo
es
tener
claro
el
funcionamiento
del
proceso,
lo
cual
puede
implicar
que
solicitemos
la
aclaración
de
los
temas
que
no
lo
fueron.
Es
fundamental
que
el
auditor
durante
la
entrevista
realizada
para
el
entendimiento,
proyecte
la
forma
como
deberá
plasmar
dicho
proceso
para
la
exposición
a
terceros,
realizando
así
todas
aquellas
preguntas
que
le
permitirán
plasmar
el
resultado
de
la
entrevista.
Durante
el
entendimiento,
se
sugiere
realizar
la
denominada
prueba
de
recorrido
y
la
cual
incluyen
tanto
la
indagación
y
observación
de
todas
y
cada
una
de
las
transacciones
clave
dentro
del
proceso,
así
como
la
validación
con
relación
al
funcionamiento
de
los
controles
establecidos
y
la
identificación
de
debilidades.
9.
9
Elementos
para
el
Entendimiento
A
continuación
presentamos
los
elementos
que
contribuyen
a
realizar
un
adecuado
entendimiento
del
proceso
y
los
cuales
nos
facilitarán
la
posterior
evaluación
de
los
controles:
a. Identificación
de
los
riesgos
y
controles
del
proceso
Del
buen
entendimiento
del
proceso
dependerá
la
identificación
de
riesgos
y
los
controles
que
los
mitigan.
En
la
identificación
de
riesgos
es
importante
que
se
consideren
los
factores
que
pueden
incrementar
los
riesgos,
tales
como
la
calidad
del
personal,
experiencias
pasadas
en
la
obtención
de
objetivos,
complejidad
de
una
actividad,
distribución
geográfica
de
las
actividades,
entre
otras.
Ejemplos
de
factores
que
pueden
incrementar
la
probabilidad
de
ocurrencia
de
los
riesgos
de
los
procesos:
• La
vinculación
de
personal,
no
competitivo
frente
a
los
retos
de
la
organización,
así
como
la
falta
de
efectividad
de
métodos
de
entrenamiento
y
motivación
que
puedan
influir
en
el
nivel
de
conciencia
del
auto-‐control
en
la
entidad.
• Fallas
en
el
procesamiento
de
los
sistemas
de
información
que
afectan
las
operaciones
de
la
entidad.
• Cambios
en
las
responsabilidades
asignadas
de
la
administración
que
afecten
la
ejecución
de
algunos
controles.
• Indebida
aplicación
de
las
políticas
de
la
organización.
Ejemplos
de
factores
de
riesgos
de
procesos:
Actividad:
Proceso
de
ventas,
cuentas
por
cobrar
y
recaudos
Factores
de
Riesgos
• Efectuar
ventas
a
clientes
ficticios
• Registrar
ventas
sin
enviar
la
mercancía
• Enviar
la
mercancía
y
no
registrar
el
ingreso.
• Registro
de
las
transacciones
por
un
monto
incorrecto.
• Clasificación
inadecuada
de
transacciones.
Cuando
hemos
identificado
los
riesgos
del
proceso,
procedemos
a
identificar
los
controles
que
los
mitigan.
La
forma
más
fácil
de
identificar
si
se
trata
de
un
control,
es
verificar
si
lo
que
se
está
evaluando
corresponde
a
revisión,
verificación,
aseguramiento
a
través
de
sistemas,
reconciliación,
contraseñas,
reportes
de
error,
mapeo
de
cuentas,
etc.
b. Identificación
de
Controles
Los
controles
se
clasifican
en
tres
tipos:
Automático:
lo
realiza
de
principio
a
fin
un
sistema
de
información.
10.
10
Semiautomático:
es
ejecutado
de
manera
parcial
por
una
persona,
pero
con
la
colaboración
de
un
sistema
de
información.
Manual:
lo
ejerce
en
su
totalidad
una
persona,
sin
la
colaboración
de
un
sistema
de
información.
Los
controles
pueden
ser
preventivos,
detectivos
o
correctivos:
Control
Preventivo:
Su
objetivo
es
anticiparse
a
los
eventos
no
deseados,
actuando
sobre
las
causas
del
riesgo,
así
como
evitando
la
generación
de
errores
o
eventos
fraudulentos.
