la auditoría continua, una herramienta para la ... · auditoría en las organizaciones y su...

La Auditoría Continua, una herramienta para la modernización de la función de

auditoría en las organizaciones y su aplicación en el Control Fiscal Colombiano

Francisco Javier Valencia Duque

Universidad Nacional de Colombia

Facultad de Ingeniería y Arquitectura

Departamento de Ingeniería Industrial

Manizales, Colombia

2015

La Auditoría Continua, una herramienta para la modernización de la función de

auditoría en las organizaciones y su aplicación en el Control Fiscal Colombiano

Francisco Javier Valencia Duque

Tesis presentada como requisito parcial para optar al título de:

Doctor en Ingeniería – Industria y Organizaciones

Director:

PhD. Johnny Alexander Tamayo

Línea de Investigación:

Organizaciones, Sistemas y Gestión de la Tecnología, la Información, el Conocimiento y

la Innovación Tecnológica

Universidad Nacional de Colombia

Facultad de Ingeniería y Arquitectura

Departamento de Ingeniería Industrial

Manizales, Colombia

2015

A mi familia, por ser el bastón sobre el cual he

edificado mi pasado y mi presente y a partir del

cual se edificará mi futuro.

Agradecimientos

A la Universidad Nacional de Colombia, por ser la Institución que me permite formarme

como persona, profesional y ahora como Investigador; a la Contraloría General del

Municipio de Manizales, por ser un laboratorio de Auditoría, donde se construyen

innovaciones para el Control Fiscal Colombiano y a mi Director de Tesis, por ser partícipe

de uno de los temas que han marcado mi devenir histórico y mi ingreso al mundo de la

ciencia.

Resumen y Abstract IX

Resumen

La Auditoría Continua es una tecnología emergente, la cual está basada en Tecnologías

de Información y Comunicaciones; y que puede aportar al menos parcialmente, a la

problemática que viene aquejando al Control Fiscal Colombiano desde hace varios años.

Para ello, se propone como objetivo de este proyecto, la construcción de un modelo de

Auditoría Continua, que esté acorde a la realidad tecnológica del sector gubernamental y

que responda a la problemática presente, en las instituciones y procesos del Control Fiscal

en Colombia. En el cumplimiento de este objetivo y en el marco del control gubernamental,

se realiza un profundo análisis bibliográfico, del uso de las Tecnologías de Información, en

control y auditoría; como preámbulo al estado del arte de la Auditoría Continua y a los

principales modelos existentes, que permiten construir a partir de una propuesta

taxonómica y un esquema de homogeneización, un meta modelo, que articulado con las

guías de auditoría gubernamental existentes en Colombia, sirve como eje metodológico

del modelo propuesto, donde interactúa de manera dinámica con el gobierno electrónico,

así como, con otra serie de variables endógenas y exógenas, que adecuadamente

interrelacionadas contribuirán a la materialización de un modelo de auditoría continua en

el Control Fiscal Colombiano, que aporte con su efecto panóptico, al fortalecimiento de las

tres líneas de defensa propuestas por el Instituto global de Auditores Internos.

Palabras clave: Control Fiscal, Auditoría continua, E-control, TAAC’s, Gobierno

Electrónico.

Abstract

Continuous Audit, a tool for modernizing the audit function in organizations and its

application in the Colombian Fiscal Control.

The Continuous Auditing is an emerging technology based on Information Technologies

and Communications, which may partially contribute to improve on solving the problems,

X Título de la tesis o trabajo de investigación

that have been affecting the Colombian Fiscal Control from a long time ago. To this end,

this project aims to build a model of Continuous Auditing, according to the technological

reality of the government sector, in order to respond to the problems existing on institutions

and processes of Fiscal Control in Colombia. To accomplish this objective, and based on

the governmental control, it has been carried out a deep literature review, on the use of IT,

in control and audit, as a preamble for the state of the art of Continuous Auditing and for

the main existing models, which allow to construct a meta model, based on a taxonomic

proposal and a homogenization outline. This model will work as a methodological axis of

the proposed model, when articulated with the existing government guides, for auditing in

Colombia and by interacting dynamically with e-government, as well as, with other set of

endogenous and exogenous variables, that when being properly interrelated, will contribute

to the realization of a model of continuous auditing, in the Colombian Fiscal Control, that

could strengthen with its panoptic view, the three defense lines proposed by the Institute of

Internal Auditors.

Keywords: Fiscal Control, Continuous Audit, e-control, CAATT’s, Electronic Government.

Contenido XI

Tabla de contenido

RESUMEN ........................................................................................................................... IX

INTRODUCCIÓN ................................................................................................................ 22

1. ANTECEDENTES Y ESTRUCTURA DE LA INVESTIGACIÓN ............................. 25

1.1 Antecedentes ........................................................................................................... 25

1.2 Estructura de la investigación .................................................................................. 27

1.2.1 Delimitación del problema .................................................................................... 27

1.2.2 Formulación del problema ................................................................................... 35

1.2.3 Objetivos ............................................................................................................... 36

1.2.4. Justificación ...................................................................................................... 36

1.2.5. Metodología de Investigación........................................................................... 40

2. EL CONTROL ORGANIZACIONAL Y SU APLICACIÓN EN EL SECTOR

PÚBLICO COLOMBIANO................................................................................................... 43

2.1. Control Organizacional y Modelos a Nivel Internacional ........................................ 43

2.1.1. Modelo Americano COSO (Committee of Sponsoring Organizations of the

Treadway Commission). ................................................................................................. 44

2.1.2. Modelo Canadiense COCO (Criteria of Control Board). .................................. 45

2.2. El Control en el sector público Colombiano ................................................................ 46

2.2.1. El Control Interno en el sector público Colombiano. ............................................ 47

2.2.2. El Control Fiscal Colombiano ............................................................................... 55

2.3. La Auditoría, como Instrumento de evaluación del Control Organizacional. ......... 64

2.3.1. Breve reseña histórica de la auditoría. ............................................................ 65

2.3.2. Entidades que impulsan la auditoría a nivel internacional, en el ámbito público

y privado. ......................................................................................................................... 66

2.3.3. Clasificación de la auditoría ............................................................................. 68

2.3.4. Metodología de auditoría .................................................................................. 68

2.3.5. Normas Internacionales de Auditoría ............................................................... 71

3. LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN LOS

PROCESOS DE CONTROL Y AUDITORÍA. ..................................................................... 78

3.1. La evidencia digital. Insumo fundamental de la auditoría moderna. .......................... 80

3.1.1. La evidencia: materia prima del auditor .............................................................. 80

XII Título de la tesis o trabajo de investigación

3.1.2. Pruebas de auditoría ........................................................................................ 84

3.2. Los estándares internacionales en el uso de Tecnologías de Información y

Comunicaciones en la auditoría ......................................................................................... 85

3.3. Perspectivas del uso de las TIC en los procesos de control y auditoría ................ 87

3.3.1. Las TIC como parte de los procesos de control y auditoría ............................ 87

3.3.2. Modalidades de control y auditoría basada en TIC’s ...................................... 90

3.4. Nivel de uso de las Tecnologías de Información y Comunicaciones en el Control

Fiscal Colombiano. ............................................................................................................. 91

3.4.1. Estado actual del desarrollo informático y tecnológico de las contralorías del

país. 91

3.4.2. Sistemas de información que dan soporte a los procesos del Control Fiscal

Colombiano. .................................................................................................................... 93

3.4.3. Descripción de los principales sistemas de información en el Control Fiscal

Colombiano. .................................................................................................................. 100

3.5. Proyecto Control en Línea, en el Control Fiscal Colombiano .............................. 103

4. LA AUDITORÍA CONTINUA, COMO NUEVO PARADIGMA DE LA AUDITORÍA106

4.1. Conceptos básicos................................................................................................. 107

4.2. Necesidad e importancia de la Auditoría Continua ............................................... 108

4.3. Conceptos asociados a la Auditoría Continua ...................................................... 109

4.4. Génesis y evolución de la Auditoría Continua ...................................................... 111

4.5. Nivel de adopción de la Auditoría Continua a nivel internacional ......................... 113

4.6. Nivel de adopción de la Auditoría Continua en Colombia .................................... 115

4.7. Estándares, guías y documentos de orientación .................................................. 119

4.8. La Auditoría Continua. Un nuevo paradigma de la auditoría ................................ 121

5. TAXONOMÍA Y ARMONIZACIÓN DE MODELOS DE AUDITORÍA CONTINUA.126

5.1. Técnicas de auditoría concurrentes .......................................................................... 126

5.2. Esquemas de Auditoría Continua a nivel internacional ............................................ 128

5.3. Taxonomía de modelos de Auditoría Continua ..................................................... 131

5.3.1. De acuerdo a su origen .................................................................................. 133

Contenido XIII

5.3.2. De acuerdo a su orientación .......................................................................... 139

5.3.3. De acuerdo al tipo de auditoría ...................................................................... 143

5.4. Armonización de los modelos de Auditoría Continua ........................................... 145

5.4.1. Esquemas de armonización de modelos ....................................................... 145

5.4.2. Método para la armonización de modelos de Auditoría Continua ................ 148

5.4.3. Desarrollo de la estrategia de armonización ................................................. 149

6. EL GOBIERNO ELECTRÓNICO COMO MARCO DE ACTUACIÓN DE LA

AUDITORÍA CONTINUA EN EL CONTROL FISCAL COLOMBIANO. ........................... 165

6.1. El Gobierno Electrónico a nivel mundial ............................................................... 167

6.2. Antecedentes del gobierno electrónico en Colombia............................................ 168

6.3. El Gobierno electrónico en el Plan actual de Desarrollo Nacional ....................... 171

6.4. Lineamientos, directrices y metodologías de la Estrategia de Gobierno en Línea en

Colombia. .......................................................................................................................... 174

6.4.1. Aspectos prioritarios del Gobierno en Línea .................................................. 175

6.4.2. El Modelo de Gobierno en Línea, con sus respectivos niveles de madurez 175

6.4.3. Plazos para la implementación de los diferentes componentes de Gobierno en

Línea 178

6.4.4. Construcción (Actualización) del Manual de Gobierno en Línea .................. 181

6.4.5. Monitoreo y Evaluación de Gobierno en línea ............................................... 183

6.5. Estado actual del Gobierno Electrónico en Colombia. ......................................... 184

6.5.1. Infraestructura Tecnológica de las entidades públicas del orden nacional y

territorial. ........................................................................................................................ 185

6.5.2. Nivel de avance en los componentes de gobierno en línea .......................... 186

6.5.3. Aspectos relevantes en el nivel de avance de la Estrategia Gobierno en Línea

188

6.5.4. Las entidades de Control frente a la Estrategia de Gobierno en Línea. ....... 189

6.6. Las Tecnologías de Información del sector gubernamental al margen del programa

gobierno en línea .............................................................................................................. 190

6.7. El Control en línea, una perspectiva más amplia. ................................................. 193

6.8. Normograma de Tecnologías de Información en el sector gubernamental

Colombiano. ...................................................................................................................... 195

7. MODELO DE AUDITORÍA CONTINUA PARA EL CONTROL FISCAL

COLOMBIANO. ................................................................................................................. 199

XI

V

Título de la tesis o trabajo de investigación

7.1. Aspectos preliminares del modelo......................................................................... 199

7.1.1. El modelo como concepto .............................................................................. 199

7.1.2. Supuestos básicos del modelo de Auditoría Continua .................................. 200

7.2. Estructura del modelo de Auditoría Continua para el Control Fiscal Colombiano 201

7.2.1. Subsistemas del modelo ................................................................................ 201

7.2.2. Elementos exógenos del modelo de Auditoría Continua .............................. 205

7.2.3. Elementos endógenos del modelo de Auditoría Continua ............................ 208

7.3. El efecto panóptico esperado del modelo ............................................................. 232

7.3.1. Modelo de las tres líneas de defensa ............................................................ 233

7.3.2. Funcionamiento de las tres líneas de defensa con el efecto panóptico esperado

en el modelo de Auditoría Continua ............................................................................. 235

7.4. La gestión del cambio, un impulsor del modelo .................................................... 237

8. MODELO DE AUDITORÍA CONTINUA, EN LA CONTRALORÍA GENERAL

DEL MUNICIPIO DE MANIZALES ................................................................................... 238

8.1. Metodología e instrumentos para caracterizar el Modelo de Auditoría Continua de la

Contraloría General del Municipio de Manizales ............................................................. 239

8.2. Diagnóstico de la Contraloría General del Municipio de Manizales ..................... 241

8.2.1. Breve Reseña Histórica de la CGMM ............................................................ 241

8.2.2. Estructura Organizacional y de procesos ...................................................... 242

8.2.3. Entidades y puntos sujetos de control ........................................................... 245

8.3. El Modelo de Auditoria Continua para el Control Fiscal Colombiano en el contexto

de la Contraloría General del Municipio de Manizales .................................................... 246

8.3.1. Competencias tecnológicas del auditor gubernamental ................................ 246

8.3.2. Metodología de Auditoría Continua ................................................................ 249

8.3.3. Base de conocimiento .................................................................................... 252

8.3.4. Técnicas y Herramientas de Auditoría Continua ........................................... 252

8.3.5. Automatización de procesos gubernamentales ............................................. 253

8.3.6. Masificación del Gobierno Electrónico ........................................................... 259

8.3.7. Gobierno Abierto ............................................................................................ 266

8.4. Conclusiones y plan propuesto para cerrar la brecha del estado actual de la

Contraloría General del Municipio de Manizales, frente al modelo de Auditoría Continua

propuesto. ......................................................................................................................... 268

9. CONCLUSIONES, APORTES Y TRABAJOS FUTUROS .................................... 273

Contenido XV

9.1. Conclusiones.......................................................................................................... 273

9.2. Aportes de la investigación .................................................................................... 276

9.3. Trabajos futuros ..................................................................................................... 277

7. ANEXOS ................................................................................................................ 279

Anexo 1. Contralorías departamentales, distritales y municipales que hacen parte del

Control Fiscal Colombiano................................................................................................ 279

Anexo 2. Normas internacionales de auditoría ................................................................ 282

Anexo 3. Ficha técnica Estudio Tipo 1 ............................................................................. 284

Anexo 4. Ficha técnica Estudio Tipo 2 ............................................................................. 309

Anexo 5. Ficha Técnica Estudio Tipo 3 ............................................................................ 316

Anexo 6. Informe detallado de resultados por fases del estado actual de la Estrategia de

Gobierno en Línea en las entidades sujetas de control de la Contraloría General del

Municipio de Manizales. ................................................................................................... 318

Anexo 7.Análisis de homogeneización detallado de guías y metodologías de Auditoría

Continua. ........................................................................................................................... 323

Anexo 8. Productos de difusión de resultados de la tesis ............................................... 328

Lista de figuras

PÁG.

Figura 1: Estructura de presentación del documento de Investigación .......................... 27

Figura 2. Modelo COSO ..................................................................................................... 45

Figura 3. Nivel promedio de avance del MECI a nivel territorial ........................................ 55

Figura 4. Macro procesos del Control Fiscal Colombiano. ................................................ 63

Figura 5. Estructura General de Auditoría. Contraloría General de la República ............. 74

Figura 6. Fases de Auditoría Interna. Entidades Públicas Colombianas .......................... 76

Figura 7. Número de aplicaciones por proceso en el Control Fiscal Colombiano. ........... 94

Figura 8. Sistemas de Información de la Contraloría de Santiago de Cali, usado por algunas

contralorías del país. ........................................................................................................ 102

Figura 9. Modelo Conceptual del Sistema de Control Fiscal en Línea ........................... 104

Figura 10. Principales componentes de la Auditoría Continua ........................................ 111

Figura 11. Eventos destacados de la Auditoría Continua ................................................ 112

Figura 12. Algunos de los estudios del nivel de avance de la Auditoría Continua ......... 113

Figura 13. Modelos de Auditoría Continua a través del tiempo ....................................... 129

Figura 14. Categorías Taxonómicas de Auditoría Continua ............................................ 133

Figura 15. Modelos de auditoría de acuerdo a su origen. ............................................... 134

Figura 16. Esquemas de Auditoría Continua de acuerdo al sector donde se aplican .... 137

Figura 17. Esquemas de Auditoría Continua por Tipo ..................................................... 144

Figura 18. Metodología Kelemen para la armonización de modelos ............................. 147

Figura 19. Arquitectura básica de protocolos de servicios web. ..................................... 162

Figura 20. Avance del Gobierno Electrónico por Continentes 2012 ............................... 168

Figura 21. Evolución normativa del e-government en Colombia ..................................... 169

Figura 22. Países Emergentes en Gobierno Electrónico 2012 ....................................... 170

Figura 23. Ecosistema Digital ........................................................................................... 172

Figura 24. Arquitectura de gobierno en línea ................................................................... 173

Figura 25. Infraestructura Tecnológica de las entidades públicas Colombianas ............ 186

Figura 26. Nivel de avance de las fases de Gobierno en Línea en las entidades de nivel

nacional. 2008-2011 ......................................................................................................... 187

Figura 27. Nivel de avance de las fases de Gobierno en Línea en las entidades del nivel

territorial. 2008-2011 ......................................................................................................... 188

Figura 28. Tipología de Sistemas de Información en el sector público ........................... 191

Figura 29. Modelo de Auditoría Continua para el Control Fiscal Colombiano ................ 203

Figura 30. Portal del Catálogo de Datos Abiertos en Colombia. ..................................... 231

Figura 31. Modelo de tres líneas de defensa ................................................................... 233

17

Figura 32. Efecto panóptico del modelo en las tres líneas de defensa ........................... 236

Figura 33: Ranking de las Contralorías en Colombia ...................................................... 242

Figura 34. Estructura Organizacional de la Contraloría General del Municipio de Manizales

........................................................................................................................................... 243

Figura 35. Mapa de procesos de la Contraloría General del Municipio de Manizales .... 244

Figura 36. Tipología de auditorías desarrolladas en la Contraloría General del Municipio de

Manizales .......................................................................................................................... 248

Figura 37. Nivel de uso de las TAAC's por parte de los auditores gubernamentales de la

Contraloría General del Municipio de Manizales ............................................................. 253

Figura 38. Nivel de madurez promedio de los dominios de COBIT en las entidades sujetas

de control de la Contraloría General del Municipio de Manizales ................................... 254

Ilustración 39. Nivel de madurez tecnológica basada en COBIT de las entidades sujetas de

control de la Contraloría General del Municipio de Manizales. ....................................... 255

Figura 40. Interfaz solución tecnológica COBRA ............................................................. 257

Figura 41. Nivel promedio de avance del Gobierno Electrónico a 2014 en las entidades

sujetas de control de la Contraloría General del Municipio de Manizales ....................... 259

Figura 42.Diagrama radar de los elementos de los subíndices de las entidades sujetas de

control de la estrategia de gobierno en línea. .................................................................. 262

Figura 43. Índice y subíndices de Gobierno en Línea por entidad sujeta de control ...... 263

Figura 44.Nivel promedio de avance del Gobierno Electrónico hasta 2014 de la Contraloría

General del Municipio de Manizales ................................................................................ 264

Figura 45. Diagrama radar de los elementos de los subíndices del gobierno en línea de la

Contraloría General del Municipio de Manizales. ............................................................ 265

Figura 46. Índice de gobierno abierto de las entidades sujetas de control de la Contraloría

General del Municipio de Manizales. ............................................................................... 266

18

Lista de tablas

PÁG.

Tabla 1. Cobertura del Control Fiscal Colombiano ............................................................ 34

Tabla 2. Valor promedio de vigilar los recursos del Estado Colombiano. ......................... 34

Tabla 3. Número de funcionarios del Control Fiscal Colombiano y relación de auditor por

cada auditoría. .................................................................................................................... 34

Tabla 4: Fases de la investigación ..................................................................................... 40

Tabla 5. Principales normas que reglamentan el Control Interno en Colombia ................ 47

Tabla 6. Normograma del Control Fiscal Colombiano (Normas más representativas) ..... 56

Tabla 7. Gerencias Seccionales de la Auditoría General de la República ........................ 60

Tabla 8. Fases de la Auditoría de acuerdo a ISACA. ........................................................ 69

Tabla 9. La Evolución de la Auditoría desde la perspectiva del procesamiento de datos.

............................................................................................................................................. 78

Tabla 10. Evidencia en papel vs Evidencia electrónica ..................................................... 82

Tabla 11. Normas, estándares y directrices relacionadas con evidencia ......................... 83

Tabla 12. Resumen de las principales normas y estándares alrededor de las Tecnologías

de Información y Comunicaciones en la auditoría. ............................................................ 85

Tabla 13. Sistemas de Información por procesos del control fiscal .................................. 94

Tabla 14. Sistemas de Información por Contraloría en sus principales procesos ............ 96

Tabla 15. Términos relacionados con Auditoría Continua ............................................... 109

Tabla 16. Eventos de interacción con la comunidad académica y profesional del control y

auditoría en Colombia. ...................................................................................................... 115

Tabla 17. Eventos académicos producto del proyecto de Investigación ......................... 118

Tabla 18. Paralelo entre la Auditoría Tradicional y la Auditoría Continua. ...................... 122

Tabla 19. Paralelo de dos paradigmas de la Auditoría Continua .................................... 123

Tabla 20. Esquemas, modelos, metodologías y casos de Auditoría Continua. .............. 129

Tabla 21. Distribución porcentual de la taxonomía de modelos de Auditoría Continua . 132

Tabla 22. Modelos Aplicados de Auditoría Continua difundidos en la Literatura Académica

y Profesional. .................................................................................................................... 135

Tabla 23. Modelos Teóricos de Auditoría Continua. ........................................................ 138

Tabla 24. Guías de Auditoría Continua establecidas por organismos Internacionales. . 138

Tabla 25. Modelos de Auditoría Continua orientados a lo metodológico ........................ 140

Tabla 26. Modelos de Auditoría Continua orientados a lo técnico .................................. 140

Tabla 27. Diferencias entre Técnicas de auditoría EAM y MCL. ..................................... 142

Tabla 28. Modelos de Auditoría Continua orientados a la auditoría tanto interna como

externa. ............................................................................................................................. 144

Tabla 29. Características del modelo objetivo requerido para la construcción de un modelo

de Auditoría Continua para el Control Fiscal Colombiano ............................................... 149

Tabla 30. Modelo de Auditoría Continua de referencia ................................................... 151

Tabla 31. Niveles de valoración del índice de cohesión de los modelos ........................ 152

Tabla 32. Índice de cohesión por fases. Taxonomía por guías de auditoría .................. 153

Tabla 33. Índice de cohesión por modelos. Taxonomía por guías de auditoría ............. 154

19

Tabla 34. Índice de cohesión por fases. Taxonomía por metodologías .......................... 154

Tabla 35. Índice de cohesión por modelos. Taxonomía por metodologías ..................... 155

Tabla 36. Índice de cohesión total por fases. Fases generalmente aceptadas de Auditoría

Continua. ........................................................................................................................... 156

Tabla 37. Índice total por actividades. Fases generalmente aceptadas de Auditoría

Continua. ........................................................................................................................... 156

Tabla 38.Relación de las fases del contexto del sector público ...................................... 158

Tabla 39. Tecnologías usadas en modelos de Auditoría Continua orientados a MCL ... 160

Tabla 40. Meta modelo de Auditoría Continua base para el Control Fiscal Colombiano.

........................................................................................................................................... 163

Tabla 41. Desarrollo actual del e-government en Sur América ....................................... 170

Tabla 42. Componentes de Gobierno en línea ................................................................ 176

Tabla 43. Plazos para la Implementación de la Estrategia de Gobierno en Línea ......... 179

Tabla 44. Actividades y pesos de cada uno de los componentes de Gobierno en Línea.

........................................................................................................................................... 181

Tabla 45. Nivel de avance de la Estrategia de Gobierno en Línea de los organismos de

control (2008-2011)........................................................................................................... 189

Tabla 46. Ejemplos de Sistemas de Información Tipo 2 ................................................. 191

Tabla 47. Ejemplo de Sistemas de Información Tipo 3 ................................................... 192

Tabla 48. Ejemplo de Sistemas de Información Tipo 4 ................................................... 193

Tabla 49. Normograma de Gobierno Electrónico. ........................................................... 195

Tabla 50. Elementos exógenos del modelo de Auditoría Continua para el Control Fiscal

Colombiano. ...................................................................................................................... 206

Tabla 51. Elementos endógenos del modelo de Auditoría Continua para el Control Fiscal

Colombiano. ...................................................................................................................... 208


........................................................................................................................................... 211

Tabla 53. Fases y Actividades de la Guía de Auditoría Continua Territorial (GACT) ..... 213

Tabla 54. Fases y Actividades de la Guía de Auditoría Continua de la Contraloría General

de la República (GACCGR) .............................................................................................. 216

Tabla 55. Subíndices de Gobierno en línea. .................................................................... 226

Tabla 56. Instrumentos para caracterizar el modelo de Auditoría Continua propuesto .. 240

Tabla 57. Entidades sujetas de control de la Contraloría General del Municipio de

Manizales .......................................................................................................................... 245

Tabla 58. Perfil Profesional de los auditores gubernamentales de la Contraloría General

del Municipio de Manizales .............................................................................................. 247

Tabla 59. Opiniones de los Auditores gubernamentales de la Contraloría General del

Municipio de Manizales acerca de la Auditoría Continua ................................................ 249

Tabla 60. Nivel de automatización de procesos auditados por la Contraloría General del

Municipio de Manizales, durante el año 2012. ................................................................. 256

Tabla 61. Nivel de avance de la estrategia de Gobierno en Línea de las entidades sujetas

de control de la CGMM hasta 2014. ................................................................................. 260

Tabla 62. Subindices del Gobierno Abierto de las entidades sujetas de control de la

Contraloría General del Municipio de Manizales. ............................................................ 261

20

Tabla 63.Subindices del Gobierno Abierto de la Contraloría General del Municipio de

Manizales .......................................................................................................................... 264

Tabla 64. Estado actual de las actividades del subindice de gobierno abierto de las

entidades sujetas de control de la Contraloría General del Municipio de Manizales. ..... 267

Tabla 65. Entidades sujetas de control que cuentan con catálogo de datos. ................. 267

Tabla 66. Nivel de avance promedio de los diferentes componentes de la fase de

elementos transversales de la estrategia de Gobierno en Línea en las entidades sujetas

de control por la Contraloría General del Municipio de Manizales. ................................. 318


información en línea de la estrategia de Gobierno en Línea en las entidades sujetas de

control por la Contraloría General del Municipio de Manizales. ...................................... 319


Interacción en línea de la estrategia de Gobierno en Línea en las entidades sujetas de



Transacción en línea de la estrategia de Gobierno en Línea en las entidades sujetas de



Transformación de la estrategia de Gobierno en Línea en las entidades sujetas de control

por la Contraloría General del Municipio de Manizales. .................................................. 321

Tabla 71.Nivel de avance promedio de los diferentes componentes de la fase de

Democracia en línea de la estrategia de Gobierno en Línea en las entidades sujetas de


22

Introducción

Las Tecnologías de Información y Comunicaciones han dejado de ser simples

herramientas de apoyo a los negocios, para convertirse en parte del negocio, lo que lleva

a considerarlas uno de los recursos vitales de cualquier organización, si se quiere ser

competitivo.

Recientemente el Banco Interamericano de Desarrollo (BID), publicó un informe titulado

“Transparencia y confianza en el sector público. Avances de las entidades fiscalizadoras

superiores en América Latina y el Caribe 2002-2012” donde se identifican cinco áreas

claves, para el desarrollo de un sistema de control gubernamental moderno, entre las que

se mencionan: La armonización de las prácticas de auditoría gubernamental, la

homogeneización y profesionalización del servicio, el enfoque técnico basado en riesgos y

orientado a resultados, la transparencia, mayor acceso y participación ciudadana y por

último, la diversificación del servicio.

Sin embargo, el informe deja como desafíos pendientes, temas como: “el desarrollo de

módulos de inteligencia de negocios y prácticas de manejo de la información, como áreas

importantes que incrementan la calidad del servicio y apoyar la optimización del uso de los

recursos públicos” (Banco Interamericano de Desarrollo, 2014,p.6).

La investigación que se presenta a través de este documento es un aporte a este desafío,

buscando incrementar la competitividad tecnológica de las entidades fiscalizadoras

superiores de Colombia, representadas en 64 contralorías del país, por medio de la

incorporación del uso de las Tecnologías de Información y Comunicaciones, como parte

del proceso auditor y no simplemente como herramientas de apoyo, para lo cual se acude

a la Auditoría Continua; término considerado por diferentes autores, como el nuevo

paradigma de la auditoría.

Para cumplir con este cometido, se han estructurado ocho (8) capítulos, que buscan

cumplir los objetivos previstos en el presente proyecto, los cuales se resumen a

continuación.

El primer capítulo presenta algunos antecedentes, la interrelación de los diferentes

capítulos a través de su estructura y el diseño de la investigación.

23

El segundo capítulo permite establecer el contexto en el cual se desarrolla la investigación,

a partir de la conceptualización de una de las funciones administrativas clásicas, como lo

son el control y la forma como ejercerse en Colombia, por parte de las organizaciones

designadas por la Constitución y la Ley, las cuales se han enmarcado en lo que se conoce

como el Sistema Nacional de Control Fiscal (SINACOF).

El tercer capítulo, da una mirada a la forma en que se han venido utilizando, a nivel

internacional, las Tecnologías de Información y Comunicaciones en los procesos de

Control y Auditoría, teniéndolas como punto de partida, para caracterizar la manera en que

se usan en el Control Fiscal Colombiano.

El cuarto capítulo muestra la evolución del empleo de las Tecnologías de Información y

Comunicaciones en el proceso auditor, a través del eje científico de este proyecto que es

la Auditoría Continua. Allí también se presentan, el estado del arte y las características que

lo han llevado a ser considerado un paradigma de la Auditoría.

Los capítulos quinto y sexto permiten establecer la base operativa, sobre la cual se

fundamenta el modelo propuesto. En el capítulo quinto se observa la construcción de una

taxonomía y homogeneización de los cerca de 30 modelos analizados, como base para

diseñar una propuesta de meta modelo de Auditoría Continua, que pueda ser aplicado en

el Control Fiscal Colombiano. El capítulo sexto, por su parte, presenta el contexto

tecnológico, sobre el cual se viabiliza la aplicación del modelo de Auditoría Continua, a

través del gobierno electrónico; por lo que se realiza un análisis del estado actual en

Colombia.

Por último y a partir del análisis de los diferentes elementos teóricos y de contexto

plasmados en los seis capítulos desarrollados, se plantea en el séptimo capítulo la

propuesta del modelo de Auditoría Continua, para después proponerlo en el capítulo ocho,

donde se desarrolla un diagnóstico de la contraloría piloto, en función de los subsistemas

y elementos del modelo propuesto; dejando al final, una propuesta para cerrar la brecha.

Es importante destacar, que algunos de los resultados de este proyecto han sido discutidos

y socializados, no solo en diversos eventos y congresos, si no también, de manera especial

24

con algunos actores del Control Fiscal Colombiano; entre los que se destacan los auditores

gubernamentales de las contralorías del país, a través de dos (2) congresos desarrollados

como parte del doctorado y de diversas charlas en el marco del proyecto de control en

línea, liderado por el Ministerio de Tecnologías de Información y Comunicaciones, la

Auditoría General de la República y la Contraloría General de la República; quienes muy

amablemente y a través del Instituto de Estudios Urbanos de la Universidad Nacional de

Colombia - Sede Bogotá, me invitaron a presentar la perspectiva académica de lo que

debe ser un control en línea, en el marco de la Auditoría Continua.

25

1. Antecedentes y Estructura de la

investigación

1.1 Antecedentes

Son diversos los autores que han destacado los cambios radicales producidos en la

generación del conocimiento y que los han descrito, como la transición del “Modo 1” al

“Modo 2” de hacer ciencia.

En el “Modo 1”, la producción de conocimiento obedece a las normas cognitivas que rigen

cada disciplina y es estimulado por intereses puramente académicos. En contraste, con el

“Modo 2”, en donde el conocimiento se genera siempre en el contexto de la aplicación,

atendiendo a las necesidades explicitas de algún agente externo, bien sea la industria, el

gobierno o la sociedad en general.

En concomitancia con lo anterior, la Universidad Nacional de Colombia, establece en su

plan de desarrollo 2013-2015, dentro de su componente estratégico y especialmente en

su visión 2017, en relación con la oferta de posgrados lo siguiente: “...La Universidad

ofrecerá posgrados basados en la generación de conocimiento y en su uso para la solución

de problemas fundamentales de la sociedad colombiana…….. con estrecha comunicación

entre la Universidad y sectores productivos, sociales y gubernamentales del país”

(Universidad Nacional de Colombia, 2012,p.89).

En el marco de lo anteriormente expuesto, el presente trabajo obedece desde su génesis,

proceso y culminación; a aportar desde la ciencia y desde la academia, a una de las

problemáticas que aqueja a los diferentes países del mundo y en particular, a Colombia,

como es la crisis de la fiscalización de lo público, denominado en Colombia: el Sistema

Nacional de Control Fiscal; problemática que presenta múltiples aristas y que requieren

ser intervenidas, para garantizar el cumplimiento de su misión constitucional. Si bien, el

desarrollo del presente proyecto no da solución integral al problema, dada la diversidad de

variables políticas, institucionales, socioculturales, humanas y financieras; si pretende

aportar, desde una perspectiva tecnológica utilizando la incorporación de conceptos,

modelos y técnicas de auditoría difundidas científicamente (en el ámbito internacional)

26

necesarias para la problemática local y aún poco utilizadas en el ámbito público,

contemplando un contexto organizacional, dominado por las Tecnologías de Información y

Comunicaciones.

Para presentar los resultados del proceso investigativo, se presenta a continuación un

documento estructurado en ocho (8) capítulos, que han sido organizados e

interrelacionados como se pueden apreciar en la Figura 1.

27

Figura 1: Estructura de presentación del documento de Investigación

Fuente: Elaboración propia

1.2 Estructura de la investigación

En concordancia con la propuesta de investigación presentada y formalizada a través de

la presentación del examen Doctoral, a continuación se presenta la estructura de

investigación del proyecto.

1.2.1 Delimitación del problema

Son múltiples los riesgos a los que están expuestas actualmente las organizaciones, en el

caso de las Instituciones públicas colombianas, la corrupción y el fraude son dos de los

principales riesgos que aquejan el país y que llevan a la necesidad de fortalecer los

sistemas de control público.

El índice de percepción de corrupción a nivel internacional, elaborado por Transparencia

Internacional en el año 2010, ubica a Colombia en el puesto 78, de un total de 178 países

(Transparency International, 2011); y para el año 2011 en el puesto 80 de 183 países

(Transparency International, 2012). De igual forma en el año 2013, y de acuerdo al último

informe del barómetro global de la corrupción en Colombia, las cifras no dejan de ser

preocupantes, en cuanto a su percepción por parte de la ciudadanía, calificándola con un

nivel de gravedad de 4.4 sobre 5. Particularmente en el sector público, se ha convertido

en uno de sus principales problemas, de acuerdo a lo expresado por el 62% de los

encuestados, y más grave aún, esta sigue en permanente crecimiento, como lo expresa la

percepción del 56% de la ciudadanía (Transparencia Internacional, 2013).

Estos resultados generan desconfianza por parte de la ciudadanía en sus autoridades y

debilitan su capacidad de luchar contra este fenómeno, lo cual ha sido corroborado por el

recién aprobado documento CONPES 167 de Noviembre de 2013, el cual establece:

La corrupción se presenta en un escenario de instituciones débiles, que por su

diseño o evolución no tienen la capacidad de hacer cumplir las reglas y normas que

contienen, son ineficientes e ineficaces, son percibidas como injustas e

28

inequitativas, y no cuentan con mecanismos para controlar el oportunismo, ni para

adaptarse a los cambios del entorno. (CONPES, 2013,p.13).

De otro lado, los fraudes en el ámbito internacional vienen en aumento y Colombia no es

la excepción, así lo establece la encuesta anual global sobre fraude desarrollada por The

Economist Intelligence Unit en el año 2013. Allí se establece que el 70% de las compañías

a nivel mundial, sufrieron durante el último año como mínimo, un tipo de fraude, siendo su

principal ejecutor el personal interno de la organización. En el caso Colombiano, las

empresas afectadas por el fraude pasaron de un 49% en el 2011 al 63% en el 2012, con

un incremento en el porcentaje promedio de ingresos perdidos, que paso del 0,4% al 0,7%

para este último año (Economist Intelligence Unit, 2014).

El costo estimado por crímenes económicos en Colombia en el año 2013, fue de 3600

millones de dólares, equivalente al 1% del PIB nacional (KPMG, 2013).

Estos flagelos han alcanzado niveles que generan desconfianza en las instituciones

públicas, y más aún, en aquellas instituciones que por constitución y por ley, deben velar

por el adecuado manejo de los recursos del Estado. Aunque, estos flagelos no son nuevos,

han venido conviviendo con otros problemas, tales como el narcotráfico y la guerrilla,

generando desconfianza en el país como institución, no solo por sus mismos habitantes,

sino por parte de inversores externos.

En respuesta a lo anterior, se requiere el fortalecimiento de los Sistemas de Control

gubernamental existentes en la actualidad, los cuales fueron concebidos, tal como existen

hoy, a partir de la Constitución de 1991; donde se plantearon medidas para tratar de

modernizar los modelos de control público existentes en Colombia, creando modelos de

control interno al interior de las entidades públicas y un control externo – Control Fiscal - ,

ejercido por 64 contralorías, que actualmente existen en el país.

A pesar de ello, hoy, 24 años después, estos mecanismos de control y su institucionalidad

se encuentran en crisis; así lo demuestran las cifras antes mencionadas y diversos autores

afirman que se debe a su falta de efectividad y oportunidad (Restrepo Medina, Araujo

Oñate, & Tuta Alarcón, 2010; Auditoría General de la República, 2011; Auditoría General

de la República & Banco Mundial, 2011; Auditoría General de la República, 2013), sobre

29

todo del Sistema Nacional de Control Fiscal, generando lo que estos mismos autores han

denominado como: La Crisis del Control Fiscal Colombiano.

- La Crisis del Control Fiscal Colombiano.

En los lemas de los dos últimos Auditores Generales de la República, se encuentra un

término en común “Transformación1”, obedeciendo quizás, a una problemática que aqueja

desde hace varios años al Control Fiscal Colombiano y que aún persiste. Han sido varios

los escenarios y diversas las autoridades, que han manifestado la existencia de una crisis

del Control Fiscal Colombiano y en respuesta a ello, la necesidad de una reingeniería del

Control Fiscal.

Esa crisis se debe a múltiples factores, identificados en diferentes fuentes, entre los que

se destacan principalmente tres: La problemática descrita por el Auditor General de la

República en el periodo 2011-2013, la planteada por una misión de expertos del Banco

Mundial reunidos en Noviembre de 2010, y la establecida por la GTZ y la Universidad del

Rosario, en una investigación alrededor del Control Fiscal Territorial en Colombia.

El informe de gestión 2011-2013 presentado por el Auditor General de la República de la

época, resume en cinco (5), las problemáticas del Control Fiscal Territorial:

Problemática 1: Existe un mapa irracional, ineficiente y desarticulado del control fiscal

territorial. En Colombia, el control fiscal no opera como sistema nacional y territorial,

generando malversación de recursos públicos y otras ineficiencias.

Problemática 2: Las funciones de resarcimiento del daño causado al patrimonio público,

no se favorecen con la actual estructura y medios ineficientes de las contralorías

1 Periodo 2009-2001. Iván Darío Gómez Lee – El Camino de la Transformación del Control Fiscal Público. Periodo 2011-2013. Jaime Raúl Ardila Barrera – Transformando el Control Fiscal Colombiano.

30

Problemática 3: Ausencia de autonomía y escasez de recursos presupuestales,

tecnológicos y de formación del talento humano; falta de incentivos y mecanismos que

estimulen el mejoramiento de las actuaciones de los servidores de las contralorías.

Debilidades y vulnerabilidades en procesos de selección de contralores territoriales.

Problemática 4: El control fiscal posterior y selectivo -tal y como actualmente se realiza- no

aporta resultados efectivos, ni valor público, a la gestión que vigila. Tampoco permite

prevenir daños al patrimonio colectivo.

Problemática 5: Los eslabones de la cadena de valor del control fiscal interno y externo se

encuentran fracturados. Ninguno de estos controles ha producido los resultados

esperados.

Por su parte, la misión de expertos conformada por un equipo de expertos y asesores de

la Auditoría General de la República y del Banco Mundial, con el acompañamiento de

algunos de los contralores territoriales, reunida en Noviembre del 2010; con el fin de

establecer los elementos básicos para un plan de modernización y fortalecimiento de las

Contralorías Territoriales de Colombia, estableció las siguientes problemáticas del Control

Fiscal Territorial, plasmadas en:

- Difusa estructura del Sistema de Control Nacional

- Problemas en la gobernabilidad del Sistema de Control Nacional

- Cortos periodos de actuación

- Falta de representatividad y de respaldo legal del Consejo Nacional de Contralores

- Inexistencia de sistemas comunes y modernos de apoyo a la función contralora

- Falta de eficiencia y eficacia de las entidades de fiscalización

- Limitaciones en el control preventivo y desarticulación con el control concurrente

- Inadecuada coordinación institucional para la lucha contra la corrupción

- Falta de integración en la rendición de cuentas

Por último, la investigación adelantada por la GTZ y la Universidad del Rosario, clasifican

la problemática del Control Fiscal Colombiano en dos categorías: problemas atribuibles a

causas exógenas a las contralorías y problemas atribuibles a causas endógenas de las

mismas.

31

En relación con las causas exógenas se encuentran: Falta de autonomía presupuestal e

independencia política, insuficiencia de recursos y control de costos, ausencia de una

carrera administrativa para el auditor fiscal gubernamental, limitación en el periodo del

Auditor General, deficiencias en la forma de elección, calidades y régimen de inhabilidades

e incompatibilidades de los contralores territoriales, dualidad normativa entre la potestad

reglamentaria de la Contraloría General de la República y la competencia para prescribir

métodos y expedir criterios de evaluación por parte de los contralores, baja calidad del

sistema de control interno y desarticulación con el control fiscal y multiplicidad de sistemas

de evaluación con funciones superpuestas.

En relación con las causas endógenas se encuentran: dispersión y variedad de

metodologías de control fiscal y ausencia de un lenguaje común, débil participación

ciudadana en el ejercicio del control fiscal, deficiencias en los informes macro fiscales, falta

de calidad en la elaboración del Plan General de Auditoría para el ejercicio del control

fiscal, alcance del proceso de revisión de la cuenta y frecuente caducidad y prescripción

de los procesos de responsabilidad fiscal (Restrepo Medina, Sánchez Torres, Araujo

Oñate, Peña González, & Dineiger, 2008).

Como se puede observar, en los tres documentos referenciados previamente, existen

elementos comunes en la categorización de las problemáticas planteadas, alrededor del

Control Fiscal Colombiano y muchas de las soluciones pasan por decisiones políticas,

legislativas, tecnológicas económicas y sociales. En particular, dentro de las alternativas

tecnológicas planteadas, es en el foro-panel organizado por la revista semana y la

Auditoría General de la República en el año 2010, que con el fin de buscar posibles salidas

a estas problemáticas, se realizan planteamientos como los siguientes:

Para el Auditor General de la Nación “Las técnicas de control han evolucionado y nosotros

seguimos con el mismo modelo, visitando a un sujeto y haciendo trabajo de campo, sin

darle ninguna confianza ni ninguna validez a la información que nos entrega de manera

tecnológica” (AUDITORÍA GENERAL DE LA REPÚBLICA, 2010b, p.46).

32

Por su parte, el ex-contralor general de la república Carlos Ossa Escobar, en su ponencia

del foro denominada: Control en tiempo real, como medio para lograr la efectividad,

plantea lo siguiente:

Es claro que el control no debe ser ni previo, ni posterior; tiene que ser en tiempo

real y, para avanzar hacia la consecución de ese propósito, es necesario

estandarizar los procesos y procedimientos de control; acudir a herramientas como

las TIC´s, con lo cual se puede garantizar……….(AUDITORÍA GENERAL DE LA

REPÚBLICA, 2010b, p.63).

Para el Consejero de Estado, Gustavo Gómez Aranguren, al reflexionar sobre la

importancia de la Auditoría General de la Nación, plantea:

…..De tal manera que yo votaría porque exista y siga existiendo la Auditoría

General. Obviamente en línea, tiene que funcionar con un mecanismo tecnológico

que permita de manera inmediata saber qué sucede por ejemplo en la Guajira, en

San Andrés, en Boyacá y rápidamente tomar decisiones, con dientes, o de lo

contrario se vuelven retóricos y burocráticos. (AUDITORÍA GENERAL DE LA

REPÚBLICA, 2010b,p.76).

Finalmente, la Procuraduría General de la Nación, a través del procurador delegado para

la descentralización y las entidades territoriales, Carlos Augusto Meza Díaz, establece:

…. Si logramos constituir o lograr un modelo de seguimiento de gestión pública,

donde automáticamente, mediante sistemas de información que nos señalen

alarmas y nos indiquen que aquí hay alto riesgo o que aquí se cometió alguna

irregularidad, y en la medida en que sean públicos, transparentes, disminuimos la

posibilidad… (AUDITORÍA GENERAL DE LA REPÚBLICA, 2010b,p.86); y más

adelante afirma: “….. Queremos ir más allá a un modelo que nos permita en tiempo

real saber qué está pasando en cada entidad y dónde puede haber riesgo. ¿Cómo

lo podemos hacer? Únicamente a través de sistemas de

información,………”.(AUDITORÍA GENERAL DE LA REPÚBLICA, 2010b,p.87).

33

Resumiendo lo planteado en el foro y en las tres fuentes que resaltan la crisis del Control

Fiscal Colombiano y teniendo en cuenta sus múltiples aristas, algunas de las problemáticas

en las cuales las Tecnologías de Información y Comunicaciones pueden aportar son:

1. La excesiva latencia existente, entre el momento en que ocurre un evento que

puede afectar la organización y el momento en que actúa el control: El enfoque

actual que utilizan las organizaciones para ejercer la auditoría, pone de manifiesto

un tiempo excesivo, para detectar anormalidades en los procesos, frente a la

realidad que viven las organizaciones; donde muchas de ellas, ya han

automatizado sus procesos, ejerciendo por tal motivo, sus labores en tiempo real o

al menos, con latencias mínimas entre uno y otro proceso, entregando información

en tiempo real, lo que es posible dado el uso intensivo de las Tecnologías de

Información y Comunicaciones; aspecto que no es aprovechado por la auditoría,

debido a que la mayoría de sus técnicas de auditoría siguen siendo análogas, sin

alinearse con la realidad tecnológica de las entidades sujetas de control y por ende,

con latencias entre la ocurrencia de los eventos adversos y su detección tardía.

Como se puede observar en los planteamientos realizados anteriormente,

principalmente en el foro, este tipo de situaciones son una característica del Control

Fiscal Colombiano, lo que se puede corroborar igualmente, con las dos guías de

auditoría, que utilizan tanto la Contraloría General de la República, como las 64

Contralorías Territoriales; donde muchas de sus técnicas, no están ajustadas al uso

intensivo de las Tecnologías de Información y Comunicaciones, como parte del

proceso auditor.

2. La escasez de recursos con que cuenta el Control Fiscal Colombiano, para

dar cobertura a todas las entidades y procesos que son sujetos a control: Si

bien la escasez de recursos siempre será una problemática generalizada en las

organizaciones y en sus diferentes áreas, la función de auditoría no es ajena a ella,

lo que se requiere es, mejorar la relación de recursos/cobertura y en el campo de

la auditoría, esto solo se logra a través de la automatización de buena parte del

proceso auditor, de forma tal que, la tecnología aporte en la cobertura y de manera

complementaria, haga que el control sea más efectivo y perdurable en el tiempo,

disminuyendo la necesidad de realizar auditorías periódicas.

34

Si observamos la tabla 1, acudiendo a datos del 2011, podemos establecer que el

nivel de cobertura promedio del Control Fiscal Colombiano es del 47,1%, partiendo

de la base que no se da cobertura integral a todos los procesos de la entidad.

Tabla 1. Cobertura del Control Fiscal Colombiano

CONTRALORIAS Entidades

Vigiladas

Entidades

Auditadas

%

Cobertura

Contralorías Territoriales 6.346 2.916 45,9%

Contraloría General de la República 550 336 61,1%

TOTALES 6.896 3.252 47,1%

Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2012)

En lo que tiene que ver con recursos financieros, y como se puede observar en la tabla 2,

al gobierno Colombiano le cuesta en promedio 12 centavos, vigilar 100 pesos del

presupuesto Colombiano y con ello, no se alcanza a dar cobertura al 47,1% de las

entidades.

Tabla 2. Valor promedio de vigilar los recursos del Estado Colombiano.

CONTRALORIAS Recursos

vigilados

(Millones de

$)

Presupuesto

asignado

(Millones de

$)

Valor promedio

de vigilar los

recursos del

Estado.

Contralorías Territoriales 109.000.545 364.072 0,33

Contraloría General de la

República

253.445.167 387.121 0,15

TOTALES 362.445.712 751.193 0,12


Con respecto al personal, en especial los auditores gubernamentales, quienes son los que

llevan a cabo realmente las labores de auditoría (tal como se puede observar en la tabla

3), el 71% de la planta de personal ocupada realiza labores de auditoría, existiendo una

relación de aproximadamente dos (2) auditores por cada auditoría.

Tabla 3. Número de funcionarios del Control Fiscal Colombiano y relación de auditor por cada auditoría.

CONTRALORIAS Planta

ocupada

Misionales %

Participación

Nro.

funcionarios

35

por

Auditoría

Contralorías Territoriales 4129 2866 69% 0,983

Contraloría General de la

República

3811 2745 72% 8,170

TOTALES 7940 5611 71% 1,725


En resumen, el Sistema Nacional de Control Fiscal no cuenta con técnicas, procesos ó

métodos soportados en Tecnologías de Información, que permitan dar respuesta de

manera directa, a un verdadero Control Fiscal en línea, que dé cumplimiento a lo que

realmente se espera de un control posterior inmediato, con generación de alertas de

advertencia; ello debido a que los sistemas existentes e incluso el proyecto de e-control,

liderado por la Auditoría General de la República, en conjunto con el Ministerio de

Tecnologías de Información, son soluciones tecnológicas de soporte a la función auditora,

y no son parte del proceso auditor, que involucren el tratamiento en tiempo real, de uno de

los elementos fundamentales del proceso auditor: la evidencia, en este caso digital.

1.2.2 Formulación del problema

¿Cómo establecer un modelo de Auditoría Continua, en el contexto del Control Fiscal

Colombiano, que dé respuesta a la necesidad de un control posterior oportuno, con

mínimas latencias entre el momento en que ocurre en evento no deseado en los procesos

gubernamentales y el momento en que actúa el proceso auditor?

Como parte de la pregunta general, que se plantea en la formulación del problema, se

establecen las siguientes preguntas de investigación:

- ¿Existe una base conceptual sólida, históricamente pertinente, que lleve a

establecer la Auditoría Continua como un nuevo paradigma?

- ¿Se utilizan actualmente las Tecnologías de Información y Comunicaciones como

un factor de competitividad, que permite aportar a la efectividad de la función

36

constitucional, que cumplen las contralorías que hacen parte del Control Fiscal

Colombiano?

- ¿Cómo puede la Auditoría Continua, desde una perspectiva holística, aportar a la

crisis del Control Fiscal Colombiano?

1.2.3 Objetivos

General

Construir un modelo de Auditoría Continua en el contexto del Control Fiscal Colombiano,

acorde a la realidad tecnológica del sector gubernamental, a partir del análisis y cohesión

de las relaciones existentes entre los conceptos, paradigmas, estándares, metodologías

y prácticas de Auditoría Continua, divulgados por la comunidad científica y profesional.

Específicos

1) Indagar, analizar y construir de forma coherente, un referente teórico de Auditoría

Continua, que de soporte científico a la construcción de un modelo de Auditoría

Continua; a partir de su génesis, historia, estándares, paradigmas, modelos,

metodologías y técnicas difundidas por la comunidad científica y profesional.

2) Conocer la realidad de los procesos del Control Fiscal Colombiano, sus

problemáticas y de manera especial, el nivel de uso que realizan los auditores

gubernamentales de las Tecnologías de Información en el proceso auditor.

3) Diseñar un modelo de Auditoría Continua, enmarcado en la problemática y el

contexto del Control Fiscal Colombiano.

4) Validar el modelo de Auditoría Continua en una contraloría piloto que sea

representativa de las contralorías territoriales del país.

1.2.4. Justificación

Las razones que han llevado a realizar la presente investigación, están referidas a tres

aspectos: la utilidad que puede llegar a tener la Auditoría Continua en el contexto del

37

Control Fiscal Colombiano; la importancia de la Auditoría Continua para la teoría general

de Auditoría y su comunidad y la necesidad que tienen las organizaciones de ajustar sus

prácticas de control, a un entorno tecnológico cambiante, que impacta de manera

significativa, sus procesos estratégicos, misionales y de apoyo.

1.2.4.1. La utilidad de la Auditoría Continua en el contexto del Control Fiscal

Colombiano.

La Auditoría Continua en el sector público no es ampliamente utilizada, así lo demuestra

la revisión de la literatura académica, la cual no evidencia modelos teóricos y muy pocos

casos de aplicación de la Auditoría Continua en el sector público, rescatando el caso de

aplicación en la oficina Nacional de Auditoría de la China, divulgado en (Wenming, 2007).

De igual forma, la mayoría de casos de aplicación de Auditoría Continua, son llevados a

cabo por áreas de Auditoría Interna, y no se evidencian casos de implementación de

modelos de Auditoría Continua, desde una perspectiva de Auditoría Externa. Si se tiene

en cuenta que, lo pretendido por el proyecto es poder contextualizar este tipo de

tecnologías en el sector público colombiano, quienes actúan como Auditoría Externa de

manera complementaria con las oficinas de control interno (equivalentes a las oficinas de

Auditoría Interna), son los encargados de ejercer la función de Auditoría Interna en la

entidad pública.

La necesidad del Control Fiscal Colombiano, de implementar nuevos mecanismos de

control, que aporten a la reducción de las diferentes formas de corrupción, en las entidades

públicas colombianas, es apremiante.

De acuerdo a lo establecido en el artículo 267 de la Constitución Política de Colombia, el

Control Fiscal, se deberá ejercer de forma posterior y selectiva, y así se ha venido

ejerciendo por las Contralorías del país desde 1991.

El pasado 12 de Julio del 2011, el Gobierno Nacional promulgo la Ley 1474 del 2011, “Por

la cual se dictan normas orientadas a fortalecer los mecanismos de prevención,

investigación y sanción de actos de corrupción y la efectividad del control de la gestión

pública”, estableciendo en su artículo 129, la obligatoriedad para las contralorías

38

departamentales, distritales y municipales, de elaborar un plan estratégico, en donde se

contemplen entre otros elementos, lo establecido en el literal e) “Desarrollo y aplicación de

metodologías que permitan el ejercicio inmediato del control posterior y el uso responsable

de la función de advertencia” dado que tiene una relación directa con el concepto de

Auditoría Continua. (NOTA: esta función de advertencia fue declarada

inconstitucional en fallo de la Corte Constitucional del pasado 11 de Marzo de 2015).

1.2.4.2. La importancia de la Auditoría Continua para la teoría general de auditoría

y su comunidad.

En muchas disciplinas, las teorías deben ajustarse a las nuevas realidades económicas,

sociales, políticas, tecnológicas y organizacionales; ese es el caso de la teoría general de

auditoría, debido a que su objeto de estudio ha cambiado, influenciado por diferentes

factores que llevan a establecer nuevos conceptos, metodologías y técnicas para ponerla

en contexto con la realidad organizacional.

Hoy en día, la función de auditoría enfrenta múltiples retos, para dar respuesta a la

creciente complejidad organizacional y así, aportar valor a los negocios. Entre los

principales retos que ha planteado el Instituto de auditores internos, en su guía de Auditoría

Continua, se encuentran:

Cumplimiento de regulaciones y controles: Evaluación e identificación de problemas y

procesos, sostenibilidad, recursos, definición de materialidad, prioridades y riesgos de los

informes financieros.

Valor e independencia de la auditoría interna: Grandes expectativas de la auditoría

interna, problemas cada vez más profundos en los controles internos, confusión en cuanto

al rol de la responsabilidad de la auditoría interna, y objetividad e independencia

comprometidas.

Fraude: Detección y control, robo de identidad, responsabilidad en la gestión de fraude, e

incremento de la incidencia y el costo de fraudes.

Disponibilidad de recursos calificados: Falta de competencia y habilidades apropiadas,

escasez de auditores, retención, y falta de conocimiento sobre riesgos y controles.

39

Tecnología: Soluciones apropiadas para respaldar el cumplimiento, el modelo de negocio

basado en la tecnología, la seguridad de la información, prioridades contrapuestas de

tecnología de la información (TI) y la tercerización.

Lo anterior requiere nuevos enfoques de auditoría, modernizar sus técnicas y

procedimientos, para responder a la creciente complejidad de las organizaciones.

1.2.4.3. La necesidad que tienen las organizaciones de ajustar sus prácticas de

control a un entorno tecnológico cambiante, que impacta de manera

significativa sus procesos estratégicos, misionales y de apoyo.

Las organizaciones de todo el mundo han sido transformadas por las Tecnologías de

Información y Comunicaciones, lo que ha permitido que no existan fronteras de espacio,

ni de tiempo, para desarrollar los negocios, generando organizaciones virtuales, con la

capacidad de desarrollar sus operaciones las 24 horas del día, los 7 días de la semana,

durante los 365 días del año y más aún, para dar respuesta en tiempo real, a los cambios

que se pueden suscitar en su entorno de negocios inmediato. Sin embargo la auditoría aún

no ha evolucionado a la par de estas organizaciones, desarrollando sus procesos de

auditoría de forma tardía; días, meses e inclusive años después de que ocurren los eventos

económicos en las organizaciones, llevando a cabo un control tardío de los eventos

económicos, detectando anomalías e irregularidades y en general, incumplimiento de

reglas de negocio mucho tiempo después de que ocurrieron, generando así, reportes

tardíos que ya no tienen valor para la organización, o si aún lo tienen, ya han perdido

mucho de él.

La Auditoría Interna se enfrenta al reto de responder a un entorno cambiante y altamente

tecnificado de las organizaciones, para ello, debe implementar mecanismos que equiparen

el desarrollo acelerado de los procesos organizacionales y que respondan de manera

adecuada para ser competitivos, pertinentes y dar valor agregado a su labor, como

aseguradores del cumplimiento de los objetivos organizacionales.

Los procesos de auditoría manual son inadecuados en este entorno cada vez más

complejo (Vasarhelyi, 1984). Estas palabras expresadas por Miklos A. Vasarhelyi en 1984,

en su artículo “Automation and Changes in the Audit process” publicado en el volumen 4,

40

número 1 del Journal “Auditing: A Journal of practice & Theory”, es mucho más vigente

hoy, que hace 30 años.

1.2.5. Metodología de Investigación

El tema objeto de investigación, pretende inicialmente, dilucidar desde el punto de vista

teórico, las tensiones existentes entre los diferentes conceptos, teorías, métodos y

metodologías de Auditoría Continua; para ello, se acudirá a la hermenéutica, con el fin de

integrar un cuerpo teórico y epistemológicamente coherente, que solvente cualquier

construcción metodológica, dentro del contexto tecnológico de las organizaciones; lo que

implica acudir a una investigación exploratoria.

Sin embargo, al contrastar los diferentes métodos y metodologías y acudir a la praxis, para

contextualizar el estado actual de la Auditoría Continua y modelar en función de esta, una

aproximación al modelo que se podría aplicar en el Control Fiscal Colombiano, para ser

validado en un caso específico; se deberá acudir a una combinación de investigación

exploratoria e investigación descriptiva, que permita develar lo que pretende la

investigación.

En general, tanto los métodos cuantitativos como cualitativos que se utilizarán para lograr

los propósitos de la investigación, estarán enmarcados en cinco (5) fases metodológicas,

como se puede apreciar en la Tabla 4.

Tabla 4: Fases de la investigación

NRO FASE

1 Revisión de la literatura de Auditoría Continua y sus referentes metodológicos.

2 Revisión del contexto organizacional, metodológico y tecnológico del sistema

objeto de estudio.

3 Análisis, taxonomía y cohesión de modelos de Auditoría Continua

4 Propuesta de un modelo de Auditoría Continua, ajustado al contexto del

Control Fiscal Colombiano.

41

5 Validación del modelo


Cada fase metodológica conlleva una serie de actividades, de acuerdo al método

predominante, que permitirán cumplir con los objetivos previstos en el proyecto.

1. Revisión de la literatura de Auditoría Continua y sus referentes

metodológicos.

Esta primera fase de la investigación, permitirá establecer el estado actual de la Auditoría

Continua a nivel internacional, como marco preliminar de la investigación, para lo cual se

acudirá a fuentes secundarias, aplicando para ello, técnicas de revisión bibliográfica, a

partir de las diferentes bases de datos que se tienen a disposición en la Universidad

Nacional de Colombia.

A partir del estado del arte y con el fin de dar respuesta a las preguntas de investigación,

se entrara a contrastar las diferentes posiciones de los autores, desde el punto de vista

teórico, conceptual y tecnológico; tomando una posición analítica y crítica, que permite

establecer correspondencias y divergencias, que puedan ser explicadas y sustentadas de

forma racional y que además, permitan ser confrontadas con la auditoría tradicional.

2. Revisión del contexto organizacional, metodológico y tecnológico del

sistema objeto de estudio.

Acudiendo fundamentalmente a fuentes secundarias, se hará una caracterización del

Control Fiscal Colombiano, su institucionalidad, sus metodologías y las herramientas

tecnológicas que usan, llegando hasta el análisis del gobierno electrónico, como escenario

tecnológico primario, de actuación del control gubernamental.

3. Análisis, taxonomía y cohesión de modelos de Auditoría Continua

Teniendo en cuenta los diferentes modelos, tanto teóricos como aplicados de Auditoría

Continua, que se encuentran en la literatura académica y profesional, se requiere

establecer las diferencias y similitudes entre ellos y lograr a partir de allí, identificar sus

características más sobresalientes, buscando parámetros comunes que permitan

consolidar un modelo, que integre las diferentes perspectivas de forma coherente, dando

42

respuesta a la base teórica, que sustenta el concepto de Auditoría Continua. Para tal fin,

se evaluarán diferentes métodos de estudio de similitud entre modelos y estándares, a fin

de consolidar una taxonomía, que adecuadamente homogeneizada, permita construir

dicho modelo.

4. Propuesta de un modelo de Auditoría Continua, ajustado al contexto del

sector público Colombiano.

A partir del constructo teórico, del análisis crítico de los modelos y de las metodologías de

Auditoría Continua, además del contexto del Control Fiscal Colombiano, se presentará una

propuesta de modelo de Auditoría Continua, que se ajuste a la realidad del Control Fiscal

Colombiano.

Esta propuesta integrará los conceptos obtenidos, a partir del análisis crítico de las

diferentes teorías y conceptos relacionados, como soporte fundamental para dar respuesta

a una necesidad sentida de la Auditoria pública en Colombia.

5. Validación del modelo

Con el fin de validar la aplicabilidad del modelo, y a partir de una investigación descriptiva,

se llevará a cabo un diagnóstico de las diferentes variables del modelo en una contraloría

piloto, para confrontar no solo su aplicabilidad, sino determinar el estado actual de esta y

proponer un plan de acción que permita cerrar la brecha.

43

2. El Control Organizacional y su aplicación en

el sector público Colombiano.

En un mundo globalizado, en donde el cambio es una constante y las organizaciones

deben responder rápidamente a las demandas del mercado, para incrementar de manera

sostenible su productividad y competitividad, llevándolas indefectiblemente y de manera

permanente a cometer errores, a estar expuestas a fraudes, a infringir requerimientos

regulatorios, a incumplir sus metas y a generar ineficacias e ineficiencias que afectan sus

procesos, incrementando su nivel de riesgo; acarreando generación de pérdidas

financieras, de mercado, daño a la imagen, afección en la generación de sus productos y/o

servicios, llevando así, al incumplimiento de sus objetivos y poniendo en peligro su

permanencia en el mercado.

En respuesta a lo anterior, las organizaciones tanto públicas como privadas, se ven

obligadas a implementar sistemas de control efectivos, pero más aún, a contar con un

aseguramiento más oportuno y permanente, sobre la eficacia de estos sistemas de control

organizacional; este aseguramiento, lo brindan los procesos de Auditoría, los cuales son

componentes esenciales de los modelos de control.

Éste capítulo, base fundamental de actuación de Auditoría, se encuentra estructurado a

partir de dos grandes conceptos estrechamente relacionados: el Control y la Auditoría,

cada uno de ellos será abordado, desde la perspectiva del sector privado y público,

haciendo énfasis en este último, dada la naturaleza del presente proyecto.

2.1. Control Organizacional y Modelos a Nivel Internacional

Tradicionalmente, el control se ha visto desde una perspectiva administrativa, sin embargo,

como plantea Dorta (2005), en la literatura organizativa existen diversas líneas de

investigación, que versan sobre el control y toman como objeto de su análisis el individuo

44

(perspectiva psicológica), o los grupos que coexisten en la organización (perspectiva

sociológica), o las unidades organizativas (perspectiva administrativa).

Para efectos del presente proyecto, se ha tomado la perspectiva administrativa y los

principales modelos que soportan tal perspectiva.

