Desarrollo de Auditorias

Internas

1
Contenido

1. Conceptos básicos de Auditoría Interna

2. Metodología de Auditoría Interna.
3. Planeación de Auditoría.
4. Papeles de Trabajo.
5. Informe de Auditoría.
6. Auditorías de Tecnología de la Información (TI).
7. Protocolo de visitas a los Centros de Investigación

2
1. Conceptos de Auditoría Interna
Concepto Definición Ejemplo

Diferencias con:
Ayuda a una organización a cumplir sus objetivos Auditoría de Calidad
Actividad de aportando un enfoque sistemático y disciplinado
Auditoría Auditoría Financiera
para evaluar y mejorar la eficacia de los procesos
Interna de gestión de riesgos, control y gobierno. AEGR
SOX

Se refiere a las actividades cubiertas por una
auditoría y podrá incluir: objetivos de la auditoría,
naturaleza, alcance y extensión de los
Alcance de procedimientos de auditoría, período de tiempo
la auditoría auditado y actividades relativas no auditadas
(aspectos que se deben tener en cuenta dentro
del alcance pero no es propio del proceso
auditado).
En la Auditoría Etapa
Precontractual, el alcance sería:
Claridad del alcance teniendo en
cuenta el objetivo del proceso y el
inicio y finalización del mismo: Ejm:
desde la necesidad del área hasta
la firma del contrato.
Periodo: Entre enero y junio de
2019 3
Cantidad de contratos: Para un total
de 630 contratos verificar 30.
1. Conceptos de Auditoría Interna
Concepto Definición
Es la incertidumbre de que ocurra un
acontecimiento que pueda afectar el logro de los
Riesgo
objetivos. El riesgo se mide en términos de
consecuencias y probabilidad.
Objetivo de Resultado final deseado o propósito que se
Control quiere alcanzar con la actividad de control para
mitigar el riesgo.
Cualquier medida que tome la dirección y otros,
para mejorar la gestión de riesgos y aumentar la
Actividad de probabilidad de alcanzar los objetivos y metas
Control
establecidos. Debe contener Quien, Cómo,
frecuencia y como lo soporta.
Ejemplo
Cuál está definido de manera
adecuada?
-Relacionamiento con contratistas,
proveedores o inversionistas
incluidos en listas restrictivas.
-Inadecuada verificación en listas
restrictivas de los proveedores.
Asegurar que todos los contratos
son autorizados por un nivel
adecuado.
* Aprobación de contratos por parte
del Comité de Contratación de
Presidencia da acuerdo a la
4
cuantía.
* Llevar una base de datos de los
contratos del área.
1. Conceptos de Auditoría Interna
Concepto Definición Ejemplo

Un control clave es aquel que cumple con los Cuál es un control clave?
siguientes atributos:
* Aprobación de contratos por parte
• Es automático del Comité de Contratación o
Control
Clave • Es gerencial Presidencia según cuantía.
• Ataca mas de un riesgo * Diligenciamiento del Checklist de
• Ataca la causa del riesgo. validación de carpeta del contrato.

Control Verificación de proveedores en

Preventivo Es un control que se anticipa a la materialización listas restrictivas antes de registrar
del riesgo. al proveedor y firmar el contrato.

Son aquellos que no evitan que ocurran las

Monitoreo a través del Sistema
Control causas del riesgo sino que los detecta luego de
Scada
detectivo ocurridos. 5
1. Conceptos de Auditoría Interna
Concepto Definición
Es la disposición de deberes entre personas o
Segregación dependencias, de tal manera que se evita la
de concentración de todos los trámites en un solo
funciones individuo.
Proceso integrado a las operaciones efectuado
Control
por la dirección y el resto del personal de una
Interno
entidad para proporcionar una seguridad
razonable al logro de los objetivos .
Conjunto de documentos preparados por el
Papeles de auditor mientras realiza su examen, en donde
trabajo registra toda la información importante y los
resultados obtenidos en la auditoría. Sirven al
auditor como referencia y base para la ejecución
de su informe
Ejemplo
Las actividades de elaboración,
revisión y autorización del contrato
es realizada por colaboradores de
diferente nivel.
Control Interno, proceso
desarrollado por todas los
colaboradores y AI es la función de
aseguramiento.
- Acta de aprobación de la
contratación
- Correo electrónico impreso de 6
una conversación.
1. Conceptos de Auditoría Interna
Concepto Definición Ejemplo
El resultado de la prueba del diseño del
control relacionado con la liberación de
Establece si se encuentran identificados
Prueba de pedido el resultado puede ser adecuado,
en el proceso los controles que mitigan
diseño inadecuado o no existe. De ser inadecuado o
los riesgo.
no existir el control se concluye con un
hallazgo.
Determina si el control está siendo
Prueba de ejecutado tal como se describió en su
implementa El resultado de la prueba de implementación
diseño. La verificación de la
del control relacionado con la liberación de
ción implementación de los controles se
pedido el resultado puede ser efectivo o
realiza a través de la investigación,
inefectivo. De ser inefectivo el control se
observación, inspección de
concluye con un hallazgo.
documentación relevante y repetición de
los controles

