Auditoria Administrativa - Curso

Cómo conducir exitosamente una
auditoria administrativa?
• ENFOQUE CONTEMPORÁNEO DE
AUDITORIA ADMINISTRATIVA
Auditoria Administrativa FELIX RIVERA

CONTENIDO
I. Visión General
II. Enfoque contemporáneo de Auditoria

Administrativa
III. Enfoque metodológico
IV. Planeación con visión de negocios
V. Control Interno

Contenido
VI. Análisis y Evaluación de riesgos

VII. Análisis y evaluación de controles
VIII. Alineación
IX. Mapeo de riesgos
X. Estrategias de auditoria

Contenido
XI. Evaluación de Controles
XII. Evidencia
XIII.Finalización
XIV. COBIT
XV. Técnicas de auditoria asistidas por el
computador para detección de fraudes
XVI. Herramientas de Tecnología.

I. Visión General

Definición de Auditoria
Administrativa
• Auditoria interna es una actividad independiente y

objetiva de aseguramiento y consulta, concebida
para agregar valor y mejorar las operaciones de una
organización. Ayuda a una organización a cumplir sus
objetivos aportando un enfoque sistemático y
disciplinario para evaluar y mejorar la efectividad de
los procesos de gestión de riesgos, control y dirección.

Comparación de auditoria externa
con Auditoria Administrativa
Auditoria Externa Auditoria Interna
Basada en capacidades analíticas, contabilidad yBasada en experiencias, habilidades, proceso de
normas regulatorias, visualizando a la empresa denegocios, conocimiento de las operaciones,
arriba hacia abajo a través de una representación riesgos y controles.
contable/financiera a un determinado momento.
Énfasis en pruebas sustantivas Énfasis en el análisis y evaluación. Las pruebas

sustantivas representan una pequeña parte del
proyecto.
Orientación a la opinión a cerca de la razonabilidadOrientación a la estrategia organizacional,

de las cifras presentadas en los estados operacional, en conformidad con los controles
financieros. financieros.
Tiene la posibilidad de enfocar la estrategia a Enfoque orientado a procesos principalmente. Los
pruebas sustantivas exclusivamente, si evaluar estados financieros son algunos entre varios a
procesos. puntos a considerar.
Se obtiene la opinión del auditor para terceros Los informes son exclusivamente para beneficio
principalmente y posteriormente para el uso de lade la empresa, para uso de la Gerencia y el
Gerencia y el directorio de la empresa. Directorio.
Objetivos de la Administrativa
Prestar un servicio estratégicoOrientar y guiar para establecer
enfocado a ayudar a identificar lospolíticas y sistemas de control
riesgos del negocio apropiados, a fin de manejar el
riesgo efectivamente.
Concentrar la acción en losEjercer una función de evaluador

Objetivos del negocio y en la independiente,
percepción gerencial de los Vigilar el cumplimiento de las
factores críticos de éxito. disposiciones internas y externas,
así como detectar y prevenir el
riesgos de fraude.

Evolución de la Auditoría Administrativa.
Reactiva Proactiva Estratégica
Apoyo a la
Función de la
función de Gerencia
Enfoque a las auditoria administrativa
Enfoque de
transacciones
procesos
Riesgo Soporte al proceso de
Riegos
Self asesorameinto
financiero
Exposición/identificación
Proceso de
mejora continua
Auditoria
Dirección
Proceso de
Prevención
mejora continua

Perfil del Auditor contemporáneo
• HABILIDADES TÉCNICAS
• Comunicación
• Expresa ideas de forma clara y
concisa.
• Escribe informes técnicos
• Presenta y sustenta puntos de vista

Perfil del auditor contemporáneo
HABILIDADES TÉCNICAS
• Comunicación
• Datos Estadísticos • Conocimientos de estadística
•Técnicas de muestreo

• Comunicación
• Datos Estadísticos
• Computación • ACLL, IDEA, POWER POINT, WORD, EXCEL,
ETC.

• Comunicación
• Computación
HABILIDADES PARA FORMAR OPINIÓN
• Perspicacia • saber cuando y a quien preguntar
•Identificar situaciones de carácter ético

• Comunicación
• Computación
HABILIDADES PARA FORMAR OPINIÓN
• Perspicacia
• Juicio • Opiniones adecuadas parea situaciones ambiguas.

• CARACTERÍSTICA PERSONALES
• Moral • honesto
• Integridad personal
• Ser capaz de mantener
confidencialidad
• Ser confiable
• Tener comportamiento ético
• Ser socialmente responsable

• CARACTERÍSTICA PERSONALES
• Moral
• Actitud •
Buscar auto-desarrollo
• Establecer metas de desarrollo
• Entusiasta
• Ser proactivo / tomar la iniciativa

CARACTERÍSTICA PERSONALES
• Moral
• Actitud
• Cuestionador • Tener necesidad de aprender y enseñar
• Ser curioso
• Responder las preguntas

• Moral
• Actitud
• Cuestionador • Ser abierto a nuevas ideas
• Flexibilidad • Tener capacidad de actuar ante
situaciones diversas
• Acepar diversidad cultural
• Trabajar en equipo

• Moral
• Actitud
• Cuestionador
• Flexibilidad • Analizar sus propias acciones aceptar
orientación de otros
• Ser organizado
• Gerenciar equipos eficazmente

• Moral
• Actitud
• Cuestionador
• Flexibilidad
• Asimilación
• Inteligencia • Pensar de forma lógica
• Pensar de forma creativa

HABILIDADES INTERPERSONALES
• Comunicación • Escuchar activa y atentamente
• Presentar, discutir y sustentar puntos de vista

• Comunicación
• Relaciones • Demostrar empatía
• Administrar / soluciones conflictos
• Reconocer y respetar otras opiniones

• Comunicación
• Relaciones
• Gerenciamiento de equipos
• Ser cooperativo
• Consultar y entregar información a otros
• Desarrollar y cultivar relaciones
• Integrarse con el equipo de trabajo

II. Enfoque contemporáneo de la auditoria

administrativa

Enfoque contemporáneo de auditoria
Enfoque de Auditoria
Externa
Reportes Performance Iniciativas

Oportunidad Financieros Operacional Estratégicas
Funciones
Incertidumbre Y procesos
Del negocio
Del cliente
Sistemas de Administración /
Amenazas del riesgo de Operaciones la
Empresa

• Enfoque de Auditoria
• Externa
Reportes Performance Iniciativas

Oportunidad Financieros Operacional Estratégicas
Funciones
Incertidumbre Y procesos
del negocio
Del cliente
Sistemas de Administración /
Amenazas del riesgo de Operaciones la
Empresa

Ni la auditoria interna tradicional ni la externa se aplica al espectro de

necesidades
Oportunidad Reportes
Financieros;
Cumplimiento Performance Iniciativas
& Prevención
Operacional Estratégicas
Incertidumbre Funciones
Y procesos
Sistemas de del negocio
Amenazas Controles Administración Del cliente
Financieros información/ del riesgo de la
-Operacional Empresa

Conceptos contemporáneos de auditoria administrativa
Consultor de
la gerencia
Ayuda al
diseño Independencia
De controles
Evaluación
Entendimiento
del sistema AUDITORIA
Del negocio
de control
Evaluar la Enfoque hacia

Calidad y Objetivos y
Eficacia de riesgos
procesos Contacto
Permanente
Con los
directores

• Enfoque de la Auditoria Administrativa

Mayor eficacia
Adaptación al cambio
Agregar Valor a la entidad
Empleo óptimo de tecnología
Personal y destrezas adecuados
Ayudar a la percepción del riesgo y control

III ENFOQUE METODOLÓGICO

Nuestra metodología
Etapa II Etapa IV
Trabajo Etapa I Etapa III
Planeación Control
Encomendado Planeación Informe y
Detallada de calidad
De trabajo terminación
y ejecución
FASES DEL LOS PROCESOS
Expectativa Control de
Del cliente Planeación
Informes de calidad
detallada
auditoria
Revisión Satisfacción
Ejecución
corporativa Resumen
Resumen
Ejecutivo de
Ejecutivo de
Los idiomas
Los idiomas
Satisfacción
Evaluación del Documentación del cliente
y revisión Informes periódicos
riesgo A la gerencia / al
Comité de auditoria
Terminación
Planeación estratégica
Aprobación de
la planeación
Revaluación de
Auditoria Administrativa
Planeación FELIX RIVERA
estratégica
Direcciones metodológicas
• Focalización en el Cliente
• Orientación hacia las estratégicas de negocio
• Cadenas de valor
• Factores críticos de éxito
• Riesgos y controles
• Valor agregado
• Análisis Top Down
• Trabajo en Equipo con el cliente
• Comunicación
• Tecnología
• Visión integral - interdisciplinaria
• Modelo de la Auditoria
Internal auditoria
Mission
Internal Audit Strategic Plan
Internal Audit Performance metrics

• El Riesgo y el Proceso de Auditoria Interna

• La auditoria debería estar e enfocada alrededor del
riesgo
• No existe ningún punto de auditoria si no hay riesgo
• Entonces es necesario tener un método para
- Definir en el riesgo
- Evaluar los riesgos
- Desarrollar o adaptar un plan de auditoria basado en
dichos riesgos.