Control
Detectivo:
Identifica
todos
aquellos
eventos
en
el
momento
en
que
ocurren,
así
como
advierte
sobre
la
presencia
de
riesgos.
Control
Correctivo:
Se
orienta
a
la
implementación
de
las
acciones
correctivas
una
vez
se
ha
identificado
un
evento
no
deseado.
Su
implementación
se
realiza
cuando
los
controles
preventivos
y
detectivos
no
han
funcionado,
lo
cual
representa
que
su
implementación
sea
más
costosa,
pues
actúan
cuando
ya
se
han
materializado
eventos
de
pérdida
para
la
organización.
Los
siguientes
son
los
tipos
de
controles
más
comunes:
Categoría
de
Control
Tipo
de
Control
Descripción
Ejemplos
Autorización
Manual
La
aprobación
de
transacciones
ejecutadas
de
acuerdo
con
las
políticas
y
los
procedimientos
generales
o
específicos
de
la
gerencia.
Ø Aprobación
manual
designada
Ø Limites
de
Autorización
Ø Documentación
Soporte
Reportes
de
Excepción
/
Edición
Manual
Revisar
reportes
del
sistema
para
monitorear
errores
o
entradas
y
seguimiento
a
su
resolución.
Ø Revisar
todas
las
ediciones
hechas
por
empleados
a
archivos
maestros.
Ø Revisar
ventas
que
excedan
el
límite
de
crédito
de
los
clientes.
Indicadores
Clave
de
Desempeño
Manual
Análisis
de
interrelaciones,
tendencias,
y
revisión
de
desempeño
de
indicadores
Ø Análisis
de
Presupuesto
vs
real
Ø Reportes
Gerenciales
Ø Métricas
y
análisis
de
tendencias
Revisión
Gerencial
Manual
Involucramiento
de
la
gerencia
en
revisión
de
transacciones
y
supervisión
de
staff.
Ø Revisión
por
un
segundo
empleado
o
gerente
Ø Inclusión
en
la
información
a
Junta
Reconciliación
Manual
Comparación
de
diferentes
grupos
de
datos,
destacar
diferencias
y
su
correspondiente
seguimiento.
Ø Reconciliación
de
Bancos
Ø Reconciliación
estado
de
proveedores.
11.
11
Categoría
de
Control
Tipo
de
Control
Descripción
Ejemplos
Segregación
de
Funciones
Manual
Separación
de
funciones
y
responsabilidades
para
autorización
de
transacciones,
registro
de
transacciones,
y
mantenimiento
de
custodia.
Ø El
Procesador
de
facturas
de
gastos
es
diferente
al
de
pagos.
Ø El
aprobador
de
términos
de
Crédito
es
diferente
del
aprobador
de
nuevos
clientes.
Configuración
y
Mapeo
de
Cuentas.
Automático
Grupo
de
͞“witches͟
para
asegurar
los
datos
contra
procesamiento
inadecuado.͞
“witches͟
relacionados
direccionamiento
de
transacciones
al
libro
mayor.
Ø Grupos
de
Autorización
Ø Facturas
asignadas
al
libro
mayor
solo
si
esta
tiene
un
número
de
proyecto
asignado
Interface
Automático
Transferencia
de
datos
de
una
base
de
datos
a
otra.
Ø Auxiliares
a
Libro
Mayor
Ø Nómina
a
Libro
Mayor
Acceso
al
Sistema
Automático
Derechos
de
acceso
otorgados
a
un
usuario
individual
dentro
de
un
ambiente
de
procesamiento
de
IT.
Ø El
acceso
al
sistema
de
nómina
está
limitado
a
empleados
de
nómina.
c. Validación
de
los
controles
Para
validar
el
funcionamiento
de
los
controles
nos
apoyamos
en
la
prueba
de
recorrido,
con
lo
cual
realizamos
el
reconocimiento
de
su
funcionamiento
en
el
proceso.