7
1. Conceptos de Auditoría Interna
Concepto Definición
Son las pruebas realizadas con el propósito de
Prueba de apoyar la opinión del auditor en relación con la
efectividad de efectividad del control. Se realizan estas
los controles pruebas de haberse verificado la efectividad en
cuanto al diseño e implementación.
Ejemplo
Para el periodo comprendido entre
enero y junio de 2019 verificar las
conciliaciones seleccionados de la
muestra. Para ello valide que se
encuentre firma y fecha de
revisión, que los saldos se
encuentren conciliados y las
partidas conciliatorias plenamente
identificadas.
8
1. Conceptos de Auditoría Interna
Concepto Definición Ejemplo
Consiste en seguir una transacción desde su
origen hasta el final incluyendo sistemas de
información, utilizando los mismos documentos
y tecnología de la información que el personal
responsable utiliza.
Auditoría Etapa Precontractual:
Prueba de Esta prueba permite al Auditor asegurar que el
recorrido proceso se ejecuta según el entendimiento que Inicia con la necesidad del área
(walkthrough) se tiene. Consiste en seguir una transacción Finaliza con la firma del contrato
desde su origen hasta el final incluyendo
sistemas de información, utilizando los mismos
documentos y tecnología de la información que
el personal responsable utiliza. Esta prueba
permite al Auditor asegurar que el proceso se
ejecuta según el entendimiento que se tiene.
9
2. Metodología de Auditoría Interna

Programa de Auditoria
(Objetivo y alcance)

Planes de acción – Fecha de Desarrollo del programa de auditoria

implementación – Responsable - Informe borrador (confirmación de los
puntos cuando se detectan) 10
3. Planeación de Auditoría

Planificación Detallada

Entendimiento del Priorización de Evaluación de la

proceso auditado riesgos del proceso matriz de riesgos
del proceso

Plan pruebas Evaluación del Identificación de

efectividad de los diseño de controles riesgos y controles -
controles Auditor

11
3. Planeación de Auditoría
Desempeño del trabajo Comunicación de Medición del
Seguimiento
resultados desempeño
Ejecución de
pruebas de
efectividad de los Informe de
controles Auditoría
Seguimiento
informes de
Análisis de la Auditoría
Informe Junta
efectividad de los
Directiva
controles
Medición del
proceso de
Auditoría Interna
Ejecución de
pruebas sustantivas
- riesgos

12
Supervisión de
trabajo
3.1 Planificación detallada
Entendimiento del proceso Auditable

Objetivos del proceso

Factores críticos de éxito

Análisis de actividades documentadas

Análisis de actividades actuales

Análisis del uso de sistemas de información

Conclusiones
13
3.1 Planificación detallada
Priorización de riesgos del proceso

Hacer un análisis para

determinar riesgos que
Listar los eventos de
podrían no ser
riesgo del proceso
considerados en la
auditoría.

14
3.1 Planificación detallada
Evaluación Matriz de Riesgos

Análisis metodológico a la documentación de riesgos del dueño de proceso

Análisis a la valoración de riesgos del dueño del proceso

Análisis a la valoración del diseño de controles para del alcance de pruebas

Establecer riesgos no identificados por el dueño de proceso

Análisis del uso de sistemas de información

Conclusiones
15
3.1 Planificación detallada
Identificación de riesgos y controles - Auditor

Riesgos no incluidos en la matriz de riesgo del dueño

del proceso

Brechas de control: Ausencia de controles para riesgos,

controles deficientes no asignados claramente a un
riesgo, inexistencia de controles y debilidades en el
diseño de controles.

16
3.1 Planificación detallada
Evaluación del diseño de controles

Controles incluidos en la matriz de riesgo del dueño del

proceso seleccionados en la evaluación de matriz de
riesgo.