IV PLANEACIÓN CON VISIÓN DE
NEGOCIOS

Etapa II
Etapa I Plantación Etapa III Etapa IV
Trabajo Informe y
Planeación detallada y Control de
encomendado terminaciòn
Del trabajo ejecución calidad
BASES DE LOS PROCESOS
Planeación Control de
Expectativas Informes de calidad
detallada
auditoria
del cliente
Ejecución Satisfacción
Resumen
Resumen
Ejecutivo de
Ejecutivo de
Los idiomas
Los idiomas
Revisión Documentación
corporativa y revisión Informes periódicos
A la gerencia / al
Comité de auditoria
Evaluación del Terminación

riesgo
Planeación
estratégica
Reevaluación de
la planeación
Expectativas del cliente
• Marco legal y Organizacional
• Expectativa particulares de la gerencia
• Experiencia acumulada
• Planeación estratégica de negocios
• Benchmarking
• Entrevistas con la alta gerencia
• Taller corporativos
• Análisis Financiero
• Organización y Tecnología
• Otros elementos organizacionales.
¿Qué es Cadena de valor?
• Una Cadena de valor es una descomposición de la
empresa en sus elementos básicos agrupándolos
según la tecnología que está detrás, teniendo en
cuenta cosas que van necesariamente unidas a los
productos, sin las cuales éstos no podrían existir.

Clasificación de Actividades
• Actividades de negocios: Son aquellas actividades
necesarias para genera, comercializar, o mantener un
producto.
• Actividades de Soporte: Son aquellas actividades no

relacionadas con los productos, pero que sin embargo
dan soporte a las áreas donde estas se desarrollan y
comercializan.
• Un modo de saber si dos actividades realizadas por una
empresa son separables es preguntarse si se podrían
subcontratar, es decir si una de ellas podría no
efectuarse en la empresa manteniendo la otra.

GENERACIÓN DE ELECTRICIDAD
(1) (2) (3) (4) (5)
Coordinación Generación Mantenimiento Desarrollo de
Promoción
de operaciones De electricidad de máquinas transacciones
y mercado con el COES Y equipos comerciales
(6) Abastecimiento de bienes y servicios
(7) Administración del Personal
(8) Administración de la fianzas
(9) Planificación, desarrollo y dirección del negocio
(9) Soporte adminsitrativo

1. Promoción y mercadeo
1.1 1.2 1.3 1.4 1.5
Detectar Promocionar Mantener

Analizar Detectar
Oportunidades
El mercado nuevos Clientes oportunidades
de venta
negocios actuales de inversión

2. Coordinación de operaciones
con el COES
2.1 2.2 2.3 2.4
Monitorear la Ejecutar programas Preparar información

Mantener
Red interna de Definidos por el del comportamiento
Clientes
la compañía COES de equipo de generación y
actuales
transmisión

3. Generación de Electricidad
3.1 3.2 3..3 3.4
Operar las Operar las

Operar las Transmitir
Centrales centrales
represas hodroeléctircas energías
termoeléctricas

4. Abastecimiento de bienes y
servicios
4.1 4.2 4.3
Requerir
Adquirir Administrar
Bienes o Bienes o servicios almacenes
servicios

5. Administración de Personal
5.1 5.2 5.3 5.4 5.5
Administrar Administrar
Seleccionar Capacitar al Administrar
Asistencia de Políticas
personal personal personal File
remunerativas
de personal

6. Administración de las finanzas
6.1 6.2 6.3 6.4

Controlar los gastos Contabilizar y Llevar el
Elaborar los Preparar estados
de acuerdo al
presupuestos Financieros y
Control del
presupuesto
Otros informes efectivo

Importancia de la cadena de valor en la auditoria
• Asociación de objetivos de negocios y procesos críticos

• Análisis macro de actividades de negocio – procesos
críticos
• Visión global de posibles factores críticos de éxito y
sus indicadores de medición
• Análisis del nivel de funcionabilidad esperado de las
actividades de apoyo y sus indicadores
• Análisis preliminar de riesgos con visión global de
negocios.

Los objetivos estratégicos
corporativos - Direccionadores
Objetivos
Auditor interno
Estratégicos
Objetivos
Estrategias
Riesgos
Metas
Planes

Factor Crítico de éxito
• Conjunto de actividades,
funcionales o procesos que
sin lugar a dudas se deben
llevar a cabo para lograr un
objetivo.

Objetivos
estratégicos
Factores
Críticos Riesgos
Controles

V. Control Interno

Committee
• Committee Of Sponsoring Organizations
of the Treadway Commission
(COSO Framework)

Informe COSO - sobre el control –
publicado en USA en 1992
• Grupo de trabajo que la TREADWAY COMMISSION,

NATIONAL COMMISSSION ON FRAUDULENT
FINANCIAL REPORTING creó en 1985 bajo la sigla
“ COSO ” (COMMITTE OF SPONSORING
ORGANIZATIONS)

Grupo de Trabajo constituido por representantes de
los siguientes organizaciones:
• Amirican Accounting Association (AAA)

• American Institute Of Certified Public Accountans
(AICPA
• Financial Excutive Institute (FEI)
• Institute Of Internal Auditors (IIA)
• Institute of Management Accountants (IMA)
• Coopers & Lybrand (Redacción Informe)

Control interno
Una definición más amplia
• “El control interno es un proceso llevado a cabo
por el directorio, gerencia y personal de una
entidad diseñado para proveer una seguridad
razonable en relación al logro de los objetivos
en las siguientes categorías:
• Efectividad y eficacia de la operaciones
• Confiabilidad de los reportes financieros
• Cumplimiento de las leyes y regulaciones
aplicable”

Estructura de control propuesta por el
COSO
nto es
ci e
i e n
o
a n rt
io
er
il m
fin epo
c
m
p
e ra
R Cu p
O
Monitoreo
Información y
Comunicación
Evaluación
de Riesgos

EL ENTORNO DE CONTROL
Conozca el perfil de la
ent es organización
i on
ci e
o
- Integridad
a n rt
im i
er
l ac
fin epo
p r - Valores éticos
m o
Cu pe
R
O - Competencias
Monitoreo
El entorno de Información y
control es el Comunicación
cimiento Conozca la filosofía de la gerencia
Evaluación de Responsabilidad y Seguimiento
Riesgo Autoridad
Recursos Humanos
Actividad de Desarrollo de la gente
control
• Se debe conocer lo suficientemente para entender

•- la actitud
•Forma a pensar
• acciones
• de la administración y dirección de la entidad
Evaluación de riesgo
• Identificación y
nt es análisis de los
e
i on riesgos relevantes
ci e
o
a n rt
im i
er
l ac
fin epo
p r para el logro de
m o
Cu pe los objetivos de la
R
O organización
Monitoreo
La evaluación del riesgos Información y

por la
Comunicación
Gerencia es la condición
primaria
Evaluación de Gerenciar el cambio
Para establecer el
Riesgo
Control interno
Actividad de
control
• Se debe conocer lo suficientemente para entender

