1

DETERMINACIÓN DEL NIVEL DE CONFIANZA Y RIESGO EN

LA EVALUACIÓN DEL CONTROL INTERNO

En esta prueba, como en el resto de pruebas de muestreo, estaremos analizando una

muestra representativa de la población y deberemos aceptar que existe un porcentaje de riesgo

que debemos medir y aceptar a la hora de realizar dichas pruebas.

Riesgo general de auditoría: El riesgo es el complementario de la confianza, es decir, uno

menos el porcentaje de Nivel de Confianza de la prueba. En la práctica habitual de auditoría se

utiliza un 90% para aquellas auditorías recurrentes o de bajo riesgo y un 95% para aquellas

auditorías nuevas o de riesgo.

El Nivel de Confianza o Riesgo Alfa es la seguridad que desea obtener el auditor en el

resultado de sus pruebas.

Es la probabilidad de que las conclusiones estadísticas del auditor sean correctas. El nivel

de confianza se determina teniendo en consideración el máximo riesgo de muestreo que el

auditor pueda tolerar. El complemento del nivel de confianza es el riesgo de que se acepte como

bueno un sistema de control interno no efectivo. El auditor debe prestar su mayor atención a este

tipo de riesgo. (“Aplicación del Muestreo Estadístico a la Auditoría”, Juan Antonio de Agustín

Melendro) (audinfor, s.f.).

 2

EL MEMORANDO DE PLANIFICACIÓN

Es el documento que resume los resultados de las fases de familiarización y evaluación

preliminar del control interno de la entidad a auditar, así como los criterios que deben seguirse

para realizar la planificación específica, que servirá de base para la ejecución del trabajo.

Es también es el documento que se emite en la fase de planeación en el proceso general

de

auditoria debe ser una de las más importante, ya que, si en esta fase se logran identificar la

mayoría de los aspectos a los que hay que prestar atención, se evitaran pérdidas de tempo o

sorpresa al final de la auditoria. Es importante que en la planeación haya mucha comunicación

entre socio, gerente y encargado del proyecto.

Una vez hecha la revisión analítica de la información recopilada y seleccionada la o las

áreas a evaluar, procederán a elaborar el Memorando de Planeamiento o Plan de Auditoría y el

cronograma de auditoría de gestión.

Se Hará un breve repaso sobre los aspectos a considerar en la elaboración del

Memorando de Planeamiento.

1. Objetivo: Estandarizar las actividades para la elaboración del Memorando de

Planeación y los Programas de Auditoría en el proceso de auditoría.

 3

El objetivo de la elaboración del memorando de planificación es el de proporcionar a los

responsables de desarrollar la planificación específica, la información necesaria para definir los

objetivos de la auditoria, la naturaleza, oportunidad y alcance del trabajo a realizar, conforme lo

establecen las Normas de Auditoria Interna Gubernamental.

2. Alcance: El procedimiento inicia con el estudio del Memorando de Encargo de

Auditoría y el análisis del sujeto de control y termina con la entrega del memorando de

planeación y los programas de auditoría aprobados, al equipo auditor.

3. Base Legal: Constitución Política de Colombia, artículos 268 y 272.

 Ley 42 de 1993, artículos 8 y 65.

 Decreto Ley 1421 de 1993, articulo 105.

 Acuerdo 361 de 2009 “Por el cual se organiza la Contraloría de Bogotá, D.C, se

determinan las funciones por dependencias, se fijan los principios generales

inherentes a su organización y funcionamiento y se dictan otras disposiciones”

(Salas, s.f.)-
 4

LOS PROGRAMAS DE AUDITORIA

Un programa de auditoría, también llamado plan de auditoría, es un plan de acción que

documenta qué procedimientos seguirá un auditor para validar que una organización cumple con

las regulaciones de cumplimiento.

El objetivo de un programa de auditoría es crear un marco que sea lo suficientemente

detallado como para que cualquier auditor externo entienda qué exámenes oficiales se han

completado, a qué conclusiones se ha llegado y cuál es el razonamiento detrás de cada

conclusión. El marco debe explicar los objetivos de la auditoría, su alcance y su línea de tiempo.

