La Auditoría Continua, una herramienta para la modernización de la función de
auditoría en las organizaciones y su aplicación en el Control Fiscal Colombiano
Francisco Javier Valencia Duque
Universidad Nacional de Colombia
Facultad de Ingeniería y Arquitectura
Departamento de Ingeniería Industrial
Manizales, Colombia
2015
La Auditoría Continua, una herramienta para la modernización de la función de
auditoría en las organizaciones y su aplicación en el Control Fiscal Colombiano
Francisco Javier Valencia Duque
Tesis presentada como requisito parcial para optar al título de:
Doctor en Ingeniería – Industria y Organizaciones
Director:
PhD. Johnny Alexander Tamayo
Línea de Investigación:
Organizaciones, Sistemas y Gestión de la Tecnología, la Información, el Conocimiento y
la Innovación Tecnológica
Universidad Nacional de Colombia
Facultad de Ingeniería y Arquitectura
Departamento de Ingeniería Industrial
Manizales, Colombia
2015
A mi familia, por ser el bastón sobre el cual he
edificado mi pasado y mi presente y a partir del
cual se edificará mi futuro.
Agradecimientos
A la Universidad Nacional de Colombia, por ser la Institución que me permite formarme
como persona, profesional y ahora como Investigador; a la Contraloría General del
Municipio de Manizales, por ser un laboratorio de Auditoría, donde se construyen
innovaciones para el Control Fiscal Colombiano y a mi Director de Tesis, por ser partícipe
de uno de los temas que han marcado mi devenir histórico y mi ingreso al mundo de la
ciencia.
Resumen y Abstract IX
Resumen
La Auditoría Continua es una tecnología emergente, la cual está basada en Tecnologías
de Información y Comunicaciones; y que puede aportar al menos parcialmente, a la
problemática que viene aquejando al Control Fiscal Colombiano desde hace varios años.
Para ello, se propone como objetivo de este proyecto, la construcción de un modelo de
Auditoría Continua, que esté acorde a la realidad tecnológica del sector gubernamental y
que responda a la problemática presente, en las instituciones y procesos del Control Fiscal
en Colombia. En el cumplimiento de este objetivo y en el marco del control gubernamental,
se realiza un profundo análisis bibliográfico, del uso de las Tecnologías de Información, en
control y auditoría; como preámbulo al estado del arte de la Auditoría Continua y a los
principales modelos existentes, que permiten construir a partir de una propuesta
taxonómica y un esquema de homogeneización, un meta modelo, que articulado con las
guías de auditoría gubernamental existentes en Colombia, sirve como eje metodológico
del modelo propuesto, donde interactúa de manera dinámica con el gobierno electrónico,
así como, con otra serie de variables endógenas y exógenas, que adecuadamente
interrelacionadas contribuirán a la materialización de un modelo de auditoría continua en
el Control Fiscal Colombiano, que aporte con su efecto panóptico, al fortalecimiento de las
tres líneas de defensa propuestas por el Instituto global de Auditores Internos.
Palabras clave: Control Fiscal, Auditoría continua, E-control, TAAC’s, Gobierno
Electrónico.
Abstract
Continuous Audit, a tool for modernizing the audit function in organizations and its
application in the Colombian Fiscal Control.
The Continuous Auditing is an emerging technology based on Information Technologies
and Communications, which may partially contribute to improve on solving the problems,
X Título de la tesis o trabajo de investigación
that have been affecting the Colombian Fiscal Control from a long time ago. To this end,
this project aims to build a model of Continuous Auditing, according to the technological
reality of the government sector, in order to respond to the problems existing on institutions
and processes of Fiscal Control in Colombia. To accomplish this objective, and based on
the governmental control, it has been carried out a deep literature review, on the use of IT,
in control and audit, as a preamble for the state of the art of Continuous Auditing and for
the main existing models, which allow to construct a meta model, based on a taxonomic
proposal and a homogenization outline. This model will work as a methodological axis of
the proposed model, when articulated with the existing government guides, for auditing in
Colombia and by interacting dynamically with e-government, as well as, with other set of
endogenous and exogenous variables, that when being properly interrelated, will contribute
to the realization of a model of continuous auditing, in the Colombian Fiscal Control, that
could strengthen with its panoptic view, the three defense lines proposed by the Institute of
Internal Auditors.
Keywords: Fiscal Control, Continuous Audit, e-control, CAATT’s, Electronic Government.
Contenido XI
Tabla de contenido
RESUMEN ........................................................................................................................... IX
INTRODUCCIÓN ................................................................................................................ 22
1. ANTECEDENTES Y ESTRUCTURA DE LA INVESTIGACIÓN ............................. 25
1.1 Antecedentes ........................................................................................................... 25
1.2 Estructura de la investigación .................................................................................. 27
1.2.1 Delimitación del problema .................................................................................... 27
1.2.2 Formulación del problema ................................................................................... 35
1.2.3 Objetivos ............................................................................................................... 36
1.2.4. Justificación ...................................................................................................... 36
1.2.5. Metodología de Investigación........................................................................... 40
2. EL CONTROL ORGANIZACIONAL Y SU APLICACIÓN EN EL SECTOR
PÚBLICO COLOMBIANO................................................................................................... 43
2.1. Control Organizacional y Modelos a Nivel Internacional ........................................ 43
2.1.1. Modelo Americano COSO (Committee of Sponsoring Organizations of the
Treadway Commission). ................................................................................................. 44
2.1.2. Modelo Canadiense COCO (Criteria of Control Board). .................................. 45
2.2. El Control en el sector público Colombiano ................................................................ 46
2.2.1. El Control Interno en el sector público Colombiano. ............................................ 47
2.2.2. El Control Fiscal Colombiano ............................................................................... 55
2.3. La Auditoría, como Instrumento de evaluación del Control Organizacional. ......... 64
2.3.1. Breve reseña histórica de la auditoría. ............................................................ 65
2.3.2. Entidades que impulsan la auditoría a nivel internacional, en el ámbito público
y privado. ......................................................................................................................... 66
2.3.3. Clasificación de la auditoría ............................................................................. 68
2.3.4. Metodología de auditoría .................................................................................. 68
2.3.5. Normas Internacionales de Auditoría ............................................................... 71
3. LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN LOS
PROCESOS DE CONTROL Y AUDITORÍA. ..................................................................... 78
3.1. La evidencia digital. Insumo fundamental de la auditoría moderna. .......................... 80
3.1.1. La evidencia: materia prima del auditor .............................................................. 80
XII Título de la tesis o trabajo de investigación
3.1.2. Pruebas de auditoría ........................................................................................ 84
3.2. Los estándares internacionales en el uso de Tecnologías de Información y
Comunicaciones en la auditoría ......................................................................................... 85
3.3. Perspectivas del uso de las TIC en los procesos de control y auditoría ................ 87
3.3.1. Las TIC como parte de los procesos de control y auditoría ............................ 87
3.3.2. Modalidades de control y auditoría basada en TIC’s ...................................... 90
3.4. Nivel de uso de las Tecnologías de Información y Comunicaciones en el Control
Fiscal Colombiano. ............................................................................................................. 91
3.4.1. Estado actual del desarrollo informático y tecnológico de las contralorías del
país. 91
3.4.2. Sistemas de información que dan soporte a los procesos del Control Fiscal
Colombiano. .................................................................................................................... 93
3.4.3. Descripción de los principales sistemas de información en el Control Fiscal
Colombiano. .................................................................................................................. 100
3.5. Proyecto Control en Línea, en el Control Fiscal Colombiano .............................. 103
4. LA AUDITORÍA CONTINUA, COMO NUEVO PARADIGMA DE LA AUDITORÍA106
4.1. Conceptos básicos................................................................................................. 107
4.2. Necesidad e importancia de la Auditoría Continua ............................................... 108
4.3. Conceptos asociados a la Auditoría Continua ...................................................... 109
4.4. Génesis y evolución de la Auditoría Continua ...................................................... 111
4.5. Nivel de adopción de la Auditoría Continua a nivel internacional ......................... 113
4.6. Nivel de adopción de la Auditoría Continua en Colombia .................................... 115
4.7. Estándares, guías y documentos de orientación .................................................. 119
4.8. La Auditoría Continua. Un nuevo paradigma de la auditoría ................................ 121
5. TAXONOMÍA Y ARMONIZACIÓN DE MODELOS DE AUDITORÍA CONTINUA.126
5.1. Técnicas de auditoría concurrentes .......................................................................... 126
5.2. Esquemas de Auditoría Continua a nivel internacional ............................................ 128
5.3. Taxonomía de modelos de Auditoría Continua ..................................................... 131
5.3.1. De acuerdo a su origen .................................................................................. 133
Contenido XIII
5.3.2. De acuerdo a su orientación .......................................................................... 139
5.3.3. De acuerdo al tipo de auditoría ...................................................................... 143
5.4. Armonización de los modelos de Auditoría Continua ........................................... 145
5.4.1. Esquemas de armonización de modelos ....................................................... 145
5.4.2. Método para la armonización de modelos de Auditoría Continua ................ 148
5.4.3. Desarrollo de la estrategia de armonización ................................................. 149
6. EL GOBIERNO ELECTRÓNICO COMO MARCO DE ACTUACIÓN DE LA
AUDITORÍA CONTINUA EN EL CONTROL FISCAL COLOMBIANO. ........................... 165
6.1. El Gobierno Electrónico a nivel mundial ............................................................... 167
6.2. Antecedentes del gobierno electrónico en Colombia............................................ 168
6.3. El Gobierno electrónico en el Plan actual de Desarrollo Nacional ....................... 171
6.4. Lineamientos, directrices y metodologías de la Estrategia de Gobierno en Línea en
Colombia. .......................................................................................................................... 174
6.4.1. Aspectos prioritarios del Gobierno en Línea .................................................. 175
6.4.2. El Modelo de Gobierno en Línea, con sus respectivos niveles de madurez 175
6.4.3. Plazos para la implementación de los diferentes componentes de Gobierno en
Línea 178
6.4.4. Construcción (Actualización) del Manual de Gobierno en Línea .................. 181
6.4.5. Monitoreo y Evaluación de Gobierno en línea ............................................... 183
6.5. Estado actual del Gobierno Electrónico en Colombia. ......................................... 184
6.5.1. Infraestructura Tecnológica de las entidades públicas del orden nacional y
territorial. ........................................................................................................................ 185
6.5.2. Nivel de avance en los componentes de gobierno en línea .......................... 186
6.5.3. Aspectos relevantes en el nivel de avance de la Estrategia Gobierno en Línea
188
6.5.4. Las entidades de Control frente a la Estrategia de Gobierno en Línea. ....... 189
6.6. Las Tecnologías de Información del sector gubernamental al margen del programa
gobierno en línea .............................................................................................................. 190
6.7. El Control en línea, una perspectiva más amplia. ................................................. 193
6.8. Normograma de Tecnologías de Información en el sector gubernamental
Colombiano. ...................................................................................................................... 195
7. MODELO DE AUDITORÍA CONTINUA PARA EL CONTROL FISCAL
COLOMBIANO. ................................................................................................................. 199
XI
V
Título de la tesis o trabajo de investigación
7.1. Aspectos preliminares del modelo......................................................................... 199
7.1.1. El modelo como concepto .............................................................................. 199
7.1.2. Supuestos básicos del modelo de Auditoría Continua .................................. 200
7.2. Estructura del modelo de Auditoría Continua para el Control Fiscal Colombiano 201
7.2.1. Subsistemas del modelo ................................................................................ 201
7.2.2. Elementos exógenos del modelo de Auditoría Continua .............................. 205
7.2.3. Elementos endógenos del modelo de Auditoría Continua ............................ 208
7.3. El efecto panóptico esperado del modelo ............................................................. 232
7.3.1. Modelo de las tres líneas de defensa ............................................................ 233
7.3.2. Funcionamiento de las tres líneas de defensa con el efecto panóptico esperado
en el modelo de Auditoría Continua ............................................................................. 235
7.4. La gestión del cambio, un impulsor del modelo .................................................... 237
8. MODELO DE AUDITORÍA CONTINUA, EN LA CONTRALORÍA GENERAL
DEL MUNICIPIO DE MANIZALES ................................................................................... 238
8.1. Metodología e instrumentos para caracterizar el Modelo de Auditoría Continua de la
Contraloría General del Municipio de Manizales ............................................................. 239
8.2. Diagnóstico de la Contraloría General del Municipio de Manizales ..................... 241
8.2.1. Breve Reseña Histórica de la CGMM ............................................................ 241
8.2.2. Estructura Organizacional y de procesos ...................................................... 242
8.2.3. Entidades y puntos sujetos de control ........................................................... 245
8.3. El Modelo de Auditoria Continua para el Control Fiscal Colombiano en el contexto
de la Contraloría General del Municipio de Manizales .................................................... 246
8.3.1. Competencias tecnológicas del auditor gubernamental ................................ 246
8.3.2. Metodología de Auditoría Continua ................................................................ 249
8.3.3. Base de conocimiento .................................................................................... 252
8.3.4. Técnicas y Herramientas de Auditoría Continua ........................................... 252
8.3.5. Automatización de procesos gubernamentales ............................................. 253
8.3.6. Masificación del Gobierno Electrónico ........................................................... 259
8.3.7. Gobierno Abierto ............................................................................................ 266
8.4. Conclusiones y plan propuesto para cerrar la brecha del estado actual de la
Contraloría General del Municipio de Manizales, frente al modelo de Auditoría Continua
propuesto. ......................................................................................................................... 268
9. CONCLUSIONES, APORTES Y TRABAJOS FUTUROS .................................... 273
Contenido XV
9.1. Conclusiones.......................................................................................................... 273
9.2. Aportes de la investigación .................................................................................... 276
9.3. Trabajos futuros ..................................................................................................... 277
7. ANEXOS ................................................................................................................ 279
Anexo 1. Contralorías departamentales, distritales y municipales que hacen parte del
Control Fiscal Colombiano................................................................................................ 279
Anexo 2. Normas internacionales de auditoría ................................................................ 282
Anexo 3. Ficha técnica Estudio Tipo 1 ............................................................................. 284
Anexo 4. Ficha técnica Estudio Tipo 2 ............................................................................. 309
Anexo 5. Ficha Técnica Estudio Tipo 3 ............................................................................ 316
Anexo 6. Informe detallado de resultados por fases del estado actual de la Estrategia de
Gobierno en Línea en las entidades sujetas de control de la Contraloría General del
Municipio de Manizales. ................................................................................................... 318
Anexo 7.Análisis de homogeneización detallado de guías y metodologías de Auditoría
Continua. ........................................................................................................................... 323
Anexo 8. Productos de difusión de resultados de la tesis ............................................... 328
Lista de figuras
PÁG.
Figura 1: Estructura de presentación del documento de Investigación .......................... 27
Figura 2. Modelo COSO ..................................................................................................... 45
Figura 3. Nivel promedio de avance del MECI a nivel territorial ........................................ 55
Figura 4. Macro procesos del Control Fiscal Colombiano. ................................................ 63
Figura 5. Estructura General de Auditoría. Contraloría General de la República ............. 74
Figura 6. Fases de Auditoría Interna. Entidades Públicas Colombianas .......................... 76
Figura 7. Número de aplicaciones por proceso en el Control Fiscal Colombiano. ........... 94
Figura 8. Sistemas de Información de la Contraloría de Santiago de Cali, usado por algunas
contralorías del país. ........................................................................................................ 102
Figura 9. Modelo Conceptual del Sistema de Control Fiscal en Línea ........................... 104
Figura 10. Principales componentes de la Auditoría Continua ........................................ 111
Figura 11. Eventos destacados de la Auditoría Continua ................................................ 112
Figura 12. Algunos de los estudios del nivel de avance de la Auditoría Continua ......... 113
Figura 13. Modelos de Auditoría Continua a través del tiempo ....................................... 129
Figura 14. Categorías Taxonómicas de Auditoría Continua ............................................ 133
Figura 15. Modelos de auditoría de acuerdo a su origen. ............................................... 134
Figura 16. Esquemas de Auditoría Continua de acuerdo al sector donde se aplican .... 137
Figura 17. Esquemas de Auditoría Continua por Tipo ..................................................... 144
Figura 18. Metodología Kelemen para la armonización de modelos ............................. 147
Figura 19. Arquitectura básica de protocolos de servicios web. ..................................... 162
Figura 20. Avance del Gobierno Electrónico por Continentes 2012 ............................... 168
Figura 21. Evolución normativa del e-government en Colombia ..................................... 169
Figura 22. Países Emergentes en Gobierno Electrónico 2012 ....................................... 170
Figura 23. Ecosistema Digital ........................................................................................... 172
Figura 24. Arquitectura de gobierno en línea ................................................................... 173
Figura 25. Infraestructura Tecnológica de las entidades públicas Colombianas ............ 186
Figura 26. Nivel de avance de las fases de Gobierno en Línea en las entidades de nivel
nacional. 2008-2011 ......................................................................................................... 187
Figura 27. Nivel de avance de las fases de Gobierno en Línea en las entidades del nivel
territorial. 2008-2011 ......................................................................................................... 188
Figura 28. Tipología de Sistemas de Información en el sector público ........................... 191
Figura 29. Modelo de Auditoría Continua para el Control Fiscal Colombiano ................ 203
Figura 30. Portal del Catálogo de Datos Abiertos en Colombia. ..................................... 231
Figura 31. Modelo de tres líneas de defensa ................................................................... 233
17
Figura 32. Efecto panóptico del modelo en las tres líneas de defensa ........................... 236
Figura 33: Ranking de las Contralorías en Colombia ...................................................... 242
Figura 34. Estructura Organizacional de la Contraloría General del Municipio de Manizales
........................................................................................................................................... 243
Figura 35. Mapa de procesos de la Contraloría General del Municipio de Manizales .... 244
Figura 36. Tipología de auditorías desarrolladas en la Contraloría General del Municipio de
Manizales .......................................................................................................................... 248
Figura 37. Nivel de uso de las TAAC's por parte de los auditores gubernamentales de la
Contraloría General del Municipio de Manizales ............................................................. 253
Figura 38. Nivel de madurez promedio de los dominios de COBIT en las entidades sujetas
de control de la Contraloría General del Municipio de Manizales ................................... 254
Ilustración 39. Nivel de madurez tecnológica basada en COBIT de las entidades sujetas de
control de la Contraloría General del Municipio de Manizales. ....................................... 255
Figura 40. Interfaz solución tecnológica COBRA ............................................................. 257
Figura 41. Nivel promedio de avance del Gobierno Electrónico a 2014 en las entidades
sujetas de control de la Contraloría General del Municipio de Manizales ....................... 259
Figura 42.Diagrama radar de los elementos de los subíndices de las entidades sujetas de
control de la estrategia de gobierno en línea. .................................................................. 262
Figura 43. Índice y subíndices de Gobierno en Línea por entidad sujeta de control ...... 263
Figura 44.Nivel promedio de avance del Gobierno Electrónico hasta 2014 de la Contraloría
General del Municipio de Manizales ................................................................................ 264
Figura 45. Diagrama radar de los elementos de los subíndices del gobierno en línea de la
Contraloría General del Municipio de Manizales. ............................................................ 265
Figura 46. Índice de gobierno abierto de las entidades sujetas de control de la Contraloría
General del Municipio de Manizales. ............................................................................... 266
18
Lista de tablas
PÁG.
Tabla 1. Cobertura del Control Fiscal Colombiano ............................................................ 34
Tabla 2. Valor promedio de vigilar los recursos del Estado Colombiano. ......................... 34
Tabla 3. Número de funcionarios del Control Fiscal Colombiano y relación de auditor por
cada auditoría. .................................................................................................................... 34
Tabla 4: Fases de la investigación ..................................................................................... 40
Tabla 5. Principales normas que reglamentan el Control Interno en Colombia ................ 47
Tabla 6. Normograma del Control Fiscal Colombiano (Normas más representativas) ..... 56
Tabla 7. Gerencias Seccionales de la Auditoría General de la República ........................ 60
Tabla 8. Fases de la Auditoría de acuerdo a ISACA. ........................................................ 69
Tabla 9. La Evolución de la Auditoría desde la perspectiva del procesamiento de datos.
............................................................................................................................................. 78
Tabla 10. Evidencia en papel vs Evidencia electrónica ..................................................... 82
Tabla 11. Normas, estándares y directrices relacionadas con evidencia ......................... 83
Tabla 12. Resumen de las principales normas y estándares alrededor de las Tecnologías
de Información y Comunicaciones en la auditoría. ............................................................ 85
Tabla 13. Sistemas de Información por procesos del control fiscal .................................. 94
Tabla 14. Sistemas de Información por Contraloría en sus principales procesos ............ 96
Tabla 15. Términos relacionados con Auditoría Continua ............................................... 109
Tabla 16. Eventos de interacción con la comunidad académica y profesional del control y
auditoría en Colombia. ...................................................................................................... 115
Tabla 17. Eventos académicos producto del proyecto de Investigación ......................... 118
Tabla 18. Paralelo entre la Auditoría Tradicional y la Auditoría Continua. ...................... 122
Tabla 19. Paralelo de dos paradigmas de la Auditoría Continua .................................... 123
Tabla 20. Esquemas, modelos, metodologías y casos de Auditoría Continua. .............. 129
Tabla 21. Distribución porcentual de la taxonomía de modelos de Auditoría Continua . 132
Tabla 22. Modelos Aplicados de Auditoría Continua difundidos en la Literatura Académica
y Profesional. .................................................................................................................... 135
Tabla 23. Modelos Teóricos de Auditoría Continua. ........................................................ 138
Tabla 24. Guías de Auditoría Continua establecidas por organismos Internacionales. . 138
Tabla 25. Modelos de Auditoría Continua orientados a lo metodológico ........................ 140
Tabla 26. Modelos de Auditoría Continua orientados a lo técnico .................................. 140
Tabla 27. Diferencias entre Técnicas de auditoría EAM y MCL. ..................................... 142
Tabla 28. Modelos de Auditoría Continua orientados a la auditoría tanto interna como
externa. ............................................................................................................................. 144
Tabla 29. Características del modelo objetivo requerido para la construcción de un modelo
de Auditoría Continua para el Control Fiscal Colombiano ............................................... 149
Tabla 30. Modelo de Auditoría Continua de referencia ................................................... 151
Tabla 31. Niveles de valoración del índice de cohesión de los modelos ........................ 152
Tabla 32. Índice de cohesión por fases. Taxonomía por guías de auditoría .................. 153
Tabla 33. Índice de cohesión por modelos. Taxonomía por guías de auditoría ............. 154
19
Tabla 34. Índice de cohesión por fases. Taxonomía por metodologías .......................... 154
Tabla 35. Índice de cohesión por modelos. Taxonomía por metodologías ..................... 155
Tabla 36. Índice de cohesión total por fases. Fases generalmente aceptadas de Auditoría
Continua. ........................................................................................................................... 156
Tabla 37. Índice total por actividades. Fases generalmente aceptadas de Auditoría
Continua. ........................................................................................................................... 156
Tabla 38.Relación de las fases del contexto del sector público ...................................... 158
Tabla 39. Tecnologías usadas en modelos de Auditoría Continua orientados a MCL ... 160
Tabla 40. Meta modelo de Auditoría Continua base para el Control Fiscal Colombiano.
........................................................................................................................................... 163
Tabla 41. Desarrollo actual del e-government en Sur América ....................................... 170
Tabla 42. Componentes de Gobierno en línea ................................................................ 176
Tabla 43. Plazos para la Implementación de la Estrategia de Gobierno en Línea ......... 179
Tabla 44. Actividades y pesos de cada uno de los componentes de Gobierno en Línea.
........................................................................................................................................... 181
Tabla 45. Nivel de avance de la Estrategia de Gobierno en Línea de los organismos de
control (2008-2011)........................................................................................................... 189
Tabla 46. Ejemplos de Sistemas de Información Tipo 2 ................................................. 191
Tabla 47. Ejemplo de Sistemas de Información Tipo 3 ................................................... 192
Tabla 48. Ejemplo de Sistemas de Información Tipo 4 ................................................... 193
Tabla 49. Normograma de Gobierno Electrónico. ........................................................... 195
Tabla 50. Elementos exógenos del modelo de Auditoría Continua para el Control Fiscal
Colombiano. ...................................................................................................................... 206
Tabla 51. Elementos endógenos del modelo de Auditoría Continua para el Control Fiscal
Colombiano. ...................................................................................................................... 208
Tabla 52. Meta modelo de Auditoría Continua base para el Control Fiscal Colombiano.
........................................................................................................................................... 211
Tabla 53. Fases y Actividades de la Guía de Auditoría Continua Territorial (GACT) ..... 213
Tabla 54. Fases y Actividades de la Guía de Auditoría Continua de la Contraloría General
de la República (GACCGR) .............................................................................................. 216
Tabla 55. Subíndices de Gobierno en línea. .................................................................... 226
Tabla 56. Instrumentos para caracterizar el modelo de Auditoría Continua propuesto .. 240
Tabla 57. Entidades sujetas de control de la Contraloría General del Municipio de
Manizales .......................................................................................................................... 245
Tabla 58. Perfil Profesional de los auditores gubernamentales de la Contraloría General
del Municipio de Manizales .............................................................................................. 247
Tabla 59. Opiniones de los Auditores gubernamentales de la Contraloría General del
Municipio de Manizales acerca de la Auditoría Continua ................................................ 249
Tabla 60. Nivel de automatización de procesos auditados por la Contraloría General del
Municipio de Manizales, durante el año 2012. ................................................................. 256
Tabla 61. Nivel de avance de la estrategia de Gobierno en Línea de las entidades sujetas
de control de la CGMM hasta 2014. ................................................................................. 260
Tabla 62. Subindices del Gobierno Abierto de las entidades sujetas de control de la
Contraloría General del Municipio de Manizales. ............................................................ 261
20
Tabla 63.Subindices del Gobierno Abierto de la Contraloría General del Municipio de
Manizales .......................................................................................................................... 264
Tabla 64. Estado actual de las actividades del subindice de gobierno abierto de las
entidades sujetas de control de la Contraloría General del Municipio de Manizales. ..... 267
Tabla 65. Entidades sujetas de control que cuentan con catálogo de datos. ................. 267
Tabla 66. Nivel de avance promedio de los diferentes componentes de la fase de
elementos transversales de la estrategia de Gobierno en Línea en las entidades sujetas
de control por la Contraloría General del Municipio de Manizales. ................................. 318
Tabla 67. Nivel de avance promedio de los diferentes componentes de la fase de
información en línea de la estrategia de Gobierno en Línea en las entidades sujetas de
control por la Contraloría General del Municipio de Manizales. ...................................... 319
Tabla 68. Nivel de avance promedio de los diferentes componentes de la fase de
Interacción en línea de la estrategia de Gobierno en Línea en las entidades sujetas de
control por la Contraloría General del Municipio de Manizales. ...................................... 320
Tabla 69. Nivel de avance promedio de los diferentes componentes de la fase de
Transacción en línea de la estrategia de Gobierno en Línea en las entidades sujetas de
control por la Contraloría General del Municipio de Manizales. ...................................... 320
Tabla 70. Nivel de avance promedio de los diferentes componentes de la fase de
Transformación de la estrategia de Gobierno en Línea en las entidades sujetas de control
por la Contraloría General del Municipio de Manizales. .................................................. 321
Tabla 71.Nivel de avance promedio de los diferentes componentes de la fase de
Democracia en línea de la estrategia de Gobierno en Línea en las entidades sujetas de
control por la Contraloría General del Municipio de Manizales. ...................................... 321
22
Introducción
Las Tecnologías de Información y Comunicaciones han dejado de ser simples
herramientas de apoyo a los negocios, para convertirse en parte del negocio, lo que lleva
a considerarlas uno de los recursos vitales de cualquier organización, si se quiere ser
competitivo.
Recientemente el Banco Interamericano de Desarrollo (BID), publicó un informe titulado
“Transparencia y confianza en el sector público. Avances de las entidades fiscalizadoras
superiores en América Latina y el Caribe 2002-2012” donde se identifican cinco áreas
claves, para el desarrollo de un sistema de control gubernamental moderno, entre las que
se mencionan: La armonización de las prácticas de auditoría gubernamental, la
homogeneización y profesionalización del servicio, el enfoque técnico basado en riesgos y
orientado a resultados, la transparencia, mayor acceso y participación ciudadana y por
último, la diversificación del servicio.
Sin embargo, el informe deja como desafíos pendientes, temas como: “el desarrollo de
módulos de inteligencia de negocios y prácticas de manejo de la información, como áreas
importantes que incrementan la calidad del servicio y apoyar la optimización del uso de los
recursos públicos” (Banco Interamericano de Desarrollo, 2014,p.6).
La investigación que se presenta a través de este documento es un aporte a este desafío,
buscando incrementar la competitividad tecnológica de las entidades fiscalizadoras
superiores de Colombia, representadas en 64 contralorías del país, por medio de la
incorporación del uso de las Tecnologías de Información y Comunicaciones, como parte
del proceso auditor y no simplemente como herramientas de apoyo, para lo cual se acude
a la Auditoría Continua; término considerado por diferentes autores, como el nuevo
paradigma de la auditoría.
Para cumplir con este cometido, se han estructurado ocho (8) capítulos, que buscan
cumplir los objetivos previstos en el presente proyecto, los cuales se resumen a
continuación.
El primer capítulo presenta algunos antecedentes, la interrelación de los diferentes
capítulos a través de su estructura y el diseño de la investigación.
23
El segundo capítulo permite establecer el contexto en el cual se desarrolla la investigación,
a partir de la conceptualización de una de las funciones administrativas clásicas, como lo
son el control y la forma como ejercerse en Colombia, por parte de las organizaciones
designadas por la Constitución y la Ley, las cuales se han enmarcado en lo que se conoce
como el Sistema Nacional de Control Fiscal (SINACOF).
El tercer capítulo, da una mirada a la forma en que se han venido utilizando, a nivel
internacional, las Tecnologías de Información y Comunicaciones en los procesos de
Control y Auditoría, teniéndolas como punto de partida, para caracterizar la manera en que
se usan en el Control Fiscal Colombiano.
El cuarto capítulo muestra la evolución del empleo de las Tecnologías de Información y
Comunicaciones en el proceso auditor, a través del eje científico de este proyecto que es
la Auditoría Continua. Allí también se presentan, el estado del arte y las características que
lo han llevado a ser considerado un paradigma de la Auditoría.
Los capítulos quinto y sexto permiten establecer la base operativa, sobre la cual se
fundamenta el modelo propuesto. En el capítulo quinto se observa la construcción de una
taxonomía y homogeneización de los cerca de 30 modelos analizados, como base para
diseñar una propuesta de meta modelo de Auditoría Continua, que pueda ser aplicado en
el Control Fiscal Colombiano. El capítulo sexto, por su parte, presenta el contexto
tecnológico, sobre el cual se viabiliza la aplicación del modelo de Auditoría Continua, a
través del gobierno electrónico; por lo que se realiza un análisis del estado actual en
Colombia.
Por último y a partir del análisis de los diferentes elementos teóricos y de contexto
plasmados en los seis capítulos desarrollados, se plantea en el séptimo capítulo la
propuesta del modelo de Auditoría Continua, para después proponerlo en el capítulo ocho,
donde se desarrolla un diagnóstico de la contraloría piloto, en función de los subsistemas
y elementos del modelo propuesto; dejando al final, una propuesta para cerrar la brecha.
Es importante destacar, que algunos de los resultados de este proyecto han sido discutidos
y socializados, no solo en diversos eventos y congresos, si no también, de manera especial
24
con algunos actores del Control Fiscal Colombiano; entre los que se destacan los auditores
gubernamentales de las contralorías del país, a través de dos (2) congresos desarrollados
como parte del doctorado y de diversas charlas en el marco del proyecto de control en
línea, liderado por el Ministerio de Tecnologías de Información y Comunicaciones, la
Auditoría General de la República y la Contraloría General de la República; quienes muy
amablemente y a través del Instituto de Estudios Urbanos de la Universidad Nacional de
Colombia - Sede Bogotá, me invitaron a presentar la perspectiva académica de lo que
debe ser un control en línea, en el marco de la Auditoría Continua.
25
1. Antecedentes y Estructura de la
investigación
1.1 Antecedentes
Son diversos los autores que han destacado los cambios radicales producidos en la
generación del conocimiento y que los han descrito, como la transición del “Modo 1” al
“Modo 2” de hacer ciencia.
En el “Modo 1”, la producción de conocimiento obedece a las normas cognitivas que rigen
cada disciplina y es estimulado por intereses puramente académicos. En contraste, con el
“Modo 2”, en donde el conocimiento se genera siempre en el contexto de la aplicación,
atendiendo a las necesidades explicitas de algún agente externo, bien sea la industria, el
gobierno o la sociedad en general.
En concomitancia con lo anterior, la Universidad Nacional de Colombia, establece en su
plan de desarrollo 2013-2015, dentro de su componente estratégico y especialmente en
su visión 2017, en relación con la oferta de posgrados lo siguiente: “...La Universidad
ofrecerá posgrados basados en la generación de conocimiento y en su uso para la solución
de problemas fundamentales de la sociedad colombiana…….. con estrecha comunicación
entre la Universidad y sectores productivos, sociales y gubernamentales del país”
(Universidad Nacional de Colombia, 2012,p.89).
En el marco de lo anteriormente expuesto, el presente trabajo obedece desde su génesis,
proceso y culminación; a aportar desde la ciencia y desde la academia, a una de las
problemáticas que aqueja a los diferentes países del mundo y en particular, a Colombia,
como es la crisis de la fiscalización de lo público, denominado en Colombia: el Sistema
Nacional de Control Fiscal; problemática que presenta múltiples aristas y que requieren
ser intervenidas, para garantizar el cumplimiento de su misión constitucional. Si bien, el
desarrollo del presente proyecto no da solución integral al problema, dada la diversidad de
variables políticas, institucionales, socioculturales, humanas y financieras; si pretende
aportar, desde una perspectiva tecnológica utilizando la incorporación de conceptos,
modelos y técnicas de auditoría difundidas científicamente (en el ámbito internacional)
26
necesarias para la problemática local y aún poco utilizadas en el ámbito público,
contemplando un contexto organizacional, dominado por las Tecnologías de Información y
Comunicaciones.
Para presentar los resultados del proceso investigativo, se presenta a continuación un
documento estructurado en ocho (8) capítulos, que han sido organizados e
interrelacionados como se pueden apreciar en la Figura 1.
27
Figura 1: Estructura de presentación del documento de Investigación
Fuente: Elaboración propia
1.2 Estructura de la investigación
En concordancia con la propuesta de investigación presentada y formalizada a través de
la presentación del examen Doctoral, a continuación se presenta la estructura de
investigación del proyecto.
1.2.1 Delimitación del problema
Son múltiples los riesgos a los que están expuestas actualmente las organizaciones, en el
caso de las Instituciones públicas colombianas, la corrupción y el fraude son dos de los
principales riesgos que aquejan el país y que llevan a la necesidad de fortalecer los
sistemas de control público.
El índice de percepción de corrupción a nivel internacional, elaborado por Transparencia
Internacional en el año 2010, ubica a Colombia en el puesto 78, de un total de 178 países
(Transparency International, 2011); y para el año 2011 en el puesto 80 de 183 países
(Transparency International, 2012). De igual forma en el año 2013, y de acuerdo al último
informe del barómetro global de la corrupción en Colombia, las cifras no dejan de ser
preocupantes, en cuanto a su percepción por parte de la ciudadanía, calificándola con un
nivel de gravedad de 4.4 sobre 5. Particularmente en el sector público, se ha convertido
en uno de sus principales problemas, de acuerdo a lo expresado por el 62% de los
encuestados, y más grave aún, esta sigue en permanente crecimiento, como lo expresa la
percepción del 56% de la ciudadanía (Transparencia Internacional, 2013).
Estos resultados generan desconfianza por parte de la ciudadanía en sus autoridades y
debilitan su capacidad de luchar contra este fenómeno, lo cual ha sido corroborado por el
recién aprobado documento CONPES 167 de Noviembre de 2013, el cual establece:
La corrupción se presenta en un escenario de instituciones débiles, que por su
diseño o evolución no tienen la capacidad de hacer cumplir las reglas y normas que
contienen, son ineficientes e ineficaces, son percibidas como injustas e
28
inequitativas, y no cuentan con mecanismos para controlar el oportunismo, ni para
adaptarse a los cambios del entorno. (CONPES, 2013,p.13).
De otro lado, los fraudes en el ámbito internacional vienen en aumento y Colombia no es
la excepción, así lo establece la encuesta anual global sobre fraude desarrollada por The
Economist Intelligence Unit en el año 2013. Allí se establece que el 70% de las compañías
a nivel mundial, sufrieron durante el último año como mínimo, un tipo de fraude, siendo su
principal ejecutor el personal interno de la organización. En el caso Colombiano, las
empresas afectadas por el fraude pasaron de un 49% en el 2011 al 63% en el 2012, con
un incremento en el porcentaje promedio de ingresos perdidos, que paso del 0,4% al 0,7%
para este último año (Economist Intelligence Unit, 2014).
El costo estimado por crímenes económicos en Colombia en el año 2013, fue de 3600
millones de dólares, equivalente al 1% del PIB nacional (KPMG, 2013).
Estos flagelos han alcanzado niveles que generan desconfianza en las instituciones
públicas, y más aún, en aquellas instituciones que por constitución y por ley, deben velar
por el adecuado manejo de los recursos del Estado. Aunque, estos flagelos no son nuevos,
han venido conviviendo con otros problemas, tales como el narcotráfico y la guerrilla,
generando desconfianza en el país como institución, no solo por sus mismos habitantes,
sino por parte de inversores externos.
En respuesta a lo anterior, se requiere el fortalecimiento de los Sistemas de Control
gubernamental existentes en la actualidad, los cuales fueron concebidos, tal como existen
hoy, a partir de la Constitución de 1991; donde se plantearon medidas para tratar de
modernizar los modelos de control público existentes en Colombia, creando modelos de
control interno al interior de las entidades públicas y un control externo – Control Fiscal - ,
ejercido por 64 contralorías, que actualmente existen en el país.
A pesar de ello, hoy, 24 años después, estos mecanismos de control y su institucionalidad
se encuentran en crisis; así lo demuestran las cifras antes mencionadas y diversos autores
afirman que se debe a su falta de efectividad y oportunidad (Restrepo Medina, Araujo
Oñate, & Tuta Alarcón, 2010; Auditoría General de la República, 2011; Auditoría General
de la República & Banco Mundial, 2011; Auditoría General de la República, 2013), sobre
29
todo del Sistema Nacional de Control Fiscal, generando lo que estos mismos autores han
denominado como: La Crisis del Control Fiscal Colombiano.
- La Crisis del Control Fiscal Colombiano.
En los lemas de los dos últimos Auditores Generales de la República, se encuentra un
término en común “Transformación1”, obedeciendo quizás, a una problemática que aqueja
desde hace varios años al Control Fiscal Colombiano y que aún persiste. Han sido varios
los escenarios y diversas las autoridades, que han manifestado la existencia de una crisis
del Control Fiscal Colombiano y en respuesta a ello, la necesidad de una reingeniería del
Control Fiscal.
Esa crisis se debe a múltiples factores, identificados en diferentes fuentes, entre los que
se destacan principalmente tres: La problemática descrita por el Auditor General de la
República en el periodo 2011-2013, la planteada por una misión de expertos del Banco
Mundial reunidos en Noviembre de 2010, y la establecida por la GTZ y la Universidad del
Rosario, en una investigación alrededor del Control Fiscal Territorial en Colombia.
El informe de gestión 2011-2013 presentado por el Auditor General de la República de la
época, resume en cinco (5), las problemáticas del Control Fiscal Territorial:
Problemática 1: Existe un mapa irracional, ineficiente y desarticulado del control fiscal
territorial. En Colombia, el control fiscal no opera como sistema nacional y territorial,
generando malversación de recursos públicos y otras ineficiencias.
Problemática 2: Las funciones de resarcimiento del daño causado al patrimonio público,
no se favorecen con la actual estructura y medios ineficientes de las contralorías
1 Periodo 2009-2001. Iván Darío Gómez Lee – El Camino de la Transformación del Control Fiscal Público. Periodo 2011-2013. Jaime Raúl Ardila Barrera – Transformando el Control Fiscal Colombiano.
30
Problemática 3: Ausencia de autonomía y escasez de recursos presupuestales,
tecnológicos y de formación del talento humano; falta de incentivos y mecanismos que
estimulen el mejoramiento de las actuaciones de los servidores de las contralorías.
Debilidades y vulnerabilidades en procesos de selección de contralores territoriales.
Problemática 4: El control fiscal posterior y selectivo -tal y como actualmente se realiza- no
aporta resultados efectivos, ni valor público, a la gestión que vigila. Tampoco permite
prevenir daños al patrimonio colectivo.
Problemática 5: Los eslabones de la cadena de valor del control fiscal interno y externo se
encuentran fracturados. Ninguno de estos controles ha producido los resultados
esperados.
Por su parte, la misión de expertos conformada por un equipo de expertos y asesores de
la Auditoría General de la República y del Banco Mundial, con el acompañamiento de
algunos de los contralores territoriales, reunida en Noviembre del 2010; con el fin de
establecer los elementos básicos para un plan de modernización y fortalecimiento de las
Contralorías Territoriales de Colombia, estableció las siguientes problemáticas del Control
Fiscal Territorial, plasmadas en:
- Difusa estructura del Sistema de Control Nacional
- Problemas en la gobernabilidad del Sistema de Control Nacional
- Cortos periodos de actuación
- Falta de representatividad y de respaldo legal del Consejo Nacional de Contralores
- Inexistencia de sistemas comunes y modernos de apoyo a la función contralora
- Falta de eficiencia y eficacia de las entidades de fiscalización
- Limitaciones en el control preventivo y desarticulación con el control concurrente
- Inadecuada coordinación institucional para la lucha contra la corrupción
- Falta de integración en la rendición de cuentas
Por último, la investigación adelantada por la GTZ y la Universidad del Rosario, clasifican
la problemática del Control Fiscal Colombiano en dos categorías: problemas atribuibles a
causas exógenas a las contralorías y problemas atribuibles a causas endógenas de las
mismas.
31
En relación con las causas exógenas se encuentran: Falta de autonomía presupuestal e
independencia política, insuficiencia de recursos y control de costos, ausencia de una
carrera administrativa para el auditor fiscal gubernamental, limitación en el periodo del
Auditor General, deficiencias en la forma de elección, calidades y régimen de inhabilidades
e incompatibilidades de los contralores territoriales, dualidad normativa entre la potestad
reglamentaria de la Contraloría General de la República y la competencia para prescribir
métodos y expedir criterios de evaluación por parte de los contralores, baja calidad del
sistema de control interno y desarticulación con el control fiscal y multiplicidad de sistemas
de evaluación con funciones superpuestas.
En relación con las causas endógenas se encuentran: dispersión y variedad de
metodologías de control fiscal y ausencia de un lenguaje común, débil participación
ciudadana en el ejercicio del control fiscal, deficiencias en los informes macro fiscales, falta
de calidad en la elaboración del Plan General de Auditoría para el ejercicio del control
fiscal, alcance del proceso de revisión de la cuenta y frecuente caducidad y prescripción
de los procesos de responsabilidad fiscal (Restrepo Medina, Sánchez Torres, Araujo
Oñate, Peña González, & Dineiger, 2008).
Como se puede observar, en los tres documentos referenciados previamente, existen
elementos comunes en la categorización de las problemáticas planteadas, alrededor del
Control Fiscal Colombiano y muchas de las soluciones pasan por decisiones políticas,
legislativas, tecnológicas económicas y sociales. En particular, dentro de las alternativas
tecnológicas planteadas, es en el foro-panel organizado por la revista semana y la
Auditoría General de la República en el año 2010, que con el fin de buscar posibles salidas
a estas problemáticas, se realizan planteamientos como los siguientes:
Para el Auditor General de la Nación “Las técnicas de control han evolucionado y nosotros
seguimos con el mismo modelo, visitando a un sujeto y haciendo trabajo de campo, sin
darle ninguna confianza ni ninguna validez a la información que nos entrega de manera
tecnológica” (AUDITORÍA GENERAL DE LA REPÚBLICA, 2010b, p.46).
32
Por su parte, el ex-contralor general de la república Carlos Ossa Escobar, en su ponencia
del foro denominada: Control en tiempo real, como medio para lograr la efectividad,
plantea lo siguiente:
Es claro que el control no debe ser ni previo, ni posterior; tiene que ser en tiempo
real y, para avanzar hacia la consecución de ese propósito, es necesario
estandarizar los procesos y procedimientos de control; acudir a herramientas como
las TIC´s, con lo cual se puede garantizar……….(AUDITORÍA GENERAL DE LA
REPÚBLICA, 2010b, p.63).
Para el Consejero de Estado, Gustavo Gómez Aranguren, al reflexionar sobre la
importancia de la Auditoría General de la Nación, plantea:
…..De tal manera que yo votaría porque exista y siga existiendo la Auditoría
General. Obviamente en línea, tiene que funcionar con un mecanismo tecnológico
que permita de manera inmediata saber qué sucede por ejemplo en la Guajira, en
San Andrés, en Boyacá y rápidamente tomar decisiones, con dientes, o de lo
contrario se vuelven retóricos y burocráticos. (AUDITORÍA GENERAL DE LA
REPÚBLICA, 2010b,p.76).
Finalmente, la Procuraduría General de la Nación, a través del procurador delegado para
la descentralización y las entidades territoriales, Carlos Augusto Meza Díaz, establece:
…. Si logramos constituir o lograr un modelo de seguimiento de gestión pública,
donde automáticamente, mediante sistemas de información que nos señalen
alarmas y nos indiquen que aquí hay alto riesgo o que aquí se cometió alguna
irregularidad, y en la medida en que sean públicos, transparentes, disminuimos la
posibilidad… (AUDITORÍA GENERAL DE LA REPÚBLICA, 2010b,p.86); y más
adelante afirma: “….. Queremos ir más allá a un modelo que nos permita en tiempo
real saber qué está pasando en cada entidad y dónde puede haber riesgo. ¿Cómo
lo podemos hacer? Únicamente a través de sistemas de
información,………”.(AUDITORÍA GENERAL DE LA REPÚBLICA, 2010b,p.87).
33
Resumiendo lo planteado en el foro y en las tres fuentes que resaltan la crisis del Control
Fiscal Colombiano y teniendo en cuenta sus múltiples aristas, algunas de las problemáticas
en las cuales las Tecnologías de Información y Comunicaciones pueden aportar son:
1. La excesiva latencia existente, entre el momento en que ocurre un evento que
puede afectar la organización y el momento en que actúa el control: El enfoque
actual que utilizan las organizaciones para ejercer la auditoría, pone de manifiesto
un tiempo excesivo, para detectar anormalidades en los procesos, frente a la
realidad que viven las organizaciones; donde muchas de ellas, ya han
automatizado sus procesos, ejerciendo por tal motivo, sus labores en tiempo real o
al menos, con latencias mínimas entre uno y otro proceso, entregando información
en tiempo real, lo que es posible dado el uso intensivo de las Tecnologías de
Información y Comunicaciones; aspecto que no es aprovechado por la auditoría,
debido a que la mayoría de sus técnicas de auditoría siguen siendo análogas, sin
alinearse con la realidad tecnológica de las entidades sujetas de control y por ende,
con latencias entre la ocurrencia de los eventos adversos y su detección tardía.
Como se puede observar en los planteamientos realizados anteriormente,
principalmente en el foro, este tipo de situaciones son una característica del Control
Fiscal Colombiano, lo que se puede corroborar igualmente, con las dos guías de
auditoría, que utilizan tanto la Contraloría General de la República, como las 64
Contralorías Territoriales; donde muchas de sus técnicas, no están ajustadas al uso
intensivo de las Tecnologías de Información y Comunicaciones, como parte del
proceso auditor.
2. La escasez de recursos con que cuenta el Control Fiscal Colombiano, para
dar cobertura a todas las entidades y procesos que son sujetos a control: Si
bien la escasez de recursos siempre será una problemática generalizada en las
organizaciones y en sus diferentes áreas, la función de auditoría no es ajena a ella,
lo que se requiere es, mejorar la relación de recursos/cobertura y en el campo de
la auditoría, esto solo se logra a través de la automatización de buena parte del
proceso auditor, de forma tal que, la tecnología aporte en la cobertura y de manera
complementaria, haga que el control sea más efectivo y perdurable en el tiempo,
disminuyendo la necesidad de realizar auditorías periódicas.
34
Si observamos la tabla 1, acudiendo a datos del 2011, podemos establecer que el
nivel de cobertura promedio del Control Fiscal Colombiano es del 47,1%, partiendo
de la base que no se da cobertura integral a todos los procesos de la entidad.
Tabla 1. Cobertura del Control Fiscal Colombiano
CONTRALORIAS Entidades
Vigiladas
Entidades
Auditadas
%
Cobertura
Contralorías Territoriales 6.346 2.916 45,9%
Contraloría General de la República 550 336 61,1%
TOTALES 6.896 3.252 47,1%
Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2012)
En lo que tiene que ver con recursos financieros, y como se puede observar en la tabla 2,
al gobierno Colombiano le cuesta en promedio 12 centavos, vigilar 100 pesos del
presupuesto Colombiano y con ello, no se alcanza a dar cobertura al 47,1% de las
entidades.
Tabla 2. Valor promedio de vigilar los recursos del Estado Colombiano.
CONTRALORIAS Recursos
vigilados
(Millones de
$)
Presupuesto
asignado
(Millones de
$)
Valor promedio
de vigilar los
recursos del
Estado.
Contralorías Territoriales 109.000.545 364.072 0,33
Contraloría General de la
República
253.445.167 387.121 0,15
TOTALES 362.445.712 751.193 0,12
Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2012)
Con respecto al personal, en especial los auditores gubernamentales, quienes son los que
llevan a cabo realmente las labores de auditoría (tal como se puede observar en la tabla
3), el 71% de la planta de personal ocupada realiza labores de auditoría, existiendo una
relación de aproximadamente dos (2) auditores por cada auditoría.
Tabla 3. Número de funcionarios del Control Fiscal Colombiano y relación de auditor por cada auditoría.
CONTRALORIAS Planta
ocupada
Misionales %
Participación
Nro.
funcionarios
35
por
Auditoría
Contralorías Territoriales 4129 2866 69% 0,983
Contraloría General de la
República
3811 2745 72% 8,170
TOTALES 7940 5611 71% 1,725
Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2012)
En resumen, el Sistema Nacional de Control Fiscal no cuenta con técnicas, procesos ó
métodos soportados en Tecnologías de Información, que permitan dar respuesta de
manera directa, a un verdadero Control Fiscal en línea, que dé cumplimiento a lo que
realmente se espera de un control posterior inmediato, con generación de alertas de
advertencia; ello debido a que los sistemas existentes e incluso el proyecto de e-control,
liderado por la Auditoría General de la República, en conjunto con el Ministerio de
Tecnologías de Información, son soluciones tecnológicas de soporte a la función auditora,
y no son parte del proceso auditor, que involucren el tratamiento en tiempo real, de uno de
los elementos fundamentales del proceso auditor: la evidencia, en este caso digital.