•- la actitud
•Forma a pensar
• acciones
• de la administración y dirección de la entidad
Actividades de control
• Procedimientos para
implementar las directivas
ent es de la Gerencia
i on
ci e
• Revisiones de la Gerencia
o
a n rt
im i
er
l ac
Principales
fin epo
p r • Gerenciamiento activo
m o
Cu pe
R
• Controles físicos
O • Separaciones de funciones.
Monitoreo
Información y
Las actividades de control
Comunicación
son aquellas políticas y
procedimientos diseñados Actividades de
para mitigar el riesgo. control Establecimiento de mecanismos por
parte de la gerencia orientados al logro
Evaluación de riesgos
de los objetivos de control
Entorno de Control
•La identificación de las actividades de control es de vital

importancia en la evaluación del diseño de los controles.
•Dicha identificación se efectúa por ciclo relevante
•La presencia o ausencia de actividades de control frente a
los riesgos de auditoria permite determinar donde es
Auditoriadireccionar
necesario Administrativa
los procedimientosFELIX RIVERA
de auditoria.
Actividades de control
• Controles de las aplicaciones flujo de datos
SOBRFE LAS
SOBRE LOS DATOS TRANSACCIONES
TOTALIDAD Y EXACTITUD ESTADOS

DE LA ACTUALZACIÓN
CONTABLES
EXACTITUD DEL TOTALIDAD DEL
AUTORIZACIÓN INGRESO INGRESO
=
Totalidad y exactitud de los
datos acumulados EXACTITUD
(mantenimiento)
ACCESIO
RESTRINGIDO
Controles de tecnología de información OPERACIONES DEL COMPUTADOR

MANTEMIENTO DE APLICACIONES
SEGURIDAD
DESARROLLO DE SISTEMAS

INFORMACIÓN Y COMUNICACIÓN
La exactitud y oportunidad de
nt es la información financiera,
ie n operativa y de gestión
ci e
o
io
an rt
im
er
l c
fin epo
La información y la
p ra
comunicación forman m o e
Cu
R
parte del sistema de p
control O Acceso a la información
externa e interna
Monitoreo
Información y Comunicación dentro
Comunicación de la organización
Actividades de
control
Entorno de Control
•Es importante conocer los medios utilizados para comunicar

los roles y responsabilidades en la presentación financiera
•Es necesario entender el sistema contable y el ambiente de
computación
•Existencia de información gerencial de calidad.
MONITOREO
nt
Evaluación
ie n es
ci e
del Sistema de control
o
io
an rt
im
er
l c
fin epo
El monitoreo es clave
p ra
para minimizar las m o e
Cu
R
sorpresas en el curso de p
los negocios O Monitoreo constante
Monitoreo
Información y Mecanismos para reportar
Comunicación deficiencias serias
Actividades de
control
Entorno de Control
•Es importante conocer los procesos utilizados por la dirección

para este objetivo para evaluar el riesgo de control.

MONITOREO
• Controles de Monitoreo
• Analíticos
- Cambios no esperados
- Cambios esperados que no ocurren
- Diferencias entre lo actual y lo planeado o presupuestado
- Discrepancias no esperadas en las tendencias
- Reporte de excepciones.

LIMITACIONES DEL CONTROL INTENRO
• Garantizar el éxito de la entidad, asegurando la

consecuencia de objetivos básicos empresariales o como
mínimo la supervivencia de la entidad.
• Un sistema de control interno, sin importar lo bien

estructurado y operativo que esté, ofrece
una seguridad razonable no absoluta a la
administración respecto del logro de los objetivos.

LIMITACIONES DEL CONTROL INTENRO
• Imposibilidad de lograr un control 100% debido a

problemas tales como:
• Error de juicio – juicio individual y toma de decisiones
erróneas.
• Fallas que pueden ocurrir por errores e irregularidades
• Superposición de la Administración - la administración
ignora los controles
• Colusión – cuando dos o más personas acuerdan
eliminar un control intencionalmente.

PRICEWATERHOUSECOOPERS

VI ANÁLISIS Y EVALUACIÓN DE
RIESGOS

Etapa II
Etapa I Etapa III Etapa IV
Trabajo Planeación
Planeación Informe y Control de
encomendado Detallada y
del trabajo terminación calidad
ejecución
FASES DE LOS PROCESO
Expectativa
Planeación Informes de Control de
del cliente
detallada auditoria Calidad
Revisión
corporativa Ejecución Resumen ejecutivo Satisfacción
de los informes Del cliente
Evaluación
de riesgo Documentación Informes periódicos
y revisión A la gerencia /al comité
de auditoria
Planeación
estratégica
Terminado
Aprobación de la
planeación
Reevaluación de la
Análisis y evaluación de riesgos
RIESGOS:
Cualquier evento que
pueda afectar la
consecución de los
objetivos de la entidad

AMENAZAS INCERTIDUMBRE OPORTUNIDAD

•Enfoque tradicional •El control está enfocado en • Enfocado a la inversión
•Naturaleza defensiva la distribución de los •Naturaleza ofensiva
•El propósito es focalizar resultados •El propósito es tomar
recursos para reducir la •Naturaleza de cobertura acciones para alcanzar
probabilidad o el impacto de •El objetivo es reducir la ganancias positivas
los efectos negativos diferencia entre los •Los requerimientos de una
resultados estrategia de crecimiento
•Presupuestados y los deben implicar una relación
resultados reales. entre riesgos y retorno
REDUCIR MANEJAR EXPLOTAR

EVALUACIÓN DEL RIESGO
Identificar los objetivos corporativos y
• Fuentes de información potenciales las unidades claves de negocios
+Apreciación global corporativa Para la unidad o entidades claves

+ Gerencia o comité de auditoria Identificar los objetivos de Identificar los objetivos de
aseguramiento de negocios acciones
por los interesados
+Apreciación global corporativa
Para cada categoría de objetivos
+ Gerencia o comité de auditoria
Identificar los riegos claves

+Apreciación global corporativa que afectan la capacidad de
+ Gerencia o comité de auditoria lograr los objetivos
Para cada riesgo claves

+Apreciación global corporativa
+ Gerencia o comité de auditoria Evaluar la probabilidad e Identificar circunstancias e
impacto de ocurrencia indicadores de riesgo
+ Gerencia o comité de auditoria
Resumir resultados y alinear los objetivos

y riesgos para las unidades de negocios
Resumen
Auditoria Administrativa FELIX RIVERA de riesgo
Análisis y evaluación de riesgo
ENFOQUE ORCA
ALIMENTACIÓN
RIESGO
OBJETIVOS

ENFOQUE ORCA
MAXIMIZE
Stakeholder
valúe
Emplotoyees
Spliers Spliers
Shareholders
Eviroment Eviroment
OBJETIVES

Evaluación de Riesgos
Un pre- requisito para la evaluación de riesgos es el

establecimiento de objetivos.
La evaluación de riesgos consiste en la identificación
y en el análisis de los hechos y condiciones relevantes
que pueden interferir en el logro de los objetivos.
A partir de una correcta evaluación de riesgos, la
entidad puede determinar cómo reducir o eliminar el
impacto de esos riesgos.

Evaluación de riesgos negocio
• Se enfoca en la identificación de oportunidades para

optimizar el valor para el empresario.
• Objetivos de valor para el empresario.
Social
Crecimiento de ingresos
Margen operativo
Manejo del capital de trabajo
Inversión de capital
Tasa de impuestos
Costo de capital
Reducción de riesgos de fraude.

La estructura del control interno debe ayudar al logro
de los objetivos
Es decir, al fijar objetivos a nivel de la organización y de las

actividades, una organización se centra principalmente en el
desarrollo de objetivos y metas consistentes en toda la
organización, informando a la gerencia en forma oportuna sobre el
rendimiento y las expectativas. Aunque no pueda asegurarse el
éxito, la gerencia debe contar con una seguridad razonable de
que será alertada cuando los objetivos corran peligro de no ser
logrados.

Elementos relacionados con los objetivos
Analicemos ahora elementos relacionados con los objetivos:

• Categorías de objetivos
• Conexión entre los objetivos
• Logro de los objetivos

Categorías de Objetivos
Como ya vimos a pesar de la diversidad de objetivos se

pueden establecer en grandes rasgos ciertas categorías:
Eficacia y eficiencia
Confiabilidad de los
De las operaciones Informes contable
Cumplimiento de leyes y
reglamentaciones vigentes

Categoría de objetivos
Objetivos operativos
No existe un objetivo que resulte óptimo para todas las organizaciones ya

que varían de acuerdo con las preferencias, juicios y estilo de la gerencia.
Como regla general, los objetivos operativos son siempre establecidos y
afectados por factores internos (aunque algunos factores externos puedan
incidir (aunque algunos factores externos puedan incidir en algunos casos:
factores climáticos o medidas del gobierno pueden modificar el criterio de l
a organización.