Controles identificados por el Auditor Interno, no

incluidos en la Matriz del dueño del proceso. Tomados
de la identificación de riesgos y controles – Auditor.

17
3.1 Planificación detallada
Efectividad del diseño del control

La definición y diseño del control contribuye al logro de los

objetivos del proceso

El control existe y se encuentra implementado según su diseño

El control permite mitigar el riesgo al cual se encuentra

expuesto el proceso

La clasificación del control por categoría, naturaleza y tipo, permite

definir estrategias para optimizar el portafolio de controles.

18
3.1 Planificación detallada

Pruebas de efectividad de los controles

Describir la actividad de control para la cual se va a efectuar prueba de eficacia operativa, la

cual debe contener:

Qué?
Cómo?
Dónde?
Ejecuta el
control
Quién?
Cuándo? 19
4. Papeles de trabajo

Documentos sobre los cuales el auditor dejará constancia de las

labores realizadas para emitir su juicio profesional y conclusión

Documentar información suficiente, confiable, relevante y útil

para soportar los resultados y las conclusiones del trabajo.

Organiza todas las fases del trabajo de auditoría y sirve de guía

en revisiones subsecuentes

Cumple con la disposición normativa en cuanto a la aplicación de

las Normas Internacionales para la práctica de Auditoría Interna.

20
4. Papeles de trabajo

•Auto-revisar los comentarios y conclusiones incluidos en los papeles de trabajo para

asegurarse que no se indiquen incoherencias, que se dejen temas pendientes y/o
para validar que las conclusiones de los PT guarden directa relación con las del
Auto-revisión informe

•Los papeles de trabajo son la evidencia del trabajo del auditor por lo tanto se debe
seguir el cuidado y calidad profesional para su diligenciamiento, revisión, cierre y
Evidencia del archivo
trabajo

•Todos los papeles deben estar concluidos y hablar por si solos (no papeles mudos).

Documentaci •Lo que no está documentado, puede ser evidencia que no se llevó a cabo la prueba
ón de auditoría.

21
4.1 Papeles de trabajo electrónicos
Evitar dejar nombres como
Hoja 1, títulos completamente
en mayúscula, archivos con
nombres repetidos
No dejar en los archivos hojas
sin utilizar, espacios en blanco,
números o comentarios sueltos
y los espacios sombreados en
colores o resaltados ya que
llaman la atención de cualquier
tercero que los revise.
Los papeles suministrados por
las áreas (PPA o PPC) deben
indicar esto, marcarse y
además indicar para que se
usaran. Deben estar
referenciados.
Deben estar adecuadamente
organizados, fáciles de leer y
revisar, deben estar
estructurados que guarden
secuencia lógica
22
4.1 Papeles de trabajo

Ver plan de Auditoria

Inventarios y Activos

23
4.2 Papeles de trabajo manuales

Todos los papeles

manuales deben estar Los papeles manuales
marcados y referenciados deben estar organizados,
con todos los tickmarks referenciados, firmados,
que se requieren para que cruzados.
el papel hable por si solo

Los papeles manuales no

deben contener
documentos que sean
ilegibles.

24
5. Informe de Auditoría

• Evita ambigüedades
Sé claro
• Evita decorar la información
Sé conciso
• Evita abstracciones
Sé concreto
• Evita desorden o disonancias
Sé coherente
• Evita prescindir de algo esencial
Sé completo
• Evita agresividad o dobles sentidos 25
Sé cortés
5. Informe de Auditoría
Siete pecados capitales en los informes de auditoria

Uso excesivo de jerga técnica

No identificar la raíz del problema

No presentar el sentido de urgencia de la situación

Fallar en proponer una solución práctica

Falta de participación de la Gerencia

No involucrar al dueño de la implementación

No llegar a un acuerdo sobre la fecha de implementación 26

5. Informe de Auditoría
Siete cosas que todo buen informe de auditoria interna debe contener

Resumen ejecutivo de alto nivel

Datos impactantes o mejores prácticas que el cliente no conoce

Solamente presenta asuntos críticos para el negocio

Conclusión clara

Sistema clasificación nivel riesgo hallazgos: Alto, medio, bajo

Mejoras sustanciales a procesos clave del negocio

Recomendaciones aplicables y costo efectivas 27

5. Informe de Auditoria
Informe de Auditoria con errores ejemplo

28
6. Auditoría de TI – Definición

Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la

administración informática de una organización, con el fin de emitir una opinión acerca
de:

 La eficiencia en la adquisición y utilización de los recursos

informáticos
 La confiabilidad, la integridad, la seguridad y oportunidad de
información
 La efectividad de los controles en los sistemas de información

29
6. Auditoría de TI - Objetivos

 Verificar el control interno de la función informática.