1.2.2 Formulación del problema
¿Cómo establecer un modelo de Auditoría Continua, en el contexto del Control Fiscal
Colombiano, que dé respuesta a la necesidad de un control posterior oportuno, con
mínimas latencias entre el momento en que ocurre en evento no deseado en los procesos
gubernamentales y el momento en que actúa el proceso auditor?
Como parte de la pregunta general, que se plantea en la formulación del problema, se
establecen las siguientes preguntas de investigación:
- ¿Existe una base conceptual sólida, históricamente pertinente, que lleve a
establecer la Auditoría Continua como un nuevo paradigma?
- ¿Se utilizan actualmente las Tecnologías de Información y Comunicaciones como
un factor de competitividad, que permite aportar a la efectividad de la función
36
constitucional, que cumplen las contralorías que hacen parte del Control Fiscal
Colombiano?
- ¿Cómo puede la Auditoría Continua, desde una perspectiva holística, aportar a la
crisis del Control Fiscal Colombiano?
1.2.3 Objetivos
General
Construir un modelo de Auditoría Continua en el contexto del Control Fiscal Colombiano,
acorde a la realidad tecnológica del sector gubernamental, a partir del análisis y cohesión
de las relaciones existentes entre los conceptos, paradigmas, estándares, metodologías
y prácticas de Auditoría Continua, divulgados por la comunidad científica y profesional.
Específicos
1) Indagar, analizar y construir de forma coherente, un referente teórico de Auditoría
Continua, que de soporte científico a la construcción de un modelo de Auditoría
Continua; a partir de su génesis, historia, estándares, paradigmas, modelos,
metodologías y técnicas difundidas por la comunidad científica y profesional.
2) Conocer la realidad de los procesos del Control Fiscal Colombiano, sus
problemáticas y de manera especial, el nivel de uso que realizan los auditores
gubernamentales de las Tecnologías de Información en el proceso auditor.
3) Diseñar un modelo de Auditoría Continua, enmarcado en la problemática y el
contexto del Control Fiscal Colombiano.
4) Validar el modelo de Auditoría Continua en una contraloría piloto que sea
representativa de las contralorías territoriales del país.
1.2.4. Justificación
Las razones que han llevado a realizar la presente investigación, están referidas a tres
aspectos: la utilidad que puede llegar a tener la Auditoría Continua en el contexto del
37
Control Fiscal Colombiano; la importancia de la Auditoría Continua para la teoría general
de Auditoría y su comunidad y la necesidad que tienen las organizaciones de ajustar sus
prácticas de control, a un entorno tecnológico cambiante, que impacta de manera
significativa, sus procesos estratégicos, misionales y de apoyo.
1.2.4.1. La utilidad de la Auditoría Continua en el contexto del Control Fiscal
Colombiano.
La Auditoría Continua en el sector público no es ampliamente utilizada, así lo demuestra
la revisión de la literatura académica, la cual no evidencia modelos teóricos y muy pocos
casos de aplicación de la Auditoría Continua en el sector público, rescatando el caso de
aplicación en la oficina Nacional de Auditoría de la China, divulgado en (Wenming, 2007).
De igual forma, la mayoría de casos de aplicación de Auditoría Continua, son llevados a
cabo por áreas de Auditoría Interna, y no se evidencian casos de implementación de
modelos de Auditoría Continua, desde una perspectiva de Auditoría Externa. Si se tiene
en cuenta que, lo pretendido por el proyecto es poder contextualizar este tipo de
tecnologías en el sector público colombiano, quienes actúan como Auditoría Externa de
manera complementaria con las oficinas de control interno (equivalentes a las oficinas de
Auditoría Interna), son los encargados de ejercer la función de Auditoría Interna en la
entidad pública.
La necesidad del Control Fiscal Colombiano, de implementar nuevos mecanismos de
control, que aporten a la reducción de las diferentes formas de corrupción, en las entidades
públicas colombianas, es apremiante.
De acuerdo a lo establecido en el artículo 267 de la Constitución Política de Colombia, el
Control Fiscal, se deberá ejercer de forma posterior y selectiva, y así se ha venido
ejerciendo por las Contralorías del país desde 1991.
El pasado 12 de Julio del 2011, el Gobierno Nacional promulgo la Ley 1474 del 2011, “Por
la cual se dictan normas orientadas a fortalecer los mecanismos de prevención,
investigación y sanción de actos de corrupción y la efectividad del control de la gestión
pública”, estableciendo en su artículo 129, la obligatoriedad para las contralorías
38
departamentales, distritales y municipales, de elaborar un plan estratégico, en donde se
contemplen entre otros elementos, lo establecido en el literal e) “Desarrollo y aplicación de
metodologías que permitan el ejercicio inmediato del control posterior y el uso responsable
de la función de advertencia” dado que tiene una relación directa con el concepto de
Auditoría Continua. (NOTA: esta función de advertencia fue declarada
inconstitucional en fallo de la Corte Constitucional del pasado 11 de Marzo de 2015).
1.2.4.2. La importancia de la Auditoría Continua para la teoría general de auditoría
y su comunidad.
En muchas disciplinas, las teorías deben ajustarse a las nuevas realidades económicas,
sociales, políticas, tecnológicas y organizacionales; ese es el caso de la teoría general de
auditoría, debido a que su objeto de estudio ha cambiado, influenciado por diferentes
factores que llevan a establecer nuevos conceptos, metodologías y técnicas para ponerla
en contexto con la realidad organizacional.
Hoy en día, la función de auditoría enfrenta múltiples retos, para dar respuesta a la
creciente complejidad organizacional y así, aportar valor a los negocios. Entre los
principales retos que ha planteado el Instituto de auditores internos, en su guía de Auditoría
Continua, se encuentran:
Cumplimiento de regulaciones y controles: Evaluación e identificación de problemas y
procesos, sostenibilidad, recursos, definición de materialidad, prioridades y riesgos de los
informes financieros.
Valor e independencia de la auditoría interna: Grandes expectativas de la auditoría
interna, problemas cada vez más profundos en los controles internos, confusión en cuanto
al rol de la responsabilidad de la auditoría interna, y objetividad e independencia
comprometidas.
Fraude: Detección y control, robo de identidad, responsabilidad en la gestión de fraude, e
incremento de la incidencia y el costo de fraudes.
Disponibilidad de recursos calificados: Falta de competencia y habilidades apropiadas,
escasez de auditores, retención, y falta de conocimiento sobre riesgos y controles.
39
Tecnología: Soluciones apropiadas para respaldar el cumplimiento, el modelo de negocio
basado en la tecnología, la seguridad de la información, prioridades contrapuestas de
tecnología de la información (TI) y la tercerización.
Lo anterior requiere nuevos enfoques de auditoría, modernizar sus técnicas y
procedimientos, para responder a la creciente complejidad de las organizaciones.
1.2.4.3. La necesidad que tienen las organizaciones de ajustar sus prácticas de
control a un entorno tecnológico cambiante, que impacta de manera
significativa sus procesos estratégicos, misionales y de apoyo.
Las organizaciones de todo el mundo han sido transformadas por las Tecnologías de
Información y Comunicaciones, lo que ha permitido que no existan fronteras de espacio,
ni de tiempo, para desarrollar los negocios, generando organizaciones virtuales, con la
capacidad de desarrollar sus operaciones las 24 horas del día, los 7 días de la semana,
durante los 365 días del año y más aún, para dar respuesta en tiempo real, a los cambios
que se pueden suscitar en su entorno de negocios inmediato. Sin embargo la auditoría aún
no ha evolucionado a la par de estas organizaciones, desarrollando sus procesos de
auditoría de forma tardía; días, meses e inclusive años después de que ocurren los eventos
económicos en las organizaciones, llevando a cabo un control tardío de los eventos
económicos, detectando anomalías e irregularidades y en general, incumplimiento de
reglas de negocio mucho tiempo después de que ocurrieron, generando así, reportes
tardíos que ya no tienen valor para la organización, o si aún lo tienen, ya han perdido
mucho de él.
La Auditoría Interna se enfrenta al reto de responder a un entorno cambiante y altamente
tecnificado de las organizaciones, para ello, debe implementar mecanismos que equiparen
el desarrollo acelerado de los procesos organizacionales y que respondan de manera
adecuada para ser competitivos, pertinentes y dar valor agregado a su labor, como
aseguradores del cumplimiento de los objetivos organizacionales.
Los procesos de auditoría manual son inadecuados en este entorno cada vez más
complejo (Vasarhelyi, 1984). Estas palabras expresadas por Miklos A. Vasarhelyi en 1984,
en su artículo “Automation and Changes in the Audit process” publicado en el volumen 4,
40
número 1 del Journal “Auditing: A Journal of practice & Theory”, es mucho más vigente
hoy, que hace 30 años.
1.2.5. Metodología de Investigación
El tema objeto de investigación, pretende inicialmente, dilucidar desde el punto de vista
teórico, las tensiones existentes entre los diferentes conceptos, teorías, métodos y
metodologías de Auditoría Continua; para ello, se acudirá a la hermenéutica, con el fin de
integrar un cuerpo teórico y epistemológicamente coherente, que solvente cualquier
construcción metodológica, dentro del contexto tecnológico de las organizaciones; lo que
implica acudir a una investigación exploratoria.
Sin embargo, al contrastar los diferentes métodos y metodologías y acudir a la praxis, para
contextualizar el estado actual de la Auditoría Continua y modelar en función de esta, una
aproximación al modelo que se podría aplicar en el Control Fiscal Colombiano, para ser
validado en un caso específico; se deberá acudir a una combinación de investigación
exploratoria e investigación descriptiva, que permita develar lo que pretende la
investigación.
En general, tanto los métodos cuantitativos como cualitativos que se utilizarán para lograr
los propósitos de la investigación, estarán enmarcados en cinco (5) fases metodológicas,
como se puede apreciar en la Tabla 4.
Tabla 4: Fases de la investigación
NRO FASE
1 Revisión de la literatura de Auditoría Continua y sus referentes metodológicos.
2 Revisión del contexto organizacional, metodológico y tecnológico del sistema
objeto de estudio.
3 Análisis, taxonomía y cohesión de modelos de Auditoría Continua
4 Propuesta de un modelo de Auditoría Continua, ajustado al contexto del
Control Fiscal Colombiano.
41
5 Validación del modelo
Fuente: Elaboración propia
Cada fase metodológica conlleva una serie de actividades, de acuerdo al método
predominante, que permitirán cumplir con los objetivos previstos en el proyecto.
1. Revisión de la literatura de Auditoría Continua y sus referentes
metodológicos.
Esta primera fase de la investigación, permitirá establecer el estado actual de la Auditoría
Continua a nivel internacional, como marco preliminar de la investigación, para lo cual se
acudirá a fuentes secundarias, aplicando para ello, técnicas de revisión bibliográfica, a
partir de las diferentes bases de datos que se tienen a disposición en la Universidad
Nacional de Colombia.
A partir del estado del arte y con el fin de dar respuesta a las preguntas de investigación,
se entrara a contrastar las diferentes posiciones de los autores, desde el punto de vista
teórico, conceptual y tecnológico; tomando una posición analítica y crítica, que permite
establecer correspondencias y divergencias, que puedan ser explicadas y sustentadas de
forma racional y que además, permitan ser confrontadas con la auditoría tradicional.
2. Revisión del contexto organizacional, metodológico y tecnológico del
sistema objeto de estudio.
Acudiendo fundamentalmente a fuentes secundarias, se hará una caracterización del
Control Fiscal Colombiano, su institucionalidad, sus metodologías y las herramientas
tecnológicas que usan, llegando hasta el análisis del gobierno electrónico, como escenario
tecnológico primario, de actuación del control gubernamental.
3. Análisis, taxonomía y cohesión de modelos de Auditoría Continua
Teniendo en cuenta los diferentes modelos, tanto teóricos como aplicados de Auditoría
Continua, que se encuentran en la literatura académica y profesional, se requiere
establecer las diferencias y similitudes entre ellos y lograr a partir de allí, identificar sus
características más sobresalientes, buscando parámetros comunes que permitan
consolidar un modelo, que integre las diferentes perspectivas de forma coherente, dando
42
respuesta a la base teórica, que sustenta el concepto de Auditoría Continua. Para tal fin,
se evaluarán diferentes métodos de estudio de similitud entre modelos y estándares, a fin
de consolidar una taxonomía, que adecuadamente homogeneizada, permita construir
dicho modelo.
4. Propuesta de un modelo de Auditoría Continua, ajustado al contexto del
sector público Colombiano.
A partir del constructo teórico, del análisis crítico de los modelos y de las metodologías de
Auditoría Continua, además del contexto del Control Fiscal Colombiano, se presentará una
propuesta de modelo de Auditoría Continua, que se ajuste a la realidad del Control Fiscal
Colombiano.
Esta propuesta integrará los conceptos obtenidos, a partir del análisis crítico de las
diferentes teorías y conceptos relacionados, como soporte fundamental para dar respuesta
a una necesidad sentida de la Auditoria pública en Colombia.
5. Validación del modelo
Con el fin de validar la aplicabilidad del modelo, y a partir de una investigación descriptiva,
se llevará a cabo un diagnóstico de las diferentes variables del modelo en una contraloría
piloto, para confrontar no solo su aplicabilidad, sino determinar el estado actual de esta y
proponer un plan de acción que permita cerrar la brecha.
43
2. El Control Organizacional y su aplicación en
el sector público Colombiano.
En un mundo globalizado, en donde el cambio es una constante y las organizaciones
deben responder rápidamente a las demandas del mercado, para incrementar de manera
sostenible su productividad y competitividad, llevándolas indefectiblemente y de manera
permanente a cometer errores, a estar expuestas a fraudes, a infringir requerimientos
regulatorios, a incumplir sus metas y a generar ineficacias e ineficiencias que afectan sus
procesos, incrementando su nivel de riesgo; acarreando generación de pérdidas
financieras, de mercado, daño a la imagen, afección en la generación de sus productos y/o
servicios, llevando así, al incumplimiento de sus objetivos y poniendo en peligro su
permanencia en el mercado.
En respuesta a lo anterior, las organizaciones tanto públicas como privadas, se ven
obligadas a implementar sistemas de control efectivos, pero más aún, a contar con un
aseguramiento más oportuno y permanente, sobre la eficacia de estos sistemas de control
organizacional; este aseguramiento, lo brindan los procesos de Auditoría, los cuales son
componentes esenciales de los modelos de control.
Éste capítulo, base fundamental de actuación de Auditoría, se encuentra estructurado a
partir de dos grandes conceptos estrechamente relacionados: el Control y la Auditoría,
cada uno de ellos será abordado, desde la perspectiva del sector privado y público,
haciendo énfasis en este último, dada la naturaleza del presente proyecto.
2.1. Control Organizacional y Modelos a Nivel Internacional
Tradicionalmente, el control se ha visto desde una perspectiva administrativa, sin embargo,
como plantea Dorta (2005), en la literatura organizativa existen diversas líneas de
investigación, que versan sobre el control y toman como objeto de su análisis el individuo
44
(perspectiva psicológica), o los grupos que coexisten en la organización (perspectiva
sociológica), o las unidades organizativas (perspectiva administrativa).
Para efectos del presente proyecto, se ha tomado la perspectiva administrativa y los
principales modelos que soportan tal perspectiva.
Teniendo presente que, el marco sobre el cual actúa la Auditoría son los modelos de
Control Organizacional, estén estos implícitos o explícitos en las organizaciones, es
necesario iniciar con la caracterización de los modelos de control existentes a nivel
internacional, para entender la importancia de la Auditoría y en especial, el papel que juega
la Auditoría Continua en un entorno organizacional, en donde predomina el uso intensivo
de las Tecnologías de Información y Comunicaciones.
A nivel internacional existen una serie de modelos de control ampliamente difundidos y
utilizados, como marcos de referencia para el establecimiento de sistemas de control
interno, en las organizaciones tanto públicas como privadas. A continuación, se hace una
breve descripción de los principales modelos.
2.1.1. Modelo Americano COSO (Committee of Sponsoring
Organizations of the Treadway Commission).
Éste modelo, es una iniciativa conjunta de cinco entidades norteamericanas, del sector
privado en Estados Unidos: La Asociación Americana de Contadores, el Instituto
Americano de Contadores Públicos Certificados, la Organización Internacional de
Ejecutivos Financieros, la Asociación para Contadores y Profesionales de Negocios
Financieros y el Instituto de Auditores Internos (COSO, 2009).
El objetivo principal, es determinar los factores que causan reportes financieros
fraudulentos y realizar recomendaciones para reducir dichos factores.
El modelo está estructurado en cinco componentes interrelacionados: ambiente de control,
valoración de riesgos, actividades de control, monitoreo y comunicación e información,
como se puede apreciar en la figura 2.
45
Figura 2. Modelo COSO
Fuente: (Montilla G., Montes S., & Mejia S., 2007)
Es importante destacar las diferentes versiones que ha tenido el modelo COSO, el cual se
encuentra actualmente en la versión III.
2.1.2. Modelo Canadiense COCO (Criteria of Control Board).
Dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA), a través
de un consejo encargado de diseñar y emitir criterios o lineamientos generales sobre
control. El Consejo denominado The Criteria of Control Board, emitió el modelo
comúnmente conocido como COCO (Fernandez M., 2003).
Éste modelo ayuda a las organizaciones, a perfeccionar los procesos de toma de
decisiones, a través de una mejor comprensión del control, el riesgo y la dirección (Montilla
G. et al., 2007).
46
A diferencia del modelo COSO, éste modelo no se encuentra estructurado en componentes
apilados, sino en criterios generales, que las organizaciones pueden utilizar para
implementar sistemas de control.
2.1.3. Modelo Australiano ACC (Australian Control Criteria).
En Marzo de 1998, el Instituto de Auditores Internos de Australia, inicia el desarrollo de un
marco conceptual sobre el control interno, en el que se integran los conceptos
habitualmente utilizados por la auditoría interna, con los nuevos conceptos que se están
imponiendo en relación con el control. En este sentido, el ACC propone seis criterios que
hacen parte de un sistema de control (Dorta, 2005).
Estos seis criterios son los siguientes: a) Propósito y objetivo de un sistema de control
interno eficaz; b) Componentes de un sistema de control interno eficaz; c) Diseño de un
sistema de control interno eficaz; d) Establecimiento y mantenimiento de un sistema de
control interno eficaz; e) Responsabilidad, autoridad, rendición de cuentas y estilo directivo;
y f) Ejercer una cuidadosa diligencia.
2.2. El Control en el sector público Colombiano
En el sector público Colombiano, existen dos tipos de control: el Control interno y el Control
externo.
El Control Interno es ejercido por las áreas de Control Interno o de Auditoría Interna, de
cada una de las entidades que hacen parte del sector público colombiano y que, se
encuentra reglamentado por la Ley 87 de 1993 y la Ley 489 de 1998, que dispuso la
creación del Sistema Nacional de Control Interno, instrumentalizado en el año 2005,
mediante el decreto 1559; donde se adopta para todo el país, un modelo único de control,
denominado MECI – Modelo Estándar de Control Interno-, el cual es de obligatorio
cumplimiento para las entidades del sector público Colombiano y es a su vez, objeto de
auditoría por parte de las entidades que llevan a cabo el control externo.
47
El Control externo, es ejercido por las contralorías y es lo que se denomina el Control Fiscal
Colombiano, sin menoscabo de que en algunos sectores, como el de los servicios públicos
domiciliarios, se tengan otro tipo de controles externos, ejercidos por firmas privadas.
Teniendo presente que, la Auditoría Continua puede ser aplicable, tanto al control interno,
como al control externo y dado que son interdependientes; si se tiene en cuenta que, el
primero puede ser concebido como un control preventivo, frente a la función ejercida por
el Control Fiscal Colombiano, se hará una descripción de ambos tipos de control como
marcos de aplicación de la Auditoría Continua.
2.2.1. El Control Interno en el sector público Colombiano.
El Control Interno, como se conoce e implementa actualmente en las instituciones del
sector público colombiano, nació con la Constitución de 1991, a través del artículo 209 y
269, donde se establece la obligación de diseñar y aplicar, de acuerdo con la naturaleza
de la entidad pública, métodos y procedimientos de control interno.
Posteriormente, a través de la Ley 87 de 1993, se reglamenta el ejercicio del control interno
en todas las Instituciones públicas colombianas, donde se establece su definición, sus
objetivos, su caracterización, responsabilidades, la forma de ejercerla y su estructura; a
través de la creación de las oficinas de coordinación de control interno.
A partir de allí, se han generado una serie de reglamentaciones adicionales, que
propenden por un adecuado ejercicio del control interno, las cuales se resumen a
continuación:
Tabla 5. Principales normas que reglamentan el Control Interno en Colombia
NORMA DESCRIPCIÒN
Ley 489 de 1998 A través del capítulo VI, crea el Sistema Nacional de Control
Interno
Decreto 2145 de 1999 Reglamenta el Sistema Nacional de Control Interno
Decreto 2539 de 2000 Modifica parcialmente el Decreto 2145 de 1999.
Decreto 1537 de 2001 Reglamentación de la Ley 87 de 1993, en cuanto a elementos
técnicos y administrativos que fortalezcan el sistema de control
interno de las entidades y organismos del Estado.
48
Decreto 2756 de 2003 Modifica el artículo 20 del Decreto 2539 de 2000, en relación con
el nombramiento de los jefes de Control Interno.
Decreto 1599 de 2005 Por el cual se adopta el Modelo Estándar de Control Interno para
el Estado Colombiano –MECI-
Decreto 2621 de 2006 Establece los términos para la implementación del MECI hasta
por 20 meses, a partir del decreto.
Decreto 2913 de 2007 Modificar el Decreto 2621 de 2006, estableciendo el plazo
máximo para la implementación del MECI hasta el 8 de Diciembre
de 2008.
Decreto 4445 de 2008 Amplía el plazo dado por el Decreto 2913 de 2007 hasta el 30 de
Junio de 2009.
Decreto 3181 de 2009 Se concede plazo para la implementación del MECI en las
entidades que hacen parte de los Municipios de 3ª,4ª,5ª,6ª
categoría
Decreto 943 de 2014 Actualización del Modelo Estándar de Control Interno –MECI-
Elaboración propia a partir de la revisión
2.2.1.1. El Modelo Estándar de Control Interno – MECI-
El Modelo Estándar de Control Interno para el Estado Colombiano, tiene como propósito,
orientar a las entidades hacia el cumplimiento de sus objetivos y a la contribución de estos,
hacia los fines esenciales del Estado, proporcionando una estructura básica para evaluar
la estrategia, la gestión y los propios mecanismos de evaluación del proceso administrativo
(Departamento Administrativo de la Funciòn Pùblica, 2008).
Para ello, y hasta el pasado 21 de Mayo del 2014, las entidades públicas del país utilizaban
un modelo que fue actualizado mediante el decreto 943 de 2014, donde se realizan algunas
adecuaciones para su fortalecimiento.
No obstante lo anterior, y teniendo en cuenta que el modelo expuesto fue adoptado desde
2005, por la mayoría de las organizaciones públicas del país y que, sobre él se han
realizado las mediciones por parte del Departamento Administrativo de la Función Pública
y de la Procuraduría General de la Nación; la descripción y su nivel de avance en el país
se desarrollará sobre este modelo, el cual está compuesto por tres (3) subsistemas, nueve
(9) componentes y veintinueve (29) elementos.
49
A continuación, se realiza una breve descripción de la estructura, tomando como referencia
el manual de implementación, desarrollado por el Departamento Administrativo de la
Función Pública, cuyo fundamento está basado en el marco conceptual, elaborado por la
agencia de los Estados Unidos para la Cooperación Internacional (USAID) y su operador
en Colombia Casals & Asociados Inc.
Subsistema de Control Estratégico: este subsistema contiene aquellos elementos, que
orientan a la entidad hacia el cumplimiento de su visión, misión, objetivos, principios, metas
y políticas. Para ello contempla 11 elementos agrupados en tres componentes, que se
encuentran expuestos en la tabla siguiente:
COMPONENTE ELEMENTOS DESCRIPCIÒN
AMBIENTE DE
CONTROL
Acuerdos,
compromisos o
protocolos éticos
Define el estándar de conducta de la entidad pública.
Establece las declaraciones explícitas que, en
relación con las conductas de los servidores
públicos, son acordadas en forma participativa para
la consecución de los propósitos de la entidad,
manteniendo la coherencia de la gestión, con los
principios consagrados en la Constitución Política, la
ley y la finalidad social del Estado.
Desarrollo del
Talento Humano
Define el compromiso de la entidad pública con el
desarrollo de las competencias, habilidades,
aptitudes e idoneidad del servidor público.
Determina las políticas y prácticas de gestión
humana que la entidad debe aplicar y las cuales
deben incorporar, los principios de justicia, equidad
y transparencia; al realizar los procesos de
selección, inducción, formación, capacitación y
evaluación del desempeño de los servidores
públicos del Estado.
Estilo de Dirección Define la filosofía y el modo de administrar del
Gobernante o Gerente Público; estilo que se debe
distinguir por su competencia, integridad,
transparencia y responsabilidad pública. Constituye
la forma adoptada por el nivel directivo, para guiar u
orientar las acciones de la entidad hacia el
cumplimiento de su misión, en el contexto de los
fines sociales del Estado.
50
DIRECCIONAMIEN-
-TO ESTRATÈGICO
Planes y
Programas
Permite modelar la proyección de la entidad pública
a corto, mediano y largo plazo; e impulsar y guiar
sus actividades, hacia las metas y los resultados
previstos. Los planes y programas materializan las
estrategias de la organización establecidas, para dar
cumplimiento a su misión, visión y objetivos
institucionales esperados en un período de tiempo
determinado, asegurando adicionalmente, los
recursos necesarios para el logro de los fines de la
entidad.
Modelo de
Operación por
Procesos
Permite conformar el estándar organizacional que
soporta la operación de la entidad pública,
armonizando con enfoque sistémico la misión y
visión institucional, orientándola hacia una
organización por procesos, los cuales en su
interacción, interdependencia y relación causa-
efecto, garantizan una ejecución eficiente, así como,
el cumplimiento de los objetivos de la entidad
pública.
Estructura
Organizacional
Configura integral y articuladamente los cargos, las
funciones, las relaciones y los niveles de
responsabilidad y autoridad en la entidad pública,
permitiendo dirigir y ejecutar los procesos y
actividades, de conformidad con su misión y su
función constitucional y legal.
ADMINISTRACIÒN
DE RIESGOS
Contexto
Estratégico
Permite establecer el lineamiento estratégico que
orienta las decisiones de la entidad pública, frente a
los riesgos que pueden afectar el cumplimiento de
sus objetivos producto de la observación, distinción
y análisis del conjunto de circunstancias internas y
externas, que puedan generar eventos que originen
oportunidades o afecten el cumplimiento de su
función, misión y objetivos institucionales.
Identificación de
Riesgos
Elemento de Control, que posibilita conocer los
eventos potenciales, estén o no bajo el control de la
entidad pública, que ponen en riesgo el logro de su
misión, estableciendo los agentes generadores, las
causas y los efectos de su ocurrencia.
Análisis de Riesgos Permite establecer la probabilidad de ocurrencia de
los eventos positivos y/o negativos y el impacto de
sus consecuencias; calificándolos y evaluándolos, a
51
fin de determinar la capacidad de la entidad pública,
para su aceptación y manejo.
Valoración de
Riesgos
Elemento de Control, que determina el nivel o grado
de exposición de la entidad pública al impacto del
riesgo, permitiendo estimar las prioridades para su
tratamiento.
Políticas de
Administración de
Riesgos.
Elemento de Control, que permite estructurar
criterios orientadores en la toma de decisiones,
respecto al tratamiento de los riesgos y sus efectos,
al interior de la entidad pública.
Subsistema de Control de Gestión: contempla e interrelaciona los elementos que
permiten el desarrollo de una adecuada gestión, tales como: planes, programas, procesos,
procedimientos, indicadores, recursos, información y medios de comunicación. Al igual que
el subsistema anterior, contempla 11 elementos, agrupados en tres componentes
expuestos en la tabla a continuación:
COMPONENTE ELEMENTOS DESCRIPCIÒN
ACTIVIDADES DE
CONTROL
Políticas de
Operación
Establece las guías de acción para la
implementación de las estrategias de ejecución de
la entidad pública; define los límites y parámetros
necesarios, para ejecutar los procesos y actividades
en cumplimiento de la función, los planes, los
programas, proyectos y políticas de administración
del riesgo, previamente definido por la entidad.
Procedimientos Conformado por el conjunto de especificaciones,
relaciones y ordenamiento de las tareas requeridas
para cumplir con las actividades de un proceso,
controlando las acciones que requiere la operación
de la entidad pública. Establece los métodos para
realizar las tareas, la asignación de responsabilidad
y autoridad en la ejecución de las actividades.
Controles Conformado por el conjunto de acciones o
mecanismos definidos, para prevenir o reducir el
impacto de los eventos que ponen en riesgo la
adecuada ejecución de los procesos requeridos,
para el logro de los objetivos de la entidad pública.
Indicadores Conformado por el conjunto de mecanismos
necesarios para la evaluación de la gestión de toda
52
entidad pública. Se presentan como un conjunto de
variables cuantitativas y/o cualitativas sujetas a la
medición, que permiten observar la situación y las
tendencias de cambio generadas en la entidad, en
relación con el logro de los objetivos y metas
previstos.
Manual de
Procedimientos
Elemento de Control, materializado en una
normativa de autorregulación interna, que contiene
y regula la forma de llevar a cabo los procedimientos
de la entidad pública, convirtiéndose en una guía de
uso individual y colectivo, que permite el
conocimiento de la forma, como se ejecuta o
desarrolla su función administrativa; propiciando la
realización del trabajo, bajo un lenguaje común a
todos los servidores públicos.
INFORMACIÒN Información
Primaria
Conformado por el conjunto de datos de fuentes
externas provenientes de las instancias, con las
cuales la organización está en permanente contacto,
así como, de las variables que no están en relación
directa con la entidad, pero que afectan su
desempeño.
Información
Secundaria
Conformado por el conjunto de datos que se originan
y/o procesan al interior de la entidad pública,
provenientes del ejercicio de su función. Se obtienen
de los diferentes sistemas de información que
soportan la gestión de la entidad pública.
Sistemas de
Información
Conformado por el conjunto de recursos humanos y
tecnológicos utilizados para la generación de
información, orientada a soportar de manera más
eficiente la gestión de operaciones en la entidad
pública.
COMUNICACIÒN
PÙBLICA
Comunicación
Organizacional
Orienta la difusión de políticas y la información
generada al interior de la entidad pública, para una
clara identificación de los objetivos, las estrategias,
los planes, los programas, los proyectos y la gestión
de operaciones; hacia los cuales se enfoca el
accionar de la entidad.
Comunicación
Informativa
Elemento de Control, que garantiza la difusión de
información de la entidad pública sobre su
funcionamiento, gestión y resultados en forma
53
amplia y transparente, hacia los diferentes grupos
de interés.
Medios de
comunicación
Elemento de Control que se constituye por el
conjunto de procedimientos, métodos, recursos e
instrumentos utilizados por la entidad pública, para
garantizar la divulgación, circulación amplia y
focalizada de la información y de su sentido, hacia
los diferentes grupos de interés.
Subsistema de Control de Evaluación: Este subsistema contempla aquellos elementos
que están orientados a la verificación y evaluación de los resultados de la entidad, y está
compuesto de 7 elementos agrupados en tres componentes descritos así:
COMPONENTE ELEMENTOS DESCRIPCIÒN
AUTOEVALUACIÒN Autoevaluación del
Control
Elemento de Control, que basado en un conjunto de
mecanismos de verificación y evaluación, determina
la calidad y efectividad de los controles internos, a
nivel de los procesos y de cada área organizacional
responsable, permitiendo emprender las acciones
de mejoramiento del control requeridas.
Autoevaluación de
Gestión
Elemento de Control, que basado en un conjunto de
indicadores de gestión diseñados en los Planes y
Programas y en los Procesos de la Entidad Pública,
permite una visión clara e integral de su
comportamiento, la obtención de las metas y de los
resultados previstos e identificar las desviaciones
sobre las cuales, se deben tomar los correctivos que
garanticen mantener la orientación de la entidad
pública hacia el cumplimiento de sus objetivos
institucionales.
EVALUACIÒN
INDEPENDIENTE
Evaluación
Independiente al
Sistema de Control
Interno
Elemento de Control, cuyo objetivo es verificar la
existencia, nivel de desarrollo y el grado de
efectividad del Control Interno, en el cumplimiento
de los objetivos de la entidad pública.
Auditoría Interna Elemento de Control, que permite realizar un
examen sistemático, objetivo e independiente de los
procesos, actividades, operaciones y resultados de
una entidad pública. Así mismo, permite emitir
54
juicios basados en evidencias sobre los aspectos
más importantes de la gestión, los resultados
obtenidos y la satisfacción de los diferentes grupos
de interés.
PLANES DE
MEJORAMIENTO
Institucional Elemento de Control, que permite el mejoramiento
continuo y cumplimiento de los objetivos
institucionales de la entidad pública. Integra las
acciones de mejoramiento que a nivel de sus
procesos, debe operar la entidad para fortalecer
integralmente su desempeño institucional, cumplir
con su función, misión y objetivos en los términos
establecidos en la norma de creación y la ley,
teniendo en cuenta los compromisos adquiridos con
los organismos de control fiscal, de control político y
con las partes interesadas.
Por Procesos Elemento de Control, que contiene los planes
administrativos con las acciones de mejoramiento,
que a nivel de los procesos y de las áreas
responsables dentro de la organización pública,
deben adelantarse para fortalecer su desempeño y
funcionamiento, en procura de las metas y
resultados que garantizan el cumplimiento de los
objetivos de la entidad en su conjunto.
Individual Elemento de Control, que contiene las acciones de
mejoramiento que debe ejecutar cada uno de los
servidores públicos, para mejorar su desempeño y
el del área organizacional a la cual pertenece, en un
marco de tiempo y espacio definidos, para una
mayor productividad de las actividades y/o tareas
bajo su responsabilidad.
Nivel de avance del MECI
Tomando como referencia el Índice de Gobierno Abierto establecido por la Procuraduría
General de la Nación y construido a partir de la combinación de diferentes variables, entre
ellas, el nivel de avance del MECI, se puede establecer en una escala de 0 a 100% su
nivel promedio de avance a nivel territorial, a través de la medición de 1101 Municipios y
32 Departamentos.
55
Como se puede observar en la figura 3, y teniendo en cuenta la categorización planteada
por el Departamento Administrativo de la Función Pública (DAFP), el nivel de avance del
Modelo Estándar de Control Interno en el nivel territorial, para los tres años de medición,
se encuentra en un nivel medio (escala de avance 60-89%), lo que significa de acuerdo al
DAFP, que el modelo muestra un buen desarrollo, pero requiere mejoras en algunos de
sus elementos.
Figura 3. Nivel promedio de avance del MECI a nivel territorial
Fuente: (Procuraduria General de la Naciòn, 2013)
Es importante establecer la relación existente entre el Control Interno y el Control Fiscal
Colombiano; la cual está determinada por el artículo 8 literal a, del Decreto 2145 de 1999,
donde establece como función de la Contraloría General de la República y las contralorías
departamentales y municipales, la función de evaluadoras de la eficacia, eficiencia y
economía del Sistema de Control Interno ó Control Fiscal Interno, de acuerdo a su
jurisdicción.
2.2.2. El Control Fiscal Colombiano
El Control Fiscal es una función pública, cuyo objetivo es vigilar la destinación y el manejo
que se da a los bienes y fondos públicos y controlar los resultados obtenidos por la
67,10%
82,10%
56%
75,90%
64,60%
77,10%
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
Alcaldías Gobernaciones
2010 2011 2012
56
administración. La responsabilidad esta atribuida a la Contraloría General de la República,
las contralorías departamentales, las contralorías distritales y municipales y a la Auditoría
General de la República (Contraloría General de la República, 2007).
De acuerdo a lo establecido en el artículo 267 de la Constitución Política de Colombia, el
Control Fiscal se deberá ejercer de forma posterior y selectiva, y así se ha venido
ejerciendo, por las Contralorías del país desde 1991, reglamentado posteriormente a
través de la ley 42 de 1993, la cual determina la organización del control fiscal y los
organismos que la ejercen, en la ley 330 de 1996, donde se establecen las funciones y
competencias de las contralorías y la ley 610 del 2000, a través del cual se define el
proceso de responsabilidad fiscal, gestión fiscal y quienes son sujetos de responsabilidad
fiscal. Por último y más recientemente, la ley 1474 de 2011 incorpora el juicio oral y otros
mecanismos para modernizar el Control Fiscal en el país.
Para dar cumplimiento a este mandato constitucional y legal, existe un conjunto de
entidades que ejercen el Control Fiscal en Colombia, conformando lo que se ha
denominado el Sistema Nacional de Control Fiscal (SINACOF) (Contraloría General de la
República, 2013b), estructurada institucionalmente por una Contraloría Nacional, 63
Contralorías Territoriales y la Auditoría General de la Nación.
2.2.2.1. Normograma del Control Fiscal en Colombia
A continuación, se presentan en orden cronológico, un resumen de las normas más
representativas del Control Fiscal Colombiano, desde la Constitución de 1991.
Tabla 6. Normograma del Control Fiscal Colombiano (Normas más representativas)
Año Norma Descripción
1991 Constitución Nacional
Artículos 267 a 274 Atribuciones de la Contraloría. Art. 13,52,15, 20, 27, 74 y 112, 23, 78, 79, 95, 103, 270, 273 y 369.
1993 Ley 42 de 1993 Sobre la organización del sistema de Control Fiscal Financiero y los organismos que lo ejercen.
1993 Ley 80 de 1993 Ley de Contratación Pública.
1994 Ley 134 de 1994 Por la cual se dictan normas mecanismos de participación ciudadana.
1996 Ley 330 de 1996 Funciones y competencias de las Contralorías.
57
2000 Ley 610 de 2000 Por la cual se establece el trámite de los procesos de responsabilidad fiscal de competencia de las contralorías.
2003 Ley 819 de 2003 Por medio de la cual se dictan normas en materia de presupuesto, responsabilidad y transparencia fiscal y se dictan otras disposiciones.
2003 Ley 850 de 2003 Por medio de la cual se reglamentan las veedurías ciudadanas.
2007 Ley 1150 de 2007 Por medio de la cual se introducen medidas para la eficiencia y la transparencia en la Ley 80 de 1993 y se dictan otras disposiciones generales sobre la contratación con Recursos Públicos.
2008 Resolución Orgánica de la Auditoría General de la República AGR 06 de 2008
Por medio de la cual se determinan los aspectos generales de la rendición de la cuenta electrónica por parte de las Contralorías y su revisión por la Auditoría General de la República.
2010 Ley 1416 de 2010 Por medio de la cual se fortalece al ejercicio del control fiscal.
2011 Ley 1483 de 2011 Por medio de la cual se dictan normas orgánicas en materia de presupuesto, responsabilidad y transparencia fiscal para las entidades territoriales.
2011 Ley 1474 de 2011 Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.
2011 Ley 1437 de 2011 Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.
2012 Decreto 2767 de 2012
Por el cual se reglamenta parcialmente la Ley 1483 de 2011.
2012 Decreto 2641 de 2012
Por el cual se reglamentan los artículos 73 y 76 de la Ley 1474 de 2011.
2012 Decreto 019 de 2012
Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración Pública.
2012 Decreto 734 de 2012
Por el cual se reglamenta el Estatuto General de Contratación de la Administración Pública y se dictan otras disposiciones.
2013 Decreto 1510 de 2013
Por el cual se reglamenta el sistema de compras y contratación pública.
58
Fuente: Elaboración propia.
2.2.2.2. Marco Institucional del Control Fiscal Colombiano
- El Control Fiscal en el Ámbito Internacional
Desde el punto de vista institucional, a nivel internacional existe una serie de organismos,
que agrupan a las entidades fiscalizadoras de los diferentes países encabezadas por
INTOSAI (Internacional Organization of Supreme Audit Institutions), que es una
organización no gubernamental con un estatus especial en el Consejo Económico y Social
de las Naciones Unidas y que agrupa a las organizaciones fiscalizadoras del sector público
de los diferentes países asociados. Ésta organización fue fundada en 1953 y cuenta
actualmente con 190 países miembros.
INTOSAI cuenta (a través de la integración de los países de las diferentes regiones del
mundo) con 7 grupos de trabajo regional:
- EUROSAI: Agrupa los países de Europa (www.eurosai.org )
- OLACEFS: Agrupa los países de América Latina (www.olacefs.com )
- AFROSAI: Agrupa los países de África (afrosai-e.org.za )
- ARABOSAI: Agrupa los países de Arabia Saudita (www.arabosai.org )
- ASOSAI: Agrupa los países de Asia (www.asosai.org)
- CAROSAI: Agrupa los países del Caribe (www.carosai.org )
- PASAI: Agrupa los países del Pacífico (www.pasai.org )
Colombia hace parte actualmente, de la Organización Latinoamericana y del Caribe de
Entidades Fiscales Superiores (OLACEFS).
INTOSAI promulga normas internacionales para las entidades fiscalizadoras superiores,
denominadas ISSAI (International Standards of Supreme Audit Institutions).
- Institucionalidad del Control Fiscal Colombiano
59
De acuerdo con cifras del Sistema de Rendición de cuentas en línea (SIREL), divulgadas
en Diciembre de 2012 por el Ministerio de Tecnologías de Información y Comunicaciones,
durante el Seminario de Control en Línea llevado a cabo en la ciudad de Cali, las 64
contralorías del país vigilan al año 2011, los procesos de 6896 entidades sujetas de control
en el país, de las cuales el 92,02% corresponden a las contralorías territoriales. Para
cumplir con esta labor, las instituciones que hacen parte del Control Fiscal Colombiano, se
dividen en:
- Contraloría General de la República (1 central y 31 gerencias departamentales)
- Contralorías Distritales (5)
- Contralorías Departamentales (32)
- Contralorías Municipales (26)
- Auditoría General de la República (1 central y 10 gerencias seccionales)
Contraloría General de la República: La Contraloría General de la República es el
máximo órgano de Control Fiscal del Estado, cuya responsabilidad de acuerdo a lo
establecido en el artículo 267 de la Constitución Política de Colombia, es vigilar la gestión
fiscal de la administración y de los particulares o entidades que manejen fondos o bienes
de la nación. Para cumplir con sus funciones, cuenta con 31 gerencias departamentales,
distribuidas en los diferentes departamentos del país, excepto Cundinamarca, dado que la
oficina central se encuentra en la capital del país.
Contralorías Departamentales: Corresponde a las contralorías departamentales ejercer
la función de control fiscal, dentro de su respectiva jurisdicción reglamentada mediante la
Ley 330 de 1996, donde se establece su competencia, naturaleza, forma de elección del
contralor y vigilancia de su función.
El contralor departamental es elegido por la asamblea departamental de terna, presentada
por el Tribunal Superior del distrito judicial (2 candidatos) y el correspondiente tribunal de
lo contencioso administrativo (1 candidato).
En el país existen 32 contralorías departamentales, una por cada departamento, como se
puede observar en el anexo 1.
60
Contralorías Distritales: Las competencias de las contralorías distritales se encuentran
establecidas en la Ley 136 de 1994, en lo que tiene que ver con su jurisdicción de distrito
especial.
Contralorías Municipales: Al igual que las contralorías distritales, las competencias de
las Contralorías Municipales fueron establecidas en la Ley 136 de 1994.
La Auditoría General de la República
La Auditoría General de la República es un organismo, al que le corresponde ejercer la
vigilancia de la gestión fiscal de la Contraloría General de la República, de las contralorías
departamentales, distritales y municipales.
El artículo 274 de la Constitución Política de Colombia, estableció la figura de Auditor
General de la Nación, elegido por el Consejo de Estado, de terna suministrada por la Corte
Suprema de Justicia.
Para cumplir con su función, cuenta con una oficina central y diez (10) gerencias
seccionales distribuidas en todo el país, con cobertura de vigilancia de las contralorías que
hacen parte de su jurisdicción, como se puede observar en la siguiente tabla.
Tabla 7. Gerencias Seccionales de la Auditoría General de la República
NRO SECCIONAL
GERENCIA SECCIONAL
CONTRALORÌAS A CARGO
DEPARTAMENTALES DISTRITALES Y MUNICIPALES
I Medellín Antioquia Choco
Medellín Envigado Itagüí Bello.
II Bogotá Cundinamarca Distrital de Bogotá Soacha
III Cali Valle Cauca
Distrital de Buenaventura Cali Yumbo Palmira Popayán Tuluá
IV Bucaramanga Santander San Andrés Cesar Boyacá
Bucaramanga Barrancabermeja Floridablanca Valledupar Tunja
61
V Barranquilla Atlántico Bolívar La Guajira
Distrital de Barranquilla Distrital de Cartagena Soledad
VI Neiva Huila Tolima Caquetá Nariño Putumayo
Ibagué Neiva Pasto
VII Armenia Caldas Quindío Risaralda
Armenia Manizales Pereira Dosquebradas
VIII Cúcuta Arauca Norte de Santander Casanare
Cúcuta
IX Villavicencio Meta Guaviare Guainía Vichada Vaupés Amazonas
Villavicencio
X Montería Córdoba Magdalena Sucre
Distrital de Santa Martha Montería
Fuente: Elaboración propia
2.2.2.3. Modelo de Procesos del Control Fiscal Colombiano
Los procesos del Control Fiscal Colombiano, se encuentran consignados en la Ley 42 de
1993, en donde se plantean los aspectos misionales del control fiscal, clasificados en
cuatro grandes categorías a saber: (i) Control Fiscal Micro, (ii) Control Fiscal Macro, (iii)
Responsabilidad Fiscal y Jurisdicción Coactiva y (iv) Participación Ciudadana (Restrepo
Medina et al., 2008).
Tal como lo establece el artículo 267 de la Constitución Nacional y reglamentado por la
Ley 42 de 1993, el Control Fiscal será ejercido de forma posterior y selectiva,
entendiéndose por control posterior, como lo establece el artículo 5 de esta ley, la vigilancia
de las actividades, operaciones y procesos ejecutados por los sujetos de control y de los
resultados obtenidos por los mismos; y por control selectivo, la elección mediante un
procedimiento técnico tomado de una muestra representativa de recursos, cuentas,
operaciones o actividades; para obtener conclusiones sobre el universo respectivo en el
desarrollo del control fiscal.
62
Para llevar a cabo el control fiscal, las contralorías podrán aplicar sistemas de control
como: el financiero, de legalidad, de gestión, de resultados, la revisión de cuentas y la
evaluación del control interno (Artículo 9 Ley 42 de 1993).
Control Financiero: Es el examen que se realiza, con base en las normas de auditoría de
aceptación general, para establecer si los estados financieros de una entidad reflejan
razonablemente, el resultado de sus operaciones y los cambios en su situación financiera,
comprobando que en la elaboración de los mismos y en las transacciones y operaciones
que los originaron, se observaron y cumplieron, las normas prescritas por las autoridades
competentes y los principios de contabilidad universalmente aceptados y prescritos por el
Contador General de la Nación.
Control de Legalidad: Es la comprobación que se hace de las operaciones financieras,
administrativas, económicas y de otra índole de una entidad, para establecer que se hayan
realizado conforme a las normas que le son aplicables.
Control de Gestión: Es el examen de la eficiencia y eficacia de las entidades en la
administración de los recursos públicos, determinada mediante la evaluación de sus
procesos administrativos, la utilización de indicadores de rentabilidad pública y desempeño
y la identificación de la distribución del excedente que estas producen, así como de los
beneficiarios de su actividad.
Control de Resultados: Es el examen que se realiza, para establecer en qué medida los
sujetos de control logran sus objetivos y cumplen los planes, programas y proyectos
adoptados por la administración en un periodo determinado.
Revisión de Cuentas: Es el estudio especializado de los documentos que soportan legal,
técnica, financiera y contablemente, las operaciones realizadas por los responsables del
erario durante un periodo determinado, con miras a establecer la economía, la eficacia,
eficiencia y la equidad de sus actuaciones.
Evaluación del Control Interno: Es el análisis de los sistemas de control de las entidades
sujetas a la vigilancia, con el fin de determinar la calidad de los mismos, el nivel de
63
confianza que se les pueda otorgar y si son eficaces y eficientes en el cumplimiento de sus
objetivos.
Con base en lo anterior, y teniendo en cuenta la propuesta de modelo de macro procesos
del Control Fiscal Colombiano, propuesto dentro del marco del proyecto de Control Fiscal
en línea, que adelanta actualmente la Auditoría General de la República y el Ministerio de
Tecnologías de Información y Comunicaciones, el modelo de macro procesos del Control
Fiscal Colombiano, plantea como eje central y articulador de los demás procesos EL
PROCESO AUDITOR, como se puede observar en la Figura 4.
Figura 4. Macro procesos del Control Fiscal Colombiano.
Fuente: Tomado de (Ministerio de Tecnologias de la Informaciòn y las Comunicaciones,
Auditoría General de la República, Consorcio S&M, & UT Software Works, 2012a)
64
2.3. La Auditoría, como Instrumento de evaluación del
Control Organizacional.
La Auditoría es el principal instrumento utilizado, tanto en el sector público como privado,
para evaluar los sistemas de control existentes en las organizaciones, de su adecuada y
pertinente aplicación depende el nivel de efectividad del modelo de control.
Tradicionalmente, la auditoría ha estado asociada a aspectos financieros, sin embargo, el
entorno actual de las organizaciones ha llevado a que se amplíe su campo de acción y por
consiguiente, los perfiles profesionales que la ejercen.
En el campo empresarial, la función de auditoría es ejercida tradicionalmente por las áreas
de auditoría interna, como una función organizacional asociada al control; considerada
como “el control de controles”. En el caso del sector público, esta es ejercida para el caso
Colombiano, por las oficinas de control interno.
De acuerdo con el Instituto de Auditores Internos (IIA), la Auditoría Interna es una actividad
independiente y objetiva, de aseguramiento y consulta, concebida para agregar valor y
mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus
objetivos, aportando un enfoque sistemático y disciplinado, para evaluar y mejorar la
eficacia de los procesos de gestión de riesgos, control y gobierno (IIA, 2011).