Informe contable
Referidos a la preparación de estados contables confiables,

incluyendo la prevención de fraudes. Son preparados
principalmente por requerimientos externos.

CUMPLIMIENTO
Dependen de factores externos, tales como reglamentaciones

ambientales, y tienden a ser similares en todas las organizaciones,
en algunos casos, y en una industria en otros.
Las organizaciones deben conducir sus actividades y normalmente
toman acciones específicas según las leyes y reglamentaciones
vigentes que pueden referirse al mercado, precios, impuestos, el
ambiente o el comercio internacional.

Evaluaciones de Riesgos
Conexión entre objetivos
Como ya comentamos al hablar de objetivos, estos deben ser complementarios y

estar relacionados.
Aquellos que abracan toda la entidad no sólo deben ser consistente con las
capacidades y perspectivas de la organización, sino que también deben ser
consistentes con los objetivos de sus unidades y funciones de negocio. Los objetivos
que abarcan toda la organización deben ser clasificadas en sub-objetivos,
consistentes con la estrategia global y relacionados con la actividades en toda la

compañía.

Identificación y análisis de riesgos
La evolución del riesgos consiste en la identificaron y en el análisis de los hechos y

condiciones relevantes que puedan interferir en el logro de los objetivos.
A partir de una correcta evaluación de riesgos, la entidad puede determinar cómo
reducir o eliminar el impacto de esos riesgos.
Corresponde ahora descubrir qué queremos decir al referirnos a “identificación y
“”análisis” comencemos por IDENTICACIÓN.

Identificación de riesgos a nivel entidad
A nivel de identidad
La identificación de los riesgos debe ser comprensiva y debe considerar todas los
interacciones significativas de bienes, servicios e información. (Proveedores,
empleados, inversionistas, gobierno, etc.).
El desempeño de la entidad puede estar en riesgo a causa de l factores internos y
externos, los cuales pueden afectar los objetivos establecidos.

• Factores externos
• Factores tecnológicos
• Necesidades o expectativas de los clientes
• La competencia
• Nuevas regulación o legislación
• Catástrofes naturales
• Cambios económicos.

• Factores internos
• Ruptura en el procesamiento de sistemas
• Calidad del personal vinculado, capacitación
• Cambios en la administración
• El objetivo de la entidad y el acceso de los empleados
• Un consejo directivo o un comité de auditoria que no actúa.

Identificar las circunstancias e indicadores de riesgos (Ayuda a enfocar mejor la

planeación).
• Factores o impulsores que puedan llevar a la ocurrencia de un problema o un
riesgo específico.
• ¿Podría haber algún problema?
• Complejidad de una actividad?
• ¿Actividades distribuidas geográficamente sin adecuado control?
• ¿Operaciones significativas en moneda extranjera?
• ¿Falta de uniformidad en el control entre unidades de negocio?
• Los indicadores de riesgo responde a la pregunta ?Ha habido un problema?
Experiencias pasadas sobre fallas en el consecución de objetivos.

• Ejemplo: importador de vestidos y calzado

• Objetivos: Ser líder en el mercado de moda de alta calidad
• Riesgos:
 Fuentes de abastecimiento, incluyendo calidad, número y
estabilidad de los fabricantes del exterior.
 Fluctuaciones de la moneda
 Oportunidad de recibir embarques
 Demoras en la aduana
 Hostilidad internacional.
 Presiones de los clientes e inversionistas para no realizare
 Operaciones en un país extranjero cuyos gobernantes podrían
dictar políticas inaceptables.

Clasificación de riesgos
Se asocia con la forma en que se administrar una organización. El manejo del
riesgo estratégico se enfoca a asuntos globales de mercados, clientes,
competidores, globalización, alianzas, empresas conjuntas y desarrollo de
nuevos productos.
Se relacionan con las exposiciones financieras de una organización. El manejo
del riesgos financiero toca actividades de tesorería, comercialización e inversión,
capital del trabajo.
Comprende tanto riesgos en sistemas como operativos provenientes de
deficiencias en los sistemas de información, procesos, estructura que conduce
a pérdidas inesperadas y/o ineficiencias.
Se asocia con la capacidad de la organización para cumplir con los requisitos
regulativos, legales, contractuales, de conducta de negocios, de ética,
fiduciarios y de calidad.
Se asocia con la capacidad de la organización para que la tecnología disponible
y proyectada satisfaga las necesidades actuales y futuras de la organización.

Análisis de riesgos
La metodología para analizar los riesgos puede variar,
en gran medida debido a que muchos riesgos son
difíciles de cuantificar. Sin embargo, el proceso, que
puede ser más o manos formal, generalmente incluye.
La determinación de la significatividad del riesgo
 La evaluación de la probabilidad de que ocurra el
riesgo o la frecuencia con que se produce el mismo
 La consideración de la forma en que debe el mismo
 La consideración de la forma en que debe ser
administrado el riesgo, es decir, la evaluación de las
acciones que deben ser adoptadas.
Significatividad del riesgos
Evaluación del Riesgo

PROCESOS DE ANÁLISIS DE RIESGOS
☻ La determinación de la significativas del riesgo
☻ La evaluación de la probabilidad de que ocurra el riesgo o la
frecuencia con que se produce el mismo
☻ La consideración de la forma en que debe administrar el riesgo, es
decir, la evaluación de la acciones que deben ser adoptadas.

Significatividad del riesgos
 Evaluar la probabilidad e impacto de Ocurrencia

 Evaluar el riesgo antes de considerar el efecto de los
controles y otras acciones de mitigación del riesgo.
 El riesgo inherente al negocio refleja dos elementos, la
probabilidad y el impacto de ocurrencia.
 Midiendo estos factores, los riesgos pueden recibir
prioridad. (alto impacto/alta prioridad).

Circunstancias que requieren especial atención
☻ Cambios en el ambiente operativo: los cambios en un ambiente

regulatorios o económico pueden producir un aumento en las
presiones competitivas y en riesgos significativamente distintos.
☻ Nuevos personal: Un ejecutivo principal nuevo en una
organización puede no comprender la cultura de la organización o
puede centrarse exclusivamente en el rendimiento, excluyendo
todas las actividades relacionadas con el control.
☻ Sistemas de información nueve o reacondicionado: los controles
normalmente eficaces pueden fallar cuando se desarrollan nuevos
sistemas, especialmente cuando esto se realiza con una limitación
inusual de tiempo.
☻ Crecimiento rápido: cuando las operaciones se amplían
significativamente y rápidamente los sistemas existentes pueden
ser forzados a tal punto que los controles faltan.

Circunstancias que requieren especial atención
☻ Nueva tecnología: cuando se incorporan nuevas tecnologías a los

procesos de producción a los sistemas de información existe una
alta probabilidad de que se necesiten modificar los controles
internos.
☻ Nuevas líneas, productos y actividades: cuando la organización
incursiona en ramos de negocios nuevos se dedica a operaciones
con las cuales no está familiarizada es probable que los controles
existentes no resulten adecuados.
☻ Reestructuración de la organización: Reestructuraciones, que
resultan, por ejemplo: de una compra “con efecto palanca” o de
una reducción significativa en los negocios o de programas de
reducción de costos – pueden estar acompañadas por reducciones
de personal y una inadecuada supervisión y segregación de
funciones.
☻ Operaciones en el exterior: la expansión o adquisición de
operaciones en el exterior acarrea riesgos nuevos y a la menudo
únicos que la gerencia debería tratar.

VII ANÁLISIS Y EVALAUCIÓN

MONITORING
Información &
Communica´tión
Control Activity
Risk Assessment
Control Evioronment
CONTROLS

Componentes del control Interno
Monitoreo
Organización
Cuantificación
Ambiente de Control

Ambiente de control
El número de cualquier negocio es su gente, sus atributos

individuales. El ambiente de control es el fundamento de
todo el proceso de Control Interno e incluye la integridad,
valores éticos e idoneidad y el ambiente en el que ellos
operan. Son el motor que impulsa a la entidad y los
cimientos en los cuales todo se apoya .

Ambiente de control
El ambiente de control está
influenciado por la historia y la
cultura de la organización
Las organizaciones eficazmente

controladas se esfuerzan por tener
gente competente, introducir una
actitud de concientización sobre la
integridad y el control en toda la
organización y establecer un “tono
positivo en el nivel superior”
Establecen políticas y procedimientos

adecuados que promueven los valores
compartidos y el trabajo en equipo para el
logro de los objetivos de la empresa.
A menudo se incluye un código de
conducta escrito.