Teniendo presente que, el marco sobre el cual actúa la Auditoría son los modelos de

Control Organizacional, estén estos implícitos o explícitos en las organizaciones, es

necesario iniciar con la caracterización de los modelos de control existentes a nivel

internacional, para entender la importancia de la Auditoría y en especial, el papel que juega

la Auditoría Continua en un entorno organizacional, en donde predomina el uso intensivo

de las Tecnologías de Información y Comunicaciones.

A nivel internacional existen una serie de modelos de control ampliamente difundidos y

utilizados, como marcos de referencia para el establecimiento de sistemas de control

interno, en las organizaciones tanto públicas como privadas. A continuación, se hace una

breve descripción de los principales modelos.

2.1.1. Modelo Americano COSO (Committee of Sponsoring

Organizations of the Treadway Commission).

Éste modelo, es una iniciativa conjunta de cinco entidades norteamericanas, del sector

privado en Estados Unidos: La Asociación Americana de Contadores, el Instituto

Americano de Contadores Públicos Certificados, la Organización Internacional de

Ejecutivos Financieros, la Asociación para Contadores y Profesionales de Negocios

Financieros y el Instituto de Auditores Internos (COSO, 2009).

El objetivo principal, es determinar los factores que causan reportes financieros

fraudulentos y realizar recomendaciones para reducir dichos factores.

El modelo está estructurado en cinco componentes interrelacionados: ambiente de control,

valoración de riesgos, actividades de control, monitoreo y comunicación e información,

como se puede apreciar en la figura 2.

45

Figura 2. Modelo COSO

Fuente: (Montilla G., Montes S., & Mejia S., 2007)

Es importante destacar las diferentes versiones que ha tenido el modelo COSO, el cual se

encuentra actualmente en la versión III.

2.1.2. Modelo Canadiense COCO (Criteria of Control Board).

Dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA), a través

de un consejo encargado de diseñar y emitir criterios o lineamientos generales sobre

control. El Consejo denominado The Criteria of Control Board, emitió el modelo

comúnmente conocido como COCO (Fernandez M., 2003).

Éste modelo ayuda a las organizaciones, a perfeccionar los procesos de toma de

decisiones, a través de una mejor comprensión del control, el riesgo y la dirección (Montilla

G. et al., 2007).

46

A diferencia del modelo COSO, éste modelo no se encuentra estructurado en componentes

apilados, sino en criterios generales, que las organizaciones pueden utilizar para

implementar sistemas de control.

2.1.3. Modelo Australiano ACC (Australian Control Criteria).

En Marzo de 1998, el Instituto de Auditores Internos de Australia, inicia el desarrollo de un

marco conceptual sobre el control interno, en el que se integran los conceptos

habitualmente utilizados por la auditoría interna, con los nuevos conceptos que se están

imponiendo en relación con el control. En este sentido, el ACC propone seis criterios que

hacen parte de un sistema de control (Dorta, 2005).

Estos seis criterios son los siguientes: a) Propósito y objetivo de un sistema de control

interno eficaz; b) Componentes de un sistema de control interno eficaz; c) Diseño de un

sistema de control interno eficaz; d) Establecimiento y mantenimiento de un sistema de

control interno eficaz; e) Responsabilidad, autoridad, rendición de cuentas y estilo directivo;

y f) Ejercer una cuidadosa diligencia.

2.2. El Control en el sector público Colombiano

En el sector público Colombiano, existen dos tipos de control: el Control interno y el Control

externo.

El Control Interno es ejercido por las áreas de Control Interno o de Auditoría Interna, de

cada una de las entidades que hacen parte del sector público colombiano y que, se

encuentra reglamentado por la Ley 87 de 1993 y la Ley 489 de 1998, que dispuso la

creación del Sistema Nacional de Control Interno, instrumentalizado en el año 2005,

mediante el decreto 1559; donde se adopta para todo el país, un modelo único de control,

denominado MECI – Modelo Estándar de Control Interno-, el cual es de obligatorio

cumplimiento para las entidades del sector público Colombiano y es a su vez, objeto de

auditoría por parte de las entidades que llevan a cabo el control externo.

47

El Control externo, es ejercido por las contralorías y es lo que se denomina el Control Fiscal

Colombiano, sin menoscabo de que en algunos sectores, como el de los servicios públicos

domiciliarios, se tengan otro tipo de controles externos, ejercidos por firmas privadas.

Teniendo presente que, la Auditoría Continua puede ser aplicable, tanto al control interno,

como al control externo y dado que son interdependientes; si se tiene en cuenta que, el

primero puede ser concebido como un control preventivo, frente a la función ejercida por

el Control Fiscal Colombiano, se hará una descripción de ambos tipos de control como

marcos de aplicación de la Auditoría Continua.

2.2.1. El Control Interno en el sector público Colombiano.

El Control Interno, como se conoce e implementa actualmente en las instituciones del

sector público colombiano, nació con la Constitución de 1991, a través del artículo 209 y

269, donde se establece la obligación de diseñar y aplicar, de acuerdo con la naturaleza

de la entidad pública, métodos y procedimientos de control interno.

Posteriormente, a través de la Ley 87 de 1993, se reglamenta el ejercicio del control interno

en todas las Instituciones públicas colombianas, donde se establece su definición, sus

objetivos, su caracterización, responsabilidades, la forma de ejercerla y su estructura; a

través de la creación de las oficinas de coordinación de control interno.

A partir de allí, se han generado una serie de reglamentaciones adicionales, que

propenden por un adecuado ejercicio del control interno, las cuales se resumen a

continuación:

Tabla 5. Principales normas que reglamentan el Control Interno en Colombia

NORMA DESCRIPCIÒN

Ley 489 de 1998 A través del capítulo VI, crea el Sistema Nacional de Control

Interno

Decreto 2145 de 1999 Reglamenta el Sistema Nacional de Control Interno

Decreto 2539 de 2000 Modifica parcialmente el Decreto 2145 de 1999.

Decreto 1537 de 2001 Reglamentación de la Ley 87 de 1993, en cuanto a elementos

técnicos y administrativos que fortalezcan el sistema de control

interno de las entidades y organismos del Estado.

48

Decreto 2756 de 2003 Modifica el artículo 20 del Decreto 2539 de 2000, en relación con

el nombramiento de los jefes de Control Interno.

Decreto 1599 de 2005 Por el cual se adopta el Modelo Estándar de Control Interno para

el Estado Colombiano –MECI-

Decreto 2621 de 2006 Establece los términos para la implementación del MECI hasta

por 20 meses, a partir del decreto.

Decreto 2913 de 2007 Modificar el Decreto 2621 de 2006, estableciendo el plazo

máximo para la implementación del MECI hasta el 8 de Diciembre

de 2008.

Decreto 4445 de 2008 Amplía el plazo dado por el Decreto 2913 de 2007 hasta el 30 de

Junio de 2009.

Decreto 3181 de 2009 Se concede plazo para la implementación del MECI en las

entidades que hacen parte de los Municipios de 3ª,4ª,5ª,6ª

categoría

Decreto 943 de 2014 Actualización del Modelo Estándar de Control Interno –MECI-

Elaboración propia a partir de la revisión

2.2.1.1. El Modelo Estándar de Control Interno – MECI-

El Modelo Estándar de Control Interno para el Estado Colombiano, tiene como propósito,

orientar a las entidades hacia el cumplimiento de sus objetivos y a la contribución de estos,

hacia los fines esenciales del Estado, proporcionando una estructura básica para evaluar

la estrategia, la gestión y los propios mecanismos de evaluación del proceso administrativo

(Departamento Administrativo de la Funciòn Pùblica, 2008).

Para ello, y hasta el pasado 21 de Mayo del 2014, las entidades públicas del país utilizaban

un modelo que fue actualizado mediante el decreto 943 de 2014, donde se realizan algunas

adecuaciones para su fortalecimiento.

No obstante lo anterior, y teniendo en cuenta que el modelo expuesto fue adoptado desde

2005, por la mayoría de las organizaciones públicas del país y que, sobre él se han

realizado las mediciones por parte del Departamento Administrativo de la Función Pública

y de la Procuraduría General de la Nación; la descripción y su nivel de avance en el país

se desarrollará sobre este modelo, el cual está compuesto por tres (3) subsistemas, nueve

(9) componentes y veintinueve (29) elementos.

49

A continuación, se realiza una breve descripción de la estructura, tomando como referencia

el manual de implementación, desarrollado por el Departamento Administrativo de la

Función Pública, cuyo fundamento está basado en el marco conceptual, elaborado por la

agencia de los Estados Unidos para la Cooperación Internacional (USAID) y su operador

en Colombia Casals & Asociados Inc.

Subsistema de Control Estratégico: este subsistema contiene aquellos elementos, que

orientan a la entidad hacia el cumplimiento de su visión, misión, objetivos, principios, metas

y políticas. Para ello contempla 11 elementos agrupados en tres componentes, que se

encuentran expuestos en la tabla siguiente:

COMPONENTE ELEMENTOS DESCRIPCIÒN

AMBIENTE DE

CONTROL

Acuerdos,

compromisos o

protocolos éticos

Define el estándar de conducta de la entidad pública.

Establece las declaraciones explícitas que, en

relación con las conductas de los servidores

públicos, son acordadas en forma participativa para

la consecución de los propósitos de la entidad,

manteniendo la coherencia de la gestión, con los

principios consagrados en la Constitución Política, la

ley y la finalidad social del Estado.

Desarrollo del

Talento Humano

Define el compromiso de la entidad pública con el

desarrollo de las competencias, habilidades,

aptitudes e idoneidad del servidor público.

Determina las políticas y prácticas de gestión

humana que la entidad debe aplicar y las cuales

deben incorporar, los principios de justicia, equidad

y transparencia; al realizar los procesos de

selección, inducción, formación, capacitación y

evaluación del desempeño de los servidores

públicos del Estado.

Estilo de Dirección Define la filosofía y el modo de administrar del

Gobernante o Gerente Público; estilo que se debe

distinguir por su competencia, integridad,

transparencia y responsabilidad pública. Constituye

la forma adoptada por el nivel directivo, para guiar u

orientar las acciones de la entidad hacia el

cumplimiento de su misión, en el contexto de los

fines sociales del Estado.

50

DIRECCIONAMIEN-

-TO ESTRATÈGICO

Planes y

Programas

Permite modelar la proyección de la entidad pública

a corto, mediano y largo plazo; e impulsar y guiar

sus actividades, hacia las metas y los resultados

previstos. Los planes y programas materializan las

estrategias de la organización establecidas, para dar

cumplimiento a su misión, visión y objetivos

institucionales esperados en un período de tiempo

determinado, asegurando adicionalmente, los

recursos necesarios para el logro de los fines de la

entidad.

Modelo de

Operación por

Procesos

Permite conformar el estándar organizacional que

soporta la operación de la entidad pública,

armonizando con enfoque sistémico la misión y

visión institucional, orientándola hacia una

organización por procesos, los cuales en su

interacción, interdependencia y relación causa-

efecto, garantizan una ejecución eficiente, así como,

el cumplimiento de los objetivos de la entidad

pública.

Estructura

Organizacional

Configura integral y articuladamente los cargos, las

funciones, las relaciones y los niveles de

responsabilidad y autoridad en la entidad pública,

permitiendo dirigir y ejecutar los procesos y

actividades, de conformidad con su misión y su

función constitucional y legal.

ADMINISTRACIÒN

DE RIESGOS

Contexto

Estratégico

Permite establecer el lineamiento estratégico que

orienta las decisiones de la entidad pública, frente a

los riesgos que pueden afectar el cumplimiento de

sus objetivos producto de la observación, distinción

y análisis del conjunto de circunstancias internas y

externas, que puedan generar eventos que originen

oportunidades o afecten el cumplimiento de su

función, misión y objetivos institucionales.

Identificación de

Riesgos

Elemento de Control, que posibilita conocer los

eventos potenciales, estén o no bajo el control de la

entidad pública, que ponen en riesgo el logro de su

misión, estableciendo los agentes generadores, las

causas y los efectos de su ocurrencia.

Análisis de Riesgos Permite establecer la probabilidad de ocurrencia de

los eventos positivos y/o negativos y el impacto de

sus consecuencias; calificándolos y evaluándolos, a

51

fin de determinar la capacidad de la entidad pública,

para su aceptación y manejo.

Valoración de

Riesgos

Elemento de Control, que determina el nivel o grado

de exposición de la entidad pública al impacto del

riesgo, permitiendo estimar las prioridades para su

tratamiento.

Políticas de

Administración de

Riesgos.

Elemento de Control, que permite estructurar

criterios orientadores en la toma de decisiones,

respecto al tratamiento de los riesgos y sus efectos,

al interior de la entidad pública.

Subsistema de Control de Gestión: contempla e interrelaciona los elementos que

permiten el desarrollo de una adecuada gestión, tales como: planes, programas, procesos,

procedimientos, indicadores, recursos, información y medios de comunicación. Al igual que

el subsistema anterior, contempla 11 elementos, agrupados en tres componentes

expuestos en la tabla a continuación:


ACTIVIDADES DE

CONTROL

Políticas de

Operación

Establece las guías de acción para la

implementación de las estrategias de ejecución de

la entidad pública; define los límites y parámetros

necesarios, para ejecutar los procesos y actividades

en cumplimiento de la función, los planes, los

programas, proyectos y políticas de administración

del riesgo, previamente definido por la entidad.

Procedimientos Conformado por el conjunto de especificaciones,

relaciones y ordenamiento de las tareas requeridas

para cumplir con las actividades de un proceso,

controlando las acciones que requiere la operación

de la entidad pública. Establece los métodos para

realizar las tareas, la asignación de responsabilidad

y autoridad en la ejecución de las actividades.

Controles Conformado por el conjunto de acciones o

mecanismos definidos, para prevenir o reducir el

impacto de los eventos que ponen en riesgo la

adecuada ejecución de los procesos requeridos,

para el logro de los objetivos de la entidad pública.

Indicadores Conformado por el conjunto de mecanismos

necesarios para la evaluación de la gestión de toda

52

entidad pública. Se presentan como un conjunto de

variables cuantitativas y/o cualitativas sujetas a la

medición, que permiten observar la situación y las

tendencias de cambio generadas en la entidad, en

relación con el logro de los objetivos y metas

previstos.

Manual de

Procedimientos

Elemento de Control, materializado en una

normativa de autorregulación interna, que contiene

y regula la forma de llevar a cabo los procedimientos

de la entidad pública, convirtiéndose en una guía de

uso individual y colectivo, que permite el

conocimiento de la forma, como se ejecuta o

desarrolla su función administrativa; propiciando la

realización del trabajo, bajo un lenguaje común a

todos los servidores públicos.

INFORMACIÒN Información

Primaria

Conformado por el conjunto de datos de fuentes

externas provenientes de las instancias, con las

cuales la organización está en permanente contacto,

así como, de las variables que no están en relación

directa con la entidad, pero que afectan su

desempeño.

Información

Secundaria

Conformado por el conjunto de datos que se originan

y/o procesan al interior de la entidad pública,

provenientes del ejercicio de su función. Se obtienen

de los diferentes sistemas de información que

soportan la gestión de la entidad pública.

Sistemas de

Información

Conformado por el conjunto de recursos humanos y

tecnológicos utilizados para la generación de

información, orientada a soportar de manera más

eficiente la gestión de operaciones en la entidad

pública.

COMUNICACIÒN

PÙBLICA

Comunicación

Organizacional

Orienta la difusión de políticas y la información

generada al interior de la entidad pública, para una

clara identificación de los objetivos, las estrategias,

los planes, los programas, los proyectos y la gestión

de operaciones; hacia los cuales se enfoca el

accionar de la entidad.

Comunicación

Informativa

Elemento de Control, que garantiza la difusión de

información de la entidad pública sobre su

funcionamiento, gestión y resultados en forma

53

amplia y transparente, hacia los diferentes grupos

de interés.

Medios de

comunicación

Elemento de Control que se constituye por el

conjunto de procedimientos, métodos, recursos e

instrumentos utilizados por la entidad pública, para

garantizar la divulgación, circulación amplia y

focalizada de la información y de su sentido, hacia

los diferentes grupos de interés.

Subsistema de Control de Evaluación: Este subsistema contempla aquellos elementos

que están orientados a la verificación y evaluación de los resultados de la entidad, y está

compuesto de 7 elementos agrupados en tres componentes descritos así:


AUTOEVALUACIÒN Autoevaluación del

Control

Elemento de Control, que basado en un conjunto de

mecanismos de verificación y evaluación, determina

la calidad y efectividad de los controles internos, a

nivel de los procesos y de cada área organizacional

responsable, permitiendo emprender las acciones

de mejoramiento del control requeridas.

Autoevaluación de

Gestión

Elemento de Control, que basado en un conjunto de

indicadores de gestión diseñados en los Planes y

Programas y en los Procesos de la Entidad Pública,

permite una visión clara e integral de su

comportamiento, la obtención de las metas y de los

resultados previstos e identificar las desviaciones

sobre las cuales, se deben tomar los correctivos que

garanticen mantener la orientación de la entidad

pública hacia el cumplimiento de sus objetivos

institucionales.

EVALUACIÒN

INDEPENDIENTE

Evaluación

Independiente al

Sistema de Control

Interno

Elemento de Control, cuyo objetivo es verificar la

existencia, nivel de desarrollo y el grado de

efectividad del Control Interno, en el cumplimiento

de los objetivos de la entidad pública.

Auditoría Interna Elemento de Control, que permite realizar un

examen sistemático, objetivo e independiente de los

procesos, actividades, operaciones y resultados de

una entidad pública. Así mismo, permite emitir

54

juicios basados en evidencias sobre los aspectos

más importantes de la gestión, los resultados

obtenidos y la satisfacción de los diferentes grupos

de interés.

PLANES DE

MEJORAMIENTO

Institucional Elemento de Control, que permite el mejoramiento

continuo y cumplimiento de los objetivos

institucionales de la entidad pública. Integra las

acciones de mejoramiento que a nivel de sus

procesos, debe operar la entidad para fortalecer

integralmente su desempeño institucional, cumplir

con su función, misión y objetivos en los términos

establecidos en la norma de creación y la ley,

teniendo en cuenta los compromisos adquiridos con

los organismos de control fiscal, de control político y

con las partes interesadas.

Por Procesos Elemento de Control, que contiene los planes

administrativos con las acciones de mejoramiento,

que a nivel de los procesos y de las áreas

responsables dentro de la organización pública,

deben adelantarse para fortalecer su desempeño y

funcionamiento, en procura de las metas y

resultados que garantizan el cumplimiento de los

objetivos de la entidad en su conjunto.

Individual Elemento de Control, que contiene las acciones de

mejoramiento que debe ejecutar cada uno de los

servidores públicos, para mejorar su desempeño y

el del área organizacional a la cual pertenece, en un

marco de tiempo y espacio definidos, para una

mayor productividad de las actividades y/o tareas

bajo su responsabilidad.

Nivel de avance del MECI

Tomando como referencia el Índice de Gobierno Abierto establecido por la Procuraduría

General de la Nación y construido a partir de la combinación de diferentes variables, entre

ellas, el nivel de avance del MECI, se puede establecer en una escala de 0 a 100% su

nivel promedio de avance a nivel territorial, a través de la medición de 1101 Municipios y

32 Departamentos.

55

Como se puede observar en la figura 3, y teniendo en cuenta la categorización planteada

por el Departamento Administrativo de la Función Pública (DAFP), el nivel de avance del

Modelo Estándar de Control Interno en el nivel territorial, para los tres años de medición,

se encuentra en un nivel medio (escala de avance 60-89%), lo que significa de acuerdo al

DAFP, que el modelo muestra un buen desarrollo, pero requiere mejoras en algunos de

sus elementos.

Figura 3. Nivel promedio de avance del MECI a nivel territorial

Fuente: (Procuraduria General de la Naciòn, 2013)

Es importante establecer la relación existente entre el Control Interno y el Control Fiscal

Colombiano; la cual está determinada por el artículo 8 literal a, del Decreto 2145 de 1999,

donde establece como función de la Contraloría General de la República y las contralorías

departamentales y municipales, la función de evaluadoras de la eficacia, eficiencia y

economía del Sistema de Control Interno ó Control Fiscal Interno, de acuerdo a su

jurisdicción.

2.2.2. El Control Fiscal Colombiano

El Control Fiscal es una función pública, cuyo objetivo es vigilar la destinación y el manejo

que se da a los bienes y fondos públicos y controlar los resultados obtenidos por la

67,10%

82,10%

56%

75,90%

64,60%

77,10%

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%

70,00%

80,00%

90,00%

Alcaldías Gobernaciones

2010 2011 2012

56

administración. La responsabilidad esta atribuida a la Contraloría General de la República,

las contralorías departamentales, las contralorías distritales y municipales y a la Auditoría

General de la República (Contraloría General de la República, 2007).

De acuerdo a lo establecido en el artículo 267 de la Constitución Política de Colombia, el

Control Fiscal se deberá ejercer de forma posterior y selectiva, y así se ha venido

ejerciendo, por las Contralorías del país desde 1991, reglamentado posteriormente a

través de la ley 42 de 1993, la cual determina la organización del control fiscal y los

organismos que la ejercen, en la ley 330 de 1996, donde se establecen las funciones y

competencias de las contralorías y la ley 610 del 2000, a través del cual se define el

proceso de responsabilidad fiscal, gestión fiscal y quienes son sujetos de responsabilidad

fiscal. Por último y más recientemente, la ley 1474 de 2011 incorpora el juicio oral y otros

mecanismos para modernizar el Control Fiscal en el país.

Para dar cumplimiento a este mandato constitucional y legal, existe un conjunto de

entidades que ejercen el Control Fiscal en Colombia, conformando lo que se ha

denominado el Sistema Nacional de Control Fiscal (SINACOF) (Contraloría General de la

República, 2013b), estructurada institucionalmente por una Contraloría Nacional, 63

Contralorías Territoriales y la Auditoría General de la Nación.

2.2.2.1. Normograma del Control Fiscal en Colombia

A continuación, se presentan en orden cronológico, un resumen de las normas más

representativas del Control Fiscal Colombiano, desde la Constitución de 1991.

Tabla 6. Normograma del Control Fiscal Colombiano (Normas más representativas)

Año Norma Descripción

1991 Constitución Nacional

Artículos 267 a 274 Atribuciones de la Contraloría. Art. 13,52,15, 20, 27, 74 y 112, 23, 78, 79, 95, 103, 270, 273 y 369.

1993 Ley 42 de 1993 Sobre la organización del sistema de Control Fiscal Financiero y los organismos que lo ejercen.

1993 Ley 80 de 1993 Ley de Contratación Pública.

1994 Ley 134 de 1994 Por la cual se dictan normas mecanismos de participación ciudadana.

1996 Ley 330 de 1996 Funciones y competencias de las Contralorías.

57

2000 Ley 610 de 2000 Por la cual se establece el trámite de los procesos de responsabilidad fiscal de competencia de las contralorías.

2003 Ley 819 de 2003 Por medio de la cual se dictan normas en materia de presupuesto, responsabilidad y transparencia fiscal y se dictan otras disposiciones.

2003 Ley 850 de 2003 Por medio de la cual se reglamentan las veedurías ciudadanas.

2007 Ley 1150 de 2007 Por medio de la cual se introducen medidas para la eficiencia y la transparencia en la Ley 80 de 1993 y se dictan otras disposiciones generales sobre la contratación con Recursos Públicos.

2008 Resolución Orgánica de la Auditoría General de la República AGR 06 de 2008

Por medio de la cual se determinan los aspectos generales de la rendición de la cuenta electrónica por parte de las Contralorías y su revisión por la Auditoría General de la República.

2010 Ley 1416 de 2010 Por medio de la cual se fortalece al ejercicio del control fiscal.

2011 Ley 1483 de 2011 Por medio de la cual se dictan normas orgánicas en materia de presupuesto, responsabilidad y transparencia fiscal para las entidades territoriales.

2011 Ley 1474 de 2011 Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.

2011 Ley 1437 de 2011 Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

2012 Decreto 2767 de 2012

Por el cual se reglamenta parcialmente la Ley 1483 de 2011.

2012 Decreto 2641 de 2012

Por el cual se reglamentan los artículos 73 y 76 de la Ley 1474 de 2011.

2012 Decreto 019 de 2012

Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración Pública.

2012 Decreto 734 de 2012

Por el cual se reglamenta el Estatuto General de Contratación de la Administración Pública y se dictan otras disposiciones.

2013 Decreto 1510 de 2013

Por el cual se reglamenta el sistema de compras y contratación pública.

58

Fuente: Elaboración propia.

2.2.2.2. Marco Institucional del Control Fiscal Colombiano

- El Control Fiscal en el Ámbito Internacional

Desde el punto de vista institucional, a nivel internacional existe una serie de organismos,

que agrupan a las entidades fiscalizadoras de los diferentes países encabezadas por

INTOSAI (Internacional Organization of Supreme Audit Institutions), que es una

organización no gubernamental con un estatus especial en el Consejo Económico y Social

de las Naciones Unidas y que agrupa a las organizaciones fiscalizadoras del sector público

de los diferentes países asociados. Ésta organización fue fundada en 1953 y cuenta

actualmente con 190 países miembros.

INTOSAI cuenta (a través de la integración de los países de las diferentes regiones del

mundo) con 7 grupos de trabajo regional:

- EUROSAI: Agrupa los países de Europa (www.eurosai.org )

- OLACEFS: Agrupa los países de América Latina (www.olacefs.com )

- AFROSAI: Agrupa los países de África (afrosai-e.org.za )

- ARABOSAI: Agrupa los países de Arabia Saudita (www.arabosai.org )

- ASOSAI: Agrupa los países de Asia (www.asosai.org)

- CAROSAI: Agrupa los países del Caribe (www.carosai.org )

- PASAI: Agrupa los países del Pacífico (www.pasai.org )

Colombia hace parte actualmente, de la Organización Latinoamericana y del Caribe de

Entidades Fiscales Superiores (OLACEFS).

INTOSAI promulga normas internacionales para las entidades fiscalizadoras superiores,

denominadas ISSAI (International Standards of Supreme Audit Institutions).

- Institucionalidad del Control Fiscal Colombiano

http://www.eurosai.org/

http://www.olacefs.com/

http://www.afrosai-e.org.za/

http://www.arabosai.org/

http://www.asosai.org/

http://www.carosai.org/

http://www.pasai.org/

59

De acuerdo con cifras del Sistema de Rendición de cuentas en línea (SIREL), divulgadas

en Diciembre de 2012 por el Ministerio de Tecnologías de Información y Comunicaciones,

durante el Seminario de Control en Línea llevado a cabo en la ciudad de Cali, las 64

contralorías del país vigilan al año 2011, los procesos de 6896 entidades sujetas de control

en el país, de las cuales el 92,02% corresponden a las contralorías territoriales. Para

cumplir con esta labor, las instituciones que hacen parte del Control Fiscal Colombiano, se

dividen en:

- Contraloría General de la República (1 central y 31 gerencias departamentales)

- Contralorías Distritales (5)

- Contralorías Departamentales (32)

- Contralorías Municipales (26)

- Auditoría General de la República (1 central y 10 gerencias seccionales)

Contraloría General de la República: La Contraloría General de la República es el

máximo órgano de Control Fiscal del Estado, cuya responsabilidad de acuerdo a lo

establecido en el artículo 267 de la Constitución Política de Colombia, es vigilar la gestión

fiscal de la administración y de los particulares o entidades que manejen fondos o bienes

de la nación. Para cumplir con sus funciones, cuenta con 31 gerencias departamentales,

distribuidas en los diferentes departamentos del país, excepto Cundinamarca, dado que la

oficina central se encuentra en la capital del país.

Contralorías Departamentales: Corresponde a las contralorías departamentales ejercer

la función de control fiscal, dentro de su respectiva jurisdicción reglamentada mediante la

Ley 330 de 1996, donde se establece su competencia, naturaleza, forma de elección del

contralor y vigilancia de su función.

El contralor departamental es elegido por la asamblea departamental de terna, presentada

por el Tribunal Superior del distrito judicial (2 candidatos) y el correspondiente tribunal de

lo contencioso administrativo (1 candidato).

En el país existen 32 contralorías departamentales, una por cada departamento, como se

puede observar en el anexo 1.

60

Contralorías Distritales: Las competencias de las contralorías distritales se encuentran

establecidas en la Ley 136 de 1994, en lo que tiene que ver con su jurisdicción de distrito

especial.

Contralorías Municipales: Al igual que las contralorías distritales, las competencias de

las Contralorías Municipales fueron establecidas en la Ley 136 de 1994.

La Auditoría General de la República

La Auditoría General de la República es un organismo, al que le corresponde ejercer la

vigilancia de la gestión fiscal de la Contraloría General de la República, de las contralorías

departamentales, distritales y municipales.

El artículo 274 de la Constitución Política de Colombia, estableció la figura de Auditor

General de la Nación, elegido por el Consejo de Estado, de terna suministrada por la Corte

Suprema de Justicia.

Para cumplir con su función, cuenta con una oficina central y diez (10) gerencias

seccionales distribuidas en todo el país, con cobertura de vigilancia de las contralorías que

hacen parte de su jurisdicción, como se puede observar en la siguiente tabla.

Tabla 7. Gerencias Seccionales de la Auditoría General de la República

NRO SECCIONAL

GERENCIA SECCIONAL

CONTRALORÌAS A CARGO

DEPARTAMENTALES DISTRITALES Y MUNICIPALES

I Medellín Antioquia Choco

Medellín Envigado Itagüí Bello.

II Bogotá Cundinamarca Distrital de Bogotá Soacha

III Cali Valle Cauca

Distrital de Buenaventura Cali Yumbo Palmira Popayán Tuluá

IV Bucaramanga Santander San Andrés Cesar Boyacá

Bucaramanga Barrancabermeja Floridablanca Valledupar Tunja

61

V Barranquilla Atlántico Bolívar La Guajira

Distrital de Barranquilla Distrital de Cartagena Soledad

VI Neiva Huila Tolima Caquetá Nariño Putumayo

Ibagué Neiva Pasto

VII Armenia Caldas Quindío Risaralda

Armenia Manizales Pereira Dosquebradas

VIII Cúcuta Arauca Norte de Santander Casanare

Cúcuta

IX Villavicencio Meta Guaviare Guainía Vichada Vaupés Amazonas

Villavicencio

X Montería Córdoba Magdalena Sucre

Distrital de Santa Martha Montería


2.2.2.3. Modelo de Procesos del Control Fiscal Colombiano

Los procesos del Control Fiscal Colombiano, se encuentran consignados en la Ley 42 de

1993, en donde se plantean los aspectos misionales del control fiscal, clasificados en

cuatro grandes categorías a saber: (i) Control Fiscal Micro, (ii) Control Fiscal Macro, (iii)

Responsabilidad Fiscal y Jurisdicción Coactiva y (iv) Participación Ciudadana (Restrepo

Medina et al., 2008).

Tal como lo establece el artículo 267 de la Constitución Nacional y reglamentado por la

Ley 42 de 1993, el Control Fiscal será ejercido de forma posterior y selectiva,

entendiéndose por control posterior, como lo establece el artículo 5 de esta ley, la vigilancia

de las actividades, operaciones y procesos ejecutados por los sujetos de control y de los

resultados obtenidos por los mismos; y por control selectivo, la elección mediante un

procedimiento técnico tomado de una muestra representativa de recursos, cuentas,

operaciones o actividades; para obtener conclusiones sobre el universo respectivo en el

desarrollo del control fiscal.

62

Para llevar a cabo el control fiscal, las contralorías podrán aplicar sistemas de control

como: el financiero, de legalidad, de gestión, de resultados, la revisión de cuentas y la

evaluación del control interno (Artículo 9 Ley 42 de 1993).

Control Financiero: Es el examen que se realiza, con base en las normas de auditoría de

aceptación general, para establecer si los estados financieros de una entidad reflejan

razonablemente, el resultado de sus operaciones y los cambios en su situación financiera,

comprobando que en la elaboración de los mismos y en las transacciones y operaciones

que los originaron, se observaron y cumplieron, las normas prescritas por las autoridades

competentes y los principios de contabilidad universalmente aceptados y prescritos por el

Contador General de la Nación.

Control de Legalidad: Es la comprobación que se hace de las operaciones financieras,

administrativas, económicas y de otra índole de una entidad, para establecer que se hayan

realizado conforme a las normas que le son aplicables.

Control de Gestión: Es el examen de la eficiencia y eficacia de las entidades en la

administración de los recursos públicos, determinada mediante la evaluación de sus

procesos administrativos, la utilización de indicadores de rentabilidad pública y desempeño

y la identificación de la distribución del excedente que estas producen, así como de los

beneficiarios de su actividad.

Control de Resultados: Es el examen que se realiza, para establecer en qué medida los

sujetos de control logran sus objetivos y cumplen los planes, programas y proyectos

adoptados por la administración en un periodo determinado.

Revisión de Cuentas: Es el estudio especializado de los documentos que soportan legal,

técnica, financiera y contablemente, las operaciones realizadas por los responsables del

erario durante un periodo determinado, con miras a establecer la economía, la eficacia,

eficiencia y la equidad de sus actuaciones.

Evaluación del Control Interno: Es el análisis de los sistemas de control de las entidades

sujetas a la vigilancia, con el fin de determinar la calidad de los mismos, el nivel de

63

confianza que se les pueda otorgar y si son eficaces y eficientes en el cumplimiento de sus

objetivos.

Con base en lo anterior, y teniendo en cuenta la propuesta de modelo de macro procesos

del Control Fiscal Colombiano, propuesto dentro del marco del proyecto de Control Fiscal

en línea, que adelanta actualmente la Auditoría General de la República y el Ministerio de

Tecnologías de Información y Comunicaciones, el modelo de macro procesos del Control

Fiscal Colombiano, plantea como eje central y articulador de los demás procesos EL

PROCESO AUDITOR, como se puede observar en la Figura 4.

Figura 4. Macro procesos del Control Fiscal Colombiano.

Fuente: Tomado de (Ministerio de Tecnologias de la Informaciòn y las Comunicaciones,

Auditoría General de la República, Consorcio S&M, & UT Software Works, 2012a)

64

2.3. La Auditoría, como Instrumento de evaluación del

Control Organizacional.

La Auditoría es el principal instrumento utilizado, tanto en el sector público como privado,

para evaluar los sistemas de control existentes en las organizaciones, de su adecuada y

pertinente aplicación depende el nivel de efectividad del modelo de control.

Tradicionalmente, la auditoría ha estado asociada a aspectos financieros, sin embargo, el

entorno actual de las organizaciones ha llevado a que se amplíe su campo de acción y por

consiguiente, los perfiles profesionales que la ejercen.

En el campo empresarial, la función de auditoría es ejercida tradicionalmente por las áreas

de auditoría interna, como una función organizacional asociada al control; considerada

como “el control de controles”. En el caso del sector público, esta es ejercida para el caso

Colombiano, por las oficinas de control interno.

De acuerdo con el Instituto de Auditores Internos (IIA), la Auditoría Interna es una actividad

independiente y objetiva, de aseguramiento y consulta, concebida para agregar valor y

mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus

objetivos, aportando un enfoque sistemático y disciplinado, para evaluar y mejorar la

eficacia de los procesos de gestión de riesgos, control y gobierno (IIA, 2011).

La Asociación de Auditoría y Control de Sistemas de Información (ISACA), define la

auditoría como un proceso sistemático, por medio del cual una persona competente e

independiente obtiene y evalúa objetivamente, la evidencia respecto de afirmaciones

acerca de una entidad o un evento económico, con el fin de formarse una opinión sobre el

particular e informar sobre el grado de cumplimiento de una afirmación, frente a un conjunto

determinado de estándares.(ISACA, 2012)

De forma similar, la Organización Internacional de Estandarización (ISO) a través de la

ISO 19011 del 2002, establece: La auditoría es un proceso sistemático, independiente y

documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con

el fin de determinar la extensión en que se cumplen los criterios de auditoría.(ISO, 2002)

65

2.3.1. Breve reseña histórica de la auditoría.

Los orígenes de la auditoría son remotos, el hombre no solo tuvo la necesidad de registrar

sus actividades, sino también de controlarlas (Norka, 2004). La palabra Auditoría asociada

tradicionalmente a la contabilidad, viene del latín auditorius, que significa “escuchar”. En

la edad media, en Gran Bretaña, las cuentas de los ingresos (recaudación de impuestos)

y gastos de fincas y haciendas fueron “oídas” por un auditor, cuya tarea era examinar

dichas cuentas.(Rodda & Cosserat, 2009)

Al Reino Unido se le atribuye el origen de la auditoría, entendida en los términos actuales,

aunque ya en tiempos remotos se practicaban sistemas de control, para comprobar la

honestidad de las personas y evitar fraudes. Pero fue en Gran Bretaña, debido a la

Revolución Industrial y a las quiebras que sufrieron pequeños ahorradores, donde se

desarrolló la auditoría para conseguir la confianza de inversores y de terceros interesados

en la información económica (Mendez, 2011). Fue allí, donde oficialmente surge la

profesión de auditor, reafirmándose con la Ley Británica de Sociedades Anónimas en 1862,

donde se establece la necesidad de efectuar una revisión independiente de las cuentas de

pequeñas y grandes empresas. (Norka, 2004;Jiménez Caraballo, 2011)

De acuerdo con Montilla G. & Herrera Marchena (2006), antes de 1900, la auditoría se

desarrolló de manera intensiva en Europa, principalmente en Inglaterra, Francia e Italia,

siendo durante la edad media donde se crearon las primeras asociaciones profesionales

de auditores. A partir de 1900, se desarrolló la auditoría en los Estados Unidos, donde ha

se han generado avances significativos, hasta nuestra época.

Un factor importante para destacar dentro de la evolución de la auditoría, es que al haber

surgido asociada a la contabilidad, se genera confusión en torno a que la auditoría solo es

contable y financiera. De allí la pertinencia de reiterar, que actualmente la auditoría abarca

diversos campos de estudio, además de ser uno de los principales componentes del

gobierno corporativo.

66

2.3.2. Entidades que impulsan la auditoría a nivel internacional, en el

ámbito público y privado.

A nivel internacional existen diferentes organismos relacionados con el campo de la

auditoría, tanto a nivel general, como especializado, los cuales agrupan profesionales de

todo el mundo y promulgan constantemente estándares, normas y regulaciones en torno

a la auditoría, que son adoptados como mejores prácticas y en algunos casos, como

normas en los diferentes países del mundo. Es por ello que a continuación se describirán

de forma genérica, algunas de estas organizaciones, teniendo presente que a lo largo del

texto serán referenciadas diferentes normas y estándares promulgados por estas

organizaciones.

Estas organizaciones se encuentran tanto en el sector público, como en el sector privado.

The American Institute of CPA’s –AICPA- (www.aicpa.org ) : El Instituto Americano de

Contadores Públicos Certificados, es una organización de EE.UU, que agrupa a los

contadores públicos de cerca de 128 países, y cuenta actualmente con 377.000 miembros

aproximadamente. Fue fundada en 1887 como la Asociación Americana de Contadores

Públicos.

El AICPA promulga normas éticas para la profesión y estándares de auditoría, que rigen

para las entidades privadas, organizaciones sin ánimo de lucro y los gobiernos de tipo

federal, estatal y local de los EE.UU.

Esta entidad emite declaraciones de estándares de auditoría (Statement on Audit Standard

– SAS-).

The Canadian Institute of Chartered Accountants – CICA- (www.cica.ca) : El Instituto

Canadiense de Contadores Certificados, es una entidad que agrupa a los contadores

públicos en Canadá; es responsable de desarrollar los principios de contabilidad en

Canadá y publica diferentes recursos relacionados con contabilidad y auditoría, para los

contadores y auditores de ese país. Además, es la entidad que ha auspiciado uno de los

modelos de Control Interno más difundidos a nivel internacional, como es el modelo

“Criteria of Control Committee” (CoCo)

International Federation of Accountants –IFAC- (www.ifac.org) : La Federación

Internacional de Contadores, es una organización que agrupa a los profesionales de

http://www.aicpa.org/

http://www.cica.ca/

http://www.ifac.org/

67

contaduría de cerca de 127 países, y su función es desarrollar estándares de auditoría y

aseguramiento para los contadores públicos.

Ésta entidad es la encargada de emitir estándares internacionales de Auditoría

(International Standard on Auditing- ISA’s), a través del IASSB (International Auditing and

Assurance Standards Board)

The Institute of Internal Auditors – IIA – (www.theiia.org) : es una asociación de

profesionales fundada en 1941, líder en el campo de la auditoría, con cerca de 170.000

miembros en aproximadamente 250 capítulos alrededor del mundo.

Ésta asociación es la que emite estándares de auditoría y también, es la entidad

responsable de las certificaciones CIA (Certified Internal Auditor), CCSA (Certification in

Control Self-Assessment), CFSA (Certified Financial Services Auditor) y CGAP (Certified

Government Auditing Professional) y la recién creada CRMA (Certification in Risk

Management Assurance).

Information Systems Audit and Control Association – ISACA- (www.isaca.org) : La

Asociación de Auditoría y Control de Sistemas de Información, es una organización

especializada, fundada en 1967, y agrupa aproximadamente 95.000 miembros en cerca

de 160 países.

Es la asociación que emite los estándares y directrices de auditoría de sistemas, aceptadas

mundialmente en la industria. Es además, la entidad responsable de las certificaciones

CISA (Certified Information Systems Auditor), CISM (Certified Information Security

Manager), CGEIT (Certified in the Governance of Enterprise IT) y CRISC (Certified in Risk

and Information Systems Control).

Federación Latinoamericana de Auditoría Interna –FLAI- (www.laflai.com) : Es una

organización sin ánimo de lucro, creada en 1995, que agrupa a los auditores internos de

América Latina, a través de la mayoría de los capítulos del IIA.

Anualmente organiza el Congreso Latinoamericano de Auditoría Interna (CLAI) en

diferentes países de Latino América.

Committee of Sponsoring Organizations of the Treadway Commission – COSO –

(www.coso.org) : Es el organismo responsable del modelo COSO, reconocido a nivel

http://www.theiia.org/

http://www.isaca.org/

http://www.laflai.com/

http://www.coso.org/

68

mundial por proporcionar orientación, sobre los aspectos críticos del gobierno de la

organización, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude

y la presentación de informes financieros.

Public Company Accounting Oversight Board – PCAOB- (www.pcaobus.org ): Es una

corporación sin fines de lucro, establecida por el Congreso de los EE.UU.; para supervisar

las auditorías de las empresas públicas, con el fin de proteger a los inversores y al interés

público mediante la promoción de los informes de auditoría. El PCAOB también supervisa

las auditorías de los informes de cumplimiento de bolsa.

Las Grandes Firmas de Auditoría: Un capítulo aparte es necesario para las grandes

firmas de auditoría a nivel internacional, tradicionalmente llamadas las Big4 en el ámbito

académico y profesional; quienes realizan valiosos aportes conceptuales y metodológicos

en los diferentes aspectos de la auditoría, además de investigaciones que ponen de

manifiesto, el estado actual y las tendencias de auditoría en las organizaciones. Éstas 4

firmas son: Deloitte & Touche LLP, PricewaterhouseCoopers, Ernst & Young y KPMG.

2.3.3. Clasificación de la auditoría

El concepto y el proceso de Auditoría es uno solo, pero existen múltiples clasificaciones de

auditoría; para este caso, se tomará la clasificación planteada por (Castello, 2006), quien

clasifica la auditoría de acuerdo al campo de actuación y según la relación de dependencia

del auditor.

Según el campo de actuación, las auditorías se pueden clasificar de acuerdo al ámbito

donde se aplique; teniendo así: Auditorías financieras, administrativas, médicas,

informáticas, operacionales, de calidad y de seguridad, entre otras.

Según la relación de dependencia del auditor, las auditorías se pueden clasificar en

Auditoría Interna y Auditoría Externa, la primera ejercida por personal de la organización y

la segunda por personal externo a la organización.

2.3.4. Metodología de auditoría

De forma general, y de acuerdo a las normas internacionales para el ejercicio profesional

de la auditoría interna, existen cuatro (4) grandes fases de la auditoría, cada una de ellas

http://www.pcaobus.org/

69

con procesos, procedimientos, actividades y técnicas propias del quehacer auditor. Estas

fases son: Planeación, Ejecución, Informes y Seguimiento.

Planeación: En esta fase se establece la forma como se va a abordar la función de

auditoría en la organización, para lo cual se diseñan planes a largo plazo, a corto plazo y

los que son propios de la auditoría individual. Como producto de ello, se genera la

planeación estratégica de auditoría, el plan anual de auditoría, el plan detallado de

auditoría y el programa de auditoría.

Ejecución: Es la fase en la cual, se recolecta la evidencia de auditoría como soporte de

los hallazgos, tomando como referencia la planeación detallada y el programa de auditoría

planteado en la fase anterior.

Informe: Es la fase a través de la cual se comunican los resultados de la auditoría,

tradicionalmente, mediante un informe detallado y un informe ejecutivo, en donde, a partir

de la evidencia recolectada en la fase anterior, se redactan los hallazgos y las

recomendaciones, tomando como referencia los criterios de auditoría.

Seguimiento: Fase en la que se realiza una revisión a los compromisos de mejora

adquiridos por la administración, de acuerdo a los resultados de la auditoría. Esta fase

permite completar el ciclo de la auditoría y garantizar de cierta forma, la efectividad de la

misma.

Existen algunas organizaciones que establecen las mismas fases, pero con categorías

diferentes, o con mayor nivel de detalle, aunque en esencia las cuatro (4) fases son

equivalentes, tal es el caso de la ISO 19011: 2011, que contempla las fases de

Preparación, Ejecución, Informe y Seguimiento.

Para el caso, en el cual se plantea un mayor nivel de detalle de las diferentes etapas de la

Auditoría, en la siguiente tabla se pueden observar las fases que plantea ISACA para

llevar a cabo una auditoría individual.

Tabla 8. Fases de la Auditoría de acuerdo a ISACA.

Fases de la auditoría Descripción

Sujeto de la auditoría Identificar el área que será auditada.

70

Objetivo de la auditoría Identificar el propósito de la auditoría. Por ejemplo, un

objetivo podría ser, determinar si los cambios del código

fuente del programa ocurren en un ambiente bien definido y

controlado.

Alcance de la auditoría Identificar los sistemas, funciones o unidades específicas

de la organización que serán incluidos en la revisión; por

ejemplo, en el ejemplo anterior el enunciado de alcance

podría limitar la revisión a sólo un sistema de aplicación o a

un período limitado.

Planificación de pre-

auditoría

Identificar habilidades y recursos técnicos necesarios.

Identificar las fuentes de información para la prueba o

examen, como diagramas de flujo funcionales, políticas,

normas, procedimientos y papeles de trabajo anteriores

a la auditoría.

Identificar las localidades o instalaciones que serán

auditadas.

Procedimientos de

auditoría y pasos para

recolección de datos

Identificar y seleccionar el enfoque de auditoría para

verificar y comprobar los controles.

Identificar una lista de individuos que serán

entrevistados.

Identificar y obtener las políticas, estándares y

directrices departamentales para realizar la revisión.

Desarrollar herramientas y metodología de auditoría

para probar y verificar el control.

Procedimientos para

evaluar los resultados de

la prueba o de la revisión

Específico de la organización.

Procedimientos para las

comunicaciones con la

gerencia

Específico de la organización.

Preparación del reporte

de auditoría

Identificar los procedimientos de seguimiento de la

revisión.

71

Identificar los procedimientos para evaluar/probar la

eficiencia y efectividad operacional.

Identificar los procedimientos para probar los controles.

Revisar y evaluar la calidad de los documentos, políticas

y procedimientos.

Fuente: (ISACA, 2012,p.55)

2.3.5. Normas Internacionales de Auditoría

La emisión de normas de auditoría ha estado tradicionalmente impulsada por las bolsas

de valores, en especial las de Estados Unidos e Inglaterra, quienes han sido pioneros en

su expedición.

Sin embargo han sido las normas de auditoría de los Estados Unidos, emitidas por el

AICPA (El Instituto Americano de Contadores Públicos Certificados) quienes han tenido

mayor influencia en los diferentes países del mundo. Estas normas denominadas SAS

(Statements on Auditing Standards) están orientadas fundamentalmente al sector privado,

aunque pueden ser aplicadas al sector público; a pesar de ello, en 1972 la oficina del

Contralor de los Estados Unidos de América, ante las diferencias que se presentaban en

las actividades desarrolladas por el gobierno, emitió las normas de auditoría

gubernamental –GAGAS (Government Auditing Standards)- de uso obligatorio por los

auditores del gobierno Americano.

En 1992, la organización que agrupa a las entidades fiscalizadoras superiores de los

diferentes países, agrupados en INTOSAI (Organización Internacional de Instituciones

Superiores de Auditoría), emitió a través de su comisión de normas de auditoría, las

normas de auditoría para las organizaciones fiscalizadoras superiores, las cuales han sido

adoptadas por la mayoría de las organizaciones adscritas a INTOSAI, entre ellas,

Colombia.

A partir de las SAS de Estados Unidos, se emitieron las normas internacionales de

auditoría (ISA – International Standard on Auditing), establecidas por el comité

internacional de prácticas de Auditoría (IAPC - International Auditing Practices

Committee), el cual es un comité permanente de la Federación Internacional de

Contadores Públicos (IFAC – International Federation of Accountants)

72

En el 2004, el Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB),

comenzó el proyecto claridad (clarity en inglés), con el fin de mejorar la calidad de las

estándares internacionales de auditoría, (ISA – International Standard on Auditing) y los

estándares internacionales de control de calidad, que fueron concluidos en el año 2009,

con la expedición de 36 estándares de auditoría y control de calidad a nivel internacional

(IAASB, 2012), conformados por:

- Un nuevo estándar sobre comunicación de deficiencias de control interno

- 16 estándares con requerimientos nuevos y revisados

- 19 estándares reescritos bajo el nuevo estilo del proyecto claridad

Los estándares internacionales de auditoría, se encuentran estructurados en cinco (5)

secciones: Introducción, objetivo, definiciones, requerimientos y aplicaciones, y otro

material explicativo.

Normas del Instituto de Auditores Internos (IIA)

Las normas internacionales para el ejercicio de la auditoría interna promulgadas por el

Instituto de Auditores internos (IIA), son requisitos de cumplimiento obligatorio por parte de

los auditores, para el ejercicio de sus responsabilidades. Estas normas son requisitos

orientados por principios que tienen como objetivos, de acuerdo a lo establecido por el IIA,

los siguientes:

1. Definir principios básicos que representen el ejercicio de la auditoría interna, tal y

como este debería ser.

2. Proporcionar un marco para ejercer y promover un amplio rango de actividades de

auditoría interna de valor añadido.

3. Establecer las bases para evaluar el desempeño de la auditoría interna.

4. Fomentar la mejora de los procesos y operaciones de la organización.

Las normas de auditoría, están estructuradas en tres tipos a saber: Normas sobre atributos,

normas sobre desempeño y normas de implantación. Las primeras están orientadas a las

características de las organizaciones y a las personas que prestan servicios de auditoría

interna. Las normas sobre desempeño, establecen la naturaleza de los servicios de

73

auditoría interna y proporcionan criterios de calidad, con los cuales pueden evaluarse el

desempeño de estos servicios; y las normas de implantación, se encargan de ampliar las

normas sobre atributos y sobre desempeño, proporcionando los requisitos aplicables a las

actividades de aseguramiento (A) y consultoría (C)

2.4. La auditoría en el sector público Colombiano

El control gubernamental Colombiano cuenta actualmente con tres guías de auditoría, las

dos primeras construidas para el Control Fiscal, y la tercera para el Control Fiscal Interno

ò Control Interno.

2.4.1. Guías de auditoría para el Control Fiscal

El Control Fiscal Colombiano, cuenta con dos guías de auditoría, la primera construida

para llevar a cabo las auditorías de la Contraloría General de la República; y la segunda,

con el fin de llevarlas a cabo por parte de las contralorías territoriales.

2.4.1.1. Guía de auditoría de la Contraloría General de la República ajustada en el

contexto SICA

A raíz de las nuevas incorporaciones tecnológicas en la Contraloría General de la

República, y en especial por la implementación del Sistema de Información de Control de

Auditorías (SICA), se ha establecido en el país, una guía de auditoría gubernamental,

adoptada mediante resolución 6368 del 22 de agosto de 2011, la cual fue recientemente

ajustada en el mes de Febrero del 2015, con algunos ajustes menores.

74

Figura 5. Estructura General de Auditoría. Contraloría General de la República

Fuente: Tomado de (Contraloría General de la República, 2013a)

En general, las fases desarrolladas por la Contraloría General de la República, como se

puede observar en la figura 5, son cuatro:

Plan General de Auditoría: Consiste en la identificación de los entes objeto de control

fiscal, tales como las políticas públicas, planes, programas, proyectos, procesos o temas

de interés; que deben ser auditados durante una vigencia, atendiendo a criterios técnicos,

utilizando para ello herramientas como la matriz de importancia relativa, la matriz de control

y la matriz de riesgos.

Planeación de la Auditoría: Tiene como objetivo definir el alcance y la estrategia de

auditoría, a partir del conocimiento del auditado y de la evaluación de los controles, que el

ente objeto de control fiscal tiene establecidos, para mitigar los riesgos identificados por la

Contraloría General de República.

Ejecución de la Auditoría: Es la fase de la auditoría donde se practican las pruebas,

utilizando las diferentes técnicas y procedimientos, para encontrar las evidencias de

auditoría que sustentarán el informe.

75

Informe de Auditoría: A partir de esta fase, se estructura un documento con los resultados

del proceso auditor, que se comunica a los auditados y destinatarios correspondientes.

2.4.1.2. Guía de auditoría para las contralorías territoriales (GAT)

Esta guía de auditoría, construida por y para las contralorías territoriales, es liderada por

la Contraloría General de la República, en respuesta a lo establecido en el numeral 12 del

artículo 268 de la Constitución Política de Colombia, y que está relacionada con las normas

que se deben dictar para armonizar los sistemas de Control Fiscal, de todas las entidades

públicas del orden nacional y territorial, consta de tres (3) fases: planeación, ejecución e

informe de auditoría; posteriores a la planeación estratégica del proceso auditor, las cuales

serán explicadas a continuación, a partir de (Sistema Nacional de Control Fiscal, 2012).

Fase de Planeación: Tiene como objetivo, definir el alcance y la estrategia de auditoría, a

partir del conocimiento del equipo auditor sobre la entidad o asunto que se auditará.

Fase de Ejecución: A través de esta fase, se ejecutan las pruebas de auditoría utilizando

técnicas y procedimientos, para encontrar las evidencias de auditoría que sustentarán el

informe, siguiendo las directrices del plan de trabajo y los programas de auditoría.

Fase de Informe: Ésta fase determina los parámetros y directrices requeridos para

estructurar un documento, con los resultados del proceso auditor, que se comunica a los

destinatarios correspondientes.

2.4.1.3. Guía de auditoría para el control interno

La ley 87 de 1993 establece un sistema de Control Interno, conformado por el esquema

de organización; el conjunto de planes, métodos, principios, normas, procedimientos y los

mecanismos de verificación y evaluación; este último aspecto se materializa en la auditoría

interna (Departamento Administrativo de la Función Pública & Instituto de Auditores

Internos de Colombia, 2013).

En el año 2013, el Departamento Administrativo de la Función Pública, en asocio con el

Instituto de Auditores Internos de Colombia, desarrolló la “Guía de auditoría para las

entidades públicas”, orientado hacia las oficinas de control interno de las entidades

públicas del país.

76

En esta guía, se establece la metodología de auditoría interna basada en 5 fases, como

se puede visualizar en la figura 6 y se entra a detallar a continuación:

Figura 6. Fases de Auditoría Interna. Entidades Públicas Colombianas

Fuente: Tomado de (Departamento Administrativo de la Función Pública & Instituto de

Auditores Internos de Colombia, 2013).

Programación General de Auditorías: Ésta fase incluye un análisis integral de todos los

componentes internos y externos de una entidad, a través de su conocimiento y

comprensión, con el fin de determinar los procesos más relevantes y establecer los niveles

de riesgos a los que están expuestos. El producto de este proceso es el Programa Anual

de Auditorías.

Planeación de Auditoría: El Plan de Auditoría es un enunciado lógicamente ordenado y

clasificado de los procedimientos de auditoría que se emplearán, el alcance que se les ha

de dar y la forma en que se han de aplicar.

Ejecución de la Auditoría: Esta fase desarrolla el plan de auditoría ejecutando las

actividades programadas, con el fin de obtener evidencia suficiente, competente y

relevante para emitir conclusiones.

Comunicación de resultados de auditoría: Esta fase presenta los resultados de la

auditoría, a partir de los cuales se suscriben planes de mejoramiento.

Seguimiento al cumplimiento de los planes de mejoramiento: Consiste en validar la

ejecución de las acciones propuestas en el plan de mejoramiento, midiendo su nivel de

cumplimiento y de efectividad.

77

Teniendo en cuenta que las guías de auditoría para el Control Fiscal establecidas en

Colombia, “se fundamentan en las normas de auditoría generalmente aceptadas, las

cuáles son compatibles con las Normas Internacionales de Auditoría (NIAS), con las

Normas de Auditoría Gubernamental (NAGU), con las normas de la Organización

Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) y con las indicaciones de

la Organización Latinoamericana y del Caribe de Entidades Fiscalizadoras Superiores

(OLACEFS)” (Contraloría General de la República, 2013a,9), y que la guía de auditoría

para las áreas de control interno de las entidades públicas, fue elaborada de manera

conjunta con el Instituto de Auditores Internos capítulo Colombia; las fases de las diferentes

guías tienen referentes comunes y pueden ser complementarias de acuerdo al nivel de

control en el cual se esté aplicando.

78

3. Las Tecnologías de Información y

Comunicaciones en los procesos de

control y auditoría.

Los procesos de auditoría manual son inadecuados en este ambiente cada vez más

complejo (Vasarhelyi, 1984), de allí la necesidad de hacer uso de las Tecnologías de

Información y Comunicaciones en los procesos de control y auditoría, debido a su

creciente incorporación en las organizaciones, tanto públicas como privadas.

Es así como Vasarhelyi & Halper (1991) realizaban planteamientos, en torno al cambio

considerable que ha tenido la auditoría tradicional (tanto interna como externa), como

resultado de los cambios en el ambiente de procesamiento de datos, tal como se puede

apreciar en la tabla 9, generando con ello, nuevos desafíos técnicos para los auditores.

Tabla 9. La Evolución de la Auditoría desde la perspectiva del procesamiento de datos.

FASE PERÍODO FUNCIONES DE

PROCESAMIEN-

TO DE DATOS

APLICACIONES PROBLEMA DE

AUDITORÍA

1 1945-1955 Input (I), Output

(O), Processing

(P)

Aplicaciones

militares y

científicas.

Transcripción de

datos y

procesamiento

repetitivo

2 1955-1965 I,O,P,

Almacenamiento

(S)

Cintas Magnéticas.

Aplicaciones

naturales

Datos no legibles

visualmente.

Datos que pueden

ser modificados sin

dejar rastros.

3 1965-1975 I,O,P,S,

Comunicaciones (

C )

Sistemas de tiempo

compartido.

Almacenamiento en

disco.

Acceso a datos, sin

acceso físico.

79

Soporte de

operaciones

expandido.

4 1975-1985 I,O,P,S,C, Bases

de Datos (D)

Bases de datos

integradas.

Sistemas de soporte

a decisiones

(ayudas en la toma

de decisiones).

Aplicaciones que

cruzan diferentes

áreas.

Diferentes capas

lógicas y físicas.

Nuevas capas con

niveles de

complejidad (DBMS)

Decisiones basadas

en software.

5 1986-1991 I,O,P,S,C,D,

Estaciones de

trabajo (W)

Redes.

Sistemas de soporte

a decisiones (no

expertos)

Datos distribuidos en

diferentes sitios.

Grandes cantidades

de datos.

Procesamiento

distribuido.

Fuentes de datos sin

papel.

Sistemas

Interconectados.

6 1991-hoy I,O,P,S,C,D,W,De-

-cisiones (De)

Sistemas de soporte

a decisiones

(Expertos)

Decisiones

estocásticas

inmersas en los

Sistemas de

Información

Administrativos

Fuente: (Vasarhelyi & Halper, 1991)

Desde 1991 a la fecha, el avance que han tenido las TIC es exponencial, lo que pone en

evidencia, la necesidad incuestionable de ajustar estructuralmente los procesos de

auditoría, liberando al auditor de muchas de las tareas mundanas de la auditoría y

80

permitiendo que el auditor use este tiempo para tareas de nivel superior, tales como la

comprensión del negocio, y la identificación y evaluación de nuevos riesgos (Bierstaker,

Burnaby, & Thibodeau, 2001).

Las Tecnologías de Información emergentes, han generado nuevos escenarios en donde

se mueven los negocios, tales como: el comercio electrónico en sus diferentes

modalidades, el intercambio electrónico de datos (EDI), la transferencia electrónica de

archivos (EFT) y los sistemas de información empresarial que automatizan los procesos

de negocio, como ERP’s, CRM, SCM……..; en resumen, los negocios en tiempo real son

impulsados por procesos en tiempo real, y por lo tanto, estos procesos deben ser

controlados en tiempo real (Kneer, 2003).

Pero realmente, lo que ha cambiado no es la auditoría propiamente dicha, es la evidencia,

con la cual el auditor soporta sus conclusiones de auditoría. La transformación de la

evidencia ha traído como consecuencia nuevas formas de obtenerla y para ello han

surgido, lo que en el mundo de la auditoría se conoce como Técnicas y Herramientas de

Auditoría Asistidas por Computador (CAATT’s).

3.1. La evidencia digital. Insumo fundamental de la auditoría moderna.

Uno de los elementos comunes en las definiciones de auditoría y componente esencial en

cualquier proceso auditor, es la obtención de evidencia. Sin embargo, en los últimos años,

este insumo fundamental de la auditoría, se ha transformado al pasar de ser análoga a

digital, con las consecuencias que esto acarrea para el proceso y para los auditores.

3.1.1. La evidencia: materia prima del auditor

Aunque en la definición de auditoría planteada por el IIA no se encuentra de manera

explícita, su objetivo final es obtener evidencia suficiente y confiable, para dar una opinión

independiente sobre un tema en particular, ratificado por las definiciones presentadas por

la Organización Internacional de Estandarización (International Organization for

Standardization, ISO) y la Asociación de Auditoría y Control de Sistemas de Información

(Information Systems Audit and Control Association, ISACA):

81

- La definición formal de auditoría, en la norma internacional de auditorías de calidad (ISO

19011 del 2002) establece que “es un proceso sistemático, independiente y documentado

para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de

determinar la extensión en que se cumplen los criterios de auditoría” (ISO, 2002, p.1).

- Un proceso sistemático por el cual un equipo o una persona calificada, competente

e independiente obtiene y evalúa objetivamente la evidencia respecto a las

afirmaciones acerca de un proceso con el fin de formarse una opinión sobre el

particular e informar sobre el grado de cumplimiento en que se implementa dicha

afirmación (ISACA, 2008a, p.34).

-Actividad independiente y objetiva, de aseguramiento y consulta, concebida para

agregar valor y mejorar las operaciones de una organización. Ayuda a una

organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado

para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y

gobierno (IIA, 2011,s.p.).

Acorde con lo anterior, la principal materia prima del auditor es la evidencia, considerada

según (Caldana, Correa & Ponce, 2007), de forma general, como la información obtenida

por el auditor, con el fin de extraer conclusiones que sustentan su opinión. La ISO 19011,

por su parte, define evidencia como “los registros, declaraciones de hechos o cualquier

otra información que son pertinentes para los criterios de auditoría y que son verificables”

(ISO, 2002, p.2), la cual es complementada por ISACA (2008a) al establecer que “consiste

en cualquier información usada por el auditor, para determinar si la entidad o los datos que

están siendo auditados cumplen con los criterios u objetivos establecidos, y soporta las

conclusiones de auditoría” (p.48). Es de resaltar, que la evidencia obtenida por el auditor

para soportar sus hallazgos y conclusiones, debe ser suficiente (en relación con la cantidad

de evidencia) y competente (relacionada con su calidad).

La evolución tecnológica de las organizaciones, al incorporar en sus procesos de negocio

de manera intensiva las TIC, han llevado a que la evidencia física, con la que

tradicionalmente trabajaban los auditores, se vuelva más escasa, y la evidencia digital

soportada en registros electrónicos, se multiplique en las diferentes áreas y procesos.

82

La evidencia digital es un tipo especializado de evidencia, entendida como “cualquier

información que, sujeta a una intervención humana u otra semejante, ha sido extraída de

un medio informático” (Ghosh, 2004, p.9); o también, según (Caldana, Correa &

Ponce,2007, p.12), como “información creada, transmitida, procesada, registrada y/o

mantenida electrónicamente, que respalda el contenido de un informe de auditoría y que

puede tomar diferentes formas, tales como texto, imagen, audio, video, entre otros.

Adicionalmente, (Ghosh, 2004) considera que la evidencia digital puede ser dividida en

tres categorías a saber: - Registros almacenados en el equipo de tecnología informática; -

Registros generados por los equipos de tecnología informática; y -. Registros que

parcialmente han sido generados y almacenados en los equipos de tecnología informática.

La evidencia digital difiere de la tradicional, no solo por el hecho de que la primera se

encuentre soportada en TIC, sino por una serie de atributos que hacen de esta, una forma

diferente de obtenerla, tratarla y usarla dentro del ciclo de auditoría, y que contrasta con la

tradicional, como se puede observar en la siguiente tabla.

Tabla 10. Evidencia en papel vs Evidencia electrónica

Atributo Evidencia Tradicional (Documentos en

papel)

Evidencia Electrónica

Origen

Se puede probar y establecer fácilmente Es difícil de establecer solamente

examinando la información electrónica; es

necesario usar controles y técnicas de

seguridad para establecer autentificación y

no repudio del documento.