La Asociación de Auditoría y Control de Sistemas de Información (ISACA), define la
auditoría como un proceso sistemático, por medio del cual una persona competente e
independiente obtiene y evalúa objetivamente, la evidencia respecto de afirmaciones
acerca de una entidad o un evento económico, con el fin de formarse una opinión sobre el
particular e informar sobre el grado de cumplimiento de una afirmación, frente a un conjunto
determinado de estándares.(ISACA, 2012)
De forma similar, la Organización Internacional de Estandarización (ISO) a través de la
ISO 19011 del 2002, establece: La auditoría es un proceso sistemático, independiente y
documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con
el fin de determinar la extensión en que se cumplen los criterios de auditoría.(ISO, 2002)
65
2.3.1. Breve reseña histórica de la auditoría.
Los orígenes de la auditoría son remotos, el hombre no solo tuvo la necesidad de registrar
sus actividades, sino también de controlarlas (Norka, 2004). La palabra Auditoría asociada
tradicionalmente a la contabilidad, viene del latín auditorius, que significa “escuchar”. En
la edad media, en Gran Bretaña, las cuentas de los ingresos (recaudación de impuestos)
y gastos de fincas y haciendas fueron “oídas” por un auditor, cuya tarea era examinar
dichas cuentas.(Rodda & Cosserat, 2009)
Al Reino Unido se le atribuye el origen de la auditoría, entendida en los términos actuales,
aunque ya en tiempos remotos se practicaban sistemas de control, para comprobar la
honestidad de las personas y evitar fraudes. Pero fue en Gran Bretaña, debido a la
Revolución Industrial y a las quiebras que sufrieron pequeños ahorradores, donde se
desarrolló la auditoría para conseguir la confianza de inversores y de terceros interesados
en la información económica (Mendez, 2011). Fue allí, donde oficialmente surge la
profesión de auditor, reafirmándose con la Ley Británica de Sociedades Anónimas en 1862,
donde se establece la necesidad de efectuar una revisión independiente de las cuentas de
pequeñas y grandes empresas. (Norka, 2004;Jiménez Caraballo, 2011)
De acuerdo con Montilla G. & Herrera Marchena (2006), antes de 1900, la auditoría se
desarrolló de manera intensiva en Europa, principalmente en Inglaterra, Francia e Italia,
siendo durante la edad media donde se crearon las primeras asociaciones profesionales
de auditores. A partir de 1900, se desarrolló la auditoría en los Estados Unidos, donde ha
se han generado avances significativos, hasta nuestra época.
Un factor importante para destacar dentro de la evolución de la auditoría, es que al haber
surgido asociada a la contabilidad, se genera confusión en torno a que la auditoría solo es
contable y financiera. De allí la pertinencia de reiterar, que actualmente la auditoría abarca
diversos campos de estudio, además de ser uno de los principales componentes del
gobierno corporativo.
66
2.3.2. Entidades que impulsan la auditoría a nivel internacional, en el
ámbito público y privado.
A nivel internacional existen diferentes organismos relacionados con el campo de la
auditoría, tanto a nivel general, como especializado, los cuales agrupan profesionales de
todo el mundo y promulgan constantemente estándares, normas y regulaciones en torno
a la auditoría, que son adoptados como mejores prácticas y en algunos casos, como
normas en los diferentes países del mundo. Es por ello que a continuación se describirán
de forma genérica, algunas de estas organizaciones, teniendo presente que a lo largo del
texto serán referenciadas diferentes normas y estándares promulgados por estas
organizaciones.
Estas organizaciones se encuentran tanto en el sector público, como en el sector privado.
The American Institute of CPA’s –AICPA- (www.aicpa.org ) : El Instituto Americano de
Contadores Públicos Certificados, es una organización de EE.UU, que agrupa a los
contadores públicos de cerca de 128 países, y cuenta actualmente con 377.000 miembros
aproximadamente. Fue fundada en 1887 como la Asociación Americana de Contadores
Públicos.
El AICPA promulga normas éticas para la profesión y estándares de auditoría, que rigen
para las entidades privadas, organizaciones sin ánimo de lucro y los gobiernos de tipo
federal, estatal y local de los EE.UU.
Esta entidad emite declaraciones de estándares de auditoría (Statement on Audit Standard
– SAS-).
The Canadian Institute of Chartered Accountants – CICA- (www.cica.ca) : El Instituto
Canadiense de Contadores Certificados, es una entidad que agrupa a los contadores
públicos en Canadá; es responsable de desarrollar los principios de contabilidad en
Canadá y publica diferentes recursos relacionados con contabilidad y auditoría, para los
contadores y auditores de ese país. Además, es la entidad que ha auspiciado uno de los
modelos de Control Interno más difundidos a nivel internacional, como es el modelo
“Criteria of Control Committee” (CoCo)
International Federation of Accountants –IFAC- (www.ifac.org) : La Federación
Internacional de Contadores, es una organización que agrupa a los profesionales de
67
contaduría de cerca de 127 países, y su función es desarrollar estándares de auditoría y
aseguramiento para los contadores públicos.
Ésta entidad es la encargada de emitir estándares internacionales de Auditoría
(International Standard on Auditing- ISA’s), a través del IASSB (International Auditing and
Assurance Standards Board)
The Institute of Internal Auditors – IIA – (www.theiia.org) : es una asociación de
profesionales fundada en 1941, líder en el campo de la auditoría, con cerca de 170.000
miembros en aproximadamente 250 capítulos alrededor del mundo.
Ésta asociación es la que emite estándares de auditoría y también, es la entidad
responsable de las certificaciones CIA (Certified Internal Auditor), CCSA (Certification in
Control Self-Assessment), CFSA (Certified Financial Services Auditor) y CGAP (Certified
Government Auditing Professional) y la recién creada CRMA (Certification in Risk
Management Assurance).
Information Systems Audit and Control Association – ISACA- (www.isaca.org) : La
Asociación de Auditoría y Control de Sistemas de Información, es una organización
especializada, fundada en 1967, y agrupa aproximadamente 95.000 miembros en cerca
de 160 países.
Es la asociación que emite los estándares y directrices de auditoría de sistemas, aceptadas
mundialmente en la industria. Es además, la entidad responsable de las certificaciones
CISA (Certified Information Systems Auditor), CISM (Certified Information Security
Manager), CGEIT (Certified in the Governance of Enterprise IT) y CRISC (Certified in Risk
and Information Systems Control).
Federación Latinoamericana de Auditoría Interna –FLAI- (www.laflai.com) : Es una
organización sin ánimo de lucro, creada en 1995, que agrupa a los auditores internos de
América Latina, a través de la mayoría de los capítulos del IIA.
Anualmente organiza el Congreso Latinoamericano de Auditoría Interna (CLAI) en
diferentes países de Latino América.
Committee of Sponsoring Organizations of the Treadway Commission – COSO –
(www.coso.org) : Es el organismo responsable del modelo COSO, reconocido a nivel
68
mundial por proporcionar orientación, sobre los aspectos críticos del gobierno de la
organización, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude
y la presentación de informes financieros.
Public Company Accounting Oversight Board – PCAOB- (www.pcaobus.org ): Es una
corporación sin fines de lucro, establecida por el Congreso de los EE.UU.; para supervisar
las auditorías de las empresas públicas, con el fin de proteger a los inversores y al interés
público mediante la promoción de los informes de auditoría. El PCAOB también supervisa
las auditorías de los informes de cumplimiento de bolsa.
Las Grandes Firmas de Auditoría: Un capítulo aparte es necesario para las grandes
firmas de auditoría a nivel internacional, tradicionalmente llamadas las Big4 en el ámbito
académico y profesional; quienes realizan valiosos aportes conceptuales y metodológicos
en los diferentes aspectos de la auditoría, además de investigaciones que ponen de
manifiesto, el estado actual y las tendencias de auditoría en las organizaciones. Éstas 4
firmas son: Deloitte & Touche LLP, PricewaterhouseCoopers, Ernst & Young y KPMG.
2.3.3. Clasificación de la auditoría
El concepto y el proceso de Auditoría es uno solo, pero existen múltiples clasificaciones de
auditoría; para este caso, se tomará la clasificación planteada por (Castello, 2006), quien
clasifica la auditoría de acuerdo al campo de actuación y según la relación de dependencia
del auditor.
Según el campo de actuación, las auditorías se pueden clasificar de acuerdo al ámbito
donde se aplique; teniendo así: Auditorías financieras, administrativas, médicas,
informáticas, operacionales, de calidad y de seguridad, entre otras.
Según la relación de dependencia del auditor, las auditorías se pueden clasificar en
Auditoría Interna y Auditoría Externa, la primera ejercida por personal de la organización y
la segunda por personal externo a la organización.
2.3.4. Metodología de auditoría
De forma general, y de acuerdo a las normas internacionales para el ejercicio profesional
de la auditoría interna, existen cuatro (4) grandes fases de la auditoría, cada una de ellas
69
con procesos, procedimientos, actividades y técnicas propias del quehacer auditor. Estas
fases son: Planeación, Ejecución, Informes y Seguimiento.
Planeación: En esta fase se establece la forma como se va a abordar la función de
auditoría en la organización, para lo cual se diseñan planes a largo plazo, a corto plazo y
los que son propios de la auditoría individual. Como producto de ello, se genera la
planeación estratégica de auditoría, el plan anual de auditoría, el plan detallado de
auditoría y el programa de auditoría.
Ejecución: Es la fase en la cual, se recolecta la evidencia de auditoría como soporte de
los hallazgos, tomando como referencia la planeación detallada y el programa de auditoría
planteado en la fase anterior.
Informe: Es la fase a través de la cual se comunican los resultados de la auditoría,
tradicionalmente, mediante un informe detallado y un informe ejecutivo, en donde, a partir
de la evidencia recolectada en la fase anterior, se redactan los hallazgos y las
recomendaciones, tomando como referencia los criterios de auditoría.
Seguimiento: Fase en la que se realiza una revisión a los compromisos de mejora
adquiridos por la administración, de acuerdo a los resultados de la auditoría. Esta fase
permite completar el ciclo de la auditoría y garantizar de cierta forma, la efectividad de la
misma.
Existen algunas organizaciones que establecen las mismas fases, pero con categorías
diferentes, o con mayor nivel de detalle, aunque en esencia las cuatro (4) fases son
equivalentes, tal es el caso de la ISO 19011: 2011, que contempla las fases de
Preparación, Ejecución, Informe y Seguimiento.
Para el caso, en el cual se plantea un mayor nivel de detalle de las diferentes etapas de la
Auditoría, en la siguiente tabla se pueden observar las fases que plantea ISACA para
llevar a cabo una auditoría individual.
Tabla 8. Fases de la Auditoría de acuerdo a ISACA.
Fases de la auditoría Descripción
Sujeto de la auditoría Identificar el área que será auditada.
70
Objetivo de la auditoría Identificar el propósito de la auditoría. Por ejemplo, un
objetivo podría ser, determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.
Alcance de la auditoría Identificar los sistemas, funciones o unidades específicas
de la organización que serán incluidos en la revisión; por
ejemplo, en el ejemplo anterior el enunciado de alcance
podría limitar la revisión a sólo un sistema de aplicación o a
un período limitado.
Planificación de pre-
auditoría
Identificar habilidades y recursos técnicos necesarios.
Identificar las fuentes de información para la prueba o
examen, como diagramas de flujo funcionales, políticas,
normas, procedimientos y papeles de trabajo anteriores
a la auditoría.
Identificar las localidades o instalaciones que serán
auditadas.
Procedimientos de
auditoría y pasos para
recolección de datos
Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
Identificar una lista de individuos que serán
entrevistados.
Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.
Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.
Procedimientos para
evaluar los resultados de
la prueba o de la revisión
Específico de la organización.
Procedimientos para las
comunicaciones con la
gerencia
Específico de la organización.
Preparación del reporte
de auditoría
Identificar los procedimientos de seguimiento de la
revisión.
71
Identificar los procedimientos para evaluar/probar la
eficiencia y efectividad operacional.
Identificar los procedimientos para probar los controles.
Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.
Fuente: (ISACA, 2012,p.55)
2.3.5. Normas Internacionales de Auditoría
La emisión de normas de auditoría ha estado tradicionalmente impulsada por las bolsas
de valores, en especial las de Estados Unidos e Inglaterra, quienes han sido pioneros en
su expedición.
Sin embargo han sido las normas de auditoría de los Estados Unidos, emitidas por el
AICPA (El Instituto Americano de Contadores Públicos Certificados) quienes han tenido
mayor influencia en los diferentes países del mundo. Estas normas denominadas SAS
(Statements on Auditing Standards) están orientadas fundamentalmente al sector privado,
aunque pueden ser aplicadas al sector público; a pesar de ello, en 1972 la oficina del
Contralor de los Estados Unidos de América, ante las diferencias que se presentaban en
las actividades desarrolladas por el gobierno, emitió las normas de auditoría
gubernamental –GAGAS (Government Auditing Standards)- de uso obligatorio por los
auditores del gobierno Americano.
En 1992, la organización que agrupa a las entidades fiscalizadoras superiores de los
diferentes países, agrupados en INTOSAI (Organización Internacional de Instituciones
Superiores de Auditoría), emitió a través de su comisión de normas de auditoría, las
normas de auditoría para las organizaciones fiscalizadoras superiores, las cuales han sido
adoptadas por la mayoría de las organizaciones adscritas a INTOSAI, entre ellas,
Colombia.
A partir de las SAS de Estados Unidos, se emitieron las normas internacionales de
auditoría (ISA – International Standard on Auditing), establecidas por el comité
internacional de prácticas de Auditoría (IAPC - International Auditing Practices
Committee), el cual es un comité permanente de la Federación Internacional de
Contadores Públicos (IFAC – International Federation of Accountants)
72
En el 2004, el Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB),
comenzó el proyecto claridad (clarity en inglés), con el fin de mejorar la calidad de las
estándares internacionales de auditoría, (ISA – International Standard on Auditing) y los
estándares internacionales de control de calidad, que fueron concluidos en el año 2009,
con la expedición de 36 estándares de auditoría y control de calidad a nivel internacional
(IAASB, 2012), conformados por:
- Un nuevo estándar sobre comunicación de deficiencias de control interno
- 16 estándares con requerimientos nuevos y revisados
- 19 estándares reescritos bajo el nuevo estilo del proyecto claridad
Los estándares internacionales de auditoría, se encuentran estructurados en cinco (5)
secciones: Introducción, objetivo, definiciones, requerimientos y aplicaciones, y otro
material explicativo.
Normas del Instituto de Auditores Internos (IIA)
Las normas internacionales para el ejercicio de la auditoría interna promulgadas por el
Instituto de Auditores internos (IIA), son requisitos de cumplimiento obligatorio por parte de
los auditores, para el ejercicio de sus responsabilidades. Estas normas son requisitos
orientados por principios que tienen como objetivos, de acuerdo a lo establecido por el IIA,
los siguientes:
1. Definir principios básicos que representen el ejercicio de la auditoría interna, tal y
como este debería ser.
2. Proporcionar un marco para ejercer y promover un amplio rango de actividades de
auditoría interna de valor añadido.
3. Establecer las bases para evaluar el desempeño de la auditoría interna.
4. Fomentar la mejora de los procesos y operaciones de la organización.
Las normas de auditoría, están estructuradas en tres tipos a saber: Normas sobre atributos,
normas sobre desempeño y normas de implantación. Las primeras están orientadas a las
características de las organizaciones y a las personas que prestan servicios de auditoría
interna. Las normas sobre desempeño, establecen la naturaleza de los servicios de
73
auditoría interna y proporcionan criterios de calidad, con los cuales pueden evaluarse el
desempeño de estos servicios; y las normas de implantación, se encargan de ampliar las
normas sobre atributos y sobre desempeño, proporcionando los requisitos aplicables a las
actividades de aseguramiento (A) y consultoría (C)
2.4. La auditoría en el sector público Colombiano
El control gubernamental Colombiano cuenta actualmente con tres guías de auditoría, las
dos primeras construidas para el Control Fiscal, y la tercera para el Control Fiscal Interno
ò Control Interno.
2.4.1. Guías de auditoría para el Control Fiscal
El Control Fiscal Colombiano, cuenta con dos guías de auditoría, la primera construida
para llevar a cabo las auditorías de la Contraloría General de la República; y la segunda,
con el fin de llevarlas a cabo por parte de las contralorías territoriales.
2.4.1.1. Guía de auditoría de la Contraloría General de la República ajustada en el
contexto SICA
A raíz de las nuevas incorporaciones tecnológicas en la Contraloría General de la
República, y en especial por la implementación del Sistema de Información de Control de
Auditorías (SICA), se ha establecido en el país, una guía de auditoría gubernamental,
adoptada mediante resolución 6368 del 22 de agosto de 2011, la cual fue recientemente
ajustada en el mes de Febrero del 2015, con algunos ajustes menores.
74
Figura 5. Estructura General de Auditoría. Contraloría General de la República
Fuente: Tomado de (Contraloría General de la República, 2013a)
En general, las fases desarrolladas por la Contraloría General de la República, como se
puede observar en la figura 5, son cuatro:
Plan General de Auditoría: Consiste en la identificación de los entes objeto de control
fiscal, tales como las políticas públicas, planes, programas, proyectos, procesos o temas
de interés; que deben ser auditados durante una vigencia, atendiendo a criterios técnicos,
utilizando para ello herramientas como la matriz de importancia relativa, la matriz de control
y la matriz de riesgos.
Planeación de la Auditoría: Tiene como objetivo definir el alcance y la estrategia de
auditoría, a partir del conocimiento del auditado y de la evaluación de los controles, que el
ente objeto de control fiscal tiene establecidos, para mitigar los riesgos identificados por la
Contraloría General de República.
Ejecución de la Auditoría: Es la fase de la auditoría donde se practican las pruebas,
utilizando las diferentes técnicas y procedimientos, para encontrar las evidencias de
auditoría que sustentarán el informe.
75
Informe de Auditoría: A partir de esta fase, se estructura un documento con los resultados
del proceso auditor, que se comunica a los auditados y destinatarios correspondientes.
2.4.1.2. Guía de auditoría para las contralorías territoriales (GAT)
Esta guía de auditoría, construida por y para las contralorías territoriales, es liderada por
la Contraloría General de la República, en respuesta a lo establecido en el numeral 12 del
artículo 268 de la Constitución Política de Colombia, y que está relacionada con las normas
que se deben dictar para armonizar los sistemas de Control Fiscal, de todas las entidades
públicas del orden nacional y territorial, consta de tres (3) fases: planeación, ejecución e
informe de auditoría; posteriores a la planeación estratégica del proceso auditor, las cuales
serán explicadas a continuación, a partir de (Sistema Nacional de Control Fiscal, 2012).
Fase de Planeación: Tiene como objetivo, definir el alcance y la estrategia de auditoría, a
partir del conocimiento del equipo auditor sobre la entidad o asunto que se auditará.
Fase de Ejecución: A través de esta fase, se ejecutan las pruebas de auditoría utilizando
técnicas y procedimientos, para encontrar las evidencias de auditoría que sustentarán el
informe, siguiendo las directrices del plan de trabajo y los programas de auditoría.
Fase de Informe: Ésta fase determina los parámetros y directrices requeridos para
estructurar un documento, con los resultados del proceso auditor, que se comunica a los
destinatarios correspondientes.
2.4.1.3. Guía de auditoría para el control interno
La ley 87 de 1993 establece un sistema de Control Interno, conformado por el esquema
de organización; el conjunto de planes, métodos, principios, normas, procedimientos y los
mecanismos de verificación y evaluación; este último aspecto se materializa en la auditoría
interna (Departamento Administrativo de la Función Pública & Instituto de Auditores
Internos de Colombia, 2013).
En el año 2013, el Departamento Administrativo de la Función Pública, en asocio con el
Instituto de Auditores Internos de Colombia, desarrolló la “Guía de auditoría para las
entidades públicas”, orientado hacia las oficinas de control interno de las entidades
públicas del país.
76
En esta guía, se establece la metodología de auditoría interna basada en 5 fases, como
se puede visualizar en la figura 6 y se entra a detallar a continuación:
Figura 6. Fases de Auditoría Interna. Entidades Públicas Colombianas
Fuente: Tomado de (Departamento Administrativo de la Función Pública & Instituto de
Auditores Internos de Colombia, 2013).
Programación General de Auditorías: Ésta fase incluye un análisis integral de todos los
componentes internos y externos de una entidad, a través de su conocimiento y
comprensión, con el fin de determinar los procesos más relevantes y establecer los niveles
de riesgos a los que están expuestos. El producto de este proceso es el Programa Anual
de Auditorías.
Planeación de Auditoría: El Plan de Auditoría es un enunciado lógicamente ordenado y
clasificado de los procedimientos de auditoría que se emplearán, el alcance que se les ha
de dar y la forma en que se han de aplicar.
Ejecución de la Auditoría: Esta fase desarrolla el plan de auditoría ejecutando las
actividades programadas, con el fin de obtener evidencia suficiente, competente y
relevante para emitir conclusiones.
Comunicación de resultados de auditoría: Esta fase presenta los resultados de la
auditoría, a partir de los cuales se suscriben planes de mejoramiento.
Seguimiento al cumplimiento de los planes de mejoramiento: Consiste en validar la
ejecución de las acciones propuestas en el plan de mejoramiento, midiendo su nivel de
cumplimiento y de efectividad.
77
Teniendo en cuenta que las guías de auditoría para el Control Fiscal establecidas en
Colombia, “se fundamentan en las normas de auditoría generalmente aceptadas, las
cuáles son compatibles con las Normas Internacionales de Auditoría (NIAS), con las
Normas de Auditoría Gubernamental (NAGU), con las normas de la Organización
Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) y con las indicaciones de
la Organización Latinoamericana y del Caribe de Entidades Fiscalizadoras Superiores
(OLACEFS)” (Contraloría General de la República, 2013a,9), y que la guía de auditoría
para las áreas de control interno de las entidades públicas, fue elaborada de manera
conjunta con el Instituto de Auditores Internos capítulo Colombia; las fases de las diferentes
guías tienen referentes comunes y pueden ser complementarias de acuerdo al nivel de
control en el cual se esté aplicando.
78
3. Las Tecnologías de Información y
Comunicaciones en los procesos de
control y auditoría.
Los procesos de auditoría manual son inadecuados en este ambiente cada vez más
complejo (Vasarhelyi, 1984), de allí la necesidad de hacer uso de las Tecnologías de
Información y Comunicaciones en los procesos de control y auditoría, debido a su
creciente incorporación en las organizaciones, tanto públicas como privadas.
Es así como Vasarhelyi & Halper (1991) realizaban planteamientos, en torno al cambio
considerable que ha tenido la auditoría tradicional (tanto interna como externa), como
resultado de los cambios en el ambiente de procesamiento de datos, tal como se puede
apreciar en la tabla 9, generando con ello, nuevos desafíos técnicos para los auditores.
Tabla 9. La Evolución de la Auditoría desde la perspectiva del procesamiento de datos.
FASE PERÍODO FUNCIONES DE
PROCESAMIEN-
TO DE DATOS
APLICACIONES PROBLEMA DE
AUDITORÍA
1 1945-1955 Input (I), Output
(O), Processing
(P)
Aplicaciones
militares y
científicas.
Transcripción de
datos y
procesamiento
repetitivo
2 1955-1965 I,O,P,
Almacenamiento
(S)
Cintas Magnéticas.
Aplicaciones
naturales
Datos no legibles
visualmente.
Datos que pueden
ser modificados sin
dejar rastros.
3 1965-1975 I,O,P,S,
Comunicaciones (
C )
Sistemas de tiempo
compartido.
Almacenamiento en
disco.
Acceso a datos, sin
acceso físico.
79
Soporte de
operaciones
expandido.
4 1975-1985 I,O,P,S,C, Bases
de Datos (D)
Bases de datos
integradas.
Sistemas de soporte
a decisiones
(ayudas en la toma
de decisiones).
Aplicaciones que
cruzan diferentes
áreas.
Diferentes capas
lógicas y físicas.
Nuevas capas con
niveles de
complejidad (DBMS)
Decisiones basadas
en software.
5 1986-1991 I,O,P,S,C,D,
Estaciones de
trabajo (W)
Redes.
Sistemas de soporte
a decisiones (no
expertos)
Datos distribuidos en
diferentes sitios.
Grandes cantidades
de datos.
Procesamiento
distribuido.
Fuentes de datos sin
papel.
Sistemas
Interconectados.
6 1991-hoy I,O,P,S,C,D,W,De-
-cisiones (De)
Sistemas de soporte
a decisiones
(Expertos)
Decisiones
estocásticas
inmersas en los
Sistemas de
Información
Administrativos
Fuente: (Vasarhelyi & Halper, 1991)
Desde 1991 a la fecha, el avance que han tenido las TIC es exponencial, lo que pone en
evidencia, la necesidad incuestionable de ajustar estructuralmente los procesos de
auditoría, liberando al auditor de muchas de las tareas mundanas de la auditoría y
80
permitiendo que el auditor use este tiempo para tareas de nivel superior, tales como la
comprensión del negocio, y la identificación y evaluación de nuevos riesgos (Bierstaker,
Burnaby, & Thibodeau, 2001).
Las Tecnologías de Información emergentes, han generado nuevos escenarios en donde
se mueven los negocios, tales como: el comercio electrónico en sus diferentes
modalidades, el intercambio electrónico de datos (EDI), la transferencia electrónica de
archivos (EFT) y los sistemas de información empresarial que automatizan los procesos
de negocio, como ERP’s, CRM, SCM……..; en resumen, los negocios en tiempo real son
impulsados por procesos en tiempo real, y por lo tanto, estos procesos deben ser
controlados en tiempo real (Kneer, 2003).
Pero realmente, lo que ha cambiado no es la auditoría propiamente dicha, es la evidencia,
con la cual el auditor soporta sus conclusiones de auditoría. La transformación de la
evidencia ha traído como consecuencia nuevas formas de obtenerla y para ello han
surgido, lo que en el mundo de la auditoría se conoce como Técnicas y Herramientas de
Auditoría Asistidas por Computador (CAATT’s).
3.1. La evidencia digital. Insumo fundamental de la auditoría moderna.
Uno de los elementos comunes en las definiciones de auditoría y componente esencial en
cualquier proceso auditor, es la obtención de evidencia. Sin embargo, en los últimos años,
este insumo fundamental de la auditoría, se ha transformado al pasar de ser análoga a
digital, con las consecuencias que esto acarrea para el proceso y para los auditores.
3.1.1. La evidencia: materia prima del auditor
Aunque en la definición de auditoría planteada por el IIA no se encuentra de manera
explícita, su objetivo final es obtener evidencia suficiente y confiable, para dar una opinión
independiente sobre un tema en particular, ratificado por las definiciones presentadas por
la Organización Internacional de Estandarización (International Organization for
Standardization, ISO) y la Asociación de Auditoría y Control de Sistemas de Información
(Information Systems Audit and Control Association, ISACA):
81
- La definición formal de auditoría, en la norma internacional de auditorías de calidad (ISO
19011 del 2002) establece que “es un proceso sistemático, independiente y documentado
para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de
determinar la extensión en que se cumplen los criterios de auditoría” (ISO, 2002, p.1).
- Un proceso sistemático por el cual un equipo o una persona calificada, competente
e independiente obtiene y evalúa objetivamente la evidencia respecto a las
afirmaciones acerca de un proceso con el fin de formarse una opinión sobre el
particular e informar sobre el grado de cumplimiento en que se implementa dicha
afirmación (ISACA, 2008a, p.34).
-Actividad independiente y objetiva, de aseguramiento y consulta, concebida para
agregar valor y mejorar las operaciones de una organización. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado
para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y
gobierno (IIA, 2011,s.p.).
Acorde con lo anterior, la principal materia prima del auditor es la evidencia, considerada
según (Caldana, Correa & Ponce, 2007), de forma general, como la información obtenida
por el auditor, con el fin de extraer conclusiones que sustentan su opinión. La ISO 19011,
por su parte, define evidencia como “los registros, declaraciones de hechos o cualquier
otra información que son pertinentes para los criterios de auditoría y que son verificables”
(ISO, 2002, p.2), la cual es complementada por ISACA (2008a) al establecer que “consiste
en cualquier información usada por el auditor, para determinar si la entidad o los datos que
están siendo auditados cumplen con los criterios u objetivos establecidos, y soporta las
conclusiones de auditoría” (p.48). Es de resaltar, que la evidencia obtenida por el auditor
para soportar sus hallazgos y conclusiones, debe ser suficiente (en relación con la cantidad
de evidencia) y competente (relacionada con su calidad).
La evolución tecnológica de las organizaciones, al incorporar en sus procesos de negocio
de manera intensiva las TIC, han llevado a que la evidencia física, con la que
tradicionalmente trabajaban los auditores, se vuelva más escasa, y la evidencia digital
soportada en registros electrónicos, se multiplique en las diferentes áreas y procesos.
82
La evidencia digital es un tipo especializado de evidencia, entendida como “cualquier
información que, sujeta a una intervención humana u otra semejante, ha sido extraída de
un medio informático” (Ghosh, 2004, p.9); o también, según (Caldana, Correa &
Ponce,2007, p.12), como “información creada, transmitida, procesada, registrada y/o
mantenida electrónicamente, que respalda el contenido de un informe de auditoría y que
puede tomar diferentes formas, tales como texto, imagen, audio, video, entre otros.
Adicionalmente, (Ghosh, 2004) considera que la evidencia digital puede ser dividida en
tres categorías a saber: - Registros almacenados en el equipo de tecnología informática; -
Registros generados por los equipos de tecnología informática; y -. Registros que
parcialmente han sido generados y almacenados en los equipos de tecnología informática.
La evidencia digital difiere de la tradicional, no solo por el hecho de que la primera se
encuentre soportada en TIC, sino por una serie de atributos que hacen de esta, una forma
diferente de obtenerla, tratarla y usarla dentro del ciclo de auditoría, y que contrasta con la
tradicional, como se puede observar en la siguiente tabla.
Tabla 10. Evidencia en papel vs Evidencia electrónica
Atributo Evidencia Tradicional (Documentos en
papel)
Evidencia Electrónica
Origen
Se puede probar y establecer fácilmente Es difícil de establecer solamente
examinando la información electrónica; es
necesario usar controles y técnicas de
seguridad para establecer autentificación y
no repudio del documento.
Alteración
Es difícil alterarlo sin que sea descubierto Es imposible detectar alteraciones
examinando sólo la información electrónica.
La integridad de ésta depende de la calidad
de los controles y las técnicas de seguridad.
Aprobación
Los documentos en papel muestran la
prueba de la aprobación en su cuerpo.
Se determina usando controles y técnicas de
seguridad que permiten determinar la
autorización de la información.
83
Atributo Evidencia Tradicional (Documentos en
papel)
Evidencia Electrónica
Completitud
Todos los términos relevantes de una
transacción son usualmente incluidos en
un documento.
Se contienen, a menudo, los términos
relevantes de una transacción en varios
archivos o mensajes de datos.
Lectura No se necesita equipo especial. Varias tecnologías y equipos son necesarios
para leer el documento electrónico.
Formato Es parte integrante del documento. Está separado de los datos y puede ser
cambiado.
Almacenamiento o
archivo
Los documentos se mantienen de acuerdo
a las necesidades de la organización
según normas de sana administración
Los documentos se mantienen en un
repositorio con características especiales de
seguridad, integridad y disponibilidad
definidas por la Ley.
Disponibilidad y
accesibilidad
No es usualmente una restricción durante
la auditoría.
El registro de auditoría puede no estar
disponible en el tiempo de la auditoría y
acceder a los datos puede ser difícil.
Firma
La firma se puede autentificar con un
simple chequeo y comparación entre el
documento y la firma original.
Se requieren las tecnologías apropiadas
para emitir y revisar una firma electrónica
fiable.
Es igual para todo tipo de documento Es distinta según sea el grado de
importancia del documento (Firma
Electrónica, Simple o Avanzada)
Fuente: (Caldana, Correa & Ponce, 2007, p.13)
La evidencia ha sido objeto de estudio, tanto de forma tradicional como electrónica por
diferentes organismos internacionales, tales como: el AICPA, IIA, ISACA, IFAC
(International Federation of Accountants), ISO y CICA, generando por algunos de ellos
estándares, directrices y normas. En la tabla 11, puede observarse un resumen de las
normas de auditoría generadas por AICPA (SAS, Statement on Auditing Standards y APS,
Auditing Procedure Study), IFAC (ISA, International Standard on Auditing) e ISACA.
Tabla 11. Normas, estándares y directrices relacionadas con evidencia
84
Organis-
mo
Norma/Estándar/
Directriz
Año Descripción
AICPA
SAS 31 1980 Materia que constituye evidencia
SAS 80 1996 Modificatoria de la SAS 31
APS 1997 La era de TIC: Evidencia de auditoría en el entorno electrónico.
SAS 106 2006 Evidencia de Auditoría
IFAC
ISA 500 2009 Evidencia de Auditoría
ISA 501 2009 Evidencia de Auditoría – Consideraciones específicas para los
elementos seleccionados
ISACA
Estándar 14 2006 Evidencia de Auditoría
Directriz de
Auditoría 2
2008 Requerimiento de evidencia de auditoría
Fuente: (Valencia Duque & Tamayo Arias, 2012)
3.1.2. Pruebas de auditoría
El auditor debe acudir a lo que tradicionalmente se denominan pruebas de auditoría, las
cuales consisten en procedimientos apoyados en diferentes técnicas para la obtención de
evidencia. De acuerdo al AICPA, referenciado en (Marris,2010), existen tres categorías de
procedimientos de auditoría que son:
- Procedimientos de evaluación de riesgos, orientados a la obtención de un entendimiento
de la entidad y su entorno, incluyendo su control interno, la evaluación de riesgos
importantes y aspectos relevantes del objeto de auditoría.
- Prueba de controles, que consisten en verificar la efectividad de los controles que se
encuentran implementados.
- Procedimientos sustantivos, que consisten en llevar a cabo pruebas analíticas y
detalladas, para verificar la integridad, exactitud y validez, de los componentes que se
están auditando.
85
Estos tres tipos de pruebas están relacionadas entre sí, destacándose una intensidad
inversamente proporcional entre las pruebas de controles y los procedimientos sustantivos;
es decir, si las pruebas realizadas para medir la efectividad de los controles fueron
satisfactorias, el alcance de las pruebas sustantivas será menor. Para llevar a cabo las
diferentes pruebas de auditoría, con miras a obtener evidencia suficiente y pertinente, se
acude a diferentes técnicas de auditoría, clasificadas en tradicionales y asistidas por
computador, ambas son necesarias y complementarias en un proceso de auditoría.
Algunos autores, como (Louwers et al, 2011), integran ambos tipos de técnicas y las
clasifican en ocho categorías, a saber: 1. Inspección de registros y documentos, 2.
Inspección de activos tangibles, 3. Observación, 4. Encuestas, 5. Confirmación, 6.
Recalculo, 7. Reproceso, y 8. Procedimientos analíticos. Éstas técnicas serán explicadas
más adelante.
3.2. Los estándares internacionales en el uso de Tecnologías de Información y Comunicaciones en la auditoría
A través de los años, la auditoría (en especial la financiera) y las organizaciones que
impulsan esta profesión, han establecido la importancia y la necesidad de las Tecnologías
de Información y Comunicaciones (TIC), para ello han emitido normas y estándares
generales alrededor del uso de las TIC, en las diferentes fases de auditoría y particulares
alrededor de las de las técnicas y herramientas de auditoría asistidas por computador.
La tabla 12, presenta un resumen de algunos de los principales estándares y normas
expedidas alrededor del uso de las TIC en los procesos de auditoría, en algunos casos,
muchas de estas normas ya no están vigentes y han sido reemplazadas por otras
complementarias.
Tabla 12. Resumen de las principales normas y estándares alrededor de las Tecnologías de Información y Comunicaciones en la auditoría.
86
ENTIDAD
EMISORA
NORMA DESCRIPCIÓN
AICPA SAS No 3 Efectos del procesamiento electrónico de datos
sobre el estudio y evaluación de los controles
internos por parte del auditor.
AICPA SAS No 48 Los efectos del procesamiento en computador,
sobre el examen de los estados financieros.
AICPA SAS No 94 El efecto de la Tecnología de Información en la
consideración del control interno del auditor, en
una auditoria de declaraciones financieras.
IFAC ISA 401 Auditoría en un ambiente de sistemas de
información por computador.
IFAC Declaración
Internacional 1001
Ambientes de Sistemas de Información de
Cómputo (CIS) - Microcomputadoras
independientes.
IFAC Declaración
Internacional 1002
Ambiente de Sistemas de Información de
Cómputo (CIS) - Sistemas de computadoras en
línea.
IFAC Declaración
Internacional 1003
Ambientes de Sistemas de Información de
Cómputo (CIS) - Sistemas de base de datos.
IFAC Declaración
Internacional
1008
Evaluación del riesgo y el Control Interno –
Características y consideraciones del Sistema
de Información de Cómputo (CIS).
IFAC Declaración
internacional 1009
Técnicas de auditoría con ayuda del
computador.
IFAC Declaración
Internacional 1013
Comercio electrónico – efecto en la auditoria de
estados financieros.
ISACA Guía 3 Uso de técnicas de auditoría asistidas por
computador.
IIA Consejos para la
práctica 1220-2,
Norma relacionada
1220.A2
Debido cuidado profesional. Al ejercer el
debido cuidado profesional, el auditor interno
debe considerar la utilización de herramientas de
87
auditoría asistidas por computador y otras
técnicas de análisis de datos.
Fuente: Elaboración propia a partir de la revisión
En general, las diferentes normas emitidas por los organismos internacionales, tratan de
delimitar la forma en que el auditor debería incorporar, en su quehacer organizacional, el
uso de las TIC, dando incluso en algunos casos, pautas precisas para hacerlo parte de los
procesos de planeación, ejecución, reportes y seguimiento de la auditoría.
3.3. Perspectivas del uso de las TIC en los procesos de control y auditoría
De forma complementaria a las normas emitidas por las organizaciones, que reglamentan
e impulsan la Auditoria a nivel internacional, la comunidad académica ha realizado algunos
planteamientos, en torno a lo que puede ser el uso de las TIC, en los procesos de control
y auditoría, es por ello que a continuación, se presentan de acuerdo al análisis bibliográfico
realizado, lo que el autor considera como las dos corrientes que más impulso han tomado
a nivel internacional, y que servirán de marco, para el análisis del nivel de uso de las TIC
en el Control Fiscal Colombiano.
3.3.1. Las TIC como parte de los procesos de control y auditoría
Un enfoque para abordar el uso del computador por parte de los auditores, ampliamente
difundido en la literatura académica, es el planteado por autores como (Pinilla Forero,
1997;Loh, 2002;Cerullo & Cerullo,2003;Smieliauskas & Bewley,2010), quienes establecen
tres perspectivas: La auditoría alrededor del computador, la auditoría a través del
computador y la auditoría con el computador.
La auditoría alrededor del computador (Auditing around the computer), consiste en
conciliar los documentos fuente, asociados a las transacciones de entrada al computador,
con los resultados generados por este, mientras que el procesamiento realizado por la
aplicación de computador es tratado como una caja negra (Braun & Davis,2003). Para
(Smieliauskas & Bewley,2010), fue el primer enfoque utilizado por los auditores con la
aparición del computador y es adecuado su uso, si los controles y el sistema de información
proporcionan suficiente evidencia visible. Es el enfoque más simple de utilizar, en el cual
88
se requieren pocos conocimientos de Tecnologías de Información; sin embargo, no es un
enfoque adecuado para evaluar la efectividad de los controles en los sistemas de
información.
Este enfoque es el más utilizado actualmente por las contralorías del país, debido al bajo
nivel de uso de herramientas tecnológicas específicas de auditoría y al perfil de los
auditores gubernamentales.
La auditoría con el computador (Auditing with the computer), es asociada por autores
como (Cerullo & Cerullo, 2003) y (Smieliauskas & Bewley, 2010) con el uso de software
generalizado de auditoría (Generalized Audit Software, -GAS-), que consiste en utilizar el
computador para desarrollar labores, en las diferentes fases del ciclo de auditoría, y cuenta
con desarrollos muy importantes en el campo del análisis de datos, haciendo uso de
diferentes aplicaciones, algunas especializadas y otras que no tienen foco específico en
auditoría; pero, que cuentan con funciones que apoyan alguna de sus fases. La auditoría
con el computador, hace un uso más intensivo de las herramientas tecnológicas, que de
las técnicas de auditoría propiamente dichas. Dentro de esta categoría, pueden
encontrarse desde suites ofimáticas, hasta herramientas especializadas en auditoría, que
para el caso del Control Fiscal Colombiano, es donde se han invertido cuantiosos recursos
(en el desarrollo y/o adquisición de Sistemas de Información) para soportar sus procesos
de control fiscal.
La auditoría a través del computador (Auditing through the computer), asociada
directamente por (Smieliauskas & Bewley,2010) a las Técnicas y Herramientas de
Auditoría Asistidas por Computador (Computer Assisted Audit Tools and Techniques –
CAATT-) propiamente dichas, y está inscrita en las técnicas que requieren probar controles
automatizados. Consiste en que el auditor evalúa la tecnología, para determinar la
confiabilidad de las operaciones que no pueden ser vistas por el ojo humano y prueba la
efectividad operacional de los controles relacionados con el computador (Louwers et al.,
2011).
A diferencia de los dos anteriores, las técnicas que hacen parte de la auditoría a través del
computador, tratan de permear la tecnología para evaluar los controles inmersos en esta
y hace un uso más intensivo de las técnicas, que de las herramientas tecnológicas, las
cuales pueden ser automatizadas por los mismos auditores que cuenten con
conocimientos profundos en tecnología, o con el apoyo del área de tecnología de
89
información, aunque en ocasiones no es muy recomendable, debido a la pérdida de
independencia que puede generar, la cual es una característica esencial en un proceso de
auditoría.
Las técnicas más destacadas que hacen parte de este enfoque son las siguientes: - La
técnica de datos de prueba (test data): también llamada lotes de prueba (test decks),
consiste en un conjunto de datos de entrada propuestos por el auditor y que se ingresan a
una aplicación con el fin de verificar su procesamiento y así, poder detectar resultados no
válidos; también se usa para realizar pruebas a controles de aplicaciones en
funcionamiento. Las pruebas deben ser coherentes con la aplicación que se examina,
teniendo presente las posibles combinaciones de transacciones, situaciones de archivos
maestros, valores y lógica de procesamiento, que podrían encontrarse cuando la
aplicación se encuentre en producción (Pinilla Forero,1997).
- Simulación Paralela (Parallel simulation): Técnica que utiliza transacciones reales de la
organización y simula el procesamiento que realiza la aplicación en producción, mediante
programas elaborados por el auditor, tomando como referencia las reglas de negocio. Al
final se comparan los resultados arrojados tanto por la aplicación en producción, como por
la del auditor y se establecen las conclusiones pertinentes.
- Facilidad de prueba integrada (Integrated test facility): Técnica para procesar
transacciones de prueba, a través de sistemas de aplicación de la empresa junto con las
transacciones reales, y que permite probar el procesamiento de una aplicación en su
ambiente normal de producción.
- Foto Instantánea (Snapshot): Utilizada para determinar si los procesos de actualización
se aplican correctamente (Rezaee, et al, 2004), implica tomar una foto de una transacción,
mientras fluye por un sistema transaccional. Las rutinas del software de auditoría están
ubicadas en diferentes partes de la lógica del programa.
- Archivos de revisión, auditoría y control de sistemas (System Control Audit Review File –
SCARF-): Consiste en la inserción de rutinas de auditoría en diferentes puntos de una
transacción, para monitorear el tráfico de datos dentro del programa de aplicación (Arias &
Cerpa,2008).
- Módulos embebidos de auditoría (Embedded audit module): Aplicaciones de software o
porciones de código embebidos en otros sistemas, que monitorean continuamente flujos
de transacciones, identificando aquellas que cumplen con ciertas reglas predeterminadas,
90
de tal forma que, se genera una alerta al auditor en el momento en que se cumple dicha
regla (Debreceny et al, 2005).
3.3.2. Modalidades de control y auditoría basada en TIC’s
Otra de las perspectivas en el campo académico y profesional para aplicar las TIC’s en
procesos de control y auditoría, y sin ser excluyente con el enfoque anterior, está referido
a una serie de conceptos que pueden ser considerados incluso, como disciplinas
especializadas en el entorno de las TIC. Dentro de estos términos podemos destacar:
Auditoría remota, auditoría de sistemas, control interno tecnológico, sistemas de gestión
de seguridad de la información, seguridad informática, computación forense y auditoría
continua.
La Auditoría Remota es el proceso por el cual los auditores acoplados con las
Tecnologías de Información y Comunicaciones y con análisis de datos, evalúan e informan
sobre la exactitud de los datos financieros y los controles internos, reuniendo evidencia
electrónica e interactuando con el auditado, independientemente de la localización física
del auditor (Teeter, Alles, & Vasarhelyi, 2010).
De acuerdo con ISACA (2012) la Auditoría de Sistemas es un proceso donde se recolecta
y evalúa evidencia, con el fin de determinar si los sistemas de información y los recursos
relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad
de los datos y del sistema, proveen información relevante y confiable, logran de forma
efectiva las metas organizacionales, usan eficientemente los recursos y los controles
internos, proveen una certeza razonable de que los objetivos de negocio, operacionales y
de control serán alcanzados y los eventos no deseados serán evitados o detectados y
corregidos de manera oportuna.
El Control Interno Tecnológico llamado comúnmente Control Interno informático, es un
sistema de control, cuyo objetivo es controlar diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los procedimientos, estándares y
normas fijadas por la organización y/o el área informática (Piattini & Del peso,1998), el
modelo más representativo a nivel mundial es COBIT (Control Objectives for Information
and Related Technologies).
91
La norma ISO 27001, define un Sistema de gestión de seguridad de la información,
como aquel que hace “parte del sistema de gestión global, basada en un enfoque hacia
los riesgos globales de un negocio, cuyo fin es establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar la seguridad de la información” (ICONTEC,
(2009,p.3).
La Seguridad Informática a diferencia del concepto anterior, representa “un conjunto de
procedimientos, dispositivos y herramientas encargadas de asegurar la integridad,
disponibilidad y privacidad de la información en un sistema informático e intentar reducir
las amenazas que pueden afectar el mismo” (García, Hurtado, & Alegre Ramos,2011,p.2)
La Computación Forense “es una disciplina de las ciencias forenses que, considerando
las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información
en los medios informáticos, para establecer los hechos y formular las hipótesis
relacionadas con el caso” (Cano, 2009,p.2).
3.4. Nivel de uso de las Tecnologías de Información y Comunicaciones en el Control Fiscal Colombiano.
El Control Fiscal Colombiano, ha venido incorporando de manera paulatina las
Tecnologías de Información y Comunicaciones, no como parte integral de los procesos de
control y Auditoría, sino como herramientas de apoyo, para soportar los flujos de
información que estos procesos generan. De igual forma, su incorporación no es
homogénea, ni sus adquisiciones e incorporaciones tecnológicas responden a una
necesidad como Sistema Nacional de Control Fiscal (SINACOF); por el contrario, cada
contraloría, de acuerdo a su capacidad económica, técnica y humana, incorpora las
herramientas tecnológicas necesarias para cumplir con su función.
3.4.1. Estado actual del desarrollo informático y tecnológico de las contralorías del país.
De acuerdo a la encuesta de diagnóstico, sobre la capacidad de información de las
contralorías de Colombia del año 2010, llevada a cabo por la Auditoría General de la
92
Nación, el 35% de las contralorías cuenta con algún aplicativo relacionado con la
participación ciudadana, el 13% con software para la gestión de procesos fiscales, el 35%
cuenta con un sistema de control y seguimiento del Plan General de Auditorías y el 19%
cuenta con otros aplicativos de soporte a sus procesos misionales (Auditoría General de
la República,2010b).
De igual forma, en la misma encuesta del año 2011 establece: “en general las contralorías
tienen una infraestructura tecnológica aún incipiente, con deficiencias para el desarrollo
normal de sus actividades; la mayoría utilizan software de propiedad de otras entidades,
menos del 50% han desarrollado aplicativos” (Auditoría General de la República,
2011,p.89); su infraestructura física aún es muy dependiente de otras entidades del
Estado, si se tiene en cuenta que más del 70% de las instalaciones, donde las contralorías
tienen su sede son cedidas o prestadas en comodato; casi el 50% tienen sus oficinas
dentro de las alcaldías o gobernaciones de sus ciudades.
En el mismo informe se destaca que, el 13% de los funcionarios de las contralorías aún no
cuenta con equipo de cómputo, el 60% de las contralorías cuenta con un plan estratégico
de sistemas, el 63% cuenta con centro de cómputo y el 84% cuenta con una red de área
local. En lo que tiene que ver con aplicativos, ya para esta época el 87% de las contralorías
cuenta con algún aplicativo para la rendición de la cuenta (dotado por la Auditoría General
de la República -El SIA-), el 35% de las contralorías cuenta con un sistema de información
de participación ciudadana, el 13% cuenta con un sistema de información de gestión de
procesos fiscales, el 65% cuenta con un sistema de control y seguimiento al plan general
de auditorías, y el 33% cuenta con otra serie de aplicativos.
De forma complementaria en el año 2012, la Universidad Nacional de Colombia - Sede
Manizales, llevó a cabo el “Primer Encuentro Nacional de Experiencias de Control en línea
y Auditoría Continua” donde a partir de las diferentes ponencias presentadas, se concluye
que si bien las contralorías del país cuentan con herramientas tecnológicas, para soportar
sus procesos de control fiscal y a su vez, la Auditoría General de la República y la
Contraloría General de la República se encuentran realizando esfuerzos, para incorporar
nuevas herramientas tecnológicas que apoyen la labor del control fiscal; estas han sido
pensadas para realizar una auditoría con el computador, y no una auditoría a través del
computador.
93
3.4.2. Sistemas de información que dan soporte a los procesos del
Control Fiscal Colombiano.
La ley 1474 de 2011 conocida como ley anticorrupción, estableció en su artículo 126 la
obligación de levantar a través del SINACOF, el inventario de sistemas de información de
las contralorías del país; producto de ello, un equipo conformado por consultores del
programa Gobierno en Línea, las firmas consorcio S&M y la Unión Temporal Software
Works, desarrollaron el documento denominado: “Inventario de Sistemas de Información
de las mejores prácticas encontradas, Control Fiscal en línea”, el cual será el documento
base para este segmento del capítulo.
De acuerdo a este documento, el Control Fiscal Colombiano, cuenta actualmente con
alrededor de treinta y cuatro (34) aplicativos diferentes, desarrollados por las diferentes
contralorías del país, para dar soporte a nueve (9) procesos esenciales del control fiscal.
Es importante tener en cuenta que, cada aplicativo fue desarrollado considerando los
requerimientos y necesidades propios de cada contraloría, con recursos de cada una de
ellas y no responde en su concepción inicial, a necesidades genéricas de las Contralorías
del país. Su distribución en relación con los procesos del control fiscal (ver Figura 7),
permite observar que tanto el proceso de auditorías, como del plan general de auditorías,
son quienes cuentan con el mayor número de aplicativos (31.9%).
0
1
2
3
4
5
6
7
8
94
Figura 7. Número de aplicaciones por proceso en el Control Fiscal Colombiano.
Fuente: Elaboración Propia.