El programa de auditoría también debe describir cómo los documentos de trabajo –la evidencia

documentada de la auditoría– serán recopilados, revisados e informados.

Objetivos de los programas de auditoría

Al desarrollar un programa de auditoría, el auditor interno y su equipo de auditoría

asociado deben comenzar por delinear los objetivos, las metas y las obligaciones de la auditoría.

Los objetivos del programa de auditoría ayudan a la planificación directa del informe de

auditoría y se basan en las políticas, procedimientos y directrices exclusivos de la empresa. Estos

objetivos pueden relacionarse con y describir cómo los auditores mantendrán la eficiencia, el

profesionalismo y un código de conducta específico durante el procedimiento de auditoría.

 5

Además de los mandatos de cumplimiento normativo pertinentes, los objetivos de los

programas de auditoría deben considerar aspectos tales como prioridades de gestión, intenciones

de negocios, requisitos del sistema, estructura empresarial, mandatos legales y contractuales, las

expectativas de los clientes y otras partes interesadas, posibles vulnerabilidades de gestión de

riesgos y cualquier acción correctiva tomada con base en auditorías previas.

Preparación de un programa de auditoría

Los detalles del programa de auditoría son específicos para las organizaciones

individuales en función de sus necesidades únicas, pero la preparación del plan de

auditoría considerará los plazos reglamentarios relevantes de la auditoría, los requisitos del

personal y la estructura de informes, y los objetivos generales. En particular, estos objetivos

considerarán cómo la empresa mantendrá el cumplimiento normativo a través de la evaluación

de riesgos y los procedimientos de gestión. El programa de auditoría también debe incluir un

cronograma que detalle cuándo deben tener lugar los aspectos específicos del programa de

auditoría y cómo deben priorizarse.

La planificación del programa de auditoría suele ser un proceso continuo e iterativo.

Durante la planificación y el desarrollo de la auditoría, las empresas pueden aprovechar las

lecciones aprendidas de las auditorías anteriores mediante la implementación de las mejores

prácticas recientemente aprendidas que alivian el riesgo y mantienen el cumplimiento. Las

pautas de desarrollo de auditoría y las mejores prácticas varían según la industria, pero las

certificaciones de auditoría locales y regionales están disponibles, al igual que las certificaciones
 6

de auditoría reconocidas internacionalmente. Estas certificaciones incluyen Auditor Interno

Certificado y Auditor de Sistemas de Información Certificado, y membresía en el Registro

Internacional de Auditores Certificados.

Tipos de programas de auditoría

Los diferentes tipos de programas de auditoría incluyen programas de auditoría

estandarizados, programas de auditoría personalizados y programas de auditoría de

cumplimiento. Los programas de auditoría estandarizados, que están disponibles para muchas

industrias diferentes, se pueden usar proactivamente para ayudar a una organización a crear su

propio marco interno de cumplimiento y un programa de auditoría interna. Por ejemplo, la

Federación Internacional de Contadores publica normas de auditoría financiera denominadas

Normas Internacionales de Auditoría. Un programa de auditoría estandarizado es diferente a un

programa de auditoría fijo, que se define como un programa de auditoría que no puede

modificarse durante el curso de una auditoría.

Los programas de auditoría personalizados difieren de los programas de auditoría

estandarizados en que atienden los procedimientos de auditoría para que coincidan con las

necesidades específicas de la entidad de auditoría. Estos programas de auditoría se

"personalizan" para hacer referencia a áreas específicas, como procedimientos de negocios,

documentos y activos legales. Al enfocarse en estos requisitos específicos a través de programas

de auditoría personalizados, la compañía puede identificar más rápidamente posibles fallas de

cumplimiento y desarrollar controles internos para compensar estas vulnerabilidades.