Alteración

Es difícil alterarlo sin que sea descubierto Es imposible detectar alteraciones

examinando sólo la información electrónica.

La integridad de ésta depende de la calidad

de los controles y las técnicas de seguridad.

Aprobación

Los documentos en papel muestran la

prueba de la aprobación en su cuerpo.

Se determina usando controles y técnicas de

seguridad que permiten determinar la

autorización de la información.

83

Atributo Evidencia Tradicional (Documentos en

papel)

Evidencia Electrónica

Completitud

Todos los términos relevantes de una

transacción son usualmente incluidos en

un documento.

Se contienen, a menudo, los términos

relevantes de una transacción en varios

archivos o mensajes de datos.

Lectura No se necesita equipo especial. Varias tecnologías y equipos son necesarios

para leer el documento electrónico.

Formato Es parte integrante del documento. Está separado de los datos y puede ser

cambiado.

Almacenamiento o

archivo

Los documentos se mantienen de acuerdo

a las necesidades de la organización

según normas de sana administración

Los documentos se mantienen en un

repositorio con características especiales de

seguridad, integridad y disponibilidad

definidas por la Ley.

Disponibilidad y

accesibilidad

No es usualmente una restricción durante

la auditoría.

El registro de auditoría puede no estar

disponible en el tiempo de la auditoría y

acceder a los datos puede ser difícil.

Firma

La firma se puede autentificar con un

simple chequeo y comparación entre el

documento y la firma original.

Se requieren las tecnologías apropiadas

para emitir y revisar una firma electrónica

fiable.

Es igual para todo tipo de documento Es distinta según sea el grado de

importancia del documento (Firma

Electrónica, Simple o Avanzada)

Fuente: (Caldana, Correa & Ponce, 2007, p.13)

La evidencia ha sido objeto de estudio, tanto de forma tradicional como electrónica por

diferentes organismos internacionales, tales como: el AICPA, IIA, ISACA, IFAC

(International Federation of Accountants), ISO y CICA, generando por algunos de ellos

estándares, directrices y normas. En la tabla 11, puede observarse un resumen de las

normas de auditoría generadas por AICPA (SAS, Statement on Auditing Standards y APS,

Auditing Procedure Study), IFAC (ISA, International Standard on Auditing) e ISACA.

Tabla 11. Normas, estándares y directrices relacionadas con evidencia

84

Organis-

mo

Norma/Estándar/

Directriz

Año Descripción

AICPA

SAS 31 1980 Materia que constituye evidencia

SAS 80 1996 Modificatoria de la SAS 31

APS 1997 La era de TIC: Evidencia de auditoría en el entorno electrónico.

SAS 106 2006 Evidencia de Auditoría

IFAC

ISA 500 2009 Evidencia de Auditoría

ISA 501 2009 Evidencia de Auditoría – Consideraciones específicas para los

elementos seleccionados

ISACA

Estándar 14 2006 Evidencia de Auditoría

Directriz de

Auditoría 2

2008 Requerimiento de evidencia de auditoría

Fuente: (Valencia Duque & Tamayo Arias, 2012)

3.1.2. Pruebas de auditoría

El auditor debe acudir a lo que tradicionalmente se denominan pruebas de auditoría, las

cuales consisten en procedimientos apoyados en diferentes técnicas para la obtención de

evidencia. De acuerdo al AICPA, referenciado en (Marris,2010), existen tres categorías de

procedimientos de auditoría que son:

- Procedimientos de evaluación de riesgos, orientados a la obtención de un entendimiento

de la entidad y su entorno, incluyendo su control interno, la evaluación de riesgos

importantes y aspectos relevantes del objeto de auditoría.

- Prueba de controles, que consisten en verificar la efectividad de los controles que se

encuentran implementados.

- Procedimientos sustantivos, que consisten en llevar a cabo pruebas analíticas y

detalladas, para verificar la integridad, exactitud y validez, de los componentes que se

están auditando.

85

Estos tres tipos de pruebas están relacionadas entre sí, destacándose una intensidad

inversamente proporcional entre las pruebas de controles y los procedimientos sustantivos;

es decir, si las pruebas realizadas para medir la efectividad de los controles fueron

satisfactorias, el alcance de las pruebas sustantivas será menor. Para llevar a cabo las

diferentes pruebas de auditoría, con miras a obtener evidencia suficiente y pertinente, se

acude a diferentes técnicas de auditoría, clasificadas en tradicionales y asistidas por

computador, ambas son necesarias y complementarias en un proceso de auditoría.

Algunos autores, como (Louwers et al, 2011), integran ambos tipos de técnicas y las

clasifican en ocho categorías, a saber: 1. Inspección de registros y documentos, 2.

Inspección de activos tangibles, 3. Observación, 4. Encuestas, 5. Confirmación, 6.

Recalculo, 7. Reproceso, y 8. Procedimientos analíticos. Éstas técnicas serán explicadas

más adelante.

3.2. Los estándares internacionales en el uso de Tecnologías de Información y Comunicaciones en la auditoría

A través de los años, la auditoría (en especial la financiera) y las organizaciones que

impulsan esta profesión, han establecido la importancia y la necesidad de las Tecnologías

de Información y Comunicaciones (TIC), para ello han emitido normas y estándares

generales alrededor del uso de las TIC, en las diferentes fases de auditoría y particulares

alrededor de las de las técnicas y herramientas de auditoría asistidas por computador.

La tabla 12, presenta un resumen de algunos de los principales estándares y normas

expedidas alrededor del uso de las TIC en los procesos de auditoría, en algunos casos,

muchas de estas normas ya no están vigentes y han sido reemplazadas por otras

complementarias.

Tabla 12. Resumen de las principales normas y estándares alrededor de las Tecnologías de Información y Comunicaciones en la auditoría.

86

ENTIDAD

EMISORA

NORMA DESCRIPCIÓN

AICPA SAS No 3 Efectos del procesamiento electrónico de datos

sobre el estudio y evaluación de los controles

internos por parte del auditor.

AICPA SAS No 48 Los efectos del procesamiento en computador,

sobre el examen de los estados financieros.

AICPA SAS No 94 El efecto de la Tecnología de Información en la

consideración del control interno del auditor, en

una auditoria de declaraciones financieras.

IFAC ISA 401 Auditoría en un ambiente de sistemas de

información por computador.

IFAC Declaración

Internacional 1001

Ambientes de Sistemas de Información de

Cómputo (CIS) - Microcomputadoras

independientes.

IFAC Declaración

Internacional 1002

Ambiente de Sistemas de Información de

Cómputo (CIS) - Sistemas de computadoras en

línea.

IFAC Declaración

Internacional 1003

Ambientes de Sistemas de Información de

Cómputo (CIS) - Sistemas de base de datos.

IFAC Declaración

Internacional

1008

Evaluación del riesgo y el Control Interno –

Características y consideraciones del Sistema

de Información de Cómputo (CIS).

IFAC Declaración

internacional 1009

Técnicas de auditoría con ayuda del

computador.

IFAC Declaración

Internacional 1013

Comercio electrónico – efecto en la auditoria de

estados financieros.

ISACA Guía 3 Uso de técnicas de auditoría asistidas por

computador.

IIA Consejos para la

práctica 1220-2,

Norma relacionada

1220.A2

Debido cuidado profesional. Al ejercer el

debido cuidado profesional, el auditor interno

debe considerar la utilización de herramientas de

87

auditoría asistidas por computador y otras

técnicas de análisis de datos.

Fuente: Elaboración propia a partir de la revisión

En general, las diferentes normas emitidas por los organismos internacionales, tratan de

delimitar la forma en que el auditor debería incorporar, en su quehacer organizacional, el

uso de las TIC, dando incluso en algunos casos, pautas precisas para hacerlo parte de los

procesos de planeación, ejecución, reportes y seguimiento de la auditoría.

3.3. Perspectivas del uso de las TIC en los procesos de control y auditoría

De forma complementaria a las normas emitidas por las organizaciones, que reglamentan

e impulsan la Auditoria a nivel internacional, la comunidad académica ha realizado algunos

planteamientos, en torno a lo que puede ser el uso de las TIC, en los procesos de control

y auditoría, es por ello que a continuación, se presentan de acuerdo al análisis bibliográfico

realizado, lo que el autor considera como las dos corrientes que más impulso han tomado

a nivel internacional, y que servirán de marco, para el análisis del nivel de uso de las TIC

en el Control Fiscal Colombiano.

3.3.1. Las TIC como parte de los procesos de control y auditoría

Un enfoque para abordar el uso del computador por parte de los auditores, ampliamente

difundido en la literatura académica, es el planteado por autores como (Pinilla Forero,

1997;Loh, 2002;Cerullo & Cerullo,2003;Smieliauskas & Bewley,2010), quienes establecen

tres perspectivas: La auditoría alrededor del computador, la auditoría a través del

computador y la auditoría con el computador.

La auditoría alrededor del computador (Auditing around the computer), consiste en

conciliar los documentos fuente, asociados a las transacciones de entrada al computador,

con los resultados generados por este, mientras que el procesamiento realizado por la

aplicación de computador es tratado como una caja negra (Braun & Davis,2003). Para

(Smieliauskas & Bewley,2010), fue el primer enfoque utilizado por los auditores con la

aparición del computador y es adecuado su uso, si los controles y el sistema de información

proporcionan suficiente evidencia visible. Es el enfoque más simple de utilizar, en el cual

88

se requieren pocos conocimientos de Tecnologías de Información; sin embargo, no es un

enfoque adecuado para evaluar la efectividad de los controles en los sistemas de

información.

Este enfoque es el más utilizado actualmente por las contralorías del país, debido al bajo

nivel de uso de herramientas tecnológicas específicas de auditoría y al perfil de los

auditores gubernamentales.

La auditoría con el computador (Auditing with the computer), es asociada por autores

como (Cerullo & Cerullo, 2003) y (Smieliauskas & Bewley, 2010) con el uso de software

generalizado de auditoría (Generalized Audit Software, -GAS-), que consiste en utilizar el

computador para desarrollar labores, en las diferentes fases del ciclo de auditoría, y cuenta

con desarrollos muy importantes en el campo del análisis de datos, haciendo uso de

diferentes aplicaciones, algunas especializadas y otras que no tienen foco específico en

auditoría; pero, que cuentan con funciones que apoyan alguna de sus fases. La auditoría

con el computador, hace un uso más intensivo de las herramientas tecnológicas, que de

las técnicas de auditoría propiamente dichas. Dentro de esta categoría, pueden

encontrarse desde suites ofimáticas, hasta herramientas especializadas en auditoría, que

para el caso del Control Fiscal Colombiano, es donde se han invertido cuantiosos recursos

(en el desarrollo y/o adquisición de Sistemas de Información) para soportar sus procesos

de control fiscal.

La auditoría a través del computador (Auditing through the computer), asociada

directamente por (Smieliauskas & Bewley,2010) a las Técnicas y Herramientas de

Auditoría Asistidas por Computador (Computer Assisted Audit Tools and Techniques –

CAATT-) propiamente dichas, y está inscrita en las técnicas que requieren probar controles

automatizados. Consiste en que el auditor evalúa la tecnología, para determinar la

confiabilidad de las operaciones que no pueden ser vistas por el ojo humano y prueba la

efectividad operacional de los controles relacionados con el computador (Louwers et al.,

2011).

A diferencia de los dos anteriores, las técnicas que hacen parte de la auditoría a través del

computador, tratan de permear la tecnología para evaluar los controles inmersos en esta

y hace un uso más intensivo de las técnicas, que de las herramientas tecnológicas, las

cuales pueden ser automatizadas por los mismos auditores que cuenten con

conocimientos profundos en tecnología, o con el apoyo del área de tecnología de

89

información, aunque en ocasiones no es muy recomendable, debido a la pérdida de

independencia que puede generar, la cual es una característica esencial en un proceso de

auditoría.

Las técnicas más destacadas que hacen parte de este enfoque son las siguientes: - La

técnica de datos de prueba (test data): también llamada lotes de prueba (test decks),

consiste en un conjunto de datos de entrada propuestos por el auditor y que se ingresan a

una aplicación con el fin de verificar su procesamiento y así, poder detectar resultados no

válidos; también se usa para realizar pruebas a controles de aplicaciones en

funcionamiento. Las pruebas deben ser coherentes con la aplicación que se examina,

teniendo presente las posibles combinaciones de transacciones, situaciones de archivos

maestros, valores y lógica de procesamiento, que podrían encontrarse cuando la

aplicación se encuentre en producción (Pinilla Forero,1997).

- Simulación Paralela (Parallel simulation): Técnica que utiliza transacciones reales de la

organización y simula el procesamiento que realiza la aplicación en producción, mediante

programas elaborados por el auditor, tomando como referencia las reglas de negocio. Al

final se comparan los resultados arrojados tanto por la aplicación en producción, como por

la del auditor y se establecen las conclusiones pertinentes.

- Facilidad de prueba integrada (Integrated test facility): Técnica para procesar

transacciones de prueba, a través de sistemas de aplicación de la empresa junto con las

transacciones reales, y que permite probar el procesamiento de una aplicación en su

ambiente normal de producción.

- Foto Instantánea (Snapshot): Utilizada para determinar si los procesos de actualización

se aplican correctamente (Rezaee, et al, 2004), implica tomar una foto de una transacción,

mientras fluye por un sistema transaccional. Las rutinas del software de auditoría están

ubicadas en diferentes partes de la lógica del programa.

- Archivos de revisión, auditoría y control de sistemas (System Control Audit Review File –

SCARF-): Consiste en la inserción de rutinas de auditoría en diferentes puntos de una

transacción, para monitorear el tráfico de datos dentro del programa de aplicación (Arias &

Cerpa,2008).

- Módulos embebidos de auditoría (Embedded audit module): Aplicaciones de software o

porciones de código embebidos en otros sistemas, que monitorean continuamente flujos

de transacciones, identificando aquellas que cumplen con ciertas reglas predeterminadas,

90

de tal forma que, se genera una alerta al auditor en el momento en que se cumple dicha

regla (Debreceny et al, 2005).

3.3.2. Modalidades de control y auditoría basada en TIC’s

Otra de las perspectivas en el campo académico y profesional para aplicar las TIC’s en

procesos de control y auditoría, y sin ser excluyente con el enfoque anterior, está referido

a una serie de conceptos que pueden ser considerados incluso, como disciplinas

especializadas en el entorno de las TIC. Dentro de estos términos podemos destacar:

Auditoría remota, auditoría de sistemas, control interno tecnológico, sistemas de gestión

de seguridad de la información, seguridad informática, computación forense y auditoría

continua.

La Auditoría Remota es el proceso por el cual los auditores acoplados con las

Tecnologías de Información y Comunicaciones y con análisis de datos, evalúan e informan

sobre la exactitud de los datos financieros y los controles internos, reuniendo evidencia

electrónica e interactuando con el auditado, independientemente de la localización física

del auditor (Teeter, Alles, & Vasarhelyi, 2010).

De acuerdo con ISACA (2012) la Auditoría de Sistemas es un proceso donde se recolecta

y evalúa evidencia, con el fin de determinar si los sistemas de información y los recursos

relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad

de los datos y del sistema, proveen información relevante y confiable, logran de forma

efectiva las metas organizacionales, usan eficientemente los recursos y los controles

internos, proveen una certeza razonable de que los objetivos de negocio, operacionales y

de control serán alcanzados y los eventos no deseados serán evitados o detectados y

corregidos de manera oportuna.

El Control Interno Tecnológico llamado comúnmente Control Interno informático, es un

sistema de control, cuyo objetivo es controlar diariamente que todas las actividades de

sistemas de información sean realizadas cumpliendo los procedimientos, estándares y

normas fijadas por la organización y/o el área informática (Piattini & Del peso,1998), el

modelo más representativo a nivel mundial es COBIT (Control Objectives for Information

and Related Technologies).

91

La norma ISO 27001, define un Sistema de gestión de seguridad de la información,

como aquel que hace “parte del sistema de gestión global, basada en un enfoque hacia

los riesgos globales de un negocio, cuyo fin es establecer, implementar, operar, hacer

seguimiento, revisar, mantener y mejorar la seguridad de la información” (ICONTEC,

(2009,p.3).

La Seguridad Informática a diferencia del concepto anterior, representa “un conjunto de

procedimientos, dispositivos y herramientas encargadas de asegurar la integridad,

disponibilidad y privacidad de la información en un sistema informático e intentar reducir

las amenazas que pueden afectar el mismo” (García, Hurtado, & Alegre Ramos,2011,p.2)

La Computación Forense “es una disciplina de las ciencias forenses que, considerando

las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información

en los medios informáticos, para establecer los hechos y formular las hipótesis

relacionadas con el caso” (Cano, 2009,p.2).

3.4. Nivel de uso de las Tecnologías de Información y Comunicaciones en el Control Fiscal Colombiano.

El Control Fiscal Colombiano, ha venido incorporando de manera paulatina las

Tecnologías de Información y Comunicaciones, no como parte integral de los procesos de

control y Auditoría, sino como herramientas de apoyo, para soportar los flujos de

información que estos procesos generan. De igual forma, su incorporación no es

homogénea, ni sus adquisiciones e incorporaciones tecnológicas responden a una

necesidad como Sistema Nacional de Control Fiscal (SINACOF); por el contrario, cada

contraloría, de acuerdo a su capacidad económica, técnica y humana, incorpora las

herramientas tecnológicas necesarias para cumplir con su función.

3.4.1. Estado actual del desarrollo informático y tecnológico de las contralorías del país.

De acuerdo a la encuesta de diagnóstico, sobre la capacidad de información de las

contralorías de Colombia del año 2010, llevada a cabo por la Auditoría General de la

92

Nación, el 35% de las contralorías cuenta con algún aplicativo relacionado con la

participación ciudadana, el 13% con software para la gestión de procesos fiscales, el 35%

cuenta con un sistema de control y seguimiento del Plan General de Auditorías y el 19%

cuenta con otros aplicativos de soporte a sus procesos misionales (Auditoría General de

la República,2010b).

De igual forma, en la misma encuesta del año 2011 establece: “en general las contralorías

tienen una infraestructura tecnológica aún incipiente, con deficiencias para el desarrollo

normal de sus actividades; la mayoría utilizan software de propiedad de otras entidades,

menos del 50% han desarrollado aplicativos” (Auditoría General de la República,

2011,p.89); su infraestructura física aún es muy dependiente de otras entidades del

Estado, si se tiene en cuenta que más del 70% de las instalaciones, donde las contralorías

tienen su sede son cedidas o prestadas en comodato; casi el 50% tienen sus oficinas

dentro de las alcaldías o gobernaciones de sus ciudades.

En el mismo informe se destaca que, el 13% de los funcionarios de las contralorías aún no

cuenta con equipo de cómputo, el 60% de las contralorías cuenta con un plan estratégico

de sistemas, el 63% cuenta con centro de cómputo y el 84% cuenta con una red de área

local. En lo que tiene que ver con aplicativos, ya para esta época el 87% de las contralorías

cuenta con algún aplicativo para la rendición de la cuenta (dotado por la Auditoría General

de la República -El SIA-), el 35% de las contralorías cuenta con un sistema de información

de participación ciudadana, el 13% cuenta con un sistema de información de gestión de

procesos fiscales, el 65% cuenta con un sistema de control y seguimiento al plan general

de auditorías, y el 33% cuenta con otra serie de aplicativos.

De forma complementaria en el año 2012, la Universidad Nacional de Colombia - Sede

Manizales, llevó a cabo el “Primer Encuentro Nacional de Experiencias de Control en línea

y Auditoría Continua” donde a partir de las diferentes ponencias presentadas, se concluye

que si bien las contralorías del país cuentan con herramientas tecnológicas, para soportar

sus procesos de control fiscal y a su vez, la Auditoría General de la República y la

Contraloría General de la República se encuentran realizando esfuerzos, para incorporar

nuevas herramientas tecnológicas que apoyen la labor del control fiscal; estas han sido

pensadas para realizar una auditoría con el computador, y no una auditoría a través del

computador.

93

3.4.2. Sistemas de información que dan soporte a los procesos del


La ley 1474 de 2011 conocida como ley anticorrupción, estableció en su artículo 126 la

obligación de levantar a través del SINACOF, el inventario de sistemas de información de

las contralorías del país; producto de ello, un equipo conformado por consultores del

programa Gobierno en Línea, las firmas consorcio S&M y la Unión Temporal Software

Works, desarrollaron el documento denominado: “Inventario de Sistemas de Información

de las mejores prácticas encontradas, Control Fiscal en línea”, el cual será el documento

base para este segmento del capítulo.

De acuerdo a este documento, el Control Fiscal Colombiano, cuenta actualmente con

alrededor de treinta y cuatro (34) aplicativos diferentes, desarrollados por las diferentes

contralorías del país, para dar soporte a nueve (9) procesos esenciales del control fiscal.

Es importante tener en cuenta que, cada aplicativo fue desarrollado considerando los

requerimientos y necesidades propios de cada contraloría, con recursos de cada una de

ellas y no responde en su concepción inicial, a necesidades genéricas de las Contralorías

del país. Su distribución en relación con los procesos del control fiscal (ver Figura 7),

permite observar que tanto el proceso de auditorías, como del plan general de auditorías,

son quienes cuentan con el mayor número de aplicativos (31.9%).

0

1

2

3

4

5

6

7

8

94

Figura 7. Número de aplicaciones por proceso en el Control Fiscal Colombiano.

Fuente: Elaboración Propia.

Los sistemas de información que dan soporte a los principales procesos de control fiscal,

han sido desarrollados en diferentes plataformas operativas de bases de datos y de

desarrollo.

Cada uno de estos sistemas puede dar soporte a uno o varios procesos de control fiscal,

la relación de los procesos con sus respectivos sistemas de información se pueden

apreciar a continuación:

Tabla 13. Sistemas de Información por procesos del control fiscal

SISTEMA DE INFORMACIÓN POR PROCESOS

AUDITORÍAS

SIA MISIONAL SIREL

SICA

GESTIÓN TRANSPARENTE

SIGESPRO

SICOF

RCL

SIRC

SIMO

COBRO COACTIVO


SIMUC

SICO

INFORMES GERENCIALES Y DE GESTIÓN Y RESULTADOS

SIGER

PORTAL YO SOY BOGOTÁ


SIA MISIONAL EIT

PETICIONES, QUEJAS, RECLAMOS Y DENUNCIAS

SIPAC

COVI

SIA ATC


95

PQR (MODULO PORTAL)


PLAN GENERAL DE AUDITORÌAS

SIA MISIONAL PGA

PNA


SIGESPRO

SICOF

OBSERVATORIO WEB

PGA

PROCESOS SANCIONATORIOS

SISA SIPREL

SIPAC

SANCIONATORIO WEB

SIMUC


PROMOCIÒN SOCIAL



SIFPED

RENDICIÒN DE LA CUENTA

SIA CONTRALORÍAS


SIA MISIONAL SIREL

SIRECI

SIVICOF-CGR

RENDICIÓN DE LA CUENTA FISCAL EN LINEA WEB (COLNODO)

RESPONSABILIDAD FISCAL

SIREF

SIREF-CGR

PREFIS

RCL


Fuente: Elaborado a partir de (Ministerio de Tecnologías de la Información y las

Comunicaciones, Auditoría General de la República, Consorcio S&M, & UT Software

Works, 2012c)

La relación de sistemas de información usados por cada una de las contralorías del país,

en los nueve procesos de control fiscal se pueden apreciar a continuación:

96

Tabla 14. Sistemas de Información por Contraloría en sus principales procesos

PROCESOS DE CONTROL FISCAL

CO

NTR

ALO

RIA

AU

DIT

OR

IAS

CO

BR

O C

OA

CTI

VO

INFO

RM

ES G

EREN

CIA

LES,

D

E G

ESTI

ÒN

Y R

ESU

LTA

DO

S

PET

ICIO

NES

, QU

EJA

S,

REC

LAM

OS

Y D

ENU

NC

IAS

PLA

N G

ENER

AL

DE

AU

DIT

OR

ÌAS

PR

OC

ESO

S SA

NC

ION

ATO

RIO

S

PR

OM

OC

IÒN

SO

CIA

L

REN

DIC

IÒN

DE

LA C

UEN

TA

RES

PO

NSA

BIL

IDA

D F

ISC

AL

AUDITORIA GENERAL DE LA REPUBLICA

SIA MISIONAL SIREL

SIA MISIONAL EIT SIA ATC

SIA MISIONAL PGA

SIA MISIONAL SIREL

CONTRALORIA DEPARTAMENTAL AMAZONAS SICO SIGER SICOF

SISA SIPREL SIPAC

SIA CONTRALORIAS SIREF

CONTRALORIA DEPARTAMENTAL BOLÍVAR SICO SIGER COVI SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL BOYACÁ

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL CALDAS

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL CAQUETÁ SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL CASANARE SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL CAUCA SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL CESAR

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL CHOCÓ

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL SICO SIGER SICOF

SISA SIPREL SIPAC SIREF

97

CUNDINAMARCA

CONTRALORIA DEPARTAMENTAL DE ANTIOQUIA

GESTIÒN TRANSPARENTE









CONTRALORIA DEPARTAMENTAL DE ARAUCA SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL DE ATLANTICO

RENDICIÒN DE LA CUENTA FISCAL EN LINEA WEB (COLNODO)

CONTRALORIA DEPARTAMENTAL GUAINIA SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL GUAVIARE SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL HUILA SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL LA GUAJIRA

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL MAGDALENA SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL META SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL NARIÑO SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL NORTE SANTANDER

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL PUTUMAYO SICO SIGER SICOF

SISA SIPREL SIPAC


98

CONTRALORIA DEPARTAMENTAL QUINDÍO SIMO SIRC SIGER COVI PGA SIFPED

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL RISARALDA

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL SAN ANDRÉS

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL SANTANDER

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL SUCRE

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL TOLIMA

SIA CONTRALORIAS

CONTRALORIA DEPARTAMENTAL VALLE DEL CAUCA

OBSERVATORIO WEB

SANCIONATORIO WEB

SIA CONTRALORIAS RCL

CONTRALORIA DEPARTAMENTAL VAUPÉS SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DEPARTAMENTAL VICHADA SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA DISTRITAL CARTAGENA

SIA CONTRALORIAS

CONTRALORIA DISTRITAL DE BARRANQUILLA

SIA CONTRALORIAS

CONTRALORIA DISTRITAL DE BOGOTA SIGESPRO SIMUC

PORTAL YO SOY BOGOTA SIVICOF PREFIS

CONTRALORIA DISTRITAL SANTA MARTA

SIA CONTRALORIAS

CONTRALORIA GENERAL DE LA REPÙBLICA SICA

PQR (MODULO PORTAL) PNA

SIA CONTRALORIAS - SIRECI SIREF-CGR

CONTRALORIA GENERAL DE MEDELLÍN

SIA CONTRALORIAS

99

CONTRALORIA GENERAL DE SANTIAGO DE CALI SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA MUNICIPAL ARMENIA SICO SIGER COVI SICOF

SISA SIPREL SIPAC


CONTRALORIA MUNICIPAL BARRANCABERMEJA

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL BUCARAMANGA

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL BUENAVENTURA

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL CÚCUTA

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL DE BELLO

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL DE ENVIGADO

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL DE ITAGUÍ

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL DOSQUEBRADAS

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL FLORIDABLANCA

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL IBAGUÉ SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA MUNICIPAL MANIZALES SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA MUNICIPAL MONTERÍA

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL NEIVA

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL PALMIRA

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL PASTO SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA MUNICIPAL PEREIRA

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL POPAYÁN SICO SIGER SICOF

SISA SIPREL SIPAC


10

0

CONTRALORIA MUNICIPAL SOACHA SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA MUNICIPAL SOLEDAD

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL TUNJA

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL VALLEDUPAR

SIA CONTRALORIAS

CONTRALORIA MUNICIPAL VILLAVICENCIO SICO SIGER SICOF

SISA SIPREL SIPAC


CONTRALORIA MUNICIPAL YUMBO

SIA CONTRALORIAS

Fuente: Elaborado a partir de (Ministerio de Tecnologias de la Información y las

Comunicaciones et al., 2012c)

3.4.3. Descripción de los principales sistemas de información en

el Control Fiscal Colombiano.

Si bien son múltiples los sistemas de información existentes en las diferentes Contralorías

del país, como se puede apreciar en la tabla anterior, existen algunos de ellos que se

destacan por su robustez, o porque son usados por diferentes contralorías, o por la

transversalidad en los diferentes procesos del Control Fiscal Colombiano.

A partir del análisis de los sistemas de información que usan las diferentes contralorías del

país, se puede establecer que en el ámbito territorial a excepción de la Contraloría

Departamental de Antioquia y de la Contraloría Municipal de Cali, la mayoría de las

Contralorías cuenta con sistemas de información de terceros. Se destaca la cantidad de

convenios que ha suscrito la Contraloría Municipal de Cali, con las demás contralorías del

país para el uso de sus sistemas de información, los cuales fueron desarrollados por parte

del equipo técnico de esta contraloría.

A continuación se hará una caracterización general, de los sistemas de información más

destacados, o de las contralorías que por sus desarrollos se han destacado en el país:

101

Sistema Integrado para el Control de Auditorías (SICA): La Contraloría General de la

República firmó un convenio de cooperación técnica con la Contraloría General de Chile,

el 29 de Noviembre de 2011, con el fin de realizar un intercambio de desarrollos

tecnológicos, en especial, el sistema que es utilizado por la Contraloría de Chile para

gestionar su proceso auditor, denominado SICA (Sistema Integrado para Control de

Auditorías). El SICA es un sistema que permite administrar las actividades propias del

proceso auditor, caracterizado por ser un sistema documental que permite la trazabilidad

y asegura la consistencia de la información, es un sistema colaborativo que permite el

trabajo coordinado entre diferentes roles, funciona bajo ambiente web y además, es un

sistema modular (Rodríguez Martínez,2012).

La Contraloría General de la República ha venido implementando este sistema desde el

año 2012, como una de las estrategias orientadas al cumplimiento de lo establecido, en su

plan estratégico 2012-2014 – Por un control fiscal oportuno y efectivo- (Contraloría General

de la República, 2013b).

Este sistema es utilizado por la Contraloría General de la República y cada una de sus

gerencias departamentales, convirtiéndose así, en uno de los pilares de la nueva guía de

Auditoria Gubernamental utilizada en todo el país.

Sistema Integrado de Auditorías (SIA- Contralorías): Es el Sistema de Información de

Auditoria y rendición de cuentas en línea para las contralorías y sus vigilados, desarrollado

bajo ambiente web y utilizado por el 90% de las contralorías del país, para la rendición de

la cuenta. Actualmente, éste sistema es usado por cerca de 7000 usuarios en todo el país.

El SIA-Contralorías permite: adecuarse a las necesidades de cada contraloría, recibir la

cuenta de los entes vigilados vía Internet, el acceso de los auditores a informes de ayuda

para el análisis y revisión de la cuenta y además, tiene una herramienta diseñada para que

cada auditor programe las auditorías de acuerdo con su plan de trabajo e incorpore los

memorandos de encargo y los informes finales (Auditoría General de la República, 2013a).

Gestión Transparente: Una de las contralorías que ha realizado grandes inversiones en

materia de Tecnologías de Información, para dar soporte a sus procesos de control y

auditoría, es la Contraloría Departamental de Antioquia, quien a través de este sistema de

10

2

información apoya muchos de sus procesos misionales, entre los que se destacan, el

control a la contratación pública de cerca de 125 Municipios, integrándola con las redes

sociales, fomentando los mecanismos de participación ciudadana y generando una

modalidad de control en tiempo real de la contratación pública (Valencia Duque, 2012a).

Sistemas de Información de la Contraloría de Santiago de Cali: Esta es una de las

contralorías del país que más sistemas de información ha desarrollado a nivel interno y a

su vez, es la entidad que más convenios ha firmado con otras contralorías para compartir

sus aplicativos. Algunas de las contralorías que hasta el año 2012 hacen uso de los

aplicativos desarrollados, se puede observar en la figura 8.

Figura 8. Sistemas de Información de la Contraloría de Santiago de Cali, usado por algunas contralorías del país.

Fuente: Adaptado de (Prado Carvajal,2012)

La mayoría de estas aplicaciones han sido desarrolladas en MS Access. Actualmente el

área de sistemas de la entidad se encuentra en proceso de migración a una plataforma

bajo ambiente web.

103

3.5. Proyecto Control en Línea, en el Control Fiscal Colombiano

El Plan de Desarrollo Vive Digital, contempla dentro del programa de Gobierno en Línea,

en cumplimiento de su objetivo de construcción de un estado más eficiente y mediante el

aprovechamiento de las TIC, el desarrollo de una de sus iniciativas denominada: Control

en línea; cuyo objetivo inicial es el desarrollo de un sistema en línea único, de reporte,

auditoría y control de las contralorías del país, que permita mejorar los mecanismos de

captura de información y de identificación de alertas y riesgos (Ministerio de Tecnologias

de la Informaciòn y las Comunicaciones, 2011).

Para dar cumplimiento a este proyecto, el 29 de Noviembre de 2011 se firmó el convenio

de coadyuvancia Nro. 00459 entre la Contraloría General de la República, la Contaduría

General de la Nación, la Procuraduría General de la Nación, la Auditoría General de la

República y el Ministerio de Tecnologías de Información y Comunicaciones; con el fin de

dar cumplimiento a los siguientes objetivos: a) Adelantar acciones de coadyuvancia y

colaboración en el fortalecimiento de los mecanismos de control, para la observancia de

los principios y fines del Estado a través de la implementación de las TIC; b) Aunar

esfuerzos logísticos, presupuestales y de recursos humanos con el fin de diseñar, construir

y transferir sistemas de información estandarizados relacionados con los procesos

misionales de las entidades que ejercen el control; c) Instituir las herramientas para que

dichos sistemas de información puedan interactuar a través interfaces y unificar la

información que los cooperantes tienen; d) Edificar una base integral de información para

mejorar el control fiscal y disciplinario en línea (Auditoría General de la República, 2013a).

Producto de este proceso, se ha desarrollado la primera fase (fase de conceptualización),

como se puede observar en la figura 9, a través de la cual se ha definido un modelo

conceptual de control fiscal en línea y se han generado una serie de documentos, que son

la base para el desarrollo del proyecto.

10

4

Figura 9. Modelo Conceptual del Sistema de Control Fiscal en Línea

Fuente: Tomado de (Auditoría General de la República, 2013a; Ministerio de Tecnologias

de la Informaciòn y las Comunicaciones et al., 2012a)

Entre los documentos producto de esta fase, se encuentran los siguientes: 1. Diagnóstico

del inventario de los procesos misionales; 2. Propuesta de procesos en el marco de un

control fiscal en línea; 3. Inventario de los sistemas de información de las contralorías de

país y mejores prácticas; 4. Análisis de la brecha tecnológica encontrada, teniendo en

cuenta las mejores prácticas del país; 5. Diseño de la Plataforma Tecnológica SOA para

el control fiscal en línea; 6. Historias de usuario del control fiscal.

Es importante destacar que la Auditoría General de la República, tiene registrado en el

Banco de Programas y Proyectos de Inversión Nacional –BPIN- el proyecto con código

BPIN 2011011000313 denominado “Desarrollo de un nuevo Sistema de Control Fiscal

Integral Nacional” para un periodo comprendido entre el 2012 y el 2016, por un valor total

solicitado de 12.937,5 millones de pesos (aproximadamente 7.18 millones de dólares); de

los cuales se tienen apropiados para el 2012, 2000 millones de pesos, y cuyo objetivo es

el “Fortalecimiento y Modernización de órganos de control, como estrategia contra la

corrupción, que conlleve a conformar un sistema integrado de control fiscal, en municipios

105

y departamentos, articulando acciones de mejora preventivas y correctivas en la gestión

de los recursos públicos” (Departamento Nacional de Planeación,2012).

Dentro de este proyecto, se tiene un componente denominado “Desarrollar una plataforma

tecnológica unificada que integre sistemas existentes y permita la incorporación de nuevos

desarrollos previamente convenidos y concertados por todos los entes de Control Fiscal”,

para lo cual se tiene previsto un valor para el 2012 de 1000 millones de pesos, el cual es

el objetivo central de la iniciativa Control en Línea del Plan de Desarrollo Vive Digital.

Al momento de finalizar este proyecto de investigación y de acuerdo a consultas por parte

del autor en la Auditoría General de la República, el proyecto no había avanzado después

de la generación de los documentos comentados previamente y los responsables de liderar

el proyecto, por parte tanto de la Auditoría General de la República, como del Ministerio de

Tecnologías de Información y Comunicaciones, ya no laboraban en dichas entidades, por

lo que se puede concluir que el proyecto fue archivado.

10

6

4. La Auditoría Continua, como nuevo

paradigma de la auditoría

Uno de los temas emergentes en el campo de la auditoría, es la Auditoría Continua, la cual

ha sido objeto de estudio y de aplicación en los últimos años, por parte de la academia, el

sector productivo y el sector gubernamental; y aunque, su incorporación por parte de los

auditores no se ha dado de forma masiva, como se podrá ver más adelante, es

considerada por diferentes autores, como uno de los nuevos paradigmas de la auditoría.

La comunidad académica ha sido un impulsor permanente de la evolución de la Auditoría

continua, producto de múltiples artículos científicos y conferencias divulgadas en

congresos internacionales. Se destacan en la comunidad científica autores como Miklos

Vasarhelyi (considerado el padre de la Auditoría Continua), Michael Alles , David Coderre,

Alexander Kogan, Huanzhuo Ye; Centros de investigación como el “Continuous Auditing &

Reporting Lab” (CARLAB) de la Universidad de Rutgers y eventos de difusión de avances

y experiencias en Auditoría Continua como el “World Continuous Auditing and Reporting

Systems Symposium” desarrollado por la Universidad de Rutgers, a través del CARLAB,

algunos de los cuales han sido desarrollados en Latinoamérica, en el marco de la

International Conference on Information Systems and Technology Management

(CONTECSI), liderada por la Universidad de Sao Paulo.

Desde el sector productivo, organizaciones como AT&T, Siemens, HCA y UNIBANCO han

sido pioneras en la implementación de procesos de auditoría continua, hasta las

agremiaciones de profesionales de contadores y auditores a nivel internacional, quienes

han promulgado estándares y guías alrededor del tema.

Por su parte, el sector gubernamental en menor proporción, ha difundido algunos casos

en la literatura académica, rescatando el caso de aplicación en la Oficina Nacional de

Auditoría de la China, divulgado en (Wenming, 2007) y el estudio desarrollado en España

divulgado en (Bonsón & Borrero, 2011).

107

Debido a lo anterior y dada la importancia y pertinencia de la auditoría continua en un

contexto organizacional, dominado por las Tecnologías de Información y Comunicaciones;

se presenta a continuación, una caracterización de índole teórico acerca de sus conceptos,

importancia, diferencias con la auditoría tradicional, estándares, modelos y productos

comerciales más representativos; para a partir de allí, finalizar con la argumentación de

diferentes autores, quienes la consideran un nuevo paradigma. Para ello se acudirá a las

diferentes fuentes de información científica y profesional, que han tratado el tema de una

forma u otra.

4.1. Conceptos básicos

La Auditoría Continua, también llamada Auditoria Continua en Línea, tiene varias

acepciones en la literatura académica y profesional, sin embargo, la más reconocida es la

planteada en 1999, por el Instituto Americano de Contadores Públicos Certificados (The

American Institute of Certified Public Accountants (AICPA)) y el Instituto Canadiense de

Contadores Públicos (The Canadian Institute of Chartered Accountants (CICA)) quienes la

definen como una metodología para la emisión de informes de Auditoría, simultáneamente

o un corto periodo de tiempo después, de la ocurrencia de los hechos relevantes (Searcy,

Woodroof, & Behn, 2003).

Sin embargo, existen otras dos definiciones, que pueden dar una visión más amplia de la

auditoría continua, para no limitarnos tan solo a la fase de informes dentro del proceso de

auditoría. Es así como, el Instituto de Auditores internos (IIA), a través de su Guía de

Auditoría de Tecnología Global número 3, define la Auditoría continua como: “Todo método

utilizado por los auditores para realizar actividades relacionadas con la Auditoría en forma

(más) continua. Es la secuencia de actividades que abarcan desde la evaluación continua

de control hasta la evaluación continua de riesgos” (Coderre, 2005,p.7).

La Asociación de Control y Auditoría de Sistemas de Información (ISACA), en la directriz

número 42 de auditoría de sistemas de información, define la auditoría continua como un

método utilizado por los profesionales de auditoría y aseguramiento de Tecnologías de

Información, para llevar a cabo una evaluación de riesgos y controles, sobre una base más

frecuente. Es un método que utiliza Técnicas de Auditoría Asistidas por Computador

10

8

(TAAC’s), que permite a los profesionales de auditoría y aseguramiento de Tecnologías de

Información, monitorear los riesgos y controles en forma continua. Este enfoque permite

reunir evidencia selectiva de auditoría a través del computador (ISACA, 2010a).

A partir de las definiciones planteadas anteriormente y retomando características

establecidas en diferentes artículos de investigación, se propone la siguiente definición

como resultado de este proceso investigativo: La Auditoría Continua es un proceso a través

del cual, los auditores desarrollan su ciclo de auditoría, de forma más oportuna y de manera

constante, con el apoyo de las Tecnologías de Información y Comunicaciones, utilizando

técnicas de auditoría concurrentes para evaluar y monitorear de forma permanentemente,

la ocurrencia de riesgos y el incumplimiento de controles, de aquellos procesos que utilizan

de manera intensiva las TIC para su desarrollo.

4.2. Necesidad e importancia de la Auditoría Continua

Las Auditorías tradicionales que se desarrollan actualmente en las organizaciones,

realizan análisis de riesgos y evaluación de control de forma retrospectiva y cíclica, y por

lo general, mucho tiempo después de la ocurrencia de los eventos adversos en la

organización (fraudes, incumplimientos regulatorios, inadecuada aplicación de controles,

accesos no autorizados a sistemas de información, cambios no autorizados a reglas de

negocio……..); de igual forma, las pruebas que se realizan para obtener evidencia, se

basan en muchos casos en muestras representativas, sin abarcar la totalidad de la

población objeto de análisis. Todo ello genera un alcance limitado de la auditoría y una

respuesta inoportuna, a las necesidades actuales de las organizaciones que requieren dar

respuestas (hasta donde sea posible en tiempo real) a los eventos adversos que se pueden

generar en una organización y que llevan a que la función de auditoría interna y/o externa,

no aporte el valor agregado esperado de ellas, en detrimento de la eficacia, eficiencia y

efectividad de los procesos organizacionales.

109

De otro lado, la necesidad de la función de auditoría de ampliar su cobertura con los

mismos recursos, lleva a la necesidad de utilizar estrategias y mecanismos, que permitan

hacer más con menos, y allí las TIC juegan un papel fundamental, dado que la auditoría

continua hace uso intensivo de ellas, incorporándolas en el quehacer diario de los procesos

de auditoría, asignándole tareas mecánicas (verificación de controles automáticos,

incumplimiento de reglas de negocio incorporadas en sistemas de información, cambios

de parámetros de sistemas, incumplimiento de controles de secuencia…), en donde las

TIC son más eficientes que el mismo auditor.

Los procesos de auditoría manual son inadecuados, en un entorno donde las

organizaciones se desempeñan en un ambiente tecnológico, caracterizado por el uso

generalizado de las TIC; de allí, la necesidad de contar con técnicas y herramientas de

auditoría acordes, que garanticen una función de auditoría competitiva, ajustada a las

necesidades actuales de las organizaciones.

4.3. Conceptos asociados a la Auditoría Continua

Existen diferentes términos asociados a la auditoría continua, cuyo significado difiere de lo

que es realmente su concepto, de allí la importancia de dar claridad a algunos de estos

términos, cuyos principales referentes se pueden encontrar en la siguiente tabla.

Tabla 15. Términos relacionados con Auditoría Continua

SIGLA TÉRMINO PRINCIPALES AUTORES QUE UTILIZAN

EL TÉRMINO

CCM Continuous Controls

Monitoring

(Teeter & Brennan, 2008), (Gellacic,

2009),(Caldwell & Proctor, 2010a), (Alles,

Kogan, & Vasarhelyi, 2008), (Cangemi,

2010),(Alles & Vasarhelyi, 2009), (Teeter et

al., 2010),(Ramos, 2007), (Vasarhelyi,

2010), (Eniac, 2006), (Chan & Vasarhelyi,

2011), (Kogan, Alles, & Vasarhelyi, 2010),

(Vasarhelyi, Alles, & Williams, 2010a)

CM Continuous Monitoring (Cangemi, 2010), (Daigle, Daigle, & Lampe,

2008), (Vasarhelyi, Kuenkaikaew, Littley, &

11

0

Williams, 2006), (E. Aquino, 2011), (KPMG,

2009)

CA Continuous Assurance (C.-H. Yeh, Chang, & Shen, 2008), (Perols,

2009), (Handscombe, 2007), (Kearney &

Tryfonas, 2008), (Coderre, 2010), (Kneer,

2003), (Marks, 2010), (Kogan et al., 2010)

COA Continuous Online Auditing (Omoteso & Business, 2008), (El-Masry &

Reck, 2008), (Wenming, 2007), (Vasarhelyi,

1999), (Alles, Tostes, Vasarhelyi, & Riccio,

2006), (Blundell, 2007),

CDA Continuous Data

Assurance

(Alles & Vasarhelyi, 2009), (Teeter et al.,

2010), (Chan & Vasarhelyi, 2011), (Kogan et

al., 2010)

CDA Continuous Data Auditing (Vasarhelyi, 2010)

Fuente: Recopilación elaborada por el autor.

El término Continuous Online Auditing, es un sinónimo de Auditoría Continua (Continuous

Audit), el cual es asociado indistintamente con Monitoreo Continuo (Continuous

Monitoring) y aunque las técnicas y tecnologías empleadas son las mismas, su principal

diferencia se encuentra en la propiedad de los procesos. La Auditoría continua es

responsabilidad del área de Auditoría, mientras que el Monitoreo continuo es

responsabilidad de la administración ó de los dueños del proceso.

El término Assurance hace parte de la definición formal de auditoría, dada por el Instituto

de Auditores Internos, y aunque tiene una connotación amplia a nivel organizacional, al

referirse a diferentes instancias que cumplen labores de aseguramiento en la organización

(Abogados, Control de Calidad, Oficial de Seguridad….), en este caso es un término

asociado en general al control, monitoreo y auditoría. En este sentido, los términos

Continuous Assurance y Continuous Data Assurance contemplan estas funciones en su

función particular.

Por último y para integrar los términos Continuous Control Monitoring (CCM) y Continuous

Data Assurance (CDA) alrededor de la Auditoría Continua, complementado con el término

111

Continuos Risk Monitoring and Assessment; la figura 10 presenta su relación, a través de

lo propuesto en (Vasarhelyi et al., 2010a), donde se hace una interrelación de los

conceptos, si se tiene en cuenta que es un ciclo que podría iniciar por la adecuada

Identificación, Monitoreo y Evaluación de Riesgos (CRMA), el cual requiere de un flujo

constante de datos con ciertos criterios de calidad, a través de procesos de aseguramiento

(CDA), que permiten establecer procesos de Monitoreo Continuo del Control (CCM) en

respuesta a los riesgos; y dentro de este ciclo, la Auditoría Continua juega un papel

importante, para garantizar que estos tres componentes cumplan su función y puedan fluir,

para dar respuesta oportuna a los eventos adversos que pueden ocurrir en una

organización.

Figura 10. Principales componentes de la Auditoría Continua

Fuente: Adaptado de (Vasarhelyi et al., 2010a)

4.4. Génesis y evolución de la Auditoría Continua

11

2

De acuerdo con Blundell (2007), la Auditoría Continua (AC) no es un concepto totalmente

nuevo, ni tampoco es un concepto ampliamente implementado en las organizaciones. El

término AC, ha sido explorado en los círculos de auditoría interna desde la década de los

70 (Heffes, 2006), pero fue tratado de manera específica por primera vez en 1975 por

William Sprague, en un artículo titulado “Interim Financial reporting and continuous

auditing” publicado en el CPA Journal (Murcia, 2008); sin embargo, algunos autores

establecen que los primeros trabajos publicados fueron los de Groomer y Murthy en 1989

y los de Vasarhelyi y Halper en 1991(Kogan et al., 2010); aunque es pertinente aclarar que,

el trabajo desarrollado por Groomer y Murthy estuvo más relacionado con módulos

embebidos de auditoría, que con la AC propiamente dicha(Du & Roohani, 2007).

La figura 11 muestra los eventos más destacados en la evolución histórica de la AC,

corroborando de esta manera, que el concepto de AC no es un concepto nuevo, siendo el

profesor Miklos Vasarhelyi uno de los pioneros de la AC y de los autores más prolíficos en

la materia, llegando incluso a ser reconocido como el padre de la AC (Krell, 2004). Es

además quien dirige actualmente el Laboratorio de Aseguramiento y Reporte Continuo en

la Universidad de Rutgers, en Newark New Jersey.

Figura 11. Eventos destacados de la Auditoría Continua

Fuente: Tomado de (Valencia Duque, 2012d)

113

4.5. Nivel de adopción de la Auditoría Continua a nivel internacional

Son diversos los estudios que se han llevado a cabo en los últimos años, con el fin de

establecer el nivel de adopción de la Auditoría Continua por parte de la comunidad de

Auditores, generando incluso en algunos casos, estadísticas contradictorias que no

permiten establecer de manera clara, su nivel de adopción por parte de las organizaciones.

El resumen de estos estudios se puede observar en la Figura 12.

Figura 12. Algunos de los estudios del nivel de avance de la Auditoría Continua

Fuente: (Valencia Duque, 2012d)

De acuerdo con una encuesta a 858 ejecutivos de auditoría de todo el mundo, realizada

por la firma ACL en el año 2006, el 36% aplican la auditoría continua en uno o varios

procesos de la empresa, el 38% planea implementarla en un futuro, el 20% no la utiliza,

ni planea implementarla y el restante 6% no sabe o no responde (ACL, 2006).

11

4

En el año 2007, Ernst & Young en su encuesta de Auditoría Interna a nivel global, logró

establecer que el 44% de los encuestados, utilizan alguna forma de auditoría continua

(Ernst & Young, 2007).

En el 2008, KPMG y el Instituto de Auditores internos de España, llevo a cabo el III estudio

sobre la situación de auditoría interna en España, involucrando 121 empresas y arrojando

entre otros resultados, que el 42% de los encuestados utilizan alguna forma de Auditoría

Continua, mientras que el 58% no la utilizan (KPMG & IIA, 2008). Por su parte en el mismo

año, Ernst & Young desarrollo su encuesta de auditoría interna a nivel global, arrojando

igual porcentaje de empresas que utilizan la Auditoría Continua (Ernst & Young, 2008).

Sin embargo, muchos de estos estudios no contemplan ningún país de América Latina, lo

que evidencia su casi nula aplicación en este parte del continente.

De acuerdo con los resultados del IT Audit Benchmarking Study, desarrollado en el 2009

por la Fundación para la Investigación del Instituto de Auditores Internos (IIARF); el

software de auditoría continua aún no es muy popular (IIARF, 2009), conclusión originada

a partir de las estadísticas arrojadas por el estudio, en donde se establece que tan solo el

25% de los encuestados, utiliza algún tipo de software de auditoría continua, frente a un

59,8% que no utiliza ningún tipo de software y a un 15,2%, quienes manifiestan que este

tipo de software es “no aplicable” en su trabajo. Sin embargo, el estudio aplicado a 138

ejecutivos de auditoría, en su mayoría de Estados Unidos, logra establecer algunos de los

productos utilizados por las compañías, como soporte de los procesos de auditoría

continua, entre los que se encuentran ACL, Excel, IDEA, Oracle ApexDatabase,

PeopleSoft, Software propietario de extracción de datos y ShowcaseQuery.

La encuesta mundial de Auditoría interna, desarrollada por la Fundación para la

Investigación del IIA (IIARF) en el año 2010, considera a la Auditoría Continua como una

de las técnicas y herramientas de auditoría más usadas en Latinoamérica y la tercera que

más se usará, en los próximos cinco años en las organizaciones a nivel mundial.

Por su parte Gartner, a través de Caldwell & Proctor(2010b), en su informe identificado con

el código G00174594, del cuadrante mágico de soluciones para el monitoreo continuo del

115

control (Magic Quadrant for Continuous Controls Monitoring) publicado en marzo del 2010;

establece el mercado de las soluciones tecnológicas de monitoreo continuo (incluyendo

dos tipos de soluciones, Auditoría continua y monitoreo continuo), como un mercado

relativamente pequeño e inmaduro.

4.6. Nivel de adopción de la Auditoría Continua en Colombia

La revisión Bibliográfica realizada para el presente proyecto, permite establecer que no

existen estudios en la literatura académica, que permitan determinar el nivel de adopción

de los conceptos de auditoría continua en el sector público y/o privado colombiano. En tal

sentido, y como parte de la investigación cualitativa, se ha acudido a la investigación

acción, como método de indagación del estado actual de la Auditoría Continua en el sector

público Colombiano; para ello, el investigador y como parte del presente proyecto, ha

participado en diferentes eventos e interactuado con diferentes actores representativos del

Control Fiscal Colombiano, entre los cuales se destacan: contralores, auditores

gubernamentales, jefes de sistemas de las contralorías, asesores del proyecto control en

línea, por parte tanto de la Auditoría General de la República, como del Ministerio de

Tecnologías de Información, con el equipo responsable de desarrollar el proyecto control

en línea en el país y con la comunidad de auditores internos y auditores de sistemas de

Colombia y Latinoamérica, al igual que con algunos jefes de control interno. La interacción

previamente descrita se ha llevado a cabo a través de los siguientes eventos:

Tabla 16. Eventos de interacción con la comunidad académica y profesional del control y auditoría en Colombia.

EVENTO/INTERACCIÓN

(ORGANIZADOR)

CIUDAD Y FECHAS COMUNIDAD TIPO

PARTICIPACIÒN

Primer Encuentro Regional

de Contralores

Territoriales (Contraloría

de Manizales e Ibagué)

Ibagué

01-03-2012 al 03-

03-2012

Contralores

Jefes de Sistemas

de las Contralorías

Conferencista

(Valencia

Duque, 2012f)

9th CONTECSI y 25th

World Continuous Auditing

and Reporting Systems

Sao Paulo (Brasil)

31-05-2012

Investigadores de

Gobierno, Gestión,

Control de TI y

Conferencista

(Valencia

Duque, 2012e)

11

6

Symposium. (Universidad

de Sao Paulo y

Universidad de Rutgers)

Auditoría Continua

de Latinoamérica.

Congreso

Latinoamericano de

Auditores Internos

(Federación

Latinoamericana de

Auditores)

Asunción

(Paraguay)

Auditores Internos

Latinoamericanos

del sector público y

privado

Conferencista

(Valencia

Duque, 2012d)

VII Jornada Académica de

ISACA (ISACA Colombia)

Bogotá

15-08-2012

Auditores de

Sistemas de

Colombia

Conferencista

(Valencia

Duque, 2012c)

LATINCACS 2013 (ISACA

Internacional)

Medellín

28-09-2013 al 01-

10-2013

Auditores de

Sistemas

Latinoamericanos

del sector público y

privado.

Conferencista

(Valencia

Duque, 2013b)

Seminarios de

sensibilización de

Corporación en línea y

Control en línea, en el

marco del programa

Gobierno en línea.

(Ministerio de Tecnologías

de Información y

Comunicaciones/Auditoría

General de la República)

Bogotá. 15-11-

2012

Cartagena

30-11-2012

Cali. 12-12-2012

Contralores y

Funcionarios de las

Contralorías de

todo el país.

Conferencista

(Valencia

Duque, 2012b)

Charla de presentación del

uso de las TIC en la

Auditoría

Bogotá Responsables de la

implementación del

Proyecto Control

en línea.

Conferencista

(Ministerio de

Tecnologias de

la Información y

las

117

Comunicaciones

et al., 2012c,16;

Ministerio de

Tecnologias de

la Informaciòn y

las

Comunicaciones

, Auditoría

General de la

República,

Consorcio S&M,

& UT Software

Works,

2012b,56)

Seminario de prevención y

detección de fraude en las

entidades Públicas.

(Alcaldía de Medellín)

Medellín

(21-06-2013)

Jefes de Control

Interno de

Antioquia

Conferencista

(Valencia

Duque, 2013c)

Seminarios de

Fortalecimiento del

Autocontrol en la

Universidad Nacional de

Colombia

Bogotá

(03-12-2013)

Personal de

Control Interno y

Funcionarios de la

Universidad

Nacional de

Colombia en sus

diferentes sedes.

Conferencista

(Valencia

Duque, 2013a)

Comités de Dirección de la

Contraloría General del

Municipio de Manizales.

Manizales

(diversas fechas)

Directivos de la

Contraloría

General del

Municipio de

Manizales

Experto Invitado

Fuente: Elaboración Propia

11

8

De forma complementaria y como instrumento de medición, para validar el nivel de

adopción y avance de la Auditoría Continua en el país, se organizaron dos eventos

académicos, uno de índole nacional y otro de índole internacional, cuyo objetivo era

conocer el nivel de avance del Control en Línea y la Auditoría Continua en el país.

Tabla 17. Eventos académicos producto del proyecto de Investigación

EVENTO LUGARES Y FECHAS ORGANIZADORES

Primer Encuentro Nacional

de Control en línea y

Auditoría Continua.

Manizales. 19 y 20 de Abril

2012


Colombia (Sede Manizales)

– Contraloría General del

Municipio de Manizales

Segundo Encuentro

Nacional y primero

Internacional de Control en

línea y Auditoría Continua.

Manizales. Mayo 2013 Universidad Nacional de

Colombia (Sede Manizales)

– Contraloría General del

Municipio de Manizales;

con el apoyo de la Auditoría

General de la República y el

Ministerio de Tecnologías

de Información y

Comunicaciones.


Como conclusión del nivel de adopción de la auditoría continua, se puede afirmar que

“Colombia al menos en el sector público, aún no ha involucrado el concepto de Auditoría

Continua dentro de su quehacer auditor” (Valencia Duque, 2012c,p.36) y particularmente

en el Control Fiscal Colombiano, “En general, aún existe poco conocimiento de la Auditoría

Continua en el Control Fiscal Colombiano y el énfasis de uso de las TIC, está en la

automatización de algunos procesos que hacen parte del proceso Auditor”(Valencia

Duque, 2013,p.26; Valencia Duque, 2012c,p.34; Valencia Duque, 2012d,p.23), y,

Si bien las contralorías del país cuentan con herramientas tecnológicas para

soportar sus procesos de control fiscal y a su vez, la Auditoría General de la

Nación y la Contraloría General de la Nación , se encuentran realizando esfuerzos

para incorporar nuevas herramientas tecnológicas para apoyar la labor del control

119

fiscal, estas han sido pensadas para realizar una auditoría con el computador, y no

una auditoría a través del computador. (Valencia Duque, 2012b,p.29).

Lo anterior es corroborado por la tipología de sistemas de información con que cuentan las

entidades de control, que fueron presentados en el capítulo anterior; aunque son el objetivo

y los resultados, que hasta la fecha ha arrojado el proyecto de Control en línea, los que

ratifican el nivel de avance de la Auditoría Continua en Colombia, dado que este proyecto

actualmente se encuentra en la fase de diseño y desarrollo y que, se podría resumir en

una estructura técnica que permite la construcción de una plataforma tecnológica, donde

se integran las mejores prácticas que contienen algunos de los sistemas de información

que son usados en las diferentes Contralorías del país, para soportar sus principales

procesos. A partir de estos resultados preliminares, se puede concluir que el desarrollo

del uso de las Tecnologías de Información y Comunicaciones en el Control Fiscal

Colombiano, apunta a la integración de sistemas de información, lo cual es una evolución

al esquema existente hoy en día, ratificando lo planteado anteriormente, en relación a que

el Control Fiscal Colombiano se encuentra en la fase de “Auditoría con el computador”, y

aún no ha trascendido hacia la auditoría a través del computador, que es en esencia lo que

pretende el presente proyecto.

4.7. Estándares, guías y documentos de orientación

Como se ha mencionado en párrafos anteriores, la comunidad de profesionales de

contaduría y auditoría a nivel internacional, ha promulgado diferentes estándares, guías y

documentos de orientación alrededor de la Auditoría Continua. Dentro de estos,

mencionaremos a cuatro de las principales entidades a nivel internacional, que agrupan la

mayor cantidad de profesionales relacionados con la contaduría y auditoría, sin querer

decir con ello, que otras entidades no han promulgado documentos alrededor de la

temática, entre ellas las denominadas big 4 (KPMG, Deloitte, PriceWaterhouseCoopers y

Ernst &Young) y las compañías de software que han desarrollado soluciones tecnológicas,

para soportar los procesos de auditoría y monitoreo continuo en las organizaciones.

12

0

El Instituto Americano de Contadores Públicos Certificados (The American Institute of

Certified Public Accountants (AICPA)) y el Instituto Canadiense de Contadores Públicos

(The Canadian Institute of Chartered Accountants (CICA), fueron las primeras

agremiaciones que publicaron un documento, dando orientación a la comunidad de

contadores acerca de la Auditoría Continua, además de ser el principal referente de los

investigadores para establecer el concepto inicial de Auditoría Continua.

El Instituto de Auditores Internos (IIA), en 1995 y como parte de sus guías de Auditoría de

Tecnología, difundió la guía número 3, denominada “Continuous Auditing: Implications for

Assurance, Monitoring, and Risk Asessment” a través de la cual se identifica, qué se debe

hacer para lograr un uso eficaz de la tecnología a favor de la Auditoría Continua y destaca

las áreas que requieren especial atención. Esta guía se encuentra actualmente en proceso

de actualización y está disponible para los profesionales de auditoría afiliados al IIA.

La Asociación de Control y Auditoría de Sistemas de Información (ISACA), liberó en el año

2010 como parte de sus guías de Auditoría, la guía 42 denominada “Continuous

Assurance”, a través de la cual se pretende dar orientaciones a los profesionales en

auditoría, control y gobierno de tecnologías de información; alrededor de la planeación,

implementación y monitoreo de los procesos y sistemas de aseguramiento continuo en una

empresa. Es importante recordar que ISACA promulga tres tipos de documentos que

orientan la función del auditor de sistemas: los estándares, los cuales son obligatorios en

el cumplimiento de la función de auditoría de sistemas (en especial para el auditor que

cuenta con la certificación internacional CISA); las guías o directrices, las cuales

proporcionan asesoría y apoyo en la aplicación de los estándares de auditoría de sistemas;

y los Procedimientos, que proporcionan ejemplos de procedimientos que puede seguir un

auditor de sistemas para cumplir con los estándares.

El Instituto de Contadores Públicos de Australia (The Institute of Chartered Accountants in

Australia) liberó en Julio de 2010, un documento titulado “Continuous Assurance for the

Now Economy” cuyo objetivo, como lo plantea en su prólogo, es promover la discusión

sobre el aseguramiento continuo como un concepto, y en donde no solo las profesiones

de contador y auditor se encuentran involucradas, sino también, otras instancias tales

121

como los organismos de normalización, los reguladores, los usuarios gubernamentales y

demás stakeholders relacionados con este concepto.

El Instituto de Auditores Internos de España, en Octubre de 2014 dio a conocer a través

de su programa “La Fábrica del Pensamiento”, un documento titulado “Guía para Implantar

con éxito un modelo de Auditoría Continua” donde se presenta a la comunidad de

auditores, un esquema de implementación del modelo de Auditoría continua de acuerdo a

la cultura de cada entidad.

4.8. La Auditoría Continua. Un nuevo paradigma de la auditoría

A partir de los planteamientos presentados previamente, se puede observar que diversos

autores han planteado la existencia de un nuevo paradigma de auditoría, donde destacan

características similares que afectan estructuralmente, la forma como se aplican hoy los

conceptos de auditoría en las organizaciones, y que apuntan hacia la Auditoría Continua

como un nueva forma de abordar conceptual y metodológicamente la función de auditoría,

en un contexto cada vez más influenciado por las Tecnologías de Información y

Comunicaciones.

La Auditoría continua modifica el paradigma de la auditoría, dejando de ser una mera

revisión de ejemplos de transacciones, para transformarse en procedimientos continuos

de auditoría que evalúen el 100% de las transacciones, transformando la naturaleza de las

pruebas, el momento en que se las lleva a cabo, los procedimientos y el nivel de esfuerzo

(ACL, 2005).

En Baksa & Turoff (2010) se afirma que: La Auditoría Continua tiene el potencial de

transformar el paradigma de la auditoría existente, de una revisión periódica de unas

cuantas transacciones a una revisión continua de todas las transacciones; por su parte

Thornton(2011) establece que, la Auditoría Continua cambia el paradigma de la auditoría,

desde una revisión periódica de una muestra de transacciones, a una auditoría permanente

de todas las transacciones; González Tallón(2011) complementa afirmando que, la

Auditoría Continua modificaría el paradigma de la auditoría, lo que incluiría la naturaleza

12

2

de las pruebas, el momento en que se las lleva a cabo, los procedimientos y el nivel de

esfuerzo.

La entidad que agrupa a la mayor cantidad de auditores a nivel mundial a través de su guía

de Auditoría número 3, establece que: La Auditoría Continua cambia el paradigma de

auditoría: se dejan de lado las revisiones periódicas de una muestra de transacciones, para

dar lugar a pruebas de Auditoría permanentes de la totalidad de las transacciones (IIA,

2005b).

Para tratar de entender el porqué de ésta consideración, al margen de una discusión

científica de lo que históricamente ha significado el término paradigma y las características

necesarias para ser consideradas como tal, a continuación se presentan algunos paralelos

entre la Auditoría Tradicional y la Auditoría Continua, a partir de sus variables más

significativas.