La
validación
implica
solicitar
a
nuestro
entrevistado
de
forma
cordial
y
respetuosa,
que
nos
permita
ver
el
funcionamiento
de
las
actividades
de
control
en
una
transacción,
es
decir
que
le
solicitamos
ver
la
aplicación
de
cada
uno
de
los
controles
que
nos
narra
para
una
transacción
cualquiera,
desde
el
inicio
hasta
el
final.
Durante
el
proceso
de
validación,
los
auditores
debemos
tomar
evidencia
de
su
funcionamiento
por
lo
cual
podemos
solicitar
copia
de
la
evidencia
de
los
controles
manuales
o
imágenes
de
los
controles
automáticos,
tales
como
restricciones
que
un
sistema
puede
presentar
al
registrar
algún
tipo
de
operación.
(Ejemplo:
limitaciones
en
los
cupos
de
crédito).
Así
mismo
es
importante
que
durante
el
desarrollo
de
la
prueba
de
recorrido
evitemos
hacer
preguntas
que
generen
respuestas
cerradas
de
si
o
no,
pues
nuestro
objetivo
es
propender
porque
nuestro
entrevistado
nos
cuente
el
funcionamiento
real
del
proceso
llegando
a
identificar
las
debilidades
de
control
que
se
tienen.
12.
12
Actividades
de
IT
Si
durante
la
reunión
de
inicio
se
identificó
que
la
participación
de
IT
era
fundamental,
dado
el
componente
tecnológico
con
que
cuenta
el
proceso,
en
la
prueba
de
recorrido
el
especialista
en
tecnología
deberá
realizar
las
siguientes
verificaciones:
§ Parametrización
del
sistema,
según
el
tipo
de
proceso.
§ Identificación
de
los
controles
automáticos
§ Usuarios
con
accesos
autorizados
§ Reportes
del
sistema.
§ Restricciones
para
modificar
la
información
registrada
en
sistema
Ejemplos:
Para
el
proceso
de
ventas,
cuentas
por
cobrar
y
recaudos,
tomamos
un
pedido
de
un
cliente
y
verificamos
todo
el
proceso
desde
que
se
recibe
la
orden
del
cliente
hasta
su
registro
en
el
libro
mayor
y
posteriormente
desde
el
recibo
del
pago
de
la
factura
hasta
su
registro
en
el
libro
mayor,
observando
la
existencia
de
los
controles
de
autorización,
revisión,
conciliación,
segregación
de
funciones,
etc.
A
continuación
se
relacionan
algunas
de
las
preguntas
que
no
debemos
olvidar
durante
la
prueba
de
recorrido
y
las
cuales
se
deben
ajustar
al
proceso
revisado:
• Qué
se
hace?
• Quién
lo
hace?
• Quién
revisa?
• Quién
autoriza?
• Qué
evidencia
se
deja
de
la
elaboración,
revisión
y
aprobación?
• A
quién
y
cómo
se
le
reporta?
• Cada
cuanto
se
reporta?
• Quién
puede
anular
una
operación?
• Quién
autoriza
las
anulaciones?
• Qué
reportes
se
emiten
diaria
o
semanalmente
como
resultado
de
la
operación?
• Se
cuentan
con
indicadores
que
permiten
medir
la
gestión
del
proceso?
d. Finalización
de
la
reunión
Una
vez
finalizada
la
reunión
de
entendimiento,
debemos
agradecer
al
entrevistado
su
tiempo
y
disposición
para
atender
nuestras
preguntas.
Igualmente
se
sugiere
explicar
cual
es
el
siguiente
procedimiento
a
realizar,
de
tal
forma
que
nuestro
entrevistado
conozca
la
forma
como
se
adelanta
el
proceso
de
auditoría.
e. Documentación
del
Entendimiento
Una
vez
realizada
la
reunión
de
entendimiento
y
según
la
norma
2330
la
cual
establece
que:
los
auditores
internos
deben
documentar
información
relevante
que
les
permita
soportar
las
conclusiones
y
los
resultados
del
trabajo.
13.