 7

Un programa de auditoría de cumplimiento describe cómo una organización se apegará a

las pautas regulatorias. Los detalles del programa de auditoría de cumplimiento variarán

dependiendo de factores tales como si una organización es una empresa pública o privada, qué

tipo de datos maneja y si transmite o almacena datos financieros confidenciales. Por ejemplo, los

requisitos de la Ley Sarbanes-Oxley establecen que las comunicaciones electrónicas deben

respaldarse y protegerse con infraestructura de recuperación ante desastres, mientras que las

compañías de servicios financieros que transmiten datos de tarjetas de crédito están sujetas a los

requisitos del Estándar de seguridad de datos de la industria (PCI DSS). En los Estados Unidos,

las empresas que cotizan en bolsa deben informar los resultados de las auditorías de control

interno a la Comisión de Bolsa y Valores (SEC). En cada caso, el programa de auditoría de una

organización describe cómo la empresa mantendrá el cumplimiento de las normas de

cumplimiento regulatorio (Cole, 2021).

¿Qué es un programa de auditoría?

Un programa de auditoría es un sistema de objetivos, alcance, calendario y actividades de

auditoría que llevarán a cabo los auditores. Un programa de auditoría, también conocido como

plan de auditoría, funciona como una guía para llevar a cabo diversos tipos de auditorías en una

empresa.

¿Por qué son importantes los programas de auditoría?

¿Qué es un plan de auditoría? Las auditorías evalúan la eficacia de los controles internos

de una organización. Contar con un programa de auditoría ayuda a las empresas a mantener un
 8

sistema eficaz de controles internos, a obtener una visión objetiva de las operaciones, a

identificar los riesgos de fraude y malversación de activos y, por último, a garantizar el

cumplimiento de las leyes o reglamentos pertinentes.

Tipos de programa de auditoría

La realización de auditorías es esencial para la gestión de una empresa. Disponer de

registros de todas las transacciones y operaciones comerciales garantizará la responsabilidad de

todos los departamentos. En función de las necesidades, las organizaciones pueden realizar

varios tipos de planeación de auditoría. Estos tipos de programas de auditoría pueden solaparse

entre sí.

Auditoría interna – una auditoría interna es un tipo de auditoría que se realiza dentro de

la organización. Este tipo de auditoría proporciona visibilidad sobre las finanzas actuales para los

accionistas y el consejo de administración. Las auditorías internas se realizan para comprobar si

se cumplen los objetivos financieros y si la empresa cumple la normativa.

Auditoría externa – una auditoría externa es realizada por órganos de gobierno como el

Servicio de Impuestos Internos (IRS) u otros organismos. El auditor no debe tener ninguna

relación con la empresa. Estos auditores externos siguen las normas de auditoría generalmente

aceptadas (GAAS) y generan informes de auditoría que incluyen los procesos de auditoría y la

información obtenida.
 9

Auditoría operativa – esta auditoría suele realizarse internamente, pero las

organizaciones tienen la opción de realizar una auditoría operativa externa. Este tipo de auditoría

evalúa las operaciones empresariales, como la alineación de los objetivos de la empresa, los

procesos de planificación, los procedimientos y el rendimiento operativo. Los resultados de una

auditoría operativa se utilizan para mejorar la empresa.

Auditoría de cumplimiento – Esta auditoría comprueba si la empresa cumple con las

normas establecidas por la propia empresa y por organizaciones externas, como Hacienda para

los impuestos o la OSHA para la seguridad. Una razón para llevar a cabo una auditoría de

cumplimiento es determinar si una empresa está pagando a sus empleados de manera justa o está

dando distribuciones adecuadas a los accionistas.

Auditoría del sistema de información – Suelen llevarla a cabo empresas de software,

informática y otras tecnologías, pero otras empresas que tienen su propio departamento de

informática también pueden participar en una auditoría de sistemas de información. Esta

auditoría ayuda a determinar los problemas de software que pueden provocar ciberataques y

fugas de datos. Las auditorías de los sistemas de información también garantizan que el

procesamiento de datos y los sistemas informáticos sean lo suficientemente eficaces para la

empresa.

Auditoría financiera – Las empresas lo utilizan habitualmente para analizar la exactitud

de sus estados financieros. Las auditorías financieras deben ser realizadas por auditores externos.
 10

Las auditorías financieras pueden realizarse internamente, pero sólo a efectos de comprobación.

Los auditores externos compartirán los resultados con prestamistas, acreedores e inversores.

Auditoría fiscal – las auditorías fiscales del IRS se realizan aleatoriamente en persona o

por correo. Esta auditoría determinará si hay alguna discrepancia en la declaración de impuestos

presentada por la empresa. Esto significa que los impuestos presentados deben ser exactos, ya

que pagar de más o cometer errores de información puede causarle problemas con el IRS.