Los sistemas de información que dan soporte a los principales procesos de control fiscal,
han sido desarrollados en diferentes plataformas operativas de bases de datos y de
desarrollo.
Cada uno de estos sistemas puede dar soporte a uno o varios procesos de control fiscal,
la relación de los procesos con sus respectivos sistemas de información se pueden
apreciar a continuación:
Tabla 13. Sistemas de Información por procesos del control fiscal
SISTEMA DE INFORMACIÓN POR PROCESOS
AUDITORÍAS
SIA MISIONAL SIREL
SICA
GESTIÓN TRANSPARENTE
SIGESPRO
SICOF
RCL
SIRC
SIMO
COBRO COACTIVO
GESTIÓN TRANSPARENTE
SIMUC
SICO
INFORMES GERENCIALES Y DE GESTIÓN Y RESULTADOS
SIGER
PORTAL YO SOY BOGOTÁ
GESTIÓN TRANSPARENTE
SIA MISIONAL EIT
PETICIONES, QUEJAS, RECLAMOS Y DENUNCIAS
SIPAC
COVI
SIA ATC
PORTAL YO SOY BOGOTÁ
95
PQR (MODULO PORTAL)
GESTIÓN TRANSPARENTE
PLAN GENERAL DE AUDITORÌAS
SIA MISIONAL PGA
PNA
GESTIÓN TRANSPARENTE
SIGESPRO
SICOF
OBSERVATORIO WEB
PGA
PROCESOS SANCIONATORIOS
SISA SIPREL
SIPAC
SANCIONATORIO WEB
SIMUC
GESTIÓN TRANSPARENTE
PROMOCIÒN SOCIAL
PORTAL YO SOY BOGOTÁ
GESTIÓN TRANSPARENTE
SIFPED
RENDICIÒN DE LA CUENTA
SIA CONTRALORÍAS
GESTIÓN TRANSPARENTE
SIA MISIONAL SIREL
SIRECI
SIVICOF-CGR
RENDICIÓN DE LA CUENTA FISCAL EN LINEA WEB (COLNODO)
RESPONSABILIDAD FISCAL
SIREF
SIREF-CGR
PREFIS
RCL
GESTIÓN TRANSPARENTE
Fuente: Elaborado a partir de (Ministerio de Tecnologías de la Información y las
Comunicaciones, Auditoría General de la República, Consorcio S&M, & UT Software
Works, 2012c)
La relación de sistemas de información usados por cada una de las contralorías del país,
en los nueve procesos de control fiscal se pueden apreciar a continuación:
96
Tabla 14. Sistemas de Información por Contraloría en sus principales procesos
PROCESOS DE CONTROL FISCAL
CO
NTR
ALO
RIA
AU
DIT
OR
IAS
CO
BR
O C
OA
CTI
VO
INFO
RM
ES G
EREN
CIA
LES,
D
E G
ESTI
ÒN
Y R
ESU
LTA
DO
S
PET
ICIO
NES
, QU
EJA
S,
REC
LAM
OS
Y D
ENU
NC
IAS
PLA
N G
ENER
AL
DE
AU
DIT
OR
ÌAS
PR
OC
ESO
S SA
NC
ION
ATO
RIO
S
PR
OM
OC
IÒN
SO
CIA
L
REN
DIC
IÒN
DE
LA C
UEN
TA
RES
PO
NSA
BIL
IDA
D F
ISC
AL
AUDITORIA GENERAL DE LA REPUBLICA
SIA MISIONAL SIREL
SIA MISIONAL EIT SIA ATC
SIA MISIONAL PGA
SIA MISIONAL SIREL
CONTRALORIA DEPARTAMENTAL AMAZONAS SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL BOLÍVAR SICO SIGER COVI SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL BOYACÁ
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL CALDAS
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL CAQUETÁ SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL CASANARE SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL CAUCA SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL CESAR
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL CHOCÓ
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL SICO SIGER SICOF
SISA SIPREL SIPAC SIREF
97
CUNDINAMARCA
CONTRALORIA DEPARTAMENTAL DE ANTIOQUIA
GESTIÒN TRANSPARENTE
GESTIÒN TRANSPARENTE
GESTIÒN TRANSPARENTE
GESTIÒN TRANSPARENTE
GESTIÒN TRANSPARENTE
GESTIÒN TRANSPARENTE
GESTIÒN TRANSPARENTE
GESTIÒN TRANSPARENTE
GESTIÒN TRANSPARENTE
CONTRALORIA DEPARTAMENTAL DE ARAUCA SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL DE ATLANTICO
RENDICIÒN DE LA CUENTA FISCAL EN LINEA WEB (COLNODO)
CONTRALORIA DEPARTAMENTAL GUAINIA SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL GUAVIARE SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL HUILA SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL LA GUAJIRA
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL MAGDALENA SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL META SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL NARIÑO SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL NORTE SANTANDER
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL PUTUMAYO SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
98
CONTRALORIA DEPARTAMENTAL QUINDÍO SIMO SIRC SIGER COVI PGA SIFPED
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL RISARALDA
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL SAN ANDRÉS
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL SANTANDER
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL SUCRE
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL TOLIMA
SIA CONTRALORIAS
CONTRALORIA DEPARTAMENTAL VALLE DEL CAUCA
OBSERVATORIO WEB
SANCIONATORIO WEB
SIA CONTRALORIAS RCL
CONTRALORIA DEPARTAMENTAL VAUPÉS SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DEPARTAMENTAL VICHADA SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA DISTRITAL CARTAGENA
SIA CONTRALORIAS
CONTRALORIA DISTRITAL DE BARRANQUILLA
SIA CONTRALORIAS
CONTRALORIA DISTRITAL DE BOGOTA SIGESPRO SIMUC
PORTAL YO SOY BOGOTA SIVICOF PREFIS
CONTRALORIA DISTRITAL SANTA MARTA
SIA CONTRALORIAS
CONTRALORIA GENERAL DE LA REPÙBLICA SICA
PQR (MODULO PORTAL) PNA
SIA CONTRALORIAS - SIRECI SIREF-CGR
CONTRALORIA GENERAL DE MEDELLÍN
SIA CONTRALORIAS
99
CONTRALORIA GENERAL DE SANTIAGO DE CALI SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA MUNICIPAL ARMENIA SICO SIGER COVI SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA MUNICIPAL BARRANCABERMEJA
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL BUCARAMANGA
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL BUENAVENTURA
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL CÚCUTA
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL DE BELLO
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL DE ENVIGADO
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL DE ITAGUÍ
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL DOSQUEBRADAS
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL FLORIDABLANCA
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL IBAGUÉ SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA MUNICIPAL MANIZALES SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA MUNICIPAL MONTERÍA
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL NEIVA
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL PALMIRA
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL PASTO SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA MUNICIPAL PEREIRA
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL POPAYÁN SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
10
0
CONTRALORIA MUNICIPAL SOACHA SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA MUNICIPAL SOLEDAD
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL TUNJA
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL VALLEDUPAR
SIA CONTRALORIAS
CONTRALORIA MUNICIPAL VILLAVICENCIO SICO SIGER SICOF
SISA SIPREL SIPAC
SIA CONTRALORIAS SIREF
CONTRALORIA MUNICIPAL YUMBO
SIA CONTRALORIAS
Fuente: Elaborado a partir de (Ministerio de Tecnologias de la Información y las
Comunicaciones et al., 2012c)
3.4.3. Descripción de los principales sistemas de información en
el Control Fiscal Colombiano.
Si bien son múltiples los sistemas de información existentes en las diferentes Contralorías
del país, como se puede apreciar en la tabla anterior, existen algunos de ellos que se
destacan por su robustez, o porque son usados por diferentes contralorías, o por la
transversalidad en los diferentes procesos del Control Fiscal Colombiano.
A partir del análisis de los sistemas de información que usan las diferentes contralorías del
país, se puede establecer que en el ámbito territorial a excepción de la Contraloría
Departamental de Antioquia y de la Contraloría Municipal de Cali, la mayoría de las
Contralorías cuenta con sistemas de información de terceros. Se destaca la cantidad de
convenios que ha suscrito la Contraloría Municipal de Cali, con las demás contralorías del
país para el uso de sus sistemas de información, los cuales fueron desarrollados por parte
del equipo técnico de esta contraloría.
A continuación se hará una caracterización general, de los sistemas de información más
destacados, o de las contralorías que por sus desarrollos se han destacado en el país:
101
Sistema Integrado para el Control de Auditorías (SICA): La Contraloría General de la
República firmó un convenio de cooperación técnica con la Contraloría General de Chile,
el 29 de Noviembre de 2011, con el fin de realizar un intercambio de desarrollos
tecnológicos, en especial, el sistema que es utilizado por la Contraloría de Chile para
gestionar su proceso auditor, denominado SICA (Sistema Integrado para Control de
Auditorías). El SICA es un sistema que permite administrar las actividades propias del
proceso auditor, caracterizado por ser un sistema documental que permite la trazabilidad
y asegura la consistencia de la información, es un sistema colaborativo que permite el
trabajo coordinado entre diferentes roles, funciona bajo ambiente web y además, es un
sistema modular (Rodríguez Martínez,2012).
La Contraloría General de la República ha venido implementando este sistema desde el
año 2012, como una de las estrategias orientadas al cumplimiento de lo establecido, en su
plan estratégico 2012-2014 – Por un control fiscal oportuno y efectivo- (Contraloría General
de la República, 2013b).
Este sistema es utilizado por la Contraloría General de la República y cada una de sus
gerencias departamentales, convirtiéndose así, en uno de los pilares de la nueva guía de
Auditoria Gubernamental utilizada en todo el país.
Sistema Integrado de Auditorías (SIA- Contralorías): Es el Sistema de Información de
Auditoria y rendición de cuentas en línea para las contralorías y sus vigilados, desarrollado
bajo ambiente web y utilizado por el 90% de las contralorías del país, para la rendición de
la cuenta. Actualmente, éste sistema es usado por cerca de 7000 usuarios en todo el país.
El SIA-Contralorías permite: adecuarse a las necesidades de cada contraloría, recibir la
cuenta de los entes vigilados vía Internet, el acceso de los auditores a informes de ayuda
para el análisis y revisión de la cuenta y además, tiene una herramienta diseñada para que
cada auditor programe las auditorías de acuerdo con su plan de trabajo e incorpore los
memorandos de encargo y los informes finales (Auditoría General de la República, 2013a).
Gestión Transparente: Una de las contralorías que ha realizado grandes inversiones en
materia de Tecnologías de Información, para dar soporte a sus procesos de control y
auditoría, es la Contraloría Departamental de Antioquia, quien a través de este sistema de
10
2
información apoya muchos de sus procesos misionales, entre los que se destacan, el
control a la contratación pública de cerca de 125 Municipios, integrándola con las redes
sociales, fomentando los mecanismos de participación ciudadana y generando una
modalidad de control en tiempo real de la contratación pública (Valencia Duque, 2012a).
Sistemas de Información de la Contraloría de Santiago de Cali: Esta es una de las
contralorías del país que más sistemas de información ha desarrollado a nivel interno y a
su vez, es la entidad que más convenios ha firmado con otras contralorías para compartir
sus aplicativos. Algunas de las contralorías que hasta el año 2012 hacen uso de los
aplicativos desarrollados, se puede observar en la figura 8.
Figura 8. Sistemas de Información de la Contraloría de Santiago de Cali, usado por algunas contralorías del país.
Fuente: Adaptado de (Prado Carvajal,2012)
La mayoría de estas aplicaciones han sido desarrolladas en MS Access. Actualmente el
área de sistemas de la entidad se encuentra en proceso de migración a una plataforma
bajo ambiente web.
103
3.5. Proyecto Control en Línea, en el Control Fiscal Colombiano
El Plan de Desarrollo Vive Digital, contempla dentro del programa de Gobierno en Línea,
en cumplimiento de su objetivo de construcción de un estado más eficiente y mediante el
aprovechamiento de las TIC, el desarrollo de una de sus iniciativas denominada: Control
en línea; cuyo objetivo inicial es el desarrollo de un sistema en línea único, de reporte,
auditoría y control de las contralorías del país, que permita mejorar los mecanismos de
captura de información y de identificación de alertas y riesgos (Ministerio de Tecnologias
de la Informaciòn y las Comunicaciones, 2011).
Para dar cumplimiento a este proyecto, el 29 de Noviembre de 2011 se firmó el convenio
de coadyuvancia Nro. 00459 entre la Contraloría General de la República, la Contaduría
General de la Nación, la Procuraduría General de la Nación, la Auditoría General de la
República y el Ministerio de Tecnologías de Información y Comunicaciones; con el fin de
dar cumplimiento a los siguientes objetivos: a) Adelantar acciones de coadyuvancia y
colaboración en el fortalecimiento de los mecanismos de control, para la observancia de
los principios y fines del Estado a través de la implementación de las TIC; b) Aunar
esfuerzos logísticos, presupuestales y de recursos humanos con el fin de diseñar, construir
y transferir sistemas de información estandarizados relacionados con los procesos
misionales de las entidades que ejercen el control; c) Instituir las herramientas para que
dichos sistemas de información puedan interactuar a través interfaces y unificar la
información que los cooperantes tienen; d) Edificar una base integral de información para
mejorar el control fiscal y disciplinario en línea (Auditoría General de la República, 2013a).
Producto de este proceso, se ha desarrollado la primera fase (fase de conceptualización),
como se puede observar en la figura 9, a través de la cual se ha definido un modelo
conceptual de control fiscal en línea y se han generado una serie de documentos, que son
la base para el desarrollo del proyecto.
10
4
Figura 9. Modelo Conceptual del Sistema de Control Fiscal en Línea
Fuente: Tomado de (Auditoría General de la República, 2013a; Ministerio de Tecnologias
de la Informaciòn y las Comunicaciones et al., 2012a)
Entre los documentos producto de esta fase, se encuentran los siguientes: 1. Diagnóstico
del inventario de los procesos misionales; 2. Propuesta de procesos en el marco de un
control fiscal en línea; 3. Inventario de los sistemas de información de las contralorías de
país y mejores prácticas; 4. Análisis de la brecha tecnológica encontrada, teniendo en
cuenta las mejores prácticas del país; 5. Diseño de la Plataforma Tecnológica SOA para
el control fiscal en línea; 6. Historias de usuario del control fiscal.
Es importante destacar que la Auditoría General de la República, tiene registrado en el
Banco de Programas y Proyectos de Inversión Nacional –BPIN- el proyecto con código
BPIN 2011011000313 denominado “Desarrollo de un nuevo Sistema de Control Fiscal
Integral Nacional” para un periodo comprendido entre el 2012 y el 2016, por un valor total
solicitado de 12.937,5 millones de pesos (aproximadamente 7.18 millones de dólares); de
los cuales se tienen apropiados para el 2012, 2000 millones de pesos, y cuyo objetivo es
el “Fortalecimiento y Modernización de órganos de control, como estrategia contra la
corrupción, que conlleve a conformar un sistema integrado de control fiscal, en municipios
105
y departamentos, articulando acciones de mejora preventivas y correctivas en la gestión
de los recursos públicos” (Departamento Nacional de Planeación,2012).
Dentro de este proyecto, se tiene un componente denominado “Desarrollar una plataforma
tecnológica unificada que integre sistemas existentes y permita la incorporación de nuevos
desarrollos previamente convenidos y concertados por todos los entes de Control Fiscal”,
para lo cual se tiene previsto un valor para el 2012 de 1000 millones de pesos, el cual es
el objetivo central de la iniciativa Control en Línea del Plan de Desarrollo Vive Digital.
Al momento de finalizar este proyecto de investigación y de acuerdo a consultas por parte
del autor en la Auditoría General de la República, el proyecto no había avanzado después
de la generación de los documentos comentados previamente y los responsables de liderar
el proyecto, por parte tanto de la Auditoría General de la República, como del Ministerio de
Tecnologías de Información y Comunicaciones, ya no laboraban en dichas entidades, por
lo que se puede concluir que el proyecto fue archivado.
10
6
4. La Auditoría Continua, como nuevo
paradigma de la auditoría
Uno de los temas emergentes en el campo de la auditoría, es la Auditoría Continua, la cual
ha sido objeto de estudio y de aplicación en los últimos años, por parte de la academia, el
sector productivo y el sector gubernamental; y aunque, su incorporación por parte de los
auditores no se ha dado de forma masiva, como se podrá ver más adelante, es
considerada por diferentes autores, como uno de los nuevos paradigmas de la auditoría.
La comunidad académica ha sido un impulsor permanente de la evolución de la Auditoría
continua, producto de múltiples artículos científicos y conferencias divulgadas en
congresos internacionales. Se destacan en la comunidad científica autores como Miklos
Vasarhelyi (considerado el padre de la Auditoría Continua), Michael Alles , David Coderre,
Alexander Kogan, Huanzhuo Ye; Centros de investigación como el “Continuous Auditing &
Reporting Lab” (CARLAB) de la Universidad de Rutgers y eventos de difusión de avances
y experiencias en Auditoría Continua como el “World Continuous Auditing and Reporting
Systems Symposium” desarrollado por la Universidad de Rutgers, a través del CARLAB,
algunos de los cuales han sido desarrollados en Latinoamérica, en el marco de la
International Conference on Information Systems and Technology Management
(CONTECSI), liderada por la Universidad de Sao Paulo.
Desde el sector productivo, organizaciones como AT&T, Siemens, HCA y UNIBANCO han
sido pioneras en la implementación de procesos de auditoría continua, hasta las
agremiaciones de profesionales de contadores y auditores a nivel internacional, quienes
han promulgado estándares y guías alrededor del tema.
Por su parte, el sector gubernamental en menor proporción, ha difundido algunos casos
en la literatura académica, rescatando el caso de aplicación en la Oficina Nacional de
Auditoría de la China, divulgado en (Wenming, 2007) y el estudio desarrollado en España
divulgado en (Bonsón & Borrero, 2011).
107
Debido a lo anterior y dada la importancia y pertinencia de la auditoría continua en un
contexto organizacional, dominado por las Tecnologías de Información y Comunicaciones;
se presenta a continuación, una caracterización de índole teórico acerca de sus conceptos,
importancia, diferencias con la auditoría tradicional, estándares, modelos y productos
comerciales más representativos; para a partir de allí, finalizar con la argumentación de
diferentes autores, quienes la consideran un nuevo paradigma. Para ello se acudirá a las
diferentes fuentes de información científica y profesional, que han tratado el tema de una
forma u otra.
4.1. Conceptos básicos
La Auditoría Continua, también llamada Auditoria Continua en Línea, tiene varias
acepciones en la literatura académica y profesional, sin embargo, la más reconocida es la
planteada en 1999, por el Instituto Americano de Contadores Públicos Certificados (The
American Institute of Certified Public Accountants (AICPA)) y el Instituto Canadiense de
Contadores Públicos (The Canadian Institute of Chartered Accountants (CICA)) quienes la
definen como una metodología para la emisión de informes de Auditoría, simultáneamente
o un corto periodo de tiempo después, de la ocurrencia de los hechos relevantes (Searcy,
Woodroof, & Behn, 2003).
Sin embargo, existen otras dos definiciones, que pueden dar una visión más amplia de la
auditoría continua, para no limitarnos tan solo a la fase de informes dentro del proceso de
auditoría. Es así como, el Instituto de Auditores internos (IIA), a través de su Guía de
Auditoría de Tecnología Global número 3, define la Auditoría continua como: “Todo método
utilizado por los auditores para realizar actividades relacionadas con la Auditoría en forma
(más) continua. Es la secuencia de actividades que abarcan desde la evaluación continua
de control hasta la evaluación continua de riesgos” (Coderre, 2005,p.7).
La Asociación de Control y Auditoría de Sistemas de Información (ISACA), en la directriz
número 42 de auditoría de sistemas de información, define la auditoría continua como un
método utilizado por los profesionales de auditoría y aseguramiento de Tecnologías de
Información, para llevar a cabo una evaluación de riesgos y controles, sobre una base más
frecuente. Es un método que utiliza Técnicas de Auditoría Asistidas por Computador
10
8
(TAAC’s), que permite a los profesionales de auditoría y aseguramiento de Tecnologías de
Información, monitorear los riesgos y controles en forma continua. Este enfoque permite
reunir evidencia selectiva de auditoría a través del computador (ISACA, 2010a).
A partir de las definiciones planteadas anteriormente y retomando características
establecidas en diferentes artículos de investigación, se propone la siguiente definición
como resultado de este proceso investigativo: La Auditoría Continua es un proceso a través
del cual, los auditores desarrollan su ciclo de auditoría, de forma más oportuna y de manera
constante, con el apoyo de las Tecnologías de Información y Comunicaciones, utilizando
técnicas de auditoría concurrentes para evaluar y monitorear de forma permanentemente,
la ocurrencia de riesgos y el incumplimiento de controles, de aquellos procesos que utilizan
de manera intensiva las TIC para su desarrollo.
4.2. Necesidad e importancia de la Auditoría Continua
Las Auditorías tradicionales que se desarrollan actualmente en las organizaciones,
realizan análisis de riesgos y evaluación de control de forma retrospectiva y cíclica, y por
lo general, mucho tiempo después de la ocurrencia de los eventos adversos en la
organización (fraudes, incumplimientos regulatorios, inadecuada aplicación de controles,
accesos no autorizados a sistemas de información, cambios no autorizados a reglas de
negocio……..); de igual forma, las pruebas que se realizan para obtener evidencia, se
basan en muchos casos en muestras representativas, sin abarcar la totalidad de la
población objeto de análisis. Todo ello genera un alcance limitado de la auditoría y una
respuesta inoportuna, a las necesidades actuales de las organizaciones que requieren dar
respuestas (hasta donde sea posible en tiempo real) a los eventos adversos que se pueden
generar en una organización y que llevan a que la función de auditoría interna y/o externa,
no aporte el valor agregado esperado de ellas, en detrimento de la eficacia, eficiencia y
efectividad de los procesos organizacionales.
109
De otro lado, la necesidad de la función de auditoría de ampliar su cobertura con los
mismos recursos, lleva a la necesidad de utilizar estrategias y mecanismos, que permitan
hacer más con menos, y allí las TIC juegan un papel fundamental, dado que la auditoría
continua hace uso intensivo de ellas, incorporándolas en el quehacer diario de los procesos
de auditoría, asignándole tareas mecánicas (verificación de controles automáticos,
incumplimiento de reglas de negocio incorporadas en sistemas de información, cambios
de parámetros de sistemas, incumplimiento de controles de secuencia…), en donde las
TIC son más eficientes que el mismo auditor.
Los procesos de auditoría manual son inadecuados, en un entorno donde las
organizaciones se desempeñan en un ambiente tecnológico, caracterizado por el uso
generalizado de las TIC; de allí, la necesidad de contar con técnicas y herramientas de
auditoría acordes, que garanticen una función de auditoría competitiva, ajustada a las
necesidades actuales de las organizaciones.
4.3. Conceptos asociados a la Auditoría Continua
Existen diferentes términos asociados a la auditoría continua, cuyo significado difiere de lo
que es realmente su concepto, de allí la importancia de dar claridad a algunos de estos
términos, cuyos principales referentes se pueden encontrar en la siguiente tabla.
Tabla 15. Términos relacionados con Auditoría Continua
SIGLA TÉRMINO PRINCIPALES AUTORES QUE UTILIZAN
EL TÉRMINO
CCM Continuous Controls
Monitoring
(Teeter & Brennan, 2008), (Gellacic,
2009),(Caldwell & Proctor, 2010a), (Alles,
Kogan, & Vasarhelyi, 2008), (Cangemi,
2010),(Alles & Vasarhelyi, 2009), (Teeter et
al., 2010),(Ramos, 2007), (Vasarhelyi,
2010), (Eniac, 2006), (Chan & Vasarhelyi,
2011), (Kogan, Alles, & Vasarhelyi, 2010),
(Vasarhelyi, Alles, & Williams, 2010a)
CM Continuous Monitoring (Cangemi, 2010), (Daigle, Daigle, & Lampe,
2008), (Vasarhelyi, Kuenkaikaew, Littley, &
11
0
Williams, 2006), (E. Aquino, 2011), (KPMG,
2009)
CA Continuous Assurance (C.-H. Yeh, Chang, & Shen, 2008), (Perols,
2009), (Handscombe, 2007), (Kearney &
Tryfonas, 2008), (Coderre, 2010), (Kneer,
2003), (Marks, 2010), (Kogan et al., 2010)
COA Continuous Online Auditing (Omoteso & Business, 2008), (El-Masry &
Reck, 2008), (Wenming, 2007), (Vasarhelyi,
1999), (Alles, Tostes, Vasarhelyi, & Riccio,
2006), (Blundell, 2007),
CDA Continuous Data
Assurance
(Alles & Vasarhelyi, 2009), (Teeter et al.,
2010), (Chan & Vasarhelyi, 2011), (Kogan et
al., 2010)
CDA Continuous Data Auditing (Vasarhelyi, 2010)
Fuente: Recopilación elaborada por el autor.
El término Continuous Online Auditing, es un sinónimo de Auditoría Continua (Continuous
Audit), el cual es asociado indistintamente con Monitoreo Continuo (Continuous
Monitoring) y aunque las técnicas y tecnologías empleadas son las mismas, su principal
diferencia se encuentra en la propiedad de los procesos. La Auditoría continua es
responsabilidad del área de Auditoría, mientras que el Monitoreo continuo es
responsabilidad de la administración ó de los dueños del proceso.
El término Assurance hace parte de la definición formal de auditoría, dada por el Instituto
de Auditores Internos, y aunque tiene una connotación amplia a nivel organizacional, al
referirse a diferentes instancias que cumplen labores de aseguramiento en la organización
(Abogados, Control de Calidad, Oficial de Seguridad….), en este caso es un término
asociado en general al control, monitoreo y auditoría. En este sentido, los términos
Continuous Assurance y Continuous Data Assurance contemplan estas funciones en su
función particular.
Por último y para integrar los términos Continuous Control Monitoring (CCM) y Continuous
Data Assurance (CDA) alrededor de la Auditoría Continua, complementado con el término
111
Continuos Risk Monitoring and Assessment; la figura 10 presenta su relación, a través de
lo propuesto en (Vasarhelyi et al., 2010a), donde se hace una interrelación de los
conceptos, si se tiene en cuenta que es un ciclo que podría iniciar por la adecuada
Identificación, Monitoreo y Evaluación de Riesgos (CRMA), el cual requiere de un flujo
constante de datos con ciertos criterios de calidad, a través de procesos de aseguramiento
(CDA), que permiten establecer procesos de Monitoreo Continuo del Control (CCM) en
respuesta a los riesgos; y dentro de este ciclo, la Auditoría Continua juega un papel
importante, para garantizar que estos tres componentes cumplan su función y puedan fluir,
para dar respuesta oportuna a los eventos adversos que pueden ocurrir en una
organización.
Figura 10. Principales componentes de la Auditoría Continua
Fuente: Adaptado de (Vasarhelyi et al., 2010a)
4.4. Génesis y evolución de la Auditoría Continua
11
2
De acuerdo con Blundell (2007), la Auditoría Continua (AC) no es un concepto totalmente
nuevo, ni tampoco es un concepto ampliamente implementado en las organizaciones. El
término AC, ha sido explorado en los círculos de auditoría interna desde la década de los
70 (Heffes, 2006), pero fue tratado de manera específica por primera vez en 1975 por
William Sprague, en un artículo titulado “Interim Financial reporting and continuous
auditing” publicado en el CPA Journal (Murcia, 2008); sin embargo, algunos autores
establecen que los primeros trabajos publicados fueron los de Groomer y Murthy en 1989
y los de Vasarhelyi y Halper en 1991(Kogan et al., 2010); aunque es pertinente aclarar que,
el trabajo desarrollado por Groomer y Murthy estuvo más relacionado con módulos
embebidos de auditoría, que con la AC propiamente dicha(Du & Roohani, 2007).
La figura 11 muestra los eventos más destacados en la evolución histórica de la AC,
corroborando de esta manera, que el concepto de AC no es un concepto nuevo, siendo el
profesor Miklos Vasarhelyi uno de los pioneros de la AC y de los autores más prolíficos en
la materia, llegando incluso a ser reconocido como el padre de la AC (Krell, 2004). Es
además quien dirige actualmente el Laboratorio de Aseguramiento y Reporte Continuo en
la Universidad de Rutgers, en Newark New Jersey.
Figura 11. Eventos destacados de la Auditoría Continua
Fuente: Tomado de (Valencia Duque, 2012d)
113
4.5. Nivel de adopción de la Auditoría Continua a nivel internacional
Son diversos los estudios que se han llevado a cabo en los últimos años, con el fin de
establecer el nivel de adopción de la Auditoría Continua por parte de la comunidad de
Auditores, generando incluso en algunos casos, estadísticas contradictorias que no
permiten establecer de manera clara, su nivel de adopción por parte de las organizaciones.
El resumen de estos estudios se puede observar en la Figura 12.
Figura 12. Algunos de los estudios del nivel de avance de la Auditoría Continua
Fuente: (Valencia Duque, 2012d)
De acuerdo con una encuesta a 858 ejecutivos de auditoría de todo el mundo, realizada
por la firma ACL en el año 2006, el 36% aplican la auditoría continua en uno o varios
procesos de la empresa, el 38% planea implementarla en un futuro, el 20% no la utiliza,
ni planea implementarla y el restante 6% no sabe o no responde (ACL, 2006).
11
4
En el año 2007, Ernst & Young en su encuesta de Auditoría Interna a nivel global, logró
establecer que el 44% de los encuestados, utilizan alguna forma de auditoría continua
(Ernst & Young, 2007).
En el 2008, KPMG y el Instituto de Auditores internos de España, llevo a cabo el III estudio
sobre la situación de auditoría interna en España, involucrando 121 empresas y arrojando
entre otros resultados, que el 42% de los encuestados utilizan alguna forma de Auditoría
Continua, mientras que el 58% no la utilizan (KPMG & IIA, 2008). Por su parte en el mismo
año, Ernst & Young desarrollo su encuesta de auditoría interna a nivel global, arrojando
igual porcentaje de empresas que utilizan la Auditoría Continua (Ernst & Young, 2008).
Sin embargo, muchos de estos estudios no contemplan ningún país de América Latina, lo
que evidencia su casi nula aplicación en este parte del continente.
De acuerdo con los resultados del IT Audit Benchmarking Study, desarrollado en el 2009
por la Fundación para la Investigación del Instituto de Auditores Internos (IIARF); el
software de auditoría continua aún no es muy popular (IIARF, 2009), conclusión originada
a partir de las estadísticas arrojadas por el estudio, en donde se establece que tan solo el
25% de los encuestados, utiliza algún tipo de software de auditoría continua, frente a un
59,8% que no utiliza ningún tipo de software y a un 15,2%, quienes manifiestan que este
tipo de software es “no aplicable” en su trabajo. Sin embargo, el estudio aplicado a 138
ejecutivos de auditoría, en su mayoría de Estados Unidos, logra establecer algunos de los
productos utilizados por las compañías, como soporte de los procesos de auditoría
continua, entre los que se encuentran ACL, Excel, IDEA, Oracle ApexDatabase,
PeopleSoft, Software propietario de extracción de datos y ShowcaseQuery.
La encuesta mundial de Auditoría interna, desarrollada por la Fundación para la
Investigación del IIA (IIARF) en el año 2010, considera a la Auditoría Continua como una
de las técnicas y herramientas de auditoría más usadas en Latinoamérica y la tercera que
más se usará, en los próximos cinco años en las organizaciones a nivel mundial.
Por su parte Gartner, a través de Caldwell & Proctor(2010b), en su informe identificado con
el código G00174594, del cuadrante mágico de soluciones para el monitoreo continuo del
115
control (Magic Quadrant for Continuous Controls Monitoring) publicado en marzo del 2010;
establece el mercado de las soluciones tecnológicas de monitoreo continuo (incluyendo
dos tipos de soluciones, Auditoría continua y monitoreo continuo), como un mercado
relativamente pequeño e inmaduro.
4.6. Nivel de adopción de la Auditoría Continua en Colombia
La revisión Bibliográfica realizada para el presente proyecto, permite establecer que no
existen estudios en la literatura académica, que permitan determinar el nivel de adopción
de los conceptos de auditoría continua en el sector público y/o privado colombiano. En tal
sentido, y como parte de la investigación cualitativa, se ha acudido a la investigación
acción, como método de indagación del estado actual de la Auditoría Continua en el sector
público Colombiano; para ello, el investigador y como parte del presente proyecto, ha
participado en diferentes eventos e interactuado con diferentes actores representativos del
Control Fiscal Colombiano, entre los cuales se destacan: contralores, auditores
gubernamentales, jefes de sistemas de las contralorías, asesores del proyecto control en
línea, por parte tanto de la Auditoría General de la República, como del Ministerio de
Tecnologías de Información, con el equipo responsable de desarrollar el proyecto control
en línea en el país y con la comunidad de auditores internos y auditores de sistemas de
Colombia y Latinoamérica, al igual que con algunos jefes de control interno. La interacción
previamente descrita se ha llevado a cabo a través de los siguientes eventos:
Tabla 16. Eventos de interacción con la comunidad académica y profesional del control y auditoría en Colombia.
EVENTO/INTERACCIÓN
(ORGANIZADOR)
CIUDAD Y FECHAS COMUNIDAD TIPO
PARTICIPACIÒN
Primer Encuentro Regional
de Contralores
Territoriales (Contraloría
de Manizales e Ibagué)
Ibagué
01-03-2012 al 03-
03-2012
Contralores
Jefes de Sistemas
de las Contralorías
Conferencista
(Valencia
Duque, 2012f)
9th CONTECSI y 25th
World Continuous Auditing
and Reporting Systems
Sao Paulo (Brasil)
31-05-2012
Investigadores de
Gobierno, Gestión,
Control de TI y
Conferencista
(Valencia
Duque, 2012e)
11
6
Symposium. (Universidad
de Sao Paulo y
Universidad de Rutgers)
Auditoría Continua
de Latinoamérica.
Congreso
Latinoamericano de
Auditores Internos
(Federación
Latinoamericana de
Auditores)
Asunción
(Paraguay)
Auditores Internos
Latinoamericanos
del sector público y
privado
Conferencista
(Valencia
Duque, 2012d)
VII Jornada Académica de
ISACA (ISACA Colombia)
Bogotá
15-08-2012
Auditores de
Sistemas de
Colombia
Conferencista
(Valencia
Duque, 2012c)
LATINCACS 2013 (ISACA
Internacional)
Medellín
28-09-2013 al 01-
10-2013
Auditores de
Sistemas
Latinoamericanos
del sector público y
privado.
Conferencista
(Valencia
Duque, 2013b)
Seminarios de
sensibilización de
Corporación en línea y
Control en línea, en el
marco del programa
Gobierno en línea.
(Ministerio de Tecnologías
de Información y
Comunicaciones/Auditoría
General de la República)
Bogotá. 15-11-
2012
Cartagena
30-11-2012
Cali. 12-12-2012
Contralores y
Funcionarios de las
Contralorías de
todo el país.
Conferencista
(Valencia
Duque, 2012b)
Charla de presentación del
uso de las TIC en la
Auditoría
Bogotá Responsables de la
implementación del
Proyecto Control
en línea.
Conferencista
(Ministerio de
Tecnologias de
la Información y
las
117
Comunicaciones
et al., 2012c,16;
Ministerio de
Tecnologias de
la Informaciòn y
las
Comunicaciones
, Auditoría
General de la
República,
Consorcio S&M,
& UT Software
Works,
2012b,56)
Seminario de prevención y
detección de fraude en las
entidades Públicas.
(Alcaldía de Medellín)
Medellín
(21-06-2013)
Jefes de Control
Interno de
Antioquia
Conferencista
(Valencia
Duque, 2013c)
Seminarios de
Fortalecimiento del
Autocontrol en la
Universidad Nacional de
Colombia
Bogotá
(03-12-2013)
Personal de
Control Interno y
Funcionarios de la
Universidad
Nacional de
Colombia en sus
diferentes sedes.
Conferencista
(Valencia
Duque, 2013a)
Comités de Dirección de la
Contraloría General del
Municipio de Manizales.
Manizales
(diversas fechas)
Directivos de la
Contraloría
General del
Municipio de
Manizales
Experto Invitado
Fuente: Elaboración Propia
11
8
De forma complementaria y como instrumento de medición, para validar el nivel de
adopción y avance de la Auditoría Continua en el país, se organizaron dos eventos
académicos, uno de índole nacional y otro de índole internacional, cuyo objetivo era
conocer el nivel de avance del Control en Línea y la Auditoría Continua en el país.
Tabla 17. Eventos académicos producto del proyecto de Investigación
EVENTO LUGARES Y FECHAS ORGANIZADORES
Primer Encuentro Nacional
de Control en línea y
Auditoría Continua.
Manizales. 19 y 20 de Abril
2012
Universidad Nacional de
Colombia (Sede Manizales)
– Contraloría General del
Municipio de Manizales
Segundo Encuentro
Nacional y primero
Internacional de Control en
línea y Auditoría Continua.
Manizales. Mayo 2013 Universidad Nacional de
Colombia (Sede Manizales)
– Contraloría General del
Municipio de Manizales;
con el apoyo de la Auditoría
General de la República y el
Ministerio de Tecnologías
de Información y
Comunicaciones.
Fuente: Elaboración propia.
Como conclusión del nivel de adopción de la auditoría continua, se puede afirmar que
“Colombia al menos en el sector público, aún no ha involucrado el concepto de Auditoría
Continua dentro de su quehacer auditor” (Valencia Duque, 2012c,p.36) y particularmente
en el Control Fiscal Colombiano, “En general, aún existe poco conocimiento de la Auditoría
Continua en el Control Fiscal Colombiano y el énfasis de uso de las TIC, está en la
automatización de algunos procesos que hacen parte del proceso Auditor”(Valencia
Duque, 2013,p.26; Valencia Duque, 2012c,p.34; Valencia Duque, 2012d,p.23), y,
Si bien las contralorías del país cuentan con herramientas tecnológicas para
soportar sus procesos de control fiscal y a su vez, la Auditoría General de la
Nación y la Contraloría General de la Nación , se encuentran realizando esfuerzos
para incorporar nuevas herramientas tecnológicas para apoyar la labor del control
119
fiscal, estas han sido pensadas para realizar una auditoría con el computador, y no
una auditoría a través del computador. (Valencia Duque, 2012b,p.29).
Lo anterior es corroborado por la tipología de sistemas de información con que cuentan las
entidades de control, que fueron presentados en el capítulo anterior; aunque son el objetivo
y los resultados, que hasta la fecha ha arrojado el proyecto de Control en línea, los que
ratifican el nivel de avance de la Auditoría Continua en Colombia, dado que este proyecto
actualmente se encuentra en la fase de diseño y desarrollo y que, se podría resumir en
una estructura técnica que permite la construcción de una plataforma tecnológica, donde
se integran las mejores prácticas que contienen algunos de los sistemas de información
que son usados en las diferentes Contralorías del país, para soportar sus principales
procesos. A partir de estos resultados preliminares, se puede concluir que el desarrollo
del uso de las Tecnologías de Información y Comunicaciones en el Control Fiscal
Colombiano, apunta a la integración de sistemas de información, lo cual es una evolución
al esquema existente hoy en día, ratificando lo planteado anteriormente, en relación a que
el Control Fiscal Colombiano se encuentra en la fase de “Auditoría con el computador”, y
aún no ha trascendido hacia la auditoría a través del computador, que es en esencia lo que
pretende el presente proyecto.
4.7. Estándares, guías y documentos de orientación
Como se ha mencionado en párrafos anteriores, la comunidad de profesionales de
contaduría y auditoría a nivel internacional, ha promulgado diferentes estándares, guías y
documentos de orientación alrededor de la Auditoría Continua. Dentro de estos,
mencionaremos a cuatro de las principales entidades a nivel internacional, que agrupan la
mayor cantidad de profesionales relacionados con la contaduría y auditoría, sin querer
decir con ello, que otras entidades no han promulgado documentos alrededor de la
temática, entre ellas las denominadas big 4 (KPMG, Deloitte, PriceWaterhouseCoopers y
Ernst &Young) y las compañías de software que han desarrollado soluciones tecnológicas,
para soportar los procesos de auditoría y monitoreo continuo en las organizaciones.
12
0
El Instituto Americano de Contadores Públicos Certificados (The American Institute of
Certified Public Accountants (AICPA)) y el Instituto Canadiense de Contadores Públicos
(The Canadian Institute of Chartered Accountants (CICA), fueron las primeras
agremiaciones que publicaron un documento, dando orientación a la comunidad de
contadores acerca de la Auditoría Continua, además de ser el principal referente de los
investigadores para establecer el concepto inicial de Auditoría Continua.
El Instituto de Auditores Internos (IIA), en 1995 y como parte de sus guías de Auditoría de
Tecnología, difundió la guía número 3, denominada “Continuous Auditing: Implications for
Assurance, Monitoring, and Risk Asessment” a través de la cual se identifica, qué se debe
hacer para lograr un uso eficaz de la tecnología a favor de la Auditoría Continua y destaca
las áreas que requieren especial atención. Esta guía se encuentra actualmente en proceso
de actualización y está disponible para los profesionales de auditoría afiliados al IIA.
La Asociación de Control y Auditoría de Sistemas de Información (ISACA), liberó en el año
2010 como parte de sus guías de Auditoría, la guía 42 denominada “Continuous
Assurance”, a través de la cual se pretende dar orientaciones a los profesionales en
auditoría, control y gobierno de tecnologías de información; alrededor de la planeación,
implementación y monitoreo de los procesos y sistemas de aseguramiento continuo en una
empresa. Es importante recordar que ISACA promulga tres tipos de documentos que
orientan la función del auditor de sistemas: los estándares, los cuales son obligatorios en
el cumplimiento de la función de auditoría de sistemas (en especial para el auditor que
cuenta con la certificación internacional CISA); las guías o directrices, las cuales
proporcionan asesoría y apoyo en la aplicación de los estándares de auditoría de sistemas;
y los Procedimientos, que proporcionan ejemplos de procedimientos que puede seguir un
auditor de sistemas para cumplir con los estándares.
El Instituto de Contadores Públicos de Australia (The Institute of Chartered Accountants in
Australia) liberó en Julio de 2010, un documento titulado “Continuous Assurance for the
Now Economy” cuyo objetivo, como lo plantea en su prólogo, es promover la discusión
sobre el aseguramiento continuo como un concepto, y en donde no solo las profesiones
de contador y auditor se encuentran involucradas, sino también, otras instancias tales
121
como los organismos de normalización, los reguladores, los usuarios gubernamentales y
demás stakeholders relacionados con este concepto.
El Instituto de Auditores Internos de España, en Octubre de 2014 dio a conocer a través
de su programa “La Fábrica del Pensamiento”, un documento titulado “Guía para Implantar
con éxito un modelo de Auditoría Continua” donde se presenta a la comunidad de
auditores, un esquema de implementación del modelo de Auditoría continua de acuerdo a
la cultura de cada entidad.
4.8. La Auditoría Continua. Un nuevo paradigma de la auditoría
A partir de los planteamientos presentados previamente, se puede observar que diversos
autores han planteado la existencia de un nuevo paradigma de auditoría, donde destacan
características similares que afectan estructuralmente, la forma como se aplican hoy los
conceptos de auditoría en las organizaciones, y que apuntan hacia la Auditoría Continua
como un nueva forma de abordar conceptual y metodológicamente la función de auditoría,
en un contexto cada vez más influenciado por las Tecnologías de Información y
Comunicaciones.
La Auditoría continua modifica el paradigma de la auditoría, dejando de ser una mera
revisión de ejemplos de transacciones, para transformarse en procedimientos continuos
de auditoría que evalúen el 100% de las transacciones, transformando la naturaleza de las
pruebas, el momento en que se las lleva a cabo, los procedimientos y el nivel de esfuerzo
(ACL, 2005).
En Baksa & Turoff (2010) se afirma que: La Auditoría Continua tiene el potencial de
transformar el paradigma de la auditoría existente, de una revisión periódica de unas
cuantas transacciones a una revisión continua de todas las transacciones; por su parte
Thornton(2011) establece que, la Auditoría Continua cambia el paradigma de la auditoría,
desde una revisión periódica de una muestra de transacciones, a una auditoría permanente
de todas las transacciones; González Tallón(2011) complementa afirmando que, la
Auditoría Continua modificaría el paradigma de la auditoría, lo que incluiría la naturaleza
12
2
de las pruebas, el momento en que se las lleva a cabo, los procedimientos y el nivel de
esfuerzo.
La entidad que agrupa a la mayor cantidad de auditores a nivel mundial a través de su guía
de Auditoría número 3, establece que: La Auditoría Continua cambia el paradigma de
auditoría: se dejan de lado las revisiones periódicas de una muestra de transacciones, para
dar lugar a pruebas de Auditoría permanentes de la totalidad de las transacciones (IIA,
2005b).
Para tratar de entender el porqué de ésta consideración, al margen de una discusión
científica de lo que históricamente ha significado el término paradigma y las características
necesarias para ser consideradas como tal, a continuación se presentan algunos paralelos
entre la Auditoría Tradicional y la Auditoría Continua, a partir de sus variables más
significativas.
En la siguiente tabla, se plantea un paralelo entre la Auditoría Tradicional y la Auditoría
Continua, desde 7 dimensiones.
Tabla 18. Paralelo entre la Auditoría Tradicional y la Auditoría Continua.
AUDITORÍA
TRADICIONAL CONTINUA
1. FRECUENCIA
Periódica Continua ó más frecuente
2. ENFOQUE
Reactivo Proactivo
3. PROCEDIMIENTOS DE AUDITORÍA
Manuales Automatizados
4. TRABAJO Y ROL DE LOS AUDITORES
La mayor parte del trabajo desarrollado
está centrado y es intensivo en los
procedimientos de auditoría
La mayor parte del trabajo realizado se centra
en el manejo de excepciones y procedimientos
de auditoría que requieren el juicio humano
Roles independientes del auditor
interno y del auditor externo
El papel del auditor externo se convierte en el
certificador del Sistema de Auditoría Continua
123
5. NATURALEZA, OPORTUNIDAD Y ALCANCE
5.1. NATURALEZA
Las pruebas consisten en
procedimientos de revisión analíticos y
pruebas detalladas sustantivas
Las pruebas consisten en monitoreo de
controles continuo y aseguramiento de datos
continuo
5.2. OPORTUNIDAD
Las pruebas de controles y las pruebas
detalladas se producen de forma
independiente
El monitoreo de los controles y las pruebas
detalladas ocurren simultáneamente
5.3. ALCANCE
Muestreo en las pruebas La población entera se considera en las
pruebas
6. PRUEBAS
Pruebas desarrolladas por las personas
El modelado de datos y el análisis de datos son
usados para monitorear y probar
7. INFORMES
Periódicos Continuos o muy frecuentes
Fuente: (Chan & Vasarhelyi, 2011)
McNamee en su texto “Risk Management: Changing the Internal Auditor´s Paradigm”
editado por el IIA Research Foundation, referenciado por Texeira (2009), plantea dos
paradigmas de auditoría, llamadas simplemente viejo y nuevo paradigma; caracterizando
en este último, aspectos de la Auditoría Continua, como se puede observar en la siguiente
tabla.
Tabla 19. Paralelo de dos paradigmas de la Auditoría Continua
ASPECTO DE
AUDITORÍA
VIEJO PARADIGMA NUEVO PARADIGMA
Foco de la Auditoría
Interna
Control Interno Riesgos de negocio
Respuesta de la auditoría
Interna
Reactiva, después de los hechos,
discontinua, observadora de las
iniciativas del plan estratégico
Proactiva, en tiempo
real, monitoreo
continuo, participante
12
4
en los planes
estratégicos
Evaluación de riesgos Factores de riesgo Planeamiento de
escenarios
Pruebas de auditoría Controles importantes Riesgos importantes
Métodos de auditoría Énfasis en las pruebas de control
detalladas y completas
Énfasis en la
importancia y el
alcance de que los
riesgos del negocio
estén cubiertos
Recomendaciones de
auditoría
Control Interno: Fortalecimiento,
Costo/Beneficio,
Eficiencia/Eficacia
Gestión de Riesgos:
Evitar/diversificar el
riesgo
Compartir/Transferir el
riesgo
Controlar/Aceptar el
riesgo
Informes de auditoría Dirigida a los controles funcionales Dirigida a los riesgos
de los procesos.
Papel del auditor interno
en la organización
Función de evaluación
Independiente.
Integración de la
gestión de riesgos en el
gobierno de la
organización
Fuente: (Texeira, 2009)
Por último, Chan & Vasarhelyi (2011) plantean tres componentes estructurales, en el
análisis de la Auditoría Continua frente a la tradicional: la naturaleza, el tiempo y la
extensión de las pruebas. Con respecto a la naturaleza, los autores plantean que, en una
auditoría tradicional, el control es manual y las pruebas sustantivas detalladas son
desarrolladas periódicamente, para evaluar las afirmaciones de la administración. Por el
contrario en la Auditoría Continua, el monitoreo del control es continuo y automatizado y
se requiere un aseguramiento continuo de los datos. En lo que respecta al tiempo,
generalmente en la Auditoría Tradicional las pruebas de control interno ocurren en la
125
planeación y las pruebas sustantivas detalladas ocurren en la fase de trabajo de campo de
la auditoría. Por el contrario, el monitoreo de los controles internos y las pruebas de los
datos de las transacciones, ocurren simultáneamente en un ambiente de auditoría
continua. En lo atinente a la extensión de las pruebas, en una Auditoría Tradicional, se usa
el muestreo, debido a lo intensivo en tiempo y mano de obra que requieren las pruebas;
en contraste, una auditoria continua considera a toda la población de transacciones en el
monitoreo y las pruebas.
12
6
5. Taxonomía y armonización de modelos de
Auditoría Continua.
La revisión bibliográfica a partir de fuentes académicas y profesionales, ha permitido
determinar lo que inicialmente llamaremos esquemas de auditoría, para referirnos de forma
genérica a los modelos, metodologías, guías y casos que han surgido desde 1989, fecha
en la cual surge el primer modelo de Auditoría Continua.
Estos esquemas se encuentran distribuidos en diferentes sectores y con diversas
perspectivas, proponiendo formas alternas de llevar a cabo la Auditoría Continua, aunque
en muchos casos confluyen hacia una serie de fases, que serán develadas a partir del
análisis estructural de cada uno de los esquemas objeto de análisis.
No obstante lo anterior, es necesario como punto de partida, presentar las bases técnicas
sobre las cuales se desarrollan la mayoría de estos esquemas, en lo que se ha
denominado técnicas de auditoría concurrentes. Estas técnicas son prerrequisitos para
adoptar la Auditoría Continua (Debreceny et al., 2005), de allí la importancia de
presentarlas de manera inicial.