Ambiente de Control
Existen que impactan significativamente en el ambiente
de control:
 Filosofía y estilo operativo de la gerencia
 Compromiso a la competencia
 Valores de integridad y ética
 Estructura de la organización

Ambiente de Control
FILOSOFÍA Y EL ESTILO OPERATIVO DE LA GERENCIA
La filosofía y el estilo
operativo de la gerencia
afectan la forma en que es
conducida la empresa,
incluyendo los tipos de
riesgos de negocios
aceptados

Ambiente de Control
FILOSOFÍA Y ESTILO
OPERATIVO DE LA GERENCIA
COMPROMISO A LA COMPETENCIA
La competencia fluye de dos

factores: la educación y el
entrenamiento. El primero de ellos
es conceptual y se basa en un
aspecto plenamente teórico. El
entrenamiento, en cambio, es
específico a la compañía: es donde
los conceptos se ponen en práctica.

Ambiente de control
Los objetivos de la
organización y la manera en
que se logran están basados
en las preferencias, en los
criterios de valor y en los
estilos gerenciales, los cuales,
traducidos a normas de
comportamiento, reflejan la
integridad de la gerencial y su
compromiso respecto de los
valores éticos

Ambiente de Control
ESTRUCTURA DE LA
ORGANIZACIÓN
La estructura organizativa de una

empresa proporciona un marco dentro del
cual se planifican, ejecutan, controlan y
monitorean sus actividades para el logro
de los objetivos. Los aspectos significativos
relacionados con el establecimiento de
una estructura organizacional relevante
incluyen la definición de la s áreas claves
de autoridad y responsabilidad y el
establecimiento de líneas de información
adecuadas.

CONTROL INTERNO
INTEGRACIÓN DEL APRENDIZAJE
COMPONENTES DEL CONTROL INTERNO

Ambiente de Control
o Fundamento de todos el proceso de control interno incluye la
integridad, valores éticos e idoneidad.
o Está influenciado por la historia y la cultura de la organización
o La filosofía y el estilo operativo de la Gerencia afectan la forma en que
es conducida la empresa.
o Compromiso a la educación y el entrenamiento del personal
o Políticas y prácticas de RR.HH.
o Compromiso de la Gerencia respecto de los valores éticos
o Estructura organizativa.

Actividades de Control
• Las actividades de control son las políticas y los

procedimientos que ayudan a asegurar que se cumplan
las directivas de la gerencia. Ayudan a asegurar que se
adopten las medidas necesarias para enfrenta los
riesgos que atentan contra el logro de los objetivos de la
organización.

Información y comunicación
• En torno a las actividades de

control se encuentran los
sistemas de información y
comunicación. Estos sistemas
permiten que el personal de la
entidad capte e intercambie la
información necesaria para
conducir, administrar y controlar
sus operaciones.

Información y comunicación
• La comunicación de fuentes externas

a menudo proporciona información
importante sobre el funcionamiento
del proceso de Control Interno. Por
ejemplo, l a comprensión por parte de
los auditores externos, de las
operaciones de una empresa, y de
temas de negocios y procesos de
control asociados proporciona
importante información sobre control
a la gerencia y al directorio.

Información y Comunicación
• La calidad de la
información afecta la
capacidad de la gerencia en
cuanto a la toma de
decisiones adecuadas para
la administración y el
control de la actividades de
la organización

Información y Comunicación
Medir la calidad de la información incluye la determinación
El contenido es adecuado ¿Está disponible la información requerida
La información es oportuna ¿está disponible cuando se la necesita?
La información es actual ¿es la última disponible?
La información es precisa ?son los datos correctos?
La información es accesible ¿puede ser obtenida fácilmente por las partes

pertinentes?.

VIII ALINEACIÓN

Alineación
Una adecuada sincronización entre
objetivos corporativos, riesgos y
controles, constituye la meta de todo
plan estratégico de control y por
ende será el eje central del
trabajo de auditoria interna.

ANÁLISIS Y EVALAUCIÓN DE RIESGOS
ENFOQUE ORCA
OBJECTIVE
Organización
Risk Procedss
Business Process
Systems
Policies
Management Reporting

IX MAPEO DE RIESGOS

Mapeo de riesgo
 Técnicas que facilita la visualización global de los
procesos críticos de los negocios y sus niveles de

riesgo, organizados de acuerdo con los factores
estratégicos de riesgo del negocio.
 Tiene como objetivo central, facilitar la focalización de
esfuerzos hacia las áreas más sensibles del negocio.

Focalización hacia procesos y áreas críticas
Procesos Factor riesgo
Venta de servicios Estratégica Operativos Financieros Cumplimiento Tecnologías
Creación en el sistema de
servicios
Registro de uso de
servicios
Facturación
Cartera
Recaudo
Riesgo medio
Riesgo
Alto
Riesgo
bajo
Otro ejemplo de matriz de riesgo
Objetivo de área Descripción Evaluación del riesgo
del Riesgos
Impacto
Mantener una Riesgo de personas 1.

del sindicato
Huelga, paralización Operacional / de
de labores Recursos
●A ●B ●B
estructura de
2. Dificultades para humanos
personal acorde
Riesgo de falta de atraer y retener Operacional / de
con los
requisitos manos de obra. personal `calificado Recursos 0M 0A 0M
3. Calificación técnica humanos
operacionales de inadecuada Operacional / de
Riesgo de
la empresa 4. Alta rotación de Recursos
capacitación
inadecuada personal clave humanos ●B ●B ●B
5. Incumplimiento de laOperacional / de
legislación laboral Recursos
Riesgo de alta humanos
rotación de personal vigente. ●A ●M ●M
De conformidad
5. Riesgo de
contingencias
laborales
●A ●M ●M

Matriz de Riesgo
mayor Sistemas
Ventas
I
P Producción
Contabilidad Créditos y
A Cobranzas
C
T
Existencias
O Recursos Compras
Humanos
menor
Auditoria Administrativa menor FELIX RIVERA menor
X. ESTRATEGÍAS DE AUDITORIA

Etapa II
Trabajo Planeación
ejecución
Expectativa
del cliente
Revisión
Evaluación
de auditoria
Planeación
estratégica
Terminado
Aprobación de la
planeación
Reevaluación de la
Estrategias de auditoria Administrativa
 Focalización hacia los procesos críticos de los
negocios.
 Direccionamiento dado por los niveles de riesgo
de la actividades de negocio.

Estrategias de auditoria Administrativa
Elementos
 Línea de negocios
 Áreas de enfoque
 Procedimientos de auditoria
 Alcance
 Oportunidad

A partir de la evaluación de
riesgos de negocios por
procesos críticos, se definen
las estrategias de auditoria a
desarrollar

Plan anual de Auditoria
PLAN ANUAL DE AUDITORIA DEL 2003
Auditorias Horas
Ene -03 Feb-03 Mar – 03 Abr - 03 May -03 Jun -03 Jul-03 Ago-03 Sep-03 Oct-03 Nov-03 Dic-03
Almacenes
Importaciones
Planillas
Ventas - Mercado
Interno
Exportaciones
Compras
Crédito y
Cobranzas
Oficina de Trujillo
Activo fijo
Costos de
producción
Seguimiento 2002
Auditoria
Total Administrativa FELIX RIVERA
XI. EVALUACIÓN DE CONTROLES

Etapa II
Trabajo Planeación
ejecución
Expectativa
del cliente
Revisión
Evaluación
de auditoria
Planeación
estratégica
Terminado
Aprobación de la
planeación
Reevaluación de la
Controles de aplicación
Los controles de aplicación son procedimientos diseñados

para alcanzar los objetivos de control.
Permite asegurar:
La totalidad y exactitud de las transacciones
Su autorización
existencia

Tipos de actividad de control

• Segregación de funciones
• Proceso de información
 Autorización
 Exactitud
 Integridad
• Controles físicos
• Arqueos de valores y documentos
• Restricción de acceso
 Sistemas
 físico
• Las actividades de control generalmente se apoyan

en:
- Las políticas que determinan lo que debería hacerse; y
- Los procedimientos necesarios para llevar a cabo la

políticas.