13
De
acuerdo
con
lo
anterior,
los
papeles
de
trabajo
realizados
para
registrar
la
documentación
pueden
incluir
cuestionarios
de
control,
diagramas
de
flujo,
listas
de
verificación
y
descripciones
narrativas,
entre
otros,
siempre
que
estén
acordes
con
las
políticas
definidas
por
el
Director
de
Auditoría
Interna,
quien
deberá
entonces
establecer
cuál
es
la
mejor
técnica
de
documentación,
que
le
permite
visualizar
el
entendimiento
del
proceso.
En
nuestra
metodología
nos
orientaremos
a
explicar
la
técnica
narrativa
y
la
técnica
de
diagramas
de
flujo.
Lo
más
importante
es
que
la
técnica
de
documentación
utilizada,
deberá
presentar
de
la
forma
más
cercana
a
la
realidad
el
funcionamiento
del
proceso,
mostrando
las
actividades
que
lo
componen,
los
riesgos
y
controles
clave,
así
como
las
debilidades
identificadas
del
proceso;
proyectando
de
tal
forma
el
resultado
de
las
siguientes
actividades:
• Revisión
de
las
políticas
y
manuales
del
proceso.
• Entradas
y
salidas
de
los
procesos
en
cada
fase.
• Resultados
de
las
reuniones
de
entendimiento
y
la
correspondiente
prueba
de
recorrido.
• Identificación
de
los
niveles
de
responsabilidad
para
los
cargos
que
intervienen.
• Análisis
de
los
riesgos
y
controles
clave
del
proceso.
Así
mismo,
según
la
técnica
utilizada
se
deberán
definir
las
convenciones
y/o
símbolos
para
identificar
actividades
de
control
manuales,
automáticas,
responsables,
controles,
riesgos,
debilidades
de
control,
entradas
del
proceso,
salidas
del
proceso
o
decisiones.
Características
de
las
Técnicas
de
Documentación
Narrativa:
Tal
como
su
nombre
lo
indica
se
apoya
en
una
narración
de
los
hechos
de
forma
consecuente
y
sin
el
apoyo
de
diagramas.
Previo
al
inicio
de
la
narración,
se
recomienda
incluir
un
resumen,
de
tal
forma
que
el
lector
pueda
conocer
el
contexto
en
el
que
se
desarrolla
el
proceso,
así
como
relacionar
el
detalle
de
las
actividades
o
herramientas
que
el
auditor
considera
son
claves
explicar
para
el
entendimiento.
Durante
el
proceso
de
narración
se
deberán
presentar
de
forma
ordenada
cada
una
de
las
actividades,
así
como
al
finalizar
la
descripción
de
cada
actividad,
se
deberá
relacionar
el
riesgo
y
el
control
identificado
o
la
debilidad
de
control,
permitiendo
al
lector
entender
que
pasa.
Componentes:
• Registrar
el
nombre
del
preparador
y
aprobador.
• Registrar
el
nombre
del
dueño
del
proceso.
• Resumen
de
las
políticas
y
procedimientos
relacionadas
con
el
proceso.
• Resumen
de
los
sistemas
que
soportan
el
proceso.
• Tanto
los
controles
como
las
debilidades
de
control
tienen
asociado
un
riesgo.
Diagrama
de
Flujo:
Dicha
técnica
se
apoya
en
la
diagramación
detallada
de
las
actividades
del
proceso
de
forma
sucesiva.
Dada
la
utilización
de
símbolos,
se
deberá
presentar
una
explicación
de
lo
que
representa
cada
uno,
así
como
se
deberá
incluir
una
primera
página
de
las
generalidades
que
tiene
el
proceso
tales
como
tipo
de
productos,
formas
de
pago,
requisitos
básicos,
software
y
demás
elementos
que
faciliten
al
lector
entender
los
conceptos
a
desarrollar
durante
el
diagrama.
De
igual
forma
en
el
diagrama
se
deberán
14.
14
registrar
tanto
los
controles,
riesgos
y
debilidades
identificados,
sin
embargo,
el
auditor
deberá
evaluar
si
lo
hace
por
cada
actividad
o
si
decide
llevar
una
lista
de
controles
y
riesgos
asociados
al
final
de
las
actividades.
El
diagrama
también
deberá
permitir
registrar
tanto
los
responsables,
documentos
claves,
así
como
las
herramientas
tecnológicas
involucradas.