En la siguiente tabla, se plantea un paralelo entre la Auditoría Tradicional y la Auditoría

Continua, desde 7 dimensiones.

Tabla 18. Paralelo entre la Auditoría Tradicional y la Auditoría Continua.

AUDITORÍA

TRADICIONAL CONTINUA

1. FRECUENCIA

Periódica Continua ó más frecuente

2. ENFOQUE

Reactivo Proactivo

3. PROCEDIMIENTOS DE AUDITORÍA

Manuales Automatizados

4. TRABAJO Y ROL DE LOS AUDITORES

La mayor parte del trabajo desarrollado

está centrado y es intensivo en los

procedimientos de auditoría

La mayor parte del trabajo realizado se centra

en el manejo de excepciones y procedimientos

de auditoría que requieren el juicio humano

Roles independientes del auditor

interno y del auditor externo

El papel del auditor externo se convierte en el

certificador del Sistema de Auditoría Continua

123

5. NATURALEZA, OPORTUNIDAD Y ALCANCE

5.1. NATURALEZA

Las pruebas consisten en

procedimientos de revisión analíticos y

pruebas detalladas sustantivas

Las pruebas consisten en monitoreo de

controles continuo y aseguramiento de datos

continuo

5.2. OPORTUNIDAD

Las pruebas de controles y las pruebas

detalladas se producen de forma

independiente

El monitoreo de los controles y las pruebas

detalladas ocurren simultáneamente

5.3. ALCANCE

Muestreo en las pruebas La población entera se considera en las

pruebas

6. PRUEBAS

Pruebas desarrolladas por las personas

El modelado de datos y el análisis de datos son

usados para monitorear y probar

7. INFORMES

Periódicos Continuos o muy frecuentes

Fuente: (Chan & Vasarhelyi, 2011)

McNamee en su texto “Risk Management: Changing the Internal Auditor´s Paradigm”

editado por el IIA Research Foundation, referenciado por Texeira (2009), plantea dos

paradigmas de auditoría, llamadas simplemente viejo y nuevo paradigma; caracterizando

en este último, aspectos de la Auditoría Continua, como se puede observar en la siguiente

tabla.

Tabla 19. Paralelo de dos paradigmas de la Auditoría Continua

ASPECTO DE

AUDITORÍA

VIEJO PARADIGMA NUEVO PARADIGMA

Foco de la Auditoría

Interna

Control Interno Riesgos de negocio

Respuesta de la auditoría

Interna

Reactiva, después de los hechos,

discontinua, observadora de las

iniciativas del plan estratégico

Proactiva, en tiempo

real, monitoreo

continuo, participante

12

4

en los planes

estratégicos

Evaluación de riesgos Factores de riesgo Planeamiento de

escenarios

Pruebas de auditoría Controles importantes Riesgos importantes

Métodos de auditoría Énfasis en las pruebas de control

detalladas y completas

Énfasis en la

importancia y el

alcance de que los

riesgos del negocio

estén cubiertos

Recomendaciones de

auditoría

Control Interno: Fortalecimiento,

Costo/Beneficio,

Eficiencia/Eficacia

Gestión de Riesgos:

Evitar/diversificar el

riesgo

Compartir/Transferir el

riesgo

Controlar/Aceptar el

riesgo

Informes de auditoría Dirigida a los controles funcionales Dirigida a los riesgos

de los procesos.

Papel del auditor interno

en la organización

Función de evaluación

Independiente.

Integración de la

gestión de riesgos en el

gobierno de la

organización

Fuente: (Texeira, 2009)

Por último, Chan & Vasarhelyi (2011) plantean tres componentes estructurales, en el

análisis de la Auditoría Continua frente a la tradicional: la naturaleza, el tiempo y la

extensión de las pruebas. Con respecto a la naturaleza, los autores plantean que, en una

auditoría tradicional, el control es manual y las pruebas sustantivas detalladas son

desarrolladas periódicamente, para evaluar las afirmaciones de la administración. Por el

contrario en la Auditoría Continua, el monitoreo del control es continuo y automatizado y

se requiere un aseguramiento continuo de los datos. En lo que respecta al tiempo,

generalmente en la Auditoría Tradicional las pruebas de control interno ocurren en la

125

planeación y las pruebas sustantivas detalladas ocurren en la fase de trabajo de campo de

la auditoría. Por el contrario, el monitoreo de los controles internos y las pruebas de los

datos de las transacciones, ocurren simultáneamente en un ambiente de auditoría

continua. En lo atinente a la extensión de las pruebas, en una Auditoría Tradicional, se usa

el muestreo, debido a lo intensivo en tiempo y mano de obra que requieren las pruebas;

en contraste, una auditoria continua considera a toda la población de transacciones en el

monitoreo y las pruebas.

12

6

5. Taxonomía y armonización de modelos de


La revisión bibliográfica a partir de fuentes académicas y profesionales, ha permitido

determinar lo que inicialmente llamaremos esquemas de auditoría, para referirnos de forma

genérica a los modelos, metodologías, guías y casos que han surgido desde 1989, fecha

en la cual surge el primer modelo de Auditoría Continua.

Estos esquemas se encuentran distribuidos en diferentes sectores y con diversas

perspectivas, proponiendo formas alternas de llevar a cabo la Auditoría Continua, aunque

en muchos casos confluyen hacia una serie de fases, que serán develadas a partir del

análisis estructural de cada uno de los esquemas objeto de análisis.

No obstante lo anterior, es necesario como punto de partida, presentar las bases técnicas

sobre las cuales se desarrollan la mayoría de estos esquemas, en lo que se ha

denominado técnicas de auditoría concurrentes. Estas técnicas son prerrequisitos para

adoptar la Auditoría Continua (Debreceny et al., 2005), de allí la importancia de

presentarlas de manera inicial.

5.1. Técnicas de auditoría concurrentes

Como se ha mencionado previamente, las técnicas de auditoría asistidas por computador

han sido clasificadas por diversos autores en tres categorías: Técnicas de auditoría

alrededor del computador, técnicas de auditoría con el computador y técnicas de auditoría

a través del computador. Dentro de estas últimas, se encuentran las técnicas asociadas a

la Auditoría Continua, también denominadas técnicas de auditoría concurrente ó técnicas

de auditoría en línea, debido a que actúan a la par con el procesamiento de la aplicación

organizacional que está siendo intervenida.

127

De acuerdo con ISACA(2012), existen cinco (5) tipos de técnicas de auditoría en línea:

- Archivo de revisión de auditoría de control de sistemas y módulos de

auditoría integrados (SCARF/EAM): Esta técnica implica desarrollar líneas de

código de auditoría, para integrarlo en el sistema de la organización, de modo que

los sistemas de aplicación sean monitoreados de manera selectiva.

- Snapshots: Esta técnica conlleva lo que podría denominarse la toma de fotografías

de la ruta de procesamiento, que sigue una transacción desde la etapa de ingreso

de datos hasta la obtención de la salida. Con el uso de esta técnica, las

transacciones son marcadas aplicando identificadores a los datos entrantes y se

registra la información seleccionada sobre lo que ocurre, para que el auditor la

revise posteriormente.

- Ganchos de auditoría (Audit Hooks): Esta técnica implica integrar ganchos en

los sistemas de aplicación, para que funcionen como banderas rojas e inducir a los

auditores a que actúen, antes que un error o irregularidad se salga de control.

- Instalación de prueba integrada (ITF): En esta técnica, se establecen entidades

ficticias y se incluyen en archivos de producción de un auditado. El auditor puede

hacer que el sistema procese o bien sean transacciones reales o transacciones de

prueba durante la ejecución de procesamiento regular y haga que estas

transacciones actualicen los registros de las entidades ficticias. El auditor luego

compara el resultado con los datos que han sido calculados de manera

independiente, para verificar el correcto procesamiento de los datos.

- Simulación continua e intermitente (CIS): Durante la corrida de un proceso de

una transacción, el sistema informático simula la ejecución de instrucciones de la

aplicación. A medida que cada transacción es ingresada, el simulador decide si la

transacción reúne ciertos criterios predeterminados y si es así, audita la

transacción. De lo contrario, el simulador espera hasta que encuentra la próxima

transacción que cumple con los criterios.

12

8

5.2. Esquemas de Auditoría Continua a nivel internacional

Existen diferentes esquemas para llevar a cabo una auditoría continua, los cuales han sido

recopilados y clasificados como parte de este estudio, a fin de determinar las principales

fases planteadas por la comunidad académica y profesional de la auditoría.

A partir de una extensa revisión bibliográfica, se han logrado identificar aproximadamente

30 esquemas que serán objeto de estudio, para caracterizar un proceso de auditoría

continua que permita sentar las bases para la propuesta de un modelo, que dentro del

contexto del Control Fiscal Colombiano, aporte al desarrollo de la Auditoria Gubernamental

Colombiana.

El primer modelo conocido de Auditoría Continua, fue desarrollado por Groomer & Murthy

en 1989, y a partir de allí y hasta la fecha, han surgido esquemas que permiten reflejar la

evolución de la Auditoría Continua a nivel internacional, como se puede observar en la

figura 13.

129

Figura 13. Modelos de Auditoría Continua a través del tiempo


En la siguiente tabla, se podrán observar los autores que han desarrollado y promovido los

diferentes modelos, que servirán de base para la elaboración de una taxonomía.

Tabla 20. Esquemas, modelos, metodologías y casos de Auditoría Continua.

NRO. AÑO ESQUEMAS REFERENCIA

1 1989 Modelo de Groomer & Murthy. (Groomer & Murthy, 1989)

2 1991 Continuous Process Audit Methodology (CPAM). AT & T

(Vasarhelyi & Halper, 1991), (Du & Roohani, 2007)

3 2001 Continuous Audit: Model Development and Implementation within a debt covenant compliance domain. (Modelo Woodroof)

(Woodroof & Searcy, 2001), (Searcy & Woodroof, 2003), (Blundell, 2007), (Ye & Li, 2010), (Aboa, 2014)

4 2002 Modelo Rezaee (Rezaee, Sharbatoghlie, Elam, & McMickle, 2002), (Rezaee et al.,

13

0

2004),(Blundell, 2007), (Ye & Li, 2010),(Abdolmohammadi & Sharbatoghlie, 2005),(Aboa, 2014)

5 2002 Oficina de Auditoria Nacional de China. (Wenming, 2007)

6 2003 Model for secure continuous auditing (Modelo Onions)

(Onions, 2003),(Blundell, 2007), (Ye & Li, 2010), (Aboa, 2014)

7 2004 Hospital Corporation of America (HCA) (Kevin, 2004),(Alles, Tostes, et al., 2006),(Chan & Vasarhelyi, 2011)

8 2004 A continuous auditing web services model for XML-based accounting systems

(Murthy & Groomer, 2004)

9 2005 Caso de Implementación en la Policía Montada Real de Canadá (RCMP)

(Baksa & Turoff, 2010), (IIA, 2005b)

10 2005 Modelo de Auditoría Continua del Instituto de Auditores Internos.

(IIA, 2005b)

11 2005 Model for transaction-based continuous auditing

(Abdolmohammadi & Sharbatoghlie, 2005); (Sharbatoghlie & Sepehri, n.d.)

12 2005 Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality

(Debreceny et al., 2005)

13 2006 Continuous Monitoring of Business Process Controls (CMBPC) (Caso SIEMENS)

(Alles, Brennan, Kogan, & Vasarhelyi, 2006),(Alles et al., 2008)

14 2007 Agent-based Continuous Audit Model (ABCAM)

(Chou, Du, & Lai, 2007), (Ye & Li, 2010)

15 2007 A Theoretical and Technical Model of an External Continuous Auditing System

(Lee & Chou, 2007)

16 2007 Continuous Auditing from a practical perspective

(Handscombe, 2007)

17 2007 Continuous Auditing Model in the context of independent audits

(Du & Roohani, 2007)

18 2008 On application of SOA to Continuous Auditing

(Ye, Chen, & Gao, 2008)

19 2008 The Web-service-based Continuous Auditing Model (WSCAM)

(Ye, He, & Xiang, 2008)

20 2008 Modelo Audit Server, de la Empresa Provincial de Energía de Córdoba (Argentina)

(Castello, Morales, & Wolfmann, 2008)

21 2010 Continuous Assurance – Guía 42 de ISACA

(ISACA, 2010a)

22 2010 Continuous Auditing Immune Model based on Object-oriented Rule Base (CAIMOR)

(Ye & Li, 2010)

131

23 2010 Caso UNIBANCO (Brasil) (C. E. De Aquino, Lopes da Silva, Sigolo, & Vasarhelyi, 2010)

24 2010 Auditoría Continua: mejores prácticas y caso real

(Jolly & Alcarraz, 2010)

25 2010 Modelo de Auditoría Continua propuesto por el Instituto de Contadores Públicos de Australia

(Vasarhelyi et al., 2010a)

26 2010 Modelo CRCA (Continuous Risk and Control Assurance)

(Marks, 2010)

27 2011 Innovation and Practice of Continuous Auditing

(Chan & Vasarhelyi, 2011)

28 2011 Metodologia Mainardi (Mainardi, 2011)

29 2013 The Predictive Audit Framework (Kuenkaikaew & Vasarhelyi, 2013), (Kuenkaikaew, 2013)

30 2014 Guía para implantar con éxito un modelo de Auditoría Continua

(Instituto de Auditores Internos de España, 2014)

Fuente: Información compilada por el autor.

Como se puede observar, el 2010 fue el año en el que se publicaron la mayor cantidad de

esquemas de auditoría.

5.3. Taxonomía de modelos de Auditoría Continua

Para llevar a cabo la taxonomía de modelos, se tomó como base el método MECT (Método

para la Construcción de una Taxonomía) planteado por Gasca & Manrique (2011), quienes

establecen 5 etapas para su realización:

- Planificación del contexto, de la audiencia y del contenido

- Delimitación del área de conocimiento

- Definición de categorías que representan el área de conocimiento

- Establecimiento de la relación entre las categorías

- Establecimiento del esquema y la estructura de las categorías

Como producto de este proceso se han establecido tres categorías y 8 tipologías, estas

últimas con algunas subdivisiones, como se puede observar en la figura 14.

Al analizar la distribución porcentual de los 30 modelos de Auditoría Continua (objeto de

análisis) tal como se puede observar en la tabla 21, se podría establecer como

13

2

caracterización general de los modelos de auditoría continua existentes, de los cuales

aproximadamente el 70% son teóricos (incluyendo las guías), por lo general formulados

para ambos tipos de auditorías; y en aquellos modelos donde se establecen propuestas

técnicas, un gran porcentaje se encuentran orientados a la técnica MCL (Monitor Control

Layer).

Tabla 21. Distribución porcentual de la taxonomía de modelos de Auditoría Continua

CATEGORÍA TIPOLOGÍA % SUBDIVISIÓN %

ORIGEN

APLICADO 30%

PÚBLICO 10%

PRIVADO 13%

S.D.* 7%

TEÓRICOS 57%

GUÍAS 13%

ORIENTACIÓN

METODOLOGÍA 47%

TÉCNICA 53% EAM 17%

MCL 36%

TIPO DE AUDITORÍA

INTERNA 27%

EXTERNA 13%

AMBAS 60%

*S.D.:Sin Determinar Fuente: Elaboración propia.

133

Figura 14. Categorías Taxonómicas de Auditoría Continua


A continuación se presentan cada una de estas categorías, con sus respectivas tipologías.

5.3.1. De acuerdo a su origen

13

4

Esta clasificación parte de la necesidad de establecer la génesis de los esquemas y la

forma como surgieron, lo que ha permitido establecer a su vez tres categorías: Aquellos

que surgen a partir su aplicación en un contexto organizacional en particular (aplicados);

aquellos que surgen por organismos que proponen esquemas para el desarrollo de la

Auditoría Continua y que divulgan a sus afiliados, denominados tradicionalmente guías y

aquellos que surgen a partir de propuestas teóricas, generalmente basados en la revisión

de la literatura existente (Teóricos), siendo estos últimos los que representan la mayor

proporción de modelos desarrollados (con un 57%) como se puede apreciar en la figura

15.

Figura 15. Modelos de auditoría de acuerdo a su origen.

Fuente: Elaboración Propia.

5.3.1.1. Esquemas aplicados

Estos esquemas han sido fruto de la implementación en un ambiente específico, por

profesionales que los han desarrollado o han participado en su implementación, y han sido

divulgados a la comunidad académica a través de artículos ó eventos científicos o

profesionales.

Aplicados30%

Modelos Guìa13%

Teòricos57%

135

La principal característica de este tipo de esquemas, es el planteamiento de aspectos

técnicos ó tecnologías específicas aplicadas, en la solución de problemáticas de auditoría

o monitoreo de procesos organizacionales.

Dentro de los más difundidos en la literatura académica y profesional se han encontrado

nueve (9) casos, llevados a cabo en diferentes épocas, entidades y sectores, como se

pueden observar en la siguiente tabla.

Tabla 22. Modelos Aplicados de Auditoría Continua difundidos en la Literatura Académica y Profesional.

PROCESO EMPRESA MODELO SECTOR

Medición y Análisis

del proceso de

facturación

AT & T CPAM –The

Continuous

Process Auditing

System

Privado

Convenios de pago

de deudas en un

banco

Sector Bancario Continuous audit

Model

development and

implementation

within a debt

covenant

compliance

domain (Modelo

Woodroof)

S.D.

Monitoreo Continuo

de Recursos

Humanos, nómina,

proveedores y

cuentas por pagar

Hospital Corporation

of America (HCA)

Hospital

corporation of

America (HCA).

Privado

Cuentas por cobrar Policía Montada Real

de Canadá (RCMP)

Policía Montada

Real de Canadá

Público

Procesos genéricos Diferentes ERP’s Embedded Audit

Modules in

Enterprise

S.D.

13

6

Resource Planning

Systems:

Implementation

and Functionality

Auditoría a módulos

de SAP

SIEMENS

Corporation

CMBPC –

Continuous

Monitoring of

Business Process

Controls

Privado

Construcción de un

sistema de

información de

Auditoría

gubernamental para

promover un nuevo

modelo de Auditoría

Oficina de Auditoría

Nacional de China

Auditoría continua

online en el sector

gobierno Chino

Público

Sistema de nómina Empresa Provincial

de Energía de

Córdoba (Argentina)

Modelo Audit

Server.

Público

Procesos Bancarios UNIBANCO

(BRASIL)

Six Steps to an

Effective

Continuous Audit

Process

Privado

S.D.: Sin Determinar.


A su vez, esta tipología de modelos presenta una subdivisión en relación con el sector

donde se aplica, en respuesta a la necesidad de identificar aquellos esquemas que han

sido formulados y/o aplicados, tanto para el sector público, como privado y poder desde el

punto de vista metodológico establecer si existen características diferenciales en su

aplicación, dada la orientación del presente proyecto.

137

Para efectos de esta clasificación, se identificaron proyectos aplicados donde se logró

identificar explícitamente la organización en la cual se aplicó, ello debido a que existen

algunos esquemas que a pesar de ser considerados teóricos, han sido aplicados en alguna

organización, pero no se específica en cual entidad, como para llegar a categorizarlos

como públicos o privados.

Acorde a lo anterior, la base de los esquemas que serán objeto de análisis, corresponden

a 7 de los 9 los esquemas que fueron categorizados como aplicados en la clasificación

anterior, teniendo en cuenta el conocimiento del tipo de organización donde fueron

aplicados, de los cuales tres (3) corresponden a organizaciones públicas y los cuatro (4)

restantes a organizaciones privadas, tal como se puede apreciar en la figura 16.

Figura 16. Esquemas de Auditoría Continua de acuerdo al sector donde se aplican


5.3.1.2. Esquemas Teóricos de Auditoría Continua

Dentro de los diferentes esquemas difundidos en la literatura académica y profesional, los

teóricos son los que representan una mayor proporción, con un total de 17 sobre 30.

N.A77%

PRIVADO13%

PÙBLICO10%

13

8

Los modelos teóricos en algunos casos podrían ser categorizados como aplicados, pero

dado que tan solo se presenta la metodología seguida y no la organización, ni el contexto

específico en el cual se desarrolló, se clasifican en el rango de los teóricos.

Tabla 23. Modelos Teóricos de Auditoría Continua.

AÑO ESQUEMAS

1989 Modelo de Groomer & Murthy.

2002 Modelo Rezaee.

2003 Model for secure continuous auditing (Modelo Onions)

2004 A continuous auditing web services model for XML-based accounting systems

2005 Model for transaction-based continuous auditing

2007 Agent-based Continuous Audit Model (ABCAM)

2007 A Theoretical and Technical Model of an External Continuous Auditing System

2007 Continuous Auditing from a practical perspective

2007 Continuous Auditing Model in the context of independent audits

2008 On application of SOA to Continuous Auditing

2008 The Web-service-based Continuous Auditing Model (WSCAM)

2010 Continuous Auditing Immune Model based on Object-oriented Rule Base (CAIMOR)

2010 Auditoría Continua: mejores prácticas y caso real

2010 Modelo CRCA (Continuous Risk and Control Assurance)

2011 Innovation and Practice of Continuous Auditing

2011 Metodologia Mainardi

2013 The Predictive Audit Framework


5.3.1.3. Guías de Auditoría Continua

Tres de las organizaciones más importantes e influyentes en el campo de la contaduría y

auditoría a nivel internacional, han establecido guías y directrices para su comunidad

alrededor de la Auditoría Continua, ellas son: el Instituto de Auditores Internos (IIA), la

Asociación de Control y Auditoría de Sistemas de Información (ISACA) y el Instituto de

Contadores públicos de Australia. A estas tres organizaciones, se le suma, la guía

desarrollada recientemente por el Instituto de Auditores Internos de España.

Tabla 24. Guías de Auditoría Continua establecidas por organismos Internacionales.

139

AÑO GUÌA ENTIDAD

2005 GTAG 3 – Guía de Auditoría de Tecnología

Global sobre Auditoría Continua.

Instituto de Auditores

Internos

2010 Continuous Assurance – Guía 42 de ISACA. ISACA

2010 Continuous Assurance for the now economy Instituto de Contadores

Públicos de Australia

2014 Guía para implantar con éxito un modelo de

auditoría Continua

Instituto de Auditores

Internos de España


Las guías de Auditoría Continua son elementos esenciales para la comunidad profesional

de contadores y auditores, si se tiene en cuenta que, son los instrumentos a través de los

cuales se pone en práctica la Auditoría Continua por parte de la comunidad, que hace parte

de cada uno de estos organismos.

Es importante destacar que, el Instituto de Auditores Internos a nivel internacional publicó

en Junio del 2013, su consejo 2320-4 sobre aseguramiento continuo, donde se establece

la importancia del aseguramiento continuo en los procesos modernos de auditoría,

fortaleciendo la necesidad del uso de estas guías.

5.3.2. De acuerdo a su orientación

El desarrollo de un esquema de auditoría continua, puede estar orientado a ofrecer una

solución técnica ó a definir un esquema metodológico y en algunos casos, puede aportar

ambos enfoques. En este sentido se han clasificado los modelos, teniendo en cuenta su

enfoque exclusivamente hacia lo técnico o hacia lo metodológico, tomando como criterio

para su clasificación el involucramiento de técnicas o tecnologías específicas para su

desarrollo.

El 40% de los esquemas tiene un enfoque eminentemente metodológico y el restante 60%

obedece a una orientación técnica.

14

0

5.3.2.1. Esquemas de Auditoría Continua orientados a lo metodológico

Este tipo de modelos sugieren una serie de fases por desarrollar y en algunos casos,

presentan neutralidad tecnológica, lo que permite luego de su homogeneización,

establecer las fases generales de cualquier esquema.

En la siguiente tabla se listan los esquemas orientados a lo metodológico:

Tabla 25. Modelos de Auditoría Continua orientados a lo metodológico

MODELO ORIENTACIÓN

Innovation and practice of continuous auditing Metodológica

Model for Transaction-based continuous auditing Metodológica

Metodologia Mainardi Metodológica

Caso de Implementación en la Policía Montada Real de Canadá (RCMP). Metodológica

Continuous Assurance for the now economy Metodológica

Modelo Rezaee Metodológica

G42 CONTINUOUS ASSURANCE Metodológica

GTAG 3 – Guía de Auditoría de Tecnología Global sobre Auditoría Continua. Metodológica

Guía para implantar con éxito un modelo de Auditoría Continua Metodológica

Auditoría Continua: Mejores Prácticas y Caso Real Metodológica

Six Steps to an Effective Continuous Audit Process Metodológica

The Predictive Audit Framework Metodológica


5.3.2.2. Esquemas de Auditoría Continua orientados a lo técnico

Dentro de esta tipología de modelos, se encuentran aquellos que por lo general pueden

estar orientados a una tecnología específica, para dar solución a un problema donde se

requiera la Auditoría Continua. Desde este punto de vista existe una variedad de

tecnologías, desde aquellas cuyo foco está orientado a analizar los módulos de Auditoría

Continua con que cuentan las principales ERP’s del mercado, hasta soluciones orientadas

a Web services, XML, SOA y agentes inteligentes, entre otros.

A continuación se listan los esquemas orientados a lo técnico:

Tabla 26. Modelos de Auditoría Continua orientados a lo técnico

141

MODELO TÉCNICA

Modelo de Groomer & Murthy. EAM

AUDIT SERVER MCL

A continuous auditing web services model for XML-based accounting systems

MCL

CPAS –The Continuous Process Auditing System EAM

Continuous Auditing Model in the context of independent audits MCL

Continuous Auditing From a Practical Perspective MCL

Hospital corporation of America (HCA) MCL

Continuous audit Model development and implementation within a debt covenant compliance domain (Modelo Woodroof)

MCL

Model for secure continuous auditing (Modelo Onions) MCL

Auditoría Continua online en el sector gobierno Chino EAM

Modelo CRCA (Continuous Risk and Control Assurance) MCL

A Theoretical and Technical Model of an external Continuous Auditing System

EAM

The Web-service-based Continuous Auditing Model (WSCAM) MCL

CAIMOR – Continuous Auditing Immune Model based on Object-Oriented Rule base

MCL

Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality

EAM

On Application of SOA to Continuous Auditing MCL

ABCAM - System for continuous auditing called the agent-based continuous audit model (ABCAM)

MCL


Para la implementación de la Auditoría Continua desde el punto de vista técnico y tomando

como base las técnicas de auditoría concurrentes expuestas previamente, los modelos de

Auditoría Continua han propuesto dos enfoques: el primero es el de Módulos Embebidos

de Auditoría (Embedded Audit Module –EAM-) y el segundo es el de Capa de Monitoreo y

Control (Monitoring and Control Layer – MCL) (Best, Rikhardsson, & Toleman, 2009;C. Yeh

& Shen, 2010;Vasarhelyi, Alles, & Williams, 2010b;Alles & Vasarhelyi, 2009). A pesar de

ello, ha surgido otro enfoque híbrido, denominado EAM Ghosting, planteado por (Kuhn &

Sutton, 2010).

Los Módulos Embebidos de Auditoría, son subrutinas dentro de un programa de aplicación,

de una entidad que ejecuta procedimientos de control y de auditoría de forma concurrente,

con el procesamiento normal de la aplicación (Ye, He, et al., 2008) y que contemplan la

14

2

instalación de archivos o segmentos de código, dentro de un sistema objeto de control

(Groomer & Murthy, 1989).

La primera herramienta que muchos auditores internos consideraron, al momento de

utilizar la tecnología en un modelo de Auditoría Continua, fue el uso de módulos embebidos

de auditoría (Warren & Ley Parker, 2003). Esta técnica fue propuesta inicialmente en

Groomer & Murthy (1989).

Actualmente, algunos de los sistemas con que cuentan las organizaciones, contemplan

como parte de la solución tecnológica módulos embebidos de Auditoría, a través de los

cuales se pueden realizar parametrizaciones, para llevar a cabo seguimiento a ciertos

campos y/o registros del sistema. Estos módulos tradicionalmente hacen parte de las

principales ERP’s del mercado.

La Capa de Monitoreo y Control, por su parte, es una solución de software independiente

no integrada con el sistema de información, para lo cual se usa middleware con el fin de

extraer datos y realizar análisis, frente a unas reglas previamente definidas (Best et al.,

2009). Este enfoque surgió como una alternativa a EAM, propuesto por una gran cantidad

de modelos.

Este tipo de técnica, es un módulo de software que opera de forma independiente al

sistema objeto de monitoreo y se presenta como uno de los esquemas ideales en procesos

de auditoría externa.

En la tabla 27 se puede observar un paralelo entre ambas técnicas.

Tabla 27. Diferencias entre Técnicas de auditoría EAM y MCL.

CARACTERÍSTICA EAM MCL

Contiene un conjunto de reglas de auditoría predefinidas

Si Si

Localización del conjunto de reglas de auditoría y del programa

Dentro del sistema destino

Por fuera del sistema destino, por fuera de la red del cliente, si es auditor externo; por dentro de la red del cliente, si es auditor interno

143

Requiere de instalación de hardware adicional para su implementación

No Si

Realiza monitoreo en tiempo real Si No

Realiza reportes en tiempo real Si No

Notifica automáticamente al auditor de la violación de reglas

Si Si

Localización del almacenamiento de las reglas que han sido violadas

Base de datos del sistema destino

Base de datos externa al sistema destino; por fuera de la red del cliente, si es auditor externo; dentro de la red del cliente, si es auditor interno.

Propietario de los recursos del sistema

Cliente Firma del cliente, si es auditor interno; firma de Auditoría, si es auditor externo

Fuente: (Kuhn & Sutton, 2010)

Si bien no todos los modelos analizados establecen la técnica utilizada, existen algunos

modelos donde se puede determinar el tipo de técnica utilizada. Es así como en 17

modelos de los 30 analizados, se logró establecer la técnica utilizada, de los cuales, el

17% corresponde a modelos orientados a EAM y el 36% a modelos orientados a MCL.

5.3.3. De acuerdo al tipo de auditoría

Las diferencias existentes entre auditoría interna y externa no son radicales, dado que por

lo general se basan en la misma metodología, utilizan las mismas técnicas y en esencia

cumplen la misma función; sin embargo, su principal diferencia se encuentra en el personal

que la ejerce, en el nivel de independencia y en el acceso a la información.

Dentro de los esquemas de Auditoría Continua propuestos por académicos y

profesionales, tal como se puede observar en la figura 17, el 60% de los modelos no tiene

orientación específica, mientras que el restante 40% obedece a una tipología de auditoría

específica.

14

4

Figura 17. Esquemas de Auditoría Continua por Tipo


Dentro de los esquemas que se orientan específicamente a auditoría interna se encuentran

ocho (8), mientras que los que están orientados de manera específica a la auditoría

externa, tan solo son representados por cuatro (4), como se puede apreciar en la siguiente

tabla.

Tabla 28. Modelos de Auditoría Continua orientados a la auditoría tanto interna como externa.

Modelo de Auditoría Tipo de Auditoría

Auditoría Continua: Mejores Prácticas y Caso Real Interna

CPAS –The Continuous Process Auditing System Interna

Six Steps to an Effective Continuous Audit Process Interna

AUDIT SERVER Interna

CMBPC – Continuous Monitoring of Business Process Controls

Interna

GTAG 3 – Guía de Auditoría de Tecnología Global sobre Auditoría Continua

Interna

Hospital corporation of America (HCA) Interna

Caso de Implementación en la Policía Montada Real de Canadá (RCMP)

Interna

The Web-service-based Continuous Auditing Model (WSCAM)

Externa

INTERNA; 27%

EXTERNA; 13%AMBAS; 60%

145

Continuous Auditing Model in the context of independent audits

Externa

A Theoretical and Technical Model of an external Continuous Auditing System

Externa

Auditoría Continua online en el sector del gobierno Chino Externa


5.4. Armonización de los modelos de Auditoría Continua

Establecer similitudes entre los diferentes esquemas de Auditoría Continua, tiene como

propósito aprovechar la base científica y la experiencia profesional existente hasta el

momento, para construir una especie de metamodelo, producto del análisis de los

elementos comunes encontrados y que sirva de base para la propuesta de un modelo

orientado hacia el objetivo del presente proyecto.

Para ello y partiendo de la necesidad de concebir la Auditoría Continua, como un nuevo

esquema de auditoría y no simplemente como técnicas y herramientas soportadas en

Tecnologías de Información, que hacen parte tan solo de la fase de ejecución de la

auditoría y teniendo en cuenta que, los resultados de un proceso de Auditoría Continua “se

integran al proceso de auditoría en todos sus aspectos, desde el desarrollo y

mantenimiento del plan de auditoría empresarial, hasta la realización y el seguimiento de

auditorías específicas” (Coderre, 2005,p.1); se requiere llevar a cabo un proceso de

armonización de los modelos, a partir de la taxonomía realizada previamente.

En conclusión, la armonización de modelos tiene como objetivo establecer los elementos

comunes de los diferentes modelos propuestos, con el fin de realizar una aproximación a

un modelo, que presente los elementos generalmente implementados de cada uno de los

demás modelos, como punto de partida para su posterior contextualización en el Control

Fiscal Colombiano.

5.4.1. Esquemas de armonización de modelos

El proceso de armonización de modelos no es un proceso nuevo, ya que ha sido aplicado

y estudiado por diferentes autores, quienes han planteado diversos esquemas entre los

que se destacan tres:

14

6

PrIME (Process Improvement in Multimodel Environment), un esquema propuesto por el

SEI (Software Engineering Institute) para la armonización de modelos de calidad de

software, basado en modelos tales como Six Sigma, CMMI, Lean y modelos ágiles(SEI,

2015).

Por su parte, Ferchichi, Bigand, & Lefebvre (2008) proponen un modelo para integrar los

modelos ISO 9001:2000 y CMMI, basado en las siguientes fases:

Paso 1: Selección de modelos: Para ello se requiere dar respuesta a las siguientes

preguntas: ¿Cuáles son los objetivos y los requisitos que pretende la selección de los

modelos por integrar?; ¿Cuáles son los modelos previstos (ISO 9001:2000, CMMI….)?;

¿Con qué presupuesto se cuenta y cuáles son los recursos disponibles?

Paso 2: Análisis de la sinergia de los modelos: Una vez elegidos los modelos, se realiza

su respectiva comparación, tratando de identificar las similitudes y diferencias. La sinergia

se construye, identificando las debilidades de los modelos y su complemento, con las

fortalezas de los demás modelos.

Paso 3: Construcción del modelo integrado: Esta fase permitirá resolver las

contradicciones en las relaciones existentes entre los elementos de los modelos,

consolidar los elementos donde existen relaciones y maximizar la sinergia a través de la

combinación de elementos complementarios.

Paso 4: Adaptación del modelo integrado al contexto de la empresa: Este paso permite

retener de cada modelo, los elementos relevantes requeridos en el contexto empresarial y

adaptarlo a la cultura de la empresa.

Por su parte Kelemen(2009) establece una serie de pasos para armonizar modelos, a

partir de su intención de unificar diferentes modelos de procesos de calidad de software,

estos pasos son resumidos en la figura 18.

147

Figura 18. Metodología Kelemen para la armonización de modelos

Fuente: (Cuellar, Pardo, Herrera, & Correa, 2014)

Por último Pardo, Pino, Garcia, Baldassarre & Piattini (2013), plantean un esquema

denominado HFramework, cuyo propósito es presentar una metodología para la

integración de múltiples marcos de gobierno de Tecnología de Información, donde la

metodología está basada en una estrategia de armonización basada en tres métodos, que

son:

Homogeneización: para proporcionar las herramientas necesarias para la puesta en

armonía de los modelos involucrados, adicionando una estructura común de entidades del

proceso. Para ello se deben llevar a cabo las siguientes tareas: i) Adquisición de

conocimiento de los modelos relacionados, ii) Análisis de estructura y terminología, iii)

Identificación de requerimientos y iv) Correspondencia.

Comparación: para llevar a cabo la identificación de las diferencias y similitudes entre los

diferentes modelos. Las tareas que se deben desarrollar para cumplir con este objetivo

son: i) Diseño del mapeo, ii) Llevar a cabo el mapeo, iii) Presentar los resultados del mapeo

y iv) Analizar los resultados del mapeo.

Integración: para combinar y/o unificar las mejores prácticas de los diferentes modelos, lo

que se logra llevando a cabo las siguientes actividades: i) Diseño de la integración, ii)

14

8

Establecimiento de un criterio de integración, iii) Llevar a cabo la integración, iv) Analizar

los resultados de la integración y v) Presentar el modelo integrado

5.4.2. Método para la armonización de modelos de Auditoría Continua

Tomando como referencia los esquemas de armonización presentados anteriormente, y

teniendo en cuenta la gran cantidad de esquemas de Auditoría Continua existentes, se

utilizará como base el modelo HFramework con algunos ajustes, dada la necesidad de

integrar al modelo, la taxonomía de modelos realizada en la primera parte de este capítulo.

Las fases que se siguen son las siguientes:

1. Homogeneización

a. Adquisición de conocimiento de los modelos relacionados: Esta etapa

conlleva la lectura y análisis de los diferentes modelos que son sujeto de

homogeneización.

b. Análisis de estructuras de los modelos: A partir del conocimiento de los

modelos se requiere entender su estructura en función del ciclo de auditoría.

c. Definición del modelo objetivo requerido: Se requiere definir en base el

objetivo que se pretende, las características del modelo que se requiere

obtener y que guiaran el proceso de comparación.

2. Comparación

a. Definición de un modelo base de comparación: A partir de la definición

del modelo objetivo requerido y de las diferentes estructuras de los modelos,

se deberá seleccionar el modelo más representativo y/o de mayor

granularidad que represente el modelo que se requiere.

b. Elaboración del mapeo por taxonomías: De acuerdo al modelo objetivo

requerido, se confrontará cada taxonomía con el modelo base de

comparación.

c. Cálculo de índices de cohesión: Cada mapeo por taxonomía deberá

elaborar el índice de cohesión de los modelos para su incorporación como

parte de la integración final del modelo.

149

3. Integración

a. Diseño y ejecución de la integración de los mapeos por taxonomías: A

partir de los resultados de los índices de cohesión, se realizará la

integración respectiva de acuerdo al orden de las taxonomías objeto de

análisis.

b. Establecimiento del modelo integrado: Al final se definirá el modelo

definitivo obtenido, tomando como referencia los resultados obtenidos en la

integración de mapeos por taxonomías.

5.4.3. Desarrollo de la estrategia de armonización

5.4.3.1. Fase de homogeneización

La ejecución de esta fase omite las etapas 1 y 2 (adquisición de conocimiento de los

modelos relacionados y análisis de estructura de los modelos) dado que ya fueron

ejecutadas, como parte del análisis taxonómico realizado en la primera parte de este

capítulo. Por lo tanto se partirá de la etapa 3.

Etapa 3: Definición del modelo objetivo requerido: Teniendo presente que, el proyecto

requiere la construcción de un modelo ajustado al Control Fiscal Colombiano, es necesario

contar con un modelo que cumpla con las siguientes características, en función de las

taxonomías previamente construidas: 1) que refleje las fases generalmente aceptadas de

Auditoría Continua, 2) en el contexto del sector público, 3) con un enfoque hacia la auditoría

externa (propio del control fiscal) y cuyo componente técnico esté orientado a 4) un

esquema MCL (propio de la auditoría externa).

En la siguiente tabla se puede observar, un resumen de estos criterios y el número de

modelos resultantes para cumplir el objetivo propuesto.

Tabla 29. Características del modelo objetivo requerido para la construcción de un modelo de Auditoría Continua para el Control Fiscal Colombiano

15

0

FOCO ORIENTADOR DE

HOMOGENEIZACIÒN

TAXONOMIA QUE SE UTILIZA

TIPOLOGIA QUE SE UTILIZA

NRO. DE MODELOS

QUE SE COMPARAN

1) Fases generalmente aceptadas de Auditoría Continua

De acuerdo a su origen Modelos Guía 4

De acuerdo a la orientación

Metodologías 12

2) Contexto del sector público

De acuerdo al tipo de organización

Organizaciones Públicas

3

3) Enfoque hacia la auditoría externa

De acuerdo al tipo de auditoría

Auditoría externa 4

4) Técnica de auditoría que se utiliza

De acuerdo a la técnica MCL 10


Es importante tener en cuenta que, aunque un modelo puede pertenecer a una o varias

taxonomías, su análisis será diferente en función del componente del modelo, que será el

criterio orientador de la búsqueda de similitudes.

5.4.3.2. Fase de Comparación

Etapa 1: Definición del modelo base de comparación: Como producto del análisis

desarrollado para el establecimiento de la taxonomía de modelos, desde la lógica de un

proceso auditor y no simplemente como técnica, se ha construido un modelo base

fundamentado en el modelo de Auditoría Continua, propuesto por el Instituto de Auditores

Internos, debido a que es un modelo que cumple con una de las características

fundamentales del presente proyecto, que es la de concebir la Auditoría Continua no como

una técnica, sino como un proceso integral de auditoría con las fases propias de cualquier

auditoría; de igual forma se le ha seleccionado como base, por ser uno de los modelos con

mayor granularidad en las fases planteadas, además de ser uno de los referentes

principales para la comunidad de auditores a nivel internacional.

Sin embargo, si tenemos en cuenta que lo que se pretende es construir un modelo de

auditoría externa, se han complementado y ajustado una serie de fases, para garantizar la

pertinencia de los resultados, si se tiene en cuenta que la mayoría de los modelos han sido

desarrollados, con una orientación hacia la auditoría interna.

151

Acorde a lo anterior, el modelo base de referencia ajustado contempla 7 etapas y 23

actividades, como se puede apreciar a continuación:

Tabla 30. Modelo de Auditoría Continua de referencia

ETAPA ACTIVIDADES

Definición de Recursos y Análisis de

Costos

Definición de personal, recursos clave y gestión de competencias del auditor

Evaluación de costos y beneficios

Relaciones con la Administración

Obtener el respaldo de la alta dirección

Estado actual del monitoreo continuo

Desarrollar relaciones con la gestión de TI

Plan Anual de Auditoría Establecer áreas prioritarias

Planeación Detallada

Comprender los procesos de negocio

Definición de Objetivos y alcance de Auditoría Continua

Identificar Riesgos e Indicadores de Riesgo

Identificar Controles e Indicadores de Control

Identificar y Comprender Sistemas de Información Clave

Conocer y comprender las fuentes de datos

Conexión con aplicaciones/repositorios

Depurar y preparar los datos

Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos

Determinar la frecuencias de los procesos

Seleccionar y adquirir herramientas de análisis

Ejecución

Configurar los parámetros de aseguramiento continuo

Ejecutar pruebas de manera regular y oportuno para identificar excepciones

Comunicación de Resultados

Supervisar permanentemente los resultados de Auditoría Continua

Informar a la Dirección

Seguimiento Seguimiento a la implementación de las acciones implementadas

Garantizar la continuidad del proceso de Auditoría Continua.


Etapa 2: Elaboración del mapeo por taxonomías: Para llevar a cabo esta etapa, se

realizó por cada taxonomía, el mapeo respectivo, para lo cual se desarrollaron las

siguientes actividades:

15

2

- Selección de modelos por cada taxonomía

- Análisis de cada una de las actividades o fases propuestas por el modelo

- Relacionamiento de cada actividad del modelo con el modelo base de referencia,

ubicándolo en cada una de las fases correspondientes

- Asignación del valor 1 en caso de relacionarse, o cero (0) en caso contrario

Los mapeos resultantes se pueden observar en el anexo 7.

Etapa 3: Cálculo de índices de cohesión: Tomando como referencia la tabla 36,

relacionada con las taxonomías consideradas para la construcción del modelo de

referencia, se procederá a construir, por cada una de las tipologías de modelos de cada

taxonomía requerida, un indicador que se denominará índice de cohesión, el cual se ha

construido de la siguiente forma:

- Conteo del número de veces en que se presenta la actividad en los modelos de

referencia.

- Cálculo porcentual del número de veces en que se presenta la actividad, sobre el

número de modelos objeto de análisis.

El resultado del cálculo porcentual, es lo que se denominará índice de cohesión, cuyo

significado determina la similitud metodológica que tienen en general todos los modelos,

con el modelo base de referencia y que servirá de base para establecer la metodología de

Auditoría Continua que se propondrá.

Estos valores utilizarán como base de interpretación, la escala de calificación planteada en

Pino, Baldassarre, Piattini & Visaggio(2010), dada la similitud del proceso y se

complementará con su significado, en función de la inclusión o no, en el modelo de

referencia para el Control Fiscal Colombiano. La asignación de colores para cada nivel se

hace, con el fin de proporcionar una visualización más amigable, como se puede apreciar

en la siguiente tabla:

Tabla 31. Niveles de valoración del índice de cohesión de los modelos

153

Nivel Rango del

índice de

cohesión

Nivel de

relacionamiento

Decisión de inclusión

como parte del modelo.

MUY ALTO 86-100% Fuertemente

relacionado

Incluir como parte del modelo

ALTO 51-85% Relacionado en gran

medida


PARCIAL 16-50% Parcialmente

relacionado


DÉBIL 1-15% Débilmente

relacionado

No Incluir como parte del

modelo

SIN 0% No relacionado No Incluir como parte del

modelo


El índice de cohesión será calculado por etapas y por modelos; el primero representa el

porcentaje en el cual, las diferentes actividades del modelo de referencia se encuentran

relacionadas y el segundo, el nivel de cohesión del modelo en general.

Foco Orientador 1: Fases generalmente aceptadas de Auditoría Continua

Índice de cohesión de la Taxonomía de acuerdo a su origen

Una vez confrontados los 4 modelos, que hacen parte de la taxonomía de modelos guía

de Auditoría Continua, se lograron determinar los índices de cohesión por etapas y por

guías, como se puede observar en las tablas 32 y 33 respectivamente:

Tabla 32. Índice de cohesión por fases. Taxonomía por guías de auditoría

ETAPA Índice de Cohesión

Nivel de relación

Definición de Recursos y Análisis de Costos 50% PARCIAL

Relaciones con la Administración 58% ALTO

Plan Anual de Auditoría 75% ALTO

Planeación Detallada 57% ALTO

15

4

Ejecución 38% PARCIAL

Comunicación de Resultados 88% MUY ALTO

Seguimiento 50% PARCIAL

Índice promedio de cohesión de los modelos 59,4% ALTO


Tabla 33. Índice de cohesión por modelos. Taxonomía por guías de auditoría

ETAPA

Número de actividades

que considera el modelo

Porcentaje de

Cohesión

Nivel de relación

GTAG 3 – Guía de Auditoría de Tecnología Global sobre Auditoría Continua (IIA Global)

29 82,6% ALTO

Guía para implantar con éxito un modelo de Auditoría Continua (Instituto de Auditores Internos de España)

20 52,2% ALTO

G42 Continuous Assurance (ISACA) 11 43,5% PARCIAL

Continuous Assurance for the now economy (Instituto de contadores públicos de Australia)

11 47,8% PARCIAL

Índice promedio de cohesión de los modelos 56,5% ALTO


Índice de cohesión de la Taxonomía de acuerdo a la orientación

Dentro de la taxonomía de modelos de acuerdo a su orientación, las metodologías

representan un 40% equivalente a 12 modelos, de los cuales 4 son los modelos guía. Se

puede asumir que el modelo de la policía montada Real de Canadá, utilizo el mismo

método de la guía de auditoría del IIA, dado que es el mismo autor de la guía.

Por lo tanto, el cálculo del índice de cohesión de esta taxonomía, equivale al análisis de 7

modelos, cuyos resultados son los siguientes:

Tabla 34. Índice de cohesión por fases. Taxonomía por metodologías

ETAPA Porcentaje de

Cohesión Nivel de relación

Definición de Recursos y Análisis de Costos 7,15% DÉBIL

Relaciones con la Administración 23,8% PARCIAL

Plan Anual de Auditoría 42,9% PARCIAL

Planeación Detallada 51,9% ALTO

Ejecución 42,9% PARCIAL

155

Comunicación de Resultados 47,6% PARCIAL

Seguimiento 28,6% PARCIAL

Monitoreo continuo 14,3% DÉBIL

Índice promedio de cohesión de los modelos 32,4% PARCIAL


Tabla 35. Índice de cohesión por modelos. Taxonomía por metodologías

ETAPA

Número de actividades

que considera el modelo

Porcentaje de

Cohesión

Nivel de relación

Auditoría Continua: Mejores prácticas y caso real

26 68% ALTO

Innovation and practice of continuous auditing

4 15,4% DÉBIL

Model for transaction-based continuous auditing

14 50% PARCIAL

Metodología Mainardi 18 53,8% ALTO

Modelo Rezaee 10 26,9% PARCIAL

Six Steps to an Effective Continuous Audit Process

6 26,9% PARCIAL

The Predictive Audit Framework 10 30,8% PARCIAL

Índice promedio de cohesión de los modelos 39% PARCIAL


Es importante destacar que, en el análisis de estos modelos se encontraron dos fases

adicionales, que a pesar de no se referencian en la mayoría de los modelos, por

considerarlas fases importantes y que pueden aportar a la metodología final, se han

incorporado como parte del modelo en la etapa de comunicación de resultados,

denominada “Investigar la razonabilidad de las desviaciones detectadas”, propuesta por

otros dos modelos: el modelo de Jolly & Alcarraz (2010) y el modelo propuesto por

Abdolmohammadi & Sharbatoghlie (2005). De igual forma, se ha incorporado como una

nueva fase denominada monitoreo continuo (posterior al seguimiento), con la siguiente

fase “crear esquemas para transferencia a monitoreo continuo”, propuesta por

Kuenkaikaew & Vasarhelyi (2013).

Conclusiones de esta etapa

Esta etapa tiene como objetivo determinar las fases generalmente aceptadas de Auditoría

Continua, y como se puede observar en el análisis de modelos, a mayor granularidad,

15

6

mayor porcentaje de cohesión; de igual forma, a mayor cantidad de modelos analizados

para cohesionar, menor nivel de cohesión.

Es importante tener en cuenta que, la homogeneización de los modelos alrededor de un

modelo base busca principalmente, tratar de identificar una ruta común, un marco unificado

que sea complementado con los diferentes modelos analizados, articulando y validando

las diferentes actividades que se han planteado en los diferentes modelos, que como se

puede observar, es un poco disperso, si se tiene en cuenta que existen modelos que

cuentan con un máximo de 29 actividades, hasta modelos planteados de forma muy

general con 4 actividades.

En resumen y consolidando los índices de cohesión, en función de los modelos analizados

por cada taxonomía, se calculará el índice de cohesión promedio para determinar el nivel

de relacionamiento en general.

Tabla 36. Índice de cohesión total por fases. Fases generalmente aceptadas de Auditoría Continua.

ETAPA

Índice de Cohesión

Taxonomía 1

Índice de Cohesión

Taxonomía 2

Índice de cohesión promedio

Nivel de relacionamiento

1. Definición de Recursos y Análisis de Costos

50% 7,15% 28,6% PARCIAL

2. Relaciones con la Administración

58% 23,8% 40,9% PARCIAL

3. Plan Anual de Auditoría

75% 42,9% 59% ALTO

4. Planeación Detallada 57% 51,9% 54,5% ALTO

5. Ejecución 38% 42,9% 40,5% PARCIAL

6. Comunicación de Resultados

88% 47,6% 67,8% ALTO

7. Seguimiento 50% 28,6% 39,3% PARCIAL

8. Monitoreo continuo N.A. 14,3% 14,3% DÉBIL

Índice promedio de cohesión de los modelos

59,4% 32,4% 45,9% PARCIAL


De acuerdo a lo anterior, el modelo generado a partir del análisis con su respectivo índice

promedio de cohesión es el siguiente:

Tabla 37. Índice total por actividades. Fases generalmente aceptadas de Auditoría Continua.

157

ETAPA FASE IC1 IC2 % NR

1.Definición de Recursos y Análisis de Costos

1.1.Definición de personal, recursos clave y gestión de competencias del auditor

50% 14,3% 32,2%

PARCIAL

1.2.Evaluación de costos y beneficios

50% 0,0% 25,0% PARCIAL

2.Relaciones con la Administración

2.1.Obtener el respaldo de la alta dirección

75% 28,6% 51,8% ALTO

2.2.Estado actual del monitoreo continuo

50% 14,3% 32,2% PARCIAL

2.3.Desarrollar relaciones con la gestión de TI

50% 28,6% 39,3% PARCIAL

3.Plan Anual de Auditoría 3.1.Establecer áreas prioritarias

75% 42,9% 59,0% ALTO

4.Planeación Detallada

4.1.Comprender los procesos de negocio

50% 57,1% 53,6% ALTO

4.2.Definición de Objetivos y alcance de Auditoría Continua

75% 57,1% 66,1% ALTO

4.3.Identificar Riesgos e Indicadores de Riesgo

75% 71,4% 73,2% ALTO

4.4.Identificar Controles e Indicadores de Control

50% 71,4% 60,7% ALTO

4.5.Identificar y Comprender Sistemas de Información clave

50% 28,6% 39,3% PARCIAL

4.6.Conocer y comprender las fuentes de datos

50% 85,7% 67,9% ALTO

4.7.Conexión con aplicaciones/repositorios

25% 28,6% 26,8% PARCIAL

4.8.Depurar y preparar los datos 50% 71,4% 60,7% ALTO

4.9.Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos

50% 28,6% 39,3%

PARCIAL

4.10.Determinar la frecuencias de los procesos

75% 42,9% 59,0% ALTO

4.11.Seleccionar y adquirir herramientas de análisis

75% 28,6% 51,8% ALTO

5.Ejecución

5.1.Configurar los parámetros de aseguramiento continuo

25% 14,3% 19,7% PARCIAL

5.2.Ejecutar pruebas de manera regular y oportuno para identificar excepciones

50% 71,4% 60,7%

ALTO

6.Comunicación de

Resultados

6.1.Supervisar permanentemente los Resultados de Auditoría Continua (Identificar

75% 42,9% 59,0%

ALTO

15

8

desviaciones o deficiencias de control)

6.2.Investigar la razonabilidad de las desviaciones detectadas

N.A. 28,6% 28,6% PARCIAL

6.3.Informar a la Dirección 100% 71,4% 85,7% ALTO

7.Seguimiento

7.1.Seguimiento a la implementación de las acciones recomendadas

50% 14,3% 32,2%

PARCIAL

7.2. Garantizar la continuidad del proceso de Auditoría Continua

50% 42,9% 46,5% PARCIAL

8.Monitoreo Continuo

8.1.Crear esquemas para transferencia a Monitoreo Continuo N.A.

14,3% 14,3%

DÉBIL


En función de los parámetros definidos previamente, el 96% de las actividades analizadas

hacen parte del modelo, a excepción de la etapa 8 (Monitoreo continuo), dado que no es

una actividad generalizada planteada en los modelos.

Foco Orientador 2: Contexto del sector público

A pesar de contar con tan solo tres modelos orientados hacia el sector público, uno de

ellos equivale al de la Real Policía de Canadá, que es la misma metodología usada en el

caso del Instituto de Auditores Internos, siendo su principal autor David Coderre; por lo

que, el aporte a la metodología en el contexto del sector público, no difiere del modelo

general propuesto.

En el caso de los otros dos modelos, las relaciones en la Empresa Provincial de Energía

en Argentina, divulgadas a través de Castello et al. (2008) son una aplicación de Auditoría

Continua orientada hacia lo técnico, que comprenden cuatro grandes fases:

Tabla 38.Relación de las fases del contexto del sector público

FASE FASEGENERAL

Relación con el modelo de

Auditoría Continua (Numeral)

1 Relevamiento de las operaciones a colectar y de las estructuras de datos asociadas

4.6.

2 Diseño del modelo de datos para el Servidor de Auditoría 4.8.

159

FASE FASEGENERAL

Relación con el modelo de

Auditoría Continua (Numeral)

3 Desarrollo de los procedimientos y del software para colectar datos desde el sistema de gestión, transferirlos al Servidor de Auditoría y grabarlos en el mismo

4.9.

4 Desarrollo de los procedimientos y software para recuperar las operaciones a controlar desde el Servidor de Auditoría y realizar procesos propios de auditoría.

4.9.


Estas cuatro fases con respecto al modelo, se enmarcan en las actividades propias de la

etapa de planeación detallada del modelo general propuesto; es decir, no aportan

realmente al contexto del sector público.

El tercer modelo corresponde al modelo de “Auditoría Continua online en el sector gobierno

Chino” propuesto por Wenming (2007), donde se describe un modelo de Auditoría

Continua orientado hacia sus componentes técnicos, compuesta de tres capas técnicas,

sin aportar un contexto público que complemente el modelo propuesto.

En resumen, los tres modelos orientados a entidades públicas, no aportan elementos que

permitan poner en contexto un modelo específico orientado a lo público y como tal,

permanece la misma estructura del modelo planteado en la tabla 37.

Foco Orientador 3: Enfoque hacia la Auditoría Externa

Dado que el Control Fiscal utilizado por las contralorías del país, se ejerce de forma externa

a la organización, es necesario identificar características de los modelos, que diferencien

la forma de ejecutar la Auditoría Continua interna de una Auditoría Continua externa;

aunque, inicialmente podríamos afirmar que, las posibilidades que brinda actualmente la

tecnología no son una barrera de entrada para desarrollar el proceso, sea desde la

perspectiva de una auditoría interna o externa, sin embargo, el nivel de acceso a la

información que puede tener un auditor externo frente a un auditor interno, si podría

generar límites en su acceso; de igual forma, los procesos y las tecnologías desarrolladas

de Auditoría Continua que se ejecuten tradicionalmente, son propiedad de las firmas

externas y no quedan disponibles para su uso en la organización.

16

0

La taxonomía de modelos analizados que se enfocan hacia la auditoría externa son 4, de

los cuales 1 corresponde al modelo de “Auditoría Continua online en el sector gobierno

Chino”, que como se presentó anteriormente, está orientado a lo técnico sin realizarse

ninguna descripción específica, que pueda aportar a una caracterización propia de la

auditoría externa.

Foco Orientador 4: Técnica de Auditoría a utilizar

El desarrollo de procesos de Auditoría Continua requiere contar con infraestructura

tecnológica, para poder interactuar con la información de los procesos que son objeto de

auditoría. Esta infraestructura está supeditada al modelo técnico que se va a incorporar,

para cumplir con el propósito previsto, la cual a su vez, depende de las técnicas de

auditoría que se utilizarán.

En general, tal y como se ha establecido a través de la taxonomía, tradicionalmente los

modelos de Auditoría Continua utilizan EAM (Módulos Embebidos de Auditoría) ó MCL

(Capa de monitoreo del control) y a partir de allí incorporan los diferentes componentes

tecnológicos.

En este sentido, el análisis de esta taxonomía, nos permitirá tener una visión de las

principales tecnologías utilizadas en los diferentes modelos, en particular aquellos

orientados hacia la auditoría externa (esquema utilizado por el Control Fiscal Colombiano),

cuya técnica asociada es MCL.

El uso de MCL implica por lo general, acceder a la capa de datos del sistema de

información sujeto a auditoría, desde la misma organización o fuera de ella, y realizar a

partir de allí, los diferentes scripts para implementar las operaciones de Auditoría Continua.

De acuerdo al análisis de 11 modelos que se encuentran orientados hacia MCL, el 45% se

encuentran orientados hacia web services con sus diferentes arquitecturas, seguidos de

modelos orientados a data mart y data warehouse con un 26%, los otros corresponden a

agentes inteligentes y a un lenguaje denominado XCAL, como se puede observar en la

siguiente tabla.

Tabla 39. Tecnologías usadas en modelos de Auditoría Continua orientados a MCL

161

AMBIENTES TECNOLÓGICOS Y

TECNOLOGÍAS RELACIONADAS

MODELOS

Web services (SOA, SOAP, WSDL,

UDDI, XML, XBRL)

(Murthy & Groomer, 2004),(Du & Roohani,

2007), (Ye, He, et al., 2008), (Ye, Chen, Gao, &

He, 2008),(Woodroof & Searcy, 2001),

Data Mart, Data Warehouse (Marks, 2010), (Abdolmohammadi &

Sharbatoghlie, 2005),(Rezaee et al., 2002),

(Castello et al., 2008)

XCAL (eXtensible Continuous

Auditing Language)

(Onions, 2003)

Agentes inteligentes (Chou et al., 2007)

Fuente: elaboración propia

Dada la cantidad de modelos orientados a servicios web (en inglés, Web service o Web

services) es pertinente al menos de forma general, caracterizar lo que significa un web

service y su arquitectura básica.

En general, un web service es una tecnología que utiliza una serie de protocolos y

estándares, que sirven para intercambiar datos entre aplicaciones y cuenta con una

arquitectura básica, como se puede observar en la Figura 19.

16

2

Figura 19. Arquitectura básica de protocolos de servicios web.

Fuente: (Universidad de Vigo, 2008)

Es importante tener en cuenta que, si bien la caracterización de las tecnologías utilizadas

en Auditoría Continua a través de técnicas MCL, nos da una visión de las posibilidades

existentes al momento de abordar un proyecto de este tipo; el modelo propuesto tendrá

como característica principal la neutralidad tecnológica, dadas las amplias posibilidades

que brinda la tecnología y la cantidad de contralorías con diferentes niveles de madurez

tecnológica.

5.4.3.3. Fase de Integración

Etapa 1: Diseño y ejecución de la integración de los mapeos por taxonomías

Acorde a lo presentado previamente, en relación con el análisis de acuerdo a los 4 focos

orientadores, y dado que el primer foco (fases generalmente aceptadas de Auditoría

Continua) es el más influyente en la homogeneización final, por lo explicado en los

restantes tres focos orientadores, la integración final del modelo es equivalente a lo

establecido en la tabla 37; exceptuando la fase 8, por el bajo índice arrojado.

Etapa 2: Establecimiento del modelo integrado

163

Como se ha insistido en diferentes apartes de este documento, el concepto de Auditoría

Continua, debe ser concebido como un todo en relación con el proceso auditor, y no

simplemente como una técnica; de allí que, para efectos de consolidar el meta modelo de

Auditoría Continua, surgido a partir de la homogeneización de los diferentes modelos con

el foco orientador previsto, la metodología final de Auditoría Continua resultante es la

siguiente:


ETAPA FASE

1.Definición de Recursos y Análisis de Costos








4.Planeación Detallada (Programa de Auditoría)





4.5.Identificar y Comprender Sistemas de Información clave



4.8.Depurar y preparar los datos




5.Ejecución


5.2.Ejecutar pruebas de manera regular y oportuna para identificar excepciones

6.Comunicación de Resultados

6.1.Supervisar permanentemente los Resultados de Auditoría Continua (Identificar desviaciones o deficiencias de control)


6.3.Informar a la Dirección

7.Seguimiento




16

4

Una de las características más sobresalientes de este modelo de Auditoría Continua, en

comparación con el modelo tradicional de auditoría, es la cantidad de actividades que se

concentran en la planeación detallada y en menor proporción en la ejecución, dado que es

la tecnología la que se encarga de la ejecución.

165

6. El Gobierno Electrónico como marco de

actuación de la Auditoría Continua en el


El gobierno electrónico, también denominado gobierno en línea ó e-government, cuenta

con diversas acepciones, que van desde conceptualizaciones que presentan el gobierno

electrónico únicamente, como la provisión de servicios públicos mediante aplicaciones en

Internet, hasta definiciones que lo caracterizan como el uso de cualquier tecnología de

información y comunicación en el gobierno (CEPAL & EUROPEAID, 2007).

Para efectos del presente proyecto, se partirá de dos definiciones institucionales que

presentan similitudes y que tratan de delimitar su concepto, no solo desde el punto de vista

instrumental, sino desde su impacto en la administración pública. En primer lugar, la

Organización de los Estados Americanos lo define como: la aplicación de las Tecnologías

de Información y la comunicación (TIC) al funcionamiento del sector público, con el objetivo

de incrementar la eficiencia, la transparencia y la participación ciudadana; por su parte, el

Banco Mundial lo concibe como el uso de las Tecnologías de Información y

Comunicaciones (TIC), para mejorar la eficiencia, efectividad, transparencia y rendición de

cuentas del gobierno. La materialización de este concepto, ha generado un nuevo

paradigma en la gestión gubernamental, que fusiona la utilización intensiva de las TIC

como formas de gestión, planificación, control y administración (A. (Naciones U. Naser &

Concha, 2011).

Sin embargo, es importante aclarar que el cambio tecnológico generado en el ámbito

gubernamental, suscitado por el gobierno electrónico, no se genera tan solo por el uso de

16

6

las TIC como artefactos tecnológicos, sino que conlleva cambios organizacionales,

rediseño de procesos, cambio de estrategias gubernamentales y sobre todo, cambios en

la percepción y uso de las TIC por parte de los funcionarios públicos y de la misma

ciudadanía, quien es al final la receptora de los servicios gubernamentales.

El desarrollo del gobierno electrónico en el mundo ha traído consigo, el surgimiento de una

nueva serie de términos que tratan de explicar la aplicación de las TIC, en diferentes

aspectos de la Administración Pública, que si bien no serán explicados en detalle, por no

ser el objeto esencial de este capítulo, si ponen en contexto el término e-control o control

electrónico o control en línea, como un subsistema del gobierno electrónico orientado hacia

las funciones de control gubernamental, y que será explicado más adelante. Términos

como “e-services”, “e-management”, “e-democracy”, “e-policy”, “e-transparency”, “e-

voting”, “e-procurement” e “e-participation” entre otros, han sido acuñados para describir

aspectos concretos de la funcionalidad e impacto del uso de las TIC en los aspectos

gubernamentales.