5.1. Técnicas de auditoría concurrentes
Como se ha mencionado previamente, las técnicas de auditoría asistidas por computador
han sido clasificadas por diversos autores en tres categorías: Técnicas de auditoría
alrededor del computador, técnicas de auditoría con el computador y técnicas de auditoría
a través del computador. Dentro de estas últimas, se encuentran las técnicas asociadas a
la Auditoría Continua, también denominadas técnicas de auditoría concurrente ó técnicas
de auditoría en línea, debido a que actúan a la par con el procesamiento de la aplicación
organizacional que está siendo intervenida.
127
De acuerdo con ISACA(2012), existen cinco (5) tipos de técnicas de auditoría en línea:
- Archivo de revisión de auditoría de control de sistemas y módulos de
auditoría integrados (SCARF/EAM): Esta técnica implica desarrollar líneas de
código de auditoría, para integrarlo en el sistema de la organización, de modo que
los sistemas de aplicación sean monitoreados de manera selectiva.
- Snapshots: Esta técnica conlleva lo que podría denominarse la toma de fotografías
de la ruta de procesamiento, que sigue una transacción desde la etapa de ingreso
de datos hasta la obtención de la salida. Con el uso de esta técnica, las
transacciones son marcadas aplicando identificadores a los datos entrantes y se
registra la información seleccionada sobre lo que ocurre, para que el auditor la
revise posteriormente.
- Ganchos de auditoría (Audit Hooks): Esta técnica implica integrar ganchos en
los sistemas de aplicación, para que funcionen como banderas rojas e inducir a los
auditores a que actúen, antes que un error o irregularidad se salga de control.
- Instalación de prueba integrada (ITF): En esta técnica, se establecen entidades
ficticias y se incluyen en archivos de producción de un auditado. El auditor puede
hacer que el sistema procese o bien sean transacciones reales o transacciones de
prueba durante la ejecución de procesamiento regular y haga que estas
transacciones actualicen los registros de las entidades ficticias. El auditor luego
compara el resultado con los datos que han sido calculados de manera
independiente, para verificar el correcto procesamiento de los datos.
- Simulación continua e intermitente (CIS): Durante la corrida de un proceso de
una transacción, el sistema informático simula la ejecución de instrucciones de la
aplicación. A medida que cada transacción es ingresada, el simulador decide si la
transacción reúne ciertos criterios predeterminados y si es así, audita la
transacción. De lo contrario, el simulador espera hasta que encuentra la próxima
transacción que cumple con los criterios.
12
8
5.2. Esquemas de Auditoría Continua a nivel internacional
Existen diferentes esquemas para llevar a cabo una auditoría continua, los cuales han sido
recopilados y clasificados como parte de este estudio, a fin de determinar las principales
fases planteadas por la comunidad académica y profesional de la auditoría.
A partir de una extensa revisión bibliográfica, se han logrado identificar aproximadamente
30 esquemas que serán objeto de estudio, para caracterizar un proceso de auditoría
continua que permita sentar las bases para la propuesta de un modelo, que dentro del
contexto del Control Fiscal Colombiano, aporte al desarrollo de la Auditoria Gubernamental
Colombiana.
El primer modelo conocido de Auditoría Continua, fue desarrollado por Groomer & Murthy
en 1989, y a partir de allí y hasta la fecha, han surgido esquemas que permiten reflejar la
evolución de la Auditoría Continua a nivel internacional, como se puede observar en la
figura 13.
129
Figura 13. Modelos de Auditoría Continua a través del tiempo
Fuente: Elaboración propia.
En la siguiente tabla, se podrán observar los autores que han desarrollado y promovido los
diferentes modelos, que servirán de base para la elaboración de una taxonomía.
Tabla 20. Esquemas, modelos, metodologías y casos de Auditoría Continua.
NRO. AÑO ESQUEMAS REFERENCIA
1 1989 Modelo de Groomer & Murthy. (Groomer & Murthy, 1989)
2 1991 Continuous Process Audit Methodology (CPAM). AT & T
(Vasarhelyi & Halper, 1991), (Du & Roohani, 2007)
3 2001 Continuous Audit: Model Development and Implementation within a debt covenant compliance domain. (Modelo Woodroof)
(Woodroof & Searcy, 2001), (Searcy & Woodroof, 2003), (Blundell, 2007), (Ye & Li, 2010), (Aboa, 2014)
4 2002 Modelo Rezaee (Rezaee, Sharbatoghlie, Elam, & McMickle, 2002), (Rezaee et al.,
13
0
2004),(Blundell, 2007), (Ye & Li, 2010),(Abdolmohammadi & Sharbatoghlie, 2005),(Aboa, 2014)
5 2002 Oficina de Auditoria Nacional de China. (Wenming, 2007)
6 2003 Model for secure continuous auditing (Modelo Onions)
(Onions, 2003),(Blundell, 2007), (Ye & Li, 2010), (Aboa, 2014)
7 2004 Hospital Corporation of America (HCA) (Kevin, 2004),(Alles, Tostes, et al., 2006),(Chan & Vasarhelyi, 2011)
8 2004 A continuous auditing web services model for XML-based accounting systems
(Murthy & Groomer, 2004)
9 2005 Caso de Implementación en la Policía Montada Real de Canadá (RCMP)
(Baksa & Turoff, 2010), (IIA, 2005b)
10 2005 Modelo de Auditoría Continua del Instituto de Auditores Internos.
(IIA, 2005b)
11 2005 Model for transaction-based continuous auditing
(Abdolmohammadi & Sharbatoghlie, 2005); (Sharbatoghlie & Sepehri, n.d.)
12 2005 Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality
(Debreceny et al., 2005)
13 2006 Continuous Monitoring of Business Process Controls (CMBPC) (Caso SIEMENS)
(Alles, Brennan, Kogan, & Vasarhelyi, 2006),(Alles et al., 2008)
14 2007 Agent-based Continuous Audit Model (ABCAM)
(Chou, Du, & Lai, 2007), (Ye & Li, 2010)
15 2007 A Theoretical and Technical Model of an External Continuous Auditing System
(Lee & Chou, 2007)
16 2007 Continuous Auditing from a practical perspective
(Handscombe, 2007)
17 2007 Continuous Auditing Model in the context of independent audits
(Du & Roohani, 2007)
18 2008 On application of SOA to Continuous Auditing
(Ye, Chen, & Gao, 2008)
19 2008 The Web-service-based Continuous Auditing Model (WSCAM)
(Ye, He, & Xiang, 2008)
20 2008 Modelo Audit Server, de la Empresa Provincial de Energía de Córdoba (Argentina)
(Castello, Morales, & Wolfmann, 2008)
21 2010 Continuous Assurance – Guía 42 de ISACA
(ISACA, 2010a)
22 2010 Continuous Auditing Immune Model based on Object-oriented Rule Base (CAIMOR)
(Ye & Li, 2010)
131
23 2010 Caso UNIBANCO (Brasil) (C. E. De Aquino, Lopes da Silva, Sigolo, & Vasarhelyi, 2010)
24 2010 Auditoría Continua: mejores prácticas y caso real
(Jolly & Alcarraz, 2010)
25 2010 Modelo de Auditoría Continua propuesto por el Instituto de Contadores Públicos de Australia
(Vasarhelyi et al., 2010a)
26 2010 Modelo CRCA (Continuous Risk and Control Assurance)
(Marks, 2010)
27 2011 Innovation and Practice of Continuous Auditing
(Chan & Vasarhelyi, 2011)
28 2011 Metodologia Mainardi (Mainardi, 2011)
29 2013 The Predictive Audit Framework (Kuenkaikaew & Vasarhelyi, 2013), (Kuenkaikaew, 2013)
30 2014 Guía para implantar con éxito un modelo de Auditoría Continua
(Instituto de Auditores Internos de España, 2014)
Fuente: Información compilada por el autor.
Como se puede observar, el 2010 fue el año en el que se publicaron la mayor cantidad de
esquemas de auditoría.
5.3. Taxonomía de modelos de Auditoría Continua
Para llevar a cabo la taxonomía de modelos, se tomó como base el método MECT (Método
para la Construcción de una Taxonomía) planteado por Gasca & Manrique (2011), quienes
establecen 5 etapas para su realización:
- Planificación del contexto, de la audiencia y del contenido
- Delimitación del área de conocimiento
- Definición de categorías que representan el área de conocimiento
- Establecimiento de la relación entre las categorías
- Establecimiento del esquema y la estructura de las categorías
Como producto de este proceso se han establecido tres categorías y 8 tipologías, estas
últimas con algunas subdivisiones, como se puede observar en la figura 14.
Al analizar la distribución porcentual de los 30 modelos de Auditoría Continua (objeto de
análisis) tal como se puede observar en la tabla 21, se podría establecer como
13
2
caracterización general de los modelos de auditoría continua existentes, de los cuales
aproximadamente el 70% son teóricos (incluyendo las guías), por lo general formulados
para ambos tipos de auditorías; y en aquellos modelos donde se establecen propuestas
técnicas, un gran porcentaje se encuentran orientados a la técnica MCL (Monitor Control
Layer).
Tabla 21. Distribución porcentual de la taxonomía de modelos de Auditoría Continua
CATEGORÍA TIPOLOGÍA % SUBDIVISIÓN %
ORIGEN
APLICADO 30%
PÚBLICO 10%
PRIVADO 13%
S.D.* 7%
TEÓRICOS 57%
GUÍAS 13%
ORIENTACIÓN
METODOLOGÍA 47%
TÉCNICA 53% EAM 17%
MCL 36%
TIPO DE AUDITORÍA
INTERNA 27%
EXTERNA 13%
AMBAS 60%
*S.D.:Sin Determinar Fuente: Elaboración propia.
133
Figura 14. Categorías Taxonómicas de Auditoría Continua
Fuente: Elaboración propia
A continuación se presentan cada una de estas categorías, con sus respectivas tipologías.
5.3.1. De acuerdo a su origen
13
4
Esta clasificación parte de la necesidad de establecer la génesis de los esquemas y la
forma como surgieron, lo que ha permitido establecer a su vez tres categorías: Aquellos
que surgen a partir su aplicación en un contexto organizacional en particular (aplicados);
aquellos que surgen por organismos que proponen esquemas para el desarrollo de la
Auditoría Continua y que divulgan a sus afiliados, denominados tradicionalmente guías y
aquellos que surgen a partir de propuestas teóricas, generalmente basados en la revisión
de la literatura existente (Teóricos), siendo estos últimos los que representan la mayor
proporción de modelos desarrollados (con un 57%) como se puede apreciar en la figura
15.
Figura 15. Modelos de auditoría de acuerdo a su origen.
Fuente: Elaboración Propia.
5.3.1.1. Esquemas aplicados
Estos esquemas han sido fruto de la implementación en un ambiente específico, por
profesionales que los han desarrollado o han participado en su implementación, y han sido
divulgados a la comunidad académica a través de artículos ó eventos científicos o
profesionales.
Aplicados30%
Modelos Guìa13%
Teòricos57%
135
La principal característica de este tipo de esquemas, es el planteamiento de aspectos
técnicos ó tecnologías específicas aplicadas, en la solución de problemáticas de auditoría
o monitoreo de procesos organizacionales.
Dentro de los más difundidos en la literatura académica y profesional se han encontrado
nueve (9) casos, llevados a cabo en diferentes épocas, entidades y sectores, como se
pueden observar en la siguiente tabla.
Tabla 22. Modelos Aplicados de Auditoría Continua difundidos en la Literatura Académica y Profesional.
PROCESO EMPRESA MODELO SECTOR
Medición y Análisis
del proceso de
facturación
AT & T CPAM –The
Continuous
Process Auditing
System
Privado
Convenios de pago
de deudas en un
banco
Sector Bancario Continuous audit
Model
development and
implementation
within a debt
covenant
compliance
domain (Modelo
Woodroof)
S.D.
Monitoreo Continuo
de Recursos
Humanos, nómina,
proveedores y
cuentas por pagar
Hospital Corporation
of America (HCA)
Hospital
corporation of
America (HCA).
Privado
Cuentas por cobrar Policía Montada Real
de Canadá (RCMP)
Policía Montada
Real de Canadá
Público
Procesos genéricos Diferentes ERP’s Embedded Audit
Modules in
Enterprise
S.D.
13
6
Resource Planning
Systems:
Implementation
and Functionality
Auditoría a módulos
de SAP
SIEMENS
Corporation
CMBPC –
Continuous
Monitoring of
Business Process
Controls
Privado
Construcción de un
sistema de
información de
Auditoría
gubernamental para
promover un nuevo
modelo de Auditoría
Oficina de Auditoría
Nacional de China
Auditoría continua
online en el sector
gobierno Chino
Público
Sistema de nómina Empresa Provincial
de Energía de
Córdoba (Argentina)
Modelo Audit
Server.
Público
Procesos Bancarios UNIBANCO
(BRASIL)
Six Steps to an
Effective
Continuous Audit
Process
Privado
S.D.: Sin Determinar.
Fuente: Elaboración propia.
A su vez, esta tipología de modelos presenta una subdivisión en relación con el sector
donde se aplica, en respuesta a la necesidad de identificar aquellos esquemas que han
sido formulados y/o aplicados, tanto para el sector público, como privado y poder desde el
punto de vista metodológico establecer si existen características diferenciales en su
aplicación, dada la orientación del presente proyecto.
137
Para efectos de esta clasificación, se identificaron proyectos aplicados donde se logró
identificar explícitamente la organización en la cual se aplicó, ello debido a que existen
algunos esquemas que a pesar de ser considerados teóricos, han sido aplicados en alguna
organización, pero no se específica en cual entidad, como para llegar a categorizarlos
como públicos o privados.
Acorde a lo anterior, la base de los esquemas que serán objeto de análisis, corresponden
a 7 de los 9 los esquemas que fueron categorizados como aplicados en la clasificación
anterior, teniendo en cuenta el conocimiento del tipo de organización donde fueron
aplicados, de los cuales tres (3) corresponden a organizaciones públicas y los cuatro (4)
restantes a organizaciones privadas, tal como se puede apreciar en la figura 16.
Figura 16. Esquemas de Auditoría Continua de acuerdo al sector donde se aplican
Fuente: Elaboración propia.
5.3.1.2. Esquemas Teóricos de Auditoría Continua
Dentro de los diferentes esquemas difundidos en la literatura académica y profesional, los
teóricos son los que representan una mayor proporción, con un total de 17 sobre 30.
N.A77%
PRIVADO13%
PÙBLICO10%
13
8
Los modelos teóricos en algunos casos podrían ser categorizados como aplicados, pero
dado que tan solo se presenta la metodología seguida y no la organización, ni el contexto
específico en el cual se desarrolló, se clasifican en el rango de los teóricos.
Tabla 23. Modelos Teóricos de Auditoría Continua.
AÑO ESQUEMAS
1989 Modelo de Groomer & Murthy.
2002 Modelo Rezaee.
2003 Model for secure continuous auditing (Modelo Onions)
2004 A continuous auditing web services model for XML-based accounting systems
2005 Model for transaction-based continuous auditing
2007 Agent-based Continuous Audit Model (ABCAM)
2007 A Theoretical and Technical Model of an External Continuous Auditing System
2007 Continuous Auditing from a practical perspective
2007 Continuous Auditing Model in the context of independent audits
2008 On application of SOA to Continuous Auditing
2008 The Web-service-based Continuous Auditing Model (WSCAM)
2010 Continuous Auditing Immune Model based on Object-oriented Rule Base (CAIMOR)
2010 Auditoría Continua: mejores prácticas y caso real
2010 Modelo CRCA (Continuous Risk and Control Assurance)
2011 Innovation and Practice of Continuous Auditing
2011 Metodologia Mainardi
2013 The Predictive Audit Framework
Fuente: Elaboración propia
5.3.1.3. Guías de Auditoría Continua
Tres de las organizaciones más importantes e influyentes en el campo de la contaduría y
auditoría a nivel internacional, han establecido guías y directrices para su comunidad
alrededor de la Auditoría Continua, ellas son: el Instituto de Auditores Internos (IIA), la
Asociación de Control y Auditoría de Sistemas de Información (ISACA) y el Instituto de
Contadores públicos de Australia. A estas tres organizaciones, se le suma, la guía
desarrollada recientemente por el Instituto de Auditores Internos de España.
Tabla 24. Guías de Auditoría Continua establecidas por organismos Internacionales.
139
AÑO GUÌA ENTIDAD
2005 GTAG 3 – Guía de Auditoría de Tecnología
Global sobre Auditoría Continua.
Instituto de Auditores
Internos
2010 Continuous Assurance – Guía 42 de ISACA. ISACA
2010 Continuous Assurance for the now economy Instituto de Contadores
Públicos de Australia
2014 Guía para implantar con éxito un modelo de
auditoría Continua
Instituto de Auditores
Internos de España
Fuente: Elaboración propia
Las guías de Auditoría Continua son elementos esenciales para la comunidad profesional
de contadores y auditores, si se tiene en cuenta que, son los instrumentos a través de los
cuales se pone en práctica la Auditoría Continua por parte de la comunidad, que hace parte
de cada uno de estos organismos.
Es importante destacar que, el Instituto de Auditores Internos a nivel internacional publicó
en Junio del 2013, su consejo 2320-4 sobre aseguramiento continuo, donde se establece
la importancia del aseguramiento continuo en los procesos modernos de auditoría,
fortaleciendo la necesidad del uso de estas guías.
5.3.2. De acuerdo a su orientación
El desarrollo de un esquema de auditoría continua, puede estar orientado a ofrecer una
solución técnica ó a definir un esquema metodológico y en algunos casos, puede aportar
ambos enfoques. En este sentido se han clasificado los modelos, teniendo en cuenta su
enfoque exclusivamente hacia lo técnico o hacia lo metodológico, tomando como criterio
para su clasificación el involucramiento de técnicas o tecnologías específicas para su
desarrollo.
El 40% de los esquemas tiene un enfoque eminentemente metodológico y el restante 60%
obedece a una orientación técnica.
14
0
5.3.2.1. Esquemas de Auditoría Continua orientados a lo metodológico
Este tipo de modelos sugieren una serie de fases por desarrollar y en algunos casos,
presentan neutralidad tecnológica, lo que permite luego de su homogeneización,
establecer las fases generales de cualquier esquema.
En la siguiente tabla se listan los esquemas orientados a lo metodológico:
Tabla 25. Modelos de Auditoría Continua orientados a lo metodológico
MODELO ORIENTACIÓN
Innovation and practice of continuous auditing Metodológica
Model for Transaction-based continuous auditing Metodológica
Metodologia Mainardi Metodológica
Caso de Implementación en la Policía Montada Real de Canadá (RCMP). Metodológica
Continuous Assurance for the now economy Metodológica
Modelo Rezaee Metodológica
G42 CONTINUOUS ASSURANCE Metodológica
GTAG 3 – Guía de Auditoría de Tecnología Global sobre Auditoría Continua. Metodológica
Guía para implantar con éxito un modelo de Auditoría Continua Metodológica
Auditoría Continua: Mejores Prácticas y Caso Real Metodológica
Six Steps to an Effective Continuous Audit Process Metodológica
The Predictive Audit Framework Metodológica
Fuente: Elaboración propia
5.3.2.2. Esquemas de Auditoría Continua orientados a lo técnico
Dentro de esta tipología de modelos, se encuentran aquellos que por lo general pueden
estar orientados a una tecnología específica, para dar solución a un problema donde se
requiera la Auditoría Continua. Desde este punto de vista existe una variedad de
tecnologías, desde aquellas cuyo foco está orientado a analizar los módulos de Auditoría
Continua con que cuentan las principales ERP’s del mercado, hasta soluciones orientadas
a Web services, XML, SOA y agentes inteligentes, entre otros.
A continuación se listan los esquemas orientados a lo técnico:
Tabla 26. Modelos de Auditoría Continua orientados a lo técnico
141
MODELO TÉCNICA
Modelo de Groomer & Murthy. EAM
AUDIT SERVER MCL
A continuous auditing web services model for XML-based accounting systems
MCL
CPAS –The Continuous Process Auditing System EAM
Continuous Auditing Model in the context of independent audits MCL
Continuous Auditing From a Practical Perspective MCL
Hospital corporation of America (HCA) MCL
Continuous audit Model development and implementation within a debt covenant compliance domain (Modelo Woodroof)
MCL
Model for secure continuous auditing (Modelo Onions) MCL
Auditoría Continua online en el sector gobierno Chino EAM
Modelo CRCA (Continuous Risk and Control Assurance) MCL
A Theoretical and Technical Model of an external Continuous Auditing System
EAM
The Web-service-based Continuous Auditing Model (WSCAM) MCL
CAIMOR – Continuous Auditing Immune Model based on Object-Oriented Rule base
MCL
Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality
EAM
On Application of SOA to Continuous Auditing MCL
ABCAM - System for continuous auditing called the agent-based continuous audit model (ABCAM)
MCL
Fuente: Elaboración propia
Para la implementación de la Auditoría Continua desde el punto de vista técnico y tomando
como base las técnicas de auditoría concurrentes expuestas previamente, los modelos de
Auditoría Continua han propuesto dos enfoques: el primero es el de Módulos Embebidos
de Auditoría (Embedded Audit Module –EAM-) y el segundo es el de Capa de Monitoreo y
Control (Monitoring and Control Layer – MCL) (Best, Rikhardsson, & Toleman, 2009;C. Yeh
& Shen, 2010;Vasarhelyi, Alles, & Williams, 2010b;Alles & Vasarhelyi, 2009). A pesar de
ello, ha surgido otro enfoque híbrido, denominado EAM Ghosting, planteado por (Kuhn &
Sutton, 2010).
Los Módulos Embebidos de Auditoría, son subrutinas dentro de un programa de aplicación,
de una entidad que ejecuta procedimientos de control y de auditoría de forma concurrente,
con el procesamiento normal de la aplicación (Ye, He, et al., 2008) y que contemplan la
14
2
instalación de archivos o segmentos de código, dentro de un sistema objeto de control
(Groomer & Murthy, 1989).
La primera herramienta que muchos auditores internos consideraron, al momento de
utilizar la tecnología en un modelo de Auditoría Continua, fue el uso de módulos embebidos
de auditoría (Warren & Ley Parker, 2003). Esta técnica fue propuesta inicialmente en
Groomer & Murthy (1989).
Actualmente, algunos de los sistemas con que cuentan las organizaciones, contemplan
como parte de la solución tecnológica módulos embebidos de Auditoría, a través de los
cuales se pueden realizar parametrizaciones, para llevar a cabo seguimiento a ciertos
campos y/o registros del sistema. Estos módulos tradicionalmente hacen parte de las
principales ERP’s del mercado.
La Capa de Monitoreo y Control, por su parte, es una solución de software independiente
no integrada con el sistema de información, para lo cual se usa middleware con el fin de
extraer datos y realizar análisis, frente a unas reglas previamente definidas (Best et al.,
2009). Este enfoque surgió como una alternativa a EAM, propuesto por una gran cantidad
de modelos.
Este tipo de técnica, es un módulo de software que opera de forma independiente al
sistema objeto de monitoreo y se presenta como uno de los esquemas ideales en procesos
de auditoría externa.
En la tabla 27 se puede observar un paralelo entre ambas técnicas.
Tabla 27. Diferencias entre Técnicas de auditoría EAM y MCL.
CARACTERÍSTICA EAM MCL
Contiene un conjunto de reglas de auditoría predefinidas
Si Si
Localización del conjunto de reglas de auditoría y del programa
Dentro del sistema destino
Por fuera del sistema destino, por fuera de la red del cliente, si es auditor externo; por dentro de la red del cliente, si es auditor interno
143
Requiere de instalación de hardware adicional para su implementación
No Si
Realiza monitoreo en tiempo real Si No
Realiza reportes en tiempo real Si No
Notifica automáticamente al auditor de la violación de reglas
Si Si
Localización del almacenamiento de las reglas que han sido violadas
Base de datos del sistema destino
Base de datos externa al sistema destino; por fuera de la red del cliente, si es auditor externo; dentro de la red del cliente, si es auditor interno.
Propietario de los recursos del sistema
Cliente Firma del cliente, si es auditor interno; firma de Auditoría, si es auditor externo
Fuente: (Kuhn & Sutton, 2010)
Si bien no todos los modelos analizados establecen la técnica utilizada, existen algunos
modelos donde se puede determinar el tipo de técnica utilizada. Es así como en 17
modelos de los 30 analizados, se logró establecer la técnica utilizada, de los cuales, el
17% corresponde a modelos orientados a EAM y el 36% a modelos orientados a MCL.
5.3.3. De acuerdo al tipo de auditoría
Las diferencias existentes entre auditoría interna y externa no son radicales, dado que por
lo general se basan en la misma metodología, utilizan las mismas técnicas y en esencia
cumplen la misma función; sin embargo, su principal diferencia se encuentra en el personal
que la ejerce, en el nivel de independencia y en el acceso a la información.
Dentro de los esquemas de Auditoría Continua propuestos por académicos y
profesionales, tal como se puede observar en la figura 17, el 60% de los modelos no tiene
orientación específica, mientras que el restante 40% obedece a una tipología de auditoría
específica.
14
4
Figura 17. Esquemas de Auditoría Continua por Tipo
Fuente: Elaboración propia.
Dentro de los esquemas que se orientan específicamente a auditoría interna se encuentran
ocho (8), mientras que los que están orientados de manera específica a la auditoría
externa, tan solo son representados por cuatro (4), como se puede apreciar en la siguiente
tabla.
Tabla 28. Modelos de Auditoría Continua orientados a la auditoría tanto interna como externa.
Modelo de Auditoría Tipo de Auditoría
Auditoría Continua: Mejores Prácticas y Caso Real Interna
CPAS –The Continuous Process Auditing System Interna
Six Steps to an Effective Continuous Audit Process Interna
AUDIT SERVER Interna
CMBPC – Continuous Monitoring of Business Process Controls
Interna
GTAG 3 – Guía de Auditoría de Tecnología Global sobre Auditoría Continua
Interna
Hospital corporation of America (HCA) Interna
Caso de Implementación en la Policía Montada Real de Canadá (RCMP)
Interna
The Web-service-based Continuous Auditing Model (WSCAM)
Externa
INTERNA; 27%
EXTERNA; 13%AMBAS; 60%
145
Continuous Auditing Model in the context of independent audits
Externa
A Theoretical and Technical Model of an external Continuous Auditing System
Externa
Auditoría Continua online en el sector del gobierno Chino Externa
Fuente: Elaboración propia
5.4. Armonización de los modelos de Auditoría Continua
Establecer similitudes entre los diferentes esquemas de Auditoría Continua, tiene como
propósito aprovechar la base científica y la experiencia profesional existente hasta el
momento, para construir una especie de metamodelo, producto del análisis de los
elementos comunes encontrados y que sirva de base para la propuesta de un modelo
orientado hacia el objetivo del presente proyecto.
Para ello y partiendo de la necesidad de concebir la Auditoría Continua, como un nuevo
esquema de auditoría y no simplemente como técnicas y herramientas soportadas en
Tecnologías de Información, que hacen parte tan solo de la fase de ejecución de la
auditoría y teniendo en cuenta que, los resultados de un proceso de Auditoría Continua “se
integran al proceso de auditoría en todos sus aspectos, desde el desarrollo y
mantenimiento del plan de auditoría empresarial, hasta la realización y el seguimiento de
auditorías específicas” (Coderre, 2005,p.1); se requiere llevar a cabo un proceso de
armonización de los modelos, a partir de la taxonomía realizada previamente.
En conclusión, la armonización de modelos tiene como objetivo establecer los elementos
comunes de los diferentes modelos propuestos, con el fin de realizar una aproximación a
un modelo, que presente los elementos generalmente implementados de cada uno de los
demás modelos, como punto de partida para su posterior contextualización en el Control
Fiscal Colombiano.
5.4.1. Esquemas de armonización de modelos
El proceso de armonización de modelos no es un proceso nuevo, ya que ha sido aplicado
y estudiado por diferentes autores, quienes han planteado diversos esquemas entre los
que se destacan tres:
14
6
PrIME (Process Improvement in Multimodel Environment), un esquema propuesto por el
SEI (Software Engineering Institute) para la armonización de modelos de calidad de
software, basado en modelos tales como Six Sigma, CMMI, Lean y modelos ágiles(SEI,
2015).
Por su parte, Ferchichi, Bigand, & Lefebvre (2008) proponen un modelo para integrar los
modelos ISO 9001:2000 y CMMI, basado en las siguientes fases:
Paso 1: Selección de modelos: Para ello se requiere dar respuesta a las siguientes
preguntas: ¿Cuáles son los objetivos y los requisitos que pretende la selección de los
modelos por integrar?; ¿Cuáles son los modelos previstos (ISO 9001:2000, CMMI….)?;
¿Con qué presupuesto se cuenta y cuáles son los recursos disponibles?
Paso 2: Análisis de la sinergia de los modelos: Una vez elegidos los modelos, se realiza
su respectiva comparación, tratando de identificar las similitudes y diferencias. La sinergia
se construye, identificando las debilidades de los modelos y su complemento, con las
fortalezas de los demás modelos.
Paso 3: Construcción del modelo integrado: Esta fase permitirá resolver las
contradicciones en las relaciones existentes entre los elementos de los modelos,
consolidar los elementos donde existen relaciones y maximizar la sinergia a través de la
combinación de elementos complementarios.
Paso 4: Adaptación del modelo integrado al contexto de la empresa: Este paso permite
retener de cada modelo, los elementos relevantes requeridos en el contexto empresarial y
adaptarlo a la cultura de la empresa.
Por su parte Kelemen(2009) establece una serie de pasos para armonizar modelos, a
partir de su intención de unificar diferentes modelos de procesos de calidad de software,
estos pasos son resumidos en la figura 18.
147
Figura 18. Metodología Kelemen para la armonización de modelos
Fuente: (Cuellar, Pardo, Herrera, & Correa, 2014)
Por último Pardo, Pino, Garcia, Baldassarre & Piattini (2013), plantean un esquema
denominado HFramework, cuyo propósito es presentar una metodología para la
integración de múltiples marcos de gobierno de Tecnología de Información, donde la
metodología está basada en una estrategia de armonización basada en tres métodos, que
son:
Homogeneización: para proporcionar las herramientas necesarias para la puesta en
armonía de los modelos involucrados, adicionando una estructura común de entidades del
proceso. Para ello se deben llevar a cabo las siguientes tareas: i) Adquisición de
conocimiento de los modelos relacionados, ii) Análisis de estructura y terminología, iii)
Identificación de requerimientos y iv) Correspondencia.
Comparación: para llevar a cabo la identificación de las diferencias y similitudes entre los
diferentes modelos. Las tareas que se deben desarrollar para cumplir con este objetivo
son: i) Diseño del mapeo, ii) Llevar a cabo el mapeo, iii) Presentar los resultados del mapeo
y iv) Analizar los resultados del mapeo.
Integración: para combinar y/o unificar las mejores prácticas de los diferentes modelos, lo
que se logra llevando a cabo las siguientes actividades: i) Diseño de la integración, ii)
14
8
Establecimiento de un criterio de integración, iii) Llevar a cabo la integración, iv) Analizar
los resultados de la integración y v) Presentar el modelo integrado
5.4.2. Método para la armonización de modelos de Auditoría Continua
Tomando como referencia los esquemas de armonización presentados anteriormente, y
teniendo en cuenta la gran cantidad de esquemas de Auditoría Continua existentes, se
utilizará como base el modelo HFramework con algunos ajustes, dada la necesidad de
integrar al modelo, la taxonomía de modelos realizada en la primera parte de este capítulo.
Las fases que se siguen son las siguientes:
1. Homogeneización
a. Adquisición de conocimiento de los modelos relacionados: Esta etapa
conlleva la lectura y análisis de los diferentes modelos que son sujeto de
homogeneización.
b. Análisis de estructuras de los modelos: A partir del conocimiento de los
modelos se requiere entender su estructura en función del ciclo de auditoría.
c. Definición del modelo objetivo requerido: Se requiere definir en base el
objetivo que se pretende, las características del modelo que se requiere
obtener y que guiaran el proceso de comparación.
2. Comparación
a. Definición de un modelo base de comparación: A partir de la definición
del modelo objetivo requerido y de las diferentes estructuras de los modelos,
se deberá seleccionar el modelo más representativo y/o de mayor
granularidad que represente el modelo que se requiere.
b. Elaboración del mapeo por taxonomías: De acuerdo al modelo objetivo
requerido, se confrontará cada taxonomía con el modelo base de
comparación.
c. Cálculo de índices de cohesión: Cada mapeo por taxonomía deberá
elaborar el índice de cohesión de los modelos para su incorporación como
parte de la integración final del modelo.
149
3. Integración
a. Diseño y ejecución de la integración de los mapeos por taxonomías: A
partir de los resultados de los índices de cohesión, se realizará la
integración respectiva de acuerdo al orden de las taxonomías objeto de
análisis.
b. Establecimiento del modelo integrado: Al final se definirá el modelo
definitivo obtenido, tomando como referencia los resultados obtenidos en la
integración de mapeos por taxonomías.
5.4.3. Desarrollo de la estrategia de armonización
5.4.3.1. Fase de homogeneización
La ejecución de esta fase omite las etapas 1 y 2 (adquisición de conocimiento de los
modelos relacionados y análisis de estructura de los modelos) dado que ya fueron
ejecutadas, como parte del análisis taxonómico realizado en la primera parte de este
capítulo. Por lo tanto se partirá de la etapa 3.
Etapa 3: Definición del modelo objetivo requerido: Teniendo presente que, el proyecto
requiere la construcción de un modelo ajustado al Control Fiscal Colombiano, es necesario
contar con un modelo que cumpla con las siguientes características, en función de las
taxonomías previamente construidas: 1) que refleje las fases generalmente aceptadas de
Auditoría Continua, 2) en el contexto del sector público, 3) con un enfoque hacia la auditoría
externa (propio del control fiscal) y cuyo componente técnico esté orientado a 4) un
esquema MCL (propio de la auditoría externa).
En la siguiente tabla se puede observar, un resumen de estos criterios y el número de
modelos resultantes para cumplir el objetivo propuesto.
Tabla 29. Características del modelo objetivo requerido para la construcción de un modelo de Auditoría Continua para el Control Fiscal Colombiano
15
0
FOCO ORIENTADOR DE
HOMOGENEIZACIÒN
TAXONOMIA QUE SE UTILIZA
TIPOLOGIA QUE SE UTILIZA
NRO. DE MODELOS
QUE SE COMPARAN
1) Fases generalmente aceptadas de Auditoría Continua
De acuerdo a su origen Modelos Guía 4
De acuerdo a la orientación
Metodologías 12
2) Contexto del sector público
De acuerdo al tipo de organización
Organizaciones Públicas
3
3) Enfoque hacia la auditoría externa
De acuerdo al tipo de auditoría
Auditoría externa 4
4) Técnica de auditoría que se utiliza
De acuerdo a la técnica MCL 10
Fuente: Elaboración propia
Es importante tener en cuenta que, aunque un modelo puede pertenecer a una o varias
taxonomías, su análisis será diferente en función del componente del modelo, que será el
criterio orientador de la búsqueda de similitudes.
5.4.3.2. Fase de Comparación
Etapa 1: Definición del modelo base de comparación: Como producto del análisis
desarrollado para el establecimiento de la taxonomía de modelos, desde la lógica de un
proceso auditor y no simplemente como técnica, se ha construido un modelo base
fundamentado en el modelo de Auditoría Continua, propuesto por el Instituto de Auditores
Internos, debido a que es un modelo que cumple con una de las características
fundamentales del presente proyecto, que es la de concebir la Auditoría Continua no como
una técnica, sino como un proceso integral de auditoría con las fases propias de cualquier
auditoría; de igual forma se le ha seleccionado como base, por ser uno de los modelos con
mayor granularidad en las fases planteadas, además de ser uno de los referentes
principales para la comunidad de auditores a nivel internacional.
Sin embargo, si tenemos en cuenta que lo que se pretende es construir un modelo de
auditoría externa, se han complementado y ajustado una serie de fases, para garantizar la
pertinencia de los resultados, si se tiene en cuenta que la mayoría de los modelos han sido
desarrollados, con una orientación hacia la auditoría interna.
151
Acorde a lo anterior, el modelo base de referencia ajustado contempla 7 etapas y 23
actividades, como se puede apreciar a continuación:
Tabla 30. Modelo de Auditoría Continua de referencia
ETAPA ACTIVIDADES
Definición de Recursos y Análisis de
Costos
Definición de personal, recursos clave y gestión de competencias del auditor
Evaluación de costos y beneficios
Relaciones con la Administración
Obtener el respaldo de la alta dirección
Estado actual del monitoreo continuo
Desarrollar relaciones con la gestión de TI
Plan Anual de Auditoría Establecer áreas prioritarias
Planeación Detallada
Comprender los procesos de negocio
Definición de Objetivos y alcance de Auditoría Continua
Identificar Riesgos e Indicadores de Riesgo
Identificar Controles e Indicadores de Control
Identificar y Comprender Sistemas de Información Clave
Conocer y comprender las fuentes de datos
Conexión con aplicaciones/repositorios
Depurar y preparar los datos
Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos
Determinar la frecuencias de los procesos
Seleccionar y adquirir herramientas de análisis
Ejecución
Configurar los parámetros de aseguramiento continuo
Ejecutar pruebas de manera regular y oportuno para identificar excepciones
Comunicación de Resultados
Supervisar permanentemente los resultados de Auditoría Continua
Informar a la Dirección
Seguimiento Seguimiento a la implementación de las acciones implementadas
Garantizar la continuidad del proceso de Auditoría Continua.
Fuente: Elaboración propia
Etapa 2: Elaboración del mapeo por taxonomías: Para llevar a cabo esta etapa, se
realizó por cada taxonomía, el mapeo respectivo, para lo cual se desarrollaron las
siguientes actividades:
15
2
- Selección de modelos por cada taxonomía
- Análisis de cada una de las actividades o fases propuestas por el modelo
- Relacionamiento de cada actividad del modelo con el modelo base de referencia,
ubicándolo en cada una de las fases correspondientes
- Asignación del valor 1 en caso de relacionarse, o cero (0) en caso contrario
Los mapeos resultantes se pueden observar en el anexo 7.
Etapa 3: Cálculo de índices de cohesión: Tomando como referencia la tabla 36,
relacionada con las taxonomías consideradas para la construcción del modelo de
referencia, se procederá a construir, por cada una de las tipologías de modelos de cada
taxonomía requerida, un indicador que se denominará índice de cohesión, el cual se ha
construido de la siguiente forma:
- Conteo del número de veces en que se presenta la actividad en los modelos de
referencia.
- Cálculo porcentual del número de veces en que se presenta la actividad, sobre el
número de modelos objeto de análisis.
El resultado del cálculo porcentual, es lo que se denominará índice de cohesión, cuyo
significado determina la similitud metodológica que tienen en general todos los modelos,
con el modelo base de referencia y que servirá de base para establecer la metodología de
Auditoría Continua que se propondrá.
Estos valores utilizarán como base de interpretación, la escala de calificación planteada en
Pino, Baldassarre, Piattini & Visaggio(2010), dada la similitud del proceso y se
complementará con su significado, en función de la inclusión o no, en el modelo de
referencia para el Control Fiscal Colombiano. La asignación de colores para cada nivel se
hace, con el fin de proporcionar una visualización más amigable, como se puede apreciar
en la siguiente tabla:
Tabla 31. Niveles de valoración del índice de cohesión de los modelos
153
Nivel Rango del
índice de
cohesión
Nivel de
relacionamiento
Decisión de inclusión
como parte del modelo.
MUY ALTO 86-100% Fuertemente
relacionado
Incluir como parte del modelo
ALTO 51-85% Relacionado en gran
medida
Incluir como parte del modelo
PARCIAL 16-50% Parcialmente
relacionado
Incluir como parte del modelo
DÉBIL 1-15% Débilmente
relacionado
No Incluir como parte del
modelo
SIN 0% No relacionado No Incluir como parte del
modelo
Fuente: Elaboración propia
El índice de cohesión será calculado por etapas y por modelos; el primero representa el
porcentaje en el cual, las diferentes actividades del modelo de referencia se encuentran
relacionadas y el segundo, el nivel de cohesión del modelo en general.
Foco Orientador 1: Fases generalmente aceptadas de Auditoría Continua
Índice de cohesión de la Taxonomía de acuerdo a su origen
Una vez confrontados los 4 modelos, que hacen parte de la taxonomía de modelos guía
de Auditoría Continua, se lograron determinar los índices de cohesión por etapas y por
guías, como se puede observar en las tablas 32 y 33 respectivamente:
Tabla 32. Índice de cohesión por fases. Taxonomía por guías de auditoría
ETAPA Índice de Cohesión
Nivel de relación
Definición de Recursos y Análisis de Costos 50% PARCIAL
Relaciones con la Administración 58% ALTO
Plan Anual de Auditoría 75% ALTO
Planeación Detallada 57% ALTO
15
4
Ejecución 38% PARCIAL
Comunicación de Resultados 88% MUY ALTO
Seguimiento 50% PARCIAL
Índice promedio de cohesión de los modelos 59,4% ALTO
Fuente: Elaboración propia
Tabla 33. Índice de cohesión por modelos. Taxonomía por guías de auditoría
ETAPA
Número de actividades
que considera el modelo
Porcentaje de
Cohesión
Nivel de relación
GTAG 3 – Guía de Auditoría de Tecnología Global sobre Auditoría Continua (IIA Global)
29 82,6% ALTO
Guía para implantar con éxito un modelo de Auditoría Continua (Instituto de Auditores Internos de España)
20 52,2% ALTO
G42 Continuous Assurance (ISACA) 11 43,5% PARCIAL
Continuous Assurance for the now economy (Instituto de contadores públicos de Australia)
11 47,8% PARCIAL
Índice promedio de cohesión de los modelos 56,5% ALTO
Fuente: Elaboración propia
Índice de cohesión de la Taxonomía de acuerdo a la orientación
Dentro de la taxonomía de modelos de acuerdo a su orientación, las metodologías
representan un 40% equivalente a 12 modelos, de los cuales 4 son los modelos guía. Se
puede asumir que el modelo de la policía montada Real de Canadá, utilizo el mismo
método de la guía de auditoría del IIA, dado que es el mismo autor de la guía.
Por lo tanto, el cálculo del índice de cohesión de esta taxonomía, equivale al análisis de 7
modelos, cuyos resultados son los siguientes:
Tabla 34. Índice de cohesión por fases. Taxonomía por metodologías
ETAPA Porcentaje de
Cohesión Nivel de relación
Definición de Recursos y Análisis de Costos 7,15% DÉBIL
Relaciones con la Administración 23,8% PARCIAL
Plan Anual de Auditoría 42,9% PARCIAL
Planeación Detallada 51,9% ALTO
Ejecución 42,9% PARCIAL
155
Comunicación de Resultados 47,6% PARCIAL
Seguimiento 28,6% PARCIAL
Monitoreo continuo 14,3% DÉBIL
Índice promedio de cohesión de los modelos 32,4% PARCIAL
Fuente: Elaboración propia
Tabla 35. Índice de cohesión por modelos. Taxonomía por metodologías
ETAPA
Número de actividades
que considera el modelo
Porcentaje de
Cohesión
Nivel de relación
Auditoría Continua: Mejores prácticas y caso real
26 68% ALTO
Innovation and practice of continuous auditing
4 15,4% DÉBIL
Model for transaction-based continuous auditing
14 50% PARCIAL
Metodología Mainardi 18 53,8% ALTO
Modelo Rezaee 10 26,9% PARCIAL
Six Steps to an Effective Continuous Audit Process
6 26,9% PARCIAL
The Predictive Audit Framework 10 30,8% PARCIAL
Índice promedio de cohesión de los modelos 39% PARCIAL
Fuente: Elaboración propia
Es importante destacar que, en el análisis de estos modelos se encontraron dos fases
adicionales, que a pesar de no se referencian en la mayoría de los modelos, por
considerarlas fases importantes y que pueden aportar a la metodología final, se han
incorporado como parte del modelo en la etapa de comunicación de resultados,
denominada “Investigar la razonabilidad de las desviaciones detectadas”, propuesta por
otros dos modelos: el modelo de Jolly & Alcarraz (2010) y el modelo propuesto por
Abdolmohammadi & Sharbatoghlie (2005). De igual forma, se ha incorporado como una
nueva fase denominada monitoreo continuo (posterior al seguimiento), con la siguiente
fase “crear esquemas para transferencia a monitoreo continuo”, propuesta por
Kuenkaikaew & Vasarhelyi (2013).
Conclusiones de esta etapa
Esta etapa tiene como objetivo determinar las fases generalmente aceptadas de Auditoría
Continua, y como se puede observar en el análisis de modelos, a mayor granularidad,
15
6
mayor porcentaje de cohesión; de igual forma, a mayor cantidad de modelos analizados
para cohesionar, menor nivel de cohesión.
Es importante tener en cuenta que, la homogeneización de los modelos alrededor de un
modelo base busca principalmente, tratar de identificar una ruta común, un marco unificado
que sea complementado con los diferentes modelos analizados, articulando y validando
las diferentes actividades que se han planteado en los diferentes modelos, que como se
puede observar, es un poco disperso, si se tiene en cuenta que existen modelos que
cuentan con un máximo de 29 actividades, hasta modelos planteados de forma muy
general con 4 actividades.
En resumen y consolidando los índices de cohesión, en función de los modelos analizados
por cada taxonomía, se calculará el índice de cohesión promedio para determinar el nivel
de relacionamiento en general.
Tabla 36. Índice de cohesión total por fases. Fases generalmente aceptadas de Auditoría Continua.
ETAPA
Índice de Cohesión
Taxonomía 1
Índice de Cohesión
Taxonomía 2
Índice de cohesión promedio
Nivel de relacionamiento
1. Definición de Recursos y Análisis de Costos
50% 7,15% 28,6% PARCIAL
2. Relaciones con la Administración
58% 23,8% 40,9% PARCIAL
3. Plan Anual de Auditoría
75% 42,9% 59% ALTO
4. Planeación Detallada 57% 51,9% 54,5% ALTO
5. Ejecución 38% 42,9% 40,5% PARCIAL
6. Comunicación de Resultados
88% 47,6% 67,8% ALTO
7. Seguimiento 50% 28,6% 39,3% PARCIAL
8. Monitoreo continuo N.A. 14,3% 14,3% DÉBIL
Índice promedio de cohesión de los modelos
59,4% 32,4% 45,9% PARCIAL
Fuente: Elaboración propia
De acuerdo a lo anterior, el modelo generado a partir del análisis con su respectivo índice
promedio de cohesión es el siguiente:
Tabla 37. Índice total por actividades. Fases generalmente aceptadas de Auditoría Continua.
157
ETAPA FASE IC1 IC2 % NR
1.Definición de Recursos y Análisis de Costos
1.1.Definición de personal, recursos clave y gestión de competencias del auditor
50% 14,3% 32,2%
PARCIAL
1.2.Evaluación de costos y beneficios
50% 0,0% 25,0% PARCIAL
2.Relaciones con la Administración
2.1.Obtener el respaldo de la alta dirección
75% 28,6% 51,8% ALTO
2.2.Estado actual del monitoreo continuo
50% 14,3% 32,2% PARCIAL
2.3.Desarrollar relaciones con la gestión de TI
50% 28,6% 39,3% PARCIAL
3.Plan Anual de Auditoría 3.1.Establecer áreas prioritarias
75% 42,9% 59,0% ALTO
4.Planeación Detallada
4.1.Comprender los procesos de negocio
50% 57,1% 53,6% ALTO
4.2.Definición de Objetivos y alcance de Auditoría Continua
75% 57,1% 66,1% ALTO
4.3.Identificar Riesgos e Indicadores de Riesgo
75% 71,4% 73,2% ALTO
4.4.Identificar Controles e Indicadores de Control
50% 71,4% 60,7% ALTO
4.5.Identificar y Comprender Sistemas de Información clave
50% 28,6% 39,3% PARCIAL
4.6.Conocer y comprender las fuentes de datos
50% 85,7% 67,9% ALTO
4.7.Conexión con aplicaciones/repositorios
25% 28,6% 26,8% PARCIAL
4.8.Depurar y preparar los datos 50% 71,4% 60,7% ALTO
4.9.Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos
50% 28,6% 39,3%
PARCIAL
4.10.Determinar la frecuencias de los procesos
75% 42,9% 59,0% ALTO
4.11.Seleccionar y adquirir herramientas de análisis
75% 28,6% 51,8% ALTO
5.Ejecución
5.1.Configurar los parámetros de aseguramiento continuo
25% 14,3% 19,7% PARCIAL
5.2.Ejecutar pruebas de manera regular y oportuno para identificar excepciones
50% 71,4% 60,7%
ALTO
6.Comunicación de
Resultados
6.1.Supervisar permanentemente los Resultados de Auditoría Continua (Identificar
75% 42,9% 59,0%
ALTO
15
8
desviaciones o deficiencias de control)
6.2.Investigar la razonabilidad de las desviaciones detectadas
N.A. 28,6% 28,6% PARCIAL
6.3.Informar a la Dirección 100% 71,4% 85,7% ALTO
7.Seguimiento
7.1.Seguimiento a la implementación de las acciones recomendadas
50% 14,3% 32,2%
PARCIAL
7.2. Garantizar la continuidad del proceso de Auditoría Continua
50% 42,9% 46,5% PARCIAL
8.Monitoreo Continuo
8.1.Crear esquemas para transferencia a Monitoreo Continuo N.A.
14,3% 14,3%
DÉBIL
Fuente: Elaboración propia.
En función de los parámetros definidos previamente, el 96% de las actividades analizadas
hacen parte del modelo, a excepción de la etapa 8 (Monitoreo continuo), dado que no es
una actividad generalizada planteada en los modelos.
Foco Orientador 2: Contexto del sector público
A pesar de contar con tan solo tres modelos orientados hacia el sector público, uno de
ellos equivale al de la Real Policía de Canadá, que es la misma metodología usada en el
caso del Instituto de Auditores Internos, siendo su principal autor David Coderre; por lo
que, el aporte a la metodología en el contexto del sector público, no difiere del modelo
general propuesto.
En el caso de los otros dos modelos, las relaciones en la Empresa Provincial de Energía
en Argentina, divulgadas a través de Castello et al. (2008) son una aplicación de Auditoría
Continua orientada hacia lo técnico, que comprenden cuatro grandes fases:
Tabla 38.Relación de las fases del contexto del sector público
FASE FASEGENERAL
Relación con el modelo de
Auditoría Continua (Numeral)
1 Relevamiento de las operaciones a colectar y de las estructuras de datos asociadas
4.6.
2 Diseño del modelo de datos para el Servidor de Auditoría 4.8.
159
FASE FASEGENERAL
Relación con el modelo de
Auditoría Continua (Numeral)
3 Desarrollo de los procedimientos y del software para colectar datos desde el sistema de gestión, transferirlos al Servidor de Auditoría y grabarlos en el mismo
4.9.
4 Desarrollo de los procedimientos y software para recuperar las operaciones a controlar desde el Servidor de Auditoría y realizar procesos propios de auditoría.
4.9.