Antes
de
iniciar
la
diagramación
formal,
se
recomienda
realizar
una
primera
proyección
manual,
de
tal
forma
que
el
Auditor
pueda
visualizar
cómo
será
el
diagrama
y
así
pueda
organizar
sus
ideas
antes
de
iniciar
formalmente
su
elaboración,
lo
cual
le
permitirá
ser
más
eficiente
en
los
tiempos
a
incurrir.
Componentes:
• Se
indica
claramente
la
entrada
y
la
salida
de
cada
actividad.
• Se
identifican
los
controles
y
riesgos
de
cada
actividad
de
forma
visual
y
numérica.
• El
mapa
del
proceso
permite
identificar
quién
realiza
la
acción,
cuál
es
la
acción
que
realiza,
que
evidencia
se
deja
de
la
acción
y
cuándo
se
realiza
la
acción.
• Registra
el
nombre
del
dueño
del
proceso.
Los
diagramas
suelen
utilizarse
más,
pues
visualmente
facilitan
hacer
la
validación
de
entendimiento
con
el
dueño
del
proceso,
así
como
proporcionan
en
una
primera
etapa
la
posibilidad
de
identificar
si
el
proceso
cuenta
con
debilidades
en
su
diseño
que
lo
hacen
poco
eficiente,
y
permiten
revisar
que
los
controles
y
riesgos
estén
identificados
de
forma
correcta
en
la
actividad
que
corresponden.
f. Evaluación
de
los
controles.
Según
la
norma
2130,
la
actividad
de
Auditoría
Interna
debe
asistir
a
la
organización
en
el
mantenimiento
de
controles
efectivos,
mediante
la
evaluación
de
la
eficacia
y
eficiencia
de
los
mismos
y
promoviendo
la
mejora
continúa.
Así
las
cosas,
una
vez
finalizada
la
etapa
de
documentación
del
entendimiento,
se
procede
a
realizar
la
evaluación
de
los
controles
identificados,
de
tal
forma
que
se
pueda
concluir
sobre
los
controles
relevantes
del
proceso,
así
como
sobre
su
diseño;
y
para
los
cuales
procederemos
a
realizar
las
correspondientes
pruebas.
Matriz
de
riesgos
y
controles
La
evaluación
de
los
controles
y
la
identificación
de
su
relevancia
dentro
del
proceso,
se
realiza
por
medio
de
la
denominada
“matriz
de
riesgos
y
controles”.
En
dicha
matriz
debemos
plasmar
tanto
los
controles
como
los
riesgos
que
tiene
el
proceso
para
el
cumplimiento
de
sus
objetivos,
así
como
deberíamos
identificar
aquellos
controles
que
pueden
generar
dentro
del
proceso
ineficiencias,
duplicidad
de
esfuerzos,
o
simplemente
que
carecen
de
un
adecuado
diseño.
15.
15
Parámetros
para
la
evaluación
de
los
Controles.
Para
determinar
los
controles
que
se
consideran
clave
dentro
del
proceso,
el
auditor
puede
soportar
su
evaluación
en
la
matriz,
por
medio
de
los
objetivos
de
control
que
pueden
cubrir
el
riesgo
económico
en
una
organización,
tales
como:
integridad,
exactitud,
validez
y
acceso
restringido,
así
como
con
los
objetivos
definidos
en
COSO,
y
los
cuales
se
encuentran
alineados
con
lo
establecido
en
la
norma
2130-‐A1,
que
establece:
La
actividad
de
Auditoría
Interna
debe
evaluar
la
adecuación
y
eficacia
de
los
controles
en
respuesta
a
los
riesgos
del
gobierno,
operaciones
y
sistemas
de
información
de
la
organización,
respecto
de
lo
siguiente:
• Fiabilidad
e
integridad
de
la
información
financiera
y
operativa,
• Eficacia
y
eficiencia
de
las
operaciones
y
programas,
• Protección
de
activos,
y
• Cumplimiento
de
leyes,
regulaciones,
políticas,
procedimientos
y
contratos.