De igual forma, de acuerdo al tipo de interacción electrónica que se tenga con el gobierno

a través del uso de las TIC, se han definido diferentes términos para delimitar este tipo de

relaciones; entre estos términos se destacan: Government to Citizen (G2C) para delimitar

la relación entre el gobierno y la ciudadanía; Citizen to Government (C2G) para delimitar

la relación entre la ciudadanía y el gobierno; Government to Business (G2B) para delimitar

la relación del gobierno con el sector privado; Business to Government (B2G) para delimitar

la relación del sector privado con el gobierno; Government to Employee (G2E) para

delimitar la relación con los empleados gubernamentales; y Government to Government

(G2G), para delimitar la relación entre las diferentes instituciones del gobierno. Es

precisamente dentro de esta última categoría, que se enmarcan las relaciones existentes

entre las entidades fiscales superiores (así son denominadas en el ámbito internacional,

las organizaciones que ejercen el Control Fiscal en los diferentes países) y cada una de

las entidades gubernamentales que son sujetas de control.

No obstante y dada la importancia, alcance y magnitud, que representan los procesos de

control gubernamental en el aparato estatal de cualquier país, y para efectos del presente

proyecto, se establecerá un nuevo término, denominado Control to Government (Co2G)

167

como la relación bidireccional que se genera a partir del uso de las TIC, entre las entidades

fiscales superiores y las entidades gubernamentales sujetas de control. El Co2G es una

categoría derivada del G2G.

6.1. El Gobierno Electrónico a nivel mundial

El gobierno electrónico es un referente obligado cuando se habla de una moderna gestión

estatal, de allí que todos los países cuenten con una agenda al respecto (Frick, 2008),

cuyos niveles de avance difieren en función de las políticas, normas, modelos y estructuras

que se hayan diseñado para tal fin.

Uno de los referentes más importantes a nivel internacional, que miden el nivel de avance

del gobierno electrónico en los diferentes países del mundo, es el que desarrolla cada año

el Departamento de Economía y Asuntos sociales de las Naciones Unidas, donde se

concluye en su último estudio, tomando como referencia el año 2012, y tal como se puede

apreciar en la figura 20, que los países del Continente Europeo y del Continente

Americano, son los que más avance presentan en materia de gobierno electrónico, siendo

la República de Corea el país líder, seguido por los Países Bajos, el Reino Unido y

Dinamarca (United Nations, 2013).

16

8

Figura 20. Avance del Gobierno Electrónico por Continentes 2012

Fuente: (United Nations, 2013)

Se concluye en el citado estudio, que pese al el avance del gobierno electrónico en el

mundo, persiste la brecha digital entre los países desarrollados y los países en desarrollo,

originada en muchos de ellos por la falta de infraestructura electrónica y la considerable

diferencia entre los abonados y el ancho de banda.

6.2. Antecedentes del gobierno electrónico en Colombia

Al igual que otras naciones, Colombia ha buscado incluir en su modelo de desarrollo el uso

y aprovechamiento de las Tecnologías de la Información y Comunicaciones (Peres

Useche, 2003). Los primeros indicios de gobierno electrónico en Colombia se dan con la

expedición de la Ley 8 de 1970, mediante la cual se dan facultades extraordinarias al

Presidente de la República, para adoptar las medidas necesarias para generalizar el uso

del computador electrónico, en los trámites administrativos relacionados con los impuestos

nacionales y poner especial énfasis en el mejoramiento y organización de la oficina de

cobranzas y ejecuciones fiscales (Universidad de los Andes & Ministerio de Tecnologias

de la Informaciòn y las Comunicaciones, 2009).

Sin embargo fue en 1995, donde Colombia dio los primeros pasos alrededor del gobierno

electrónico, con la promulgación del Decreto ley 2150 y la creación del SINPRO (Sistema

de Información Normativo y de Procesos de la Administración Pública) a través del

documento CONPES 2790. A partir de allí, ha venido evolucionando con diversas normas

y planes de desarrollo de Tecnologías de Información, en donde siempre se ha

contemplado la estrategia de gobierno en línea, hasta el actual plan denominado vive

digital, en donde se da continuidad al proceso (ver Figura 21).

169

Figura 21. Evolución normativa del e-government en Colombia

Fuente: (Valencia Duque, 2012a).

Producto de los avances, Colombia ha obtenido reconocimientos no solo en materia de

gobierno electrónico, sino en otros aspectos relacionados con el uso de TIC´s. El más

reciente fue el obtenido en el marco del Mobile World Congress, una de las ferias más

importantes de tecnología, en donde Colombia recibió el premio “Government Leadership

Award 2012” dicho reconocimiento se obtuvo gracias al Plan Vive Digital, en

reconocimiento a su papel como líder regional y mundial, en la gestión de uno de los

recursos más escasos del mundo – el espectro- (Global Mobile Awards, 2012).

17

0

Figura 22. Países Emergentes en Gobierno Electrónico 2012


En la última medición del e-government realizada por las Naciones Unidas, Colombia es

considerado uno de los países emergentes en Gobierno electrónico (ver Figura 22) y se

encuentra a nivel mundial en el puesto 43 entre 190 naciones, en el cuarto lugar en

América, después de Estados Unidos, Canadá y Chile y en el segundo lugar en

Suramérica; de igual forma, es líder en América Latina en participación en línea y sexto en

el mundo (United Nations, 2013).

Tabla 41. Desarrollo actual del e-government en Sur América

171


6.3. El Gobierno electrónico en el Plan actual de Desarrollo Nacional

El Plan de Desarrollo Nacional 2010-2014 “Prosperidad para todos”, está estructurado

sobre 8 pilares: convergencia y desarrollo regional, crecimiento y competitividad, igualdad

de oportunidades, consolidación de la paz, innovación, sostenibilidad ambiental, buen

gobierno y relevancia internacional. Dentro del pilar de crecimiento y competitividad, se

encuentra el lineamiento estratégico de las Tecnologías de Información y Comunicaciones,

en donde a partir del plan de desarrollo del sector denominado “Vive Digital”, se espera:

Impulsar la masificación del uso de Internet, para dar un salto hacia la Prosperidad

Democrática. Creemos que a través de la masificación del uso de Internet, de la

apropiación de tecnología y de la creación de empleos TIC directos e indirectos,

lograremos reducir el desempleo, reducir la pobreza, aumentar la competitividad

17

2

del país y dar un salto hacia la prosperidad democrática. (Ministerio de Tecnologias

de la Informaciòn y las Comunicaciones, 2011b,p.20).

Para lograrlo, se ha tomado como referencia un modelo propuesto por el Banco Mundial,

denominado ecosistema digital (ver Figura 23), en donde se trata de articular la oferta y

demanda en un mercado digital, a través de cuatro componentes: del lado de la oferta, la

Infraestructura y los servicios y del lado de la demanda, los usuarios y las aplicaciones.

Figura 23. Ecosistema Digital

Fuente: (Ministerio de Tecnologias de la Informaciòn y las Comunicaciones, 2011)

Es en el componente de las aplicaciones, donde se articula la estrategia de gobierno en

línea, si se entiende que el gobierno debe desarrollar servicios gubernamentales para la

ciudadanía, a través de la construcción de aplicaciones, que hagan más fácil la interacción

del ciudadano con el gobierno.

Teniendo presente que, la estrategia de gobierno en línea se ha venido desarrollando

desde 1995, como se mencionó en párrafos anteriores, y que este plan le ha dado

continuidad al proceso, el equipo gestor de la estrategia ha establecido una nueva

arquitectura (ver Figura 24), compuesta de tres componentes: una red de servicios, un

entorno de colaboración y un componente de gobernabilidad.

173

Figura 24. Arquitectura de gobierno en línea

Fuente: CINTEL (2011)

A través del componente de gobernabilidad, los diferentes actores gubernamentales

pueden participar en la construcción de la arquitectura, teniendo en cuenta unos principios,

lineamientos, metodologías, guías y estándares; lo que permite hacer visible, el nivel de

avance de la estrategia de gobierno en línea, en las diferentes entidades que hacen parte

del aparato estatal.

Estos lineamientos fueron reglamentados inicialmente a través del Decreto 1151 de 2008,

donde se establecían las metodologías, las fases del gobierno en línea y los tiempos

máximos de implementación, en cada una de las entidades públicas del orden Nacional y

Territorial. Este decreto fue derogado y reemplazado por el Decreto 2693 del 21 de

Diciembre de 2012, donde se renuevan los lineamientos generales de la estrategia de

gobierno en línea.

17

4

6.4. Lineamientos, directrices y metodologías de la Estrategia de Gobierno en Línea en Colombia.

La Ley 1341 de 2009, denominada Ley TIC, definió en el artículo segundo, ocho (8)

principios orientadores de las Tecnologías de Información y Comunicaciones en el estado

Colombiano. Dentro de estos principios, el principio 8 denominado Masificación del

Gobierno en línea, establece lo siguiente:

“Con el fin de lograr la prestación de servicios eficientes a los ciudadanos, las

entidades públicas deberán adoptar todas las medidas necesarias para garantizar

el máximo aprovechamiento de las Tecnologías de la Información y las

Comunicaciones en el desarrollo de sus funciones. El Gobierno Nacional fijará los

mecanismos y condiciones para garantizar el desarrollo de este principio. Y en la

reglamentación correspondiente establecerá los plazos, términos y prescripciones,

no solamente para la instalación de las infraestructuras indicadas y necesarias, sino

también para mantener actualizadas y con la información completa los medios y los

instrumentos tecnológicos.”

A partir de allí, el Consejo Nacional de Política Económica y Social promulgó el Documento

CONPES 3650 de 2010, denominado: “Importancia estratégica de la estrategia de

Gobierno en línea”, donde se realiza un recuento de las acciones y logros alcanzados por

el Gobierno Colombiano en los últimos años, en materia de Gobierno electrónico, y se

designan el Ministerio de Tecnologías de Información y Comunicaciones y el Departamento

Nacional de Planeación para formular nuevos lineamientos de política, que contribuyan a

la sostenibilidad de la Estrategia de Gobierno en Línea.

Como resultado de las acciones requeridas para garantizar la sostenibilidad de la

Estrategia de Gobierno en línea, se reglamentaron sus lineamientos a través del Decreto

2693 del 21 de Diciembre de 2012. Dentro de dichos lineamientos, se establecen entre

otros aspectos los siguientes:

1. Los aspectos prioritarios del gobierno en línea

2. El Modelo de Gobierno en línea, con sus respectivos niveles de madurez

3. Los plazos para la implementación de las diferentes fases de Gobierno en Línea

175

4. La necesidad de construir (actualizar) el Manual de Gobierno en Línea

5. El Monitoreo y Evaluación del Gobierno en Línea

6.4.1. Aspectos prioritarios del Gobierno en Línea

De acuerdo a lo establecido en el artículo 6, del Decreto 2693 de 2012, los cinco (5)

aspectos prioritarios del Gobierno en línea, que deben tener en cuenta las entidades

públicas son los siguientes:

1. Provisión de trámites y servicios por múltiples canales y uso de tecnologías de

información y comunicaciones en los procedimientos administrativos.

2. Interoperabilidad, cadenas de trámites y ventanillas únicas virtuales.

3. Tecnología y ambiente.

4. Datos y gobierno abierto.

5. Construcción colectiva.

6.4.2. El Modelo de Gobierno en Línea, con sus respectivos

niveles de madurez

El artículo 7 del Decreto 2693 de 2012, plantea un modelo de gobierno en línea constituido

por 6 componentes (Ver Tabla 42), que deben ser implementados por las instituciones del

sector público, los cuales serán evaluados periódicamente, teniendo en cuenta 4 niveles

de madurez: Nivel Inicial: Nivel en el cual se cuenta con las condiciones institucionales,

en términos tecnológicos, humanos, normativos, presupuestales y de planeación, para

habilitar cada uno de los componentes; Nivel Básico: Nivel en el cual hay evidencia de

prestación de trámites y servicios en línea. Existe entendimiento dentro de la entidad

pública sobre los objetivos y beneficios del uso de las Tecnologías de la Información y las

Comunicaciones en la apertura de información, en los procedimientos administrativos y en

la interacción y prestación de servicios eficientes a los usuarios y ciudadanos que han sido

caracterizados; Nivel Avanzado: Nivel en el cual se masifica la prestación de trámites y

servicios en línea, de acuerdo con las necesidades de los ciudadanos y usuarios

identificadas. El Gobierno en Línea está institucionalizado, es parte de la rutina diaria y la

17

6

cultura del sujeto obligado. Los procesos de rendición de cuentas y participación ciudadana

en línea para la toma de decisiones se realizan con frecuencia; Nivel Mejoramiento

Permanente: Nivel en el cual hay interiorización, innovación y réplica de experiencias

exitosas en cuanto al Gobierno en línea. La entidad cuenta con datos abiertos, a partir de

los cuales se han generado servicios de valor agregado para los ciudadanos; implementa

permanentemente acciones de mejora, para garantizar la satisfacción de las necesidades

de sus usuarios y de la ciudadanía en general, tanto en la prestación de servicios, como

en la discusión de políticas y promoción del control social.

Tabla 42. Componentes de Gobierno en línea

COMPONENTE DESCRIPCIÓN

Información en

línea

Los sujetos obligados disponen para los diferentes tipos de usuarios,

un acceso electrónico a toda la información relativa a su misión,

planeación estratégica, trámites y servicios, espacios de interacción,

ejecución presupuestal, funcionamiento, inversión, estructura

organizacional, datos de contacto, normatividad relacionada,

novedades y contratación observando las reservas constitucionales

y legales; cumpliendo todos los requisitos de calidad, disponibilidad,

accesibilidad, estándares de seguridad y dispuesta de forma tal, que

sea fácil de ubicar, utilizar y reutilizar.

Interacción en

línea

Los sujetos obligados habilitan herramientas de comunicación de

doble vía entre los servidores públicos, organizaciones, ciudadanos

y empresas. Igualmente, habilitan servicios de consulta en línea y

ofrecen mecanismos en línea que acercan a los usuarios a la

administración, le posibilitan contactarla y hacer uso de la información

que proveen las entidades públicas por medios electrónicos.

Transacción en

línea

Los sujetos obligados disponen sus trámites y servicios para los

diferentes tipos de usuarios, quienes podrán gestionarlos por

diversos canales electrónicos a través de ventanillas únicas,

permitiéndoles realizar desde la solicitud hasta la obtención de la

decisión o del servicio, sin la necesidad de aportar documentos que

reposen en cualquier otra entidad pública o privada que cumpla

funciones públicas. Lo anterior, haciendo uso de autenticación

177

electrónica, firmas electrónicas y digitales, estampado cronológico,

notificación electrónica, pago por medios electrónicos, expedientes

electrónicos, actos administrativos electrónicos y archivos

electrónicos.

Transformación Los sujetos obligados realizan cambios en la manera de operar, para

eliminar límites entre sus dependencias y con otras entidades

públicas, intercambiando información por medios electrónicos y

haciendo uso del lenguaje común de intercambio de información,

lideran o participan en cadenas de trámites en línea. Así mismo, la

entidad automatiza sus procesos y procedimientos internos e

incorpora la política de cero papel.

Democracia en

línea

Los sujetos obligados crean un ambiente para empoderar a los

ciudadanos e involucrarlos en el proceso de toma de decisiones. El

ciudadano participa activa y colectivamente en la toma de decisiones

de un estado totalmente integrado en línea. Igualmente, las entidades

públicas incentivan a la ciudadanía a contribuir en la construcción y

seguimiento de políticas, planes, programas, proyectos, la toma de

decisiones, el control social y la solución de problemas que involucren

a la sociedad, en un diálogo abierto de doble vía.

Elementos

transversales

Los sujetos obligados conocen sus diferentes grupos de usuarios,

han identificado sus necesidades e investigan permanentemente

sobre los cambios en las tendencias de comportamiento, para aplicar

este conocimiento a sus diferentes momentos de interacción. De

igual forma, las entidades tienen identificada la cadena de valor de

sus procesos, cuentan con una caracterización actualizada de la

infraestructura tecnológica y han establecido un plan de ajuste

permanente. Así mismo, cuentan con una política de seguridad que

es aplicada de forma transversal y mejorada constantemente.

Finalmente, han incorporado el Gobierno en Línea como parte de la

cultura organizacional y elemento de soporte en sus actividades

misionales.

17

8

No obstante lo anterior, y a pesar de que recientemente el Decreto 2573 de 2014, define

una nueva estructura vigente a partir del 1 de Enero de 2015, es con esta estructura con

la cual se ha venido trabajando a nivel nacional, por parte de las entidades públicas.

La nueva estructura está en función de 4 componentes:

TIC para Servicios. Comprende la provisión de trámites y servicios a través de medios

electrónicos, enfocados a dar solución a las principales necesidades y demandas de los

ciudadanos y empresas, en condiciones de calidad, facilidad de uso y mejoramiento

continuo.

TIC para el Gobierno Abierto. Comprende las actividades encaminadas a fomentar la

construcción de un estado más transparente, participativo y colaborativo, involucrando a

los diferentes actores en los asuntos públicos, mediante el uso de las Tecnologías de la

Información y las Comunicaciones.

TIC para la Gestión. Comprende la planeación y gestión tecnológica, la mejora de

procesos internos y el intercambio de información. Igualmente, la gestión y

aprovechamiento de la información para el análisis, toma de decisiones y el mejoramiento

permanente, con un enfoque integral para una respuesta articulada de gobierno y así,

hacer más eficaz la gestión administrativa en instituciones de gobierno.

Seguridad y Privacidad de la Información. Comprende acciones transversales a otros

componentes enunciados, además de proteger la información y sistemas de información,

del acceso, divulgación, interrupción o destrucción no autorizada.

6.4.3. Plazos para la implementación de los diferentes

componentes de Gobierno en Línea

179

Los plazos para implementar los diferentes componentes de Gobierno en Línea, están en

función del tipo de entidad pública, las cuales han sido clasificadas en cuatro tipologías

como se puede apreciar en la siguiente tabla.

Tabla 43. Plazos para la Implementación de la Estrategia de Gobierno en Línea

AÑO

COMPONENTES

Información

en línea

Interacción en

línea

Transacció

n en línea

Transformació

n

Democracia

en línea

Transversale

s

SUJETOS OBLIGADOS DEL ORDEN NACIONAL

2013 80% 80% 70% 70% 80% 75%

2014 95% 95% 95% 95% 95% 95%

2015 100% 100% 100% 100% 100% 100%

PARA GOBERNACIONES DE CATEGORÍA ESPECIAL Y PRIMERA; ALCALDÍAS DE

CATEGORÍA ESPECIAL, LA ADMINISTRACIÓN PÚBLICA Y DEMÁS SUJETOS

OBLIGADOS EN EL MISMO ORDEN

2013 50% 60% 30% 20% 55% 50%

2014 80% 70% 70% 45% 80% 75%

2015 95% 95% 95% 90% 95% 95%

2016 100% 100% 100% 100% 100% 100%

PARA GOBERNACIONES DE CATEGORÍA SEGUNDA, TERCERA Y CUARTA;

ALCALDÍAS DE CATEGORÍA PRIMERA, SEGUNDA Y TERCERA, LA

ADMINISTRACIÓN PÚBLICA Y DEMÁS SUJETOS OBLIGADOS EN EL MISMO

ORDEN

2013 40% 25% 15% 15% 40% 35%

2014 55% 60% 35% 40% 65% 60%

2015 80% 75% 70% 70% 85% 85%

2016 100% 100% 100% 100% 100% 100%

PARA ALCALDÍAS DE CATEGORÍA CUARTA, QUINTA Y SEXTA, LA

ADMINISTRACIÓN PÚBLICA Y DEMÁS SUJETOS OBLIGADOS EN EL MISMO

ORDEN

2013 40% 25% 15% 15% 40% 35%

2014 55% 50% 35% 35% 65% 60%

2016 80% 75% 70% 60% 95% 85%

2017 100% 100% 100% 100% 100% 100%

18

0

Fuente: Elaborado a partir del Decreto 2693 de 2012.

Al igual que con la estructura, el Decreto 2573 de 2014, redefine los tiempos para el

cumplimiento de los 4 componentes, tanto a nivel territorial como a nivel nacional.

COMPONENTE 2015 2016 2017 2018 2019 2020

Sujetos obligados del Orden Nacional

TIC para servicios 90% 100% 100% 100% 100% 100%

TIC para el gobierno abierto 90% 100% 100% 100% 100% 100%

TIC para la gestión 25% 50% 80% 100% 100% 100%

Seguridad y privacidad de la

información

40% 60% 80% 100% 100% 100%

Sujetos Obligados del Orden Territorial

(Categoría A. Gobernaciones de categoría Especial y Primera; alcaldías de categoría y demás sujetos obligados la Administración Pública

en el mismo nivel. Categoría B. Gobernaciones categoría segunda, y cuarta; alcaldías categoría primera, segunda y tercera y sujetos

obligados de la Administración Pública en el mismo nivel. Categoría C. Alcaldías categoría cuarta, quinta y sexta, y demás sujetos

obligados la Administración Pública en mismo nivel.)

TIC para servicios Entidades A 70% 90% 100% 100% 100% 100%

Entidades B 45% 70% 100% 100% 100% 100%

Entidades C 40% 55% 70% 100% 100% 100%

TIC para el gobierno

abierto

Entidades A 80% 95% 100% 100% 100% 100%

Entidades B 65% 80% 100% 100% 100% 100%

Entidades C 65% 75% 85% 100% 100% 100%

TIC para la gestión Entidades A 20% 45% 80% 100% 100% 100%

Entidades B 10% 30% 50% 65% 80% 100%

Entidades C 10% 30% 50% 65% 80% 100%

181

Seguridad y privacidad

de la información

Entidades A 35% 50% 80% 100% 100% 100%

Entidades B 10% 30% 50% 65% 80% 100%

Entidades C 10% 30% 50% 65% 80% 100%

Fuente: Tomado a partir del Decreto 2573 de 2014

6.4.4. Construcción (Actualización) del Manual de Gobierno en

Línea

Antes de la expedición del Decreto 2693 de 2012, las entidades públicas contaban con un

manual para la implementación de la estrategia de gobierno en línea, reglamentado

mediante el Decreto 1151 de 2008, el cual en su versión 3.0, era la guía que utilizaban

todas las entidades públicas del país.

A partir de la expedición del Decreto en mención, se promulgo la versión 3.1 del Manual

de Gobierno en Línea, el cual reestructura la forma como se debe avanzar, en la

implementación de la estrategia de gobierno en línea. El nuevo manual se encuentra

estructurado a partir del objetivo de cada componente, las actividades que se deben

desarrollar y un valor ponderado, que servirá de base para la construcción del índice de

gobierno en línea, que permitirá evaluar el nivel de cumplimiento de los porcentajes

establecidos, en los diferentes años del numeral anterior.

A continuación se resumen las actividades por desarrollar, para cumplir con cada uno de

los componentes de Gobierno en Línea.

Tabla 44. Actividades y pesos de cada uno de los componentes de Gobierno en Línea.

ACTIVIDAD PESO SUBACTIVIDAD PESO

PARCIAL

INFORMACIÒN EN LÍNEA

PUBLICACIÓN DE

INFORMACIÓN

57% Política Editorial 8%

Publicación de Información 40%

Acceso multicanal 9%

43% Inventario de Información 12%

18

2

PUBLICACIÓN DE

DATOS ABIERTOS

Apertura de datos 31%

INTERACCIÓN EN LÌNEA

HABILITAR ESPACIOS

DE INTERACCIÓN

50% Consulta interactiva de

información

20%

Servicios de interacción 30%

HABILITAR ESPACIOS

ELECTRÓNICOS PARA

INTERPONER

PETICIONES

50% Sistemas de contacto y PQRD 28%

Sistemas móvil de contacto y

PQRD

11%

Sistema Integrado de PQRD 11%

TRANSACCIÒN EN LÌNEA

DISPONER TRÁMITES

Y SERVICIOS EN LÍNEA

100% Formularios para descarga 5%

Certificaciones y constancias 15%

Trámites y servicios 65%

Ventanillas únicas 15%

TRANSFORMACIÒN

HACER USO DE

MEDIOS

ELECTRÓNICOS EN

PROCESOS Y

PROCEDIMIENTOS

INTERNOS

45% Buenas prácticas 9%

Sistema de gestión de

documentos

13%

Automatización de procesos 23%

INTERCAMBIAR

INFORMACIÓN ENTRE

ENTIDADES

55% Cadenas de trámites 27,5%

Servicios de intercambio de

información

27,5%

DEMOCRACIA EN LÌNEA

DEFINIR LA

ESTRATEGIA DE

PARTICIPACIÓN

15% Estrategia de participación por

medios electrónicos

15%

CONSTRUIR DE

FORMA

PARTICIPATIVA LAS

40% Normatividad 20%

Planeación Estratégica 20%

183

POLÍTICAS Y

PLANEACIÓN

ESTRATÈGICA

ABRIR ESPACIOS

PARA EL CONTROL

SOCIAL

20% Rendición de cuentas 20%

ABRIR ESPACIOS DE

INNOVACIÓN ABIERTA

25% Promoción de datos abiertos 8%

Solución de problemas 17%

ELEMENTOS TRANSVERSALES

INSTITUCIONALIZAR

LA ESTRATEGIA DE

GOBIERNO EN LÍNEA

30% Comité o instancia responsables

de Gobierno en Línea

7,5%

Planeación del Gobierno en Línea 7,5%

Estrategia de apropiación 7,5%

Monitoreo y Evaluación 7,5%

CENTRAR LA

ATENCIÓN EN EL

USUARIO

30% Caracterización de usuarios 15%

Estrategia de promoción 5%

Accesibilidad 5%

Usabilidad 5%

IMPLEMENTAR UN

SISTEMA DE GESTIÓN

DE TIC

15% Planear el ajuste tecnológico 10%

Protocolo IPv6 5%

IMPLEMENTAR UN

SISTEMA DE GESTIÓN

DE SEGURIDAD DE LA

INFORMACIÓN (SGSI)

25% Sistema de gestión de seguridad

de la información

25%

Fuente: Resumido a partir de (Ministerio de Tecnologías de Información y Comunicaciones,

2013)

6.4.5. Monitoreo y Evaluación de Gobierno en línea

18

4

El monitoreo y evaluación de Gobierno en línea se presenta bajo dos instancias: la primera

orientada a que las mismas entidades establezcan acciones, que permitan garantizar el

cumplimiento de la estrategia de gobierno en línea en la entidad; la segunda instancia está

orientada hacia el Ministerio de Tecnologías de Información y Comunicaciones, quien

deberá definir los mecanismos, para evaluar el nivel de avance de la implementación de la

estrategia de gobierno en línea, en las entidades públicas del país.

Para dar cumplimiento a este último compromiso, el Programa Gobierno en Línea

desarrolló un modelo de evaluación con el apoyo de la Universidad de los Andes, el cual

fue aplicado en el año 2012, para evaluar las fases establecidas inicialmente en el Decreto

1151 de 2008, soportado por el Manual de Implementación en su versión 3.0.

6.5. Estado actual del Gobierno Electrónico en Colombia.

A partir del último informe de evaluación y monitoreo, elaborado por el Ministerio de

Tecnologías de Información y Comunicaciones, denominado “El Gobierno en línea

Colombia 2011” y teniendo en cuenta que, sus resultados están en función de la

metodología de implementación de la estrategia de gobierno en línea, versión 3.0, dado

que fue liberado en agosto de 2012, previo a la expedición del Decreto 2693 de 2012; se

presentan a continuación, los principales hallazgos y conclusiones del informe.

Es importante tener en cuenta que, se han seleccionado resultados que en el contexto del

presente proyecto, permiten establecer el nivel de avance de las entidades públicas del

país en materia de gobierno electrónico, como base para la aplicación de los conceptos de

Auditoría Continua; ello conlleva a considerar los resultados arrojados, en relación tan solo

de las entidades públicas, si se tiene en cuenta que también fueron objeto de evaluación

la ciudadanía y las empresas.

El universo analizado en el estudio, en relación con las entidades públicas, contempla 195

entidades del orden Nacional y 1132 del orden territorial (Alcaldías y Gobernaciones).

185

6.5.1. Infraestructura Tecnológica de las entidades públicas del

orden nacional y territorial.

Las entidades públicas Colombianas cuentan en su mayoría, con infraestructura

tecnológica que les permite acceder y proveer servicios de Gobierno en Línea,

fundamentado en la disponibilidad de servicios de conectividad, hardware adecuado e

infraestructura de red. Es así como el 90% de las entidades del orden Nacional y el 63%

del orden territorial, manifiestan contar con servicios de conectividad adecuados; el 89%

de las entidades del orden Nacional y el 75% en el caso territorial, cuentan con redes de

área local cableada y el 57% y 29% respectivamente, con redes locales inalámbricas.

En cuanto a hardware, el 84% de las entidades del orden Nacional y el 52% del orden

territorial, manifiestan contar con hardware adecuado, para atender la prestación de los

servicios a través de medios y canales electrónicos.

En la Figura 25, se presenta un resumen del nivel de incorporación de algunos de los

componentes que hacen parte de la infraestructura tecnológica, necesarios para avanzar

en la estrategia de gobierno en línea, en el orden nacional y territorial.

18

6

Figura 25. Infraestructura Tecnológica de las entidades públicas Colombianas

Fuente: (Ministerio de Tecnologías de la Información y las Comunicaciones, 2012)

6.5.2. Nivel de avance en los componentes de gobierno en línea

De acuerdo con la dirección de gobierno en línea del Ministerio de Tecnologías de

Información y Comunicaciones, el nivel de avance presentado en cada una de las fases

de Gobierno en Línea, establecidas inicialmente en el Decreto 1151 de 2008, en el periodo

comprendido entre el 2008 y el 2011; nos muestra un avance desigual entre las

organizaciones públicas de nivel nacional, frente a las de nivel territorial, explicado por la

diferencia de recursos con los que cuenta cada uno de estos niveles.

187

Es importante tener en cuenta, para efectos de poder interpretar adecuadamente los

resultados, que de acuerdo al modelo de evaluación llevado a cabo por la dirección de

gobierno en línea y elaborado por la Universidad de los Andes, para evaluar el grado de

avance en la implementación de las diferentes fases de gobierno en línea, se han definido

tres escalas de evaluación; de 0 a 50 nivel bajo; de 51 a 80 nivel medio y entre 81 y 100

nivel de avance alto.

Las entidades de nivel nacional, han presentado una evolución importante, al pasar en

el índice agrupado promedio de todas las entidades, de un nivel de avance bajo de 49

puntos en 2008, a un nivel alto de 87 puntos en 2011; encontrándose para este último año,

todas las fases de gobierno en línea en un nivel alto, como se puede apreciar en la Figura

26.

Figura 26. Nivel de avance de las fases de Gobierno en Línea en las entidades de nivel nacional. 2008-2011


Las entidades de nivel territorial se encuentran en un nivel bajo de avance en la

estrategia de gobierno en línea, al contar con un índice promedio de 41 puntos al 2011,

presentando un nivel diferencial en cada una de sus fases, desde un nivel medio de avance

de las fases de Información en línea e Interacción, hasta un nivel bajo en las tres fases

restantes, no superando en promedio los 31 puntos de avance, como se puede observar

en la Figura 27.

18

8

Figura 27. Nivel de avance de las fases de Gobierno en Línea en las entidades del nivel territorial. 2008-2011


6.5.3. Aspectos relevantes en el nivel de avance de la Estrategia

Gobierno en Línea

Para efectos del presente proyecto, existen algunos aspectos que se deben destacar en

el estudio, del nivel de avance de la estrategia de gobierno en línea, adelantado por el

ministerio, entre ellos se distinguen:

Intercambio de información entre entidades públicas: Mientras que en el año 2009, el

63% de las entidades públicas de orden nacional y el 47% de las entidades públicas de

orden territorial, realizaban intercambio de información con otras entidades públicas; para

el año 2011, se incrementó este porcentaje en 65% y 60% respectivamente.

Frente a la incorporación de la estrategia de gobierno en línea como una herramienta

institucionalizada, a través de la incorporación en las políticas institucionales o sectoriales

de la entidad, para el año 2011 el 76% de las entidades nacionales la habían incorporado

como tal, mientras que solo el 68% de las entidades territoriales habían realizado tal

incorporación.

189

En cuanto al número de trámites y servicios en línea ofrecidos por las entidades de orden

nacional y territorial, se ha presentado un incremento en su número para el año 2011,

llegando a un nivel de avance del 48% y 24% respectivamente.

6.5.4. Las entidades de Control frente a la Estrategia de Gobierno en Línea.

Es importante tener presente que, a pesar de que al programa gobierno en línea, que es

el responsable de la estrategia, le compete monitorear permanentemente el nivel de

avance en la implementación de las diferentes fases, es a las entidades de Control Fiscal

del país a quienes les corresponde, como mínimo, ejercer un control de legalidad para el

cabal cumplimiento de los objetivos previstos por la estrategia; y sin lugar a dudas, esto

hace parte del control en línea.

De igual forma, es importante llamar la atención, al ejemplo que deben dar las entidades

de control, en el cumplimiento de las normativas de gobierno en línea como requisito sine

qua non, para poder ejercer las funciones de control en las demás entidades públicas.

Al respecto y de acuerdo a lo establecido en el informe del Programa Gobierno en Línea,

los organismos de control tuvieron un índice de avance hasta el año 2011 de 72,

manteniendo este índice estable desde el 2009, con un leve incremento (de 3 puntos) entre

el 2010 y el 2011. Se resalta el nivel de avance alto de calificación en la fase de

Información, mientras que en las demás fases se encuentran en un nivel medio.

Tabla 45. Nivel de avance de la Estrategia de Gobierno en Línea de los organismos de control (2008-2011)

FASES GOBIERNO EN LÌNEA NIVEL DE AVANCE

2008 2009 2010 2011

Información en línea 75 93 80 86

Interacción en línea 62 92 69 79

Transacción en línea 44 66 81 78

Transformación en línea 45 71 68 72

Democracia en línea 24 61 53 55

Fuente: Extraído a partir de (Ministerio de Tecnologías de la Información y las

Comunicaciones, 2012)

19

0

6.6. Las Tecnologías de Información del sector

gubernamental al margen del programa gobierno en

línea

Si bien el programa gobierno en línea ha dado impulso y seguirá impulsando el desarrollo

de estrategias y soluciones tecnológicas basadas en la web, como plataforma para el

desarrollo de servicios en línea, las entidades públicas cuentan y seguirán contando con

otras tecnologías de información, en especial sistemas de información que están al margen

de las que se desarrollan dentro de la estrategia de gobierno en línea, y que para el efecto

de este proyecto, hacen parte del alcance de la Auditoría Continua.

Las Tecnologías de Información y Comunicaciones, de las cuales disponen las diferentes

entidades públicas en sus diferentes niveles, desde una perspectiva eminentemente

operativa, se pueden tipificar en dos categorías: Infraestructura de Tecnologías de

Información y Sistemas de Información.

La infraestructura de Tecnologías de Información, no es muy visible a los usuarios finales,

ni a la ciudadanía en general, sin embargo, sin ella sería imposible prestar los servicios

tecnológicos que proporcionan los sistemas de información. Dentro de esta infraestructura

tecnológica encontramos: los centros de energía, los data center, los diferentes tipos de

servidores, la infraestructura de red (incluyendo Internet), los sistemas operativos, las

bases de datos e inclusive, las herramientas utilizadas para el desarrollo de aplicaciones.

Los Sistemas de Información, representan la tecnología más visible para los usuarios

finales, y en el contexto del gobierno, para la comunidad. Ellos posibilitan de manera

directa la automatización de los procesos de gobierno. Con el fin de tipificar los diferentes

sistemas de información con que cuenta el sector público Colombiano, y teniendo como

variables de clasificación el tipo de proceso (solo de la entidad, o genérico en varias

entidades) y el nivel de difusión hacia la comunidad (interno o externo a la ciudadanía), se

expondrán los 4 tipos de sistemas de información existentes en la Figura 28.

191

Niv

el

de d

ifu

sió

n Difusión hacia

la ciudadanía Tipo II Tipo IV

Solo para uso

interno Tipo I Tipo III

Propios

Genéricos en varias

entidades

Tipo de Procesos en las entidades

públicas

Figura 28. Tipología de Sistemas de Información en el sector público

Fuente: (Valencia Duque, 2012a)

Sistemas de Información Tipo 1: Automatizan procesos internos en la organización

pública y que no están de cara al ciudadano, al menos de manera directa. Dentro

de esta categoría podemos encontrar, los sistemas de información que automatizan

los procesos de apoyo de la organización pública, y que son adquiridos o

desarrollados por cada entidad, entre los que podemos encontrar: la contabilidad,

el presupuesto, el manejo de tesorería, inventarios, la nómina. Generalmente, éstos

sistemas se encuentran automatizados a través de una ERP.

Sistemas de Información Tipo 2: Automatizan procesos internos, a través de los

cuales se prestan servicios a la ciudadanía, tradicionalmente procesos misionales,

como aquellos que se pueden observar en la tabla 3 y que la ciudadanía utiliza,

pero que son propios de una sola entidad.

Tabla 46. Ejemplos de Sistemas de Información Tipo 2

ENTIDAD PROCESO SISTEMA DE INFORMACIÓN

Policía

Nacional de

Colombia

Pasado

Judicial

http://antecedentes.policia.gov.co:7003/WebJudicial/

Procuraduría

General de

la Nación

Certificado de

Antecedentes

Disciplinarios

https://siri.procuraduria.gov.co/webciddno/Generar.aspx

http://antecedentes.policia.gov.co:7003/WebJudicial/

https://siri.procuraduria.gov.co/webciddno/Generar.aspx

19

2


Sistemas de Información Tipo 3: Automatizan procesos internos que son genéricos

en varias entidades del gobierno y que son utilizados tan solo a nivel interno (ver

ejemplos en la Tabla 4).

Tabla 47. Ejemplo de Sistemas de Información Tipo 3

Procesos Entidad

responsable del

Sistema

Sistema de

Información

Principales

Entidades

Usuarias

Formulación y

Evaluación de

Proyectos de

Inversión

Departamento

Nacional de

Planeación

SSEPI – Sistema de

Seguimiento y

Evaluación de

Proyectos de Inversión

Alcaldías y

departamentos del

país

Formulación y

Evaluación de

Proyectos de

Regalías

Departamento

Nacional de

Planeación

MGA – Metodología

General Ajustada

Alcaldías,

departamentos y

entidades

formuladoras de

proyectos

Contabilidad,

presupuesto,

tesorería y en

general procesos

de apoyo

organizacional

Ministerio de

Hacienda

ERP (Contrato BID 1053

Programa para el

Fortalecimiento del

Sistema de Información

Financiera Territorial)

Algunas alcaldías y

gobernaciones del

país

Gestión

Documental

Superintendencia

de Servicios

Públicos

Domiciliarios

ORFEO Empresas de

servicios públicos

domiciliarios y en

general

organizaciones del

sector público (por

ej. Auditoría

193

General de la

Nación


Sistemas de Información Tipo 4: Automatizan procesos que son genéricos en varias

entidades del gobierno y que son abiertos a la comunidad (ver Tabla 5)

Tabla 48. Ejemplo de Sistemas de Información Tipo 4

Procesos Entidad

Responsable

Sistema de

Información

Portal

Contratación Programa

Gobierno en

línea del

Ministerio

TIC’s

Sistema

electrónico para la

contratación

pública

https://www.contratos.gov.co/puc/

Contabilidad

del sector

público

Contaduría

General de la

Nación

CHIP

(Consolidador de

Hacienda e

Información

Pública)

http://www.chip.gov.co/schip_rt/


La implementación de los sistemas de información tipo 1 y 2, generalmente son

desarrollados o impulsados, por las áreas de sistemas de las respectivas entidades

públicas y los sistemas tipo 3 y 4, por entidades del orden nacional o por el programa

gobierno en línea.

6.7. El Control en línea, una perspectiva más amplia.

Si bien en el capítulo 3 se presentó una descripción del proyecto Control en línea, como

una de las iniciativas que actualmente se están desarrollando en el país, para integrar los

diferentes sistemas de información, que soportan los procesos de Control Fiscal, dando

cumplimiento a lo establecido en el artículo 126 de la Ley 1474 de 2011, es importante

https://www.contratos.gov.co/puc/

http://www.chip.gov.co/schip_rt/

19

4

tener en cuenta que, esta iniciativa hace parte del Plan Vive Digital y específicamente, de

la estrategia de gobierno en línea.

Sin embargo, es necesario contar con una visión mucho más amplia, del objetivo que

pretende el actual proyecto de Control en línea, en el marco de la Estrategia de Gobierno

en línea, si se tiene en cuenta que, tanto los productos y procesos tecnológicos resultantes

del gobierno electrónico, como las Tecnologías de Información con que cuentan y seguirán

contando las entidades públicas en sus diferentes niveles, deben ser objeto de control y

no solo desde la perspectiva de inversión y del adecuado manejo de los recursos públicos,

sino y esencialmente, desde la perspectiva de la transición de los procesos de manuales

ó semimanuales, a automáticos o semiautomáticos. Esta transición cambia la forma como

el Control Fiscal debe actuar, ya no sobre los procesos que se llevaban a cabo de forma

manual (por ejemplo la contabilidad, el presupuesto, la contratación…), sino sobre los

procesos que perduran pero en un ambiente automatizado y ello lleva fundamentalmente,

dentro del proceso auditor que ejercen los entes de control, a contar con nuevas

estrategias y técnicas para abordar los sujetos de control. Es a partir de esta realidad

tecnológica que se requiere potenciar el control en línea, si las entidades fiscalizadoras

pretenden ser competitivas y pertinentes, ante la realidad que viven sus sujetos de control.

Queda claro que, el control en línea no es exclusivo del sector gubernamental, sin

embargo, en el contexto del sector público, hace parte integral del e-government y consiste

en el uso de las TIC’s, dentro de los procesos de control y auditoría que son llevados a

cabo, por las entidades que ejercen el control gubernamental en el país. Es así que

conceptos como: Auditoría en Línea, Auditoría Remota, Auditoría Continua, Auditoría de

Sistemas, Control en Línea en tiempo real, Seguridad Informática, Auditoría Forense y en

general, cualquier uso que se dé a las TIC’s dentro del contexto de procesos de control y

auditoría, puede estar enmarcado dentro de la categoría de control en línea.

Por razones obvias, las entidades responsables del Control Fiscal Colombiano son las

llamadas a liderar el avance del control en línea, como mecanismo de modernización de

la función fiscalizadora del estado, y a pesar de que no se vislumbra de forma clara una

estrategia articulada entre las diferentes instancias para lograr dicho propósito, existen

iniciativas aisladas, que si bien no contemplan en toda su magnitud el deber ser del e-

control, si aportan a su avance.

195

6.8. Normograma de Tecnologías de Información en el

sector gubernamental Colombiano.

Estos últimos años han sido prolíficos, en expedición de normas relacionadas con la

información pública y los aspectos relacionados con la incorporación de las Tecnologías

de Información y Comunicaciones en el ámbito gubernamental, es por ello pertinente

presentar de manera general, las principales normas que al respecto se han promulgado

y que inciden de manera directa en el contexto del presente proyecto.

Tabla 49. Normograma de Gobierno Electrónico.

AÑO

NORMA DESCRIPCIÓN

1991

CONSTITUCIÓN NACIONAL

Artículo 113 de la Constitución Política de Colombia, faculta a los órganos del Estado a colaborar armónicamente para la realización de sus fines, sin perjuicio de las funciones separadas que cada uno tenga (Justificación para compartir información entre las entidades).

1998

LEY 489 DE 1998

Artículo 6 de la Ley 489 de 1998, señala en virtud del principio de coordinación y colaboración, que las autoridades administrativas deben garantizar la armonía en el ejercicio de sus respectivas funciones, con el fin de lograr los fines y cometidos estatales. En consecuencia, prestarán su colaboración a las demás entidades, para facilitar el ejercicio de sus funciones y se abstendrán de impedir o estorbar en el cumplimiento de éstas por los órganos, las dependencias, los organismos y las entidades titulares. (Justificación para compartir información entre las entidades).

1998

LEY 489 DE 1998

Artículo 95 “Las entidades públicas podrán asociarse con el fin de cooperar en el cumplimiento de funciones administrativas o de prestar conjuntamente servicios que se hallen a su cargo, mediante la celebración de convenios interadministrativos o la conformación de personas jurídicas sin ánimo de lucro” (Justificación para compartir información entre las entidades).

2000

DECRETO LEY 267 DEL 2000 (NUMERAL 7. ART. 5 FUNCIÓN DE ADVERTENCIA DE LA CGN)

Reglamentación de la función de advertencia para que el Administrador público conozca en tiempo real, las inconsistencias detectadas por la Contraloría y mediante la aplicación de una función de corrección, proceda a subsanarlas, cumpliendo con el fin último del control que es el mejoramiento continuo de las entidades públicas en su gestión fiscal. (Justificación para implementar Auditoría Continua) (Declarado inconstitucional en fallo de la Corte Constitucional del pasado 11 de Marzo de 2015).

2000

CONPES 3072

Estrategia número 6 denominada Gobierno en línea, propende por el fortalecimiento de la función del Estado al servicio del ciudadano, a través del uso de Tecnologías de Información y Comunicaciones, con el fin de contribuir a la construcción de un Estado más eficiente, más transparente, más participativo y que preste mejores servicios a los ciudadanos y a las empresas; lo cual redunda en un sector productivo más competitivo, una administración pública moderna y una comunidad más informada y con mejores instrumentos para la participación.

19

6

2002

LEY 790 de 2002 Disposiciones de Gobierno en Línea

2002

DIRECTIVA PRESIDENCIAL NRO 2

Disposiciones de Gobierno en Línea

2003

CONPES 3248 Disposiciones de Gobierno en Línea

2008

DECRETO 1151 DE 2008

En el marco de la estrategia de Gobierno en línea Decreto 1151 de 2008, en lo referente a la Fase de Transacción e Interacción, se establecen medidas de “comunicación en dos vías entre entidades, ciudadanos y empresas, con la consulta de datos e interacción con servidores públicos” y se “proveen transacciones electrónicas para la obtención de productos y servicios”, respectivamente.

2009

LEY 1341 DE 2009 Por la cual se definen principios y conceptos sobre la sociedad de la información y la Organización de las Tecnologías de Información y Comunicaciones.

2010

CONPES 3650

Declara el Programa Agenda de conectividad - Estrategia de Gobierno en línea como de importancia estratégica, ya que la utilización de las TIC facilita el flujo e intercambio de información entre las entidades del Estado y permite la construcción de un nuevo modelo de interacción con éste, a través del cual se cambia la percepción del ciudadano a un estado único.

2010

PLAN NACIONAL DE DESARROLLO 2010-2014

Uno de los ocho ejes estratégicos del Plan Nacional de Desarrollo es el de Buen Gobierno, como rector de las políticas públicas...., para lo cual Gobierno en Línea juega un papel preponderante, pues se convierte en un instrumento transversal que facilita el Buen Gobierno.

2010


En cumplimiento del Plan Nacional de Desarrollo 2010-2014, el Ministerio de TIC formuló el plan sectorial denominado Vive digital, en donde se señala que para seguir avanzando en Gobierno en línea, se propone trabajar en ampliar la oferta de trámites y servicios en línea (NOTA: Auditoría Continua, es un servicio en línea) y en particular, desarrollar las siguientes iniciativas: Urna de cristal, Control en línea, Centro de innovación, Corporaciones en línea, Gobierno en línea territorial, Sistema electrónico para la contratación pública, Notarías en línea, Emergencias en línea, Cero papel en la administración pública e Intranet gubernamental.

2010


La iniciativa de control en línea busca apoyar el proceso de rendición de cuentas a los entes de control fiscal, a la ciudadanía y al fortalecimiento del control social, a través de la denuncias, el seguimiento en tiempo real a las mismas, a las de políticas, planes, programas por parte de los ciudadanos apoyados en el uso eficiente de las TIC.

2011

LEY 1474 DE 2011 Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.

197

2011

LEY 1474 DE 2011

Artículo 126. Sistemas de información. La Contraloría General de la República,

las Contralorías territoriales y la Auditoría General de la República, a través del Sistema Nacional de Control Fiscal - Sinacof, levantarán el inventario de los sistemas de información desarrollados o contratados, hasta la fecha de la entrada en vigencia de la presente ley, por parte de las Contralorías territoriales para el ejercicio de su función fiscalizadora y propondrá una plataforma tecnológica unificada, que procure la integración de los sistemas existentes y permita la incorporación de nuevos desarrollos previamente convenidos y concertados por los participantes de dicho sistema.

2011

LEY 1437 DE 2011 Por el cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo, y particularmente en el capítulo IV, establece la utilización de medios electrónicos en el procedimiento administrativo.

2011

CONVENIO marco de coadyuvancia y colaboración

Modelo marco de coadyuvancia y colaboración entre la Contraloría General de la República, la Auditoría General de la República, la Procuraduría General de la Nación, la Contaduría General de la Nación y el Fondo de Tecnologías de Información y Comunicaciones. (http://www.procuraduria.gov.co/portal/media/file/CONVENIO%20MARCO.pdf)

2011


CONSIDERACIÓN 9: Los niveles de percepción de corrupción en Colombia y la grave sofisticación de ese flagelo, imponen cada vez más y mayores retos a los órganos de control del país, e implican además de la necesidad de permanentes reformas, contar con una visión conjunta de política pública, que propenda por una gestión gerencial más técnica a todos los niveles, con el fin de lograr una mayor eficiencia del control del uso de los recursos públicos (Justificación para implementar Auditoría Continua).

2011


CONSIDERACIÓN 14: Que las entidades del estado están sujetas a los principios de la función administrativa, entre los cuales está el de publicidad de sus actuaciones, lo que incluye el uso de medios electrónicos con el fin de facilitar el acceso a la información pública a la ciudadanía. (NOTA: En función del convenio de coadyuvancia, la Procuraduría es el representante de la ciudadanía) (Justificación para el uso de medios electrónicos).

2011

LEY 1450 DE 2012

Art. 230: “Todas las entidades de la administración pública deberán adelantar las acciones señaladas por el Gobierno Nacional a través del Ministerio de las Tecnologías de la Información y las Comunicaciones para la estrategia de Gobierno en Línea. Esta estrategia (…) contemplará como acciones prioritarias (…) estimular el desarrollo de servicios en línea del Gobierno por parte de terceros basados en datos públicos (…).”(Justificación para implementar OPEN DATA).

2012

LEY 019 DE 2012

Se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración pública, hace referencia al uso de medios electrónicos como elemento necesario para la optimización de trámites.

2012


Establece lineamientos generales de la Estrategia de Gobierno en línea.

2012


Crea el Viceministerio de Tecnologías y Sistemas de Información.

19

8

2014

LEY 1712 DE 2014 Ley de Transparencia y del derecho de acceso a la información pública Nacional.

2014


Establece lineamientos generales de la Estrategia de Gobierno en línea.


199

7. Modelo de Auditoría Continua para el


7.1. Aspectos preliminares del modelo

7.1.1. El modelo como concepto

Como punto de partida, es necesario e importante delimitar desde el punto de vista

epistemológico el concepto de modelo, con el fin de lograr una comprensión exacta de lo

que se quiere presentar en este proyecto.

La acepción de modelo es muy diversa y se usa de forma distinta en contextos diferentes,

lo que puede generar múltiples interpretaciones. De manera general, un modelo es una

representación parcial de la realidad, debido a que no es posible explicar una totalidad, ni

incluir todas las variables que ésta puede tener; por lo que se refiere más bien a la

explicación de un fenómeno o proceso específico, visto siempre desde el punto de vista

de su autor (Aguilera, 2000).

Un modelo “es una estructura conceptual que sugiere un marco de ideas para un conjunto

de descripciones que de otra manera no podrían ser sistematizadas” (Badillo, 2004,p.303).

El mismo autor establece que el modelo se debe formular conceptual y

metodológicamente, con el propósito de estudiar el comportamiento de esos objetos o

fenómenos.

Tomando como referencia lo anteriormente planteado, el autor partirá de la acepción de

modelo, como el conjunto de conceptos interrelacionados que representan una

idealización de lo que se quiere representar, bajo una lógica científica y pragmática en

20

0

un contexto particular. En términos de la propuesta, la lógica científica estará delimitada

por la importancia histórica y presente del uso de las Tecnologías de Información y

Comunicaciones en la función de auditoría, en particular la Auditoría Continua. La lógica

pragmática se enmarca en la realidad del uso de las TIC, en los procesos de gobierno (e-

government) y específicamente, en la realidad que vive el país alrededor de la estrategia

de gobierno en línea; y en el contexto particular, es el Control Fiscal Colombiano con su

problemática en los diferentes ámbitos, pero que dadas sus múltiples dimensiones, tan

sólo podremos modelar desde la perspectiva del aporte de las TIC en la eficacia y eficiencia

del control gubernamental y en especial, el aseguramiento que de este se realiza.

7.1.2. Supuestos básicos del modelo de Auditoría Continua

Para la construcción del modelo de Auditoría Continua, se partirá de los siguientes

supuestos básicos, con el fin de plantear un modelo ajustado a la realidad del Control Fiscal

Colombiano.

1. El modelo parte de los fundamentos de la estrategia de Gobierno en línea,

establecidos en el artículo 4 del decreto 2573 de 2014, en especial los relacionados

con la apertura y reutilización de datos públicos, la interoperabilidad, la neutralidad

tecnológica y la innovación.

2. la Auditoría Continua no es una técnica, ni es parte del proceso de auditoría, como

lo establecen diferentes modelos planteados en capítulos anteriores, es un nuevo

tipo de auditoría que puede permear las demás tipologías de auditoría, lo que

puede llevar a desarrollarla de forma autónoma o integrada con las demás

auditorías y cuyo requisito es que los procesos de negocio que son objeto de

evaluación, sean procesos de negocio permeados por la tecnología.

3. El modelo propuesto deberá ser construido, sobre la base de las guías de Auditoría

que actualmente usan las contralorías del país, si se pretende su aplicabilidad,

complementación y contextualización con los procesos, tecnologías y

competencias requeridas por el auditor gubernamental, para incorporarlas en su

quehacer cotidiano.

4. El escenario que impulsará el modelo de Auditoría Continua en el Control Fiscal

Colombiano, estará en función del nivel de madurez de gobierno en línea, que

201

presentan las entidades públicas Colombianas como sujetos de control de las

contralorías.

5. El modelo estará fundamentado en los principios constitucionales y legales que

enmarcan el Control Fiscal Colombiano y en aquellas normas que dan impulso al

Gobierno Electrónico, en especial, dando respuesta a un control ejercido de forma

posterior e inmediata, tal como lo establece el literal e) del artículo 129 de la Ley

anticorrupción (Ley 1474 de 2011), donde se insta a las contralorías territoriales a

desarrollar y aplicar metodologías, que permitan el ejercicio inmediato del control

posterior y el uso responsable de la función de advertencia (NOTA: esta función

de advertencia fue declarada inconstitucional en fallo de la Corte

Constitucional del pasado 11 de Marzo de 2015).

6. Los conceptos expuestos en el presente modelo, pueden ser aplicados en

cualquiera de las entidades fiscalizadoras superiores agrupadas en INTOSAI, si se

tiene en cuenta que tanto los procesos de fiscalización como la incorporación de

las TIC en los procesos gubernamentales, son una realidad en los diferentes países

del mundo.

7.2. Estructura del modelo de Auditoría Continua para el Control Fiscal Colombiano

El modelo de Auditoría Continua diseñado, puede ser definido como un servicio de

aseguramiento gubernamental basado en procesos, impulsado por la tecnología y

desarrollado por personas, fundamentado en las normas e influenciado por factores

políticos, que permite evaluar riesgos y controles en forma posterior e inmediata y de

manera más continua.

Este servicio es intensivo en conocimiento, debido a que requiere no solo conocimiento

técnico del auditor gubernamental, sino experiencia como base de la aplicación del modelo.

7.2.1. Subsistemas del modelo

El desarrollo del modelo contempla, además de los elementos técnicos requeridos para

llevar a cabo un proceso que impacte la función del Control Fiscal en el país, variables de

contexto que hacen viable su desarrollo. En este sentido, el modelo propuesto, tal como

20

2

se puede observar en la figura 30, consta de 4 capas o subsistemas y 12 elementos, que

permitirán a través de su interacción, cumplir con el propósito previsto. Estas capas son:

Base Normativa (BN), Tecnologías Habilitadoras (TA), Metodología (M), y los Impulsores

(I).

Para su diseño y acorde a lo expresado previamente, cada uno de los subsistemas y

elementos que hacen parte del modelo han sido construidos, dando respuesta a una lógica

científica que actúa sobre una lógica pragmática, las cuales a su vez interactúan con un

contexto en particular, al cual se le ha adicionado el impacto esperado, en función del

efecto panóptico que tiene la operación del modelo en las tres líneas de defensa, como se

puede observar en la Figura 29.

La lógica científica representada en el análisis histórico del uso de las TIC en los procesos

de auditoría y en especial, por la base de conocimiento existente alrededor de la Auditoría

Continua, en particular la metodología, las técnicas y las herramientas de Auditoría

Continua, propuestas en los capítulos previos y que se encuentran representadas en el

modelo, a través de la Metodología (M) y en algunos elementos de las Tecnologías

Habilitadoras (TH).

La lógica pragmática se enmarca en la realidad del uso de las TIC en los procesos

gubernamentales, representados por su nivel de automatización, el nivel de apropiación

del gobierno electrónico y su transitar hacia el gobierno abierto. Esta realidad se encuentra

representada en el modelo en los tres (3) otros elementos, que hacen parte de las

Tecnologías Habilitadoras (TH).

Y el contexto particular, es el Control Fiscal Colombiano con su problemática en los

diferentes ámbitos, y se encuentra representada en el modelo por la Base Normativa (BN)

y por los Impulsores (I).

La adecuada combinación de estos cuatro subsistemas, permite a través de su efecto

panóptico, impactar las tres líneas de defensa, propuestas recientemente por el Instituto

de Auditores Internos (global).

Figura 29. Modelo de Auditoría Continua para el Control Fiscal Colombiano


Los cuatro subsistemas tienen niveles de dependencia y cada uno cumple una función

específica dentro del modelo, es así como, la base del modelo es el subsistema de base

normativa, el cual permite que el modelo sea viable jurídicamente en Colombia, dado que

en el sector público (a diferencia del privado), una de las bases fundamentales en las

cuales se apoyan, tanto las entidades públicas (como sujetos de control) como las

contralorías del país, para desarrollar sus actuaciones que están basadas en normas y el

modelo no puede ser ajeno a ellas. Colombia es un país de normas y como tal, por tener

este modelo una orientación hacia lo público, es necesario reconocer este subsistema

como la base que soporta el modelo, la cual a su vez está fundamentada en tres elementos:

el desarrollo normativo actual y futuro que se tenga en el Control Fiscal Colombiano, el

gobierno electrónico y las entidades sujetas de control.

Sobre la base normativa, se requieren tres motores que impulsen el modelo y que permitan

que los otros dos subsistemas puedan entrar en acción, y esa es la función que cumple el

subsistema denominado impulsores, entendidos como los mecanismos que hacen que el

modelo pueda ser viable organizacionalmente, si se tiene en cuenta que tanto las

contralorías, como las entidades sujetas de control, se mueven en un entorno político, que

hace que se dinamice o se entorpezca un proceso de auditoría continua. De igual forma,

si se logran cumplir muchas de las normas promulgadas en los últimos años, alrededor del

gobierno electrónico y de los mecanismos de interacción electrónico, entre entidades

públicas y entidades sujetas de control, ello crearía un escenario favorable para el

desarrollo del modelo, lo cual requiere a su vez, de unas adecuadas competencias

tecnológicas de los auditores para aprovechar este escenario e impulsar el proceso de

Auditoría Continua. De allí que, los elementos que hacen parte de este subsistema son el

cumplimiento normativo, la voluntad política y las competencias tecnológicas del auditor

gubernamental.

En caso de lograr esa viabilidad organizacional, tanto por parte de las entidades sujetas

de control como de las mismas contralorías, es necesario ajustar las metodologías de

auditoría gubernamental, para que incorporen los elementos de auditoría continua, y se

aprovechen las experiencias y conocimientos que tienen y tendrán los auditores

gubernamentales, y que existen alrededor de la auditoría continua para fortalecer la

competitividad de su perfil, generando una viabilidad metodológica del modelo, que

205

requiere a su vez unas herramientas y un entorno tecnológico, que desde el punto de vista

técnico genere una viabilidad tecnológica, que permita interactuar con la metodología y se

logre así, concretar la incorporación de la Auditoría Continua como una práctica

generalizada en el Control Fiscal Colombiano, que beneficie no solo a la función de control

gubernamental, sino también al monitoreo de los asuntos públicos en línea.

Los dos actores principales del modelo son las 64 Contralorías del país y las

aproximadamente 90412 entidades sujetas de control.

El modelo a través de los cuatro subsistemas cuenta con 12 elementos, entre los cuales

se encuentran elementos endógenos y exógenos. Los elementos endógenos son aquellos

que dependen directamente de la gestión que realicen las contralorías o las entidades

sujetas de control y como tal, pueden actuar de manera directa sobre ellos; mientras que

los elementos exógenos, son elementos del entorno, los cuales no están bajo el dominio

de estos actores y no pueden incidir de manera directa sobre ellos.

Acorde a lo anterior, los elementos exógenos son difíciles de caracterizar, mientras que los

endógenos pueden ser caracterizados, para poder incidir sobre su evolución y logren el

objetivo del modelo.

7.2.2. Elementos exógenos del modelo de Auditoría Continua

El modelo presenta 5 elementos exógenos distribuidos en dos subsistemas, como se

puede apreciar en la tabla 50, los cuales serán caracterizados de forma general a

continuación.

2 Cifra aportada por el Procurador General de la Nación, en http://www.vanguardia.com/actualidad/colombia/217762-no-se-sabe-cuantas-entidades-publicas-hay-procurador

http://www.vanguardia.com/actualidad/colombia/217762-no-se-sabe-cuantas-entidades-publicas-hay-procurador

http://www.vanguardia.com/actualidad/colombia/217762-no-se-sabe-cuantas-entidades-publicas-hay-procurador

20

6

Tabla 50. Elementos exógenos del modelo de Auditoría Continua para el Control Fiscal Colombiano.

SUBSISTEMA ELEMENTO

Base normativa Control Fiscal Superior

Gobierno Electrónico

Entidades sujetas de control

Impulsores Cumplimiento normativo

Voluntad política


7.2.2.1. Normas del Control Fiscal Colombiano

Como parte de este documento, el capítulo 2 presenta la forma como opera el Control

Fiscal en Colombia, a partir de lo establecido en el artículo 267 de la Constitución Nacional

de Colombia, consecutivamente reglamentado por la Ley 42 de 1993 y por las normas

posteriores al artículo y Ley citados. A efectos de no incurrir en duplicidades, se referencia

como parte de este elemento del modelo, el normograma presentado en el numeral 2.2.2.1

del capítulo en mención.

Es importante establecer que, al momento de aplicar este modelo en una contraloría en

particular, se debe complementar con las normas que reglamentan la operación y el

funcionamiento de un modelo de Auditoría Continua en dicha contraloría.

De todas las normas que rigen el Control Fiscal Colombiano, es importante destacar la Ley

anticorrupción (Ley 1474 de 2011), teniendo en cuenta que este modelo responde de cierta

forma a lo establecido en el literal e) del artículo 129, donde se insta a las contralorías

territoriales a desarrollar y aplicar metodologías que permitan el ejercicio inmediato del

control posterior y el uso responsable de la función de advertencia (NOTA: esta función

de advertencia fue declarada inconstitucional en fallo de la Corte Constitucional del

pasado 11 de Marzo de 2015)..

7.2.2.2. Normas del Gobierno electrónico

207

En los últimos años se han promulgado múltiples normas alrededor del gobierno

electrónico, de las cuales han sido recopiladas las más importantes en el numeral 6.8 del

capítulo 6.

Dentro de las últimas normas promulgadas por el Gobierno Nacional, se encuentra el

Decreto 2573 de 2014, donde se renuevan los lineamientos generales de la estrategia de

gobierno en línea, de obligatorio cumplimiento para todas las entidades que conforman la

Administración Pública Colombiana.

7.2.2.3. Normas de las entidades sujetas de control

Colombia es un país de leyes y son innumerables las normas que deben cumplir todas las

entidades, que hacen parte de la Administración Pública Colombiana, las cuales deberán

ser tenidas en cuenta, al momento de realizar cualquier proceso de Auditoría Continua y

mucho más, si alguna de ellas se encuentra embebida en los sistemas de información

públicos.

Acorde a lo anterior, sería imposible desarrollar una relación de las diferentes normas a las

que están sujetas, las diferentes entidades públicas del país, y se debe insistir para efectos

del modelo, en identificar las normas aplicables al proceso sujeto de Auditoría Continua,

en el momento en que se vaya a desarrollar.

7.2.2.4. Cumplimiento normativo

De acuerdo a la Procuraduría General de la Nación, la variable más influyente de la

corrupción en Colombia, es el incumplimiento de las normas, limitando con ello, la

gobernabilidad y competitividad del país (Procuraduria General de la Nación, 2015).

No es suficiente con que existan las normas, se requiere que ellas se cumplan, por lo que

este elemento impulsor requiere un cumplimiento cabal, en especial de aquellas normas

relacionadas con el Control Fiscal, el gobierno electrónico y las normas que deben adoptar

las entidades sujetas de control, para permitir que los instrumentos normativos operen y

exista un entorno donde se pueda desarrollar la Auditoría Continua.

A modo de ejemplo, podemos acudir a normas tales como el Decreto 2573 de 2014, que

establece lineamientos y fechas para cumplir con las diferentes fases de gobierno

electrónico; o la ley 1712 de 2014, que establece para las entidades sujetas de control

20

8

deben definir esquemas de acceso a la información pública generados por ellos, o para el

caso de las contralorías la incorporación de metodologías

7.2.2.5. Voluntad política

Uno de los graves problemas del Control Fiscal Colombiano, es la dependencia política

que tienen las contralorías, dado el mecanismo de elección de los contralores, quienes al

ser elegidos por los órganos de elección popular, pierden independencia en el ejercicio de

la función de control, ya que estas corporaciones forman parte de las entidades a las que

las contralorías deben vigilar (Restrepo Medina et al., 2008).