Auditoría de nóminas – esto se suele hacer internamente para solucionar problemas de

nóminas que podrían dar lugar a auditorías externas de nóminas. Se recomienda realizar

auditorías anuales de las nóminas para garantizar que se siguen los procesos correctos de las

nóminas y que se cumplen. Esta auditoría comprueba los factores de la nómina, como las tasas

de pago, los salarios, las retenciones de impuestos y la información sobre los empleados.

Auditoría salarial – No hay que confundirlas con las auditorías de nóminas, ya que

sirven para garantizar que los empleados reciben una remuneración justa en función de su cargo,

rango, competencias y antigüedad. Los factores que pueden causar disparidades son la raza, la

religión, la edad y el sexo, que no tienen nada que ver con la calidad del trabajo. Las auditorías

salariales también determinan la retribución justa de la empresa en función de la ubicación y el

sector.
 11

Cómo hacer un programa de auditoría

Antes de crear un plan de auditoría, la organización debe tener en cuenta los siguientes

factores.

 Apoyo y acceso del consejo de administración – Los auditores internos

necesitan el apoyo de los directores para llevar a cabo sus evaluaciones. Esto da al

auditor autoridad sobre diferentes funciones empresariales y puede descubrir

cualquier mala gestión.

 Auditores independientes – esto es crucial para una evaluación imparcial y

objetiva de la empresa

 Nivel de riesgo por área – la empresa debe centrarse en asignar tiempo y

recursos para realizar auditorías periódicas en las funciones empresariales de

mayor riesgo, como las finanzas y las operaciones.

 Experiencia y formación – El auditor, ya sea interno o externo, tiene que tener

conocimientos y estar al día sobre lo que está auditando, como los estados

financieros, el cumplimiento de la normativa y las operaciones.

 Tecnología – Dado que la auditoría manual requiere demasiado tiempo, la

mayoría de los auditores utilizan actualmente herramientas y software de auditoría

digital. Esto ayudará a que el proceso sea más eficiente y libre de errores

humanos. Otra ventaja de utilizar la tecnología digital es que los auditores y otro

personal autorizado podrán acceder a todos los informes de auditoría en un solo

lugar.
 12

Un proceso de programa de auditoría eficaz

Un ciclo de auditoría se utiliza normalmente para auditar estados financieros, pero otros

tipos de programas de auditorías también pueden utilizar sus pasos. Entre los muchos ejemplos

de ciclos de auditoría, a continuación, se presenta un marco sencillo que cualquier empresa

puede incorporar a su proceso de auditoría.

Programa de auditoría ejemplo práctico

Aunque las auditorías pueden adoptar cualquier forma, es importante contar con todos los

detalles necesarios para superar una auditoría externa o recibir una certificación de conformidad.

Este es un programa de auditoría ejemplo práctico ISO 22000 que una empresa puede utilizar
 13

para prepararse para los auditores externos. Esta plantilla de auditoría también puede utilizarse

para realizar una evaluación del cumplimiento de los procesos y procedimientos de la empresa.
 14

Caja de herramientas del programa de auditoría

El software de auditoría interna ayuda a llevar a cabo un plan de auditoría eficaz. A

continuación, se presentan algunos ejemplos de plantillas de auditoría que su organización puede

utilizar con una herramienta de auditoría digital.

Plantillas:

 Auditoría interna – esta plantilla es una extensa lista de comprobación de

auditoría ISO 22000 que se centra en el Sistema de Gestión de la Seguridad

Alimentaria (SGSA) de la empresa.

 Auditoría interna y externa – estas plantillas de auditoría pueden ser realizadas

tanto por auditores internos como externos para evaluar el cumplimiento. La lista

de verificación del sistema de gestión integrado ayuda a auditar 3 normas

internacionales de sistemas de gestión que son ISO 9001:2015, ISO 14001:2015 e

ISO 45001:2018.

 Auditoría operativa – esta lista de comprobación de auditoría operativa se utiliza

en las aeronaves de línea principal. La lista de comprobación de la auditoría ISO

22000 anterior es también una forma de auditoría operativa.