Objetivos
del
control:
ü Integridad:
Todas
las
transacciones
y
eventos
que
debieron
haber
sido
registradas,
han
sido
registrados
una
vez
y
sólo
una
vez
ü Exactitud:
El
importe
y
otra
información
relativos
a
las
transacciones
y
eventos
registrados
han
sido
registrados
adecuadamente.
ü Validez:
Todas
las
transacciones
que
son
registradas,
han
sido
previamente
autorizadas
y
corresponden
con
la
naturaleza
del
negocio.
ü Acceso
restringido:
Las
modificaciones
a
la
información
se
limitan
solo
personal
autorizado.
De
otra
parte,
para
medir
el
diseño
del
control
el
auditor
debería
considerar
parámetros
tales
como:
• Los
controles
establecidos
permiten
cumplir
los
objetivos
de
la
organización,
pues
minimizan
los
riesgos
del
proceso.
• La
frecuencia
del
control,
permite
identificar
o
prevenir
de
forma
oportuna
los
eventos
de
riesgos
que
pueden
materializase.
• Para
la
etapa
de
funcionamiento
del
control,
debemos
identificar
el
período
desde
el
cual
inició
su
funcionamiento,
pues
dicha
fecha
orientará
el
diseño
de
las
pruebas
y
el
alcance
de
nuestra
revisión.
• La
competencia,
es
decir
la
experiencia
de
la
persona
que
lo
desempeña
(si
es
un
control
manual).
• Enfoque
del
control
(prevención,
detección
o
corrección).
• Si
su
aplicación
requiere
un
componente
de
sistemas.
Adicionalmente
en
la
matriz,
para
aquellos
riesgos
que
carecen
de
un
control
o
que
el
control
presenta
falencias
en
su
diseño
o
funcionamiento,
se
deberá
registrar
la
debilidad
asociada
a
dicha
situación.
De
otro
lado,
la
redacción
del
control
deberá
permitir
al
lector
identificar
claramente
quién
realiza
el
control,
cuándo
se
hace,
cómo
se
ejecuta
el
control,
qué
evidencia
se
deja
del
16.
16
control
y
en
dónde
se
ejecuta
el
control.
Por
su
parte
la
redacción
del
riesgo
deberá
involucrar
los
factores
del
riesgo,
así
como
el
tipo
de
pérdida
que
puede
tener
la
compañía,
tal
como
económica
o
reputacional.
g. Identificación
de
los
controles
clave.
Durante
la
etapa
de
evaluación
de
los
controles,
se
deberán
identificar
los
controles
relevantes,
lo
cual
deberá
hacerse
teniendo
en
cuenta
que
el
conjunto
de
los
controles
seleccionados
permiten
prevenir,
detectar
y
corregir
un
error,
de
acuerdo
al
objetivo
tanto
del
proceso,
como
de
la
auditoria
aplicada.
Teniendo
en
cuenta
que
las
compañías
normalmente
cuentan
con
un
gran
número
de
controles,
el
auditor
debe
propender
por
identificar
en
la
matriz,
los
controles
que
tienen
las
siguientes
características:
ü Los
que
mitigan
más
número
de
riesgos.
ü Los
que
cubren
un
mayor
número
de
aseveraciones
y/o
objetivos
de
control
ü Los
controles
que
siendo
automáticos,
cubren
controles
manuales
clave,
siendo
más
eficientes
de
probar.
h. Proyección
de
pruebas.
Luego
de
identificados
los
controles
clave
del
proceso
y
los
cuales
deben
contar
con
un
adecuado
diseño,
el
líder
de
auditoría
deberá
realizar
una
proyección
de
las
pruebas
a
realizar
a
dichos
controles,
de
tal
forma
que
se
pueda
validar
su
correcto
funcionamiento
dentro
del
sistema
de
control
interno
de
la
organización.
Asimismo,
no
todos
los
controles
se
deben
probar,
pues
esto
hará
que
el
auditor
incurra
en
mayores
tiempos,
lo
más
importante
para
el
auditor
es
probar
los
controles
clave
que
permiten
mitigar
los
riesgos
del
proceso.