Fuente: Elaboración propia
Estas cuatro fases con respecto al modelo, se enmarcan en las actividades propias de la
etapa de planeación detallada del modelo general propuesto; es decir, no aportan
realmente al contexto del sector público.
El tercer modelo corresponde al modelo de “Auditoría Continua online en el sector gobierno
Chino” propuesto por Wenming (2007), donde se describe un modelo de Auditoría
Continua orientado hacia sus componentes técnicos, compuesta de tres capas técnicas,
sin aportar un contexto público que complemente el modelo propuesto.
En resumen, los tres modelos orientados a entidades públicas, no aportan elementos que
permitan poner en contexto un modelo específico orientado a lo público y como tal,
permanece la misma estructura del modelo planteado en la tabla 37.
Foco Orientador 3: Enfoque hacia la Auditoría Externa
Dado que el Control Fiscal utilizado por las contralorías del país, se ejerce de forma externa
a la organización, es necesario identificar características de los modelos, que diferencien
la forma de ejecutar la Auditoría Continua interna de una Auditoría Continua externa;
aunque, inicialmente podríamos afirmar que, las posibilidades que brinda actualmente la
tecnología no son una barrera de entrada para desarrollar el proceso, sea desde la
perspectiva de una auditoría interna o externa, sin embargo, el nivel de acceso a la
información que puede tener un auditor externo frente a un auditor interno, si podría
generar límites en su acceso; de igual forma, los procesos y las tecnologías desarrolladas
de Auditoría Continua que se ejecuten tradicionalmente, son propiedad de las firmas
externas y no quedan disponibles para su uso en la organización.
16
0
La taxonomía de modelos analizados que se enfocan hacia la auditoría externa son 4, de
los cuales 1 corresponde al modelo de “Auditoría Continua online en el sector gobierno
Chino”, que como se presentó anteriormente, está orientado a lo técnico sin realizarse
ninguna descripción específica, que pueda aportar a una caracterización propia de la
auditoría externa.
Foco Orientador 4: Técnica de Auditoría a utilizar
El desarrollo de procesos de Auditoría Continua requiere contar con infraestructura
tecnológica, para poder interactuar con la información de los procesos que son objeto de
auditoría. Esta infraestructura está supeditada al modelo técnico que se va a incorporar,
para cumplir con el propósito previsto, la cual a su vez, depende de las técnicas de
auditoría que se utilizarán.
En general, tal y como se ha establecido a través de la taxonomía, tradicionalmente los
modelos de Auditoría Continua utilizan EAM (Módulos Embebidos de Auditoría) ó MCL
(Capa de monitoreo del control) y a partir de allí incorporan los diferentes componentes
tecnológicos.
En este sentido, el análisis de esta taxonomía, nos permitirá tener una visión de las
principales tecnologías utilizadas en los diferentes modelos, en particular aquellos
orientados hacia la auditoría externa (esquema utilizado por el Control Fiscal Colombiano),
cuya técnica asociada es MCL.
El uso de MCL implica por lo general, acceder a la capa de datos del sistema de
información sujeto a auditoría, desde la misma organización o fuera de ella, y realizar a
partir de allí, los diferentes scripts para implementar las operaciones de Auditoría Continua.
De acuerdo al análisis de 11 modelos que se encuentran orientados hacia MCL, el 45% se
encuentran orientados hacia web services con sus diferentes arquitecturas, seguidos de
modelos orientados a data mart y data warehouse con un 26%, los otros corresponden a
agentes inteligentes y a un lenguaje denominado XCAL, como se puede observar en la
siguiente tabla.
Tabla 39. Tecnologías usadas en modelos de Auditoría Continua orientados a MCL
161
AMBIENTES TECNOLÓGICOS Y
TECNOLOGÍAS RELACIONADAS
MODELOS
Web services (SOA, SOAP, WSDL,
UDDI, XML, XBRL)
(Murthy & Groomer, 2004),(Du & Roohani,
2007), (Ye, He, et al., 2008), (Ye, Chen, Gao, &
He, 2008),(Woodroof & Searcy, 2001),
Data Mart, Data Warehouse (Marks, 2010), (Abdolmohammadi &
Sharbatoghlie, 2005),(Rezaee et al., 2002),
(Castello et al., 2008)
XCAL (eXtensible Continuous
Auditing Language)
(Onions, 2003)
Agentes inteligentes (Chou et al., 2007)
Fuente: elaboración propia
Dada la cantidad de modelos orientados a servicios web (en inglés, Web service o Web
services) es pertinente al menos de forma general, caracterizar lo que significa un web
service y su arquitectura básica.
En general, un web service es una tecnología que utiliza una serie de protocolos y
estándares, que sirven para intercambiar datos entre aplicaciones y cuenta con una
arquitectura básica, como se puede observar en la Figura 19.
16
2
Figura 19. Arquitectura básica de protocolos de servicios web.
Fuente: (Universidad de Vigo, 2008)
Es importante tener en cuenta que, si bien la caracterización de las tecnologías utilizadas
en Auditoría Continua a través de técnicas MCL, nos da una visión de las posibilidades
existentes al momento de abordar un proyecto de este tipo; el modelo propuesto tendrá
como característica principal la neutralidad tecnológica, dadas las amplias posibilidades
que brinda la tecnología y la cantidad de contralorías con diferentes niveles de madurez
tecnológica.
5.4.3.3. Fase de Integración
Etapa 1: Diseño y ejecución de la integración de los mapeos por taxonomías
Acorde a lo presentado previamente, en relación con el análisis de acuerdo a los 4 focos
orientadores, y dado que el primer foco (fases generalmente aceptadas de Auditoría
Continua) es el más influyente en la homogeneización final, por lo explicado en los
restantes tres focos orientadores, la integración final del modelo es equivalente a lo
establecido en la tabla 37; exceptuando la fase 8, por el bajo índice arrojado.
Etapa 2: Establecimiento del modelo integrado
163
Como se ha insistido en diferentes apartes de este documento, el concepto de Auditoría
Continua, debe ser concebido como un todo en relación con el proceso auditor, y no
simplemente como una técnica; de allí que, para efectos de consolidar el meta modelo de
Auditoría Continua, surgido a partir de la homogeneización de los diferentes modelos con
el foco orientador previsto, la metodología final de Auditoría Continua resultante es la
siguiente:
Tabla 40. Meta modelo de Auditoría Continua base para el Control Fiscal Colombiano.
ETAPA FASE
1.Definición de Recursos y Análisis de Costos
1.1.Definición de personal, recursos clave y gestión de competencias del auditor
1.2.Evaluación de costos y beneficios
2.Relaciones con la Administración
2.1.Obtener el respaldo de la alta dirección
2.2.Estado actual del monitoreo continuo
2.3.Desarrollar relaciones con la gestión de TI
3.Plan Anual de Auditoría 3.1.Establecer áreas prioritarias
4.Planeación Detallada (Programa de Auditoría)
4.1.Comprender los procesos de negocio
4.2.Definición de Objetivos y alcance de Auditoría Continua
4.3.Identificar Riesgos e Indicadores de Riesgo
4.4.Identificar Controles e Indicadores de Control
4.5.Identificar y Comprender Sistemas de Información clave
4.6.Conocer y comprender las fuentes de datos
4.7.Conexión con aplicaciones/repositorios
4.8.Depurar y preparar los datos
4.9.Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos
4.10.Determinar la frecuencias de los procesos
4.11.Seleccionar y adquirir herramientas de análisis
5.Ejecución
5.1.Configurar los parámetros de aseguramiento continuo
5.2.Ejecutar pruebas de manera regular y oportuna para identificar excepciones
6.Comunicación de Resultados
6.1.Supervisar permanentemente los Resultados de Auditoría Continua (Identificar desviaciones o deficiencias de control)
6.2.Investigar la razonabilidad de las desviaciones detectadas
6.3.Informar a la Dirección
7.Seguimiento
7.1.Seguimiento a la implementación de las acciones recomendadas
7.2. Garantizar la continuidad del proceso de Auditoría Continua
Fuente: Elaboración propia
16
4
Una de las características más sobresalientes de este modelo de Auditoría Continua, en
comparación con el modelo tradicional de auditoría, es la cantidad de actividades que se
concentran en la planeación detallada y en menor proporción en la ejecución, dado que es
la tecnología la que se encarga de la ejecución.
165
6. El Gobierno Electrónico como marco de
actuación de la Auditoría Continua en el
Control Fiscal Colombiano.
El gobierno electrónico, también denominado gobierno en línea ó e-government, cuenta
con diversas acepciones, que van desde conceptualizaciones que presentan el gobierno
electrónico únicamente, como la provisión de servicios públicos mediante aplicaciones en
Internet, hasta definiciones que lo caracterizan como el uso de cualquier tecnología de
información y comunicación en el gobierno (CEPAL & EUROPEAID, 2007).
Para efectos del presente proyecto, se partirá de dos definiciones institucionales que
presentan similitudes y que tratan de delimitar su concepto, no solo desde el punto de vista
instrumental, sino desde su impacto en la administración pública. En primer lugar, la
Organización de los Estados Americanos lo define como: la aplicación de las Tecnologías
de Información y la comunicación (TIC) al funcionamiento del sector público, con el objetivo
de incrementar la eficiencia, la transparencia y la participación ciudadana; por su parte, el
Banco Mundial lo concibe como el uso de las Tecnologías de Información y
Comunicaciones (TIC), para mejorar la eficiencia, efectividad, transparencia y rendición de
cuentas del gobierno. La materialización de este concepto, ha generado un nuevo
paradigma en la gestión gubernamental, que fusiona la utilización intensiva de las TIC
como formas de gestión, planificación, control y administración (A. (Naciones U. Naser &
Concha, 2011).
Sin embargo, es importante aclarar que el cambio tecnológico generado en el ámbito
gubernamental, suscitado por el gobierno electrónico, no se genera tan solo por el uso de
16
6
las TIC como artefactos tecnológicos, sino que conlleva cambios organizacionales,
rediseño de procesos, cambio de estrategias gubernamentales y sobre todo, cambios en
la percepción y uso de las TIC por parte de los funcionarios públicos y de la misma
ciudadanía, quien es al final la receptora de los servicios gubernamentales.
El desarrollo del gobierno electrónico en el mundo ha traído consigo, el surgimiento de una
nueva serie de términos que tratan de explicar la aplicación de las TIC, en diferentes
aspectos de la Administración Pública, que si bien no serán explicados en detalle, por no
ser el objeto esencial de este capítulo, si ponen en contexto el término e-control o control
electrónico o control en línea, como un subsistema del gobierno electrónico orientado hacia
las funciones de control gubernamental, y que será explicado más adelante. Términos
como “e-services”, “e-management”, “e-democracy”, “e-policy”, “e-transparency”, “e-
voting”, “e-procurement” e “e-participation” entre otros, han sido acuñados para describir
aspectos concretos de la funcionalidad e impacto del uso de las TIC en los aspectos
gubernamentales.
De igual forma, de acuerdo al tipo de interacción electrónica que se tenga con el gobierno
a través del uso de las TIC, se han definido diferentes términos para delimitar este tipo de
relaciones; entre estos términos se destacan: Government to Citizen (G2C) para delimitar
la relación entre el gobierno y la ciudadanía; Citizen to Government (C2G) para delimitar
la relación entre la ciudadanía y el gobierno; Government to Business (G2B) para delimitar
la relación del gobierno con el sector privado; Business to Government (B2G) para delimitar
la relación del sector privado con el gobierno; Government to Employee (G2E) para
delimitar la relación con los empleados gubernamentales; y Government to Government
(G2G), para delimitar la relación entre las diferentes instituciones del gobierno. Es
precisamente dentro de esta última categoría, que se enmarcan las relaciones existentes
entre las entidades fiscales superiores (así son denominadas en el ámbito internacional,
las organizaciones que ejercen el Control Fiscal en los diferentes países) y cada una de
las entidades gubernamentales que son sujetas de control.
No obstante y dada la importancia, alcance y magnitud, que representan los procesos de
control gubernamental en el aparato estatal de cualquier país, y para efectos del presente
proyecto, se establecerá un nuevo término, denominado Control to Government (Co2G)
167
como la relación bidireccional que se genera a partir del uso de las TIC, entre las entidades
fiscales superiores y las entidades gubernamentales sujetas de control. El Co2G es una
categoría derivada del G2G.
6.1. El Gobierno Electrónico a nivel mundial
El gobierno electrónico es un referente obligado cuando se habla de una moderna gestión
estatal, de allí que todos los países cuenten con una agenda al respecto (Frick, 2008),
cuyos niveles de avance difieren en función de las políticas, normas, modelos y estructuras
que se hayan diseñado para tal fin.
Uno de los referentes más importantes a nivel internacional, que miden el nivel de avance
del gobierno electrónico en los diferentes países del mundo, es el que desarrolla cada año
el Departamento de Economía y Asuntos sociales de las Naciones Unidas, donde se
concluye en su último estudio, tomando como referencia el año 2012, y tal como se puede
apreciar en la figura 20, que los países del Continente Europeo y del Continente
Americano, son los que más avance presentan en materia de gobierno electrónico, siendo
la República de Corea el país líder, seguido por los Países Bajos, el Reino Unido y
Dinamarca (United Nations, 2013).
16
8
Figura 20. Avance del Gobierno Electrónico por Continentes 2012
Fuente: (United Nations, 2013)
Se concluye en el citado estudio, que pese al el avance del gobierno electrónico en el
mundo, persiste la brecha digital entre los países desarrollados y los países en desarrollo,
originada en muchos de ellos por la falta de infraestructura electrónica y la considerable
diferencia entre los abonados y el ancho de banda.
6.2. Antecedentes del gobierno electrónico en Colombia
Al igual que otras naciones, Colombia ha buscado incluir en su modelo de desarrollo el uso
y aprovechamiento de las Tecnologías de la Información y Comunicaciones (Peres
Useche, 2003). Los primeros indicios de gobierno electrónico en Colombia se dan con la
expedición de la Ley 8 de 1970, mediante la cual se dan facultades extraordinarias al
Presidente de la República, para adoptar las medidas necesarias para generalizar el uso
del computador electrónico, en los trámites administrativos relacionados con los impuestos
nacionales y poner especial énfasis en el mejoramiento y organización de la oficina de
cobranzas y ejecuciones fiscales (Universidad de los Andes & Ministerio de Tecnologias
de la Informaciòn y las Comunicaciones, 2009).
Sin embargo fue en 1995, donde Colombia dio los primeros pasos alrededor del gobierno
electrónico, con la promulgación del Decreto ley 2150 y la creación del SINPRO (Sistema
de Información Normativo y de Procesos de la Administración Pública) a través del
documento CONPES 2790. A partir de allí, ha venido evolucionando con diversas normas
y planes de desarrollo de Tecnologías de Información, en donde siempre se ha
contemplado la estrategia de gobierno en línea, hasta el actual plan denominado vive
digital, en donde se da continuidad al proceso (ver Figura 21).
169
Figura 21. Evolución normativa del e-government en Colombia
Fuente: (Valencia Duque, 2012a).
Producto de los avances, Colombia ha obtenido reconocimientos no solo en materia de
gobierno electrónico, sino en otros aspectos relacionados con el uso de TIC´s. El más
reciente fue el obtenido en el marco del Mobile World Congress, una de las ferias más
importantes de tecnología, en donde Colombia recibió el premio “Government Leadership
Award 2012” dicho reconocimiento se obtuvo gracias al Plan Vive Digital, en
reconocimiento a su papel como líder regional y mundial, en la gestión de uno de los
recursos más escasos del mundo – el espectro- (Global Mobile Awards, 2012).
17
0
Figura 22. Países Emergentes en Gobierno Electrónico 2012
Fuente: (United Nations, 2013)
En la última medición del e-government realizada por las Naciones Unidas, Colombia es
considerado uno de los países emergentes en Gobierno electrónico (ver Figura 22) y se
encuentra a nivel mundial en el puesto 43 entre 190 naciones, en el cuarto lugar en
América, después de Estados Unidos, Canadá y Chile y en el segundo lugar en
Suramérica; de igual forma, es líder en América Latina en participación en línea y sexto en
el mundo (United Nations, 2013).
Tabla 41. Desarrollo actual del e-government en Sur América
171
Fuente: (United Nations, 2013)
6.3. El Gobierno electrónico en el Plan actual de Desarrollo Nacional
El Plan de Desarrollo Nacional 2010-2014 “Prosperidad para todos”, está estructurado
sobre 8 pilares: convergencia y desarrollo regional, crecimiento y competitividad, igualdad
de oportunidades, consolidación de la paz, innovación, sostenibilidad ambiental, buen
gobierno y relevancia internacional. Dentro del pilar de crecimiento y competitividad, se
encuentra el lineamiento estratégico de las Tecnologías de Información y Comunicaciones,
en donde a partir del plan de desarrollo del sector denominado “Vive Digital”, se espera:
Impulsar la masificación del uso de Internet, para dar un salto hacia la Prosperidad
Democrática. Creemos que a través de la masificación del uso de Internet, de la
apropiación de tecnología y de la creación de empleos TIC directos e indirectos,
lograremos reducir el desempleo, reducir la pobreza, aumentar la competitividad
17
2
del país y dar un salto hacia la prosperidad democrática. (Ministerio de Tecnologias
de la Informaciòn y las Comunicaciones, 2011b,p.20).
Para lograrlo, se ha tomado como referencia un modelo propuesto por el Banco Mundial,
denominado ecosistema digital (ver Figura 23), en donde se trata de articular la oferta y
demanda en un mercado digital, a través de cuatro componentes: del lado de la oferta, la
Infraestructura y los servicios y del lado de la demanda, los usuarios y las aplicaciones.
Figura 23. Ecosistema Digital
Fuente: (Ministerio de Tecnologias de la Informaciòn y las Comunicaciones, 2011)
Es en el componente de las aplicaciones, donde se articula la estrategia de gobierno en
línea, si se entiende que el gobierno debe desarrollar servicios gubernamentales para la
ciudadanía, a través de la construcción de aplicaciones, que hagan más fácil la interacción
del ciudadano con el gobierno.
Teniendo presente que, la estrategia de gobierno en línea se ha venido desarrollando
desde 1995, como se mencionó en párrafos anteriores, y que este plan le ha dado
continuidad al proceso, el equipo gestor de la estrategia ha establecido una nueva
arquitectura (ver Figura 24), compuesta de tres componentes: una red de servicios, un
entorno de colaboración y un componente de gobernabilidad.
173
Figura 24. Arquitectura de gobierno en línea
Fuente: CINTEL (2011)
A través del componente de gobernabilidad, los diferentes actores gubernamentales
pueden participar en la construcción de la arquitectura, teniendo en cuenta unos principios,
lineamientos, metodologías, guías y estándares; lo que permite hacer visible, el nivel de
avance de la estrategia de gobierno en línea, en las diferentes entidades que hacen parte
del aparato estatal.
Estos lineamientos fueron reglamentados inicialmente a través del Decreto 1151 de 2008,
donde se establecían las metodologías, las fases del gobierno en línea y los tiempos
máximos de implementación, en cada una de las entidades públicas del orden Nacional y
Territorial. Este decreto fue derogado y reemplazado por el Decreto 2693 del 21 de
Diciembre de 2012, donde se renuevan los lineamientos generales de la estrategia de
gobierno en línea.
17
4
6.4. Lineamientos, directrices y metodologías de la Estrategia de Gobierno en Línea en Colombia.
La Ley 1341 de 2009, denominada Ley TIC, definió en el artículo segundo, ocho (8)
principios orientadores de las Tecnologías de Información y Comunicaciones en el estado
Colombiano. Dentro de estos principios, el principio 8 denominado Masificación del
Gobierno en línea, establece lo siguiente:
“Con el fin de lograr la prestación de servicios eficientes a los ciudadanos, las
entidades públicas deberán adoptar todas las medidas necesarias para garantizar
el máximo aprovechamiento de las Tecnologías de la Información y las
Comunicaciones en el desarrollo de sus funciones. El Gobierno Nacional fijará los
mecanismos y condiciones para garantizar el desarrollo de este principio. Y en la
reglamentación correspondiente establecerá los plazos, términos y prescripciones,
no solamente para la instalación de las infraestructuras indicadas y necesarias, sino
también para mantener actualizadas y con la información completa los medios y los
instrumentos tecnológicos.”
A partir de allí, el Consejo Nacional de Política Económica y Social promulgó el Documento
CONPES 3650 de 2010, denominado: “Importancia estratégica de la estrategia de
Gobierno en línea”, donde se realiza un recuento de las acciones y logros alcanzados por
el Gobierno Colombiano en los últimos años, en materia de Gobierno electrónico, y se
designan el Ministerio de Tecnologías de Información y Comunicaciones y el Departamento
Nacional de Planeación para formular nuevos lineamientos de política, que contribuyan a
la sostenibilidad de la Estrategia de Gobierno en Línea.
Como resultado de las acciones requeridas para garantizar la sostenibilidad de la
Estrategia de Gobierno en línea, se reglamentaron sus lineamientos a través del Decreto
2693 del 21 de Diciembre de 2012. Dentro de dichos lineamientos, se establecen entre
otros aspectos los siguientes:
1. Los aspectos prioritarios del gobierno en línea
2. El Modelo de Gobierno en línea, con sus respectivos niveles de madurez
3. Los plazos para la implementación de las diferentes fases de Gobierno en Línea
175
4. La necesidad de construir (actualizar) el Manual de Gobierno en Línea
5. El Monitoreo y Evaluación del Gobierno en Línea
6.4.1. Aspectos prioritarios del Gobierno en Línea
De acuerdo a lo establecido en el artículo 6, del Decreto 2693 de 2012, los cinco (5)
aspectos prioritarios del Gobierno en línea, que deben tener en cuenta las entidades
públicas son los siguientes:
1. Provisión de trámites y servicios por múltiples canales y uso de tecnologías de
información y comunicaciones en los procedimientos administrativos.
2. Interoperabilidad, cadenas de trámites y ventanillas únicas virtuales.
3. Tecnología y ambiente.
4. Datos y gobierno abierto.
5. Construcción colectiva.
6.4.2. El Modelo de Gobierno en Línea, con sus respectivos
niveles de madurez
El artículo 7 del Decreto 2693 de 2012, plantea un modelo de gobierno en línea constituido
por 6 componentes (Ver Tabla 42), que deben ser implementados por las instituciones del
sector público, los cuales serán evaluados periódicamente, teniendo en cuenta 4 niveles
de madurez: Nivel Inicial: Nivel en el cual se cuenta con las condiciones institucionales,
en términos tecnológicos, humanos, normativos, presupuestales y de planeación, para
habilitar cada uno de los componentes; Nivel Básico: Nivel en el cual hay evidencia de
prestación de trámites y servicios en línea. Existe entendimiento dentro de la entidad
pública sobre los objetivos y beneficios del uso de las Tecnologías de la Información y las
Comunicaciones en la apertura de información, en los procedimientos administrativos y en
la interacción y prestación de servicios eficientes a los usuarios y ciudadanos que han sido
caracterizados; Nivel Avanzado: Nivel en el cual se masifica la prestación de trámites y
servicios en línea, de acuerdo con las necesidades de los ciudadanos y usuarios
identificadas. El Gobierno en Línea está institucionalizado, es parte de la rutina diaria y la
17
6
cultura del sujeto obligado. Los procesos de rendición de cuentas y participación ciudadana
en línea para la toma de decisiones se realizan con frecuencia; Nivel Mejoramiento
Permanente: Nivel en el cual hay interiorización, innovación y réplica de experiencias
exitosas en cuanto al Gobierno en línea. La entidad cuenta con datos abiertos, a partir de
los cuales se han generado servicios de valor agregado para los ciudadanos; implementa
permanentemente acciones de mejora, para garantizar la satisfacción de las necesidades
de sus usuarios y de la ciudadanía en general, tanto en la prestación de servicios, como
en la discusión de políticas y promoción del control social.
Tabla 42. Componentes de Gobierno en línea
COMPONENTE DESCRIPCIÓN
Información en
línea
Los sujetos obligados disponen para los diferentes tipos de usuarios,
un acceso electrónico a toda la información relativa a su misión,
planeación estratégica, trámites y servicios, espacios de interacción,
ejecución presupuestal, funcionamiento, inversión, estructura
organizacional, datos de contacto, normatividad relacionada,
novedades y contratación observando las reservas constitucionales
y legales; cumpliendo todos los requisitos de calidad, disponibilidad,
accesibilidad, estándares de seguridad y dispuesta de forma tal, que
sea fácil de ubicar, utilizar y reutilizar.
Interacción en
línea
Los sujetos obligados habilitan herramientas de comunicación de
doble vía entre los servidores públicos, organizaciones, ciudadanos
y empresas. Igualmente, habilitan servicios de consulta en línea y
ofrecen mecanismos en línea que acercan a los usuarios a la
administración, le posibilitan contactarla y hacer uso de la información
que proveen las entidades públicas por medios electrónicos.
Transacción en
línea
Los sujetos obligados disponen sus trámites y servicios para los
diferentes tipos de usuarios, quienes podrán gestionarlos por
diversos canales electrónicos a través de ventanillas únicas,
permitiéndoles realizar desde la solicitud hasta la obtención de la
decisión o del servicio, sin la necesidad de aportar documentos que
reposen en cualquier otra entidad pública o privada que cumpla
funciones públicas. Lo anterior, haciendo uso de autenticación
177
electrónica, firmas electrónicas y digitales, estampado cronológico,
notificación electrónica, pago por medios electrónicos, expedientes
electrónicos, actos administrativos electrónicos y archivos
electrónicos.
Transformación Los sujetos obligados realizan cambios en la manera de operar, para
eliminar límites entre sus dependencias y con otras entidades
públicas, intercambiando información por medios electrónicos y
haciendo uso del lenguaje común de intercambio de información,
lideran o participan en cadenas de trámites en línea. Así mismo, la
entidad automatiza sus procesos y procedimientos internos e
incorpora la política de cero papel.
Democracia en
línea
Los sujetos obligados crean un ambiente para empoderar a los
ciudadanos e involucrarlos en el proceso de toma de decisiones. El
ciudadano participa activa y colectivamente en la toma de decisiones
de un estado totalmente integrado en línea. Igualmente, las entidades
públicas incentivan a la ciudadanía a contribuir en la construcción y
seguimiento de políticas, planes, programas, proyectos, la toma de
decisiones, el control social y la solución de problemas que involucren
a la sociedad, en un diálogo abierto de doble vía.
Elementos
transversales
Los sujetos obligados conocen sus diferentes grupos de usuarios,
han identificado sus necesidades e investigan permanentemente
sobre los cambios en las tendencias de comportamiento, para aplicar
este conocimiento a sus diferentes momentos de interacción. De
igual forma, las entidades tienen identificada la cadena de valor de
sus procesos, cuentan con una caracterización actualizada de la
infraestructura tecnológica y han establecido un plan de ajuste
permanente. Así mismo, cuentan con una política de seguridad que
es aplicada de forma transversal y mejorada constantemente.
Finalmente, han incorporado el Gobierno en Línea como parte de la
cultura organizacional y elemento de soporte en sus actividades
misionales.
17
8
No obstante lo anterior, y a pesar de que recientemente el Decreto 2573 de 2014, define
una nueva estructura vigente a partir del 1 de Enero de 2015, es con esta estructura con
la cual se ha venido trabajando a nivel nacional, por parte de las entidades públicas.
La nueva estructura está en función de 4 componentes:
TIC para Servicios. Comprende la provisión de trámites y servicios a través de medios
electrónicos, enfocados a dar solución a las principales necesidades y demandas de los
ciudadanos y empresas, en condiciones de calidad, facilidad de uso y mejoramiento
continuo.
TIC para el Gobierno Abierto. Comprende las actividades encaminadas a fomentar la
construcción de un estado más transparente, participativo y colaborativo, involucrando a
los diferentes actores en los asuntos públicos, mediante el uso de las Tecnologías de la
Información y las Comunicaciones.
TIC para la Gestión. Comprende la planeación y gestión tecnológica, la mejora de
procesos internos y el intercambio de información. Igualmente, la gestión y
aprovechamiento de la información para el análisis, toma de decisiones y el mejoramiento
permanente, con un enfoque integral para una respuesta articulada de gobierno y así,
hacer más eficaz la gestión administrativa en instituciones de gobierno.
Seguridad y Privacidad de la Información. Comprende acciones transversales a otros
componentes enunciados, además de proteger la información y sistemas de información,
del acceso, divulgación, interrupción o destrucción no autorizada.
6.4.3. Plazos para la implementación de los diferentes
componentes de Gobierno en Línea
179
Los plazos para implementar los diferentes componentes de Gobierno en Línea, están en
función del tipo de entidad pública, las cuales han sido clasificadas en cuatro tipologías
como se puede apreciar en la siguiente tabla.
Tabla 43. Plazos para la Implementación de la Estrategia de Gobierno en Línea
AÑO
COMPONENTES
Información
en línea
Interacción en
línea
Transacció
n en línea
Transformació
n
Democracia
en línea
Transversale
s
SUJETOS OBLIGADOS DEL ORDEN NACIONAL
2013 80% 80% 70% 70% 80% 75%
2014 95% 95% 95% 95% 95% 95%
2015 100% 100% 100% 100% 100% 100%
PARA GOBERNACIONES DE CATEGORÍA ESPECIAL Y PRIMERA; ALCALDÍAS DE
CATEGORÍA ESPECIAL, LA ADMINISTRACIÓN PÚBLICA Y DEMÁS SUJETOS
OBLIGADOS EN EL MISMO ORDEN
2013 50% 60% 30% 20% 55% 50%
2014 80% 70% 70% 45% 80% 75%
2015 95% 95% 95% 90% 95% 95%
2016 100% 100% 100% 100% 100% 100%
PARA GOBERNACIONES DE CATEGORÍA SEGUNDA, TERCERA Y CUARTA;
ALCALDÍAS DE CATEGORÍA PRIMERA, SEGUNDA Y TERCERA, LA
ADMINISTRACIÓN PÚBLICA Y DEMÁS SUJETOS OBLIGADOS EN EL MISMO
ORDEN
2013 40% 25% 15% 15% 40% 35%
2014 55% 60% 35% 40% 65% 60%
2015 80% 75% 70% 70% 85% 85%
2016 100% 100% 100% 100% 100% 100%
PARA ALCALDÍAS DE CATEGORÍA CUARTA, QUINTA Y SEXTA, LA
ADMINISTRACIÓN PÚBLICA Y DEMÁS SUJETOS OBLIGADOS EN EL MISMO
ORDEN
2013 40% 25% 15% 15% 40% 35%
2014 55% 50% 35% 35% 65% 60%
2016 80% 75% 70% 60% 95% 85%
2017 100% 100% 100% 100% 100% 100%
18
0
Fuente: Elaborado a partir del Decreto 2693 de 2012.
Al igual que con la estructura, el Decreto 2573 de 2014, redefine los tiempos para el
cumplimiento de los 4 componentes, tanto a nivel territorial como a nivel nacional.
COMPONENTE 2015 2016 2017 2018 2019 2020
Sujetos obligados del Orden Nacional
TIC para servicios 90% 100% 100% 100% 100% 100%
TIC para el gobierno abierto 90% 100% 100% 100% 100% 100%
TIC para la gestión 25% 50% 80% 100% 100% 100%
Seguridad y privacidad de la
información
40% 60% 80% 100% 100% 100%
Sujetos Obligados del Orden Territorial
(Categoría A. Gobernaciones de categoría Especial y Primera; alcaldías de categoría y demás sujetos obligados la Administración Pública
en el mismo nivel. Categoría B. Gobernaciones categoría segunda, y cuarta; alcaldías categoría primera, segunda y tercera y sujetos
obligados de la Administración Pública en el mismo nivel. Categoría C. Alcaldías categoría cuarta, quinta y sexta, y demás sujetos
obligados la Administración Pública en mismo nivel.)
TIC para servicios Entidades A 70% 90% 100% 100% 100% 100%
Entidades B 45% 70% 100% 100% 100% 100%
Entidades C 40% 55% 70% 100% 100% 100%
TIC para el gobierno
abierto
Entidades A 80% 95% 100% 100% 100% 100%
Entidades B 65% 80% 100% 100% 100% 100%
Entidades C 65% 75% 85% 100% 100% 100%
TIC para la gestión Entidades A 20% 45% 80% 100% 100% 100%
Entidades B 10% 30% 50% 65% 80% 100%
Entidades C 10% 30% 50% 65% 80% 100%
181
Seguridad y privacidad
de la información
Entidades A 35% 50% 80% 100% 100% 100%
Entidades B 10% 30% 50% 65% 80% 100%
Entidades C 10% 30% 50% 65% 80% 100%
Fuente: Tomado a partir del Decreto 2573 de 2014
6.4.4. Construcción (Actualización) del Manual de Gobierno en
Línea
Antes de la expedición del Decreto 2693 de 2012, las entidades públicas contaban con un
manual para la implementación de la estrategia de gobierno en línea, reglamentado
mediante el Decreto 1151 de 2008, el cual en su versión 3.0, era la guía que utilizaban
todas las entidades públicas del país.
A partir de la expedición del Decreto en mención, se promulgo la versión 3.1 del Manual
de Gobierno en Línea, el cual reestructura la forma como se debe avanzar, en la
implementación de la estrategia de gobierno en línea. El nuevo manual se encuentra
estructurado a partir del objetivo de cada componente, las actividades que se deben
desarrollar y un valor ponderado, que servirá de base para la construcción del índice de
gobierno en línea, que permitirá evaluar el nivel de cumplimiento de los porcentajes
establecidos, en los diferentes años del numeral anterior.
A continuación se resumen las actividades por desarrollar, para cumplir con cada uno de
los componentes de Gobierno en Línea.
Tabla 44. Actividades y pesos de cada uno de los componentes de Gobierno en Línea.
ACTIVIDAD PESO SUBACTIVIDAD PESO
PARCIAL
INFORMACIÒN EN LÍNEA
PUBLICACIÓN DE
INFORMACIÓN
57% Política Editorial 8%
Publicación de Información 40%
Acceso multicanal 9%
43% Inventario de Información 12%
18
2
PUBLICACIÓN DE
DATOS ABIERTOS
Apertura de datos 31%
INTERACCIÓN EN LÌNEA
HABILITAR ESPACIOS
DE INTERACCIÓN
50% Consulta interactiva de
información
20%
Servicios de interacción 30%
HABILITAR ESPACIOS
ELECTRÓNICOS PARA
INTERPONER
PETICIONES
50% Sistemas de contacto y PQRD 28%
Sistemas móvil de contacto y
PQRD
11%
Sistema Integrado de PQRD 11%
TRANSACCIÒN EN LÌNEA
DISPONER TRÁMITES
Y SERVICIOS EN LÍNEA
100% Formularios para descarga 5%
Certificaciones y constancias 15%
Trámites y servicios 65%
Ventanillas únicas 15%
TRANSFORMACIÒN
HACER USO DE
MEDIOS
ELECTRÓNICOS EN
PROCESOS Y
PROCEDIMIENTOS
INTERNOS
45% Buenas prácticas 9%
Sistema de gestión de
documentos
13%
Automatización de procesos 23%
INTERCAMBIAR
INFORMACIÓN ENTRE
ENTIDADES
55% Cadenas de trámites 27,5%
Servicios de intercambio de
información
27,5%
DEMOCRACIA EN LÌNEA
DEFINIR LA
ESTRATEGIA DE
PARTICIPACIÓN
15% Estrategia de participación por
medios electrónicos
15%
CONSTRUIR DE
FORMA
PARTICIPATIVA LAS
40% Normatividad 20%
Planeación Estratégica 20%
183
POLÍTICAS Y
PLANEACIÓN
ESTRATÈGICA
ABRIR ESPACIOS
PARA EL CONTROL
SOCIAL
20% Rendición de cuentas 20%
ABRIR ESPACIOS DE
INNOVACIÓN ABIERTA
25% Promoción de datos abiertos 8%
Solución de problemas 17%
ELEMENTOS TRANSVERSALES
INSTITUCIONALIZAR
LA ESTRATEGIA DE
GOBIERNO EN LÍNEA
30% Comité o instancia responsables
de Gobierno en Línea
7,5%
Planeación del Gobierno en Línea 7,5%
Estrategia de apropiación 7,5%
Monitoreo y Evaluación 7,5%
CENTRAR LA
ATENCIÓN EN EL
USUARIO
30% Caracterización de usuarios 15%
Estrategia de promoción 5%
Accesibilidad 5%
Usabilidad 5%
IMPLEMENTAR UN
SISTEMA DE GESTIÓN
DE TIC
15% Planear el ajuste tecnológico 10%
Protocolo IPv6 5%
IMPLEMENTAR UN
SISTEMA DE GESTIÓN
DE SEGURIDAD DE LA
INFORMACIÓN (SGSI)
25% Sistema de gestión de seguridad
de la información
25%
Fuente: Resumido a partir de (Ministerio de Tecnologías de Información y Comunicaciones,
2013)
6.4.5. Monitoreo y Evaluación de Gobierno en línea
18
4
El monitoreo y evaluación de Gobierno en línea se presenta bajo dos instancias: la primera
orientada a que las mismas entidades establezcan acciones, que permitan garantizar el
cumplimiento de la estrategia de gobierno en línea en la entidad; la segunda instancia está
orientada hacia el Ministerio de Tecnologías de Información y Comunicaciones, quien
deberá definir los mecanismos, para evaluar el nivel de avance de la implementación de la
estrategia de gobierno en línea, en las entidades públicas del país.
Para dar cumplimiento a este último compromiso, el Programa Gobierno en Línea
desarrolló un modelo de evaluación con el apoyo de la Universidad de los Andes, el cual
fue aplicado en el año 2012, para evaluar las fases establecidas inicialmente en el Decreto
1151 de 2008, soportado por el Manual de Implementación en su versión 3.0.
6.5. Estado actual del Gobierno Electrónico en Colombia.
A partir del último informe de evaluación y monitoreo, elaborado por el Ministerio de
Tecnologías de Información y Comunicaciones, denominado “El Gobierno en línea
Colombia 2011” y teniendo en cuenta que, sus resultados están en función de la
metodología de implementación de la estrategia de gobierno en línea, versión 3.0, dado
que fue liberado en agosto de 2012, previo a la expedición del Decreto 2693 de 2012; se
presentan a continuación, los principales hallazgos y conclusiones del informe.
Es importante tener en cuenta que, se han seleccionado resultados que en el contexto del
presente proyecto, permiten establecer el nivel de avance de las entidades públicas del
país en materia de gobierno electrónico, como base para la aplicación de los conceptos de
Auditoría Continua; ello conlleva a considerar los resultados arrojados, en relación tan solo
de las entidades públicas, si se tiene en cuenta que también fueron objeto de evaluación
la ciudadanía y las empresas.
El universo analizado en el estudio, en relación con las entidades públicas, contempla 195
entidades del orden Nacional y 1132 del orden territorial (Alcaldías y Gobernaciones).
185
6.5.1. Infraestructura Tecnológica de las entidades públicas del
orden nacional y territorial.
Las entidades públicas Colombianas cuentan en su mayoría, con infraestructura
tecnológica que les permite acceder y proveer servicios de Gobierno en Línea,
fundamentado en la disponibilidad de servicios de conectividad, hardware adecuado e
infraestructura de red. Es así como el 90% de las entidades del orden Nacional y el 63%
del orden territorial, manifiestan contar con servicios de conectividad adecuados; el 89%
de las entidades del orden Nacional y el 75% en el caso territorial, cuentan con redes de
área local cableada y el 57% y 29% respectivamente, con redes locales inalámbricas.
En cuanto a hardware, el 84% de las entidades del orden Nacional y el 52% del orden
territorial, manifiestan contar con hardware adecuado, para atender la prestación de los
servicios a través de medios y canales electrónicos.
En la Figura 25, se presenta un resumen del nivel de incorporación de algunos de los
componentes que hacen parte de la infraestructura tecnológica, necesarios para avanzar
en la estrategia de gobierno en línea, en el orden nacional y territorial.
18
6
Figura 25. Infraestructura Tecnológica de las entidades públicas Colombianas
Fuente: (Ministerio de Tecnologías de la Información y las Comunicaciones, 2012)
6.5.2. Nivel de avance en los componentes de gobierno en línea
De acuerdo con la dirección de gobierno en línea del Ministerio de Tecnologías de
Información y Comunicaciones, el nivel de avance presentado en cada una de las fases
de Gobierno en Línea, establecidas inicialmente en el Decreto 1151 de 2008, en el periodo
comprendido entre el 2008 y el 2011; nos muestra un avance desigual entre las
organizaciones públicas de nivel nacional, frente a las de nivel territorial, explicado por la
diferencia de recursos con los que cuenta cada uno de estos niveles.
187
Es importante tener en cuenta, para efectos de poder interpretar adecuadamente los
resultados, que de acuerdo al modelo de evaluación llevado a cabo por la dirección de
gobierno en línea y elaborado por la Universidad de los Andes, para evaluar el grado de
avance en la implementación de las diferentes fases de gobierno en línea, se han definido
tres escalas de evaluación; de 0 a 50 nivel bajo; de 51 a 80 nivel medio y entre 81 y 100
nivel de avance alto.
Las entidades de nivel nacional, han presentado una evolución importante, al pasar en
el índice agrupado promedio de todas las entidades, de un nivel de avance bajo de 49
puntos en 2008, a un nivel alto de 87 puntos en 2011; encontrándose para este último año,
todas las fases de gobierno en línea en un nivel alto, como se puede apreciar en la Figura
26.
Figura 26. Nivel de avance de las fases de Gobierno en Línea en las entidades de nivel nacional. 2008-2011
Fuente: (Ministerio de Tecnologías de la Información y las Comunicaciones, 2014)
Las entidades de nivel territorial se encuentran en un nivel bajo de avance en la
estrategia de gobierno en línea, al contar con un índice promedio de 41 puntos al 2011,
presentando un nivel diferencial en cada una de sus fases, desde un nivel medio de avance
de las fases de Información en línea e Interacción, hasta un nivel bajo en las tres fases
restantes, no superando en promedio los 31 puntos de avance, como se puede observar
en la Figura 27.
18
8
Figura 27. Nivel de avance de las fases de Gobierno en Línea en las entidades del nivel territorial. 2008-2011
Fuente: (Ministerio de Tecnologías de la Información y las Comunicaciones, 2014)
6.5.3. Aspectos relevantes en el nivel de avance de la Estrategia
Gobierno en Línea
Para efectos del presente proyecto, existen algunos aspectos que se deben destacar en
el estudio, del nivel de avance de la estrategia de gobierno en línea, adelantado por el
ministerio, entre ellos se distinguen:
Intercambio de información entre entidades públicas: Mientras que en el año 2009, el
63% de las entidades públicas de orden nacional y el 47% de las entidades públicas de
orden territorial, realizaban intercambio de información con otras entidades públicas; para
el año 2011, se incrementó este porcentaje en 65% y 60% respectivamente.
Frente a la incorporación de la estrategia de gobierno en línea como una herramienta
institucionalizada, a través de la incorporación en las políticas institucionales o sectoriales
de la entidad, para el año 2011 el 76% de las entidades nacionales la habían incorporado
como tal, mientras que solo el 68% de las entidades territoriales habían realizado tal
incorporación.
189
En cuanto al número de trámites y servicios en línea ofrecidos por las entidades de orden
nacional y territorial, se ha presentado un incremento en su número para el año 2011,
llegando a un nivel de avance del 48% y 24% respectivamente.
6.5.4. Las entidades de Control frente a la Estrategia de Gobierno en Línea.
Es importante tener presente que, a pesar de que al programa gobierno en línea, que es
el responsable de la estrategia, le compete monitorear permanentemente el nivel de
avance en la implementación de las diferentes fases, es a las entidades de Control Fiscal
del país a quienes les corresponde, como mínimo, ejercer un control de legalidad para el
cabal cumplimiento de los objetivos previstos por la estrategia; y sin lugar a dudas, esto
hace parte del control en línea.
De igual forma, es importante llamar la atención, al ejemplo que deben dar las entidades
de control, en el cumplimiento de las normativas de gobierno en línea como requisito sine
qua non, para poder ejercer las funciones de control en las demás entidades públicas.
Al respecto y de acuerdo a lo establecido en el informe del Programa Gobierno en Línea,
los organismos de control tuvieron un índice de avance hasta el año 2011 de 72,
manteniendo este índice estable desde el 2009, con un leve incremento (de 3 puntos) entre
el 2010 y el 2011. Se resalta el nivel de avance alto de calificación en la fase de
Información, mientras que en las demás fases se encuentran en un nivel medio.
Tabla 45. Nivel de avance de la Estrategia de Gobierno en Línea de los organismos de control (2008-2011)
FASES GOBIERNO EN LÌNEA NIVEL DE AVANCE
2008 2009 2010 2011
Información en línea 75 93 80 86
Interacción en línea 62 92 69 79
Transacción en línea 44 66 81 78
Transformación en línea 45 71 68 72
Democracia en línea 24 61 53 55
Fuente: Extraído a partir de (Ministerio de Tecnologías de la Información y las
Comunicaciones, 2012)
19
0
6.6. Las Tecnologías de Información del sector
gubernamental al margen del programa gobierno en
línea
Si bien el programa gobierno en línea ha dado impulso y seguirá impulsando el desarrollo
de estrategias y soluciones tecnológicas basadas en la web, como plataforma para el
desarrollo de servicios en línea, las entidades públicas cuentan y seguirán contando con
otras tecnologías de información, en especial sistemas de información que están al margen
de las que se desarrollan dentro de la estrategia de gobierno en línea, y que para el efecto
de este proyecto, hacen parte del alcance de la Auditoría Continua.
Las Tecnologías de Información y Comunicaciones, de las cuales disponen las diferentes
entidades públicas en sus diferentes niveles, desde una perspectiva eminentemente
operativa, se pueden tipificar en dos categorías: Infraestructura de Tecnologías de
Información y Sistemas de Información.
La infraestructura de Tecnologías de Información, no es muy visible a los usuarios finales,
ni a la ciudadanía en general, sin embargo, sin ella sería imposible prestar los servicios
tecnológicos que proporcionan los sistemas de información. Dentro de esta infraestructura
tecnológica encontramos: los centros de energía, los data center, los diferentes tipos de
servidores, la infraestructura de red (incluyendo Internet), los sistemas operativos, las
bases de datos e inclusive, las herramientas utilizadas para el desarrollo de aplicaciones.
Los Sistemas de Información, representan la tecnología más visible para los usuarios
finales, y en el contexto del gobierno, para la comunidad. Ellos posibilitan de manera
directa la automatización de los procesos de gobierno. Con el fin de tipificar los diferentes
sistemas de información con que cuenta el sector público Colombiano, y teniendo como
variables de clasificación el tipo de proceso (solo de la entidad, o genérico en varias
entidades) y el nivel de difusión hacia la comunidad (interno o externo a la ciudadanía), se
expondrán los 4 tipos de sistemas de información existentes en la Figura 28.
191
Niv
el
de d
ifu
sió
n Difusión hacia
la ciudadanía Tipo II Tipo IV
Solo para uso
interno Tipo I Tipo III
Propios
Genéricos en varias
entidades
Tipo de Procesos en las entidades
públicas
Figura 28. Tipología de Sistemas de Información en el sector público
Fuente: (Valencia Duque, 2012a)
Sistemas de Información Tipo 1: Automatizan procesos internos en la organización
pública y que no están de cara al ciudadano, al menos de manera directa. Dentro
de esta categoría podemos encontrar, los sistemas de información que automatizan
los procesos de apoyo de la organización pública, y que son adquiridos o
desarrollados por cada entidad, entre los que podemos encontrar: la contabilidad,
el presupuesto, el manejo de tesorería, inventarios, la nómina. Generalmente, éstos
sistemas se encuentran automatizados a través de una ERP.
Sistemas de Información Tipo 2: Automatizan procesos internos, a través de los
cuales se prestan servicios a la ciudadanía, tradicionalmente procesos misionales,
como aquellos que se pueden observar en la tabla 3 y que la ciudadanía utiliza,
pero que son propios de una sola entidad.
Tabla 46. Ejemplos de Sistemas de Información Tipo 2
ENTIDAD PROCESO SISTEMA DE INFORMACIÓN
Policía
Nacional de
Colombia
Pasado
Judicial
http://antecedentes.policia.gov.co:7003/WebJudicial/
Procuraduría
General de
la Nación
Certificado de
Antecedentes
Disciplinarios
https://siri.procuraduria.gov.co/webciddno/Generar.aspx
19
2
Fuente: Elaboración propia
Sistemas de Información Tipo 3: Automatizan procesos internos que son genéricos
en varias entidades del gobierno y que son utilizados tan solo a nivel interno (ver
ejemplos en la Tabla 4).
Tabla 47. Ejemplo de Sistemas de Información Tipo 3
Procesos Entidad
responsable del
Sistema
Sistema de
Información
Principales
Entidades
Usuarias
Formulación y
Evaluación de
Proyectos de
Inversión
Departamento
Nacional de
Planeación
SSEPI – Sistema de
Seguimiento y
Evaluación de
Proyectos de Inversión
Alcaldías y
departamentos del
país
Formulación y
Evaluación de
Proyectos de
Regalías
Departamento
Nacional de
Planeación
MGA – Metodología
General Ajustada
Alcaldías,
departamentos y
entidades
formuladoras de
proyectos
Contabilidad,
presupuesto,
tesorería y en
general procesos
de apoyo
organizacional
Ministerio de
Hacienda
ERP (Contrato BID 1053
Programa para el
Fortalecimiento del
Sistema de Información
Financiera Territorial)
Algunas alcaldías y
gobernaciones del
país
Gestión
Documental
Superintendencia
de Servicios
Públicos
Domiciliarios
ORFEO Empresas de
servicios públicos
domiciliarios y en
general
organizaciones del
sector público (por
ej. Auditoría
193
General de la
Nación
Fuente: Elaboración propia
Sistemas de Información Tipo 4: Automatizan procesos que son genéricos en varias
entidades del gobierno y que son abiertos a la comunidad (ver Tabla 5)
Tabla 48. Ejemplo de Sistemas de Información Tipo 4
Procesos Entidad
Responsable
Sistema de
Información
Portal
Contratación Programa
Gobierno en
línea del
Ministerio
TIC’s
Sistema
electrónico para la
contratación
pública
https://www.contratos.gov.co/puc/
Contabilidad
del sector
público
Contaduría
General de la
Nación
CHIP
(Consolidador de
Hacienda e
Información
Pública)
http://www.chip.gov.co/schip_rt/
Fuente: Elaboración propia
La implementación de los sistemas de información tipo 1 y 2, generalmente son
desarrollados o impulsados, por las áreas de sistemas de las respectivas entidades
públicas y los sistemas tipo 3 y 4, por entidades del orden nacional o por el programa
gobierno en línea.