 Asegurar a la alta dirección y al resto de las áreas de la empresa que la

información que les llega es la necesaria en el momento oportuno, y es
fiable, ya que les sirve de base para tomar decisiones importantes.

 Eliminar o reducir al máximo la posibilidad de pérdida de la

información por fallos en los equipos, en los procesos o por una gestión
inadecuada de los archivos de datos.

 Detectar y prevenir fraudes por manipulación de la información o por

acceso de personas no autorizadas a transacciones.

30
6. Auditoría de TI – Tipos Auditoria

 Auditoría de la gestión: Referido a la contratación de bienes y servicios,

documentación de los programas, etc.

 Auditoría legal del Reglamento de Protección de Datos: Cumplimiento

legal de las medidas de seguridad exigidas por el Reglamento de desarrollo
de la Ley Orgánica de Protección de Datos.

 Auditoría de los datos: Clasificación de los datos, estudio de las

aplicaciones y análisis de los flujogramas.

 Auditoría de las bases de datos: Controles de acceso, de actualización, de

integridad y calidad de los datos.

31
6. Auditoría de TI – Tipos Auditoria

 Auditoría de la seguridad: Referidos a datos e información verificando

disponibilidad, integridad, confidencialidad, autenticación y no repudio.

 Auditoría de la seguridad física: Referido a la ubicación de la organización,

evitando ubicaciones de riesgo. También está referida a las protecciones
externas ( CCTV, vigilantes, etc.) y protecciones del entorno.

 Auditoría de la seguridad lógica: Comprende los métodos de autenticación de

los sistemas de información.

32
6. Auditoría de TI – Clases de Controles

 Controles Generales : Se realizan para asegurar que la organización y sistemas

operen en forma normal.
• Separación de funciones.
• Acceso y Seguridad.
• Procedimientos escritos.
• Controles sobre software de sistemas.
• Control sobre la continuidad del procesamiento.
• Control sobre el desarrollo y modificación de sistemas.

 Controles de Aplicación : Se realizan para asegurar la exactitud, integridad y

validez de la información procesada.
• Control sobre los datos de entrada.
• Control sobre los datos constantes o fijos.
• Control sobre el procesamiento.
• Control sobre los datos rechazados. 33
• Control sobre los datos de salida.
6. Auditoría de TI - Estándares y marcos de referencia

 COBIT: Guía de mejores prácticas dirigida al control y supervisión de tecnología de

la información. Objetivos de Control para Información y Tecnologías Relacionadas
(Control Objectives for Information and related Technology).

 ITIL: Marco de referencia que describe un conjunto de mejores prácticas y

recomendaciones para la administración de servicios de TI.

 ISO 20000 Estándar internacional en gestión de servicios de TI.

 ISO 27001 Estándar internacional para la implementación de SGSI – Seguridad
Información.

 ISO 27005: Estándar para la administración del riesgo de seguridad de la

información
34
6. Auditoría de TI

 En el entendimiento del proceso es importante

identificar: si hay interfaces, segregación de funciones,
identificación de aplicaciones relevantes, identificación
de controles automáticos definidos en la aplicación.

 Acompañamiento del Auditor de TI a las reuniones de

entendimiento del proceso con el Auditor de Gestión.

35
7. Protocolo para las visitas a los CI
 El Programa de auditoria de estar revisado por el líder del
proceso y aprobado por el Gerente de Auditoria antes de iniciar
la auditoria
 Realizar un entendimiento previo a la visita (aproximadamente
una semana antes) con los dueños de los procesos.
 El auditor de GAE deberá hacer seguimiento al envío de la
carta de alcance por GO a los dueños de procesos
oportunamente de lo contrario, deberá informar al líder de GAE
para su apoyo y seguimiento (se propondrá en una próxima
reunión con GO que el envió de dicha carta la realice el
equipo de AII GAE)
 El auditor de GAE informará constantemente el avance de la
auditoría con el fin de evitar sorpresas al final de la auditoria en
trabajo de campo
 La documentación de WP se realizará en un 90% durante la
visita, con el fin de garantizar la oportuna identificación de
hallazgos y/o situaciones de impacto en la auditoria. 36
GRACIAS !

37