La
definición
de
las
pruebas
se
debe
orientar
a
medir
su
funcionamiento
para
una
transacción
cualquiera
y
en
donde
el
control
debe
funcionar
acorde
a
su
diseño
en
un
período
de
tiempo.
Dentro
de
los
objetivos
que
puede
plantearse
para
una
prueba,
encontramos
los
siguientes:
ü El
funcionario
asignado
a
ejecutar
el
control
es
quien
lo
realiza.
ü El
control
funciona
de
forma
regular
en
un
período
de
tiempo
establecido.
ü Se
cuenta
con
la
evidencia
de
aplicación
del
control.
De
igual
forma
es
importante
que
en
la
proyección
de
pruebas
tengamos
en
cuenta
el
tiempo
en
el
cual
empezó
a
funcionar
le
control,
pues
de
dicha
fecha
de
funcionamiento,
dependerá
nuestro
requerimiento
de
información.
Pruebas
sustantivas.
Si
bien
el
enfoque
de
auditoría
es
probar
el
adecuado
funcionamiento
de
los
controles
establecidos
en
un
sistema
de
control
interno,
el
Auditor
puede
proponer
el
desarrollo
de
pruebas
sustantivas,
cuando
no
se
tiene
confianza
en
los
controles
establecidos
por
la
organización,
y
las
debilidades
en
dichos
controles
representan
una
alta
exposición
a
la
materialización
de
un
fraude.
17.
17
Los
resultados
de
dichas
pruebas,
nos
permitirán
presentarle
a
la
administración
los
resultados
de
sus
debilidades
en
términos
económicos.
Igualmente
las
pruebas
sustantivas
se
pueden
requerir,
cuando
el
proceso
auditado
demanda
validar
la
integridad
y
exactitud
de
sus
transacciones.
Métodos
para
probar
Verificación
de
la
eficacia
operativa:
La
probamos
mediante
una
muestra
determinada
con
base
en
la
frecuencia
del
control
y
la
calificación
del
riesgo
inherente
e
igualmente
concluimos
sobre
la
misma.
El
objetivo
de
aplicar
la
prueba
de
operación
de
los
controles
es
comprobar
cómo
se
aplicaron
los
controles,
el
grado
de
consistencia
con
que
se
aplicaron
durante
el
período
y
quienes
lo
aplicaron.
Para
demostrar
la
eficacia
operativa
se
considera:
ü Las
técnicas
que
se
usan
para
obtener
evidencia
de
auditoría
ü La
naturaleza
de
las
pruebas
ü El
alcance
de
las
pruebas
ü El
momento
oportuno
de
las
pruebas,
es
decir
evidencia
de
que
se
efectuó
regular
y
debidamente
durante
todo
el
año.
Se
utilizan
diferentes
técnicas,
que
permiten
verificar
en
el
desarrollo
de
la
auditoria,
la
eficacia
de
la
operación
de
los
controles
que
son:
• Observación:
Se
observa
el
desempeño
del
control,
un
ejemplo
es
observa
el
conteo
del
inventario
físico
• Indagación:
Se
le
solicita
a
varias
personas
informadas
y
competentes,
que
nos
proporcione
información
acerca
del
funcionamiento
del
control.
• Inspección:
Se
analizan
los
registros
o
documentos
que
soporten
el
funcionamiento
del
control.
Por
ejemplo
se
inspecciona
la
conciliación
bancaria,
con
respecto
a
evidencia
de
un
desempeño
eficaz.
• Repetición:
Se
puede
repetir
el
funcionamiento
de
un
control
para
determinar
que
se
desempeña
correctamente.
Por
ejemplo
se
puede
repetir
el
análisis
del
archivo
de
crédito.
• Evaluación
de
Conocimientos:
El
auditor
combina
técnicas
de
indagación,
inspección
y
repetición
que
le
permitan
comprobar
los
conocimientos
de
los
individuos
sobre
un
tema
o
su
competencia
para
el
desempeño
de
un
control.
• Indagación
Corroborativa:
El
auditor
corrobora
el
desempeño
de
un
control
por
medio
de
confirmación
con
otros
miembros
de
la
organización,
es
decir
se
confirma
la
validez
y
consistencia
de
la
aplicación
del
control,
como
una
prueba
de
eficacia
operativa.