 15

 Auditoría de cumplimiento – esta lista de comprobación de las prácticas

correctas de fabricación ayuda a auditar los procesos de fabricación y el

cumplimiento de los protocolos y las normas. Incluye factores para el control de

calidad como el envasado, el etiquetado, la higiene, la documentación y los

objetivos de calidad.

 Auditoría del sistema de información – Una lista de comprobación de auditoría

de sistemas de información basada en el riesgo para ayudar a evaluar los posibles

peligros en materia de ciberseguridad. Esto incluye también las auditorías de las

políticas y planes de seguridad.

Aplicación móvil

Como software de auditoría interna, SafetyCulture (antes iAuditor) es una herramienta

digital utilizada por los auditores internos y los funcionarios para realizar auditorías de las

operaciones empresariales y evaluar el cumplimiento de la seguridad. SafetyCulture es utilizado

por los auditores internos para:

 Agilizar el proceso de auditoría interna

 Identificar las áreas débiles, la inexactitud y el incumplimiento

 Crear una acción correctiva

 Mantener registros de las auditorías (safetyculture, 2024)

 16

PRINCIPALES MODELOS Y FORMATOS DE APLICACIÓN DE LA

FASE

Anexo 10. Orden de trabajo definitiva

OFICIO: __________
ASUNTO: Orden de Trabajo No. _____
FECHA: Cuenca, ______________

Señores
SUPERVISOR DEL EQUIPO
JEFE DE EQUIPO
AUDITOR
Ciudad
De mis consideraciones:

De conformidad con los resultados de la planificación preliminar de la auditoría a la

gestión a:_________________, de la empresa__________________, se ha determinado los

componentes y áreas de resultado clave que se relacionan con los componentes:__________ y

los siguientes subcomponentes: _____________________ _____________________

_____________________

Con tales subcomponentes dispongo a ustedes la ejecución de la planificación específica

y de las demás fases del examen que se deriven de dicho estudio. Una vez concluido la

evaluación del control interno por cada componente y subcomponente, deberá elaborarse un
 17

informe que contendrá, las deficiencias así como las recomendaciones necesarias para

conocimiento del comité de auditoría y el gerente de la empresa, para su aplicación Igualmente,

la fase de ejecución conforme los programas específicos de lo subcomponentes, deberá ser

sustentada con indicadores y estándares; en base al cual se emitirán las sugerencias que serán

puestas en marcha en lo posible, antes de la conclusión del trabajo. Para la emisión de las

alternativas de solución y puesta en marcha de los cambios sugeridos es menester que se defina

los responsables de las acciones que seguirán, su costo, la meta que se alcanzará y el impacto de

satisfacción, tanto de los clientes internos como externos. El tiempo que se asigna para esta labor

es de 30 días laborables a partir de esta fecha.

Atentamente,

JEFE DE AUDITORÍA
 18

• Anexo 11. Matriz de planificación y evaluación del control interno por componente y

subcomponente.

Tabla 1

COMPONENTE: CLAVE DE ATRIBUTOS DEL HALLAZGO NIVEL DE: PROGR.

SUBCOMPONENTE EVALUACI TRABAJO

CONDICIÓN CAUSA CRITERIO EFECTO RIESGO CONFIAN
ÓN
ZA

RECURSOS C;F El 80% de los cargos se llenan Compromiso NCI-SP; Personal ineficiente, ALTO BAJO

HUMANOS: Selección sin un proceso de selec- ción se 300- 02 no cumple con

de personal de personal. influencias funciones requeri-

políticas das.

Capacitación O;C;F La unidad de RR. HH no Inobservanci NCI-SP; La irracional ALTO BAJO

cuenta con un manual de a de las 300- 01 utilización de los

procedimientos, que determine normas. recursos humanos

los requisitos del personal Falta de un incrementa los costos

conforme con sus objetivos plan y no posibilita

operativo de cumplir con

capacitación eficiencia sus metas.

en relación

con el plan

operativo de

la empresa.