6.7. El Control en línea, una perspectiva más amplia.
Si bien en el capítulo 3 se presentó una descripción del proyecto Control en línea, como
una de las iniciativas que actualmente se están desarrollando en el país, para integrar los
diferentes sistemas de información, que soportan los procesos de Control Fiscal, dando
cumplimiento a lo establecido en el artículo 126 de la Ley 1474 de 2011, es importante
19
4
tener en cuenta que, esta iniciativa hace parte del Plan Vive Digital y específicamente, de
la estrategia de gobierno en línea.
Sin embargo, es necesario contar con una visión mucho más amplia, del objetivo que
pretende el actual proyecto de Control en línea, en el marco de la Estrategia de Gobierno
en línea, si se tiene en cuenta que, tanto los productos y procesos tecnológicos resultantes
del gobierno electrónico, como las Tecnologías de Información con que cuentan y seguirán
contando las entidades públicas en sus diferentes niveles, deben ser objeto de control y
no solo desde la perspectiva de inversión y del adecuado manejo de los recursos públicos,
sino y esencialmente, desde la perspectiva de la transición de los procesos de manuales
ó semimanuales, a automáticos o semiautomáticos. Esta transición cambia la forma como
el Control Fiscal debe actuar, ya no sobre los procesos que se llevaban a cabo de forma
manual (por ejemplo la contabilidad, el presupuesto, la contratación…), sino sobre los
procesos que perduran pero en un ambiente automatizado y ello lleva fundamentalmente,
dentro del proceso auditor que ejercen los entes de control, a contar con nuevas
estrategias y técnicas para abordar los sujetos de control. Es a partir de esta realidad
tecnológica que se requiere potenciar el control en línea, si las entidades fiscalizadoras
pretenden ser competitivas y pertinentes, ante la realidad que viven sus sujetos de control.
Queda claro que, el control en línea no es exclusivo del sector gubernamental, sin
embargo, en el contexto del sector público, hace parte integral del e-government y consiste
en el uso de las TIC’s, dentro de los procesos de control y auditoría que son llevados a
cabo, por las entidades que ejercen el control gubernamental en el país. Es así que
conceptos como: Auditoría en Línea, Auditoría Remota, Auditoría Continua, Auditoría de
Sistemas, Control en Línea en tiempo real, Seguridad Informática, Auditoría Forense y en
general, cualquier uso que se dé a las TIC’s dentro del contexto de procesos de control y
auditoría, puede estar enmarcado dentro de la categoría de control en línea.
Por razones obvias, las entidades responsables del Control Fiscal Colombiano son las
llamadas a liderar el avance del control en línea, como mecanismo de modernización de
la función fiscalizadora del estado, y a pesar de que no se vislumbra de forma clara una
estrategia articulada entre las diferentes instancias para lograr dicho propósito, existen
iniciativas aisladas, que si bien no contemplan en toda su magnitud el deber ser del e-
control, si aportan a su avance.
195
6.8. Normograma de Tecnologías de Información en el
sector gubernamental Colombiano.
Estos últimos años han sido prolíficos, en expedición de normas relacionadas con la
información pública y los aspectos relacionados con la incorporación de las Tecnologías
de Información y Comunicaciones en el ámbito gubernamental, es por ello pertinente
presentar de manera general, las principales normas que al respecto se han promulgado
y que inciden de manera directa en el contexto del presente proyecto.
Tabla 49. Normograma de Gobierno Electrónico.
AÑO
NORMA DESCRIPCIÓN
1991
CONSTITUCIÓN NACIONAL
Artículo 113 de la Constitución Política de Colombia, faculta a los órganos del Estado a colaborar armónicamente para la realización de sus fines, sin perjuicio de las funciones separadas que cada uno tenga (Justificación para compartir información entre las entidades).
1998
LEY 489 DE 1998
Artículo 6 de la Ley 489 de 1998, señala en virtud del principio de coordinación y colaboración, que las autoridades administrativas deben garantizar la armonía en el ejercicio de sus respectivas funciones, con el fin de lograr los fines y cometidos estatales. En consecuencia, prestarán su colaboración a las demás entidades, para facilitar el ejercicio de sus funciones y se abstendrán de impedir o estorbar en el cumplimiento de éstas por los órganos, las dependencias, los organismos y las entidades titulares. (Justificación para compartir información entre las entidades).
1998
LEY 489 DE 1998
Artículo 95 “Las entidades públicas podrán asociarse con el fin de cooperar en el cumplimiento de funciones administrativas o de prestar conjuntamente servicios que se hallen a su cargo, mediante la celebración de convenios interadministrativos o la conformación de personas jurídicas sin ánimo de lucro” (Justificación para compartir información entre las entidades).
2000
DECRETO LEY 267 DEL 2000 (NUMERAL 7. ART. 5 FUNCIÓN DE ADVERTENCIA DE LA CGN)
Reglamentación de la función de advertencia para que el Administrador público conozca en tiempo real, las inconsistencias detectadas por la Contraloría y mediante la aplicación de una función de corrección, proceda a subsanarlas, cumpliendo con el fin último del control que es el mejoramiento continuo de las entidades públicas en su gestión fiscal. (Justificación para implementar Auditoría Continua) (Declarado inconstitucional en fallo de la Corte Constitucional del pasado 11 de Marzo de 2015).
2000
CONPES 3072
Estrategia número 6 denominada Gobierno en línea, propende por el fortalecimiento de la función del Estado al servicio del ciudadano, a través del uso de Tecnologías de Información y Comunicaciones, con el fin de contribuir a la construcción de un Estado más eficiente, más transparente, más participativo y que preste mejores servicios a los ciudadanos y a las empresas; lo cual redunda en un sector productivo más competitivo, una administración pública moderna y una comunidad más informada y con mejores instrumentos para la participación.
19
6
2002
LEY 790 de 2002 Disposiciones de Gobierno en Línea
2002
DIRECTIVA PRESIDENCIAL NRO 2
Disposiciones de Gobierno en Línea
2003
CONPES 3248 Disposiciones de Gobierno en Línea
2008
DECRETO 1151 DE 2008
En el marco de la estrategia de Gobierno en línea Decreto 1151 de 2008, en lo referente a la Fase de Transacción e Interacción, se establecen medidas de “comunicación en dos vías entre entidades, ciudadanos y empresas, con la consulta de datos e interacción con servidores públicos” y se “proveen transacciones electrónicas para la obtención de productos y servicios”, respectivamente.
2009
LEY 1341 DE 2009 Por la cual se definen principios y conceptos sobre la sociedad de la información y la Organización de las Tecnologías de Información y Comunicaciones.
2010
CONPES 3650
Declara el Programa Agenda de conectividad - Estrategia de Gobierno en línea como de importancia estratégica, ya que la utilización de las TIC facilita el flujo e intercambio de información entre las entidades del Estado y permite la construcción de un nuevo modelo de interacción con éste, a través del cual se cambia la percepción del ciudadano a un estado único.
2010
PLAN NACIONAL DE DESARROLLO 2010-2014
Uno de los ocho ejes estratégicos del Plan Nacional de Desarrollo es el de Buen Gobierno, como rector de las políticas públicas...., para lo cual Gobierno en Línea juega un papel preponderante, pues se convierte en un instrumento transversal que facilita el Buen Gobierno.
2010
PLAN NACIONAL DE DESARROLLO 2010-2014
En cumplimiento del Plan Nacional de Desarrollo 2010-2014, el Ministerio de TIC formuló el plan sectorial denominado Vive digital, en donde se señala que para seguir avanzando en Gobierno en línea, se propone trabajar en ampliar la oferta de trámites y servicios en línea (NOTA: Auditoría Continua, es un servicio en línea) y en particular, desarrollar las siguientes iniciativas: Urna de cristal, Control en línea, Centro de innovación, Corporaciones en línea, Gobierno en línea territorial, Sistema electrónico para la contratación pública, Notarías en línea, Emergencias en línea, Cero papel en la administración pública e Intranet gubernamental.
2010
PLAN NACIONAL DE DESARROLLO 2010-2014
La iniciativa de control en línea busca apoyar el proceso de rendición de cuentas a los entes de control fiscal, a la ciudadanía y al fortalecimiento del control social, a través de la denuncias, el seguimiento en tiempo real a las mismas, a las de políticas, planes, programas por parte de los ciudadanos apoyados en el uso eficiente de las TIC.
2011
LEY 1474 DE 2011 Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.
197
2011
LEY 1474 DE 2011
Artículo 126. Sistemas de información. La Contraloría General de la República,
las Contralorías territoriales y la Auditoría General de la República, a través del Sistema Nacional de Control Fiscal - Sinacof, levantarán el inventario de los sistemas de información desarrollados o contratados, hasta la fecha de la entrada en vigencia de la presente ley, por parte de las Contralorías territoriales para el ejercicio de su función fiscalizadora y propondrá una plataforma tecnológica unificada, que procure la integración de los sistemas existentes y permita la incorporación de nuevos desarrollos previamente convenidos y concertados por los participantes de dicho sistema.
2011
LEY 1437 DE 2011 Por el cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo, y particularmente en el capítulo IV, establece la utilización de medios electrónicos en el procedimiento administrativo.
2011
CONVENIO marco de coadyuvancia y colaboración
Modelo marco de coadyuvancia y colaboración entre la Contraloría General de la República, la Auditoría General de la República, la Procuraduría General de la Nación, la Contaduría General de la Nación y el Fondo de Tecnologías de Información y Comunicaciones. (http://www.procuraduria.gov.co/portal/media/file/CONVENIO%20MARCO.pdf)
2011
CONVENIO marco de coadyuvancia y colaboración
CONSIDERACIÓN 9: Los niveles de percepción de corrupción en Colombia y la grave sofisticación de ese flagelo, imponen cada vez más y mayores retos a los órganos de control del país, e implican además de la necesidad de permanentes reformas, contar con una visión conjunta de política pública, que propenda por una gestión gerencial más técnica a todos los niveles, con el fin de lograr una mayor eficiencia del control del uso de los recursos públicos (Justificación para implementar Auditoría Continua).
2011
CONVENIO marco de coadyuvancia y colaboración
CONSIDERACIÓN 14: Que las entidades del estado están sujetas a los principios de la función administrativa, entre los cuales está el de publicidad de sus actuaciones, lo que incluye el uso de medios electrónicos con el fin de facilitar el acceso a la información pública a la ciudadanía. (NOTA: En función del convenio de coadyuvancia, la Procuraduría es el representante de la ciudadanía) (Justificación para el uso de medios electrónicos).
2011
LEY 1450 DE 2012
Art. 230: “Todas las entidades de la administración pública deberán adelantar las acciones señaladas por el Gobierno Nacional a través del Ministerio de las Tecnologías de la Información y las Comunicaciones para la estrategia de Gobierno en Línea. Esta estrategia (…) contemplará como acciones prioritarias (…) estimular el desarrollo de servicios en línea del Gobierno por parte de terceros basados en datos públicos (…).”(Justificación para implementar OPEN DATA).
2012
LEY 019 DE 2012
Se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración pública, hace referencia al uso de medios electrónicos como elemento necesario para la optimización de trámites.
2012
DECRETO 2693 DE 2012
Establece lineamientos generales de la Estrategia de Gobierno en línea.
2012
DECRETO 2618 DE 2012
Crea el Viceministerio de Tecnologías y Sistemas de Información.
19
8
2014
LEY 1712 DE 2014 Ley de Transparencia y del derecho de acceso a la información pública Nacional.
2014
DECRETO 2573 DE 2014
Establece lineamientos generales de la Estrategia de Gobierno en línea.
Fuente: Elaboración propia
199
7. Modelo de Auditoría Continua para el
Control Fiscal Colombiano.
7.1. Aspectos preliminares del modelo
7.1.1. El modelo como concepto
Como punto de partida, es necesario e importante delimitar desde el punto de vista
epistemológico el concepto de modelo, con el fin de lograr una comprensión exacta de lo
que se quiere presentar en este proyecto.
La acepción de modelo es muy diversa y se usa de forma distinta en contextos diferentes,
lo que puede generar múltiples interpretaciones. De manera general, un modelo es una
representación parcial de la realidad, debido a que no es posible explicar una totalidad, ni
incluir todas las variables que ésta puede tener; por lo que se refiere más bien a la
explicación de un fenómeno o proceso específico, visto siempre desde el punto de vista
de su autor (Aguilera, 2000).
Un modelo “es una estructura conceptual que sugiere un marco de ideas para un conjunto
de descripciones que de otra manera no podrían ser sistematizadas” (Badillo, 2004,p.303).
El mismo autor establece que el modelo se debe formular conceptual y
metodológicamente, con el propósito de estudiar el comportamiento de esos objetos o
fenómenos.
Tomando como referencia lo anteriormente planteado, el autor partirá de la acepción de
modelo, como el conjunto de conceptos interrelacionados que representan una
idealización de lo que se quiere representar, bajo una lógica científica y pragmática en
20
0
un contexto particular. En términos de la propuesta, la lógica científica estará delimitada
por la importancia histórica y presente del uso de las Tecnologías de Información y
Comunicaciones en la función de auditoría, en particular la Auditoría Continua. La lógica
pragmática se enmarca en la realidad del uso de las TIC, en los procesos de gobierno (e-
government) y específicamente, en la realidad que vive el país alrededor de la estrategia
de gobierno en línea; y en el contexto particular, es el Control Fiscal Colombiano con su
problemática en los diferentes ámbitos, pero que dadas sus múltiples dimensiones, tan
sólo podremos modelar desde la perspectiva del aporte de las TIC en la eficacia y eficiencia
del control gubernamental y en especial, el aseguramiento que de este se realiza.
7.1.2. Supuestos básicos del modelo de Auditoría Continua
Para la construcción del modelo de Auditoría Continua, se partirá de los siguientes
supuestos básicos, con el fin de plantear un modelo ajustado a la realidad del Control Fiscal
Colombiano.
1. El modelo parte de los fundamentos de la estrategia de Gobierno en línea,
establecidos en el artículo 4 del decreto 2573 de 2014, en especial los relacionados
con la apertura y reutilización de datos públicos, la interoperabilidad, la neutralidad
tecnológica y la innovación.
2. la Auditoría Continua no es una técnica, ni es parte del proceso de auditoría, como
lo establecen diferentes modelos planteados en capítulos anteriores, es un nuevo
tipo de auditoría que puede permear las demás tipologías de auditoría, lo que
puede llevar a desarrollarla de forma autónoma o integrada con las demás
auditorías y cuyo requisito es que los procesos de negocio que son objeto de
evaluación, sean procesos de negocio permeados por la tecnología.
3. El modelo propuesto deberá ser construido, sobre la base de las guías de Auditoría
que actualmente usan las contralorías del país, si se pretende su aplicabilidad,
complementación y contextualización con los procesos, tecnologías y
competencias requeridas por el auditor gubernamental, para incorporarlas en su
quehacer cotidiano.
4. El escenario que impulsará el modelo de Auditoría Continua en el Control Fiscal
Colombiano, estará en función del nivel de madurez de gobierno en línea, que
201
presentan las entidades públicas Colombianas como sujetos de control de las
contralorías.
5. El modelo estará fundamentado en los principios constitucionales y legales que
enmarcan el Control Fiscal Colombiano y en aquellas normas que dan impulso al
Gobierno Electrónico, en especial, dando respuesta a un control ejercido de forma
posterior e inmediata, tal como lo establece el literal e) del artículo 129 de la Ley
anticorrupción (Ley 1474 de 2011), donde se insta a las contralorías territoriales a
desarrollar y aplicar metodologías, que permitan el ejercicio inmediato del control
posterior y el uso responsable de la función de advertencia (NOTA: esta función
de advertencia fue declarada inconstitucional en fallo de la Corte
Constitucional del pasado 11 de Marzo de 2015).
6. Los conceptos expuestos en el presente modelo, pueden ser aplicados en
cualquiera de las entidades fiscalizadoras superiores agrupadas en INTOSAI, si se
tiene en cuenta que tanto los procesos de fiscalización como la incorporación de
las TIC en los procesos gubernamentales, son una realidad en los diferentes países
del mundo.
7.2. Estructura del modelo de Auditoría Continua para el Control Fiscal Colombiano
El modelo de Auditoría Continua diseñado, puede ser definido como un servicio de
aseguramiento gubernamental basado en procesos, impulsado por la tecnología y
desarrollado por personas, fundamentado en las normas e influenciado por factores
políticos, que permite evaluar riesgos y controles en forma posterior e inmediata y de
manera más continua.
Este servicio es intensivo en conocimiento, debido a que requiere no solo conocimiento
técnico del auditor gubernamental, sino experiencia como base de la aplicación del modelo.
7.2.1. Subsistemas del modelo
El desarrollo del modelo contempla, además de los elementos técnicos requeridos para
llevar a cabo un proceso que impacte la función del Control Fiscal en el país, variables de
contexto que hacen viable su desarrollo. En este sentido, el modelo propuesto, tal como
20
2
se puede observar en la figura 30, consta de 4 capas o subsistemas y 12 elementos, que
permitirán a través de su interacción, cumplir con el propósito previsto. Estas capas son:
Base Normativa (BN), Tecnologías Habilitadoras (TA), Metodología (M), y los Impulsores
(I).
Para su diseño y acorde a lo expresado previamente, cada uno de los subsistemas y
elementos que hacen parte del modelo han sido construidos, dando respuesta a una lógica
científica que actúa sobre una lógica pragmática, las cuales a su vez interactúan con un
contexto en particular, al cual se le ha adicionado el impacto esperado, en función del
efecto panóptico que tiene la operación del modelo en las tres líneas de defensa, como se
puede observar en la Figura 29.
La lógica científica representada en el análisis histórico del uso de las TIC en los procesos
de auditoría y en especial, por la base de conocimiento existente alrededor de la Auditoría
Continua, en particular la metodología, las técnicas y las herramientas de Auditoría
Continua, propuestas en los capítulos previos y que se encuentran representadas en el
modelo, a través de la Metodología (M) y en algunos elementos de las Tecnologías
Habilitadoras (TH).
La lógica pragmática se enmarca en la realidad del uso de las TIC en los procesos
gubernamentales, representados por su nivel de automatización, el nivel de apropiación
del gobierno electrónico y su transitar hacia el gobierno abierto. Esta realidad se encuentra
representada en el modelo en los tres (3) otros elementos, que hacen parte de las
Tecnologías Habilitadoras (TH).
Y el contexto particular, es el Control Fiscal Colombiano con su problemática en los
diferentes ámbitos, y se encuentra representada en el modelo por la Base Normativa (BN)
y por los Impulsores (I).
La adecuada combinación de estos cuatro subsistemas, permite a través de su efecto
panóptico, impactar las tres líneas de defensa, propuestas recientemente por el Instituto
de Auditores Internos (global).
Figura 29. Modelo de Auditoría Continua para el Control Fiscal Colombiano
Fuente: Elaboración propia
Los cuatro subsistemas tienen niveles de dependencia y cada uno cumple una función
específica dentro del modelo, es así como, la base del modelo es el subsistema de base
normativa, el cual permite que el modelo sea viable jurídicamente en Colombia, dado que
en el sector público (a diferencia del privado), una de las bases fundamentales en las
cuales se apoyan, tanto las entidades públicas (como sujetos de control) como las
contralorías del país, para desarrollar sus actuaciones que están basadas en normas y el
modelo no puede ser ajeno a ellas. Colombia es un país de normas y como tal, por tener
este modelo una orientación hacia lo público, es necesario reconocer este subsistema
como la base que soporta el modelo, la cual a su vez está fundamentada en tres elementos:
el desarrollo normativo actual y futuro que se tenga en el Control Fiscal Colombiano, el
gobierno electrónico y las entidades sujetas de control.
Sobre la base normativa, se requieren tres motores que impulsen el modelo y que permitan
que los otros dos subsistemas puedan entrar en acción, y esa es la función que cumple el
subsistema denominado impulsores, entendidos como los mecanismos que hacen que el
modelo pueda ser viable organizacionalmente, si se tiene en cuenta que tanto las
contralorías, como las entidades sujetas de control, se mueven en un entorno político, que
hace que se dinamice o se entorpezca un proceso de auditoría continua. De igual forma,
si se logran cumplir muchas de las normas promulgadas en los últimos años, alrededor del
gobierno electrónico y de los mecanismos de interacción electrónico, entre entidades
públicas y entidades sujetas de control, ello crearía un escenario favorable para el
desarrollo del modelo, lo cual requiere a su vez, de unas adecuadas competencias
tecnológicas de los auditores para aprovechar este escenario e impulsar el proceso de
Auditoría Continua. De allí que, los elementos que hacen parte de este subsistema son el
cumplimiento normativo, la voluntad política y las competencias tecnológicas del auditor
gubernamental.
En caso de lograr esa viabilidad organizacional, tanto por parte de las entidades sujetas
de control como de las mismas contralorías, es necesario ajustar las metodologías de
auditoría gubernamental, para que incorporen los elementos de auditoría continua, y se
aprovechen las experiencias y conocimientos que tienen y tendrán los auditores
gubernamentales, y que existen alrededor de la auditoría continua para fortalecer la
competitividad de su perfil, generando una viabilidad metodológica del modelo, que
205
requiere a su vez unas herramientas y un entorno tecnológico, que desde el punto de vista
técnico genere una viabilidad tecnológica, que permita interactuar con la metodología y se
logre así, concretar la incorporación de la Auditoría Continua como una práctica
generalizada en el Control Fiscal Colombiano, que beneficie no solo a la función de control
gubernamental, sino también al monitoreo de los asuntos públicos en línea.
Los dos actores principales del modelo son las 64 Contralorías del país y las
aproximadamente 90412 entidades sujetas de control.
El modelo a través de los cuatro subsistemas cuenta con 12 elementos, entre los cuales
se encuentran elementos endógenos y exógenos. Los elementos endógenos son aquellos
que dependen directamente de la gestión que realicen las contralorías o las entidades
sujetas de control y como tal, pueden actuar de manera directa sobre ellos; mientras que
los elementos exógenos, son elementos del entorno, los cuales no están bajo el dominio
de estos actores y no pueden incidir de manera directa sobre ellos.
Acorde a lo anterior, los elementos exógenos son difíciles de caracterizar, mientras que los
endógenos pueden ser caracterizados, para poder incidir sobre su evolución y logren el
objetivo del modelo.
7.2.2. Elementos exógenos del modelo de Auditoría Continua
El modelo presenta 5 elementos exógenos distribuidos en dos subsistemas, como se
puede apreciar en la tabla 50, los cuales serán caracterizados de forma general a
continuación.
2 Cifra aportada por el Procurador General de la Nación, en http://www.vanguardia.com/actualidad/colombia/217762-no-se-sabe-cuantas-entidades-publicas-hay-procurador
20
6
Tabla 50. Elementos exógenos del modelo de Auditoría Continua para el Control Fiscal Colombiano.
SUBSISTEMA ELEMENTO
Base normativa Control Fiscal Superior
Gobierno Electrónico
Entidades sujetas de control
Impulsores Cumplimiento normativo
Voluntad política
Fuente: Elaboración propia
7.2.2.1. Normas del Control Fiscal Colombiano
Como parte de este documento, el capítulo 2 presenta la forma como opera el Control
Fiscal en Colombia, a partir de lo establecido en el artículo 267 de la Constitución Nacional
de Colombia, consecutivamente reglamentado por la Ley 42 de 1993 y por las normas
posteriores al artículo y Ley citados. A efectos de no incurrir en duplicidades, se referencia
como parte de este elemento del modelo, el normograma presentado en el numeral 2.2.2.1
del capítulo en mención.
Es importante establecer que, al momento de aplicar este modelo en una contraloría en
particular, se debe complementar con las normas que reglamentan la operación y el
funcionamiento de un modelo de Auditoría Continua en dicha contraloría.
De todas las normas que rigen el Control Fiscal Colombiano, es importante destacar la Ley
anticorrupción (Ley 1474 de 2011), teniendo en cuenta que este modelo responde de cierta
forma a lo establecido en el literal e) del artículo 129, donde se insta a las contralorías
territoriales a desarrollar y aplicar metodologías que permitan el ejercicio inmediato del
control posterior y el uso responsable de la función de advertencia (NOTA: esta función
de advertencia fue declarada inconstitucional en fallo de la Corte Constitucional del
pasado 11 de Marzo de 2015)..
7.2.2.2. Normas del Gobierno electrónico
207
En los últimos años se han promulgado múltiples normas alrededor del gobierno
electrónico, de las cuales han sido recopiladas las más importantes en el numeral 6.8 del
capítulo 6.
Dentro de las últimas normas promulgadas por el Gobierno Nacional, se encuentra el
Decreto 2573 de 2014, donde se renuevan los lineamientos generales de la estrategia de
gobierno en línea, de obligatorio cumplimiento para todas las entidades que conforman la
Administración Pública Colombiana.
7.2.2.3. Normas de las entidades sujetas de control
Colombia es un país de leyes y son innumerables las normas que deben cumplir todas las
entidades, que hacen parte de la Administración Pública Colombiana, las cuales deberán
ser tenidas en cuenta, al momento de realizar cualquier proceso de Auditoría Continua y
mucho más, si alguna de ellas se encuentra embebida en los sistemas de información
públicos.
Acorde a lo anterior, sería imposible desarrollar una relación de las diferentes normas a las
que están sujetas, las diferentes entidades públicas del país, y se debe insistir para efectos
del modelo, en identificar las normas aplicables al proceso sujeto de Auditoría Continua,
en el momento en que se vaya a desarrollar.
7.2.2.4. Cumplimiento normativo
De acuerdo a la Procuraduría General de la Nación, la variable más influyente de la
corrupción en Colombia, es el incumplimiento de las normas, limitando con ello, la
gobernabilidad y competitividad del país (Procuraduria General de la Nación, 2015).
No es suficiente con que existan las normas, se requiere que ellas se cumplan, por lo que
este elemento impulsor requiere un cumplimiento cabal, en especial de aquellas normas
relacionadas con el Control Fiscal, el gobierno electrónico y las normas que deben adoptar
las entidades sujetas de control, para permitir que los instrumentos normativos operen y
exista un entorno donde se pueda desarrollar la Auditoría Continua.
A modo de ejemplo, podemos acudir a normas tales como el Decreto 2573 de 2014, que
establece lineamientos y fechas para cumplir con las diferentes fases de gobierno
electrónico; o la ley 1712 de 2014, que establece para las entidades sujetas de control
20
8
deben definir esquemas de acceso a la información pública generados por ellos, o para el
caso de las contralorías la incorporación de metodologías
7.2.2.5. Voluntad política
Uno de los graves problemas del Control Fiscal Colombiano, es la dependencia política
que tienen las contralorías, dado el mecanismo de elección de los contralores, quienes al
ser elegidos por los órganos de elección popular, pierden independencia en el ejercicio de
la función de control, ya que estas corporaciones forman parte de las entidades a las que
las contralorías deben vigilar (Restrepo Medina et al., 2008).
Lo anterior puede llegar a limitar el modelo, debido a la necesidad de impulsar iniciativas,
proyectos o auditorías, que permitan desarrollar un control continuo y en tiempo real, de
muchos de los procesos de las entidades sujetas de control; de allí que se requiere en el
momento de desarrollar el modelo, voluntad política entre las partes, para garantizar el
cumplimiento de los objetivos previstos por el modelo.
7.2.3. Elementos endógenos del modelo de Auditoría Continua
Los elementos endógenos del modelo son los restantes siete (7) elementos, distribuidos
en tres de los cuatro subsistemas, tal como se puede apreciar en la tabla 51.
Tabla 51. Elementos endógenos del modelo de Auditoría Continua para el Control Fiscal Colombiano.
SUBSISTEMA ELEMENTO ACTOR PRINCIPAL
Impulsores Competencias tecnológicas del auditor
gubernamental
Contralorías
Metodología Metodología de Auditoría Continua Contralorías
Base de conocimiento Contralorías
Tecnologías
Habilitadoras
Técnicas y Herramientas de Auditoría
Continua
Contralorías
209
Automatización de procesos
gubernamentales
Entidades sujetas de
control
Masificación del gobierno electrónico Entidades sujetas de
control
Gobierno abierto Entidades sujetas de
control
Fuente: Elaboración propia
A continuación se realiza una descripción de cada uno de estos elementos.
7.2.3.1. Competencias tecnológicas del auditor gubernamental
A pesar de que el modelo de Auditoría Continua para el Control Fiscal Colombiano es
intensivo en tecnología, son las personas las que hacen posible que la tecnología cumpla
su rol en beneficio de la organización y más aún, si se tiene en cuenta que el desarrollo de
la metodología requiere de las personas y son ellas en primera instancia quienes reciben
sus beneficios.
Este elemento del modelo pone al auditor gubernamental en el centro de actuación del
proceso, como debe ser, en interrelación con los demás actores intervinientes; pero es el
auditor gubernamental quien históricamente conoce la organización, el proceso objeto de
control, sus riesgos y controles, requeridos para llevar a cabo la Auditoría Continua y a su
vez, es quien analiza los resultados finales de los eventos reportados por la tecnología,
para desarrollar las actuaciones que estos ameriten.
De allí que, los auditores gubernamentales deben contar con las competencias necesarias,
para llevar a cabo el proceso de Auditoría Continua, en especial, competencias en el
ámbito tecnológico.
Al respecto el IIA (2005a) a través del Comité Internacional de Tecnología Avanzada, se
han identificado tres categorías de conocimiento de TIC para los auditores internos:
Categoría 1: Todos los Auditores: Es el conocimiento de TIC necesario para todos los
auditores profesionales, desde las nuevas incorporaciones, hasta el director de auditoría
21
0
interna. El conocimiento de TIC abarca entender conceptos como: las diferencias en el
software usado en aplicaciones, sistemas operativos, software de sistemas y redes. Esto
implica entender los componentes básicos de seguridad de TI y de control, tales como
seguridad perimetral, detección de intrusos, autenticación y controles de los sistemas de
aplicación. El conocimiento básico incluye entender, cómo los controles de negocio y los
objetivos de aseguramiento pueden verse afectados, por vulnerabilidades en las
operaciones de negocio y por lo relacionado con los sistemas de soporte, como los
componentes de redes y datos.
Es fundamental asegurar que los auditores tienen suficiente conocimiento, para centrarse
en el entendimiento de los riesgos de TI, sin necesariamente tener conocimientos técnicos
significativos.
Categoría 2: Supervisores de Auditoría: Se aplica al nivel de supervisión de auditoría.
Además de tener el conocimiento básico en TIC, los supervisores de auditoría deben
entender los aspectos y elementos de TIC de forma suficiente, para considerarlos en las
tareas de auditoría de planificación, pruebas, análisis, informe, seguimiento y en la
asignación de las habilidades de los auditores a los proyectos de auditoría. Esencialmente,
el supervisor de auditoría debe:
Entender las amenazas y vulnerabilidades asociadas a procesos automatizados de
negocio.
Entender los controles de negocio y la mitigación del riesgo que debe ser
proporcionada por la TIC.
Planificar y supervisar las tareas de auditoría, para considerar las vulnerabilidades
y los controles relacionados con la TIC, así como la eficacia de la TI en la provisión
de controles para las aplicaciones y entornos de negocio.
Asegurar que el equipo de auditoría tiene competencia suficiente, incluidas las
habilidades en TIC para las tareas de auditoría.
Asegurar el uso eficaz de las herramientas de TIC en los trabajos de auditoría y en
las pruebas.
Aprobar los planes y las técnicas para probar los controles y la información.
211
Evaluar los resultados de las pruebas de auditoría para evidenciar las
vulnerabilidades o debilidades de control de la TIC.
Analizar los síntomas detectados y relacionarlos con las causas que pueden tener
su origen en el negocio o en la misma TIC, como planificación, ejecución,
operaciones, gestión de cambios, autenticación u otras áreas de riesgo.
Proporcionar recomendaciones de auditoría basadas en los objetivos del
aseguramiento del negocio, centrándose en los orígenes de los problemas
observados, más que en divulgar simplemente los problemas o los errores
detectados.
Categoría 3: Especialistas en Auditoría Técnica de TIC: Esta categoría aplica al
especialista en auditoría de sistemas. Aunque los auditores de TIC pueden funcionar a
nivel de supervisión, deben entender la tecnología subyacente que respalda a los
componentes del negocio y estar familiarizados con las amenazas y vulnerabilidades
asociadas a las tecnologías. Los auditores de TI también pueden especializarse en ciertas
áreas de la tecnología.
7.2.3.2. Metodología de Auditoría Continua
El Control Fiscal Colombiano, tal como se estableció en el capítulo 2, está compuesto
institucionalmente por dos tipos de contralorías: La Contraloría General de la República
(con sus gerencias departamentales) y las 63 contralorías territoriales, cada una de ellas
con guías de auditoría; que si bien cumplen el mismo propósito, difieren en las actividades
desarrolladas.
A efectos de desarrollar la metodología de Auditoría Continua para el Control Fiscal
Colombiano, se tomarán como referencia la taxonomía y homogeneización de modelos de
Auditoría Continua analizada en el capítulo 5 y en particular, el modelo final resultante, el
cual se presenta de nuevo en la siguiente tabla.
Tabla 52. Meta modelo de Auditoría Continua base para el Control Fiscal Colombiano.
ETAPA FASE
1.Definición de recursos y
1.1.Definición de personal, recursos clave y gestión de competencias del auditor
21
2
Análisis de costos 1.2.Evaluación de costos y beneficios
2.Relaciones con la Administración
2.1.Obtener el respaldo de la alta dirección
2.2.Estado actual del monitoreo continuo
2.3.Desarrollar relaciones con la gestión de TI
3.Plan Anual de Auditoría 3.1.Establecer áreas prioritarias
4.Planeación Detallada (Programa de Auditoría)
4.1.Comprender los procesos de negocio
4.2.Definición de objetivos y alcance de Auditoría Continua
4.3.Identificar riesgos e Indicadores de riesgo
4.4.Identificar controles e Indicadores de control
4.5.Identificar y Comprender Sistemas de Información Clave
4.6.Conocer y comprender las fuentes de datos
4.7.Conexión con aplicaciones/repositorios
4.8.Depurar y preparar los datos
4.9.Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos
4.10.Determinar la frecuencias de los procesos
4.11.Seleccionar y adquirir herramientas de análisis
5.Ejecución
5.1.Configurar los parámetros de aseguramiento continuo
5.2.Ejecutar pruebas de manera regular y oportuno para identificar excepciones
6.Comunicación de Resultados
6.1.Supervisar permanentemente los Resultados de Auditoría Continua (Identificar desviaciones o deficiencias de control)
6.2.Investigar la razonabilidad de las desviaciones detectadas
6.3.Informar a la Dirección
7.Seguimiento
7.1.Seguimiento a la implementación de las acciones recomendadas
7.2. Garantizar la continuidad del proceso de Auditoría Continua.
Fuente: Elaboración propia
No obstante, éste meta modelo resultante, debe estar contextualizado con el proceso
auditor gubernamental, del cual no se puede soslayar el modelo, debido a la preexistencia
de las guías de auditoría definidas normativamente en las contralorías del país.
A continuación se presentarán las guías de Auditoría Continua, que servirán de base para
soportar el modelo de Auditoría Continua en su versión territorial y en el de la Contraloría
General de la República.
213
7.2.3.2.1. Guía de Auditoría Continua para las contralorías territoriales.
La guía de auditoría de las contralorías territoriales fue concebida a través del SINACOF
(Sistema Nacional del Control Fiscal), con la participación de 34 de las 63 Contralorías
Territoriales del país y el liderazgo de la Contraloría General de la República y del Consejo
Nacional de Contralores Territoriales. Esta guía fue liberada en Noviembre del 2012 y es
la guía adoptada por la mayoría de las contralorías territoriales del país, para el ejercicio
de la función del control fiscal a nivel territorial.
A efectos de elaborar la propuesta de Guía de Auditoría Continua Territorial (GACT),
como una guía complementaria a la Guía de Auditoría Territorial (GAT) y que será usada
tan solo para desarrollar procesos de auditoría, donde los procesos sujetos de control
tienen un alto nivel de automatización; ésta debe seguir las mismas fases y actividades
propuestas en el GAT, para ser pertinente y aplicable. Sin embargo, existen algunas
actividades que deberán ser ajustadas, para diferenciar el desarrollo de una auditoría
tradicional con el de una Auditoría Continua; estas actividades serán integradas tomando
como referencia, el meta modelo de Auditoría Continua generado en el capítulo 5.
A continuación se presenta la estructura de la guía de auditoría territorial y su interrelación
con las diferentes actividades que serán complementadas con el meta modelo de Auditoría
Continua, y que para efectos del modelo se denominará: Guía de Auditoría Continua
Territorial (GACT).
Tabla 53. Fases y Actividades de la Guía de Auditoría Continua Territorial (GACT)
Fases Actividades del GAT Actividades del Meta modelo de
Auditoría Continua
1.
Pla
nea
ció
n E
str
até
gic
a
1.1. Definición de políticas y lineamientos para la elaboración del PGAT
1.2. Elaboración y consolidación de la matriz de riesgo fiscal
1.3. Determinación de objetivos y estrategias
4.2.Definición de Objetivos y alcance de Auditoría Continua
1.4. Priorización de entes o asuntos a auditar
3.1.Establecer áreas prioritarias
1.5. Estimación e identificación de recursos
1.1.Definición de personal, recursos clave y gestión de competencias del auditor
21
4
1.6. Aprobación del PGAT
1.7. Modificaciones y seguimiento al PGAT
2.
Fas
e d
e P
lan
eac
ión
2.1. Elaboración y comunicación del memorando de asignación de auditoría
2.2. Declaración de impedimentos de intereses y conflictos
2.3. Comunicación al auditado e instalación de la auditoría
2.1.Obtener el respaldo de la alta dirección
2.4. Programa de auditoría (adiciones al programa si se considera necesario)
2.2.Estado actual del monitoreo continuo
4.1.Comprender los procesos de negocio
4.3.Identificar Riesgos e Indicadores de Riesgo
4.4.Identificar Controles e Indicadores de Control
4.5.Identificar y Comprender Sistemas de Información Clave
4.6.Conocer y comprender las fuentes de datos
4.7.Conexión con aplicaciones/repositorios
4.8.Depurar y preparar los datos
4.9.Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos
4.10.Determinar la frecuencias de los procesos
4.11.Seleccionar y adquirir herramientas de análisis
3.
Fas
e d
e E
jecu
ció
n
3.1. Aplicación de procedimientos, pruebas y obtención de evidencia
2.3.Desarrollar relaciones con la gestión de TI
5.1.Configurar los parámetros de aseguramiento continuo
5.2.Ejecutar pruebas de manera regular y oportuna para identificar excepciones
3.2. Determinar observaciones
3.3. Realizar mesas de trabajo
215
4.
Fas
e d
e In
form
e 4.1. Elaborar informe preliminar y
realizar ajustes
6.1.Supervisar permanentemente los Resultados de Auditoría Continua (Identificar desviaciones o deficiencias de control)
4.2. Revisar y validar de forma y de fondo el informe preliminar
6.2.Investigar la razonabilidad de las desviaciones detectadas
4.3. Aprobación
4.4. Firma y remisión
4.5. Revisión y análisis de respuesta del ente auditado
4.6. Revisión y aprobación del informe definitivo
4.7. Remisión del informe definitivo al ente auditado
6.3.Informar a la Dirección
5.
Ev
alu
ació
n d
el
pro
ce
so
au
dit
or
5.1. Reportar beneficios del proceso auditor
1.2.Evaluación de costos y beneficios
5.2. Evaluar cumplimiento del proceso auditor
7.1.Seguimiento a la implementación de las acciones recomendadas
7.2. Garantizar la continuidad del proceso de Auditoría Continua.
Fuente: Elaboración propia
7.2.3.2.2. Guía de Auditoría Continua para la Contraloría General de la República
La guía de auditoría de la Contraloría General de la República ha sufrido cambios en los
últimos dos años, con la anterior y el actual Contralor General de la República; la primera
transformación radical se dio en Febrero de 2013, a fin de ajustar la metodología al Sistema
de Información SICA (Sistema Integrado para el Control de Auditorías), software donado
por la Contraloría General de Chile. La segunda transformación se dio en Febrero del 2015,
con algunos ajustes menores.
Al igual que con la guía de Auditoría Continua Territorial (GACT), la guía de Auditoría
Continua para la Contraloría General de la República (GACCGR) deberá incorporar las
actividades propias de una Auditoría Continua, en base al metamodelo de Auditoría
Continua construido en el capítulo 5.
21
6
A continuación se presenta su estructura e interrelación con el metamodelo.
Tabla 54. Fases y Actividades de la Guía de Auditoría Continua de la Contraloría General de la República (GACCGR)
Fases Actividades de la GACGR Actividades del Meta modelo de
Auditoría Continua
1.
Pla
nea
ció
n E
str
até
gic
a
1.1. Levantar o Actualizar inventario de entes objeto de control fiscal
1.2. Determinar y Aprobar el nivel de importancia relativa de los entes objeto de control fiscal con la Matriz de Importancia Relativa (MIR)
1.3. Elaborar y Aprobar Matriz de Control (MC)
1.4. Configurar macro procesos, procesos y factores de riesgo de cada ente objeto de control fiscal
1.5. Determinar y Aprobar nivel de riesgo de cada ente objeto de control fiscal en la Matriz de Riesgo (MR)
1.6. Priorizar entes objeto de control fiscal
3.1.Establecer áreas prioritarias
1.7. Establecer políticas y lineamientos para la elaboración del PGA
1.8. Definir y Aprobar prioridades nacionales y de las UES
1.9. Elaborar Matriz de Planificación y Programación del PGA - MPLPR
1.10. Estimar recursos para ejecutar el PGA
1.1.Definición de personal, recursos clave y gestión de competencias del auditor
1.2.Evaluación de costos y beneficios
1.11. Presentar y Aprobar PGA
1.12. Ejecutar PGA, efectuar monitoreo y seguimiento
1.13. Actualizar Plan Nacional de Auditorías (PNA)
1.14. Elaborar Asignación de Trabajo (AT)
1.15. Aprobar y Comunicar Asignación de Trabajo
217
1.16. Declarar impedimentos y conflictos de Interés
1.17. Actualizar objetivo general y determinar objetivos específicos
4.2.Definición de objetivos y alcance de Auditoría Continua
1.18. Comunicar al auditado e instalar auditoría
2.1.Obtener el respaldo de la alta dirección
2.
Fas
e d
e P
lan
eac
ión
2.1. Comprender la Asignación del Trabajo (AT), entender los objetivos específicos, comprender la Matriz de Riesgo (MR) y elaborar Cronograma de la Fase de Planeación.
2.2. Conocer el ente objeto de control fiscal o asunto a auditar y Evaluar controles
2.2.Estado actual del monitoreo continuo
2.3.Desarrollar relaciones con la gestión de TI
4.1.Comprender los procesos de negocio
4.4.Identificar Controles e Indicadores de Control
2.3. Evaluar el riesgo combinado, definir la estrategia de auditoría, elaborar plan de trabajo y los programas de auditoría.
4.3.Identificar Riesgos e Indicadores de Riesgo
4.5.Identificar y Comprender Sistemas de Información Clave
4.6.Conocer y comprender las fuentes de datos
4.7.Conexión con aplicaciones/repositorios
4.8.Depurar y preparar los datos
4.9.Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos
4.10.Determinar la frecuencias de los procesos
4.11.Seleccionar y adquirir herramientas de análisis
2.4. Aprobar Plan de Trabajo y el término máximo para el traslado de los hallazgos con presunta incidencia
2.5. Aprobar programa(s) de auditoría
21
8
3.
Fas
e d
e E
jecu
ció
n
3.1. Ejecutar Procedimientos de Auditoría
5.1.Configurar los parámetros de aseguramiento continuo
5.2.Ejecutar pruebas de manera regular y oportuna para identificar excepciones
3.2. Estructurar observaciones, hallazgos; Diligenciar Matriz de Gestión y Resultados; Emitir Conceptos y Opinión
3.3. Validar y Aprobar observaciones y hallazgos
3.4. Verificar el registro en el SICA de los resultados de la auditoría
3.5. Elaborar Memorando de Preparación de Resultados de Auditoría (MPRA)
3.6. Cerrar AT de ejecución
4.
Fas
e d
e In
form
es
4.1. Crear, aprobar y comunicar AT de Informe Final
6.1.Supervisar permanentemente los Resultados de Auditoría Continua (Identificar desviaciones o deficiencias de control)
4.2. Revisar el Memorando de Preparación de Resumen de Auditoría (MPRA) insumo para el informe y reporte
4.3. Estructurar proyecto de informe y reporte de auditoría
4.4. Iniciar flujo de revisión de informe y reporte
4.5. Revisar proyecto informe y reporte
6.2.Investigar la razonabilidad de las desviaciones detectadas
4.6. Revisar y aprobar el informe y reporte
4.7. Realizar ajustes al informe y reporte
4.8. Remitir reporte a la UE que consolida el informe
4.9. Consolidar reportes de puntos de control y elaborar proyecto de informe para sustentarlo ante el Comité Técnico
4.10. Revisar y aprobar el informe consolidado
4.11. Firmar y liberar el informe 6.3.Informar a la Dirección
219
4.12. Cerrar Auditoría 5
. A
ccio
ne
s
po
st
au
dit
orí
a y
eva
lua
ció
n d
el
pro
ce
so
au
dit
or
7.1.Seguimiento a la implementación de las acciones recomendadas
7.2. Garantizar la continuidad del proceso de Auditoría Continua
Fuente: Elaboración propia.
7.2.3.3. Base de conocimiento
Los auditores gubernamentales por su experiencia y conocimiento de los procesos de
auditoría en el sector público, han acumulado y seguirán acumulando experiencia que
adecuadamente gestionada permitirá compartir y agilizar la base de auditoría y los
elementos de auditoría continua que se incorporan como parte de la metodología. En este
sentido y de manera inicial, se deberá contar con una base de conocimiento de riesgos,
KRI, controles, KCI, agentes y alarmas, en lo que se ha denominado BRCA2 de forma tal,
que sirven de herramienta para apoyar el proceso metodológico de Auditoría Continua.
Es importante tener en cuenta que este componente del modelo, puede ser incorporado
como parte de los proyectos de gestión del conocimiento, que adelantan actualmente
algunas contralorías del país, dada la iniciativa que al respecto viene siendo liderada por
OLACEFS (Organización Latinoamericana y del Caribe de Entidades Fiscales Superiores)
7.2.3.4. Técnicas y Tecnologías de Auditoría Continua
Como se ha presentado en el capítulo 4 y 5, existen diversas técnicas para llevar a cabo
la Auditoría Continua las cuales en general, son denominadas técnicas de auditoría
concurrente, sin embargo, en la práctica de los modelos de Auditoría Continua analizados
las técnicas utilizadas son EAM y MCL; siendo ésta última mucho más utilizada en la
auditoría externa.
22
0
En cuanto a las alternativas tecnológicas disponibles, para lograr que la metodología de
Auditoría Continua sea funcional para el Control Fiscal Colombiano, estas pueden ir desde
soluciones genéricas, pasando por herramientas de análisis de datos, hasta soluciones
especializadas que han sido diseñadas específicamente para soportar la Auditoría
Continua en las organizaciones.
En lo que tiene que ver con soluciones genéricas y de acuerdo a diversos estudios, donde
se indaga acerca de las herramientas utilizadas por los auditores internos, las dos
herramientas más utilizadas son Excel y Access.
Dentro de las herramientas de análisis de datos, se encuentran soluciones propietarias y
soluciones libres. En lo que tiene que ver con soluciones propietarias, las herramientas
más utilizadas son ACL e IDEA, y en lo que tiene que ver con herramientas libres se
encuentran PICALO y Power pivot.
En la categoría de herramientas de análisis de datos y aunque no son especializadas en
el campo de la auditoría, si son herramientas de minería de datos que pueden cumplir con
muchas de las funcionalidades, con que cuentan las herramientas tradicionales de análisis
de datos, entre ellas se encuentran: Weka, Rapid Miner, Orange, KNIME, JHepWork, Data
Mining Add-in for Excel, entre otras.
Las herramientas especializadas de Auditoría Continua que más se usan y aunque aún
son muy costosas para ser adquiridas por una contraloría, son: Caseware monitor, ACL
Auditexchange.
Existe otra serie de conceptos y tecnologías, que permiten incorporar mecanismos para el
desarrollo de una solución de Auditoría Continua, entre las que se destacan los web
services utilizados en diferentes implementaciones técnicas de Auditoría Continua.
7.2.3.5. Automatización de procesos gubernamentales
Si bien el gobierno electrónico ha venido impulsando la automatización de procesos
gubernamentales, fundamentalmente de cara a la ciudadanía y a las otras entidades
públicas para soportar las cadenas de trámites, existen y existirán proyectos de
automatización de procesos internos, que permitirán ampliar la base sobre la cual puede
221
actuar la Auditoría Continua, no solo para efectos del Control Fiscal, sino para impulsar su
uso en el control interno y como parte del monitoreo continuo de las entidades públicas en
busca finalmente de procesos de autocontrol.
De allí, que el incremento de la automatización de procesos gubernamentales en sus
diferentes modalidades tal como se han planteado en el capítulo 6, impulsará el desarrollo
del modelo y lo hará más viable para su materialización en el Control Fiscal Colombiano.
Sin embargo, es importante tener en cuenta en este elemento, que en general la
automatización de procesos gubernamentales depende a su vez, del nivel de madurez de
los procesos tecnológicos de la organización, que hacen posible su proyección,
generación, soporte/ mantenimiento y monitoreo permanente.
7.2.3.6. Masificación del gobierno electrónico
La masificación del gobierno electrónico en las entidades sujetas de control por las
contralorías del país, es uno de los requisitos fundamentales para posibilitar la Auditoría
Continua, debido a que es el habilitador de los procesos y tecnologías requeridas para su
interacción. Para lograr determinar el nivel de incorporación de los diferentes elementos
del gobierno electrónico y así, lograr establecer el grado en el cual se está masificando su
uso, debemos tener en cuenta las normas, metodologías y tiempos establecidos por el
gobierno nacional para tal fin.
A pesar de la gran cantidad de normas que al respecto han surgido en los últimos años y
en especial, las relacionadas con la estructura del gobierno electrónico y las fechas de
cumplimiento de las diferentes fases, se utilizarán como punto de partida, los componentes
de la Estrategia de Gobierno en línea, definidos en el Decreto 2693 de 2012, que se derivan
de la evolución de las “Fases de Gobierno en línea”, contempladas en el Decreto 1151 de
2008 y no se tendrán en cuenta por lo reciente de su publicación, la estructura y fechas
planteadas en el Decreto 2573 del 12 de Diciembre de 2014.
En este sentido, las fases que permitirán medir el nivel de avance y masificación del
gobierno electrónico en Colombia (para efectos del modelo), están contempladas en el
Manual de gobierno en línea 3.1, las cuales ya fueron explicadas en el capítulo 6, y se
resumen en: Elementos Transversales, Información en Línea, Interacción en Línea,
Transacción en Línea, Transformación, Democracia en Línea.
22
2
Cada una de estas 6 fases son medidas, de acuerdo al nivel de cumplimiento de los
elementos que la componen, con ponderaciones establecidas en el mismo manual, cuyo
resumen se presenta a continuación.