Lo anterior puede llegar a limitar el modelo, debido a la necesidad de impulsar iniciativas,

proyectos o auditorías, que permitan desarrollar un control continuo y en tiempo real, de

muchos de los procesos de las entidades sujetas de control; de allí que se requiere en el

momento de desarrollar el modelo, voluntad política entre las partes, para garantizar el

cumplimiento de los objetivos previstos por el modelo.

7.2.3. Elementos endógenos del modelo de Auditoría Continua

Los elementos endógenos del modelo son los restantes siete (7) elementos, distribuidos

en tres de los cuatro subsistemas, tal como se puede apreciar en la tabla 51.

Tabla 51. Elementos endógenos del modelo de Auditoría Continua para el Control Fiscal Colombiano.

SUBSISTEMA ELEMENTO ACTOR PRINCIPAL

Impulsores Competencias tecnológicas del auditor

gubernamental

Contralorías

Metodología Metodología de Auditoría Continua Contralorías

Base de conocimiento Contralorías

Tecnologías

Habilitadoras

Técnicas y Herramientas de Auditoría

Continua

Contralorías

209

Automatización de procesos

gubernamentales

Entidades sujetas de

control

Masificación del gobierno electrónico Entidades sujetas de

control

Gobierno abierto Entidades sujetas de

control


A continuación se realiza una descripción de cada uno de estos elementos.

7.2.3.1. Competencias tecnológicas del auditor gubernamental

A pesar de que el modelo de Auditoría Continua para el Control Fiscal Colombiano es

intensivo en tecnología, son las personas las que hacen posible que la tecnología cumpla

su rol en beneficio de la organización y más aún, si se tiene en cuenta que el desarrollo de

la metodología requiere de las personas y son ellas en primera instancia quienes reciben

sus beneficios.

Este elemento del modelo pone al auditor gubernamental en el centro de actuación del

proceso, como debe ser, en interrelación con los demás actores intervinientes; pero es el

auditor gubernamental quien históricamente conoce la organización, el proceso objeto de

control, sus riesgos y controles, requeridos para llevar a cabo la Auditoría Continua y a su

vez, es quien analiza los resultados finales de los eventos reportados por la tecnología,

para desarrollar las actuaciones que estos ameriten.

De allí que, los auditores gubernamentales deben contar con las competencias necesarias,

para llevar a cabo el proceso de Auditoría Continua, en especial, competencias en el

ámbito tecnológico.

Al respecto el IIA (2005a) a través del Comité Internacional de Tecnología Avanzada, se

han identificado tres categorías de conocimiento de TIC para los auditores internos:

Categoría 1: Todos los Auditores: Es el conocimiento de TIC necesario para todos los

auditores profesionales, desde las nuevas incorporaciones, hasta el director de auditoría

21

0

interna. El conocimiento de TIC abarca entender conceptos como: las diferencias en el

software usado en aplicaciones, sistemas operativos, software de sistemas y redes. Esto

implica entender los componentes básicos de seguridad de TI y de control, tales como

seguridad perimetral, detección de intrusos, autenticación y controles de los sistemas de

aplicación. El conocimiento básico incluye entender, cómo los controles de negocio y los

objetivos de aseguramiento pueden verse afectados, por vulnerabilidades en las

operaciones de negocio y por lo relacionado con los sistemas de soporte, como los

componentes de redes y datos.

Es fundamental asegurar que los auditores tienen suficiente conocimiento, para centrarse

en el entendimiento de los riesgos de TI, sin necesariamente tener conocimientos técnicos

significativos.

Categoría 2: Supervisores de Auditoría: Se aplica al nivel de supervisión de auditoría.

Además de tener el conocimiento básico en TIC, los supervisores de auditoría deben

entender los aspectos y elementos de TIC de forma suficiente, para considerarlos en las

tareas de auditoría de planificación, pruebas, análisis, informe, seguimiento y en la

asignación de las habilidades de los auditores a los proyectos de auditoría. Esencialmente,

el supervisor de auditoría debe:

Entender las amenazas y vulnerabilidades asociadas a procesos automatizados de

negocio.

Entender los controles de negocio y la mitigación del riesgo que debe ser

proporcionada por la TIC.

Planificar y supervisar las tareas de auditoría, para considerar las vulnerabilidades

y los controles relacionados con la TIC, así como la eficacia de la TI en la provisión

de controles para las aplicaciones y entornos de negocio.

Asegurar que el equipo de auditoría tiene competencia suficiente, incluidas las

habilidades en TIC para las tareas de auditoría.

Asegurar el uso eficaz de las herramientas de TIC en los trabajos de auditoría y en

las pruebas.

Aprobar los planes y las técnicas para probar los controles y la información.

211

Evaluar los resultados de las pruebas de auditoría para evidenciar las

vulnerabilidades o debilidades de control de la TIC.

Analizar los síntomas detectados y relacionarlos con las causas que pueden tener

su origen en el negocio o en la misma TIC, como planificación, ejecución,

operaciones, gestión de cambios, autenticación u otras áreas de riesgo.

Proporcionar recomendaciones de auditoría basadas en los objetivos del

aseguramiento del negocio, centrándose en los orígenes de los problemas

observados, más que en divulgar simplemente los problemas o los errores

detectados.

Categoría 3: Especialistas en Auditoría Técnica de TIC: Esta categoría aplica al

especialista en auditoría de sistemas. Aunque los auditores de TIC pueden funcionar a

nivel de supervisión, deben entender la tecnología subyacente que respalda a los

componentes del negocio y estar familiarizados con las amenazas y vulnerabilidades

asociadas a las tecnologías. Los auditores de TI también pueden especializarse en ciertas

áreas de la tecnología.

7.2.3.2. Metodología de Auditoría Continua

El Control Fiscal Colombiano, tal como se estableció en el capítulo 2, está compuesto

institucionalmente por dos tipos de contralorías: La Contraloría General de la República

(con sus gerencias departamentales) y las 63 contralorías territoriales, cada una de ellas

con guías de auditoría; que si bien cumplen el mismo propósito, difieren en las actividades

desarrolladas.

A efectos de desarrollar la metodología de Auditoría Continua para el Control Fiscal

Colombiano, se tomarán como referencia la taxonomía y homogeneización de modelos de

Auditoría Continua analizada en el capítulo 5 y en particular, el modelo final resultante, el

cual se presenta de nuevo en la siguiente tabla.


ETAPA FASE

1.Definición de recursos y


21

2

Análisis de costos 1.2.Evaluación de costos y beneficios






4.Planeación Detallada (Programa de Auditoría)


4.2.Definición de objetivos y alcance de Auditoría Continua

4.3.Identificar riesgos e Indicadores de riesgo

4.4.Identificar controles e Indicadores de control

4.5.Identificar y Comprender Sistemas de Información Clave







5.Ejecución


5.2.Ejecutar pruebas de manera regular y oportuno para identificar excepciones

6.Comunicación de Resultados




7.Seguimiento


7.2. Garantizar la continuidad del proceso de Auditoría Continua.


No obstante, éste meta modelo resultante, debe estar contextualizado con el proceso

auditor gubernamental, del cual no se puede soslayar el modelo, debido a la preexistencia

de las guías de auditoría definidas normativamente en las contralorías del país.

A continuación se presentarán las guías de Auditoría Continua, que servirán de base para

soportar el modelo de Auditoría Continua en su versión territorial y en el de la Contraloría

General de la República.

213

7.2.3.2.1. Guía de Auditoría Continua para las contralorías territoriales.

La guía de auditoría de las contralorías territoriales fue concebida a través del SINACOF

(Sistema Nacional del Control Fiscal), con la participación de 34 de las 63 Contralorías

Territoriales del país y el liderazgo de la Contraloría General de la República y del Consejo

Nacional de Contralores Territoriales. Esta guía fue liberada en Noviembre del 2012 y es

la guía adoptada por la mayoría de las contralorías territoriales del país, para el ejercicio

de la función del control fiscal a nivel territorial.

A efectos de elaborar la propuesta de Guía de Auditoría Continua Territorial (GACT),

como una guía complementaria a la Guía de Auditoría Territorial (GAT) y que será usada

tan solo para desarrollar procesos de auditoría, donde los procesos sujetos de control

tienen un alto nivel de automatización; ésta debe seguir las mismas fases y actividades

propuestas en el GAT, para ser pertinente y aplicable. Sin embargo, existen algunas

actividades que deberán ser ajustadas, para diferenciar el desarrollo de una auditoría

tradicional con el de una Auditoría Continua; estas actividades serán integradas tomando

como referencia, el meta modelo de Auditoría Continua generado en el capítulo 5.

A continuación se presenta la estructura de la guía de auditoría territorial y su interrelación

con las diferentes actividades que serán complementadas con el meta modelo de Auditoría

Continua, y que para efectos del modelo se denominará: Guía de Auditoría Continua

Territorial (GACT).

Tabla 53. Fases y Actividades de la Guía de Auditoría Continua Territorial (GACT)

Fases Actividades del GAT Actividades del Meta modelo de

Auditoría Continua

1.

Pla

nea

ció

n E

str

até

gic

a

1.1. Definición de políticas y lineamientos para la elaboración del PGAT

1.2. Elaboración y consolidación de la matriz de riesgo fiscal

1.3. Determinación de objetivos y estrategias


1.4. Priorización de entes o asuntos a auditar

3.1.Establecer áreas prioritarias

1.5. Estimación e identificación de recursos


21

4

1.6. Aprobación del PGAT

1.7. Modificaciones y seguimiento al PGAT

2.

Fas

e d

e P

lan

eac

ión

2.1. Elaboración y comunicación del memorando de asignación de auditoría

2.2. Declaración de impedimentos de intereses y conflictos

2.3. Comunicación al auditado e instalación de la auditoría


2.4. Programa de auditoría (adiciones al programa si se considera necesario)












3.

Fas

e d

e E

jecu

ció

n

3.1. Aplicación de procedimientos, pruebas y obtención de evidencia




3.2. Determinar observaciones

3.3. Realizar mesas de trabajo

215

4.

Fas

e d

e In

form

e 4.1. Elaborar informe preliminar y

realizar ajustes


4.2. Revisar y validar de forma y de fondo el informe preliminar


4.3. Aprobación

4.4. Firma y remisión

4.5. Revisión y análisis de respuesta del ente auditado

4.6. Revisión y aprobación del informe definitivo

4.7. Remisión del informe definitivo al ente auditado


5.

Ev

alu

ació

n d

el

pro

ce

so

au

dit

or

5.1. Reportar beneficios del proceso auditor


5.2. Evaluar cumplimiento del proceso auditor


7.2. Garantizar la continuidad del proceso de Auditoría Continua.


7.2.3.2.2. Guía de Auditoría Continua para la Contraloría General de la República

La guía de auditoría de la Contraloría General de la República ha sufrido cambios en los

últimos dos años, con la anterior y el actual Contralor General de la República; la primera

transformación radical se dio en Febrero de 2013, a fin de ajustar la metodología al Sistema

de Información SICA (Sistema Integrado para el Control de Auditorías), software donado

por la Contraloría General de Chile. La segunda transformación se dio en Febrero del 2015,

con algunos ajustes menores.

Al igual que con la guía de Auditoría Continua Territorial (GACT), la guía de Auditoría

Continua para la Contraloría General de la República (GACCGR) deberá incorporar las

actividades propias de una Auditoría Continua, en base al metamodelo de Auditoría

Continua construido en el capítulo 5.

21

6

A continuación se presenta su estructura e interrelación con el metamodelo.

Tabla 54. Fases y Actividades de la Guía de Auditoría Continua de la Contraloría General de la República (GACCGR)

Fases Actividades de la GACGR Actividades del Meta modelo de

Auditoría Continua

1.

Pla

nea

ció

n E

str

até

gic

a

1.1. Levantar o Actualizar inventario de entes objeto de control fiscal

1.2. Determinar y Aprobar el nivel de importancia relativa de los entes objeto de control fiscal con la Matriz de Importancia Relativa (MIR)

1.3. Elaborar y Aprobar Matriz de Control (MC)

1.4. Configurar macro procesos, procesos y factores de riesgo de cada ente objeto de control fiscal

1.5. Determinar y Aprobar nivel de riesgo de cada ente objeto de control fiscal en la Matriz de Riesgo (MR)

1.6. Priorizar entes objeto de control fiscal

3.1.Establecer áreas prioritarias

1.7. Establecer políticas y lineamientos para la elaboración del PGA

1.8. Definir y Aprobar prioridades nacionales y de las UES

1.9. Elaborar Matriz de Planificación y Programación del PGA - MPLPR

1.10. Estimar recursos para ejecutar el PGA



1.11. Presentar y Aprobar PGA

1.12. Ejecutar PGA, efectuar monitoreo y seguimiento

1.13. Actualizar Plan Nacional de Auditorías (PNA)

1.14. Elaborar Asignación de Trabajo (AT)

1.15. Aprobar y Comunicar Asignación de Trabajo

217

1.16. Declarar impedimentos y conflictos de Interés

1.17. Actualizar objetivo general y determinar objetivos específicos

4.2.Definición de objetivos y alcance de Auditoría Continua

1.18. Comunicar al auditado e instalar auditoría


2.

Fas

e d

e P

lan

eac

ión

2.1. Comprender la Asignación del Trabajo (AT), entender los objetivos específicos, comprender la Matriz de Riesgo (MR) y elaborar Cronograma de la Fase de Planeación.

2.2. Conocer el ente objeto de control fiscal o asunto a auditar y Evaluar controles





2.3. Evaluar el riesgo combinado, definir la estrategia de auditoría, elaborar plan de trabajo y los programas de auditoría.









2.4. Aprobar Plan de Trabajo y el término máximo para el traslado de los hallazgos con presunta incidencia

2.5. Aprobar programa(s) de auditoría

21

8

3.

Fas

e d

e E

jecu

ció

n

3.1. Ejecutar Procedimientos de Auditoría



3.2. Estructurar observaciones, hallazgos; Diligenciar Matriz de Gestión y Resultados; Emitir Conceptos y Opinión

3.3. Validar y Aprobar observaciones y hallazgos

3.4. Verificar el registro en el SICA de los resultados de la auditoría

3.5. Elaborar Memorando de Preparación de Resultados de Auditoría (MPRA)

3.6. Cerrar AT de ejecución

4.

Fas

e d

e In

form

es

4.1. Crear, aprobar y comunicar AT de Informe Final


4.2. Revisar el Memorando de Preparación de Resumen de Auditoría (MPRA) insumo para el informe y reporte

4.3. Estructurar proyecto de informe y reporte de auditoría

4.4. Iniciar flujo de revisión de informe y reporte

4.5. Revisar proyecto informe y reporte


4.6. Revisar y aprobar el informe y reporte

4.7. Realizar ajustes al informe y reporte

4.8. Remitir reporte a la UE que consolida el informe

4.9. Consolidar reportes de puntos de control y elaborar proyecto de informe para sustentarlo ante el Comité Técnico

4.10. Revisar y aprobar el informe consolidado

4.11. Firmar y liberar el informe 6.3.Informar a la Dirección

219

4.12. Cerrar Auditoría 5

. A

ccio

ne

s

po

st

au

dit

orí

a y

eva

lua

ció

n d

el

pro

ce

so

au

dit

or




7.2.3.3. Base de conocimiento

Los auditores gubernamentales por su experiencia y conocimiento de los procesos de

auditoría en el sector público, han acumulado y seguirán acumulando experiencia que

adecuadamente gestionada permitirá compartir y agilizar la base de auditoría y los

elementos de auditoría continua que se incorporan como parte de la metodología. En este

sentido y de manera inicial, se deberá contar con una base de conocimiento de riesgos,

KRI, controles, KCI, agentes y alarmas, en lo que se ha denominado BRCA2 de forma tal,

que sirven de herramienta para apoyar el proceso metodológico de Auditoría Continua.

Es importante tener en cuenta que este componente del modelo, puede ser incorporado

como parte de los proyectos de gestión del conocimiento, que adelantan actualmente

algunas contralorías del país, dada la iniciativa que al respecto viene siendo liderada por

OLACEFS (Organización Latinoamericana y del Caribe de Entidades Fiscales Superiores)

7.2.3.4. Técnicas y Tecnologías de Auditoría Continua

Como se ha presentado en el capítulo 4 y 5, existen diversas técnicas para llevar a cabo

la Auditoría Continua las cuales en general, son denominadas técnicas de auditoría

concurrente, sin embargo, en la práctica de los modelos de Auditoría Continua analizados

las técnicas utilizadas son EAM y MCL; siendo ésta última mucho más utilizada en la

auditoría externa.

22

0

En cuanto a las alternativas tecnológicas disponibles, para lograr que la metodología de

Auditoría Continua sea funcional para el Control Fiscal Colombiano, estas pueden ir desde

soluciones genéricas, pasando por herramientas de análisis de datos, hasta soluciones

especializadas que han sido diseñadas específicamente para soportar la Auditoría

Continua en las organizaciones.

En lo que tiene que ver con soluciones genéricas y de acuerdo a diversos estudios, donde

se indaga acerca de las herramientas utilizadas por los auditores internos, las dos

herramientas más utilizadas son Excel y Access.

Dentro de las herramientas de análisis de datos, se encuentran soluciones propietarias y

soluciones libres. En lo que tiene que ver con soluciones propietarias, las herramientas

más utilizadas son ACL e IDEA, y en lo que tiene que ver con herramientas libres se

encuentran PICALO y Power pivot.

En la categoría de herramientas de análisis de datos y aunque no son especializadas en

el campo de la auditoría, si son herramientas de minería de datos que pueden cumplir con

muchas de las funcionalidades, con que cuentan las herramientas tradicionales de análisis

de datos, entre ellas se encuentran: Weka, Rapid Miner, Orange, KNIME, JHepWork, Data

Mining Add-in for Excel, entre otras.

Las herramientas especializadas de Auditoría Continua que más se usan y aunque aún

son muy costosas para ser adquiridas por una contraloría, son: Caseware monitor, ACL

Auditexchange.

Existe otra serie de conceptos y tecnologías, que permiten incorporar mecanismos para el

desarrollo de una solución de Auditoría Continua, entre las que se destacan los web

services utilizados en diferentes implementaciones técnicas de Auditoría Continua.

7.2.3.5. Automatización de procesos gubernamentales

Si bien el gobierno electrónico ha venido impulsando la automatización de procesos

gubernamentales, fundamentalmente de cara a la ciudadanía y a las otras entidades

públicas para soportar las cadenas de trámites, existen y existirán proyectos de

automatización de procesos internos, que permitirán ampliar la base sobre la cual puede

221

actuar la Auditoría Continua, no solo para efectos del Control Fiscal, sino para impulsar su

uso en el control interno y como parte del monitoreo continuo de las entidades públicas en

busca finalmente de procesos de autocontrol.

De allí, que el incremento de la automatización de procesos gubernamentales en sus

diferentes modalidades tal como se han planteado en el capítulo 6, impulsará el desarrollo

del modelo y lo hará más viable para su materialización en el Control Fiscal Colombiano.

Sin embargo, es importante tener en cuenta en este elemento, que en general la

automatización de procesos gubernamentales depende a su vez, del nivel de madurez de

los procesos tecnológicos de la organización, que hacen posible su proyección,

generación, soporte/ mantenimiento y monitoreo permanente.

7.2.3.6. Masificación del gobierno electrónico

La masificación del gobierno electrónico en las entidades sujetas de control por las

contralorías del país, es uno de los requisitos fundamentales para posibilitar la Auditoría

Continua, debido a que es el habilitador de los procesos y tecnologías requeridas para su

interacción. Para lograr determinar el nivel de incorporación de los diferentes elementos

del gobierno electrónico y así, lograr establecer el grado en el cual se está masificando su

uso, debemos tener en cuenta las normas, metodologías y tiempos establecidos por el

gobierno nacional para tal fin.

A pesar de la gran cantidad de normas que al respecto han surgido en los últimos años y

en especial, las relacionadas con la estructura del gobierno electrónico y las fechas de

cumplimiento de las diferentes fases, se utilizarán como punto de partida, los componentes

de la Estrategia de Gobierno en línea, definidos en el Decreto 2693 de 2012, que se derivan

de la evolución de las “Fases de Gobierno en línea”, contempladas en el Decreto 1151 de

2008 y no se tendrán en cuenta por lo reciente de su publicación, la estructura y fechas

planteadas en el Decreto 2573 del 12 de Diciembre de 2014.

En este sentido, las fases que permitirán medir el nivel de avance y masificación del

gobierno electrónico en Colombia (para efectos del modelo), están contempladas en el

Manual de gobierno en línea 3.1, las cuales ya fueron explicadas en el capítulo 6, y se

resumen en: Elementos Transversales, Información en Línea, Interacción en Línea,

Transacción en Línea, Transformación, Democracia en Línea.

22

2

Cada una de estas 6 fases son medidas, de acuerdo al nivel de cumplimiento de los

elementos que la componen, con ponderaciones establecidas en el mismo manual, cuyo

resumen se presenta a continuación.

CATEGORIA PESO

(%) ACTIVIDAD

PESO

(%) SUBACTIVIDAD

PESO

(%)

Elementos Transversales

Institucionalizar la Estrategia de

Gobierno en Línea

30

Comité o instancia responsable de GEL

7,5 Comité o instancia responsable de GEL

7,5

Planeación del Gobierno en línea

7,5 Planeación sectorial e institucional

2,5

Plan de acción 5

Estrategia de apropiación

7,5

Capacitación en Gobierno en Línea

4

Promoción y divulgación en la entidad

2,5

Mejoramiento 1

Monitoreo y Evaluación 7,5

Esquema de monitoreo y evaluación

5,5

Reporte de implementación de la estrategia GEL

2

Centrar la atención en el

usuario 30

Caracterización de usuarios

15 Caracterización de usuarios

15

Estrategia de promoción

5 Estrategia de promoción

5

Accesibilidad 5

Nivel de Conformidad A 2

Nivel de Conformidad AA 2

Nivel de Conformidad AAA 1

Usabilidad 5

Directrices básicas 2

Directrices complementarias 1

Estándares del sitio web 2

Implementar un sistema de

gestión de TI 15

Planear el ajuste tecnológico

10

Análisis y caracterización de la infraestructura

4

Planeación 4

Tecnología verde 2

Protocolo IPv6 5

Planeación 1

Implementación 3

Monitoreo 1

25 25 Planear 2,5

223

Implementar un sistema de gestión de

seguridad de la información

Sistema de Gestión de Seguridad de la

Información

Hacer 15

Verificar 3,75

Actuar 3,75

Información en línea

Publicación de Información

57

Política Editorial 8 Política Editorial 8


40

Publicación de información básica 27

Información en audio y video 2

Información principal en otro idioma

4

Información adicional en otro idioma

3

Mejoramiento 4

Acceso multicanal 9 Acceso vía móvil 8

Acceso vía televisión digital 1

Publicación de datos abiertos

43

Inventario de Información

12

Elaboración del inventario 7,2

Publicación del inventario de información

4,8

Apertura de datos 31

Priorización y plan de apertura de datos

3

Documentación de los datos 5

Estructuración de los datos 5

Publicación de los conjuntos de datos

15

Mejoramiento 3

Interacción en línea

Habilitar espacios de interacción

50

Consulta interactiva de información

20 Consulta a bases de datos 13

Información interactiva 7

Servicios de interacción 30

Soporte en línea 6

Suscripción a servicios de información al correo electrónico o RSS

4

Base de datos de correos autorizados para comunicaciones y notificaciones

3

Suscripción a servicios de información móvil

5

Encuesta de opinión 3

Avisos de confirmación 6

22

4

Mejoramiento 3

Habilitar espacios

electrónicos para interponer

peticiones

50

Sistema de Contacto y PQRD

28 Espacio para contacto, peticiones, quejas, reclamos y denuncias

26

Mejoramiento 2

Sistema móvil de contacto y PQRD

11 Sistema móvil de contacto y PQRD

11

Sistema integrado de PQRD

11

Integración de canales de comunicación

6

Integración con organismos de control y superintendencias

5

Transacción en línea

Disponer trámites y

servicios en línea

100

Formularios para descarga

5 Formularios para descarga

5

Certificaciones y constancias

15 Certificaciones y constancias

15

Trámites y servicios 65

Caracterización, análisis y priorización de los trámites y servicios de la entidad

7,5

Automatización 35

Definir el esquema de atención por múltiples canales

4

Implementación de canales alternativos para la prestación de trámites y servicios

13,5

Mejoramiento 5

Ventanillas únicas 15 Priorización y planeación 5

Implementación 10

Transformación

Hacer uso de medios

electrónicos en procesos y

procedimientos internos

45

Buenas prácticas 9 Buenas prácticas 9

Sistema de gestión de documentos

13 Sistema de gestión de documentos

13


23

Caracterización de procesos y procedimientos

4

Análisis, priorización y racionalización de procesos

4

Automatización 12

Mejoramiento 3

55 Cadenas de trámites 27,5 Lenguaje común de intercambio 5

225

Intercambiar información

entre entidades

Identificación, análisis, priorización y optimización de cadenas de trámites

5

Automatización 12,5

Publicación de los servicios en el catálogo

5

Servicios de intercambio de

información 27,5

Identificación 3

Conceptualizar los elementos de datos

4

Automatizar los servicios 12

Publicar los servicios en el catálogo

4

RAVEC 2

Mejoramiento 2,5

Democracia en línea

Definir la estrategia de participación

15 Estrategia de

participación por medios electrónicos

15

Planeación 2

Datos para establecer contacto para la participación

1

Convocatoria 2

Discusión 3

Realimentación y resultados 2

Mejoramiento 5

Construir de forma

participativa las políticas y planeación estratégica

40

Normatividad 20

Convocatoria 5

Consulta 5

Realimentación 5

Resultados 5

Planeación Estratégica 20

Convocatoria 5

Consulta 5

Realimentación 5

Resultados 5

Abrir espacios para el control

social 20 Rendición de cuenta 20

Convocatoria 4

Consulta 4

Realimentación 4

Discusión 4

Resultados 4

Abrir espacios de innovación

abierta 25

Promoción de datos abiertos

8 Promoción de datos abiertos

8

Solución de problemas 17

Convocatoria 6

Espacios para la propuesta de soluciones

5

22

6

Resultados 6

Fuente: Construido a partir de (Ministerio de Tecnologías de Información y

Comunicaciones, 2013).

INDICE DE GOBIERNO EN LÍNEA

De acuerdo a lo establecido por el Ministerio de Tecnologías de Información y

Comunicaciones, para llevar a cabo el monitoreo de la estrategia de gobierno en línea, se

ha establecido el índice de gobierno en línea; el cual representa el estado de avance de

las entidades en la ejecución de la estrategia, teniendo en cuenta como referencia los

criterios definidos por el Manual de Gobierno en Línea (Ministerio de Tecnologías de

Información y Comunicaciones, 2014).

Para su construcción se han diseñado tres subíndices, los cuales son calculados a partir

de la ponderación promedio de los respectivos componentes de las diferentes fases de

gobierno en línea, tal como se puede apreciar en la tabla

Tabla 55. Subíndices de Gobierno en línea.

SUBINDICES ACTIVIDAD

Eficiencia Electrónica

Intercambiar información entre entidades

Hacer uso de medios electrónicos en procesos y procedimientos internos

Implementar un sistema de gestión de seguridad de la información

Implementar un sistema de gestión de TI

Institucionalizar la Estrategia de Gobierno en Línea

Gobierno Abierto

Abrir espacios de innovación abierta

Abrir espacios para el control social

Construir de forma participativa las políticas y planeación estratégica

Definir la estrategia de participación

Publicación de datos abiertos


Servicios

Disponer trámites y servicios en línea

Habilitar espacios electrónicos para interponer peticiones

Habilitar espacios de interacción

Centrar la atención en el usuario

Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2014).

227

7.2.3.7. Gobierno Abierto

Los gobiernos deben ofrecer plataformas en línea de información, con datos para la

ciudadanía y para las demás agencias gubernamentales, esto habilita la posibilidad de

desarrollar la Auditoría Continua. Desde una perspectiva tecnológica, se requiere que las

entidades sujetas de control cuenten con procesos automatizados representados en

sistemas de información y que a su vez, los datos e información procesados a través de

ellos puedan ser compartidos.

Esa característica de que los datos sean compartidos sin restricción y que exista la

infraestructura necesaria para tal fin, se enmarca dentro de lo que conocemos como

Gobierno Abierto (Open government), que para efectos del modelo, tomaremos la

definición planteada por Sandoval Almazán (2013) como una plataforma tecnológica

institucional, que convierta los datos gubernamentales en datos abiertos para permitir su

uso, protección y colaboración en los procesos de decisión pública, rendición de cuentas

y mejoramiento de los servicios públicos.

En marzo de 2010, los países de la Unión Europea y de América Latina y del Caribe,

reunidos en el V Foro Ministerial UE-ALC sobre la Sociedad de la Información celebrado

en España, incorporaron en el capítulo de Gobierno y Administración Pública, la

declaración de que los gobiernos y organismos públicos pongan a disposición de la

sociedad, en forma fácilmente accesible, aquellas informaciones y datos de interés público

que puedan ser utilizados por terceros para crear nuevos servicios para los ciudadanos (A.

Naser & Ramirez Alujas, 2014).

En Abril de 2012, Colombia se adhirió a la alianza de Gobierno Abierto, la cual contempla

como uno de sus ejes transversales, la colaboración entendida de dos formas diferentes:

i) entre entidades y ii) entre las entidades y la ciudadanía en general (Ministerio de

Tecnologías de Información y Comunicaciones, 2013).

La colaboración entre entidades, que es la requerida como parte del modelo, está

contemplada dentro del componente de transformación de la estrategia de gobierno en

línea, mientras que la colaboración entre las entidades y la ciudadanía en general, se

contempla en el componente de democracia.

22

8

La colaboración entendida como parte del componente de transformación hace

referencia directamente a los procesos de intercambio de información, es decir a la

interoperabilidad. La interoperabilidad resulta de la necesidad de las entidades de

contar con los datos que son responsabilidad de otras entidades para el

cumplimiento de su objeto misional. (Ministerio de Tecnologias de la Informaciòn y

las Comunicaciones, 2013,p. 28).

De igual forma, Colombia recientemente aceptó las recomendaciones de la Organización

para el Desarrollo Económico (OCDE), en lo relacionado con estrategias de gobierno

digital, orientado a un uso de tecnología más abierta, participativa e innovadora, a través

de acciones que permitan orientar y fomentar el uso y re-uso de la información pública,

aumentar la apertura y transparencia, proporcionar datos oficiales oportunos y confiables,

así como aumentar la disponibilidad de los datos en formatos abiertos. Estas

recomendaciones se encuentran reflejadas como parte del componente “TIC para el

gobierno abierto”, previsto en el reciente Decreto 2573 de Diciembre de 2014, donde se

establecen nuevos lineamientos de la estrategia de gobierno en línea, para las

organizaciones del estado Colombiano.

Como parte del Gobierno abierto, los esquemas tecnológicos que posibilitan el acceso a

la información pública en Colombia, están representados fundamentalmente por la reciente

Ley de Transparencia y Acceso a la Información Pública, el marco de interoperabilidad y

las iniciativas de open data, los cuales se detallan a continuación:

7.2.3.7.1. Acceso a Información Pública

En el año 2007, la Asamblea General de la Organización de Estados Americanos (OEA),

aprobó la resolución 2288 relacionada con el derecho de acceso a la información pública

e instó a los estados, a adoptar reglamentaciones para garantizar este derecho. Es así

como en Colombia se aprueba la Ley 1712 del 6 de Marzo de 2014, denominada “Ley de

Transparencia y del Derecho de Acceso a la Información Pública Nacional”, donde se

establece en su artículo 2 lo siguiente: “Toda Información en posesión, bajo control o

custodia de un sujeto obligado es pública y no podrá ser reservada o limitada sino por

disposición constitucional o legal”; entonces, de acuerdo al artículo 5 de la misma ley, se

tiene que son sujetos obligados las siguientes entidades:

229

Toda entidad pública, incluyendo las pertenecientes a todas las Ramas del Poder

Público, en todos los niveles de la estructura estatal, central o descentralizada por

servicios o territorialmente, en los órdenes nacional, departamental, municipal y

distrital.

Los órganos, organismos y entidades estatales independientes o autónomos y de

control.

Las personas naturales y jurídicas, públicas o privadas, que presten función pública

o que presten servicios públicos, de acuerdo a la información directamente

relacionada con la prestación del servicio público.

Cualquier persona natural, jurídica o dependencia de persona jurídica, que

desempeñe una función pública o de autoridad pública, de acuerdo a la información

directamente relacionada con el desempeño de su función.

Los partidos o movimientos políticos y los grupos significativos de ciudadanos.

Las entidades que administren instituciones parafiscales, fondos o recursos de

naturaleza u origen público.

En esencia, se encuentran contempladas todas las organizaciones que son sujetas de

control por parte de todas las contralorías del país.

De igual forma, la misma ley establece en su artículo 7, en relación con los medios a través

de los cuales se debe poner a disposición la información pública, que esta deberá estar

disponible a través de medios físicos, remotos, o locales de comunicación electrónica.

Lo anterior sienta las bases para el acceso a la información pública de cualquier entidad

del estado, lo que da vía libre a uno de los elementos fundamentales del modelo de

Auditoría Continua para el Control Fiscal Colombiano.

7.2.3.7.2. Marco de Interoperabilidad

La interoperabilidad definida como la capacidad mediante la cual, los sistemas

heterogéneos no solo tecnológicos, sino que también pueden intercambiar información y

procesos técnicos o datos (Criado, Gascó, & Jiménez, 2011), cuenta en Colombia con un

marco de Interoperabilidad promulgado en 2010, el cual está compuesto por un conjunto

23

0

de principios y políticas para el intercambio seguro y eficiente de información entre las

diferentes entidades gubernamentales. Este marco se encuentra acompañado de una

serie de guías y prácticas.

Este marco de interoperabilidad contempla cinco dominios:

Dominio político legal: Son aquellas políticas y normas que hacen posible el intercambio

de información entre las entidades, en este caso en particular, entre las entidades de

control y las entidades sujetas de control.

Dominio sociocultural: Son las competencias que deben tener las entidades para poder

intercambiar información, comprendiendo también, la habilitación de los medios necesarios

para lograrlo.

Dominio organizacional: Equivale al alineamiento organizacional que debe existir entre

las entidades involucradas en el intercambio de información.

Dominio semántico: Corresponde al lenguaje de información con el cual podrán

interactuar las entidades que intercambian información.

Dominio técnico: Se refiere a la infraestructura técnica necesaria para el intercambio de

información.

De igual forma, el marco de interoperabilidad establece cuatro (4) niveles de madurez en

su implementación por parte de las entidades. Estos niveles transitan desde un nivel inicial,

pasando por el nivel básico, nivel avanzando y nivel de mejoramiento permanente.

7.2.3.7.3. Open Data

De acuerdo con la organización sin fines de lucro Open Knowledge Foundations, los datos

abiertos son datos que pueden ser libremente utilizados, reutilizados y redistribuidos por

cualquier organización (A. Naser & Ramirez Alujas, 2014). La iniciativa de datos abiertos,

parte en su concepción como todos aquellos datos primarios, sin procesar, en un formato

estándar, estructurados e interoperables, que facilitan su acceso y permiten su

reutilización, y los cuales están bajo la custodia de las entidades públicas y pueden ser

obtenidos sin ninguna reserva (Ministerio de Tecnologías de Información y

Comunicaciones, 2015a).

231

Tradicionalmente, los formatos en los cuales se comparten los datos son: XLS, ODF, CSV,

XML, ATOM, JSON, TXT, RDF-XML, ZIP.

El Gobierno Colombiano ha establecido una guía y una herramienta para la publicación de

datos abiertos, la cual se encuentra publicada en el Portal del Catálogo de datos del

gobierno Nacional, tal como se puede apreciar en la Figura 30.

Figura 30. Portal del Catálogo de Datos Abiertos en Colombia.

Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2015c)

7.2.3.7.4. Lenguaje común de intercambio de información

Para mecanismos de intercambio de información, se requiere un lenguaje (una forma

estándar) que permita que los datos que se vayan a compartir, puedan ser entendidos por

las partes intervinientes. El lenguaje de intercambio de información es el estándar definido

23

2

por el Estado Colombiano, para intercambiar información entre entidades facilitando así,

el entendimiento entre los involucrados en los procesos requeridos para dicho intercambio.

Para llevar a cabo este proceso, se seguirán los lineamientos establecidos por el Ministerio

de Tecnologías de Información.

7.3. El efecto panóptico esperado del modelo

Para explicar la forma como la Auditoría Continua aporta al autocontrol, se acudirá a una

teoría desarrollada por el filósofo Jeremy Bentham, quien en 1791 acuño el término

Panóptico, pensado inicialmente para reducir el costo de operación de las cárceles

británicas. El propósito de dicha teoría era la observación de los presos de una cárcel, que

superaban en número a los vigilantes de ésta, realizado desde un punto único y sin que

estos se dieran cuenta. La anterior resulta ser una analogía interesante para explicar el

autocontrol; pues si se tiene en cuenta que la implementación de la Auditoría Continua

provee un efecto panóptico sobre el control, entonces se podría observar desde un punto

único (la tecnología de Auditoría Continua) las acciones que desarrolla la administración,

sin que estos se den cuenta. Sin embargo, si se divulgara la existencia de los controles

embebidos que están monitoreando constantemente los procesos organizacionales,

seguramente aquellas personas que deseen cometer un fraude o incumplir reglas de

control se inhibirían y ejercerían el autocontrol.

Como ejemplo de aplicación de este concepto, se puede acudir a los comparendos

electrónicos, a través de los cuales los organismos de transito instalan cámaras en sitios

estratégicos de la ciudad, para detectar en línea y de forma electrónica a aquellos

infractores de tránsito, quienes al momento de conocer la ubicación de las cámaras en los

diferentes puntos de la ciudad, se inhiben de cometer la infracción, por el comparendo que

ello genera, creando conciencia e incrementando el autocontrol en los conductores.

233

7.3.1. Modelo de las tres líneas de defensa

El modelo de tres líneas de defensa, es un documento de posición del IIA, denominado

originalmente como las tres líneas de defensa en la efectividad de la gestión del riesgo y

el control (The three lines of defense in effective risks management and control). Éste

modelo tiene el fin de coordinar esfuerzos, entre los diferentes actores organizacionales

que cumplen funciones de gestión de riesgos y control.

El modelo establece, tal como se puede observar en la figura 31, la necesidad de contar

con un aseguramiento integral de la organización, basado en tres líneas de defensa y dos

líneas adicionales que son: la auditoría externa y los reguladores que desarrollan

actividades adicionales de control; los cuales deben estar adecuadamente coordinados

para cumplir su objetivo, tal como lo establecen las normas internacionales para el ejercicio

profesional de la auditoría interna, en particular la norma 2050 (Coordinación) que

establece que: “El director de auditoría interna debería compartir información y coordinar

actividades, con otros proveedores internos y externos de servicios de aseguramiento y

consultoría, para asegurar una cobertura adecuada y minimizar la duplicación de

esfuerzos”.

Figura 31. Modelo de tres líneas de defensa

Fuente: (The Institute of Internal Auditors, 2013)

Con el fin de explicar la forma cómo interactúan las diferentes líneas de defensa en una

organización, es importante delimitar cada línea de defensa:

23

4

Primera línea de defensa: En esta línea, los gerentes operacionales son dueños y

gestores de riesgos, de igual forma son los responsables de implementar acciones

correctivas para disminuir el riesgo y las deficiencias de control, reportando directamente

a la gerencia.

La gerencia operacional y la estructura que la soporta son responsables de mantener un

adecuado control interno y también se encargan de ejecutar a diario los procedimientos de

control y riesgo; para lo cual identifican, evalúan, controlan y mitigan riesgos, guiando el

desarrollo e implementación de políticas y procedimientos internos, asegurando que las

actividades sean consistentes con las metas y objetivos de la organización.

El nivel operacional de la organización es la primera línea de defensa, debido a que los

controles son diseñados en los sistemas y procesos que están bajo su responsabilidad.

Segunda línea de defensa: La gerencia de las organizaciones establece por lo general,

una serie de funciones de gestión de riesgos y cumplimiento, que ayudan a construir y a

monitorear los controles de la primera línea de defensa. Algunas de estas funciones son

las siguientes: Un área o comité de gestión de riesgos, que ayuda a la gestión eficaz de

los riesgos; una función de cumplimiento relacionado con el control de riesgos legales; una

función que garantice el cumplimiento de normas de calidad; una función que garantice

niveles adecuados de seguridad de la información; entre otras.

Aunque la segunda línea de defensa hace parte de la gestión operativa, cumple funciones

específicas para la gestión de riesgos y controles específicos en la organización, haciendo

sus reportes directamente a la gerencia o en algunos casos a gerencias operativas.

Tercera línea de defensa: Equivale a la auditoría interna, provee aseguramiento

independiente, y reporta a los más altos órganos directivos de la organización, incluyendo

la gerencia general. Las principales características de esta tercera línea son la

independencia y la objetividad con las cuales evalúa factores como: el gobierno, el riesgo

y el control de la organización; incluyendo dentro de esta evaluación, la primera y segunda

línea de defensa.

Auditoría externa: La característica principal de esta línea de defensa es que es externa

a la organización y puede presentar una mayor independencia en su función de evaluación

235

de riesgos y controles, sin embargo, en ocasiones tiene limitaciones por el nivel de acceso

que puede tener sobre la información de la organización.

En el caso Colombiano, la auditoría externa esta tradicionalmente asociada a las revisorías

fiscales y para el caso del sector público, a la función ejercida por las contralorías en sus

diferentes niveles.

Regulador: En ciertos sectores de la economía existen procesos de control ejercidos por

organizaciones, que regulan el cumplimiento de las reglas del sector y desarrollan

auditorías periódicas, para garantizar que se cumplan las reglas previstas. En el caso

Colombiano, existen organizaciones como la Superintendencia de Servicios Públicos, la

Superintendencia Financiera y la Superintendencia de Industria y Comercio, entre otras.

7.3.2. Funcionamiento de las tres líneas de defensa con el efecto

panóptico esperado en el modelo de Auditoría Continua

Si se acude a las normas internacionales para el ejercicio profesional de la auditoría

interna, en especial a la norma 2050 (Coordinación) y en particular a los consejos para la

práctica 2050-1 y 2050-3, donde se establece entre otros aspectos lo siguiente:

Consejo para la práctica 2050-1 Coordinación: Las organizaciones pueden utilizar

el trabajo de los auditores externos para proporcionar aseguramiento, referido a las

actividades que están dentro del alcance de la auditoría interna.

Consejo para la práctica 2050-3 Confiar en el trabajo de otros proveedores de

servicios de aseguramiento: El auditor interno puede hacer uso del trabajo de otros

proveedores internos o externos de servicios de aseguramiento.

23

6

Figura 32. Efecto panóptico del modelo en las tres líneas de defensa


En este sentido y como se representa en la figura 32, los procesos de Auditoría Continua

desarrollados por las contralorías, proyectarán un efecto panóptico sobre las tres líneas de

defensa, si tenemos en cuenta que, la acción fiscalizadora ejercida por las contralorías se

aplica sobre el Control Interno (Auditoría Interna) y sobre las acciones llevadas a cabo por

la administración y las demás áreas de aseguramiento de la entidad pública.

Se podría afirmar que, el efecto panóptico del modelo de Auditoría Continua tendría un

mayor efecto, en las tres líneas de defensa que garantizan el aseguramiento integral de la

organización, si el desarrollo de los trabajos de Auditoría Continua llevados a cabo por las

contralorías pudiera ser compartido, con el área de Control interno de las organizaciones

públicas sujetas de control; las cuales a su vez, podrían ser desarrolladas como parte del

monitoreo continuo que se ejerce en la primera y segunda línea de defensa.

Para lograr lo anterior, se requiere voluntad entre las partes, dado que podría ser incluso

un proceso reciproco, que en últimas beneficiaría a la administración pública en general.

237

7.4. La gestión del cambio, un impulsor del modelo

Uno de los elementos críticos de cualquier modelo que genera cambios en las

organizaciones y más aún, basados en Tecnologías de Información y Comunicaciones, es

la gestión del cambio. El cambio organizacional supone abandonar un conjunto de

estructuras, procedimientos, comportamientos y la adopción de otros, con el objetivo de

mejorar el desempeño (De Pablos Heredero, Lòpez Hermoso, Martin-Romo, & Medina

Salgado, 2013).

La tecnología juega actualmente, un papel fundamental en la gestión del cambio

organizacional y como tal, requiere procesos de adaptación que lleven a convertir esta

propuesta en realidad.

Este modelo prevé la gestión del cambio, tanto de las contralorías del país, como de las

entidades sujetas de control. Aunque es una realidad que, un impulsor del cambio en el

sector público se da por la imposición de las normas, ante la imposibilidad (al menos en el

corto plazo) de llevarlas a cabo, se requiere concientizar a los directivos y auditores de las

contralorías, de la importancia que puede representar este modelo para el incremento de

la eficacia y eficiencia de la función de control gubernamental, así como de la transparencia

que puede generar para la administración pública.

23

8

8. Modelo de Auditoría Continua, en la

Contraloría General del Municipio de

Manizales

A fin de validar la pertinencia del modelo propuesto, se tomará como piloto la Contraloría

General del Municipio de Manizales (en adelante CGMM), a la cual denominaremos la

contraloría tipo, como referente para todas las contralorías del país.

Se ha decidido tomar como referente la Contraloría General del Municipio de Manizales

(en adelante CGMM), debido a que es una contraloría que se destaca como una de las

contralorías medianas con mejor calificación en el país, y además porque ocupa el tercer

puesto (de acuerdo al último informe del ranking establecido por la Auditoría General de la

República) de las 63 contralorías que existen en éste momento a nivel territorial; también,

porque es una de las 34 contralorías del país que participó recientemente y de de manera

activa, en la construcción de la guía de Auditoría Territorial y además, es considerada como

“una de las entidades de Control Fiscal que más ha utilizado las Tecnologías de

Información y Comunicaciones dentro de sus procesos de Control Fiscal” (Ministerio de

Tecnologias de la Informaciòn y las Comunicaciones, Auditoría General de la República,

Consorcio S&M, & UT Software Works, 2012b,42); lo cual es explicado por la cantidad y

calidad de herramientas tecnológicas, que dan soporte a los diferentes procesos de control

que desarrolla la entidad, llegando incluso a ser una de las pocas contralorías que ha

participado en el premio de Banco de éxitos de la Administración Pública, que promulga el

Departamento Administrativo de la Función Pública, con propuestas de uso de

herramientas tecnológicas en el control fiscal.

Para validar el modelo en la CGMM, se llevaran a cabo dos procesos: El primero orientado

a diagnosticar su estado actual en función del modelo propuesto y el segundo estará

orientado a proponer un plan de acción, que permita cerrar la brecha entre lo planteado en

el modelo y el estado actual de la Contraloría CGMM.

239

Sin embargo, es pertinente precisar que de los 12 elementos que hacen parte de los

subsistemas del modelo, tan solo se podrán caracterizar aquellos que son considerados

endógenos, debido a que los elementos exógenos son parte del contexto y no son

medibles desde un punto de vista pragmático por su naturaleza. Estos elementos

exógenos son cinco (5), los tres elementos que componen la base normativa y los

elementos de cumplimiento normativo y voluntad política del subsistema de impulsores.

8.1. Metodología e instrumentos para caracterizar el

Modelo de Auditoría Continua de la Contraloría

General del Municipio de Manizales

La caracterización de los diferentes elementos que hacen parte del modelo de Auditoría

Continua, propuesto en el contexto específico de la Contraloría General del Municipio de

Manizales, requiere acudir a diversas fuentes primarias y secundarias, que permitan

desarrollar una caracterización acorde a la realidad de esta entidad.

Para ello, y en función de los dos actores principales del modelo (la contraloría y las

entidades sujetas de control) se llevarán a cabo, además del análisis de fuentes

secundarias, tres (3) tipos de estudio basados en trabajos de campo:

1. Tipo 1. Evaluación del nivel de madurez de los procesos de Tecnología de

Información: Su objetivo es determinar en general, el nivel de madurez de las

áreas de Tecnología de Información y establecer los principales procesos de cada

entidad que se encuentran automatizados, como base para determinar la viabilidad

de cumplir con uno de los requisitos de la Auditoría Continua, y es que los procesos

para auditar se encuentran soportados en Tecnologías de Información.

2. Tipo 2. Caracterización del servicio de Auditoría Continua: Permite establecer

las principales características del auditor gubernamental de la contraloría y su nivel

de conocimiento, tanto del uso del computador en los procesos de auditoría, como

de la auditoría continua propiamente dicha.

24

0

3. Tipo 3: Evaluación del nivel de avance del gobierno electrónico en las

entidades sujetas a Control de la Contraloría General del Municipio de

Manizales: Dado que uno de los elementos esenciales del modelo es el gobierno

electrónico, este estudio permite determinar el nivel de avance que presentan éstas

entidades, de acuerdo a las directrices del Ministerio de Tecnologías de

Información, plasmadas en el manual 3.1. de gobierno en línea.

La ficha técnica de cada uno de estos estudios, se pueden observar en los anexos 3, 4 y

5.

Es importante tener en cuenta que Los resultados de cada uno de estos estudios, serán la

base con la cual se caracterizan los diferentes elementos endógenos del modelo

propuesto, tal y como se relacionan a continuación:

Tabla 56. Instrumentos para caracterizar el modelo de Auditoría Continua propuesto

SUBSISTEMA ELEMENTO FUENTE FUENTE TIPO

ESTUDIO

Impulsores Competencias auditor

gubernamental

Endógena Primaria Tipo 2

Metodología Metodología de Auditoría

Continua

Endógena Primaria/

Secundaria

Tipo 2

Base de conocimiento Endógena Primaria/

Secundaria

Tipo 2

Tecnologías

Habilitadoras

Técnicas y Herramientas de

Auditoría Continua



gubernamentales

Endógena Primaria Tipo1

Tipo 2

241

Masificación del gobierno

electrónico


Gobierno abierto Endógena Primaria Tipo 3


8.2. Diagnóstico de la Contraloría General del

Municipio de Manizales

8.2.1. Breve Reseña Histórica de la CGMM

La Contraloría General del Municipio de Manizales fue creada mediante Acuerdo 34 del 12

de Diciembre de 1941, expedido por el Concejo de Manizales, y a pesar de haber pasado

por diferentes reformas, en especial, las relacionadas con la forma de ejercer el control

fiscal en el país (Constitución de 1991 y su posterior ley 42 de 1993) y de la drástica

reducción de su planta de personal, al pasar de 108 funcionarios a 29, en aplicación de la

Ley 617 del 2000 (Contraloría General del Municipio de Manizales, 2014), actualmente es

una de las contralorías medianas con mejor calificación dentro de las contralorías

medianas del país, y la tercera de las 63 contralorías del país, de acuerdo al último informe

del ranking establecido por la Auditoría General de la República, tal como se puede

apreciar en la Figura 33.

24

2

Figura 33: Ranking de las Contralorías en Colombia

Fuente: Adaptado de (Auditoría General de la República, 2012)

8.2.2. Estructura Organizacional y de procesos

La Contraloría General del Municipio de Manizales, cuenta con una estructura

organizacional aprobada según acuerdo 764 de 2011, como se puede apreciar en la Figura

34, cuyas áreas funcionales son las siguientes:

Despacho del Contralor: Se encarga de fijar las políticas, planes, programas y estrategias

para el adecuado ejercicio del control fiscal; y además del desarrollo de las funciones

administrativas inherentes a la contraloría, en virtud de su autonomía administrativa,

presupuestal y contractual.

Despacho del Subcontralor: Se encarga de prestar el apoyo necesario, para el

cumplimiento de las funciones administrativas, de control fiscal y de participación

ciudadana, en desarrollo de la autonomía administrativa, contractual, financiera y

presupuestal que otorga la ley.

243

Figura 34. Estructura Organizacional de la Contraloría General del Municipio de Manizales

Fuente: (Contraloría General del Municipio de Manizales, 2015a)

Dirección de Planeación y Control Fiscal: Se encarga de planear, dirigir, programar y

coordinar la aplicación de los diferentes sistemas de control fiscal, mediante la adopción

de políticas, planes, programas y proyectos institucionales, procurando una efectiva

fiscalización de los recursos económicos de la Administración Municipal.

Coordinación de Responsabilidad Fiscal: Se encarga de dirigir el proceso de

responsabilidad fiscal, tendiente a determinar y cuantificar la existencia del daño o

deterioro patrimonial causado al Municipio de Manizales y a sus entes descentralizados,

por el manejo irregular de fondos o de bienes públicos, ya sea que se encuentren en

cabeza de funcionarios públicos o de particulares.

Coordinación de Evaluación Financiera: Se encarga de desarrollar el proceso financiero

y sus correspondientes subprocesos, para ejercer la vigilancia fiscal de manera integral a

los estados financieros de la Administración Municipal, mediante la revisión y examen del

presupuesto, la deuda pública y los estados contables, para determinar si los mismos

reflejan razonablemente las operaciones y los cambios en su situación financiera y si

cumplen las normas que los regulan.

24

4

Coordinación de Evaluación Contractual: Se encarga de desarrollar el proceso

contractual y sus correspondientes subprocesos, para ejercer la vigilancia de la gestión

contractual de la Administración Municipal de manera integral, mediante la revisión,

análisis y evaluación legal, técnica y presupuestal de la contratación; la valoración de los

costos ambientales, la determinación y evaluación de la gestión y los resultados del

proceso contractual.

Coordinación de Evaluación de Gestión y Resultados: Se encarga de desarrollar el

proceso de Gestión y Resultados y de sus correspondientes subprocesos, para establecer

en qué medida los sujetos de control logran sus objetivos y cumplen los planes, programas

y proyectos adoptados por la Administración Municipal en un período determinado;

mediante la evaluación de los sistemas de control interno, la evaluación de los sistemas

de información, la aplicación de indicadores de gestión y la presentación de los informes

de gestión y resultados.

En relación con la estructura por procesos, a través de la cual desarrollan su labor, la

CGMM cuenta con una estructura de procesos esquematizada en la Figura 35.

Figura 35. Mapa de procesos de la Contraloría General del Municipio de Manizales

Fuente:(Contraloría General del Municipio de Manizales, 2015b)

245

8.2.3. Entidades y puntos sujetos de control

La CGMM de acuerdo a la Resolución 025 de enero 21 de 2014, tiene como entidades y

puntos de control que son sujetos de control a 84 entidades, las cuales se detallan a

continuación:

Tabla 57. Entidades sujetas de control de la Contraloría General del Municipio de Manizales

TIPO ENTIDAD

Sector central

Alcaldía de Manizales (15 Secretarías de Despacho)

Personería de Manizales

Concejo de Manizales

Entidades descentralizadas de primer orden

Instituto de Valorización de Manizales – INVAMA

Instituto de Financiamiento, Promoción y Desarrollo de Manizales – INFIMANIZALES

Caja de la Vivienda Popular

Empresa Municipal para la salud – EMSA (Lotería de Manizales)

Centro de Recepción de Menores

Instituto de Cultura y Turismo

Transporte Integrado de Manizales – TIM S.A.

Manizales Segura S.A.

Hospital de Caldas E.S.E.

Hospital Geriátrico E.S.E.

Asbasalud E.S.E.

Entidades descentralizadas de segundo orden

Terminal de Transportes

Empresa Metropolitana de Aseo – EMAS S.A. E.S.P.

Aguas de Manizales S.A. E.S.P.

People Contact S.A.S.

INFOTIC S.A.

Empresa de Renovación Urbana de Manizales – ERUM.

24

6

Asociación Cable Aéreo de Manizales –ACAM

Entidades privadas

Corporación Ecoparque de Selva Húmeda Tropical Los Yurumos

Servicios Especiales de Salud S.E.S.

Frigocentro

Galerías Plaza de Mercado

Entidades de Régimen Especial Primera Curaduría Urbana

Segunda Curaduría Urbana

Fondos

Fondo de Seguridad y Convivencia ciudadana

Fondo de Solidaridad y Redistribución del Ingreso

Fondo Local de Salud

54 Fondos de Servicios Educativos Municipales

Fuente: (Contraloría General del Municipio de Manizales, 2015b)

8.3. El Modelo de Auditoria Continua para el Control

Fiscal Colombiano en el contexto de la

Contraloría General del Municipio de Manizales

8.3.1. Competencias tecnológicas del auditor gubernamental

8.3.1.1. Caracterización general del auditor de la Contraloría General del Municipio

de Manizales

La CGMM, al momento de realizar el presente estudio cuenta con 19 Auditores

gubernamentales, entre los que se encuentran: 17 profesionales, 1 Tecnólogo y 1 Auxiliar

Contable; sobresaliendo por su cantidad, los contadores públicos, abogados y

Administradores de Empresas, como se puede observar en la tabla 58. De éste personal,

el 63,1 % cuenta con alguna especialización, entre las que se destacan las

especializaciones en Derecho Administrativo (25%) y en Auditoría de Sistemas (25%).

247

Tabla 58. Perfil Profesional de los auditores gubernamentales de la Contraloría General del Municipio de Manizales

Profesión Nro. %

Contador Público 5 26,32

Abogado 4 21,05

Administrador de Empresas 3 15,79

Ingeniero Industrial 2 10,53

Economista 1 5,26

Tecnólogo Administración de Empresas 1 5,26

Auxiliar Contable 1 5,26

Ingeniero Sistemas 1 5,26

Administrador Sistemas Informáticos 1 5,26

TOTALES 19 100%

Fuente: Encuesta aplicada a Auditores gubernamentales de la Contraloría General del

Municipio de Manizales, 2014.

Los auditores gubernamentales de la CGMM cuentan en promedio con 9,7 años de

experiencia en auditoría, en un rango que va desde profesionales con 24 años de

experiencia hasta 7 meses; así mismo, cuentan en promedio con 6,7 años de experiencia

en procesos de Auditoría Gubernamental, con una antigüedad aproximada en la entidad

de 9,4 años; lo que para efectos del presente estudio, es una experiencia representativa

como preámbulo para opinar acerca de la Auditoría Continua.

Los auditores de la CGMM, pueden participar en las diferentes auditorías programadas

anualmente por la entidad como Auditores Líderes o Auditores de Apoyo y pueden jugar

uno u otro rol, de acuerdo al tipo de auditoría programada, siendo el Auditor Líder quien

direcciona y encabeza las diferentes etapas de la auditoría. De acuerdo a la información

proporcionada por los auditores de la entidad, el 57,9% de los auditores han participado

como Auditores Líderes en proceso de Auditoría Gubernamental.

La CGMM desarrolla sus labores de auditoría a través de las siguientes modalidades:

Auditorías exprés, auditorias especiales, auditorias regulares, auditorías de seguimiento y

auditorías virtuales. El 63,1 de los auditores gubernamentales han participado en auditorias

regulares y en más baja proporción (21%) han participado en auditorias virtuales, siendo

esta última la utilizada principalmente por el personal que soporta tecnológicamente la

entidad, precisando que su función en la organización no está en exclusividad hacia esta

función misional.

24

8

En cuanto a la tipología de auditorías, que llevan a cabo los auditores gubernamentales en

las entidades sujetas de control, y en coherencia con su perfil profesional, tal como se

puede observar en la Figura 36, sobresalen las auditorias financieras, legales y de gestión;

sin embargo, es importante tener en cuenta que, muchas de las auditorías que se llevan a

cabo actualmente en la CGMM, son auditorias integrales donde participan diferentes

auditores.

Figura 36. Tipología de auditorías desarrolladas en la Contraloría General del Municipio de Manizales

Fuente: Encuesta aplicada a auditores gubernamentales de la Contraloría General del


Dentro de la metodología llevada a cabo por los auditores gubernamentales y de acuerdo

a lo opinión expresada por estos, la totalidad de los auditores utilizan ó identifican los

riesgos del proceso al momento de llevar a cabo una auditoría, lo que prevé un esquema

de auditoría orientada a riesgos (requisito del modelo propuesto); sin embargo, al momento

de validar la información con los mismos auditores, se logró establecer que el enfoque

orientado a riesgos se aplica al programa Anual de Auditoría y no a los planes y programas

detallados de auditoría, lo que evidencia una bajo conocimiento en metodologías de

gestión del riesgo.

8.3.1.2. Competencia tecnológica de los auditores gubernamentales

Una de las actividades fundamentales para llevar a cabo la ejecución de los procesos de

auditoría, es contar con la información requerida a los sujetos de control en el menor tiempo

posible, para garantizar los tiempos planeados del proceso auditor, en este sentido y de

acuerdo a lo expresado por los auditores de la CGMM, en promedio la entidad sujeta a

32%

37%

21%10%

Legalidad

Financiero

Gestión

Resultados

249

control tarda aproximadamente 9 días en entregar la información que ha sido requerida,

en auditorías cuyo promedio de duración es de 1,94 meses. Es pertinente aclarar que estos

datos son indicativos para efectos del estudio, más no pretenden establecer tiempos

medios de duración de las auditorías gubernamentales, si se tiene en cuenta que su

duración depende del tipo y alcance de la auditoría.

El 63,1% de los auditores no ha utilizado hasta el momento Técnicas y Herramientas de

Auditoría Asistidas por Computador para desarrollar su labor de auditoría y el 92,3%

utilizan por lo general Excel como herramienta para el análisis de datos, sin utilizar las

funcionalidades propias de análisis de datos.

8.3.2. Metodología de Auditoría Continua

La Contraloría General del Municipio de Manizales (CGMM) fue una de las 34 contralorías

del país que participó de manera activa, en la construcción de la guía de Auditoría

Territorial, de allí su adopción como metodología oficial para el desarrollo de las auditorías

que se desarrollan.

Al indagarles a los auditores gubernamentales, acerca de los aspectos que podrían mejorar

al incorporar la Auditoría Continua en el proceso auditor, y el impacto que podría tener en

la función de Control Fiscal que presta la Contraloría, se logra identificar aspectos clave

comentados previamente, acerca de los beneficios que trae la Auditoría Continua para el

Control Fiscal Colombiano, tal como se puede observar en la tabla 59.

Tabla 59. Opiniones de los Auditores gubernamentales de la Contraloría General del Municipio de Manizales acerca de la Auditoría Continua

Auditor Cómo Mejora el servicio en

su proceso auditor Impacto para la CGMM

Delio Antonio Castellanos

La entrega oportuna de la información solicitada para realizar los análisis necesarios

Entrega de resultados en el menor tiempo posible, para que la entidad auditada u otros entes de control puedan tomar las decisiones pertinentes

Gildardo Vallejo Sepúlveda

Con este servicio se mejoraría en la medida en que los entes sujetos a control tengan toda la información necesaria disponible en tiempo real

Impactaría de manera efectiva si la información consultada es la real, eficiente y suficiente para el desarrollo y llevada a término del proceso auditor

25

0

María Lucia Pérez Patiño

Se puede mejorar en realizar un control fiscal en tiempo real y oportuno, y en tener mayor certeza en el manejo de información que envían las entidades desde su confiabilidad

Lograr un control en tiempo real y efectivo, y en obtener mayores resultados en la función fiscalizadora de la clasificación de los recursos públicos

Luisa Fernanda Hurtado Buitrago

Revisión de la información de manera inmediata

Realización del proceso auditor en tiempo real y oportuno

Juan Roberto Jiménez Carmona

En la oportunidad, la profundidad y en la imagen personal e institucional

El impacto es relevante, porque permitirá realizar un control oportuno y preventivo

Fabiola Delgado Morales

Oportunidad del control fiscal, prevención de daños físicos, mejoramiento imagen, resultados coherentes con la realidad actual

Reporte de resultados oportunos garantizando la debida operación de los recursos públicos en pro del mejoramiento de la calidad de vida y bienestar general

Geovanny Ochoa Corrales

Permite una identificación inmediata para determinar posibles inconsistencias o irregularidades en la gestión y resultados

A nivel Interno: Mejor acercamiento de los auditores con las TI y sensibilización sobre su uso (mayor competencia) información en tiempo real y ya procesada (menos operativo, más estratégico) permanente monitoreo de riesgos y controles. A nivel externo: Monitoreo Organizacional a procesos. Conciencia, publicidad y uso de TI entre otros

Lina María Rodríguez Cardona

Optimización de tiempos para realizar análisis y estudios de los insumos de la auditoría

Transparencia, confianza de los procesos desarrollados al interior de la entidad de control para con sus clientes directos como los ciudadanos

Alfonso Montoya Bedoya

En el tiempo de duración de la auditoría y reacción por parte de la contraloría, además de cumplir con la política de cero papel

Mayor acceso a la información de las entidades auditadas y mejores resultados en tiempo real

Marino Alonso Ospina Murillo

En que los resultados podrían ser más óptimos ya que la información que se está procesando es la que realmente se está manejando en el momento y daría pie para verificarla al instante

Considero que la Auditoría Continua sería una herramienta muy importante, ya que la evaluación de los procesos serían en tiempo real y por lo cual se podría detectar hechos irregulares que podrían ser subsanados antes de su realización final

251

Dubian Raúl Cardona Trujillo

Reduciendo el espacio de tiempo entre auditorias se disminuyen los riesgos de la ocurrencia de hecho ilegales

Se logra una mayor y permanente cobertura de los sujetos de control

José Duván Ramírez

Se puede mejorar en la oportunidad de la información, y la reducción del tiempo en el proceso auditor

Se podría ampliar la cobertura de los entes a auditar

Norma Clemencia Valencia Noreña

Detectando en tiempo real que parte del proceso está fallando y así con los controles implementados, se ponen fácilmente en evidencia hallazgos más pronto que al realizar un análisis tiempo después

Disminuyendo el tiempo de detección de las falencias en los procesos, reduciéndose los hallazgos en los sujetos de control en el que este servicio de auditoría trabaje en pro del mejoramiento de la calidad de los procesos, colaborando a la vez en el control interno de las entidades

Jhon Noreña Echeverry

Agilidad Agilidad, Veracidad y oportunidad

Leidy Johana Arias Serna

En el tiempo empleado para el análisis de la información

Mejoraría el análisis de datos en la realización de auditorías regulares

Lucia Yorlady Carrillo Delgado

Mejoraría la oportunidad de la información, lo que tendría un impacto en el tiempo de realización de la auditoria disminuyendo considerablemente

Al mejorarse los tiempos se podría aumentar el número de auditorías en las entidades, permitiendo a la contraloría ejercer un mejor control

Adriana Isabel Arango García

Oportunidad de obtener la información que ayuda para hacer más eficiente el proceso auditor

Impacto altamente positivo por la oportunidad que podrían tener los resultados del proceso auditor

Luz Odila Ciro Obando

Creo que me beneficiaria pues tendría conocimiento en tiempo real de la información relacionada con la parte contractual

Se podría llevar a cabo un control más efectivo, puesto que se está conociendo la información en tiempo real y se detectarían más tempranamente las falencias y se efectuaría un control más efectivo

Stella Vallejo López

Agilizando el proceso de recolección y análisis de la información igual que de utilizar unos archivos compatibles con la tecnología que la entidad nos provee

Una buena imagen externa, además de ampliar la cobertura en el desarrollo de auditorías incrementando el PGA



25

2

Es importante destacar que, a pesar de que la auditoría moderna prevé el enfoque RBA

(Risk Based Approach), la guía tan solo contempla la identificación de riesgos en la fase

de Planeación Estratégica, y no en la planeación detallada, lo que implica para efectos del

modelo de Auditoría Continua, la necesidad de afianzar de manera adicional estos

conceptos en los auditores gubernamentales.