Actuación de los C; F La empresa no dispone de una Falta de NCI-SP; La calidad del ALTO BAJO

servidores unidad de capacita- ción que control y 300- 04 servicio se ve

posibilite a sus servidores decisión NCI-SP; afectada por la falta

entrenarse y capacitarse en oportuna 300- 03 de entrenamiento y

forma constante y progresiva para actuar capacitación

en función de las necesidades cuando se constante y

de capacitación y objetivos y produce el progresiva del

metas institucionales hecho. Falta personal.

 19

de evalua- Desprestigio de la

ción e entidad e incum-

incenti- vos plimiento de la ley,

pérdida de la

confianza.

Evaluación e incentivos Desempeño sin diligencia, NCI-SP; Disminución del

trasgresión de la ley con y sin 300- 05 rendimiento de

conocimiento, prebendas y trabajo, falta de

conflicto de intereses. Trabajo eficiencia en las

por inercia y sin creatividad. tareas.

Duplicación de funciones,

exceso de personal, falta de

manual de funciones.

Cuestionario del Control Interno y sus componentes

En muchas ocasiones, cuando se habla de controles internos las percepciones de su

significado son muy distintas, dependiendo del usuario, preparador, auditor o dirección. Para
algunos usuarios, control interno se refiere a los procedimientos de conciliaciones y
autorizaciones; para otros, pudieran ser los controles relativos a fraude; y para otros, ser solo
políticas y procedimientos establecidos en las empresas.

Sin embargo, de manera general se puede comentar que los controles internos son las
respuestas de la administración de una empresa o negocio para mitigar un factor identificado de
riesgo o alcanzar un objetivo de control.

Los objetivos de los controles internos pueden agruparse en cuatro categorías:

 Estratégicos.

 De información financiera.

 De operaciones.

 De cumplimiento de las disposiciones legales y reglamentos.

 20

Conforme a la NIA 315, Identificación y valoración de los riesgos de incorrección

material mediante el conocimiento de la entidad y de su entorno, el auditor obtendrá
conocimiento del control interno relevante para la auditoría. Para esto el auditor deberá
primeramente excluir de su análisis los controles internos que van encaminados a temas no
relacionados con la información financiera, y posteriormente identificar cuáles de los controles
internos relacionados con información financiera son relevantes, conforme su juicio profesional,
para que con base en estos realice su evaluación.

El primer paso para el auditor es evaluar el diseño del control para identificar los riesgos
que se busca mitigar con el control; posteriormente, habrá que identificar qué controles existen
para mitigar esos riesgos. También, a su vez, deberá determinar si se han implementado
mediante entrevistas con personal de la empresa y la realización de procedimientos adicionales.

La principal consideración del auditor es si, y cómo, un control específico previene o

detecta y corrige incorrecciones materiales en las transacciones, saldos de balance o información
a revelar y sus aseveraciones relacionadas.

Los controles internos abarcan cinco componentes clave que se indican a continuación:

 Entorno (o ambiente) de control.

 Proceso de valoración del riesgo de la entidad.

 Sistemas de información.

 Actividades de control.

 Seguimiento (o monitoreo) de los controles.

Entorno (o ambiente) de control

Este componente es la base para el resto de los componentes del control; un ambiente de
control débil origina que, sin importar el adecuado diseño del resto de los componentes, no se
 21

pueda confiar totalmente en estos. El ambiente de control fija el nivel de disciplina y estructura
que hay en la empresa.

Algunas áreas clave al analizar este componente por parte del auditor se enlistan a
continuación:

Integridad y valores éticos. Existe en la empresa desde la alta dirección hasta los niveles
iniciales de personal un compromiso con valores de integridad y éticos, tanto en palabras como
en hechos, con lo cual se busca desincentivar cualquier tipo de conducta inapropiada.

Compromiso con la competencia. La empresa toma medidas para que su personal

operativo y directivo conozca cómo realizar su trabajo de una manera eficiente y adecuada.

Participación efectiva de los responsables del gobierno de la entidad. Existen órganos

independientes que efectivamente estén vigilando el adecuado funcionamiento de la empresa.

Estructura organizacional y asignación de autoridad y responsabilidad. Existe una

estructura organizacional adecuada para llevar a cabo los objetivos, definiéndose los niveles de
autoridad y responsabilidad para cada uno de los elementos de esta estructura.

