Professional Documents
Culture Documents
AUDITORIA OPERATIVA
• Entendimiento.
• Evaluar el rol de los controles del proveedor
externo.
• Evaluar las debilidades de control identificadas.
Contratos con proveedores externos
• Nivel de servicio que debe brindar el proveedor.
• Responsabilidad por la privacidad y confidencialidad.
• Disposiciones sobre la protección de sistemas y datos.
• Clausula de derecho a auditar.
• Desempeño financiero del proveedor.
• Cumplimiento de los términos de contrato.
• Resultados de revisiones de control por terceros.
Revisión de los controles del proveedor externo
• Términos contractuales.
• Informes independientes.
• Pruebas de controles en el proveedor.
• Auditores internos del proveedor.
Subcontratistas de los proveedores
• Revisar la significatividad del subcontratista.
• Evaluar los procesos utilizados por el proveedor
para gestionar y vigilar la relación con los
subcontratistas.
Informe
• Indicar que el alcance se extendió a los controles
dentro de la organización y del proveedor.
• Relación entre la organización y el proveedor.
• Recomendar controles compensatorios que
organización pueda implementar para superar las
debilidades de control.
2100-14: Requisito de evidencia de auditoría
Norma Relacionada 2100 Naturaleza del
Trabajo La actividad de auditoría interna
evalúa y contribuye a la mejora de los sistemas
de gestión de riesgos, control y gobierno.
Planificación
• Tipos de evidencia de auditoria.
• Disponibilidad de la evidencia de auditoria.
• Selección de la evidencia de auditoria.
Realización del trabajo de auditoria
• Naturaleza de la evidencia de auditoria.
• Obtención de la evidencia de auditoria.
• Documentación de la auditoria.
Informe
• Comunicar de manera consistente los hallazgos en
la comunicación de los resultados de auditoria.
2110-1: Evaluación de la adecuación de los
procesos de gestión de riesgos
Norma Relacionada: 2110 Gestión de Riesgos
La actividad de auditoría interna debe asistir a la
organización mediante la identificación y evaluación de las
exposiciones significativas a los riesgos, y la contribución a
la mejora de los sistemas de gestión de riesgos y control.
• La gestión de riesgos es una responsabilidad clave de la dirección.
• Elaborar evaluaciones e informes sobre los procesos de gestión de
riesgos de la organización es normalmente de alta prioridad para
auditoria.
• El auditor debe cerciorarse de que la metodología sea entendida por los
grupos o personas clave que participan en el gobierno corporativo.
• Los auditores deben reconocer que podrían haber variaciones
significativas en las técnicas utilizadas en practicas de control de riesgos.
• Los auditores deben tener evidencia suficiente para asegurarse de que se
hayan cumplido los objetivos clave de los procesos de gestión de riesgos.
2110-2: El rol del auditor interno en el proceso
de continuidad del negocio
Norma Relacionada: 2110 Gestión de Riesgos
La actividad de auditoría interna debe asistir a la
organización mediante la identificación y evaluación de las
exposiciones significativas a los riesgos, y la contribución a
la mejora de los sistemas de gestión de riesgos y control.
• La interrupción del negocio puede resultar de hechos naturales y de
actos criminales accidentales o deliberados.
• Se debe evaluar el proceso de planificación de continuidad del negocio.
• La planificación anticipada es necesaria para minimizar las perdidas.
• La existencia de un plan de recuperación de desastres integral y
actualizado.
• Las organizaciones confían a sus auditores el análisis de sus operaciones
y evaluación de los procesos de gestión de riesgos y de control.
• Los auditores internos pueden ayudar a identificar los riesgos de las
actividades de negocios criticas y dar prioridad a las funciones a efectos
de la recuperación.
• Los auditores internos deben auditar periódicamente los planes de
continuidad del negocio y recuperación de desastres de la
organización.
• Los planes de continuidad y recuperación pueden desactualizarse
rápidamente.
• Los auditores internos deben vigilar la eficacia de la recuperación y el
control de las operaciones.
Dilania
2120.A1-1: Evaluación e información sobre
procesos de control
El trabajo de auditoria realizado durante el
año debe tener suficiente información para
permitir una evaluación de sistemas de
controles y la emisión de una opinión.
Los Procesos de Control
• La información financiera y operativa es confiable
y posee integridad.
• Las operaciones son realizadas eficientemente.
• Los activos están protegidos.
• Las acciones y decisiones de la organización
cumplen las leyes, regulaciones y contratos.
2120.A1-2: Utilización de autoevaluación de control
para evaluar la adecuación de los procesos de control
Esta metodología denominada CSA puede ser
utilizada por gerentes y auditores internos para
evaluar la adecuación de los procesos de
gestión de riesgos y control de la organización.