• Los controles pueden ser:

 Manuales
- Autorización de créditos por el Comité de Créditos
- Conciliaciones bancarias
- Aprobación de pagos a proveedores
 Computarizados
- Control de solicitudes de crédito con crédito aprobados
- Rechazo de asientos no balanceados.
 En la práctica los controles de las aplicaciones son una
combinación entre procedimientos computarizados y controles
efectuados manualmente por los usuarios.
 Por lo tanto la eficacia de los controles de las aplicaciones en
muchos casos depende de la eficacia de los controles
computacionales.

 Durante la documentación de los controles de aplicación se debe

asegurar que se identifiquen todos los objetivos de control
 Controles en las transacciones
- Autorización
- Integridad
- Exactitud
 Controles en los procesos
- Integridad y exactitud de las actualizaciones
- Integridad y exactitud de los datos acumulados
- Acceso restringido a activos y registros
 El auditor concluye sobre la existencia, la suficiencia y el diseño
de los controles.

OBJETIVOS Documentación y
DE CONTROLES Pruebas de diseño
• Estructura Organizativa Controles de monitoreo de
• Desarrollo e TI Controles operativos
implementación de TI
• Modificación de las
aplicaciones
• Operación del
Computador
• Seguridad informática.
PRUEBAS DE
CONTROLES

XII EVIDENCIA

Evidencia
Concepto Naturaleza Suficiencia

Debe obtenerse evidencia Esta constituida por toda Se refiere a la cantidad y tipo
suficiente y competente por información, documento o de evidencia, usando su juicio
medio de la inspección, dato que sustente una profesional para formarse
observación, investigaciones transacción o procedimiento. una opinión.
y confirmaciones para El auditor los prueba
suministrar una base mediante análisis y
razonable, a fin de formarse revisiones.
una opinión. Es preferible que se obtenga
de fuentes independientes.

XIII FINALIZACIÓN

Finalización
Finalización y revisión del trabajo de campo
Resolución de asuntos críticos y de otros asuntos importantes
Revisión final de los estados contables
Preparación del informe

 Aspectos mínimos que debe contemplar el informe
• Observaciones de control interno y recomendaciones
• Apartamiento de políticas y procedimientos
• Apartamiento de normas contables
• Seguimientos de normas contables
• Seguimientos de las observaciones y
recomendaciones de informes anteriores
• Otras observaciones y/o comentarios.

Preparación del Informe
- ¿Cómo de el proceso de comunicación con el área

auditada?
• Informalmente durante el transcurso de la revisión
• Informe formal preliminar para darle oportunidad al

área auditada de hacer aclaraciones y/o correcciones
• Informe final después de evaluadas las respuestas del

área auditiva.
Deficiencias de seguridad en la unidades de transporte

No cuenta con manuales de procedimiento
Hemos observado la falta de un manual que detalle los procedimientos generales y específicos
que debe efectuar el personal de la compañía, debido a que el trabajo de elaboración de
estos manuales han sido postergado.
Riesgo
La inexistencia de procedimientos a ser efectuados en las determinadas áreas, trae como
consecuencia falta de controles en las funciones administrativas que no permiten detectar o
de lo contrario no son detectados, debido a que no están definidas las responsabilidades y no
se cuenta con políticas y sistemas de trabajo y de control estandarizados, para todas las áreas
administrativas. Esta situación se supera en ocasiones con la experiencia del personal de la
Compañía del personal de la compañía.
Recomendación
Recomendamos se considere como prioritaria la tarea de elaborar a la brevedad posible el
Manual de Procedimientos acorde con la realidad de la Compañía.
Comentarios de la Gerencia
De acuerdo con la recomendación, se inicia a la brevedad el trabajo de elaboración de los
Manuales de Procedimientos.

• Deficiencias de seguridad en las unidades de transporte

Como resultado de nuestra revisión a los formatos de evaluación de las
unidades de transporte que trabajan con la Compañía, hemos
a¡ observado que existen ciertas deficiencias de seguridad observadas
más de3 una vez en forma consecutiva en ciertos camiones y por las que
el transportista no ha tomado la correspondiente acción correctiva.
Riesgos
Incumplimientos de la normas de seguridad establecidas por la Compañía,
que pueden exponer a incidentes de seguridad ocasionados por sus
unidades de transporte que pueden exponer e ocasionar perjuicios a la
compañía.
Recomendaciones
La compañía debe tomar acción inmediata y efectiva sobre aquellos
transportistas que presentan deficiencias recurrentes como resultado del
proceso de evaluación de las unidades de transporte.
Comentarios de la Gerencia
De acuerdo con la recomendación , se implementará de manera inmediata.-
Responsable.

XIV COBIT

Significado de COBIT
C CONTROL
OB Objetives
I For Information
T And Related Technology

Que es Cobit
- Un modelo de control intenro dirigido a ls necesidades
de control de la Tecnología de Inforamción
- Complementa los modelos más generales como el
COSO
- Trata de proveer guías más detalladas sobre los
objetivos de control para informática

Objetivos del COBIT
• Los recursos de las Tecnologías de información deben
administrarse mediante un grupo de procesos TI.
• A fin de proveer la información que la organización
necesita para alcanzar sus objetivos.

¿A quienes está dirigido?
• Gerentes
• Par ayudarnos a balancear riesgo vs inversión
en control en un ambiente de TI.
Usuarios
• Obtener seguridad con respecto a la Seguridad
y los controles de TI que reciben (Interno o de
terceros)
Auditores
Para sustentar su opinión y/o proveer consultorio
en control interno a la Gerencia.
Principios
Requerimientos del
negocio
Procesos de TI
Recursos de TI

Requerimientos Requerimientos
=
del Negocio de información
Calidad
Calidad
Costo
Entrega
Fiduciario – Control Interno (coso)
Efectividad y Eficiencia de las operaciones
Confiabilidad de la información
Cumplimiento de leyes y regulaciones
Seguridad
Confidencialidad
Integridad
Disponibilidad

Requerimientos del negocio información
Efectividad – información relevante y pertinente para los
procesos de negocio, entrega de una manera oportuna,
correcta, consistente y utilizable.
Eficacia – relacionado con la entrega de información a
través del óptimo uso de los recursos (más productivo y
económico).
Confidencialidad- relacionado con la proyección de la
información a través del óptimo uso de los recursos (más
productivo y económico).
Confidencialidad - relacionado con la proyección de la
información sensitiva a acceso no autorizados..
Integridad: relacionado con la totalidad y exactitud de
la información, así como su validez en concordancia con
los valores de la organización y sus expectativas.
Disponibilidad – La información deberá estar
disponible cuando es requerida por los procesos de
negocios, considerando la salvaguarda de los recursos.
Cumplimiento- relacionado con el cumplimiento de leyes,
regulaciones y condiciones contractuales a las que están
sujetos los procesos de negocio.
Confiabilidad- los sistemas deberán proveer a la
generación financiera y operativa a los usuarios y a los
entidades reguladoras en cumplimiento de la leyes y
reglamentos.

Recursos de Ti
Datos
Objetivos con datos en su definición más amplia, ej. Externa e
interna, estructura y no estructurados, gráficos , sonidos, etc.
Aplicaciones
Se entiende por aplicaciones a la suma de los procedimientos
manuales u y programados.
Tecnología
Recursos para instalar y soportar los sistemas de información.
Personal
Capacidades y productividad para planear, organizar, adquirir,
entregar, soportar, monitorear los sistemas y los servicios de
información

Dominios y procesos de TI
Dominios Agrupamiento natural de procesos,

usualmente coincide con un
dominio de responsabilidad
Procesos organizacional.
Conjunto de actividades.
Actividades
Acciones requeridas para lograr
un resultado medible

Procesos de TI
Auditoria Administrativa
Cali
da d
Dominios
Procesos
Actividades
Fidu
ciari
o
FELIX RIVERA
Información
S eg
urid
ad
Personal
Aplicaciones y Sistemas
Tecnología
Instalaciones
CUBO DEL COBIT
Re
Datos
cu
r so
s
de
TI
Objetivos de Control
 os dominios
 Planificación y Organización
 Adquisición e Implantación
 Entrega y Soporte
 Monitoreo

Planificación y organización
 Estrategias y tácticas – Contribución de TI
 Logro de los objetivos de la organización
 Apropiadamente planeada, comunicada y
administrada.
 Organización e infraestructura tecnológica apropiada.