Proceso de valoración de riesgo de la entidad

El componente del proceso de valoración de riesgo de la entidad consiste en que el

auditor evalúe lo adecuado del proceso interno de la entidad para identificar los riesgos de
negocio de la empresa (relevantes para la información financiera), las estimaciones de la
importancia de los mismos, la evaluación de la probabilidad de ocurrencia y la toma de
decisiones respecto a dichos riesgos.

El proceso de valoración del riesgo brinda a la empresa la información que necesita para
determinar qué riesgos de negocio y de fraude deben atenderse, y en su caso, las medidas a
tomar. Estará a decisión de la empresa realizar las gestiones para tratar riesgos específicos o, en
su caso, asumir dichos riesgos, debido al costo beneficio que implica mitigarlos o eliminarlos.

Sistemas de información
 22

Un sistema de información se integra por la infraestructura, software, personas,

procedimientos y datos con los que cuenta un negocio o empresa para dirigirla, alcanzar sus
objetivos e identificar y responder a los factores de riesgo.

El auditor deberá analizar primordialmente los sistemas de información relacionados con

la información financiera; en particular los sistemas relacionados con los procesos operativos (de
negocio) tales como: ventas, compras, nóminas, producción, etc.; así como los sistemas de
contabilidad que son donde se asientan los registros contables correspondientes.

Al analizar los sistemas de información como parte del proceso de evaluación de los
componentes del control interno, deberá considerarse lo siguiente:

Identificar las fuentes de información utilizadas. En este punto deberán analizarse los
tipos de transacciones significativas para los estados financieros, cómo se originan, qué registros
contables se generan y cómo captan los sistemas los hechos y condiciones significativos para los
estados financieros

Captación y proceso de información. En este punto deberán identificarse los procesos

de información financiera para las transacciones habituales y no habituales, así como la inclusión
de estimaciones contables y/o revelaciones significativas.

Utilización de la información generada. En este punto se analizará la forma de

comunicar por la empresa la información financiera, los informes resultantes y su utilización en
la empresa, así como los informes a los responsables del gobierno de la empresa y a terceros,
tales como las autoridades regulatorias.

Debido al alto nivel y complejidad actual de los sistemas de información, principalmente

en empresas de gran tamaño, puede ser conveniente que en el proceso de evaluación de este
componente, el auditor se apoye en el trabajo de especialistas de Tecnología de Información (TI).

Actividades de control

Las actividades de control son las políticas y procedimientos que ayudan a asegurar que
las directrices de la administración se lleven a cabo. Estos controles se refieren a riesgos que, si
no se mitigan, pondrían en riesgo el llevar a cabo los objetivos de la empresa.
 23

Las actividades de control pueden clasificarse en los siguientes cuatro tipos:

 Preventivos. Controles para evitar errores o irregularidades.

 De detección. Controles para identificar errores o irregularidades después de que hayan

ocurrido para tomar medidas correctivas.

 De compensación. Controles para brindar cierto grado de seguridad cuando es

incosteable la aplicación de otros controles más directos. Ejemplos: segundas firmas,
supervisión de terceros, supervisión selectiva interna, etcétera.

 De dirección. Controles para orientar al personal hacia los objetivos deseados, por
ejemplo, las políticas y los procedimientos.

Algunos controles comunes a nivel del proceso operativo incluyen temas como los
siguientes:

Segregación de funciones: donde reduce la oportunidad de que una persona por sí

misma pueda llevar a cabo u ocultar errores o fraudes.

Controles de autorizaciones: define quién tiene la autoridad para aprobar diversas

transacciones, comunes o no comunes.

Conciliaciones de cuentas: incluye preparar y revisar conciliaciones oportunamente y

tomar decisiones sobre posibles diferencias.

Controles de aplicación de TI: estos se incluyen en las aplicaciones de los sistemas de

información, los cuales son automatizados o parcialmente automatizados.

Revisión de resultados reales: comparar los resultados reales contra los presupuestados
y periodos anteriores, así como analizar comportamientos inesperados de los resultados.

Controles físicas: están relacionados con la seguridad física de los activos, acceso a
instalaciones, registros contables, sistemas de información, archivos de datos, etcétera.