La organización que utiliza autoevaluación de control debe tener un
proceso formal y documentado para:
b) Gobierno corporativo.
c) Control corporativo.
2120.A4-1: Criterios de control
Los auditores internos deben alcanzar hasta
el cual la dirección a establecido criterios
adecuado para determinar si los objetivos y
metas han sido cumplidos.
2130-1: El rol de la auditoria interna en la cultura
ética de una organización
Norma relacionada: 2130-Gobierno
La auditoria interna debe evaluar y hacer las
recomendaciones apropiadas para mejorar el proceso
de gobierno en el cumplimiento de los objetivos.
Norma relacionada: 2130.A1
a) Código de conducta.
b) Comunicaciones frecuentes.
c) Estrategias explicitas.
d) Formas sencillas y diversas.
e) Declaraciones regulares.
f) Clara delegación de responsabilidades.
g) Fácil acceso a oportunidades.
h) Practica positiva del personal.
i) Encuestas regulares a los empleados.
j) Revisión regulares de los procesos personal.
k) Cotejos regulares de referencias.
2200-1: Planificación del trabajo
Norma relacionada 2200-Planificacion del trabajo
Los auditores internos deben elaborar y registrar
un plan para cada trabajo, que incluya el alcance,
los objetivos, el tiempo y la asignación de recursos.
Norma relacionada 2201 –Consideraciones sobre planificación
▫ Se debe tener en cuenta los conocimientos, técnicas y competencias del personal de auditoria
interna al seleccionar a los auditores internos para el trabajo a realizar.
▫ Se deben tener en cuenta las necesidades de formación de los auditores internos, ya que cada
trabajo a realizar sirve como base para conseguir las necesidades de desarrollo de la actividad de
auditoria interna.
• Si los auditores internos están informados sobre la información financiera, los papeles de trabajo
deben documentar si los registro contable están de acuerdo o conciliados con dicha información
financieras.
• El director ejecutivo de auditoria debe establecer políticas sobre los papeles de trabajo para los
diversos tipos de trabajo realizados. Los papeles de trabajo normalizados, tales como
cuestionarios y programación de auditoria pueden mejorar la eficiencias de un trabajo y facilitar y
delegación del trabajo. Algunos papeles pueden ser clasificado como archivos de trabajo
permanentes . Estos trabajo generalmente contienen información de importancias permanente.
Las siguiente son técnicas típicas de preparación de papeles de
trabajo
▫ Cada papel d trabajo debe identificar el trabajo y describir los contenidos o
propósitos del papel de trabajo.
▫ Cada papel d trabajo debe estar firmado( o contener las iniciales) y fechas por el
auditor interno que realiza el trabajo.
▫ Cada papel d trabajo debe tener un índice o un numero de referencia.
▫ Los símbolos ( marcas ) de las verificaciones de auditores deben estar explicados.
▫ Las fuentes de los datos deben estar claramente identificadas.
2330.A1-1: Control de los registro
del trabajo
Norma relacionada: 2330. a1 – Registro de la Información
el director de auditoria debe controlar el acceso a los registro del
trabajo. El director ejecutivo de auditor debe obtener aprobación
de la dirección superior o de consejeros legales antes de dar a
conocer tales registro a terceros, según corresponda.
Sugerencia al registrar la información
• Los papeles de trabajo son propiedad de la organización. Los archivos de
papeles de trabajo deben permanecer normalmente bajo el control de la
actividad de auditoria y deben ser accesibles solo a las personas autorizadas.
• Deben crearse descripción de tareas por escrito para la activación de los autoría interna,
que incluyan las complejas y variadas tareas que desempeñan los auditores.
• Una política relacionada con los diversos tipos de trabajo debe especificar el contenido y
formato de los registro, y como deben tratar los auditores internos las natas de revisión.
• Las políticas departamentales deben explicar quien es el responsable dentro de la
organización de asegurar el control y seguridad de los registros departamentales, a
quien permitirse el acceso a los registros de trabajo, y como deben tratarse las
solicitudes de acceso a dichos registros.
• La política que permite el acceso a los registro del trabajo debe tratar los siguiente
temas.
El proceso para resolver las cuestiones de acceso ;
El periodo de retención de cada tipo de producto del trabajo;
El proceso para educar y reeducar al personal de auditoria interna respecto de los riesgos y cuestiones
de acceso a los productos de sus trabajo; y
El requerimiento de analizar periódicamente a la industrias para determinar quien podrá desear tener
acceso al producto de trabajo en el futuro.
• Una política debe proporcionar guía al auditor interno para determinar cuanto
una auditoria justifica una investigación.