Adquisición e implantación
Realización de la estrategia de TI
Soluciones identificadas, desarrolladas o adquiridas e
implementadas
Soluciones integradas a los procesos de negocio
Cambio y mantenimiento de sistemas.

Entrega y Soporte
 Entrega de los servicios requeridos
 Operaciones, seguridad y capacitación
 Establecimiento de datos por las aplicaciones.

Monitoreo
• Evaluación regular de todos los procesos de TI
• Cumplimiento de controles

Reglas del COBIT
• A fin de proveer la
información que la
organización requiere para
el logro de sus objetivos, los
recursos de TI requieren ser
administrados por un
sistema de procesos
agrupados de manera
natural.

Proceso de TI
• Planeamiento y Organización
PO1 Definir un plan estratégico para TI
PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
PO4 Definir la Organización de TI y sus Relaciones
PO5 Administrar la inversión en TI
PO6 Comunicar las metas gerenciales
PO7 Administrar los RR. HH
PO8 Cumplir con los requerimientos externos
PO9 Evaluar los riesgos
PO10 Administrar Proyectos
PO11 Administrar la calidad.

Definición de un Plan Estratégico del TI – PO1
• 1.1 TI como parte del Plan de la organización a corto y

largo plazo
Objetivo de Control
La alta gerencia será la responsable de desarrollar e
implantar planes a corto y largo plazo que satisfagan
la misión y las metas de la organización. A este
respecto, la alta gerencia deberá asegurar que los
problemas de TI, así como las oportunidades sean
evaluados adecuadamente y reflejados en los planes a
corto y largo plazo de la organización.

1.2 Plan a largo plazo de TI
Objetivos de Control
La gerencia de la función de servicios de información
será responsable de desarrollar regularmente planes a
largo plazo de TI que apoyen el logro de la misión y
las metas generales de la organización. De la misma
manera, la Gerencia deberá implementar un procesos
de planeación a largo plazo, adoptar un enfoque
estructurado y determinar la estructura para el plan.

1.3 Plan a largo plazo d eTI – Enfoque y Estructura
Objetivos de control
La Gerencia de la función de servicios deberá establecer un
enfoque estructurado al proceso de planeación a largo plazo. Esto
deberá traer como resultado un plan de alta calidad que cubra las
preguntas básicas de qué, quien y cuándo. Los aspectos que
necesitan ser tomados en cuenta y ser cubiertos adecuadamente
durante el proceso de planeación son el modelo de la organización
y sus cambios, la distribución geográfica, la evolución tecnológica,
los costos, los requerimientos legales y regulatorios,
requerimientos de terceras partes del mercado, el horizonte de
planeación, reingeniería de procesos del negocio, la asignación de
personal, la designación de fuentes interna y externas, etc. el plan
mismo deberá hacer referencia a otros planes tales como el plan
de calidad de la organización y el plan de administración de riesgos
de información.

1.4 Cambios al Plan a largo plazo de TI
deberá asegurar que se establezca un proceso para
modificar oportunamente y con precisión el plan a largo
plazo de TI, con el fin de adaptar los cambios al plan
a largo plazo de la organización y los cambios en las
condiciones de la tecnología de la información.

1.5 Planeación a corto plazo en la función de servicios de información
deberá asegurar que el plan a largo plazo de TI sea
traducido regularmente en planes a corto plazo deberá
asegurar que se asignen los recursos apropiados de la
función de servicios de TI con una base consistente con
el plan a largo plazo. Los planes a corto plazo deberán
ser reevaluados y modificados periódicamente según
se considere necesario respondiendo a las condiciones
de cambios en el negocio y en la tecnología de
información. La realización oportuna de estudio de
factibilidad deberá asegurar que la ejecución de los
planes a corto plazo sea iniciada adecuadamente.

1.6 Evaluación de sistemas existente
En forma previa al desarrollo o modificaciones del Plan
Estratégico de Ti, la Gerencia de servicio de
información debe evaluar los sistemas existentes en
términos de nivel de automatización del negocio,
función habilidad, estabilidad, complejidad, costo,
fortalezas y debilidades, con el propósito de
determinar el nivel de soporte que reciben los
requerimientos de negocio de los sistemas existentes.

Procesos de TI
Adquisición e implantación
AI 1 Identificar soluciones
AI2 Adquisición y mantenimiento aplicaciones de
software tecnología
AI4 Desarrollo y mantenimiento de procedimientos
AI5 Instalación y Acreditación de sistemas
AI6 Administración de cambios.

Procesos de TI
Entrega y Soporte
DS1 Definición de niveles de servicio
DS2 Administración de servicios prestados por terceros
DS3 Administración de desempeño y capacidad
DS4 Aseguramiento de servicios continuos
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificación y Asignación de costos
DS7 Educación y entrenamiento de usuarios
DS8 Apoyo y asistencia a los clientes de TI
DS9 Administración de la configuración
DS10 Administración de problemas e incidentes
DS11 Administración de datos
DS12 Administración de instalaciones
DS13 Administración de operaciones

Proceso de TI
MONITOREO
M1 Monitoreo del proceso
M2 Evaluar lo adecuado del Control Interno
M3 Obtener aseguramiento independiente
M4 Proveer auditoria independiente.

ss
nbee
y
ctiv
ialit
ncy
ent
Effe Planificación y
cie
ility
nce
y
d
grit
Effi organización
Con
ilab
yliti
plia
Inte
Ava
ea b
Com
Rel
Adquisición y
implementación
The control of Delivery y

IT Processes Support
Which satisfy
Monitoreo
Business
Requeriments
Is enabled by
Control
Statements
And considers
s
ion
ple
Control
icat
y
Peo
log
ities
l
App
Practices
h
il
tec
Fac
a
dat
XV TECNICAS DE AUDITORIA
ASISTIDAS

• Usando Técnicas de Auditoria asistida por el computador para
detectar Fraudes – CAATs (Computer Assited Auditing Techniques)
- Los CAATs son herramientas basadas en el computador que
permiten al auditor incrementar su productividad personal así como
la de la función de auditoria.
- EL Poder de los CAATs se puede apreciar en pruebas sobre
grandes volúmenes de datos. ¿Cuál sería el tiempo requerido para
analizar abonos duplicados en cuenta por pago de planilla en una
empresa que cuenta con 1500 empleados y obreros?

Tipos de CAATs
- Procesamiento de palabras
- Hojas de cálculo
- Bases de datos
- Muestreo estadístico
- Data Mining
- Programas de pruebas en tiempo real
- Software integrado de auditoria
- Análisis de datos
Tipos de CAATs – mas usados
para detección de fraudes
- Procesamiento de palabras
- Hojas de cálculo
- Bases de datos
- Muestreo estadístico
- Data Minig
- Programas de pruebas en tiempo real
- Software integrado de auditoria
- Análisis de datos

¿Qué es el Data Mining?
_ Proceso descubrir nuevas correlaciones, patrones y
tendencias, a través del análisis de grandes volúmenes
de datos almacenados en repositorios utilizando
técnicas de reconocimiento de patrones y estadísticas.
- Más utilizado en análisis de ventas y de clientes

Ejemplos de aplicación de Data
Mining
- Las compañías de seguros recolectan información
relacionadas a los reclamos: descripción de incidentes,
reclamantes, testigos, otros individuos involucrados,
hora, localización etc.
- El software de Data Mining ayuda a identificar casos en
los que el mismo individuo está involucrado en varios
reclamos , algunas veces como testigos, otras como
pasajeros, otras como conductor
- Otros criterios de comparación e investigación permiten
la identificación de reclamos de seguros fraudulentos.

Análisis de Datos
- Útil en la identificación de operaciones no autorizadas
y reportes financieros fraudulentos.
- Permite un número ilimitado de relaciones a ser
evaluadas dentro de grandes bases de datos o
comparando grandes bases de datos identifica
anomalías.
- Requiere de una posterior investigación pro parte del
auditor para interpretar los resultados.

Análisis de Datos Software
• Acess y Excel
• Interactive Data Extracción and analysis (IDEA)
• Audit Command Languaje (ACL)
• Herramientas amigables al usuario basadas en
Windows
• Requieren de creatividad e imaginación
• Complementa pero no reemplaza el trabajo del auditor.