8.3.3. Base de conocimiento

La Contraloría General del Municipio de Manizales, no cuenta a la fecha con ninguna base

de conocimiento, ni tiene previsto como parte de su plan de desarrollo establecer alguna;

además, no participan de las iniciativas que actualmente se están adelantando en

OLACEFS.

8.3.4. Técnicas y Herramientas de Auditoría Continua

Los auditores gubernamentales de la Contraloría General del Municipio de Manizales,

cuenta con muy bajos conocimientos de Auditoría Continua, así lo demuestra la encuesta

aplicada a los 19 auditores, en la cual al indagárseles acerca del nivel de conocimiento de

la Auditoría Continua, se obtuvo un promedio de calificación en una escala de 1 a 5 de 2,7.

De manera complementaria y a efectos de validar el resultado anterior, en respuesta a si

alguna vez ha prestado el servicio de Auditoría Continua dentro de su labor de auditor

gubernamental, tan solo 2 de los 19 auditores manifiestan haber prestado en algún

momento este servicio.

Lo anterior, complementado con el nivel de uso de las técnicas y herramientas de auditoría

asistidas por computador, muestra que tan solo el 36,8% de los auditores han utilizado

estas técnicas en algún momento, para llevar a cabo su labor como auditor gubernamental,

como se puede apreciar en la Figura 37.

253

Figura 37. Nivel de uso de las TAAC's por parte de los auditores gubernamentales de la Contraloría General del Municipio de Manizales



En relación con las herramientas de auditoría utilizadas por los auditores y teniendo en

cuenta las respuestas a la pregunta de las herramientas tecnológicas, utilizadas para el

análisis de información, el 92,3% de los auditores utilizan Excel como herramienta de

análisis de datos y el restante 7,7% utilizan IDEA, por poseer una licencia de la

herramienta, la cual es manejada por el área de TIC de la entidad.

8.3.5. Automatización de procesos gubernamentales

La automatización de procesos gubernamentales, tanto de la CGMM como de las

entidades sujetas de control, se describe a continuación.

8.3.5.1. Automatización de procesos gubernamentales de las entidades sujetas de

control

De acuerdo al estudio realizado y tomando como referencia COBIT QUICKSTART, el nivel

de madurez promedio de los procesos de Tecnología de Información y Comunicaciones

de las entidades sujetas de control es de 3.1, lo que equivale a un nivel DEFINIDO, de

acuerdo al modelo de madurez de COBIT, con un nivel de variación muy bajo en su índice

entre los cuatro dominios que lo conforman, como se puede observar en la Figura 38.

Utilizan TAACs37%

No Utilizan TAACs63%

25

4

Figura 38. Nivel de madurez promedio de los dominios de COBIT en las entidades sujetas de control de la Contraloría General del Municipio de Manizales

Fuente: Estudio de nivel de madurez tecnológico de las entidades sujetas de control de la

Contraloría General del Municipio de Manizales, 2013.

El nivel de madurez definido, equivale a contar con procedimientos de Tecnología de

Información estandarizados, documentados y difundidos a través de entrenamiento. Sin

embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que

se detecten desviaciones. Los procedimientos en sí no son sofisticados, pero formalizan

las prácticas existentes (IT Governance Institute, 2007).

No obstante lo anterior, las entidades sujetas de control se encuentran desde niveles

Inicial/Adhoc, hasta administrado y medible, como se puede apreciar en la Figura 39.

3,2

3,3

3,2

2,7 0,0

1,0

2,0

3,0

4,0

5,0

PLANEACIÓN YORGANIZACIÓN

ADQUISICIÓN EIMPLEMENTACIÓN

ENTREGA Y SOPORTE

MONITOREO YEVALUACIÓN

255

Ilustración 39. Nivel de madurez tecnológica basada en COBIT de las entidades sujetas de control de la Contraloría General del Municipio de Manizales.

Fuente: Estudio de nivel de madurez tecnológico de las entidades sujetas de control de la

Contraloría General del Municipio de Manizales, 2013.

Si bien, determinar el estado exacto del nivel de automatización, de los procesos de las

entidades sujetas de control es subjetivo, dada la cantidad de variables que pueden entrar

en juego (número de procesos, tamaño de procesos, porcentaje de automatización de cada

proceso…), se indago a los auditores de manera perceptiva, acerca del nivel de

automatización en que ellos consideraban que estaban los procesos auditados, que

adelantaron durante el último año en las entidades sujetas de control, arrojando un

resultado promedio de 44,73% sobre 95 procesos auditados en 18 entidades sujetas de

control, tal como se puede apreciar en la tabla 60.

25

6

Tabla 60. Nivel de automatización de procesos auditados por la Contraloría General del Municipio de Manizales, durante el año 2012.

Entidad Sujeta a Control

Número de procesos auditados

Promedio de Automatización

%

Alcaldía de Manizales 15 61

Asbasalud 6 33,3

Cable Aéreo 5 58

Caja de la Vivienda Popular 9 37,8

Colegio INEM 2 50

Colegio León de Greiff 2 17,5

Ecoparque los Yarumos 2 30

EMSA 4 47,5

ERUM 8 30,6

Hospital de Caldas 4 38,7

Hospital Geriátrico 7 37,9

Infimanizales 7 65

InfoTic (Venta Acciones) 1 60

Instituto de Cultura y Turismo 6 22,5

INVAMA 6 40

Manizales Segura 5 34

People Contact 1 80

Terminal de Transportes 5 63

Total/Promedio 95 44,7



8.3.5.2. Automatización de procesos de la Contraloría General del Municipio de

Manizales.

“La Contraloría General del Municipio de Manizales, es una de las entidades de Control

Fiscal que más ha utilizado las Tecnologías de Información y Comunicaciones dentro de

sus procesos de Control Fiscal” (Ministerio de Tecnologías de la Información y las

Comunicaciones, Auditoría General de la República, Consorcio S&M, & UT Software

Works, 2012b,42), lo cual es explicado por la cantidad y calidad de herramientas

257

tecnológicas, que dan soporte a los diferentes procesos de control fiscal que desarrolla la

entidad.

Sistemas de Información que soportan los procesos de Control Fiscal

Los principales sistemas de información que soportan los procesos de Control Fiscal de la

Contraloría General del Municipio de Manizales son los siguientes:

COBRA (Control de Obras): Es una solución tecnológica bajo ambiente web,

desarrollada por la empresa Interkont. Su objetivo es servir de soporte a la CGMM en la

planeación, seguimiento y control de las obras que se desarrollan en la ciudad de

Manizales (ver Figura 40).

Figura 40. Interfaz solución tecnológica COBRA

Fuente: http://www.cobraobras.com/manizales/#

E-SIVICOS (Sistema Electrónico Integrado de Vigilancia y Control Social): Es un

sistema de información desarrollado por la firma SIGMA Ingeniería. Su objetivo es registrar

los diferentes contratos desarrollados por la Alcaldía de Manizales, con el fin de que la

ciudadanía pueda realizar el seguimiento respectivo, para promover la transparencia en la

Administración Municipal.

http://www.cobraobras.com/manizales/

25

8

CORAL (Control de Riesgos Ambientales Localizados): Es un sistema de información

que permite geo-localizar los puntos ambientales críticos de la ciudad.

SECOP (Contratación en línea): El Sistema Electrónico de Contratación Pública es el

portal oficial de contratación en Colombia, operado por la Agencia Nacional de

Contratación Pública y utilizado por la CGMM, para evaluar los procesos de contratación

de las entidades sujetas de control y para desarrollar sus propios procesos de contratación.

SIA (Sistema Integral de Auditoría): Este sistema es de propiedad de la Auditoría

General de la República, y es utilizado por la mayoría de las contralorías del país (como

se presentó en el capítulo 3), con el fin de contar con una herramienta centralizada para

la rendición de la cuenta, por parte de todas las entidades sujetas de control.

AUDIBAL (Auditoría al Balance): Es el sistema de información utilizado para llevar a cabo

el registro y consulta de información relacionada con hallazgos de tipo contable,

presupuestal, control interno contable y la opinión sobre los estados contables de las

entidades sujetas de control.

La CGMM ha sido destacada, por su experiencia con el uso de las TIC’s en los procesos

de Control Fiscal, por entidades como CERCAPAZ y el Departamento Administrativo de la

Función Pública; siendo precisamente a través de esta última entidad, donde ha

participado por dos (2) años consecutivos en la convocatoria del Banco de éxitos de la

Administración Pública Colombiana y también, donde ha expuesto el caso de COBRA y E-

SIVICOS como experiencias exitosas de uso de TIC en los procesos de control Fiscal.

Por último, es importante destacar que la Contraloría General del Municipio de Manizales,

en su Plan Estratégico 2008 – 2011, formuló como estrategia el denominado e-control,

consistente en “el desarrollo e integración de la plataforma tecnológica de la Contraloría

Municipal de Manizales, como estrategia para un efectivo y oportuno control fiscal, que

permita la activa participación de la comunidad y la democratización de las funciones de la

entidad”, para contribuir a un efectivo y oportuno control fiscal, mediante el

aprovechamiento de los Medios y Tecnologías de la Información y las Telecomunicaciones

– MTIC, propendiendo por el control posterior en línea y en tiempo real.

259

8.3.6. Masificación del Gobierno Electrónico

8.3.6.1. Entidades sujetas de control

De acuerdo a los resultados arrojados por el estudio llevado a cabo en las entidades

sujetas a Control de la CGMM, el nivel de avance promedio de cada una de las fases de

Gobierno en línea a Diciembre de 2014, como se puede apreciar en la Figura 41.

Figura 41. Nivel promedio de avance del Gobierno Electrónico a 2014 en las entidades sujetas de control de la Contraloría General del Municipio de Manizales

Fuente: Fuente: Estudio de nivel de avance del Gobierno electrónico en las entidades

sujetas de control de la Contraloría General del Municipio de Manizales, 2014.

Como se puede observar en la figura 43, no se ha logrado cumplir la meta impuesta por el

Gobierno Nacional, a través del Decreto 2693 de 2012 en las 4 fases del gobierno

electrónico, pues tan sólo en 2 de ellas, como es el caso de las fases de Interacción y

Transacción en línea, se han cumplido las metas.

Si hacemos un análisis más profundo por cada entidad, se puede observar que el 52.6%

de las entidades sujetas de control han cumplido hasta Diciembre de 2014, con la fase de

53,9

41,7

44,6

49,1

44,6

21,6

55

60

35

40

65

60

0,0 10,0 20,0 30,0 40,0 50,0 60,0 70,0





Transformación


Meta exigida a 2014 Nivel alcanzado

26

0

elementos transversales, como se puede observar en la tabla 61; mientras que en la fase

de Información en Línea y Democracia en Línea, no han logrado las metas ninguna de las

entidades.

Se podría afirmar que, las entidades con mayor nivel de avance en la estrategia de

gobierno en línea, en sus diferentes fases son en su orden: La Alcaldía de Manizales,

seguidos del Instituto de Cultura y Turismo, INFIMANIZALES e INVAMA; y los que

presentan un mayor retraso son: el Terminal de Transportes de Manizales y el Hospital

Geriátrico San Isidro.

Tabla 61. Nivel de avance de la estrategia de Gobierno en Línea de las entidades sujetas de control de la CGMM hasta 2014.

CODIGO ENTIDAD SUJETA A CONTROL

FASES DE GOBIERNO EN LÍNEA

Ele

me

nto

s Tr

ansv

ers

ale

s

Info

rmac

ión

en

líne

a

Inte

racc

ión

en

lín

ea

Tran

sacc

ión

en

líne

a

Tran

sfo

rmac

ión

De

mo

crac

ia e

n

líne

a

1 INSTITUTO DE VALORIZACIÓN DE MANIZALES - INVAMA 67,3 44,0 64,0 70,0 45,0 54,0

2 INFIMANIZALES 74,0 56,0 50,0 70,0 45,0 52,0

3 E.S.E HOSPITAL DE CALDAS 36,5 34,0 9,0 17,5 62,5 15,0

4 CAJA DE LA VIVIENDA POPULAR DEL MUNICIPIO DE MANIZALES 63,5 37,0 32,0 70,0 17,0 0,0

5 SERVICOS ESPECIALES DE SALUD 87,0 50,0 60,0 80,0 45,0 0,0

6 EMSA - LOTERÍA DE MANIZALES 37,5 29,0 49,0 65,0 30,0 7,0

7 PERSONERÍA DE MANIZALES 54,0 52,0 48,0 85,0 45,0 22,0

8 AGUAS DE MANIZALES S.A E.S.P 77,5 56,0 32,0 27,5 47,0 9,0

9 HOSPITAL GERIÁTRICO SAN INSIDRO ESE 17,0 27,0 32,0 17,5 17,0 19,0

10 ASSBASALUD E.S.E 73,8 27,0 39,0 27,5 32,0 54,0

11 INFOTIC S.A. 82,0 47,0 61,0 75,0 66,5 5,0

12 ERUM LTDA 34,0 27,0 57,0 37,5 62,5 20,0

13 CENTRO DE RECEPCIÓN DE MENORES 17,0 34,0 32,0 17,5 34,5 5,0

14 ASOCIACIÓN CABLE AÉREO MANIZALES 65,0 37,0 42,0 17,5 34,5 0,0

15 INSTITUTO DE CULTURA Y TURISMO MANIZALES 78,5 58,0 41,0 85,0 75,0 50,0

16 TERMINAL DE TRANSPORTES DE MANIZALES 9,0 27,0 35,0 5,0 25,0 13,0

17 PEOPLECONTACT 51,5 36,0 47,0 42,5 73,0 6,0

18 CONCEJO DE MANIZALES 29,5 56,0 54,0 37,5 17,0 33,0

19 MUNICIPIO DE MANIZALES 70,0 59,0 64,0 85,0 73,0 46,0

261

Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de

control de la Contraloría General del Municipio de Manizales, 2014.

A continuación, se hará un análisis del estado actual de cada una de las variables que

conforman cada fase y su nivel de cumplimiento por parte de las entidades sujetas de

control.

Índice de Gobierno en Línea

El Índice de Gobierno en Línea de las entidades sujetas de control es de 42,1%, basado

en el promedio de los tres subíndices, lo que significa realmente el nivel de avance que

presentan las entidades sujetas de control, en la implementación de la estrategia de

gobierno en línea.

El modelo de Auditoría Continua, tiene una fuerte influencia del subíndice Gobierno

Abierto, y como se puede apreciar en la tabla 62 y en el diagrama radar de la Figura 42,

es el índice que presenta menor avance.

Tabla 62. Subindices del Gobierno Abierto de las entidades sujetas de control de la Contraloría General del Municipio de Manizales.

SUBÍNDICES ACTIVIDAD PUNTAJE


(49,61%)

Intercambiar información entre entidades 18,4

Hacer uso de medios electrónicos en procesos y procedimientos internos 76,5

Implementar un sistema de gestión de seguridad de la información 55,3

Implementar un sistema de gestión de TI 31,9

Institucionalizar la Estrategia de Gobierno en Línea 66,0

Gobierno Abierto

(29,16%)

Abrir espacios de innovación abierta 9,3

Abrir espacios para el control social 34,7

Construir de forma participativa las políticas y planeación estratégica 15,1

Definir la estrategia de participación 41,8

Publicación de datos abiertos 3,5

Publicación de Información 70,5

Servicios (47,52%)

Disponer trámites y servicios en línea 49,1

Habilitar espacios electrónicos para interponer peticiones 63,9

Habilitar espacios de interacción 25,4

Centrar la atención en el usuario 51,8



26

2

Figura 42.Diagrama radar de los elementos de los subíndices de las entidades sujetas de control de la estrategia de gobierno en línea.



Las tres entidades que presentan un mayor índice de gobierno en línea, siendo coherente

con el avance en las diferentes fases de Gobierno en Línea son: la Alcaldía de Manizales,

el Instituto de Cultura y Turismo e Infimanizales, tal como se puede observar en la Figura

43.

263

Figura 43. Índice y subíndices de Gobierno en Línea por entidad sujeta de control


control de la Contraloría General del Municipio de Manizales. 2014.

8.3.6.2. Contraloría General del Municipio de Manizales

La Contraloría General del Municipio de Manizales tan solo ha cumplido con la fase de

Interacción en línea, de las 6 fases de gobierno en línea; siendo ésta, la fase de menor

avance la fase de Transformación, tal como se puede observar en la Figura 44.

26

4

Figura 44.Nivel promedio de avance del Gobierno Electrónico hasta 2014 de la Contraloría General del Municipio de Manizales


El índice de gobierno en línea presenta un nivel de avance de 45,38%, siendo el subíndice

de gobierno abierto, el más bajo con un 44.95% de avance, como se puede observar en la

tabla 63; y el diagrama radar respectivo, con un nivel de avance nulo en el Sistema de

gestión de Seguridad de la Información.

Tabla 63.Subindices del Gobierno Abierto de la Contraloría General del Municipio de Manizales


(45,38)

Institucionalizar la Estrategia de Gobierno en línea 81,82

Implementar un sistema de gestión de TI 92,94

Intercambiar información entre entidades 16,76

Hacer uso de medios electrónicos en procesos y procedimientos internos 25,90

Implementar un sistema de gestión de seguridad de la información 0,00

Gobierno Abierto

(44,95%)




50,41

46,49

43,07

22,46

45,35

55

60

35

40

65

60

0 10 20 30 40 50 60 70





Transformación


Meta exigida a 2014 Nivel alcanzado

265




Servicios (47,69%)

Habilitar espacios de interacción 47,60

Disponer trámites y servicios en línea 80,65

Habilitar espacios electrónicos para interponer peticiones 14,83 Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2014)

Figura 45. Diagrama radar de los elementos de los subíndices del gobierno en línea de la Contraloría General del Municipio de Manizales.


0102030405060708090

100

Crecimiento tecnológicoplaneado

Gobierno en línea estáintegrado a la gestión…

Interoperabilidad entrámites y en…

Procedimientos internosautomatizados y…

Sistema de Gestión deSeguridad de la…

Datos abiertospublicados

Estrategia departicipación…

Estrategia construida conla participación…

Información pertinentecompleta y disponible…

Rendición de cuentas enlínea implementada

Solución deproblemáticas con la…

Sede electrónica usable yaccesible en nivel AAA,…

Servicios de consulta yatención interactiva…

Sistema integrado dePQRD

26

6

8.3.7. Gobierno Abierto

Los resultados arrojados por el trabajo de campo desarrollado en las entidades sujetas de

control y por el último informe elaborado por el Ministerio de Tecnologías de Información y

Comunicaciones en relación con la Contraloría General del Municipio de Manizales,

presenta los siguientes resultados con respecto a estas variables.

8.3.7.1. Estado actual del gobierno abierto en las entidades sujetas de control

Como se mencionó previamente, el subíndice de gobierno abierto es el que presenta

menor avance, de los tres índices de gobierno en línea con un 29,16%, siendo

Infimanizales, el Instituto de Cultura y Turismo y el Municipio de Manizales, las entidades

que presentan un mayor nivel de avance en este índice, tal como se puede observar en la

figura 46.

Figura 46. Índice de gobierno abierto de las entidades sujetas de control de la Contraloría General del Municipio de Manizales.

267



Si entramos a analizar las actividades que conforman este subíndice, tal como se aprecia

en la tabla 64, podemos observar que la actividad que presenta menor avance es

precisamente, la variable más importante para el modelo de Auditoría Continua, que es la

de publicación de datos abiertos con un 3,5%, lo cual se valida con los catálogos de datos

publicados por las entidades sujetas de control, en el portal de datos abiertos del gobierno

nacional, donde tan solo se encuentran publicados cuatro (4) de éstos catálogos.

Tabla 64. Estado actual de las actividades del subindice de gobierno abierto de las entidades sujetas de control de la Contraloría General del Municipio de Manizales.

Subíndice Actividades % avance

Gobierno Abierto

(29,16%)









En la tabla 65 se pueden observar catálogos de datos publicados por la Alcaldía de

Manizales y Aguas de Manizales, los cuales contienen registros que no tienen relación,

con las necesidades de información requerida por la Contraloría General del Municipio de

Manizales, para llevar a cabo sus funciones de control.

Tabla 65. Entidades sujetas de control que cuentan con catálogo de datos.

ENTIDAD CATALOGO FECHA DE

PUBLICACIÓN

Alcaldía de Manizales Barrios y veredas de Manizales 09/11/2013

EPS e IPS de Manizales 09/11/2013

Aguas de Manizales

S.A. E.S.P.

Oferta hídrica disponible mes de Marzo 01/04/2015

Oferta hídrica mensual de la ciudad de

Manizales

19/03/2015

Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2015c)

26

8

La actividad de publicación de datos abiertos, es uno de los elementos críticos del modelo

de Auditoría Continua, dado que este es el producto de un proceso, donde intervienen las

actividades de intercambio de datos e interoperabilidad y al no presentar este elemento un

avance significativo, por deducción, sus generadores tampoco lo presentan.

8.3.7.2. Estado actual del gobierno abierto en la Contraloría General del Municipio

de Manizales.

El subíndice de gobierno abierto que presenta la Contraloría General del Municipio de

Manizales, de acuerdo a las mediciones realizadas por el Ministerio de Tecnologías de

Información y Comunicaciones es del 44,95%; un subíndice que se encuentra soportado

básicamente en las acciones que ha desarrollado con aplicativos tales como COBRA, E-

SIVICOS, a través de los cuales se está promoviendo la participación de la comunidad en

los procesos de control, sin embargo, en lo concerniente a publicación de datos abiertos,

a pesar de contar con un indicador superior al de las entidades sujetas de control hasta la

fecha, y de acuerdo a lo manifestado por el responsable de Tecnologías de Información

de la entidad, realmente no se han adelantado acciones para publicar datos o interactuar

a través de ellos, con las entidades sujetas de control. Ello se refleja de igual forma, en la

nula publicación de catálogos de datos en el portal de datos abiertos.

8.4. Conclusiones y plan propuesto para cerrar la brecha del estado actual de la Contraloría General del Municipio de Manizales, frente al modelo de Auditoría Continua propuesto.

Tomando como referencia el diagnóstico realizado de los elementos endógenos, que

hacen parte del modelo propuesto de Auditoría Continua, a continuación se resumirá el

estado actual de la Contraloría General del Municipio de Manizales, frente a los elementos

endógenos que hacen parte del modelo de Auditoría Continua propuesto.

269

Competencias Tecnológicas del Auditor Gubernamental

Los auditores gubernamentales de la Contraloría General del Municipio, no cuentan aún

con las competencias tecnológicas requeridas para llevar a cabo procesos de Auditoría

Continua, y requieren fortalecer los procesos de gestión de riesgos para afrontar, no solo

el enfoque moderno de Auditoría (RBA), sino el enfoque requerido por el modelo de


Acciones propuestas para cerrar la brecha

En el plan de capacitación, se recomienda incorporar procesos de capacitación en

metodologías de gestión de riesgos y auditoría orientada a riesgos, para garantizar no

solo el paradigma actual de auditoría, sino la incorporación del proceso de Auditoría

Continua.

En el plan de capacitación se recomienda incorporar procesos de capacitación en

Técnicas y Herramientas de Auditoría Asistida por Computador, en especial,

herramientas tecnológicas de análisis de datos y de Auditoría Continua.

Metodología de Auditoría Continua

La Contraloría General del Municipio de Manizales utiliza como la mayoría de las

Contralorías del país, la Guía de Auditoría Territorial (GAT) para llevar a cabo sus

procesos de auditoría y hasta la fecha, no han contemplado esquemas de Auditoría

continua, no obstante la importancia para el proceso y el impacto que podría tener en el

Control Fiscal, de acuerdo a lo planteado por los auditores gubernamentales.


Se recomienda adaptar la guía de Auditoría Territorial, con las actividades

complementarias de Auditoría Continua propuestas para no manejar dos guías y

adoptarlo mediante resolución interna de la contraloría.

27

0

Programar capacitaciones para dar a conocer la guía complementada, que permita a

todos los auditores incorporar como parte del control fiscal la Auditoría Continua.

Base de Conocimiento

La Contraloría General del Municipio de Manizales, no cuenta con procesos de gestión

del conocimiento en marcha, ni tiene previsto como parte de sus planes estratégicos

su desarrollo.


Establecer como iniciativa estratégica en los planes estratégicos de la entidad, la

incorporación de un proyecto de gestión del conocimiento, donde se contemplen

instrumentos de base de conocimiento, que aporten no solo para el desarrollo de la

Auditoría Continua, sino en general para todos los tipos de auditoría adelantados por la

entidad.

Técnicas y Tecnologías de Auditoría Continua

La Contraloría General del Municipio de Manizales, no utiliza de manera intensiva las

Técnicas y Tecnologías de Auditoría Continua, su principal herramienta para realizar

análisis de datos es Excel y ACL. Esta última, sin explotar toda su capacidad.


Dada la baja disponibilidad de recursos financieros que tiene la CGMM para la

adquisición de herramientas tecnológicas, que soporten en general el proceso auditor y

en particular la Auditoría Continua, se recomienda la incorporación, al menos de manera

inicial, de herramientas de software libre que permita incrementar el nivel de madurez

en el uso de TAAC’s y allanen el camino hacia el uso de la Auditoría Continua (por

ejemplo PICALO, Powerpivot).

Automatización de procesos gubernamentales

En promedio las entidades sujetas de control presentan un nivel de madurez de sus

procesos de Tecnología de Información de 3.1, equivalente a un nivel de madurez

DEFINIDO, lo que representa la existencia de procedimientos de Tecnología de

271

Información, estandarizados y documentados; y aunque no son sofisticados, se

formalizan las prácticas existentes. Así mismo, cuenta con una serie de procesos con

un nivel de automatización del 44.73% desde la perspectiva de los auditores de la

contraloría, lo que sienta una base suficiente para desarrollar el proceso de Auditoría

Continua con estos procesos como piloto.


Al momento de realizar las auditorías tradicionales, tratar de identificar el nivel de

automatización de los procesos que son objeto de auditoría, con el fin de sentar las

bases de los procesos sujetos de Auditoría Continua, mientras se cuenta con las

herramientas y competencias tecnológicas para desarrollar el modelo propuesto.

Masificación del Gobierno Electrónico

No obstante el incumplimiento de algunas de las fases de Gobierno en Línea, por parte

tanto de las entidades sujetas de control, como de la Contraloría General Municipio de

Manizales, se observa un avance en la implementación de la estrategia de gobierno en

línea, lo que permite impulsar las diferentes estructuras habilitadoras para poner a

disposición del proceso de Auditoría Continua, la información gubernamental.


Se insta a la Contraloría General del Municipio de Manizales, a seguir desarrollando

auditorías al avance del gobierno electrónico en las entidades sujetas de control, como

mecanismo impulsor del avance de la masificación del gobierno electrónico y generador

de condiciones, para establecer los escenarios requeridos por el modelo de Auditoría

Continua.

Gobierno Abierto

Ni las entidades sujetas de control, ni la Contraloría General del Municipio de Manizales,

presentan un avance significativo en el subíndice de gobierno abierto, lo que dificulta de

manera inicial la posibilidad de establecer procesos de intercambio de información entre

la contraloría y las entidades sujetas de control, a través de los mecanismos previstos

por el Gobierno Nacional.

27

2


Mientras se desarrollan los procesos de gobierno abierto por parte de la Contraloría

General del Municipio de Manizales y las entidades sujetas de control, se recomienda

desarrollar proyectos piloto de Auditoría Continua, con procesos soportados en

Tecnologías de Información de las entidades sujetas de control, para avanzar en la

madurez de los procesos de Auditoría Continua.

9. Conclusiones, Aportes y Trabajos Futuros

9.1. Conclusiones

De acuerdo a los objetivos específicos planteados en esta investigación, se puede concluir

lo siguiente:

- la Auditoría Continua es una metodología alterna y a su vez complementaria de la

Auditoría moderna y no puede ser concebida simplemente como una técnica de Auditoría,

si se tiene en cuenta el impacto que tiene, no solo en los diferentes componentes de un

ciclo de auditoría, sino en su contexto, dado el valor agregado que aporta a la organización

en términos de eficacia y eficiencia, pudiendo ser considerada tal y como es planteado por

diversos autores, como un nuevo paradigma de auditoría fundamentado en lo siguiente:

Cambia la frecuencia con que se realizan las auditorías y por ende hace que los

controles sean más eficaces, debido a la periodicidad de su revisión, con el impacto

que ello genera en la disminución del riesgo.

Hace que la auditoria se convierta en una función más preventiva que correctiva,

lo que agrega valor a la organización y se convierte en un aliado fundamental de la

dirección.

El esfuerzo del auditor disminuye, dada la automatización que se realiza de las

pruebas de auditoría, tanto de aquellas orientadas a detectar la ocurrencia de

riesgos, como al incumplimiento de controles.

El rol del auditor se transforma, pasando de ser un profesional que dedica mucho

tiempo a tareas operativas y repetitivas, que están orientadas a ejecutar

procedimientos de pruebas, a ser un auditor que desarrolla competencias

analíticas, volviéndose más competitivo y haciendo que su trabajo genere mayores

27

4

niveles de productividad, debido a que puede tener más cobertura en el control del

negocio y en un menor tiempo.

Se transforma la tecnología usada por el auditor para desempeñar su trabajo,

pasando de ser un proceso con altos niveles de manualidad, a ser un proceso

tecnificado, convirtiendo a las Tecnologías de Información y Comunicaciones en un

aliado de su función.

Los reportes de auditoría se transforman al pasar de ser reportes con una menor

periodicidad y mucha extensión, a reportes más periódicos y de menor extensión,

de forma que facilite su lectura por parte de la Dirección.

El enfoque de Auditoría Continua, transforma el enfoque tradicional de auditoría,

basado en aquella que abarca todos los aspectos de un proceso y de una

organización, adoptándolo como una auditoría por excepción, basada en la

detección oportuna de parámetros que están por fuera de los criterios previamente

definidos y que puede generar alertas que llamen la atención del auditor y de la

administración para su oportuna corrección.

La Auditoría Continua incrementa los procesos de autocontrol en la organización,

si se tiene en cuenta que, al incorporar técnicas de detección automática de

ocurrencia de riesgos y de desviación de controles en los procesos, la

administración se inhibirá en el desarrollo de prácticas que vayan en detrimento del

control y que generen riesgos a la organización, dado el efecto panóptico que

genera la Auditoría Continua.

- La crisis del Control Fiscal Colombiano presenta muchas aristas, una de ellas, como lo

plantean diferentes actores del escenario del Control Fiscal del país, es el escaso uso de

las Tecnologías de Información y Comunicaciones como parte del proceso auditor y no

simplemente como herramientas de apoyo, lo cual queda demostrado con la cantidad de

herramientas tecnológicas disponibles para tal fin.

De igual forma al participar en diferentes reuniones y eventos, además de organizar dos

encuentros para conocer el nivel de uso de las Tecnologías de Información y

Comunicaciones, en los procesos de Control en el sector público y particularmente en el

Control Fiscal Colombiano y de manera complementaria, al acudir a fuentes secundarias

275

para conocer las técnicas y herramientas de auditoría asistidas por computador que se

usan; se puede concluir que, el nivel de madurez con que cuentan las contralorías del país,

está orientado desde la perspectiva del proceso de auditoría a una “Auditoría alrededor del

computador” y desde la perspectiva de Apoyo a una “Auditoría con el computador”, sin

haber avanzado aún a una “Auditoría a través del computador”. Ello se ratifica por el fallido

intento de implementar un proyecto de control en línea, cuyo objetivo apuntaba a seguir

reforzando la perspectiva de una auditoría con el computador.

- Se ha diseñado un modelo de Auditoría Continua bajo una lógica científica y

pragmática en un contexto particular. En términos de la propuesta, la lógica científica

está delimitada por la importancia histórica y presente del uso de las Tecnologías de

Información y Comunicaciones en la función de auditoría, en particular la Auditoría

Continua. La lógica pragmática se enmarca en la realidad del uso de las TIC en los

procesos de gobierno (e-government) y específicamente, en la realidad que vive el país

alrededor de la estrategia de gobierno en línea. Dado que, el contexto particular es el

Control Fiscal Colombiano con su problemática en diferentes ámbitos, y pese a sus

múltiples dimensiones, tan sólo se modela desde la perspectiva del aporte de las TIC en

la eficacia y eficiencia del control gubernamental y en especial, el aseguramiento que de

este se realiza.

El modelo puede aportar al cumplimiento de lo establecido en el artículo 129 de la Ley

1474 de 2011 (Ley anticorrupción), donde se insta a las contralorías a desarrollar y a

aplicar metodologías que permitan el ejercicio inmediato del control posterior y el uso

responsable de la función de advertencia (NOTA: esta función de advertencia fue

declarada inconstitucional en fallo de la Corte Constitucional del pasado 11 de Marzo

de 2015), siempre y cuando se logré contar con un nivel aceptable de madurez de las

diferentes variables que lo componen.

- La Contraloría General del Municipio de Manizales, como contraloría piloto del modelo, y

a pesar de ser considerada como una de las contralorías que se destacan por el uso

intensivo de las TIC en los procesos de Control Fiscal, aún presenta un nivel muy bajo en

el desarrollo de las diferentes variables que hacen parte integral del modelo, en especial

27

6

por la baja competencia tecnológica de los auditores, el escaso uso de Técnicas de

Auditoría concurrentes como parte del proceso auditor, el limitado uso de herramientas

tecnológicas que estén orientadas a la Auditoría Continua y el escaso avance en materia

de gobierno abierto que presenta no solo la contraloría, sino las entidades sujetas de

control.

9.2. Aportes de la investigación

La investigación aporta a la comunidad científica y profesional de la auditoría dos

herramientas, para el desarrollo de la Auditoría Continua a nivel internacional:

- La elaboración de una propuesta taxonómica de Auditoría Continua, a partir del

análisis de treinta (30) modelos a nivel internacional, si se tiene en cuenta que a

partir de la revisión bibliográfica realizada, no se logró establecer alguna propuesta

relacionada con taxonomías de Auditoría Continua, y tan solo trabajos como los

desarrollados por Blundell (2007) y (Aboa, 2014) establecen una comparación de

tres modelos, el modelo Woodroof, Rezaee y Onions sin estar orientado a

establecer alguna taxonomía.

- El desarrollo de una propuesta de Auditoría Continua orientada al sector público,

en el contexto de la Auditoría externa y tomando como insumo, uno de los

programas que actualmente adelantan la mayoría de los países del mundo, que es

el gobierno electrónico; lo que la hace aplicable a los órganos de control superior

de cualquier país, dada la fundamentación teórica y el análisis de una significativa

cantidad de modelos de Auditoría Continua. Es importante destacar que hasta la

fecha no se logró evidenciar en la bibliografía existente, un modelo de Auditoría

Continua orientado de forma general al control de recursos públicos, y tan solo se

logró encontrar el caso de la Oficina de Auditoría Nacional de China, pero aplicado

a un ámbito específico.

277

Para el contexto Colombiano, se deja planteada una alternativa que da respuesta a lo

establecido en el artículo 129 de la Ley 1474 de 2011 (Ley anticorrupción), para que las

Contralorías Territoriales y la Contraloría General de la República puedan hacer uso del

modelo.

9.3. Trabajos futuros

El control organizacional involucra por lo general muchas instancias

organizacionales, que requieren de procesos de auditoría y monitoreo continuo, por

lo que es necesario desarrollar trabajos a futuro sobre la forma como se integra un

proceso de aseguramiento continuo, donde participen todas las instancias de

aseguramiento de una organización pública.

Uno de los aspectos críticos para la implementación de un modelo de Auditoría

Continua, en las entidades encargadas de cumplir con la función constitucional de

salvaguardar el adecuado manejo de los recursos públicos de los Colombianos, es

contar con auditores competentes, en este caso específico, con un adecuado uso

de las Técnicas y Herramientas de Auditoría Asistidas por Computador (CAATT’s);

por ello es necesario adelantar trabajos, que permitan incrementar los niveles de

competencia tecnológica de los auditores gubernamentales.

Se requiere avanzar en procesos de investigación científica y tecnológica, que

permitan involucrar la minería de datos y la inteligencia artificial como mecanismos

que aporten al desarrollo de la Auditoría y del monitoreo continuo, agregando valor

no solo a la función de auditoría, sino en general a la organización.

Uno de los requerimientos actuales del gobierno nacional para las entidades

públicas y para los diferentes sectores gubernamentales, es la implementación de

arquitecturas empresariales, en las cuales actualmente trabajan muchas de estas

27

8

entidades. Este modelo puede servir de base para el desarrollo de una arquitectura

empresarial del Control Fiscal Colombiano y de manera individual, para las

diferentes contralorías del país.

279

7. ANEXOS

Anexo 1. Contralorías departamentales, distritales y municipales que hacen parte del Control Fiscal Colombiano

Nro CONTRALORÍAS

CONTRALORÍAS DEPARTAMENTALES

1 Contraloría Departamental de Amazonas

2 Contraloría Departamental de Arauca

3 Contraloría Departamental de Bolívar

4 Contraloría Departamental de Caldas

5 Contraloría Departamental de Casanare

6 Contraloría Departamental de Cesar

7 Contraloría Departamental de Córdoba

8 Contraloría Departamental de Guainía

9 Contraloría Departamental de Guaviare

10 Contraloría Departamental de Magdalena

11 Contraloría Departamental de Nariño

12 Contraloría Departamental de Putumayo

13 Contraloría Departamental de Risaralda

14 Contraloría Departamental de Santander

15 Contraloría Departamental de Tolima

16 Contraloría Departamental de Vaupés

17 Contraloría Departamental de Antioquia

18 Contraloría Departamental de Atlántico

19 Contraloría Departamental de Boyacá

20 Contraloría Departamental de Caquetá

21 Contraloría Departamental de Cauca

22 Contraloría Departamental de Chocó

23 Contraloría Departamental de Cundinamarca

24 Contraloría Departamental de Guajira

25 Contraloría Departamental de Huila

26 Contraloría Departamental de Meta

28

0

27 Contraloría Departamental de Norte Santander

28 Contraloría Departamental de Quindío

29 Contraloría Departamental de San Andrés

30 Contraloría Departamental de Sucre

31 Contraloría Departamental de Valle

32 Contraloría Departamental de Vichada

CONTRALORÍAS DISTRITALES

1 Contraloría Distrital de Bogotá

2 Contraloría Distrital de Barranquilla

3 Contraloría Distrital de Buenaventura

4 Contraloría Distrital de Cartagena

5 Contraloría Distrital de Santa Martha

CONTRALORIAS MUNICIPALES

1 Contraloría Municipal de Armenia

2 Contraloría Municipal de Barrancabermeja

3 Contraloría Municipal de Bello

4 Contraloría Municipal de Bucaramanga

5 Contraloría Municipal de Cali

6 Contraloría Municipal de Cúcuta

7 Contraloría Municipal de Dosquebradas

8 Contraloría Municipal de Envigado

9 Contraloría Municipal de Floridablanca

10 Contraloría Municipal de Ibagué

11 Contraloría Municipal de Itagüí

12 Contraloría Municipal de Manizales

13 Contraloría Municipal de Medellín

14 Contraloría Municipal de Montería

15 Contraloría Municipal de Neiva

16 Contraloría Municipal de Palmira

17 Contraloría Municipal de Pasto

18 Contraloría Municipal de Pereira

19 Contraloría Municipal de Popayán

20 Contraloría Municipal de Soacha

21 Contraloría Municipal de Soledad

22 Contraloría Municipal de Tunja

23 Contraloría Municipal de Tuluá

281

24 Contraloría Municipal de Valledupar

25 Contraloría Municipal de Villavicencio

26 Contraloría Municipal de Yumbo


28

2

Anexo 2. Normas internacionales de auditoría

NIA Norma Internacional

PRINCIPIOS GENERALES Y RESPONSABILIDADES

200 Objetivos generales del auditor independiente y conducción de una auditoría de acuerdo con las Normas Internacionales de Auditoría

210 Acuerdo de los términos de los trabajos de auditoría

220 Control de calidad para una auditoría de estados financieros

230 Documentación de la auditoría

240 Responsabilidades del auditor en relación con el fraude en una auditoría de estados financieros

250 Consideración de leyes y reglamentos en una auditoría de estados financieros

260 Comunicación con los encargados del gobierno corporativo

265 Comunicación de deficiencias en el Control Interno a los encargados del gobierno corporativo y a la administración.

EVALUACIÓN DEL RIESGO Y RESPUESTA A LOS RIESGOS DETERMINADOS

300 Planeación de una Auditoría de Estados Financieros

315 Identificación y evaluación de los riesgos de error material mediante el entendimiento de la entidad y su entorno

320 Materialidad en la planificación y realización de una auditoría

330 Respuestas del auditor a los riesgos evaluados

402 Consideraciones de auditoría relativas a una organización de servicios

450 Evaluación de equivocaciones identificadas durante la auditoría

EVIDENCIA DE AUDITORIA

500 Evidencia de auditoría

501 Evidencia de auditoría –Consideraciones específicos para partidas seleccionadas

505 Confirmaciones externas

510 Trabajos iniciales de Auditoría – Saldos iniciales

520 Procedimientos Analíticos

530 Muestreo de auditoría

540 Auditoría de estimaciones contables, incluyendo estimaciones contables del valor razonable y revelaciones relacionadas

550 Partes Relacionadas

560 Hechos Posteriores

570 Negocio en Marcha

580 Manifestaciones escritas

UTILIZACIÓN DEL TRABAJO DE TERCEROS

600 Consideraciones Especiales – Auditorías de estados financieros de grupos (incluido del trabajo de los auditores de componentes)

610 Uso del trabajo de auditores internos

620 Uso del trabajo de un experto

283

CONCLUSIONES Y DICTAMEN DE AUDITORÍA

700 Formación de una opinión y dictamen sobre los estados financieros.

705 Modificaciones a la opinión en el dictamen del auditor independiente.

706 Párrafos de énfasis y párrafos de otros asuntos en el dictamen del auditor independiente.

710 Información comparativa –Cifras correspondientes y estados financieros comparativos.

720 Responsabilidades del auditor relacionadas con otra información en documentos que contienen estados financieros auditados

ÁREAS ESPECIALIZADAS

800 Consideraciones especiales – Auditorías de estados financieros preparados de acuerdo con marcos de referencia de referencia de propósito especial.

805 Consideraciones especiales – Auditorías de estados financieros únicos y elementos, cuentas o partidas específicas de un estado financiero.

810 Trabajos para dictaminar sobre estados financieros resumidos.

Norma Internacional de Control de Calidad (ISQC) 1, Control de calidad para firmas que realizan auditorías y revisiones de estados financieros y de garantía y demás servicios Conexos

Fuente: (IAASB, 2012)

28

4

Anexo 3. Ficha técnica Estudio Tipo 1

ESTUDIO TIPO 1

EVALUACIÓN DEL NIVEL DE MADUREZ DE LOS PROCESOS DE TECNOLOGÍA DE

INFORMACIÓN DE LAS ENTIDADES SUJETAS DE CONTROLDE LA CONTRALORIA

GENERAL DEL MUNICIPIO DE MANIZALES

OBJETIVO

Determinar la infraestructura tecnológica y el nivel de madurez de las áreas de Tecnología

de Información y establecer los principales procesos de cada entidad, que se encuentran

automatizados como base para determinar la viabilidad de cumplir con uno de los

requisitos de la Auditoría Continua, y es que los procesos a auditar se encuentran

soportados en Tecnologías de Información

POBLACIÓN OBJETIVO

Entidades públicas de la ciudad de Manizales, sujetas de control por parte de la Contraloría

General del Municipio de Manizales.

TAMAÑO DE LA POBLACIÓN

19 Entidades

TIPO DE ESTUDIO

Censo

UNIDAD DE OBSERVACIÓN

Infraestructura tecnológica y procesos de tecnologías de información que desarrollan las

entidades públicas, tomando como referencia COBIT QUICKSTART.

METODOLOGIA DE RECOLECCIÓN DE INFORMACIÓN

Auto diligenciamiento a partir de encuesta remitida mediante oficio por la Contraloría

General del Municipio de Manizales (como estrategia para garantizar el nivel de respuesta).

PERIODO DE RECOLECCIÓN DE INFORMACIÓN

Febrero a Junio de 2013.

INSTRUMENTO

285

Para llevar a cabo la evaluación se utilizaron dos instrumentos:

1. Diagnóstico de Infraestructura

2. Evaluación del nivel de madurez de TI

DIAGNÓSTICO DE LA INFRAESTRUCTURA

DIAGNÓSTICO GENERAL DE INFRAESTRUCTURA TECNOLÓGICA

I. IDENTIFICACIÓN

1. Nombre de la entidad: 2. Nombre del Responsable de la función de Tecnologías de Información y Comunicaciones en la entidad.

3. Cargo del Responsable de la función de Tecnologías de Información y Comunicaciones en la entidad.

5. Teléfono:

6. e-mail del Responsable de Sistemas:

II. INFRAESTRUCTURA TECNOLÓGICA Y CONECTIVIDAD 7. A nivel de hardware, qué tipo de computadores posee la entidad (Especificar la cantidad)

TIPO CANTIDAD

Portátiles

Computadores de mesa

Servidores (Continúe con la pregunta 8)

28

6

TOTALES 0

8. Si cuenta con servidores, por favor especifique el uso principal de estos en la entidad.

SERVIDOR USO PRINCIPAL

9. ¿Cuenta la entidad con una infraestructura de red?

SI (Continúe con la pregunta 10)

NO (Continúe con la pregunta 11)

10. Por favor anexe como parte de esta encuesta, un diseño de la infraestructura de red (topología) que tiene la entidad

11. ¿La entidad cuenta con centro de cómputo?

SI

NO

12. ¿Cuenta la entidad con acceso a Internet?

SI

NO

13. ¿Con qué tipo de conexión a Internet cuenta su entidad?

TIPO PROVEEDOR

Conmutado

Cable

Fibra óptica

Inalámbrica

Satelital

Otros (Especifique)

287

14. ¿La entidad cuenta con Sitio Web?

SI ______________

NO ______________

15.¿Cuál es el proveedor del hosting?

PROVEEDOR VIGENCIA

16. ¿El dominio fue adquirido por la entidad?

SI _____________

NO ______________

Especifique que entidad le proporciona el dominio CO

III. SOFTWARE 17. Sistemas operativos utilizados por la entidad

SISTEMA OPERATIVO NRO DE EQUIPOS

18. ¿Qué tipo de software utiliza la entidad?

TIPO DE SOFTWARE PROVEEDOR

TIPO DE LICENCIAMIEN

TO

NRO LICENCIA

S

HERRAMIENTAS OFIMÁTICAS Y SIMILARES

28

8

BASES DE DATOS

COMUNICACIÓN

APLICACIONES QUE APOYAN DIRECTAMENTE LAS FUNCIONES DE LA ENTIDAD (ERP´s, Sistemas Contables, Sistemas de Información de Bancos de Proyectos, Sistemas de gestión Administrativa, Sistemas de atención a la comunidad, Sistemas CRM………….)

NOMBRE DESCRIPCIÓN

GENERAL

PROCESO QUE AUTOMATIZA EN LA

ENTIDAD EN FUNCIÓN DEL MAPA DE PROCESOS DE

LA ENTIDAD Y EN QUE PORCENTAJE (1-100%)

19. ¿La entidad ha desarrollado software para cumplir requerimientos de la entidad?

SI _____________ (Continúe con la pregunta 20)

289

NO _____________ (Continúe con la pregunta 22)

20. ¿Con qué tipo de personal la entidad ha desarrollado software?

Interno ______________

Externo ____________

21. ¿Qué programas ha desarrollado o está desarrollando la entidad con personal interno ó externo?

PROGRAMA DESCRIPCIÓN LENGUAJE DE DESARROLLO

(I)NTERNO/EXTERNO

22. Por favor anexar el último informe de software que reporta la entidad a la Oficina Nacional de Derechos de Autor (de acuerdo con la Directiva Presidencial 01 de 1999 y 02 del 2002)

IV. PERSONAL Y/O ENTIDADES QUE DESARROLLAN LA FUNCIÓN DE TIC'S

23. Número Total de personas con que cuenta la entidad desarrollando la función de Tecnologías de Información y Comunicaciones

24. ¿Con qué personal cuenta el área de sistemas de la entidad?

ÁREAS NÚMERO DE PERSONAS

Soporte

Redes

Desarrollo

Analistas

Otros (Especifique)

Planeación de TI

Implementación SI externos

Administración de Políticas Informáticas

Administración de Contenidos

25. ¿La entidad cuenta con un Jefe de sistemas?

29

0

SI ______________ (Continúe con la pregunta 25)

NO ______________ (Continúe con la pregunta 26)

26. ¿Cuál es el perfil profesional del Jefe de sistemas? (Realice una breve descripción) Ingeniero Industrial - Técnico en Mantenimiento de Hardware - Técnico en Redes - Especialista en Auditoría de Sistemas

27. ¿En cuál de las siguientes funciones de TI, la entidad está utilizando esquemas de outsourcing?

FUNCIÓN PROVEEDOR

Otros (Especifique)

V. OBSERVACIONES

DILIGENCIÓ:

FECHA DILIGENCIAMI

ENTO:

DD/MM/AAA

A Cualquier aclaración que requiera para dar respuesta a la encuesta, se puede comunicar con la Contraloría General del Municipio de Manizales en el teléfono 8843988 Ext. 136, o enviarnos sus inquietudes al correo

electrónico [email protected]

291

EVALUACIÓN DEL NIVEL DE MADUREZ (4 FORMULARIOS)

DIAGNÓSTICO DEL NIVEL DE MADUREZ Y CONTROL DE LA FUNCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES

- PLANEACIÓN Y ORGANIZACIÓN DE TI -

ENTIDAD:___________________________________________________________________

RESPONSABLE DEL DILIGENCIAMIENTO:_________________________________________________________

CARGO: ___________________________________________________________________________

FECHA DE DILIGENCIAMIENTO:________________________

INEXISTENTE: Carencia completa de esta práctica y no se requiere

Ine

xis

ten

te

Inic

ial

Rep

etib

le

Defin

ido

Ad

min

istra

do

Op

timiz

ad

o

RESPONSABLE

(CARGO)

DOCUMENTO/REGISTRO/SOPORTE QUE EVIDENCIA

SU EVALUACIÓN

OBSERVACIONES

INICIAL: Se tiene conciencia de la necesidad de esta práctica, sin embargo no existen actividades y/o procesos estándar para llevar a cabo esta práctica de gestión.

REPETIBLE: Se han desarrollado actividades y/o procesos alrededor de esta práctica, pero no hay entrenamiento, ni comunicación formal de esta práctica, se deja la responsabilidad al individuo, no hace parte de las prácticas tradicionales en la entidad.

DEFINIDO: Esta práctica se ha estandarizado y documentado. Y se ha difundido a través de entrenamiento, sin embargo se deja que la persona decida utilizarlo.

ADMINISTRADO: Es posible monitorear y medir el cumplimiento de la práctica y tomar medidas cuando los procesos no estén trabajando de forma efectiva.

OPTIMIZADO: Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas.

COD.

PROCESO DE TI

# PRACTIC

AS DE GESTIÓN

0 1 2 3 4 5

29

2

PO1

PLANEAR Y

ORGANIZAR

1

¿La entidad define y evalúa las contribuciones necesarias de TI para el logro de los objetivos estratégicos y la creación de oportunidades de la entidad?

2

¿La entidad traduce su plan estratégico de TI, en planes de corto plazo contemplando sus operaciones, los proyectos y objetivos de TI relacionados con rendimiento, disponibilidad, funcionalidad y su costo actual de propiedad frente al retorno de inversión?

PO2

DEFINIR LA

ARQUITECTURA DE INFORMA

CIÓN

3

¿La entidad crea y mantiene una lista para identificar los elementos de datos importantes, considerando que se pueden acceder y modificar?

4

¿La entidad define y aplica medidas para garantizar la integridad y la coherencia de todos los datos almacenados en formato electrónico, tales como bases de

293

datos, archivos de datos y almacenes de datos.

PO3

DETERMINAR LA

DIRECCIÓN

TECNOLÓGICA

5

¿La entidad es consciente de continuar con el apoyo de los sistemas de información actuales frente a su vida prevista, teniendo en cuenta la relación entre el valor actual de este y el valor potencial de adquirir nuevas tecnologías?

PO4

DEFINIR LOS

PROCESOS DE TI,

SU ORGANIZA

CIÓN Y LAS

RELACIONES

6

¿La entidad asigna claramente funciones relacionadas con las responsabilidades de TI, teniendo en cuenta unas expectativas razonables y se comunica a todos, prestando especial atención a los deberes en el ámbito de la seguridad y la calidad?

7

¿La entidad revisa y evalúa con regularidad que las funciones relacionadas con las responsabilidades de TI, se entiendan, se ejerzan y se cuenten con los recursos adecuados?

29

4

8

¿La entidad define en qué momento la contratación o subcontratación de TI, es necesaria y la forma cómo van a ser controladas?

PO5

ADMINISTRACIÓN

DE INVERSIONES DE TI

9

¿La entidad planifica y gestiona los gastos de la inversión de TI, dentro de un presupuesto anual, reflejando las prioridades y los beneficios esperados para la entidad?

PO6

COMUNICAR LAS

ASPIRACIONES Y LA DIRECCIÓN DE LA

GERENCIA

10

¿La entidad toma decisiones aceptables y razonables en materia de TI, que se comuniquen y discutan como parte de los principios de un buen funcionamiento de las TI?

11

¿La entidad fomenta la capacidad de respuesta del personal frente a: requisitos aplicables externos, riesgos de TI, sus recursos, la integridad de los sistemas informáticos, los derechos de propiedad intelectual y datos de la entidad?

295

PO7

ADMINISTRAR LOS

RECURSOS

HUMANOS DE TI

12

¿La entidad tiene en cuenta la experiencia, la educación y las habilidades necesarias para la contratación de personal de TI, que permita garantizar las metas y la infraestructura de TI de la entidad?

13

¿La entidad comprueba y evalúa cada año que las competencias del personal de TI están al día y actúa en función de estas?

14

¿La entidad se asegura que las tareas esenciales de TI no dependen de una sola persona?

PO8

ADMINISTRAR LA

CALIDAD 15

¿La entidad define y hace cumplir las prácticas básicas de la documentación, incluyendo los cambios y pruebas?

PO9

EVALUAR Y

ADMINISTRAR LOS RIESGOS

DE TI

16

¿La entidad discute en el momento oportuno con el personal clave que puede ir mal con los objetivos de la entidad, teniendo en cuenta los datos que son críticos para el éxito de esta?

29

6

17

¿La entidad establece una comprensión por parte del personal, acerca de la necesidad de dar respuesta y utilizar los medios necesarios para gestionar los riesgos de TI identificados en la entidad?

PO10

ADMINISTRAR

PROYECTOS

18

¿La entidad garantiza y define la correcta asignación de prioridades y la coordinación de todos los proyectos definiendo claramente lo que se espera obtener, por quién, cuándo, a qué costo y con qué beneficios?

19

¿La entidad define, describe, comunica y apoya a la gestión de proyectos, de forma tal que se tenga explicito el alcance del proyecto, los criterios de aceptación final de la entrega y los cambios vinculados a los proyectos con un adecuado plan de formación?

297

20

¿La entidad implementa un plan de calidad para hacer seguimiento a los resultados del proyecto, en términos de costos, plazos y riesgos de manera permanente?


- ADQUISICIÓN E IMPLEMENTACIÓN -

ENTIDAD:___________________________________________________________________

RESPONSABLE DEL DILIGENCIAMIENTO:__________________________________________________________

CARGO: ____________________________________________________________________________



Ine

xis

ten

te

Inic

ial

Rep

etib

le

Defin

ido

Ad

min

istra

do

Op

timiz

ad

o

RESPONSABL

E (CARGO

)

DOCUMENTO/REGISTRO/SOPORTE QUE EVIDENCIA SU EVALUACIÓN

OBSERVACIONES





OPTIMIZADO: Los procesos se han refinado hasta un nivel de mejor

29

8

práctica, se basan en los resultados de mejoras continuas.

COD.

PROCESO DE TI

# PRACTIC

AS DE GESTIÓN

0 1 2 3 4 5

AI1

IDENTIFICAR

SOLUCIONES

AUTOMATIZADAS

21

¿La entidad tiene claridad acerca de cómo las soluciones tecnológicas van a cambiar y beneficiar los procesos de la entidad?, ¿Se asegura que los requisitos operacionales y funcionales dan solución a lo que se necesita, incluyendo mantenimiento, funcionamiento, rendimiento, seguridad y compatibilidad con los sistemas actuales?

22

¿La entidad de acuerdo con su plan estratégico de TI, establece cuidadosamente la compra o desarrollo de soluciones tecnológicas, contemplando soluciones alternativas y su viabilidad, sin excluir los sistemas existentes o teniendo presente que si no existe una idea clara de cómo mejorar los procesos de la entidad, no

299

es necesario inyectar tecnología?

23

¿La entidad tiene establecido un proceso de selección de proveedores, para la adquisición de productos o servicios de TI e invita a más de un proveedor para su adquisición?

AI2

ADQUIRIR Y

MANTENER

SOFTWARE DE

APLICACIÓN

24

¿La entidad asegura que existe un buen conjunto de requerimientos funcionales, operativos y de revisión con: a. El personal clave para determinar los registros que se deben lograr en la aplicación, b. El proveedor o desarrollador, para verificar que las necesidades se entienden claramente?

25

¿La entidad obtiene del proveedor o desarrollador un modelo de datos, descripciones de procesos y documentación del proveedor/desarrollador?

30

0

AI3

ADQUIRIR Y

MANTENER LA

INFRAESTRUCTURA TECNOLÓ

GICA

26

¿La entidad tiene en cuenta todo lo necesario para implementar, operar, mantener y asegurar la aplicación para apoyar a los usuarios y hacer recuperaciones de fallas?

AI4

FACILITAR LA

OPERACIÓN Y EL USO

27

¿La entidad se asegura de que los conocimientos y habilidades sobre los sistemas nuevos y actuales están disponibles y actualizados a través de documentación y formación para todo el personal?

AI5

ADQUIRIR RECURSOS DE TI

28

¿La entidad tiene definido un conjunto de procedimientos de contratación de los recursos de TI? , ¿Utiliza procedimientos para la selección de proveedores. Se asegura de los componentes legales, financieros, organizativos, de seguridad y de rendimiento de los acuerdos contractuales?

301

AI6

ADMINISTRAR

CAMBIOS

29

¿La entidad establece un proceso de gestión del cambio que incluye etapas de aprobación, categorización, evaluación de impacto, priorización, autorización, planificación, prueba e implementación, durante la ejecución del proceso de gestión del cambio?

30

¿La entidad establece un proceso de gestión de cambio que incluye varias etapas de aprobación para tener seguimiento del proyecto, los riesgos y la ejecución?

31

¿La entidad tiene establecido un proceso de cambios de emergencia (incluidos los criterios para su activación, los procedimientos, etc.) y se asegura de que cada cambio de emergencia es registrado y autorizado?

AI7

INSTALAR Y

ACREDITAR

SOLUCIONES Y

CAMBIOS

32

¿La entidad considera la documentación de los cambios de las soluciones tecnológicas y lleva a cabo la formación respectiva?

30

2

33

¿La entidad analiza, elabora y asigna un plan para la conversión de datos, teniendo en cuenta la complejidad y el alcance que se van a tener en otras aplicaciones y el grado de verificación requerido?

34

¿La entidad realiza las pruebas a las aplicaciones frente a los requisitos funcionales y operativos para que puedan dar confiabilidad? De igual forma, ¿Se prueba que las aplicaciones (o grandes cambios a estas) se integren con las aplicaciones existentes?


- ENTREGA Y SOPORTE -

ENTIDAD:___________________________________________________________________

RESPONSABLE DEL DILIGENCIAMIENTO:_________________________________________________________

CARGO: ___________________________________________________________________________


303


Ine

xis

ten

te

Inic

ial

Rep

etib

le

Defin

ido

A

dm

inis

trad

o

Op

timiz

ad

o

RESPO

NSABLE (CARGO)

DOCUMENTO/REGISTRO/SOPO

RTE QUE

EVIDENCIA SU

EVALUACIÓ

N

OBSERVACIONES






COD.

PROCESO DE TI

# PRACTICAS DE GESTIÓN 0 1 2 3 4 5

DS1

DEFINIR Y ADMINISTRA

R LOS NIVELES DE SERVICIO

35

¿La entidad realiza la evaluación de la aceptación final de los servicios de TI, evaluando la participación del personal clave que va a utilizar, ejecutar y mantener el sistema, los resultados de las pruebas y los criterios de aceptación de acuerdo con los objetivos del negocio?

DS2

ADMINISTRAR LOS

SERVICIOS DE

TERCEROS

36

¿La entidad define, identifica y evalúa periódicamente los servicios prestados por TI, y los acuerdos de niveles de servicio, cubriendo las necesidades de la empresa, e identificando los roles, costos relacionados y responsabilidades en la entidad. ?

37

¿La entidad tiene en cuenta la dependencia de los proveedores y de terceros, para garantizar su continuidad y la confidencialidad de la información y el riesgo de propiedad intelectual?

DS3

ADMINISTRAR EL

DESEMPEÑO Y LA

CAPACIDAD

38

¿La entidad evalúa y garantiza la capacidad profesional de terceros, ofreciendo un contacto claro de quien tiene la autoridad para actuar sobre las necesidades y preocupaciones de la entidad?

39

¿La entidad con base a las necesidades, las cargas actuales y futuras de trabajo, define la disponibilidad mínima de rendimiento y la capacidad de servicio de los sistemas de TI?

DS4

GARANTIZAR LA

CONTINUID

40

¿La entidad identifica sus funciones críticas y la información, aplicaciones, servicio a terceros, suministros, archivos de datos, entre otros, que son fundamentales para la entidad, minimizando los niveles de dependencia hasta donde sea posible?

30

4

AD DEL SERVICIO

41

¿La organización establece los principios básicos de la protección y reconstrucción de los servicios de TI, tales como la obtención de suministros y servicios en caso de emergencia para retornar a las operaciones normales después de haber ocurrido el evento y de igual forma los mecanismos para comunicarse con clientes y proveedores?

42

¿La entidad define junto con los empleados claves, lo que se debe almacenar en las copias de seguridad y se ubica en sitios fuera de la entidad que garantice que la información pueda ser recuperada después? , ¿Se aseguran adecuadamente recursos tales como archivos de datos críticos, documentación y otros recursos de TI?

DS5

GARANTIZAR LA

SEGURIDAD DE LOS

SISTEMAS

43

¿La entidad implementa procedimientos de control, basados en las necesidades de las personas para ver, añadir, cambiar o eliminar datos, teniendo en cuenta especial atención con los derechos de acceso de los proveedores y clientes y existen políticas de cambio de contraseñas para los usuarios?

44

¿La entidad asegura que una persona es la responsable de administrar todas las cuentas de usuario, Tokens de seguridad (contraseñas, tarjetas, dispositivos, etc.) y con procedimientos definidos de seguridad revisados periódicamente?

45

¿La entidad cuenta con un registro de violación de seguridad (de sistemas y redes, acceso, virus, uso de software ilegal), que permita informar y actuar de acuerdo al caso de forma inmediata?

46 ¿La entidad asegura que todos los usuarios (internos, externos y temporales) y actividades en los sistemas de TI son identificados fácilmente?

47

¿La entidad tiene medidas preventivas y correctivas para protegerse contra el malware (Refuerzos de software, actualización de parches), con la instalación y configuración de servidores de seguridad para controlar el acceso a la red y el flujo de información?

DS8

ADMINISTRAR LA MESA

DE SERVICIO Y

LOS INCIDENTES

48 ¿La entidad tiene establecida una oficina de servicio o unidad de apoyo, para controlar los incidentes y solicitudes de servicio?

DS9

ADMINISTRAR LA

CONFIGURACIÓN

49 ¿La entidad crea, regula y actualiza el inventario de material informático y configuración de software?