Seguimiento (o monitoreo) de los controles

 24

El seguimiento o monitoreo evalúa la eficacia de la ejecución del control interno en el

tiempo y su objetivo es asegurarse de que los controles trabajen adecuadamente o, en caso
contrario, tomar las medidas correctivas necesarias. El seguimiento le permite a la dirección de la
empresa saber si los controles internos son eficaces, están implementados adecuadamente, se
usan y se cumplen diariamente, o si necesita modificaciones o mejoras.

El seguimiento se da por la dirección de la empresa, mediante actividades periódicas,

evaluaciones específicas o una combinación de ambas. Asimismo, el seguimiento de la dirección
puede incluir el uso de información externa que pueda resaltar problemas o áreas de oportunidad:
quejas de clientes, comentarios de organismos terceros e informes de auditores externos o
consultores sobre al control interno. (Sotomayor González, 2016)

Determinación del nivel de confianza y nivel de riesgo

Análisis e Interpretación: Una vez que se aplicó el cuestionario de control interno, se ha

identificado que el nivel de riesgo llega a un 59% que es un nivel alto, y por ende el nivel de
confianza se determina como bajo generándome un resultado del 41%.Estos resultados nos
 25

muestran los niveles de eficiencia del sistema de control interno implementado por la entidad en
el desarrollo de sus actividades, enfocados a la carenciade un código de ética, además de recalcar
que no aplica indicadores de evaluación para la mitigación de posibles fraudes y la medición de
la eficiencia de los programas y proyectos para reducir y evitar el riesgo.

Definir la confianza y el riesgo

En esta prueba, como en el resto de pruebas de muestreo, estaremos analizando una

muestra representativa de la población y deberemos aceptar que existe un porcentaje de riesgo
que debemos medir y aceptar a la hora de realizar dichas pruebas.

Riesgo de la prueba: El riesgo es el complementario de la confianza, es decir 1 menos

el porcentaje de Nivel de Confianza de la prueba. Este riesgo puede variar entre valores del 50%
(se asume muchísimo riesgo en la prueba) hasta valores del 1% (la prueba intenta eliminar la
máxima cantidad de riesgo Alfa). Estos valores tan extremos no se suelen utilizar, los valores
más habituales son el 5% y el 10%.

El Nivel de Confianza o Riesgo Alfa es la seguridad que desea obtener el auditor en el

resultado de sus pruebas. La confianza de la prueba dependerá de cuál es el riesgo previsto para
el área revisada tras analizar el riesgo inherente, el riego de control interno y la confianza en
otros sistemas de auditoría. Cuanto más confiemos en otros procedimientos y sistemas de
control, menos confianza será necesaria para la prueba sustantiva MUM y por tanto podremos
asumir más riesgo.

Ej. De una muestra de 100 con una confianza del 95% solo 95 muestras serán
representativas y 5 muestras no serán representativas de la población de origen. Por tanto, las
conclusiones del auditor acerca de la población objeto de muestreo estarán equivocadas en un
5% de los casos.

Es la probabilidad de que las conclusiones estadísticas del auditor sean correctas. El nivel
de confianza se determina teniendo en consideración el máximo riesgo de muestreo que el
auditor pueda tolerar. El complemento del nivel de confianza es el riesgo de que se acepte como
 26

bueno un valor en libros incorrecto. El auditor debe prestar su mayor atención a este tipo de
riesgo.

audinfor. (s.f.). Obtenido de

http://www.audinfor.com/ManualesOnline/ForSampling/1.3/default.htm?

turl=definirlaconfianzayelriesgo.htm

Cole, B. (abril de 2021). Obtenido de https://www.computerweekly.com/es/definicion/Programa-

de-auditoria-o-plan-de-auditoria#:~:text=Un%20programa%20de%20auditor%C3%ADa

%2C%20tambi%C3%A9n,con%20las%20regulaciones%20de%20cumplimiento.

safetyculture. (15 de enero de 2024). Obtenido de https://safetyculture.com/es/temas/programa-

de-auditoria/
 27

Salas, M. C. (s.f.). Obtenido de https://www.academia.edu/39370326/MEMOR

%C3%81NDUM_DE_PLANEACI%C3%93N