• Indagación
del
Sistema:
El
auditor
prueba
que
los
controles
automatizados
dentro
de
una
aplicación
de
Tecnología
de
la
Información,
funcionan
según
lo
esperado.
Dentro
de
estos
ejemplos
tenemos:
18.
18
ü Que
el
sistema
logre
identificar
correctamente
una
excepción
predefinida,
en
donde
la
excepción
puede
estar
relacionada
con
los
principios
de
integridad
y/o
exactitud
de
un
insumo
y
procesamiento
y
producto
de
la
aplicación.
ü Que
la
configuración
de
acceso
dentro
de
la
aplicación
se
encuentre
estructurada
de
tal
forma
que
distribuya
las
obligaciones
a
los
usuarios,
así
como
la
autorización
de
transacciones,
según
el
perfil
asignado
a
cada
usuario.
En
todos
los
casos,
es
importante
mencionar
que
las
pruebas
eficacia
operativa
deben
ser
realizadas
en
orden.
Por
ejemplo,
si
se
concluye
que
un
control
no
está
adecuadamente
diseñado
no
se
deben
hacer
las
pruebas
de
eficacia
y
si
está
bien
diseñado
pero
la
implementación
no
es
adecuada,
no
se
debe
hacer
la
prueba
de
eficacia
operativa.
Las
debilidades
detectadas
en
la
evaluación
del
diseño
y
la
efectividad
de
los
controles
las
debemos
presentar
en
nuestro
informe,
como
debilidades
del
control.
i. Memorando
de
Trabajo
Una
vez
identificados
los
controles
clave
y
teniendo
tanto
las
pruebas
proyectadas
como
la
documentación
del
entendimiento,
el
líder
de
Auditoría
debe
programar
una
reunión
con
el
gerente
de
auditoría,
de
tal
forma
que
se
evalúe
el
enfoque
que
tendría
el
trabajo
a
realizar.
Con
el
adecuado
desarrollo
de
dicha
reunión,
el
equipo
de
auditoría
estaría
desarrollando
su
trabajo
dentro
del
marco
de
las
siguientes
normas:
La
norma
2210.A1
establece
que:
los
auditores
internos
deben
realizar
una
evaluación
preliminar
de
los
riesgos
relevante
para
la
actividad
bajo
revisión.
Los
objetivos
del
trabajo
deben
reflejar
los
resultados
de
esta
evaluación.
De
otra
parte
la
norma
2220
define
que:
el
alcance
establecido
debe
ser
suficiente
para
satisfacer
los
objetivos
del
trabajo,
así
como
la
norma
2230
establece
que:
los
auditores
internos
deben
determinar
los
recursos
adecuados
y
suficientes
para
lograr
lo
objetivos
del
trabajo,
basándose
en
una
evaluación
de
la
naturaleza
y
complejidad
de
cada
trabajo,
las
restricciones
de
tiempo
y
los
recursos
disponibles.
Así
pues,
como
resultado
de
dicha
reunión,
se
deberán
obtener
los
siguientes
resultados:
• Aprobación
del
programa
de
auditoría.
• Definición
de
los
objetivos
del
trabajo
a
realizar,
de
tal
forma
que
el
equipo
de
trabajo
identifique
su
orientación,
así
como
el
que
se
defina
el
alcance
del
trabajo
a
realizar,
evitando
incurrir
en
revisiones
que
no
aporten
valor
al
trabajo
establecido.
• Definición
del
personal
de
auditoría
que
podrá
cumplir
con
dicho
objetivo,
seleccionando
los
funcionarios
más
apropiados
por
su
experiencia,
así
como
en
caso
de
requerir
un
especialista,
se
evaluara
la
viabilidad
de
su
contratación.
• Definición
del
cronograma
de
trabajo,
el
cual
incluye
la
fecha
de
apertura,
cierre
y
emisión
de
informes.
• Sitios
físicos
para
realizar
el
trabajo.
• Proyección
del
presupuesto
de
gastos
en
los
que
se
debe
incurrir.