50 ¿La entidad revisa de forma regular si todo el software instalado, esta actualizado y con la licencia correspondiente?

305

DS10

ADMINISTRAR LOS

PROBLEMAS

51

¿La entidad identifica y hace seguimiento a los problemas significativos, investigando la causa de estos y poniendo en marcha soluciones sostenibles en el momento oportuno?

DS11

ADMINISTRACIÓN DE DATOS

52

¿La entidad define los periodos de retención, requisitos y condiciones de almacenaje de archivos, documentos, datos y programas, asegurándose que se cumplan con los requerimientos legales y del usuario?

DS12

ADMINISTRACIÓN DEL AMBIENTE

FÍSICO

53

¿La entidad protege físicamente los activos de TI y es consciente de la afectación que pueden tener por factores ambientales, tales como calor, riesgos naturales, polvo y humedad? , ¿Se presta especial atención a la seguridad de los dispositivos móviles y portátiles de la entidad?

DS13

ADMINISTRACIÓN DE

LAS OPERACION

ES

54

¿La entidad documenta y revisa las operaciones básicas de TI regularmente, para asegurar que las actividades de procesamiento se desarrollan según lo previsto (tiempo, secuencia, calidad, etc.) y se cuenta con procedimientos y registros de control para garantizar la exactitud e integridad del procesamiento?


-MONITOREO Y EVALUACIÓN -

ENTIDAD:___________________________________________________________________

RESPONSABLE DEL DILIGENCIAMIENTO:__________________________________________________________

CARGO: ____________________________________________________________________________



Ine

xis

ten

te

Inic

ial

Rep

etib

le

Defin

ido

Ad

min

istra

do

Op

timiz

ad

o

RESPONSABLE

(CARGO)

DOCUMENTO/REGISTRO/SOPORTE QUE

EVIDENCIA SU EVALUACIÓN

OBSERVACIONES


30

6





COD.

PROCESO DE TI

#

PRACTICAS DE GESTIÓN

0 1 2 3 4 5

ME1

MONITOREAR Y

EVALUAR EL

DESEMPEÑO DE

TI

55

¿La entidad cuenta con indicadores de TI relevantes, para realizar seguimiento permanente a los resultados y al rendimiento de TI y en consecuencia se establecen iniciativas de mejora?

56

¿La entidad compara los problemas de TI con las principales decisiones de TI?

307

ME2

MONITOREAR Y

EVALUAR EL

CONTROL

INTERNO

57

¿La entidad monitorea y evalúa los mecanismos de control para identificar y evaluar si las actividades de TI, se llevan de forma correcta, y como se esperaban de acuerdo con lo planeado?

58

¿La entidad acude cuando es necesario a recursos externos competentes, para evaluar los mecanismos de control de TI existentes, con el fin de revisar el cumplimiento de ley y/o reglamentos relacionados con obligaciones contractuales en materia de TI?

30

8

ME3

GARANTIZAR EL

CUMPLIMIENTO

REGULATORIO

59

¿La entidad identifica las acciones que se deben desarrollar para dar cumplimiento a los requisitos legales externos (seguridad, privacidad, propiedad intelectual, normativas de comercio electrónico, etc.) relacionados con TI?

ME4

PROPORCIONAR

GOBIERNO DE TI

60

¿La entidad establece la presentación de informes regulares sobre las actividades de TI, para ser presentados al representante legal y al comité de dirección?

309

Anexo 4. Ficha técnica Estudio Tipo 2

ESTUDIO TIPO 2

CARACTERIZACIÓN DEL SERVICIO DE AUDITORÍA CONTINUA EN LA

CONTRALORIA GENERAL DEL MUNICIPIO DE MANIZALES.

OBJETIVO

Establecer las principales características del auditor gubernamental de la Contraloría

General del Municipio de Manizales y su nivel de conocimiento, tanto del uso del

computador en los procesos de auditoría, como de la auditoría continua propiamente dicha.

POBLACIÓN OBJETIVO

Auditores gubernamentales adscritos a la Contraloría General del Municipio de Manizales.


19 Auditores gubernamentales

TIPO DE ESTUDIO

Censo


Características del auditor gubernamental frente a su labor como auditor y percepciones

de las Técnicas de Auditoría Asistidas por Computador y de la Auditoría Continua.


Entrevista guiada a partir del instrumento base con cada uno de los auditores

gubernamentales.


Febrero a Mayo de 2013.

INSTRUMENTO

CONTRALORÍA GENERAL DEL MUNICIPIO DE MANIZALES UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES

Caracterización del Servicio de Auditoría Continua

31

0

FECHA DE DILIGENCIAMIENTO: ___________

Servicio de Auditoría Continua

La Contraloría General del Municipio de Manizales, prestará dentro de su portafolio de servicios, un nuevo servicio de Auditoría Continua, como parte de sus servicios de control fiscal, a través del cual se espera disminuir la latencia existente, entre el momento en que ocurren los hechos desarrollados por las entidades sujetas a control y el momento en que la función de control fiscal actúa, utilizando para ello las Tecnologías de Información y Comunicaciones. De igual forma, se espera con este nuevo servicio evaluar y monitorear de forma permanente la ocurrencia de riesgos y el incumplimiento de controles de aquellos procesos gubernamentales, en donde las entidades sujetas de control utilizan las Tecnologías de Información y Comunicaciones.

I. DATOS PERSONALES DEL AUDITOR

1.1. Nombre: _________________________________________________________________

1.2. Profesión:

________________________________________________________________

1.3. Posgrados: Especialización en: ________________________________________________

Maestría en: ________________________________________________________

1.4. Años de experiencia en auditoría:____________

1.5. Años de experiencia en auditoría gubernamental:_________________

1.6. Tiempo laborado en la Contraloría General del Municipio de Manizales: _______

1.7. En orden ascendente (1: las auditorías donde más ha participado…6:

Auditorías donde menos ha participado), por favor establezca las modalidades de

auditoría en las que más ha participado

Auditoría Exprés

Especiales

Regulares

311

De seguimiento

Virtuales

Otras: ¿Cuáles?_________________

II. CARACTERIZACIÓN DE LOS PROCESOS DE AUDITORÍA Y CONTROL

DESARROLLADOS 2.1. En orden de prioridad, su participación en los procesos de control fiscal en

la Contraloría General del Municipio de Manizales, han sido:

PROCESO NIVEL DE PARTICIPACIÓN

(1: ALTO…. 7:BAJO) Si no ha

participado coloque 0 (cero).

Rendición de la cuenta

Proceso de Auditoría

Participación ciudadana

Responsabilidad Fiscal

Jurisdicción coactiva

Administrativo sancionatorio

Otro. ¿Cuál?

2.2. Su perfil como auditor, se encuentra más relacionado con: (Seleccione una

opción)

La auditoría financiera

La auditoría de gestión y resultados

La auditoría administrativa

La auditoría de sistemas

La auditoría ambiental

31

2

La auditoría al sistema de control interno

Otra:

¿Cuál?___________________________

2.3. Cuando realiza su proceso de auditoría gubernamental, utiliza usted alguna

técnica de auditoría apoyada por computador (por ejemplo: simulación paralela, scarf, módulos embebidos de auditoría….)

SI___ NO_____

Explique:_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

2.4. Cuando usted realiza su auditoría, a un proceso gubernamental específico, ¿Lleva a cabo ó se basa en la identificación de los riesgos que tiene el proceso para orientar el desarrollo de la auditoría?

SI_____ NO_____

2.5. En las auditorías que usted desarrolla, en promedio ¿Cuánto tiempo se demoran las entidades sujetas de control, en reportar la información requerida por usted para llevar a cabo la auditoría? (sin tener en cuenta la información de la rendición de la cuenta)

_______ (en días)

2.6. ¿Considera usted viable que las entidades sujetas de control de la Contraloría General del Municipio de Manizales, puedan reportar ó publicar la información requerida para llevar a cabo procesos de auditoría, inmediatamente después que se genera?

SI_____ NO_____ ¿Por qué?:_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

2.7. En el último año, en cuantas auditorías participó como:

Perfil Número de Auditorías

Auditor líder

Auditor de apoyo

313

2.8. En el último año, en promedio ¿Cuánto tiempo duraron las auditorías en las cuales usted participó?

__________ (en meses)

III. ASPECTOS RELACIONADOS CON AUDITORÍA CONTINUA

3.1. En una escala de 1 a 5, por favor califique su nivel de conocimiento de la Auditoría Continua.

__________

3.2. ¿Considera usted que la Contraloría General del Municipio de Manizales, ha prestado en algún momento el servicio de Auditoría Continua?

SI_____ (Describa la situación donde se ha prestado el servicio) NO_____ Situación, donde se ha prestado el servicio: ___________________________________ ____________________________________________________________________________________________________________________________________________________________________________________________________________________

3.3. De acuerdo a su experiencia en los procesos de auditoría gubernamental ¿En qué ha participado en las diferentes entidades sujetas de control; que porcentaje de esos procesos se encuentran actualmente automatizados?

Entre 0 y 25%

Entre el 26 y el 50%



3.4. Tradicionalmente cuando una entidad auditada, le entrega a usted como auditor, información en medio magnético para que sea analizada

- ¿Quién extrae la información del sistema de información de la entidad?

Usted directamente

El responsable de sistemas de la entidad sujeta de control

Personal de sistemas de la Contraloría

Otro: ¿Quién?_____________

31

4

- ¿Qué herramientas utiliza para realizar el análisis de la información? (generación de estadísticas, cruce de variables, detección de inconsistencias en registros….)

Excel

Access

IDEA

ACL

Herramienta Especializada

Otra: Cual?

- ¿Quién realiza la generación de estadísticas básicas, cruces de información, detección de inconsistencias sobre la información aportada por la entidad sujeta de control?

Usted directamente

El responsable de sistemas de la entidad sujeta de control

Personal de sistemas de la Contraloría

Otro: ¿Quién?_____________

3.5. En su concepto, y de acuerdo a la descripción del servicio de Auditoría Continua planteado al inicio de la encuesta, ¿En que aspectos puede mejorar este servicio su labor como auditor?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

3.6. En su concepto, y de acuerdo a la descripción del servicio de Auditoría Continua, planteado al inicio de la encuesta, ¿Qué tanto impacto puede generar este servicio en el mejoramiento de la efectividad de la función de control gubernamental que ejercer la Contraloría General del Municipio de Manizales?

_____________________________________________________________________________________________________________________________________________________________________________________________________________________

315

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

3.7. Relacione las auditorías que ha realizado durante el último año.

Entidad sujeto de auditoría

Proceso Auditado

Modalidad de Auditoría

% de Automatización

del proceso auditado en la

entidad

OBSERVACIONES GENERALES: ___________________________________________

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

31

6

Anexo 5. Ficha Técnica Estudio Tipo 3

ESTUDIO TIPO 3

EVALUACIÓN DEL NIVEL DE AVANCE DEL GOBIERNO ELECTRÓNICO EN LAS

ENTIDADES SUJETAS DE CONTROL DE LA CONTRALORIA GENERAL DEL

MUNICIPIO DE MANIZALES

OBJETIVO

Determinar el nivel de avance del gobierno electrónico de las entidades sujetas de control

de la Contraloría General del Municipio de Manizales, con base en las directrices del

Ministerio de Tecnologías de Información, plasmadas en el manual 3.1 de gobierno en

línea.

POBLACIÓN OBJETIVO

Entidades públicas de la ciudad de Manizales, obligadas por el Decreto 2693 de 2012 a

implementar las diferentes fases de Gobierno en Línea y que son sujetas de control por

parte de la Contraloría General del Municipio de Manizales.


19 Entidades

TIPO DE ESTUDIO

Censo


Actividades desarrolladas por las entidades relacionadas con la implementación del

gobierno electrónico, de acuerdo a las directrices del Ministerio de Tecnologías de

Información y Comunicaciones, establecidas en el manual 3.1 de Gobierno en Línea.


Auto diligenciamiento a partir de encuesta por fases de Gobierno en Línea, liderado por la

Contraloría General del Municipio de Manizales (como estrategia para garantizar el nivel

de respuesta), utilizando para ello instrumento en línea elaborado con Google Forms.


317

Septiembre a Diciembre de 2014.

INSTRUMENTO

Seis formularios con un total de 194 preguntas, cada formulario corresponde a una de las

fases de gobierno en línea.

Por la extensión del formulario, a continuación se relacionan los URL donde se encuentran

los formularios aplicados.

FORMULARIO FASE URL (Form)

1 Elementos

Transversales

https://docs.google.com/a/unal.edu.co/forms/d/1Q4h

0PY-3pRO8hq8R6jbLmeXkn_du4eh0W--

3gYqDhKU/viewform

2 Información en

línea

https://docs.google.com/a/unal.edu.co/forms/d/1bvG

DW8hF5zAqUaO3Ra84b35e1C_QxlP2pnXpEBcZs

PU/viewform

3 Interacción en

línea

https://docs.google.com/a/unal.edu.co/forms/d/1tCD

2o7nCce2ZCD3MY-pKY-S20FEamVQ-

kUp3GkwtXMw/viewform?c=0&w=1

4 Transacción en

línea

https://docs.google.com/a/unal.edu.co/forms/d/1jsF

S_krn4Y0QCU7FGXB8-

jj8XIValaZ3v6k6JTiiKM0/viewform

5 Transformación https://docs.google.com/a/unal.edu.co/forms/d/1AM

3s5TK2JWVlOyWMIQ9bdpnUVOPYIo6ojNTZYy5M

sTw/viewform

6 Democracia en

línea

https://docs.google.com/a/unal.edu.co/forms/d/18nQ

WHTgoL4YE1rfNU8aT7Y5M0N8UbXatsOAAXoIntp

c/viewform

https://docs.google.com/a/unal.edu.co/forms/d/1Q4h0PY-3pRO8hq8R6jbLmeXkn_du4eh0W--3gYqDhKU/viewform



https://docs.google.com/a/unal.edu.co/forms/d/1bvGDW8hF5zAqUaO3Ra84b35e1C_QxlP2pnXpEBcZsPU/viewform



https://docs.google.com/a/unal.edu.co/forms/d/1tCD2o7nCce2ZCD3MY-pKY-S20FEamVQ-kUp3GkwtXMw/viewform?c=0&w=1



https://docs.google.com/a/unal.edu.co/forms/d/1jsFS_krn4Y0QCU7FGXB8-jj8XIValaZ3v6k6JTiiKM0/viewform



https://docs.google.com/a/unal.edu.co/forms/d/1AM3s5TK2JWVlOyWMIQ9bdpnUVOPYIo6ojNTZYy5MsTw/viewform



https://docs.google.com/a/unal.edu.co/forms/d/18nQWHTgoL4YE1rfNU8aT7Y5M0N8UbXatsOAAXoIntpc/viewform



31

8

Anexo 6. Informe detallado de resultados por fases del estado actual de la Estrategia de Gobierno en Línea en las entidades sujetas de control de la Contraloría General del Municipio de Manizales.

1. Elementos Transversales

Las entidades sujetas de control de la Contraloría General del Municipio de Manizales,

presentan en promedio un nivel de cumplimiento del 53,9%, frente a la meta a 2014 del

55% impuesto por el Gobierno a través del Decreto 2693 de 2012, como se puede apreciar

en la tabla 62.

Se destacan dentro de las actividades de esta fase, que las entidades sujetas de control

no han iniciado ningún tipo de acción para implementar el protocolo IPv6, mientras que se

destaca el avance en el desarrollo de los Sistemas de Gestión de Seguridad de la

Información y en la institucionalización de la estrategia de Gobierno en Línea.

Tabla 66. Nivel de avance promedio de los diferentes componentes de la fase de elementos transversales de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.

PESO (%) ACTIVIDAD PESO (%)

CATEGORIA

5,9 Comité o instancia responsable de GEL

19,8 Institucionalizar la

Estrategia de Gobierno en Línea.

3,9 Planeación del Gobierno en línea

6,9 Estrategia de apropiación

3 Monitoreo y Evaluación

8,7 Caracterización de usuarios

15,5 Centrar la atención en

el usuario

3,7 Estrategia de promoción

0,3 Accesibilidad

2,8 Usabilidad

4,8 Planear el ajuste tecnológico 4,8

Implementar un sistema de gestión de

TI 0 Protocolo IPv6

13,8 Sistema de Gestión de Seguridad de la Información

13,8 Implementar un

sistema de gestión de

319

seguridad de la información


control por la Contraloría General del Municipio de Manizales, 2014.


El promedio de nivel de avance de las entidades sujetas de control en esta fase es del

41.7%, estando por debajo de la meta requerida a 2014, influenciado fundamentalmente

por la categoría de publicación de datos abiertos, donde no se observa mayor avance por

parte de las entidades, como se puede observar en la tabla 63. Este componente en

particular, es uno de los elementos fundamentales para habilitar procesos de Auditoría

Continua y será analizado en mayor profundidad, en la variable correspondiente a

Gobierno Abierto del modelo propuesto.

Tabla 67. Nivel de avance promedio de los diferentes componentes de la fase de información en línea de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.

PESO (%) ACTIVIDAD PESO (%) CATEGORIA

3,4 Política Editorial

40,2 Publicación de Información 33,9 Publicación de Información

2,9 Acceso multicanal

0 Inventario de Información 1,5 Publicación de datos abiertos

1,5 Apertura de datos




Esta fase presenta un nivel de avance promedio de las 19 entidades del 44,6%, estando

por encima de la meta del gobierno, donde se destaca:

32

0

Tabla 68. Nivel de avance promedio de los diferentes componentes de la fase de Interacción en línea de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.


8,4 Consulta interactiva de información 12,7

Habilitar espacios de interacción 4,3 Servicios de interacción

25,7 Sistema de contacto y PQRD

31,9 Habilitar espacios

electrónicos para interponer peticiones

0 Sistema móvil de contacto y PQRD

6,3 Sistema integrado de PQRD




Tabla 69. Nivel de avance promedio de los diferentes componentes de la fase de Transacción en línea de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.


2,6 Formularios para descarga

49,1 Disponer trámites y

servicios en línea

1,6 Certificaciones y constancias

38,6 Trámites y servicios

6,3 Ventanillas únicas



Transformación

321

Tabla 70. Nivel de avance promedio de los diferentes componentes de la fase de Transformación de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.


8,5 Buenas prácticas

34,4 Hacer uso de medios

electrónicos en procesos y procedimientos internos

8,2 Sistema de gestión de documentos

17,7 Automatización de procesos

8,7 Cadenas de trámites

10,1 Intercambiar información entre

entidades 1,4 Servicios de intercambio de información




Tabla 71.Nivel de avance promedio de los diferentes componentes de la fase de Democracia en línea de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.


6,3 Estrategia de participación por medios electrónicos

6,3 Definir la estrategia de

participación

2,9 Normatividad 6,1

Construir de forma participativa las políticas y planeación

estratégica 3,2 Planeación Estratégica

6,9 Rendición de cuenta 6,9 Abrir espacios para el control

social

0,8 Promoción de datos abiertos 2,3

32

2

1,5 Solución de problemas Abrir espacios de innovación

abierta Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de


323

Anexo 7.Análisis de homogeneización detallado de guías y metodologías de Auditoría Continua.

Análisis de Guías de Auditoría Continua

ACTIVIDADES DEL MODELO

ETAP

A

FASE IIAG IIAE ISACA AUS

T TOTAL

% COHESIÒ

N

PROMEDIO

COHESIÓN POR

ETAPA

Defin

ición

d

e Recu

rsos

y An

álisis de

Co

stos

Definición de personal, recursos clave y gestión de competencias del auditor 9, 10 2, 10 2 50% 50% Evaluación de costos y beneficios 4,19 3 2 50%

Relacio

nes co

n

la A

dm

inistració

n

Obtener el respaldo de la alta dirección 2 3, 5 6 3 75%

58% Estado actual del monitoreo continuo 3 11 2 50%

Desarrollar relaciones con la gestión de TI 7 8 2 50%

Plan

An

ual d

e A

ud

itoría Establecer áreas prioritarias 4,24 1 1 3 75% 75%

Plan

eación

Detallad

a Comprender los procesos de negocio 6,13 5 2 50%

57%

Definición de Objetivos y alcance de Auditoría Continua 1 1 7 3 75%

Identificar Riesgos e Indicadores de Riesgo

14,15,23 7,2 3 3 75%

Identificar Controles e Indicadores de Control

17,18,23 2 2 50%

Identificar y Comprender Sistemas de Información clave 5,6 2 2 50%

Conocer y comprender las fuentes de datos 5 9 2 50%

Conexión con aplicaciones/repositorios 11,12 1 25%

Depurar y preparar los datos 11,12 9 2 50%

32

4

Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos

16, 19, 20 4 2 50%

Determinar la frecuencias de los procesos 21 5 8 3 75%

Seleccionar y adquirir herramientas de análisis 8

6,8;10 3 3 75%

Ejecu

ción

Configurar los parámetros de aseguramiento continuo 9 1 25%

38% Ejecutar pruebas de manera regular y oportuno para identificar excepciones 22 14,15 2 50%

Co

mu

nicació

n d

e R

esultad

os

Supervisar permanentemente los Resultados de Auditoría Continua 26,28 17 6 3 75%

88%

Informar a la Dirección 25 16 7 11 4 100%

Seguim

iento

Seguimiento a la implementación de las acciones implementadas 27 10 2 50%

50% Garantizar la continuidad del proceso de Auditoría Continua. 29

18, 20, 13 2 50%

Índice de cohesión del modelo. 82,6% 52,2% 43,5%

47,8% 58%

Análisis de las metodologías de Auditoría Continua

ETAPA FASE

(Jolly, Julio R.;

Alcarraz,

2010)

(Chan &

Vasarhelyi, 2011)

(Abdolmoha

mmadi &

Sharbatoghlie, 2005); (Sharbatoghli

e & Sepehri, n.d.)

(Mainardi,

2011)

(Rezaee et al., 2002),

(Rezaee et al.,

2004),(Blundell, 2007),

(Ye & Li, 2010),(Abdolmohammadi

&

(C. E. De

Aquino et al.,

2010)

(Kuenkaikaew

& Vasarh

elyi, 2013), (Kuenkaikaew, 2013)

TOTAL %

Índice de co

hesión por etapas

325

Sharbatoghlie,

2005),(Aboa,

2014)

Defin

ición

de R

ecurso

s y A

nálisis d

e Co

stos

Definición de personal, recursos clave y gestión de competencias del auditor 12 1

14,3%

7,1%

Evaluación de costos y beneficios 0

0,0%

Relacio

nes co

n la

Ad

min

istración

Obtener el respaldo de la alta dirección 14 3 2

28,6%

23,8%

Estado actual del monitoreo continuo 15 1

14,3%

Desarrollar relaciones con la gestión de TI 16,19 3 2

28,6%

Plan

An

ual d

e A

ud

itoría

Establecer áreas prioritarias 5 4

1 3

42,9%

42,9%

Plan

eación

Detallad

a

Comprender los procesos de negocio 1,2,3,4 1 1 2 4

57,1%

51,9%

Definición de Objetivos y alcance de Auditoría Continua 13 4 5,8 1 4

57,1%

Identificar Riesgos e Indicadores de Riesgo 6,8 2 2

2 1, 4 5

71,4%

Identificar Controles e

7,8,9,10 2 2

2

4 5

71,4%

32

6

Indicadores de Control

Identificar y Comprender Sistemas de Información clave 3

2 2

28,6%

Conocer y comprender las fuentes de datos 11 2 5 9 3,4,5

3 6

85,7%

Conexión con aplicaciones/repositorios 6 6 2

28,6%

Depurar y preparar los datos 20 7,8 10 7,8

3 5

71,4%

Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos 1 7,11 2

28,6%

Determinar la frecuencias de los procesos 17 6

3 3

42,9%

Seleccionar y adquirir herramientas de análisis 3 12 2

28,6%

Ejecució

n

Configurar los parámetros de aseguramiento continuo

4 1

14,3%

42,9%

Ejecutar pruebas de manera regular y oportuno para identificar excepciones 18,21 9, 10

13,14 9, 10 5, 6 5

71,4%

Co

mu

nicaci

ón

de

Resu

ltad

os

Supervisar permanentemente los 22 12

5 3

42,9%

47,6%

327

Resultados de Auditoría Continua (Identificar desviaciones o deficiencias de control)

Investigar la razonabilidad de las desviaciones detectadas 23 11 2

28,6%

Informar a la Dirección 24,25 4

15,16,17,18 10

6 5

71,4%

Seguim

iento

Seguimiento a la implementación de las acciones implementadas 13 1

14,3%

28,6%

Garantizar la continuidad del proceso de Auditoría Continua 26 14 7, 9 3

42,9%

Mo

nito

reo

Co

ntin

uo

Crear esquemas para transferencia a Monitoreo Continuo 8 ,10 1

14,3%

32

8

Anexo 8. Productos de difusión de resultados de la tesis

1. Ponencias

Año Evento País (Ciudad) Ponencia

2012 1er Encuentro Nacional sobre

innovación tecnológica

empresarial (ENITEC)

Colombia

(Manizales)

Diseño de un modelo de

Auditoría Continua para las

organizaciones del sector

público Colombiano

2012 1er Encuentro Nacional de

Control en línea y Auditoría

Continua

Colombia

(Manizales)

El Control en línea y la

Auditoría Continua, estado

del arte a nivel internacional

2012 9o CONTECSI (Conferência

Internacional sobre Sistemas

de Gestão da Informação e

tecnológico)

Brasil (Sao

Paulo)

Modelos de Auditoría

Continua y su aplicación en

el sector público

Colombiano.

2012 7ª Jornada Académica de

ISACA Colombia

Colombia

(Bogotá)

La Auditoría Continua, una

herramienta para

modernizar y poner en

contexto la Auditoría

2012 Congreso Latinoamericano de

Auditoría Interna 2012

Paraguay

(Asunción)

La Auditoría Continua:

génesis, evolución, estado

actual y aplicación en el

sector público Colombiano

2012 Foro Internacional UN 2012.

Investigación y extensión para

la Innovación

Colombia

(Bogotá)

La Auditoría Continua, una

herramienta para la

modernización de la función

de auditoría en las

organizaciones y su

aplicación en el control

fiscal colombiano

329

2013 1er Encuentro Internacional y

2do Nacional de Control en

línea y Auditoría Continua

Colombia

(Manizales)

Arquitectura de Auditoría

Continua para el Control

Fiscal Colombiano. Una

versión preliminar.

2013 La prevención y detección del

riesgo de fraude con énfasis

en auditoría forense

Colombia

(Medellín)

La Auditoría Continua y su

aplicación en el sector

público Colombiano

2013 Conferencia Latinoamericana

de Auditoría, Control y

Seguridad (LATINCACS 2013)

y Conferencia

Latinoamericana de Seguridad

de la Información y

Administración del Riesgo

(ISRM 2013)

Colombia

(Medellín)

E-control y Auditoría

Continua en Colombia

2013 Jornadas de actualización de

Control Interno de la


Colombia

Colombia

(Bogotá)

Auditoría Continua: Una

herramienta para mejorar la

efectividad del Control

Organizacional

2. Eventos científicos organizados

Año Evento generado Ciudad Organizadores Asistentes

2012 1er Encuentro

Nacional de Control

en línea y Auditoría

Continua

Manizales Universidad Nacional de

Colombia / Contraloría

General del Municipio de

Manizales

100 Asistentes (4

Contralores

Territoriales)

5 Conferencistas

Nacionales.

2013 1er Encuentro

Internacional y 2do

Nacional de Control

Manizales Universidad Nacional de

Colombia / Contraloría

80 Asistentes

1 Conferencista

Internacional

33

0

en línea y Auditoría

Continua

General del Municipio de

Manizales

5 Conferencistas

Nacionales.

3. Reconocimientos recibidos

Mención Especial con el trabajo denominado “La Auditoría Continua, un modelo

complementario, que permite agregar valor a la Auditoría Moderna“ por parte de la

Federación Latinoamericana de Bancos –FELABAN- y el Comité Latinoamericano de

Auditoría Interna y Evaluación de Riesgos – CLAIN- presentado para participar en el

concurso de ensayos sobre Auditoría Interna Bancaria 2015.

4. Artículos de investigación

Valencia Duque, F. J., & Tamayo Arias, J. A. (2012). Evidencia digital y tècnicas y

herramientas de auditorìa asistidas por computador. Ventana Informàtica, (26), 93–110.

Valencia Duque, F. J., & Tamayo Arias, J. A.. (2015).Modelos de Auditoría Continua.

Una propuesta taxonómica. Journal of Information Systems and Technology

Management. (En proceso de aprobación).

Valencia Duque, F. J., & Tamayo Arias, J. A.,& Osorio López, K. (2015). Tecnologías de

la Información y Comunicación en el Control Fiscal Colombiano. Revista Administración

& Desarrollo. (En proceso de aprobación).

5. Libros y capítulos de libro

ISBN Título Editorial Capítulo Año

331

En

proceso

de

edición

Técnicas y

Herramientas de

Auditoría Asistidas

por Computador

Universidad

Nacional

2015

978-980-

6125-71-

1

Memorias “XVI

Congreso

Internacional del

CLAD sobre la

reforma del Estado

y de la

Administración

Pública”

CLAD El e-control

estado actual y

perspectivas

en el Control

Fiscal

Colombiano

2013

6. Intervención en el contexto del Control Fiscal Colombiano

Evento/Acción Entidades

organizadoras

Tipo de

participación

Ciudad y

Fecha

Encuentro

Regional de

Contralores

Territoriales

Contraloría

Departamental

del Tolima.

Conferencia La Auditoría

Continua una

herramienta

para la

modernización

del Control

Fiscal

Colombiano.

Ibagué

1-03-2012

Foros de

Sensibilización

Iniciativa

Control en línea

Ministerio de

Tecnologías de

Información y

Comunicaciones

y Universidad

Nacional de

Charla de

sensibilización

El e-control,

estado actual y

perspectivas

en el Control

Fiscal

Colombiano

Bogotá

15-11-

2012

33

2

Colombia sede

Bogotá

Charla de

sensibilización

El e-control,

estado actual y

perspectivas

en el Control

Fiscal

Colombiano

Cartagena

30-11-

2012

Charla de

sensibilización

El e-control,

estado actual y

perspectivas

en el Control

Fiscal

Colombiano

Cali

12-11-

2012

333

Bibliografía

Abdolmohammadi, M. J., & Sharbatoghlie, A. (2005). Continuous Auditing: An Operational Model for Internal Auditors. The IIA Research Foundation. Retrieved from http://www.theiia.org/bookstore/product/continuous-auditing-an-operational-model-for-internal-auditors-1158.cfm

Aboa, Y. P. J. D. (2014). Continuous Auditing : Technology Involved. East Tennessee State University.

ACL. (2005). Auditoría permanente: Implicancias para el aseguramiento, el monitoreo y la evaluación de riesgos.

ACL. (2006). Nuevas exigencias , Nuevas prioridades. La nueva función de la auditoría interna.

Aguilera, J. R. (2000). Modelo Queretaro.

Alles, M. G., Brennan, G., Kogan, A., & Vasarhelyi, M. A. (2006). Continuous monitoring of business process controls: A pilot implementation of a continuous auditing system at

Siemens☆. International Journal of Accounting Information Systems, 7(2), 137–161.

doi:10.1016/j.accinf.2005.10.004

Alles, M. G., Kogan, A., & Vasarhelyi, M. A. (2008). Audit Automation for Implementing Continuous Auditing : Principles and Problems.

Alles, M. G., Tostes, F., Vasarhelyi, M. A., & Riccio, E. L. (2006). Continuous Auditing: The USA experience and considerations for its implementation in Brazil. Revista de Tecnologia Da Gestão E Sistemas de Informação, 3(2), 211–224.

Alles, M. G., & Vasarhelyi, M. A. (2009). Principles and Problems of Audit Automation as a Precursor to Continuous Auditing.

Aquino, E. (2011). GESTÃO INTEGRADA DE RISCOS – CONTINUOUS ASSURANCE. In 22th World Continuous Auditing and Reporting Systems Symposium.

Arias, F., & Cerpa, N. (2008). Extendiendo el modelo e-SCARF de detección de fraude en sistemas de comercio electronico. Ingeniare. Revista Chilena de Ingeniería., 16(2), 282–294.

Auditoría General de la República. (2010a). Informe de gestión y resultados 2009-2010.

Auditoría General de la República. (2010b). Reformar el Control Fiscal Territorial. SINDÉRESIS, (13).

33

4

Auditoría General de la República. (2011). El camino de la transformación del control fiscal Colombiano. Informe de gestión y resultados 2009-2011. Bogotá: Imprenta Nacional de Colombia.

Auditoría General de la República. (2012). Certificación de la gestión de las Contralorías 2011.

Auditoría General de la República. (2013a). Informe de Gestiòn 2011-2013 (Primer edi.). Bogotá.

Auditoría General de la República. (2013b). La impostergable Reingenieria del Control Fiscal Territorial. Retrieved from http://www.auditoria.gov.co/index.php/biblioteca-virtual/documentos-de-interes/cat_view/4-documentos-de-interes/12-interes?start=10

Badillo, R. G. (2004). Un concepto epistemológico de modelo para la didáctica de las ciencias experimentales. Revista Electrònica de Enseñanza de Las Ciencias, 3(3), 301–319.

Baksa, R., & Turoff, M. (2010). The Current State of Continuous Auditing and Emergency Management ’ s Valuable Contribution. In 7th International ISCRAM Conference (pp. 1–10).

Banco Interamericano de Desarrollo. (2014). Transparencia y confianza en el sector público. Avances de las entidades fiscalizadores superiores en Amèrica Latina y el Caribe 2002-2012.

Best, P. J., Rikhardsson, P., & Toleman, M. (2009). Continuous Fraud Detection in Enterprise Systems through Audit Trail Analysis. Journal of Digital Forensics, Security and Law, 4(1), 39–61.

Bierstaker, J. L., Burnaby, P., & Thibodeau, J. (2001). The impact of information technology on the audit process : an assessment of the state of the art and implications for the future. Managerial Auditing Journal, 16(3), 159–164.

Blundell, A. (2007, July). Continuous auditing technologies and models. Computers & Security. NELSON MANDELA METROPOLITAN UNIVERSITY. Retrieved from http://linkinghub.elsevier.com/retrieve/pii/S0167404806000964

Bonsón, E., & Borrero, C. (2011). Analysis of the factors affecting the adoption and use of Continuous Audit Tools and Techniques : Comparison between the public and private sector. International Journal of Economics and Management Sciences, 1(3), 08–16.

Braun, R. L., & Davis, H. E. (2003). Computer-assisted audit tools and techniques: analysis and perspectives. Managerial Auditing Journal, 18(9), 725–731. doi:10.1108/02686900310500488

335

Caldana, D., Correa, R., & Ponce, H. (2007). Competencias de los auditores gubernamentales chilenos para la obtención de evidencia electrónica de auditoría. Contaduría Y Administración [en Línea], (223), 9–31. Retrieved from http://redalyc.uaemex.mx/redalyc/src/inicio/ArtPdfRed.jsp?iCve=39522302.

Caldwell, F. (Gartner), & Proctor, P. E. (Gartner). (2010a). Magic Quadrant for Continuous Controls Monitoring. Reproduction.

Caldwell, F. (Gartner), & Proctor, P. E. (Gartner). (2010b). Magic Quadrant for Continuous Controls Monitoring.

Cangemi, M. (2010). Internal Audit’s Role in Continuous Monitoring. Edpacs, 41(4), 1–8. doi:10.1080/07366981.2010.488571

Cano, J. J. (2009). Computación Forense. Descubriendo los rastros informáticos (1a edición.). Alfaomega Grupo Editor.

Castello, R. J. (2006). Auditoría en entornos informáticos.

Castello, R. J., Morales, H. R., & Wolfmann, A. G. (2008). AUDIT SERVER - Una implementación piloto de un sistema de Auditoria Continua. Normaria, (19). Retrieved from http://www.iaia.org.ar/elauditorinterno/19/Articulo2.htm#

CEPAL, & EUROPEAID. (2007). Modelo multi-dimensional de medición del gobierno electrónico para América Latina y el Caribe. Santiago de Chile. Retrieved from http://www.cepal.org/SocInfo

Cerullo, M. V., & Cerullo, M. J. (2003). Impact of SAS No. 94 on Computer Audit Techniques. Information Systems Control Journal, 1(94).

Chan, D. Y., & Vasarhelyi, M. A. (2011). Innovation and practice of continuous auditing. International Journal of Accounting Information Systems, 12(2), 152–160. doi:10.1016/j.accinf.2011.01.001

Chou, C. L., Du, T., & Lai, V. S. (2007). Continuous auditing with a multi-agent system. Decision Support Systems, 42(4), 2274–2292. doi:10.1016/j.dss.2006.08.002

CINTEL. (2011). Modelo de Implementación de la Estrategía de Gobierno en línea Territorial. Retrieved from http://programa.gobiernoenlinea.gov.co/apc-aa-files/95b812a35a0c0464a79ffcca30f15508/Modelo_de_implementaci_n_GELT_2011.pdf

Coderre, D. (2010). Internal Audit Practice Guide. Retrieved from http://centerforcontinuousmonitoring.org/wp-content/uploads/2011/01/Internal-Audit-Practice-Guide-for-Continuous-Auditing-Dave-Corderre.pdf

33

6

CONPES. (2013). Documento Conpes Social 167. Estrategia Nacional de la Polìtica Pùblica Integral Anticorrupciòn.

Contraloría General de la República. (2007). El control fiscal como instrumento para el mejoramiento de la administración territorial. Retrieved from http://campus.contraloriagen.gov.co:8080/investigacion/html/productos/libros.html#

Contraloría General de la República. (2013a). Guìa de Auditorìa de la Contraloria General de la Repùblica Ajustada en el contexto SICA.

Contraloría General de la República. (2013b). Informe sobre cumplimiento de sus funciones y gestiòn al congreso y al presidente de la Repùblica2012-2013. Bogotá. Retrieved from http://www.contraloriagen.gov.co/documents/10136/21259937/Informe+de+Gestion+Final+2012-2013.pdf/03334710-a32b-4b8f-8820-20efba66363a?version=1.0

Contraloría General del Municipio de Manizales. (2014). Portal Institucional de la Contralorìa General del Municipio de Manizales. Retrieved May 3, 2014, from http://contraloriamanizales.gov.co/n_portal/index.php?option=com_content&view=article&id=20&Itemid=20

Contraloría General del Municipio de Manizales. (2015a). Informe de Gestión 2014. Retrieved March 30, 2015, from http://www.contraloriamanizales.gov.co/n_portal/index.php?option=com_docman&task=cat_view&gid=29&Itemid=75

Contraloría General del Municipio de Manizales. (2015b). Informe de Gestión 2014.

COSO. (2009). Internal Control — Integrated Framework Guidance on Monitoring Internal Control Systems Office. Policy Analysis.

Criado, J. I., Gascó, M., & Jiménez, C. E. (2011). Interoperabilidad de Gobierno electrónico en Iberoamérica. Estudio comparativo y recomendaciones de futuro. Revista Del CLAD Reforma Y Democracia, (50), 1–19.

Cuellar, M., Pardo, C., Herrera, L., & Correa, M. (2014). Armonización de múltiples modelos para el gobierno de TI y el desarrollo de software * 1 Resumen Introducción. Ventana Informática, (30), 43–53.

Daigle, J. J., Daigle, R. J., & Lampe, J. C. (2008). Auditor Ethics for Continuous Auditing and Continuous Monitoring. Information Systems Control Journal, 3, 1–4.

De Aquino, C. E., Lopes da Silva, W., Sigolo, N., & Vasarhelyi, M. A. (2010). Six Steps to an Effective Continuous Audit Process. Internal Auditor, 1–5.

337

De Pablos Heredero, C., Lòpez Hermoso, J. J., Martin-Romo, S., & Medina Salgado, S. (2013). Organizaciòn y Transformaciòn de los Sistemas de Informaciòn en la empresa. (Alfa Omega, Ed.) (2a ed.). México D.F.

Debreceny, R. S., Gray, G. L., Ng, J. J.-J., Lee, K. S.-P., & Yau, W.-F. (2005). Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality. Journal of Information Systems, 19(2), 7–27. doi:10.2308/jis.2005.19.2.7

Departamento Administrativo de la Funciòn Pùblica. (2008). Manual de Implementación Modelo Estàndar de Control Interno para el Estado Colombiano. Bogotá.

Departamento Administrativo de la Funciòn Pùblica, & Instituto de Auditores Internos de Colombia. (2013). Guía de Auditoría para Entidades Públicas.

Departamento Nacional de Planeación. (2012). Seguimiento a Proyectos de Inversión. Retrieved from https://spi.dnp.gov.co

Dorta, J. A. (2005). Teorías organizativas y los sistemas de control interno Resumen. Revista Internacional LEGIS de Contabilidad & Auditoria, 9–58. Retrieved from http://scienti.colciencias.gov.co:8084/publindex/docs/articulos/1692-2913/29/118.pdf

Du, H., & Roohani, S. (2007). Meeting Challenges and Expectations of Continuous Auditing in the Context of Independent Audits of Financial Statements. International Journal of Auditing, 11(2), 133–146. doi:10.1111/j.1099-1123.2007.00359.x

Economist Intelligence Unit. (2014). 2013/2014 Informe Global sobre Fraude.

El-Masry, E.-H. E., & Reck, J. L. (2008). Continuous online auditing as a response to the Sarbanes-Oxley Act. Managerial Auditing Journal, 23(8), 779–802. doi:10.1108/02686900810899527

Eniac, G. (2006). Realineación de las Auditorias a través de la Auditoría continua.

Ernst & Young. (2007). Global Internal Audit Survey. Retrieved from http://newsweaver.ie/ernst/e_article001112623.cfm?x=b11,0,w

Ernst & Young. (2008). Escalating the role of internal audit.

Ferchichi, A., Bigand, M., & Lefebvre, H. (2008). An Ontology for Quality Standards Integration. In First International Workshop on Model Driven Interoperability for Sustainable Information Systems - MDISIS 2008. Montpellier (France).

Fernandez M., A. (2003). El Modelo COCO. Normaria, (11). Retrieved from http://www.iaia.org.ar/revistas/normaria/Normaria11.pdf

33

8

Frick, M. (2008). De la Teoría a la práctica. Cómo implementar con éxito el gobierno electrónico.

García, A., Hurtado, C., & Alegre Ramos, M. del P. (2011). Seguridad informática. Madrid: Ediciones Paraninfo S.A.

Gasca, G. P., & Manrique, B. (2011). Método para la construcción de una taxonomía : estructura base para riesgos en outsourcing de software Method to construct a taxonomy : basic structure to risks in software outsourcing. Revista Facultad de Ingeniería Universidad de Antioquia, (60), 92–101.

Gellacic, W. L. (2009). C ontinuous C ontrol M onitoring. In 6 CONTECSI.

Ghosh, A. (2004). Guidelines for the Management of IT Evidence. Computer.

Global Mobile Awards. (2012). Government Leadership Award. Government of the Republic of Colombia. Retrieved from http://www.globalmobileawards.com/winners2012.php#cat_id31

González Tallón, J. M. (2011). ¿ Puede la auditoría realizarse al mismo tiempo que la gestión auditada y seguir siendo auditoría ? Auditoría Pública, 54, 33 – 42. Retrieved

from http://www.auditoriapublica.com/hemeroteca/Pag 33-42 n� 54.pdf

Groomer, S. M., & Murthy, U. S. (1989). Continuous auditing of database applications: An embedded audit module approach. Journal of Information Systems, 3(2), 53–69.

Handscombe, K. (2007). Continuous Auditing From a Practical Perspective. Information Systems Control Journal, 2, 1–5.

Heffes, E. (2006). Theory to practice; continuous auditing gains. Financial Executive, 17–18. Retrieved from http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:Theory+to+Practice:Continuous+Auditing+Gains#0

IAASB. (2012). The Clarified Standards. Retrieved from http://www.ifac.org/auditing-assurance/clarity-center/clarified-standards

ICONTEC. (2009). Compendio Sistema de gestión de la seguridad de la información (SGSI).

IIA. (2005a). GTAG 1. Controles de Tecnología de la Información (No. 1a Edición). Altamonte Springs (Florida).

IIA. (2005b). Guide 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment. The Institute of Internal Auditors.

339

IIA. (2011). Definición de Auditoría Interna. Retrieved December 19, 2011, from http://www.theiia.org/guidance/standards-and-guidance/ippf/definition-of-internal-auditing/

IIARF. (2009). 2009 IT AUDIT BENCHMARKING STUDY Executive Summary and Report. Altamonte Springs (Florida).

Instituto de Auditores Internos de España. (2014). Guía para implantar con éxito un modelo de Auditoría Continua.

ISACA. (2010a). IS Auditing Guideline: G42 Continuous Assurance. ISACA. Retrieved from http://www.isaca.org/Knowledge-Center/Standards/Documents/G42-Continuous-Assurance-18Feb10.pdf

ISACA. (2010b). Manual de Preparación al Examen CISA 2011.

ISACA. (2012). Certified Information Systems Auditor. Manual de Preparación al examen CISA 2012. ISACA.

ISO. (2002). International Standard. Guidelines for quality and/or environmental management systems auditing.

IT Governance Institute. (2007). COBIT 4.1.

Jiménez Caraballo, D. (2011). Apuntes para una historía de la Auditoría. Enlace, 17(101), 1–9.

Jolly, J. R., & Alcarraz, G. (2010). Auditoría Continua : Mejores Prácticas y Caso Real. In Congreso Latinoamericano de Auditoría Interna 2010.

Kearney, B., & Tryfonas, T. (2008). Security Patterns for Automated Continuous Auditing. Information Security Journal: A Global Perspective, 17(1), 13–25. doi:10.1080/10658980701784594

Kelemen, Z. D. (2009). A Process Based Unification of Process-Oriented Software Quality Approaches. In 2009 Fourth IEEE International Conference on Global Software Engineering (pp. 285–288). Ieee. doi:10.1109/ICGSE.2009.39

Kevin, M. HCA:Mitigación de riesgos por medio del monitoreo continuo (2004).

Kneer, D. C. (2003). Continuous Assurance : We Are Way Overdue. Information Systems Control Journal, 1.

Kogan, A., Alles, M. G., & Vasarhelyi, M. A. (2010). Analytical Procedures for Continuous Data Level Auditing : Continuity Equations. Accounting and Finance.

KPMG. (2009). The Evolving Face of Internal Audit in India. Challenges.

34

0

KPMG. (2013). Encuesta de Fraude en Colombia 2013.

KPMG, & IIA. (2008). III Estudio sobre la situación de la auditoría interna en España.

Krell, E. (2004). “ Continuous ” Will Be Key to Compliance. Business Finance, 1–6.

Kuenkaikaew, S. (2013). Predictive Audit Analytics: Evolving to a new era. The State University of New Jersey.

Kuenkaikaew, S., & Vasarhelyi, M. A. (2013). The Predictive Audit Framework. The International Journal of Digital Accounting Research, 13(April), 37–71. doi:10.4192/1577-8517-v13

Kuhn, J. R., & Sutton, S. G. (2010). Continuous Auditing in ERP System Environments: The Current State and Future Directions. Journal of Information Systems, 24(1), 91–112. doi:10.2308/jis.2010.24.1.91

Lee, C. S., & Chou, C. (2007). A Theoretical and Technical Model of an external Continuous Auditing System. In The Sixth Wuhan International Conference on e-business (pp. 1870–1875).

Loh, S. (2002). Using Continuous Assurance to Detect Fraud in e-commerce Transactions. Design. The University of New South Wales.

Louwers, T. J., Ramsay, R. J., Sinason, D. H., Strawser, J. R., & Thibodeau, J. (2011). Auditing & Assurance Services (4th ed.). New York: McGraw-Hill.

Mainardi, R. L. (2011). Harnessing The Power of Continuous Auditing (1a ed.). John Wiley & Sons, Inc.

Marks, N. (2010). Continuous Auditing Reexamined. ISACA Journal Online, 1, 1–5. Retrieved from http://www.isaca.org/Journal/Past-Issues/2010/Volume-1/Pages/Continuous-Auditing-Reexamined1.aspx

Marris, D. (2010). Challenges obtaining audit evidence. doi:10.2139/ssrn.1590634

Mendez, H. (2011). Auditoría grado superior (01 ed.). McGraw-Hill. Retrieved from http://www.mcgraw-hill.es/bcv/guide/capitulo/8448178971.pdf

Ministerio de Tecnologías de Información y Comunicaciones. (2012). Estrategia de Gobierno en lìnea y Control en lìnea. In Seminario de Control en Lìnea. Cali.

Ministerio de Tecnologías de Información y Comunicaciones. (2013). Manual para la implementaciòn de la Estrategia de Gobierno en lìnea en las entidades del orden Nacional de la Repùblica de Colombia. Bogotá. Retrieved from

341

http://programa.gobiernoenlinea.gov.co/apc-aa-files/eb0df10529195223c011ca6762bfe39e/manual-3.1.pdf

Ministerio de Tecnologías de Información y Comunicaciones. (2014). Indice de Gobierno en línea. Retrieved November 30, 2014, from http://indicegel.gobiernoenlinea.gov.co/Inicio.aspx

Ministerio de Tecnologías de Información y Comunicaciones. (2015a). Apertura de Datos. Retrieved March 12, 2015, from http://css.mintic.gov.co/ap/gel4/html/como_se_logra/apertura_de_datos/introduccion_apertura_datos.html

Ministerio de Tecnologías de Información y Comunicaciones. (2015b). Esquema de interoperabilidad en Colombia. Retrieved April 10, 2015, from http://css.mintic.gov.co/ap/gel4/html/como_se_logra/interoperabilidad/introduccion_interoperabilidad.html

Ministerio de Tecnologías de Información y Comunicaciones. (2015c). Portal del Catálogo de Datos Abiertos del Estado Colombiano. Retrieved April 12, 2015, from http://www.datos.gov.co/frm/buscador/frmBuscador.aspx

Ministerio de Tecnologias de la Informaciòn y las Comunicaciones. (2011). Vive digital Colombia. Versiòn 1.0 2011. Retrieved from http://www.vivedigital.gov.co/files/Vivo_Vive_Digital.pdf

Ministerio de Tecnologias de la Informaciòn y las Comunicaciones. (2012). El Gobierno en lìnea en Colombia 2011. Bogotá. Retrieved from http://programa.gobiernoenlinea.gov.co/apc-aa-files/gel_ipe_medicion_2012_20121214.pdf

Ministerio de Tecnologias de la Informaciòn y las Comunicaciones. (2014). Cómo va la Estrategia de Gobierno en línea. Retrieved from http://programa.gobiernoenlinea.gov.co/como-va.shtml

Ministerio de Tecnologias de la Informaciòn y las Comunicaciones, Auditoría General de la República, Consorcio S&M, & UT Software Works. (2012a). Anexo 1. Arquitectura General y Detallada de la Soluciòn Control Fiscal en Lìnea. Bogotá.

Ministerio de Tecnologias de la Informaciòn y las Comunicaciones, Auditoría General de la República, Consorcio S&M, & UT Software Works. (2012b). Documento Anàlisis de Brecha de Sistemas de Informaciòn con mejores pràcticas encontradas en las Contralorìas Territoriales y las Entidades integrantes del Convenio de Coadyuvancia en cuanto a Control Fiscal en Lìnea.

Ministerio de Tecnologias de la Informaciòn y las Comunicaciones, Auditoría General de la República, Consorcio S&M, & UT Software Works. (2012c). Documento Inventario de

34

2

Sistemas de Informaciòn de las Contralorìas Territoriales y las Entidades Integrantes del Convenio de Coadyuvancia en cuanto a Control Fiscal en Lìnea.

Montilla G., O. de J., & Herrera Marchena, L. G. (2006). El Deber ser de la Auditoría. Estudios Gerenciales, (98), 83–110.

Montilla G., O. de J., Montes S., C. A., & Mejia S., E. (2007). Análisis de la fundamentación del modelo estándar de control interno, MECI 1000:2005. Estudios Gerenciales, 23(104), 47–75.

Murcia, F. D. (2008). Continuous Auditing : A Literature Review Auditoria Contínua : uma revisão da literatura. Organizações Em Contexto, 4(7), 1–17.

Murthy, U. S., & Groomer, S. M. (2004). A continuous auditing web services model for XML-based accounting systems. International Journal of Accounting Information Systems, 5(2), 139–163. doi:10.1016/j.accinf.2004.01.007

Naser, A. (Naciones U., & Concha, G. (Naciones U. (2011). El gobierno electrónico en la gestión pública. Santiago de Chile: Naciones Unidas.

Naser, A., & Ramirez Alujas, A. V. (2014). Plan de gobierno abierto. Una hoja de ruta para los gobiernos de la región. Serie Manuales. Santiago de Chile.

Norka, V. (2004). Una aproximación a un enfoque holístico en auditoría. Revista Actualidad Contable Faces, 7(009), 85–94.

Omoteso, K., & Business, L. (2008). An Investigation into the Application of Continuous Online Auditing in the U . K . 1. International Journal of Digital Accounting Research, 8(July), 23–24. doi:10.4192/1577-8517-v8

Onions, R. L. (2003). Towards a Paradigm for continuous Auditing. Retrieved May 10, 2011, from http://www.auditsoftware.net/community/how/run/tools/Towards a Paradigm for continuous Auditin1.doc

Pardo, C., Pino, F. J., Garcia, F., Baldassarre, M. T., & Piattini, M. (2013). From chaos to the systematic harmonization of multiple reference models: A harmonization framework applied in two case studies. Journal of Systems and Software, 86(1), 125–143. doi:10.1016/j.jss.2012.07.072

Peres Useche, M. (2003). Gobierno Digital. Tendencias y Desafios. (Primera ed.). Bogotá (Colombia).

Perols, J. L. (2009). Information Fusion in Continuous Assurance. Symposium A Quarterly Journal In Modern Foreign Literatures.

343

Piattini, M. G., & Del peso, E. (1998). Auditoría Informática. Un enfoque práctico (1a ed.). México: RA-MA Editorial.

Pinilla Forero, J. D. (1997). Auditoría de Sistemas en funcionamiento (1a ed.). Santafé de Bogota: ROESGA.

Pino, F. J., Baldassarre, M. T., Piattini, M., & Visaggio, G. (2010). Harmonizing maturity levels from CMMI-DEV and ISO/IEC 15504. Journal of Software Maintenance and Evolution: Research and Practice., (22), 279–296. doi:10.1002/spip

Prado Carvajal, R. (2012). Sistema de Información Gerencial -SIGER- Contraloría General de Santiago de Cali. In Primer Encuentro Nacional de Experiencias en Control en Línea y Auditoría Continua en las Contralorías del pais. (pp. 81–83). Manizales: Universidad Nacional de Colombia; Contraloría General del Municipio de Manizales.

Procuraduria General de la Naciòn. (2013). Indice de Gobierno Abierto. Retrieved March 10, 2014, from http://www.procuraduria.gov.co/portal/Indice-de-Gobierno-Abierto.page

Procuraduria General de la Naciòn. (2015). Generalidades del Indice de Gobierno Abierto. Retrieved March 10, 2015, from http://www.procuraduria.gov.co/portal/Indice-de-Gobierno-Abierto.page

Ramos, S. (2007). Auditoría Continua y Monitoreo Continuo para el Aseguramiento de los Negocios. ACL.

Restrepo Medina, M. A., Araujo Oñate, R. M., & Tuta Alarcón, G. E. (2010). Control fiscal territorial Validación de un modelo de mejoramiento de la gestión y los resultados de las contralorías territoriales en Colombia. Control (Primera ed.). Facultad de Jurisprudencia. Universidad del Rosario.

Restrepo Medina, M. A., Sánchez Torres, C. A., Araujo Oñate, R. M., Peña González, E., & Dineiger, P. (2008). Control fiscal territorial. Construcción de un modelo de contraloría tipo. Control (Primera ed.). Bogotá D.C.: Editorial Universidad del Rosario.

Rezaee, Z., McMickle, P. L., Sharbatoghlie, A., & Elam, R. (2004). Auditoría continua : Construyendo capacidades para una auditoría automatizada Resumen. Revista Internacional LEGIS de Contabilidad & Auditoria, 9–40.

Rezaee, Z., Sharbatoghlie, A., Elam, R., & McMickle, P. L. (2002). Continuous Auditing: Building Automated Auditing Capability. Auditing: A Journal of Practice & Theory, 21(1), 147–163. doi:10.2308/aud.2002.21.1.147

Rodda, N., & Cosserat, G. (2009). Modern Auditing (3rd ed.). Wiley. Retrieved from http://media.wiley.com/product_data/excerpt/39/04703197/0470319739.pdf

34

4

Rodríguez Martínez, G. R. (2012). SICA. Sistema Integrado para Control de Auditorías. In Primer Encuentro Nacional de Experiencias en Control en Línea y Auditoría Continua en las Contralorías del pais. (pp. 53–59). Manizales: Universidad Nacional de Colombia; Contraloría General del Municipio de Manizales.

Sandoval Almazàn, R. (2013). La larga marcha del Gobierno Abierto. Teorìa, mediciòn y futuro.

Searcy, D., & Woodroof, J. (2003). CONTINUOUS AUDITING: LEVERAGING TECHNOLOGY. THE CPA JOURNAL, 43–48.

Searcy, D., Woodroof, J., & Behn, B. (2003). Continuous audit: the motivations, benefits, problems, and challenges identified by partners of a Big 4 accounting firm. In 36th Annual Hawaii International Conference on System Sciences (Vol. 00, pp. 1–10). Ieee. doi:10.1109/HICSS.2003.1174565

SEI. (2015). The PrIME Project. Retrieved April 13, 2015, from http://www.sei.cmu.edu/process/research/prime-details.cfm

Sharbatoghlie, A., & Sepehri, M. (n.d.). An Integrated Continuous Auditing Project Management Model ( CAPM ). In 6th International Management Conference (pp. 1–11).

Sistema Nacional de Control Fiscal. (2012). Guìa de Auditorìa para las Contralorìas Territoriales.

Smieliauskas, W., & Bewley, K. (2010). APPENDIX 9A : U NDERSTANDING I NFORMATION S YSTEMS AND INTERNAL CONTROL , INFORMATION SYSTEMS , AND THE AUDIT PLAN. In Auditing: An International Approach (5th ed., pp. 1–28). Retrieved from http://highered.mcgraw-hill.com/sites/dl/free/0070968292/815271/smi68292_app9A.pdf

Teeter, R. A., Alles, M. G., & Vasarhelyi, M. A. (2010). Remote Audit : A Research Framework. Retrieved from http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1668638

Teeter, R. A., & Brennan, R. (2008). Aiding the Audit : Using the IT Audit as a Springboard for Continuous Controls Monitoring. In Seventeenth Annual Research Workshop on: Artificial Intelligence and Emerging Technologies in Accounting, Auditing and Tax (pp. 129–136).

Texeira, C. R. (2009). A Importância atribuída pelos Empresários da da Rocha Alves da Silva Grande Lisboa ao Controlo Interno.

The Institute of Internal Auditors. (2013). IIA Position Paper : THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL.

345

Thornton, G. (2011). Looking to the future : Perspectives and trends from internal audit leaders. Risk Management.

Transparencia Internacional. (2013). Informe Colombia: Barómetro Global de la Corrupción 2013. Retrieved from http://issuu.com/transparenciaporcolombia/docs/informe-barometro-global-corrupcion/22?e=6590391/4066510

Transparency International. (2011). Corruption Perceptions Index 2010. Retrieved March 18, 2011, from http://www.transparency.org/policy_research/surveys_indices/cpi/2010/results

Transparency International. (2012). Corruption Perceptions Index 2011. Retrieved April 20, 2012, from http://cpi.transparency.org/cpi2011/results/

United Nations. (2013). E-Government Survey 2012. New York: the United Nations.

Universidad de los Andes, & Ministerio de Tecnologias de la Informaciòn y las Comunicaciones. (2009). Metodologìa de Monitoreo de Gobierno en lìnea en Colombia. Bogotá. Retrieved from http://programa.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca294791f/GEL_MetodologiaMonitoreoEvaluacionGEL.pdf

Universidad de Vigo. (2008). Servicios web. Retrieved March 20, 2015, from http://ccia.ei.uvigo.es/docencia/SCS/0910/transparencias/Tema4.pdf

Universidad Nacional de Colombia. (2012). Plan Global de Desarrollo 2013-2015. Retrieved from http://www.plandesarrollo2013-2015.unal.edu.co/

Valencia Duque, F. J. (2012a). El e control , estado actual y perspectivas en el control fiscal colombiano. In XVII Congreso Internacional del CLAD sobre la Reforma del Estado y de la Administraciòn Pùblica. (pp. 1–26). Cartagena.

Valencia Duque, F. J. (2012b). El E-Control, estado actual y perspectivas en el Control Fiscal Colombiano. In Seminarios de sensibilización de Corporación en línea y Control en línea, en el marco del programa Gobierno en línea. Bogotá,Cartagena,Cali.

Valencia Duque, F. J. (2012c). Gènesis y Estado del arte de la Auditorìa Continua. In Sèptima Jornada Académica ISACA Colombia. Bogotá (Colombia).

Valencia Duque, F. J. (2012d). La Auditorìa Continua, gènesis, evoluciòn, estado actual y aplicaciòn en el sector pùblico Colombiano. In Congreso Latinoamericano de Auditoría Interna 2012. Asunciòn (Paraguay): Federaciòn Latinoamericana de Auditorìa Interna.

Valencia Duque, F. J. (2012e). La Auditorìa Continua, una herramienta para la modernizaciòn de la funciòn de Auditorìa en las Organizaciones y su aplicaciòn en el Control Fiscal Colombiano. In 9th CONTECSI y 25th World Continuous Auditing and Reporting Systems Symposium. Sao Paulo (Brasil).

34

6

Valencia Duque, F. J. (2012f). La Auditorìa Continua, una herramienta para la modernizaciòn del Control Fiscal Colombiano. In Encuentro Regional de Contralores Territoriales. Ibaguè.

Valencia Duque, F. J. (2013a). Auditoría Continua: Una Herramienta para mejorar la efectividad del Control Organizacional. In Seminarios de Fortalecimiento del Autocontrol en la Universidad Nacional de Colombia. Bogotá.

Valencia Duque, F. J. (2013b). E-CONTROL y Auditoría en Colombia. In LATINCACS/ INFORMATION SECURITY AND RISK MANAGEMENT CONFERENCE 2013. Medellin (Colombia).

Valencia Duque, F. J. (2013c). La auditoría continua y su aplicación en el sector pùblico Colombiano. In Seminario de Prevenciòn y Detecciòn del riesgo de Fraude en las Entidades Pùblicas. Medellin.

Valencia Duque, F. J., & Tamayo Arias, J. A. (2012). Evidencia digital y tècnicas y herramientas de auditorìa asistidas por computador. Ventana Informàtica, (26), 93–110.

Vasarhelyi, M. A. (1984). Automation and changes in audit process. Auditing: A Journal of Practice & Theory, 4(1).

Vasarhelyi, M. A. (1999). Chapter 12 CONCEPTS IN CONTINUOUS ASSURANCE. In Information Systems.

Vasarhelyi, M. A. (2010). • Introdução Uma Economia em Tempo Real Teoria Ambiente Exemplos Conclusões. Retrieved from http://raw.rutgers.edu

Vasarhelyi, M. A., Alles, M. G., & Williams, K. (2010a). Continuous Assurance for the Now Economy (First Edit.). Sidney (Australia): The Institute of Chartered Accountants in Australia.

Vasarhelyi, M. A., Alles, M. G., & Williams, K. (2010b). Continuous Assurance for the Now Economy A Thought Leadership Paper for the Institute of Chartered Accountants in Australia. Information Systems.

Vasarhelyi, M. A., & Halper, F. B. (1991). The Continuous Audit of Online Systems. Auditing: A Journal of Practice & Theory, 10(1), 110–125.

Vasarhelyi, M. A., Kuenkaikaew, S., Littley, J., & Williams, K. (2006). Continuous Auditing technology adoption in leading internal audit organizations. Training.

Warren, J. D., & Ley Parker, X. (2003). Continuous Auditing: Potential for Internal Auditors. The IIA Research Foundation. Retrieved from http://www.theiia.org/bookstore/product/continuous-auditing-potential-for-internal-auditors-1136.cfm

347

Wenming, Z. (2007). Continuous Online Auditing in the Government Sector. Internal Auditor, 10, 1–6. Retrieved from http://www.theiia.org/intAuditor/itaudit/archives/2007/june/continuous-online-auditing-in-the-government-sector/?search=“continuous audit”

Woodroof, J., & Searcy, D. (2001). Continuous audit Model development and implementation within a debt covenant compliance domain. International Journal of Accounting Information Systems, 2(3), 169 – 191.

Ye, H., Chen, S., & Gao, F. (2008). On Application of SOA to Continuous Auditing. WSEAS Transactions on Computers, 7(5), 532–541.

Ye, H., Chen, S., Gao, F., & He, Y. (2008). SOA-based conceptual model for continuous auditing : A discussion. Science.

Ye, H., He, Y., & Xiang, Z. (2008). Continuous Auditing System Based on Registration Center. WSEAS Transactions on Information Science and Applications, 5(5).

Ye, H., & Li, Y. (2010). Research Of Continuous Auditing Immune Model based on Object-Oriented Rule. In 2nd International Conference on Computer Engineering and Technology (Vol. 3, pp. 0–4). IEEE.

Yeh, C., & Shen, W. (2010). Using continuous auditing life cycle management to ensure continuous assurance. African Journal of Business Management, 4(12), 2554–2570.

Yeh, C.-H., Chang, T.-P., & Shen, W.-C. (2008). Developing the Continuous Assurance Embedded Continuous Audit Web Services. 2008 IEEE Asia-Pacific Services Computing Conference, 1049–1054. doi:10.1109/APSCC.2008.9