Análisis de Datos Técnicas
Filtros Clasificación
Clasificación (sort) Totalización
Análisis estadístico Estratificación
Faltantes (GAPS) Uniones y relaciones
Anticuamiento
Muestreo

Análisis de Datos – Técnicas -
Filtros
Muestra solo las transacciones que cumplen una
condición en particular, sobre las que el auditor está
interesado, sobre una base de datos con miles o
millones de registros
Ej. De la base de datos que contiene todas las facturas
pagadas en el mes, mostrar aquellas facturas que
tengan más de 30 (60, 90…) días de antigüedad.

Análisis de Datos Clasificación (Sort)
- Ordena la información de acuerdo a un criterio que

facilite su análisis
- Ej. Ordenar los documentos pendientes de pago por
antigüedad.
- Ordenar por número de teléfono del proveedor
- Ordenar pro número de cuenta para transferencias de
fondos para pago a través de bancos

Análisis de Datos - Técnicas – Faltantes (GAPS)
- Utilizando cuando se tiene formularios o transacciones

prenumerados.
- Mostrar todos los números de cheque faltantes
- Mostrar todas guías de remisión faltantes
- Mostrar todos números de reclamos faltantes.

Análisis De datos Técnicas -
Duplicados
 Utilizando en situaciones en la que los duplicados no
deberían ocurrir
 Mostrar todas las transacciones de pago de planilla del
presente periodo que tengan duplicado:
 Nombre del beneficiario
 Número del seguro social o CUS
 Dirección de pago
 Cuenta de destino para abono en cuenta.

Análisis de Datos técnicas –
Anticuamiento
- La mayoría utiliza un listado de anticuamiento de cuentas
por pagar .
- La función de anticaumiento puede calcular el número de
días entre dos fechas
- Mostrar el tiempo transcurrido desde que un item es
comprado y puesto en almacén hasta que es retirado pro
obsolescencia
- Mostrar el tiempo transcurrido entre la fecha de
recepción del cheque y la fecha depósito en el banco.

Análisis de Datos - Técnicas – Expresiones
y Cálculos
- Pueden ser usados para probar y detectar errores en
el sistema contable
- Pero también pueden ser utilizados alteraciones no
autorizadas de los datos
- Recalcular unidades x precio unitario y mostrar todos
los casos en los que el resultado no coincida con el
valor almacenado en el campo de monto
- Recalcular unidades x precio unitario y mostrar todos
los casos en los que el precio unitario no corresponda
al fijado en la lista de precios aprobados para el
periodo.

Fraude en Planillas – Bases de
Datos involucradas
- Planilla
- Directorio de empleados
- Directorio de empleados cesados
- Programación de vacaciones
- Gastos de empleados

Fraude en Planillas - Prueba
• Duplicidad
 Pagos en la misma fecha
 Nombres iguales o similares
 CUS
 Direcciones
 Número de teléfono
 Cuenta de depósito
• Empleados sin dirección identificada
• Sueldos inconsistentes con la clasificación del empleado
• Desembolsos por pagos por encima de ciertos montos (por
periodo o acumulaciones)
• Sobretiempos con otros indicadores de actividad

Fraude en Compras- Bases de Datos
involucrados
- Proveedores
- Directorio de empleados
- Empleados cesados
- Gastos de empleados
- Inventario
- Cuentas por Pagar
- Cuentas por cobrar

Fraude en Compras - Prueba
- Duplicidad en importante de desembolsos
- Duplicidad en número de factura
- Duplicidad de desembolsos en misma fecha
- Desembolsos a proveedores no registrados en la base
de datos
- Nombre /Dirección/Teléfono del proveedor similar al de
un empleado
- Nombre del proveedor similar al de un empleado
- Compras inconsistentes con el inventario
- Compras sin requerimientos, orden de compra o reporte
de recepción
- Dirección de pago o nombre del beneficio diferentes a
los registrados en la base de datos.
Fraude en Compras - Pruebas
- Proveedores sin número de teléfono o persona de

contacto
- Números de factura del mismo proveedor en secuencia
ininterrumpida
- Facturas por montos pro debajo por muy poco de
aquellos que requieren un nivel de aprobación mayor
- Más de un proveedor con la misma dirección, teléfono y
persona de contacto.
- Proveedores con nombres similares
- Precios unitarios que suben rápidamente o que son
inconsistentes con los precios históricos
- Precio unitario para el mismo producto que son
inconsistentes entre diferentes proveedores.

Fraude en Compras - Pruebas
• Coincidencia en código o descripción de items que son

comprados y luego vendidos como desechos
• Fluctuaciones de los niveles de inventario
inconsistentes con la producción de las ventas
• Dirección de entrega similar a la dirección de un
empleado
• Dirección de entrega no coincide con ninguna de las
ubicaciones de la Compañía.

Fraude – Enfoque general
 Identificar las bases de datos involucradas, tanto
internas como externas de ser aplicables
 Listar los campos disponibles en las bases de datos
 Formular hipótesis de las relaciones entre los campos
de datos
 Programar `pruebas analíticas por cada hipótesis
 Ejecutar las pruebas
 Evaluar los resultados iniciales y afinar las pruebas
 Ejecutar las pruebas nuevamente para obtener una
relación más pequeña y significativa.
 Evaluar cada item de la lista obtenida.

Fraude – Enfoque general
- Por cada item de la lista se puede encontrar una

aplicación válida o puede ser una transacción
sospechosa que requiere ser investigada.
- Identificar los problemas de control y las acciones
correctivas necesarias a fin de prevenir la ocurrencia
de transacciones no autorizadas.
- Guardar las pruebas programadas y afinarlas
constantemente
- Ejecutar las pruebas como rutinas de manera frecuente
de acuerdo a la disponibilidad de recursos.

XVI HERRAMEINTAS
TECNOLÓGICAS

Nuestra Metodología
Etapa II
Trabajo Planeación
ejecución
Expectativa
del cliente
Revisión
Evaluación
de auditoria
Planeación
estratégica
Terminado
Aprobación de la
planeación
Reevaluación de la
Herramientas Tecnológicas
• Herramientas Tecnológicas
Soporte
a la
Evaluación auditoria
de Mejores Planificación
riesgos Prácticas
Diagrama
mación
ACL
Idea Ejecución
Reportes

Auditoria Administrativa - Curso

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria Administrativa - Curso

Uploaded by

Copyright:

Available Formats

Cómo conducir exitosamente una

Auditoria Administrativa FELIX RIVERA

II. Enfoque contemporáneo de Auditoria

III. Enfoque metodológico

IV. Planeación con visión de negocios

Auditoria Administrativa FELIX RIVERA

VI. Análisis y Evaluación de riesgos

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

• Auditoria interna es una actividad independiente y

Auditoria Administrativa FELIX RIVERA

Énfasis en pruebas sustantivas Énfasis en el análisis y evaluación. Las pruebas

Orientación a la opinión a cerca de la razonabilidadOrientación a la estrategia organizacional,

Concentrar la acción en losEjercer una función de evaluador

Auditoria Administrativa FELIX RIVERA

Reactiva Proactiva Estratégica

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

• Comunicación • Escuchar activa y atentamente

• Presentar, discutir y sustentar puntos de vista

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

II. Enfoque contemporáneo de la auditoria

Auditoria Administrativa FELIX RIVERA

Reportes Performance Iniciativas

Auditoria Administrativa FELIX RIVERA

Reportes Performance Iniciativas

Auditoria Administrativa FELIX RIVERA

Ni la auditoria interna tradicional ni la externa se aplica al espectro de

Auditoria Administrativa FELIX RIVERA

Evaluar la Enfoque hacia

Auditoria Administrativa FELIX RIVERA

• Enfoque de la Auditoria Administrativa

Auditoria Administrativa FELIX RIVERA

III ENFOQUE METODOLÓGICO

Auditoria Administrativa FELIX RIVERA

FASES DEL LOS PROCESOS

Internal Audit Strategic Plan

Internal Audit Performance metrics

Auditoria Administrativa FELIX RIVERA

• El Riesgo y el Proceso de Auditoria Interna

Auditoria Administrativa FELIX RIVERA

Auditoria Administrativa FELIX RIVERA

BASES DE LOS PROCESOS

Evaluación del Terminación

• Una Cadena de valor es una descomposición de la

empresa en sus elementos básicos agrupándolos

según la tecnología que está detrás, teniendo en

cuenta cosas que van necesariamente unidas a los

productos, sin las cuales éstos no podrían existir.

Auditoria Administrativa FELIX RIVERA

• Actividades de Soporte: Son aquellas actividades no