CATEGORIA PESO
(%) ACTIVIDAD
PESO
(%) SUBACTIVIDAD
PESO
(%)
Elementos Transversales
Institucionalizar la Estrategia de
Gobierno en Línea
30
Comité o instancia responsable de GEL
7,5 Comité o instancia responsable de GEL
7,5
Planeación del Gobierno en línea
7,5 Planeación sectorial e institucional
2,5
Plan de acción 5
Estrategia de apropiación
7,5
Capacitación en Gobierno en Línea
4
Promoción y divulgación en la entidad
2,5
Mejoramiento 1
Monitoreo y Evaluación 7,5
Esquema de monitoreo y evaluación
5,5
Reporte de implementación de la estrategia GEL
2
Centrar la atención en el
usuario 30
Caracterización de usuarios
15 Caracterización de usuarios
15
Estrategia de promoción
5 Estrategia de promoción
5
Accesibilidad 5
Nivel de Conformidad A 2
Nivel de Conformidad AA 2
Nivel de Conformidad AAA 1
Usabilidad 5
Directrices básicas 2
Directrices complementarias 1
Estándares del sitio web 2
Implementar un sistema de
gestión de TI 15
Planear el ajuste tecnológico
10
Análisis y caracterización de la infraestructura
4
Planeación 4
Tecnología verde 2
Protocolo IPv6 5
Planeación 1
Implementación 3
Monitoreo 1
25 25 Planear 2,5
223
Implementar un sistema de gestión de
seguridad de la información
Sistema de Gestión de Seguridad de la
Información
Hacer 15
Verificar 3,75
Actuar 3,75
Información en línea
Publicación de Información
57
Política Editorial 8 Política Editorial 8
Publicación de Información
40
Publicación de información básica 27
Información en audio y video 2
Información principal en otro idioma
4
Información adicional en otro idioma
3
Mejoramiento 4
Acceso multicanal 9 Acceso vía móvil 8
Acceso vía televisión digital 1
Publicación de datos abiertos
43
Inventario de Información
12
Elaboración del inventario 7,2
Publicación del inventario de información
4,8
Apertura de datos 31
Priorización y plan de apertura de datos
3
Documentación de los datos 5
Estructuración de los datos 5
Publicación de los conjuntos de datos
15
Mejoramiento 3
Interacción en línea
Habilitar espacios de interacción
50
Consulta interactiva de información
20 Consulta a bases de datos 13
Información interactiva 7
Servicios de interacción 30
Soporte en línea 6
Suscripción a servicios de información al correo electrónico o RSS
4
Base de datos de correos autorizados para comunicaciones y notificaciones
3
Suscripción a servicios de información móvil
5
Encuesta de opinión 3
Avisos de confirmación 6
22
4
Mejoramiento 3
Habilitar espacios
electrónicos para interponer
peticiones
50
Sistema de Contacto y PQRD
28 Espacio para contacto, peticiones, quejas, reclamos y denuncias
26
Mejoramiento 2
Sistema móvil de contacto y PQRD
11 Sistema móvil de contacto y PQRD
11
Sistema integrado de PQRD
11
Integración de canales de comunicación
6
Integración con organismos de control y superintendencias
5
Transacción en línea
Disponer trámites y
servicios en línea
100
Formularios para descarga
5 Formularios para descarga
5
Certificaciones y constancias
15 Certificaciones y constancias
15
Trámites y servicios 65
Caracterización, análisis y priorización de los trámites y servicios de la entidad
7,5
Automatización 35
Definir el esquema de atención por múltiples canales
4
Implementación de canales alternativos para la prestación de trámites y servicios
13,5
Mejoramiento 5
Ventanillas únicas 15 Priorización y planeación 5
Implementación 10
Transformación
Hacer uso de medios
electrónicos en procesos y
procedimientos internos
45
Buenas prácticas 9 Buenas prácticas 9
Sistema de gestión de documentos
13 Sistema de gestión de documentos
13
Automatización de procesos
23
Caracterización de procesos y procedimientos
4
Análisis, priorización y racionalización de procesos
4
Automatización 12
Mejoramiento 3
55 Cadenas de trámites 27,5 Lenguaje común de intercambio 5
225
Intercambiar información
entre entidades
Identificación, análisis, priorización y optimización de cadenas de trámites
5
Automatización 12,5
Publicación de los servicios en el catálogo
5
Servicios de intercambio de
información 27,5
Identificación 3
Conceptualizar los elementos de datos
4
Automatizar los servicios 12
Publicar los servicios en el catálogo
4
RAVEC 2
Mejoramiento 2,5
Democracia en línea
Definir la estrategia de participación
15 Estrategia de
participación por medios electrónicos
15
Planeación 2
Datos para establecer contacto para la participación
1
Convocatoria 2
Discusión 3
Realimentación y resultados 2
Mejoramiento 5
Construir de forma
participativa las políticas y planeación estratégica
40
Normatividad 20
Convocatoria 5
Consulta 5
Realimentación 5
Resultados 5
Planeación Estratégica 20
Convocatoria 5
Consulta 5
Realimentación 5
Resultados 5
Abrir espacios para el control
social 20 Rendición de cuenta 20
Convocatoria 4
Consulta 4
Realimentación 4
Discusión 4
Resultados 4
Abrir espacios de innovación
abierta 25
Promoción de datos abiertos
8 Promoción de datos abiertos
8
Solución de problemas 17
Convocatoria 6
Espacios para la propuesta de soluciones
5
22
6
Resultados 6
Fuente: Construido a partir de (Ministerio de Tecnologías de Información y
Comunicaciones, 2013).
INDICE DE GOBIERNO EN LÍNEA
De acuerdo a lo establecido por el Ministerio de Tecnologías de Información y
Comunicaciones, para llevar a cabo el monitoreo de la estrategia de gobierno en línea, se
ha establecido el índice de gobierno en línea; el cual representa el estado de avance de
las entidades en la ejecución de la estrategia, teniendo en cuenta como referencia los
criterios definidos por el Manual de Gobierno en Línea (Ministerio de Tecnologías de
Información y Comunicaciones, 2014).
Para su construcción se han diseñado tres subíndices, los cuales son calculados a partir
de la ponderación promedio de los respectivos componentes de las diferentes fases de
gobierno en línea, tal como se puede apreciar en la tabla
Tabla 55. Subíndices de Gobierno en línea.
SUBINDICES ACTIVIDAD
Eficiencia Electrónica
Intercambiar información entre entidades
Hacer uso de medios electrónicos en procesos y procedimientos internos
Implementar un sistema de gestión de seguridad de la información
Implementar un sistema de gestión de TI
Institucionalizar la Estrategia de Gobierno en Línea
Gobierno Abierto
Abrir espacios de innovación abierta
Abrir espacios para el control social
Construir de forma participativa las políticas y planeación estratégica
Definir la estrategia de participación
Publicación de datos abiertos
Publicación de Información
Servicios
Disponer trámites y servicios en línea
Habilitar espacios electrónicos para interponer peticiones
Habilitar espacios de interacción
Centrar la atención en el usuario
Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2014).
227
7.2.3.7. Gobierno Abierto
Los gobiernos deben ofrecer plataformas en línea de información, con datos para la
ciudadanía y para las demás agencias gubernamentales, esto habilita la posibilidad de
desarrollar la Auditoría Continua. Desde una perspectiva tecnológica, se requiere que las
entidades sujetas de control cuenten con procesos automatizados representados en
sistemas de información y que a su vez, los datos e información procesados a través de
ellos puedan ser compartidos.
Esa característica de que los datos sean compartidos sin restricción y que exista la
infraestructura necesaria para tal fin, se enmarca dentro de lo que conocemos como
Gobierno Abierto (Open government), que para efectos del modelo, tomaremos la
definición planteada por Sandoval Almazán (2013) como una plataforma tecnológica
institucional, que convierta los datos gubernamentales en datos abiertos para permitir su
uso, protección y colaboración en los procesos de decisión pública, rendición de cuentas
y mejoramiento de los servicios públicos.
En marzo de 2010, los países de la Unión Europea y de América Latina y del Caribe,
reunidos en el V Foro Ministerial UE-ALC sobre la Sociedad de la Información celebrado
en España, incorporaron en el capítulo de Gobierno y Administración Pública, la
declaración de que los gobiernos y organismos públicos pongan a disposición de la
sociedad, en forma fácilmente accesible, aquellas informaciones y datos de interés público
que puedan ser utilizados por terceros para crear nuevos servicios para los ciudadanos (A.
Naser & Ramirez Alujas, 2014).
En Abril de 2012, Colombia se adhirió a la alianza de Gobierno Abierto, la cual contempla
como uno de sus ejes transversales, la colaboración entendida de dos formas diferentes:
i) entre entidades y ii) entre las entidades y la ciudadanía en general (Ministerio de
Tecnologías de Información y Comunicaciones, 2013).
La colaboración entre entidades, que es la requerida como parte del modelo, está
contemplada dentro del componente de transformación de la estrategia de gobierno en
línea, mientras que la colaboración entre las entidades y la ciudadanía en general, se
contempla en el componente de democracia.
22
8
La colaboración entendida como parte del componente de transformación hace
referencia directamente a los procesos de intercambio de información, es decir a la
interoperabilidad. La interoperabilidad resulta de la necesidad de las entidades de
contar con los datos que son responsabilidad de otras entidades para el
cumplimiento de su objeto misional. (Ministerio de Tecnologias de la Informaciòn y
las Comunicaciones, 2013,p. 28).
De igual forma, Colombia recientemente aceptó las recomendaciones de la Organización
para el Desarrollo Económico (OCDE), en lo relacionado con estrategias de gobierno
digital, orientado a un uso de tecnología más abierta, participativa e innovadora, a través
de acciones que permitan orientar y fomentar el uso y re-uso de la información pública,
aumentar la apertura y transparencia, proporcionar datos oficiales oportunos y confiables,
así como aumentar la disponibilidad de los datos en formatos abiertos. Estas
recomendaciones se encuentran reflejadas como parte del componente “TIC para el
gobierno abierto”, previsto en el reciente Decreto 2573 de Diciembre de 2014, donde se
establecen nuevos lineamientos de la estrategia de gobierno en línea, para las
organizaciones del estado Colombiano.
Como parte del Gobierno abierto, los esquemas tecnológicos que posibilitan el acceso a
la información pública en Colombia, están representados fundamentalmente por la reciente
Ley de Transparencia y Acceso a la Información Pública, el marco de interoperabilidad y
las iniciativas de open data, los cuales se detallan a continuación:
7.2.3.7.1. Acceso a Información Pública
En el año 2007, la Asamblea General de la Organización de Estados Americanos (OEA),
aprobó la resolución 2288 relacionada con el derecho de acceso a la información pública
e instó a los estados, a adoptar reglamentaciones para garantizar este derecho. Es así
como en Colombia se aprueba la Ley 1712 del 6 de Marzo de 2014, denominada “Ley de
Transparencia y del Derecho de Acceso a la Información Pública Nacional”, donde se
establece en su artículo 2 lo siguiente: “Toda Información en posesión, bajo control o
custodia de un sujeto obligado es pública y no podrá ser reservada o limitada sino por
disposición constitucional o legal”; entonces, de acuerdo al artículo 5 de la misma ley, se
tiene que son sujetos obligados las siguientes entidades:
229
Toda entidad pública, incluyendo las pertenecientes a todas las Ramas del Poder
Público, en todos los niveles de la estructura estatal, central o descentralizada por
servicios o territorialmente, en los órdenes nacional, departamental, municipal y
distrital.
Los órganos, organismos y entidades estatales independientes o autónomos y de
control.
Las personas naturales y jurídicas, públicas o privadas, que presten función pública
o que presten servicios públicos, de acuerdo a la información directamente
relacionada con la prestación del servicio público.
Cualquier persona natural, jurídica o dependencia de persona jurídica, que
desempeñe una función pública o de autoridad pública, de acuerdo a la información
directamente relacionada con el desempeño de su función.
Los partidos o movimientos políticos y los grupos significativos de ciudadanos.
Las entidades que administren instituciones parafiscales, fondos o recursos de
naturaleza u origen público.
En esencia, se encuentran contempladas todas las organizaciones que son sujetas de
control por parte de todas las contralorías del país.
De igual forma, la misma ley establece en su artículo 7, en relación con los medios a través
de los cuales se debe poner a disposición la información pública, que esta deberá estar
disponible a través de medios físicos, remotos, o locales de comunicación electrónica.
Lo anterior sienta las bases para el acceso a la información pública de cualquier entidad
del estado, lo que da vía libre a uno de los elementos fundamentales del modelo de
Auditoría Continua para el Control Fiscal Colombiano.
7.2.3.7.2. Marco de Interoperabilidad
La interoperabilidad definida como la capacidad mediante la cual, los sistemas
heterogéneos no solo tecnológicos, sino que también pueden intercambiar información y
procesos técnicos o datos (Criado, Gascó, & Jiménez, 2011), cuenta en Colombia con un
marco de Interoperabilidad promulgado en 2010, el cual está compuesto por un conjunto
23
0
de principios y políticas para el intercambio seguro y eficiente de información entre las
diferentes entidades gubernamentales. Este marco se encuentra acompañado de una
serie de guías y prácticas.
Este marco de interoperabilidad contempla cinco dominios:
Dominio político legal: Son aquellas políticas y normas que hacen posible el intercambio
de información entre las entidades, en este caso en particular, entre las entidades de
control y las entidades sujetas de control.
Dominio sociocultural: Son las competencias que deben tener las entidades para poder
intercambiar información, comprendiendo también, la habilitación de los medios necesarios
para lograrlo.
Dominio organizacional: Equivale al alineamiento organizacional que debe existir entre
las entidades involucradas en el intercambio de información.
Dominio semántico: Corresponde al lenguaje de información con el cual podrán
interactuar las entidades que intercambian información.
Dominio técnico: Se refiere a la infraestructura técnica necesaria para el intercambio de
información.
De igual forma, el marco de interoperabilidad establece cuatro (4) niveles de madurez en
su implementación por parte de las entidades. Estos niveles transitan desde un nivel inicial,
pasando por el nivel básico, nivel avanzando y nivel de mejoramiento permanente.
7.2.3.7.3. Open Data
De acuerdo con la organización sin fines de lucro Open Knowledge Foundations, los datos
abiertos son datos que pueden ser libremente utilizados, reutilizados y redistribuidos por
cualquier organización (A. Naser & Ramirez Alujas, 2014). La iniciativa de datos abiertos,
parte en su concepción como todos aquellos datos primarios, sin procesar, en un formato
estándar, estructurados e interoperables, que facilitan su acceso y permiten su
reutilización, y los cuales están bajo la custodia de las entidades públicas y pueden ser
obtenidos sin ninguna reserva (Ministerio de Tecnologías de Información y
Comunicaciones, 2015a).
231
Tradicionalmente, los formatos en los cuales se comparten los datos son: XLS, ODF, CSV,
XML, ATOM, JSON, TXT, RDF-XML, ZIP.
El Gobierno Colombiano ha establecido una guía y una herramienta para la publicación de
datos abiertos, la cual se encuentra publicada en el Portal del Catálogo de datos del
gobierno Nacional, tal como se puede apreciar en la Figura 30.
Figura 30. Portal del Catálogo de Datos Abiertos en Colombia.
Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2015c)
7.2.3.7.4. Lenguaje común de intercambio de información
Para mecanismos de intercambio de información, se requiere un lenguaje (una forma
estándar) que permita que los datos que se vayan a compartir, puedan ser entendidos por
las partes intervinientes. El lenguaje de intercambio de información es el estándar definido
23
2
por el Estado Colombiano, para intercambiar información entre entidades facilitando así,
el entendimiento entre los involucrados en los procesos requeridos para dicho intercambio.
Para llevar a cabo este proceso, se seguirán los lineamientos establecidos por el Ministerio
de Tecnologías de Información.
7.3. El efecto panóptico esperado del modelo
Para explicar la forma como la Auditoría Continua aporta al autocontrol, se acudirá a una
teoría desarrollada por el filósofo Jeremy Bentham, quien en 1791 acuño el término
Panóptico, pensado inicialmente para reducir el costo de operación de las cárceles
británicas. El propósito de dicha teoría era la observación de los presos de una cárcel, que
superaban en número a los vigilantes de ésta, realizado desde un punto único y sin que
estos se dieran cuenta. La anterior resulta ser una analogía interesante para explicar el
autocontrol; pues si se tiene en cuenta que la implementación de la Auditoría Continua
provee un efecto panóptico sobre el control, entonces se podría observar desde un punto
único (la tecnología de Auditoría Continua) las acciones que desarrolla la administración,
sin que estos se den cuenta. Sin embargo, si se divulgara la existencia de los controles
embebidos que están monitoreando constantemente los procesos organizacionales,
seguramente aquellas personas que deseen cometer un fraude o incumplir reglas de
control se inhibirían y ejercerían el autocontrol.
Como ejemplo de aplicación de este concepto, se puede acudir a los comparendos
electrónicos, a través de los cuales los organismos de transito instalan cámaras en sitios
estratégicos de la ciudad, para detectar en línea y de forma electrónica a aquellos
infractores de tránsito, quienes al momento de conocer la ubicación de las cámaras en los
diferentes puntos de la ciudad, se inhiben de cometer la infracción, por el comparendo que
ello genera, creando conciencia e incrementando el autocontrol en los conductores.
233
7.3.1. Modelo de las tres líneas de defensa
El modelo de tres líneas de defensa, es un documento de posición del IIA, denominado
originalmente como las tres líneas de defensa en la efectividad de la gestión del riesgo y
el control (The three lines of defense in effective risks management and control). Éste
modelo tiene el fin de coordinar esfuerzos, entre los diferentes actores organizacionales
que cumplen funciones de gestión de riesgos y control.
El modelo establece, tal como se puede observar en la figura 31, la necesidad de contar
con un aseguramiento integral de la organización, basado en tres líneas de defensa y dos
líneas adicionales que son: la auditoría externa y los reguladores que desarrollan
actividades adicionales de control; los cuales deben estar adecuadamente coordinados
para cumplir su objetivo, tal como lo establecen las normas internacionales para el ejercicio
profesional de la auditoría interna, en particular la norma 2050 (Coordinación) que
establece que: “El director de auditoría interna debería compartir información y coordinar
actividades, con otros proveedores internos y externos de servicios de aseguramiento y
consultoría, para asegurar una cobertura adecuada y minimizar la duplicación de
esfuerzos”.
Figura 31. Modelo de tres líneas de defensa
Fuente: (The Institute of Internal Auditors, 2013)
Con el fin de explicar la forma cómo interactúan las diferentes líneas de defensa en una
organización, es importante delimitar cada línea de defensa:
23
4
Primera línea de defensa: En esta línea, los gerentes operacionales son dueños y
gestores de riesgos, de igual forma son los responsables de implementar acciones
correctivas para disminuir el riesgo y las deficiencias de control, reportando directamente
a la gerencia.
La gerencia operacional y la estructura que la soporta son responsables de mantener un
adecuado control interno y también se encargan de ejecutar a diario los procedimientos de
control y riesgo; para lo cual identifican, evalúan, controlan y mitigan riesgos, guiando el
desarrollo e implementación de políticas y procedimientos internos, asegurando que las
actividades sean consistentes con las metas y objetivos de la organización.
El nivel operacional de la organización es la primera línea de defensa, debido a que los
controles son diseñados en los sistemas y procesos que están bajo su responsabilidad.
Segunda línea de defensa: La gerencia de las organizaciones establece por lo general,
una serie de funciones de gestión de riesgos y cumplimiento, que ayudan a construir y a
monitorear los controles de la primera línea de defensa. Algunas de estas funciones son
las siguientes: Un área o comité de gestión de riesgos, que ayuda a la gestión eficaz de
los riesgos; una función de cumplimiento relacionado con el control de riesgos legales; una
función que garantice el cumplimiento de normas de calidad; una función que garantice
niveles adecuados de seguridad de la información; entre otras.
Aunque la segunda línea de defensa hace parte de la gestión operativa, cumple funciones
específicas para la gestión de riesgos y controles específicos en la organización, haciendo
sus reportes directamente a la gerencia o en algunos casos a gerencias operativas.
Tercera línea de defensa: Equivale a la auditoría interna, provee aseguramiento
independiente, y reporta a los más altos órganos directivos de la organización, incluyendo
la gerencia general. Las principales características de esta tercera línea son la
independencia y la objetividad con las cuales evalúa factores como: el gobierno, el riesgo
y el control de la organización; incluyendo dentro de esta evaluación, la primera y segunda
línea de defensa.
Auditoría externa: La característica principal de esta línea de defensa es que es externa
a la organización y puede presentar una mayor independencia en su función de evaluación
235
de riesgos y controles, sin embargo, en ocasiones tiene limitaciones por el nivel de acceso
que puede tener sobre la información de la organización.
En el caso Colombiano, la auditoría externa esta tradicionalmente asociada a las revisorías
fiscales y para el caso del sector público, a la función ejercida por las contralorías en sus
diferentes niveles.
Regulador: En ciertos sectores de la economía existen procesos de control ejercidos por
organizaciones, que regulan el cumplimiento de las reglas del sector y desarrollan
auditorías periódicas, para garantizar que se cumplan las reglas previstas. En el caso
Colombiano, existen organizaciones como la Superintendencia de Servicios Públicos, la
Superintendencia Financiera y la Superintendencia de Industria y Comercio, entre otras.
7.3.2. Funcionamiento de las tres líneas de defensa con el efecto
panóptico esperado en el modelo de Auditoría Continua
Si se acude a las normas internacionales para el ejercicio profesional de la auditoría
interna, en especial a la norma 2050 (Coordinación) y en particular a los consejos para la
práctica 2050-1 y 2050-3, donde se establece entre otros aspectos lo siguiente:
Consejo para la práctica 2050-1 Coordinación: Las organizaciones pueden utilizar
el trabajo de los auditores externos para proporcionar aseguramiento, referido a las
actividades que están dentro del alcance de la auditoría interna.
Consejo para la práctica 2050-3 Confiar en el trabajo de otros proveedores de
servicios de aseguramiento: El auditor interno puede hacer uso del trabajo de otros
proveedores internos o externos de servicios de aseguramiento.
23
6
Figura 32. Efecto panóptico del modelo en las tres líneas de defensa
Fuente: Elaboración propia
En este sentido y como se representa en la figura 32, los procesos de Auditoría Continua
desarrollados por las contralorías, proyectarán un efecto panóptico sobre las tres líneas de
defensa, si tenemos en cuenta que, la acción fiscalizadora ejercida por las contralorías se
aplica sobre el Control Interno (Auditoría Interna) y sobre las acciones llevadas a cabo por
la administración y las demás áreas de aseguramiento de la entidad pública.
Se podría afirmar que, el efecto panóptico del modelo de Auditoría Continua tendría un
mayor efecto, en las tres líneas de defensa que garantizan el aseguramiento integral de la
organización, si el desarrollo de los trabajos de Auditoría Continua llevados a cabo por las
contralorías pudiera ser compartido, con el área de Control interno de las organizaciones
públicas sujetas de control; las cuales a su vez, podrían ser desarrolladas como parte del
monitoreo continuo que se ejerce en la primera y segunda línea de defensa.
Para lograr lo anterior, se requiere voluntad entre las partes, dado que podría ser incluso
un proceso reciproco, que en últimas beneficiaría a la administración pública en general.
237
7.4. La gestión del cambio, un impulsor del modelo
Uno de los elementos críticos de cualquier modelo que genera cambios en las
organizaciones y más aún, basados en Tecnologías de Información y Comunicaciones, es
la gestión del cambio. El cambio organizacional supone abandonar un conjunto de
estructuras, procedimientos, comportamientos y la adopción de otros, con el objetivo de
mejorar el desempeño (De Pablos Heredero, Lòpez Hermoso, Martin-Romo, & Medina
Salgado, 2013).
La tecnología juega actualmente, un papel fundamental en la gestión del cambio
organizacional y como tal, requiere procesos de adaptación que lleven a convertir esta
propuesta en realidad.
Este modelo prevé la gestión del cambio, tanto de las contralorías del país, como de las
entidades sujetas de control. Aunque es una realidad que, un impulsor del cambio en el
sector público se da por la imposición de las normas, ante la imposibilidad (al menos en el
corto plazo) de llevarlas a cabo, se requiere concientizar a los directivos y auditores de las
contralorías, de la importancia que puede representar este modelo para el incremento de
la eficacia y eficiencia de la función de control gubernamental, así como de la transparencia
que puede generar para la administración pública.
23
8
8. Modelo de Auditoría Continua, en la
Contraloría General del Municipio de
Manizales
A fin de validar la pertinencia del modelo propuesto, se tomará como piloto la Contraloría
General del Municipio de Manizales (en adelante CGMM), a la cual denominaremos la
contraloría tipo, como referente para todas las contralorías del país.
Se ha decidido tomar como referente la Contraloría General del Municipio de Manizales
(en adelante CGMM), debido a que es una contraloría que se destaca como una de las
contralorías medianas con mejor calificación en el país, y además porque ocupa el tercer
puesto (de acuerdo al último informe del ranking establecido por la Auditoría General de la
República) de las 63 contralorías que existen en éste momento a nivel territorial; también,
porque es una de las 34 contralorías del país que participó recientemente y de de manera
activa, en la construcción de la guía de Auditoría Territorial y además, es considerada como
“una de las entidades de Control Fiscal que más ha utilizado las Tecnologías de
Información y Comunicaciones dentro de sus procesos de Control Fiscal” (Ministerio de
Tecnologias de la Informaciòn y las Comunicaciones, Auditoría General de la República,
Consorcio S&M, & UT Software Works, 2012b,42); lo cual es explicado por la cantidad y
calidad de herramientas tecnológicas, que dan soporte a los diferentes procesos de control
que desarrolla la entidad, llegando incluso a ser una de las pocas contralorías que ha
participado en el premio de Banco de éxitos de la Administración Pública, que promulga el
Departamento Administrativo de la Función Pública, con propuestas de uso de
herramientas tecnológicas en el control fiscal.
Para validar el modelo en la CGMM, se llevaran a cabo dos procesos: El primero orientado
a diagnosticar su estado actual en función del modelo propuesto y el segundo estará
orientado a proponer un plan de acción, que permita cerrar la brecha entre lo planteado en
el modelo y el estado actual de la Contraloría CGMM.
239
Sin embargo, es pertinente precisar que de los 12 elementos que hacen parte de los
subsistemas del modelo, tan solo se podrán caracterizar aquellos que son considerados
endógenos, debido a que los elementos exógenos son parte del contexto y no son
medibles desde un punto de vista pragmático por su naturaleza. Estos elementos
exógenos son cinco (5), los tres elementos que componen la base normativa y los
elementos de cumplimiento normativo y voluntad política del subsistema de impulsores.
8.1. Metodología e instrumentos para caracterizar el
Modelo de Auditoría Continua de la Contraloría
General del Municipio de Manizales
La caracterización de los diferentes elementos que hacen parte del modelo de Auditoría
Continua, propuesto en el contexto específico de la Contraloría General del Municipio de
Manizales, requiere acudir a diversas fuentes primarias y secundarias, que permitan
desarrollar una caracterización acorde a la realidad de esta entidad.
Para ello, y en función de los dos actores principales del modelo (la contraloría y las
entidades sujetas de control) se llevarán a cabo, además del análisis de fuentes
secundarias, tres (3) tipos de estudio basados en trabajos de campo:
1. Tipo 1. Evaluación del nivel de madurez de los procesos de Tecnología de
Información: Su objetivo es determinar en general, el nivel de madurez de las
áreas de Tecnología de Información y establecer los principales procesos de cada
entidad que se encuentran automatizados, como base para determinar la viabilidad
de cumplir con uno de los requisitos de la Auditoría Continua, y es que los procesos
para auditar se encuentran soportados en Tecnologías de Información.
2. Tipo 2. Caracterización del servicio de Auditoría Continua: Permite establecer
las principales características del auditor gubernamental de la contraloría y su nivel
de conocimiento, tanto del uso del computador en los procesos de auditoría, como
de la auditoría continua propiamente dicha.
24
0
3. Tipo 3: Evaluación del nivel de avance del gobierno electrónico en las
entidades sujetas a Control de la Contraloría General del Municipio de
Manizales: Dado que uno de los elementos esenciales del modelo es el gobierno
electrónico, este estudio permite determinar el nivel de avance que presentan éstas
entidades, de acuerdo a las directrices del Ministerio de Tecnologías de
Información, plasmadas en el manual 3.1. de gobierno en línea.
La ficha técnica de cada uno de estos estudios, se pueden observar en los anexos 3, 4 y
5.
Es importante tener en cuenta que Los resultados de cada uno de estos estudios, serán la
base con la cual se caracterizan los diferentes elementos endógenos del modelo
propuesto, tal y como se relacionan a continuación:
Tabla 56. Instrumentos para caracterizar el modelo de Auditoría Continua propuesto
SUBSISTEMA ELEMENTO FUENTE FUENTE TIPO
ESTUDIO
Impulsores Competencias auditor
gubernamental
Endógena Primaria Tipo 2
Metodología Metodología de Auditoría
Continua
Endógena Primaria/
Secundaria
Tipo 2
Base de conocimiento Endógena Primaria/
Secundaria
Tipo 2
Tecnologías
Habilitadoras
Técnicas y Herramientas de
Auditoría Continua
Endógena Primaria Tipo 2
Automatización de procesos
gubernamentales
Endógena Primaria Tipo1
Tipo 2
241
Masificación del gobierno
electrónico
Endógena Primaria Tipo 3
Gobierno abierto Endógena Primaria Tipo 3
Fuente: Elaboración propia
8.2. Diagnóstico de la Contraloría General del
Municipio de Manizales
8.2.1. Breve Reseña Histórica de la CGMM
La Contraloría General del Municipio de Manizales fue creada mediante Acuerdo 34 del 12
de Diciembre de 1941, expedido por el Concejo de Manizales, y a pesar de haber pasado
por diferentes reformas, en especial, las relacionadas con la forma de ejercer el control
fiscal en el país (Constitución de 1991 y su posterior ley 42 de 1993) y de la drástica
reducción de su planta de personal, al pasar de 108 funcionarios a 29, en aplicación de la
Ley 617 del 2000 (Contraloría General del Municipio de Manizales, 2014), actualmente es
una de las contralorías medianas con mejor calificación dentro de las contralorías
medianas del país, y la tercera de las 63 contralorías del país, de acuerdo al último informe
del ranking establecido por la Auditoría General de la República, tal como se puede
apreciar en la Figura 33.
24
2
Figura 33: Ranking de las Contralorías en Colombia
Fuente: Adaptado de (Auditoría General de la República, 2012)
8.2.2. Estructura Organizacional y de procesos
La Contraloría General del Municipio de Manizales, cuenta con una estructura
organizacional aprobada según acuerdo 764 de 2011, como se puede apreciar en la Figura
34, cuyas áreas funcionales son las siguientes:
Despacho del Contralor: Se encarga de fijar las políticas, planes, programas y estrategias
para el adecuado ejercicio del control fiscal; y además del desarrollo de las funciones
administrativas inherentes a la contraloría, en virtud de su autonomía administrativa,
presupuestal y contractual.
Despacho del Subcontralor: Se encarga de prestar el apoyo necesario, para el
cumplimiento de las funciones administrativas, de control fiscal y de participación
ciudadana, en desarrollo de la autonomía administrativa, contractual, financiera y
presupuestal que otorga la ley.
243
Figura 34. Estructura Organizacional de la Contraloría General del Municipio de Manizales
Fuente: (Contraloría General del Municipio de Manizales, 2015a)
Dirección de Planeación y Control Fiscal: Se encarga de planear, dirigir, programar y
coordinar la aplicación de los diferentes sistemas de control fiscal, mediante la adopción
de políticas, planes, programas y proyectos institucionales, procurando una efectiva
fiscalización de los recursos económicos de la Administración Municipal.
Coordinación de Responsabilidad Fiscal: Se encarga de dirigir el proceso de
responsabilidad fiscal, tendiente a determinar y cuantificar la existencia del daño o
deterioro patrimonial causado al Municipio de Manizales y a sus entes descentralizados,
por el manejo irregular de fondos o de bienes públicos, ya sea que se encuentren en
cabeza de funcionarios públicos o de particulares.
Coordinación de Evaluación Financiera: Se encarga de desarrollar el proceso financiero
y sus correspondientes subprocesos, para ejercer la vigilancia fiscal de manera integral a
los estados financieros de la Administración Municipal, mediante la revisión y examen del
presupuesto, la deuda pública y los estados contables, para determinar si los mismos
reflejan razonablemente las operaciones y los cambios en su situación financiera y si
cumplen las normas que los regulan.
24
4
Coordinación de Evaluación Contractual: Se encarga de desarrollar el proceso
contractual y sus correspondientes subprocesos, para ejercer la vigilancia de la gestión
contractual de la Administración Municipal de manera integral, mediante la revisión,
análisis y evaluación legal, técnica y presupuestal de la contratación; la valoración de los
costos ambientales, la determinación y evaluación de la gestión y los resultados del
proceso contractual.
Coordinación de Evaluación de Gestión y Resultados: Se encarga de desarrollar el
proceso de Gestión y Resultados y de sus correspondientes subprocesos, para establecer
en qué medida los sujetos de control logran sus objetivos y cumplen los planes, programas
y proyectos adoptados por la Administración Municipal en un período determinado;
mediante la evaluación de los sistemas de control interno, la evaluación de los sistemas
de información, la aplicación de indicadores de gestión y la presentación de los informes
de gestión y resultados.
En relación con la estructura por procesos, a través de la cual desarrollan su labor, la
CGMM cuenta con una estructura de procesos esquematizada en la Figura 35.
Figura 35. Mapa de procesos de la Contraloría General del Municipio de Manizales
Fuente:(Contraloría General del Municipio de Manizales, 2015b)
245
8.2.3. Entidades y puntos sujetos de control
La CGMM de acuerdo a la Resolución 025 de enero 21 de 2014, tiene como entidades y
puntos de control que son sujetos de control a 84 entidades, las cuales se detallan a
continuación:
Tabla 57. Entidades sujetas de control de la Contraloría General del Municipio de Manizales
TIPO ENTIDAD
Sector central
Alcaldía de Manizales (15 Secretarías de Despacho)
Personería de Manizales
Concejo de Manizales
Entidades descentralizadas de primer orden
Instituto de Valorización de Manizales – INVAMA
Instituto de Financiamiento, Promoción y Desarrollo de Manizales – INFIMANIZALES
Caja de la Vivienda Popular
Empresa Municipal para la salud – EMSA (Lotería de Manizales)
Centro de Recepción de Menores
Instituto de Cultura y Turismo
Transporte Integrado de Manizales – TIM S.A.
Manizales Segura S.A.
Hospital de Caldas E.S.E.
Hospital Geriátrico E.S.E.
Asbasalud E.S.E.
Entidades descentralizadas de segundo orden
Terminal de Transportes
Empresa Metropolitana de Aseo – EMAS S.A. E.S.P.
Aguas de Manizales S.A. E.S.P.
People Contact S.A.S.
INFOTIC S.A.
Empresa de Renovación Urbana de Manizales – ERUM.
24
6
Asociación Cable Aéreo de Manizales –ACAM
Entidades privadas
Corporación Ecoparque de Selva Húmeda Tropical Los Yurumos
Servicios Especiales de Salud S.E.S.
Frigocentro
Galerías Plaza de Mercado
Entidades de Régimen Especial Primera Curaduría Urbana
Segunda Curaduría Urbana
Fondos
Fondo de Seguridad y Convivencia ciudadana
Fondo de Solidaridad y Redistribución del Ingreso
Fondo Local de Salud
54 Fondos de Servicios Educativos Municipales
Fuente: (Contraloría General del Municipio de Manizales, 2015b)
8.3. El Modelo de Auditoria Continua para el Control
Fiscal Colombiano en el contexto de la
Contraloría General del Municipio de Manizales
8.3.1. Competencias tecnológicas del auditor gubernamental
8.3.1.1. Caracterización general del auditor de la Contraloría General del Municipio
de Manizales
La CGMM, al momento de realizar el presente estudio cuenta con 19 Auditores
gubernamentales, entre los que se encuentran: 17 profesionales, 1 Tecnólogo y 1 Auxiliar
Contable; sobresaliendo por su cantidad, los contadores públicos, abogados y
Administradores de Empresas, como se puede observar en la tabla 58. De éste personal,
el 63,1 % cuenta con alguna especialización, entre las que se destacan las
especializaciones en Derecho Administrativo (25%) y en Auditoría de Sistemas (25%).
247
Tabla 58. Perfil Profesional de los auditores gubernamentales de la Contraloría General del Municipio de Manizales
Profesión Nro. %
Contador Público 5 26,32
Abogado 4 21,05
Administrador de Empresas 3 15,79
Ingeniero Industrial 2 10,53
Economista 1 5,26
Tecnólogo Administración de Empresas 1 5,26
Auxiliar Contable 1 5,26
Ingeniero Sistemas 1 5,26
Administrador Sistemas Informáticos 1 5,26
TOTALES 19 100%
Fuente: Encuesta aplicada a Auditores gubernamentales de la Contraloría General del
Municipio de Manizales, 2014.
Los auditores gubernamentales de la CGMM cuentan en promedio con 9,7 años de
experiencia en auditoría, en un rango que va desde profesionales con 24 años de
experiencia hasta 7 meses; así mismo, cuentan en promedio con 6,7 años de experiencia
en procesos de Auditoría Gubernamental, con una antigüedad aproximada en la entidad
de 9,4 años; lo que para efectos del presente estudio, es una experiencia representativa
como preámbulo para opinar acerca de la Auditoría Continua.
Los auditores de la CGMM, pueden participar en las diferentes auditorías programadas
anualmente por la entidad como Auditores Líderes o Auditores de Apoyo y pueden jugar
uno u otro rol, de acuerdo al tipo de auditoría programada, siendo el Auditor Líder quien
direcciona y encabeza las diferentes etapas de la auditoría. De acuerdo a la información
proporcionada por los auditores de la entidad, el 57,9% de los auditores han participado
como Auditores Líderes en proceso de Auditoría Gubernamental.
La CGMM desarrolla sus labores de auditoría a través de las siguientes modalidades:
Auditorías exprés, auditorias especiales, auditorias regulares, auditorías de seguimiento y
auditorías virtuales. El 63,1 de los auditores gubernamentales han participado en auditorias
regulares y en más baja proporción (21%) han participado en auditorias virtuales, siendo
esta última la utilizada principalmente por el personal que soporta tecnológicamente la
entidad, precisando que su función en la organización no está en exclusividad hacia esta
función misional.
24
8
En cuanto a la tipología de auditorías, que llevan a cabo los auditores gubernamentales en
las entidades sujetas de control, y en coherencia con su perfil profesional, tal como se
puede observar en la Figura 36, sobresalen las auditorias financieras, legales y de gestión;
sin embargo, es importante tener en cuenta que, muchas de las auditorías que se llevan a
cabo actualmente en la CGMM, son auditorias integrales donde participan diferentes
auditores.
Figura 36. Tipología de auditorías desarrolladas en la Contraloría General del Municipio de Manizales
Fuente: Encuesta aplicada a auditores gubernamentales de la Contraloría General del
Municipio de Manizales, 2014.
Dentro de la metodología llevada a cabo por los auditores gubernamentales y de acuerdo
a lo opinión expresada por estos, la totalidad de los auditores utilizan ó identifican los
riesgos del proceso al momento de llevar a cabo una auditoría, lo que prevé un esquema
de auditoría orientada a riesgos (requisito del modelo propuesto); sin embargo, al momento
de validar la información con los mismos auditores, se logró establecer que el enfoque
orientado a riesgos se aplica al programa Anual de Auditoría y no a los planes y programas
detallados de auditoría, lo que evidencia una bajo conocimiento en metodologías de
gestión del riesgo.
8.3.1.2. Competencia tecnológica de los auditores gubernamentales
Una de las actividades fundamentales para llevar a cabo la ejecución de los procesos de
auditoría, es contar con la información requerida a los sujetos de control en el menor tiempo
posible, para garantizar los tiempos planeados del proceso auditor, en este sentido y de
acuerdo a lo expresado por los auditores de la CGMM, en promedio la entidad sujeta a
32%
37%
21%10%
Legalidad
Financiero
Gestión
Resultados
249
control tarda aproximadamente 9 días en entregar la información que ha sido requerida,
en auditorías cuyo promedio de duración es de 1,94 meses. Es pertinente aclarar que estos
datos son indicativos para efectos del estudio, más no pretenden establecer tiempos
medios de duración de las auditorías gubernamentales, si se tiene en cuenta que su
duración depende del tipo y alcance de la auditoría.
El 63,1% de los auditores no ha utilizado hasta el momento Técnicas y Herramientas de
Auditoría Asistidas por Computador para desarrollar su labor de auditoría y el 92,3%
utilizan por lo general Excel como herramienta para el análisis de datos, sin utilizar las
funcionalidades propias de análisis de datos.
8.3.2. Metodología de Auditoría Continua
La Contraloría General del Municipio de Manizales (CGMM) fue una de las 34 contralorías
del país que participó de manera activa, en la construcción de la guía de Auditoría
Territorial, de allí su adopción como metodología oficial para el desarrollo de las auditorías
que se desarrollan.
Al indagarles a los auditores gubernamentales, acerca de los aspectos que podrían mejorar
al incorporar la Auditoría Continua en el proceso auditor, y el impacto que podría tener en
la función de Control Fiscal que presta la Contraloría, se logra identificar aspectos clave
comentados previamente, acerca de los beneficios que trae la Auditoría Continua para el
Control Fiscal Colombiano, tal como se puede observar en la tabla 59.
Tabla 59. Opiniones de los Auditores gubernamentales de la Contraloría General del Municipio de Manizales acerca de la Auditoría Continua
Auditor Cómo Mejora el servicio en
su proceso auditor Impacto para la CGMM
Delio Antonio Castellanos
La entrega oportuna de la información solicitada para realizar los análisis necesarios
Entrega de resultados en el menor tiempo posible, para que la entidad auditada u otros entes de control puedan tomar las decisiones pertinentes
Gildardo Vallejo Sepúlveda
Con este servicio se mejoraría en la medida en que los entes sujetos a control tengan toda la información necesaria disponible en tiempo real
Impactaría de manera efectiva si la información consultada es la real, eficiente y suficiente para el desarrollo y llevada a término del proceso auditor
25
0
María Lucia Pérez Patiño
Se puede mejorar en realizar un control fiscal en tiempo real y oportuno, y en tener mayor certeza en el manejo de información que envían las entidades desde su confiabilidad
Lograr un control en tiempo real y efectivo, y en obtener mayores resultados en la función fiscalizadora de la clasificación de los recursos públicos
Luisa Fernanda Hurtado Buitrago
Revisión de la información de manera inmediata
Realización del proceso auditor en tiempo real y oportuno
Juan Roberto Jiménez Carmona
En la oportunidad, la profundidad y en la imagen personal e institucional
El impacto es relevante, porque permitirá realizar un control oportuno y preventivo
Fabiola Delgado Morales
Oportunidad del control fiscal, prevención de daños físicos, mejoramiento imagen, resultados coherentes con la realidad actual
Reporte de resultados oportunos garantizando la debida operación de los recursos públicos en pro del mejoramiento de la calidad de vida y bienestar general
Geovanny Ochoa Corrales
Permite una identificación inmediata para determinar posibles inconsistencias o irregularidades en la gestión y resultados
A nivel Interno: Mejor acercamiento de los auditores con las TI y sensibilización sobre su uso (mayor competencia) información en tiempo real y ya procesada (menos operativo, más estratégico) permanente monitoreo de riesgos y controles. A nivel externo: Monitoreo Organizacional a procesos. Conciencia, publicidad y uso de TI entre otros
Lina María Rodríguez Cardona
Optimización de tiempos para realizar análisis y estudios de los insumos de la auditoría
Transparencia, confianza de los procesos desarrollados al interior de la entidad de control para con sus clientes directos como los ciudadanos
Alfonso Montoya Bedoya
En el tiempo de duración de la auditoría y reacción por parte de la contraloría, además de cumplir con la política de cero papel
Mayor acceso a la información de las entidades auditadas y mejores resultados en tiempo real
Marino Alonso Ospina Murillo
En que los resultados podrían ser más óptimos ya que la información que se está procesando es la que realmente se está manejando en el momento y daría pie para verificarla al instante
Considero que la Auditoría Continua sería una herramienta muy importante, ya que la evaluación de los procesos serían en tiempo real y por lo cual se podría detectar hechos irregulares que podrían ser subsanados antes de su realización final
251
Dubian Raúl Cardona Trujillo
Reduciendo el espacio de tiempo entre auditorias se disminuyen los riesgos de la ocurrencia de hecho ilegales
Se logra una mayor y permanente cobertura de los sujetos de control
José Duván Ramírez
Se puede mejorar en la oportunidad de la información, y la reducción del tiempo en el proceso auditor
Se podría ampliar la cobertura de los entes a auditar
Norma Clemencia Valencia Noreña
Detectando en tiempo real que parte del proceso está fallando y así con los controles implementados, se ponen fácilmente en evidencia hallazgos más pronto que al realizar un análisis tiempo después
Disminuyendo el tiempo de detección de las falencias en los procesos, reduciéndose los hallazgos en los sujetos de control en el que este servicio de auditoría trabaje en pro del mejoramiento de la calidad de los procesos, colaborando a la vez en el control interno de las entidades
Jhon Noreña Echeverry
Agilidad Agilidad, Veracidad y oportunidad
Leidy Johana Arias Serna
En el tiempo empleado para el análisis de la información
Mejoraría el análisis de datos en la realización de auditorías regulares
Lucia Yorlady Carrillo Delgado
Mejoraría la oportunidad de la información, lo que tendría un impacto en el tiempo de realización de la auditoria disminuyendo considerablemente
Al mejorarse los tiempos se podría aumentar el número de auditorías en las entidades, permitiendo a la contraloría ejercer un mejor control
Adriana Isabel Arango García
Oportunidad de obtener la información que ayuda para hacer más eficiente el proceso auditor
Impacto altamente positivo por la oportunidad que podrían tener los resultados del proceso auditor
Luz Odila Ciro Obando
Creo que me beneficiaria pues tendría conocimiento en tiempo real de la información relacionada con la parte contractual
Se podría llevar a cabo un control más efectivo, puesto que se está conociendo la información en tiempo real y se detectarían más tempranamente las falencias y se efectuaría un control más efectivo
Stella Vallejo López
Agilizando el proceso de recolección y análisis de la información igual que de utilizar unos archivos compatibles con la tecnología que la entidad nos provee
Una buena imagen externa, además de ampliar la cobertura en el desarrollo de auditorías incrementando el PGA
Fuente: Encuesta aplicada a auditores gubernamentales de la Contraloría General del
Municipio de Manizales, 2014.
25
2
Es importante destacar que, a pesar de que la auditoría moderna prevé el enfoque RBA
(Risk Based Approach), la guía tan solo contempla la identificación de riesgos en la fase
de Planeación Estratégica, y no en la planeación detallada, lo que implica para efectos del
modelo de Auditoría Continua, la necesidad de afianzar de manera adicional estos
conceptos en los auditores gubernamentales.
8.3.3. Base de conocimiento
La Contraloría General del Municipio de Manizales, no cuenta a la fecha con ninguna base
de conocimiento, ni tiene previsto como parte de su plan de desarrollo establecer alguna;
además, no participan de las iniciativas que actualmente se están adelantando en
OLACEFS.
8.3.4. Técnicas y Herramientas de Auditoría Continua
Los auditores gubernamentales de la Contraloría General del Municipio de Manizales,
cuenta con muy bajos conocimientos de Auditoría Continua, así lo demuestra la encuesta
aplicada a los 19 auditores, en la cual al indagárseles acerca del nivel de conocimiento de
la Auditoría Continua, se obtuvo un promedio de calificación en una escala de 1 a 5 de 2,7.
De manera complementaria y a efectos de validar el resultado anterior, en respuesta a si
alguna vez ha prestado el servicio de Auditoría Continua dentro de su labor de auditor
gubernamental, tan solo 2 de los 19 auditores manifiestan haber prestado en algún
momento este servicio.
Lo anterior, complementado con el nivel de uso de las técnicas y herramientas de auditoría
asistidas por computador, muestra que tan solo el 36,8% de los auditores han utilizado
estas técnicas en algún momento, para llevar a cabo su labor como auditor gubernamental,
como se puede apreciar en la Figura 37.
253
Figura 37. Nivel de uso de las TAAC's por parte de los auditores gubernamentales de la Contraloría General del Municipio de Manizales
Fuente: Encuesta aplicada a auditores gubernamentales de la Contraloría General del
Municipio de Manizales, 2014.
En relación con las herramientas de auditoría utilizadas por los auditores y teniendo en
cuenta las respuestas a la pregunta de las herramientas tecnológicas, utilizadas para el
análisis de información, el 92,3% de los auditores utilizan Excel como herramienta de
análisis de datos y el restante 7,7% utilizan IDEA, por poseer una licencia de la
herramienta, la cual es manejada por el área de TIC de la entidad.
8.3.5. Automatización de procesos gubernamentales
La automatización de procesos gubernamentales, tanto de la CGMM como de las
entidades sujetas de control, se describe a continuación.
8.3.5.1. Automatización de procesos gubernamentales de las entidades sujetas de
control
De acuerdo al estudio realizado y tomando como referencia COBIT QUICKSTART, el nivel
de madurez promedio de los procesos de Tecnología de Información y Comunicaciones
de las entidades sujetas de control es de 3.1, lo que equivale a un nivel DEFINIDO, de
acuerdo al modelo de madurez de COBIT, con un nivel de variación muy bajo en su índice
entre los cuatro dominios que lo conforman, como se puede observar en la Figura 38.
Utilizan TAACs37%
No Utilizan TAACs63%
25
4
Figura 38. Nivel de madurez promedio de los dominios de COBIT en las entidades sujetas de control de la Contraloría General del Municipio de Manizales
Fuente: Estudio de nivel de madurez tecnológico de las entidades sujetas de control de la
Contraloría General del Municipio de Manizales, 2013.
El nivel de madurez definido, equivale a contar con procedimientos de Tecnología de
Información estandarizados, documentados y difundidos a través de entrenamiento. Sin
embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que
se detecten desviaciones. Los procedimientos en sí no son sofisticados, pero formalizan
las prácticas existentes (IT Governance Institute, 2007).
No obstante lo anterior, las entidades sujetas de control se encuentran desde niveles
Inicial/Adhoc, hasta administrado y medible, como se puede apreciar en la Figura 39.
3,2
3,3
3,2
2,7 0,0
1,0
2,0
3,0
4,0
5,0
PLANEACIÓN YORGANIZACIÓN
ADQUISICIÓN EIMPLEMENTACIÓN
ENTREGA Y SOPORTE
MONITOREO YEVALUACIÓN
255
Ilustración 39. Nivel de madurez tecnológica basada en COBIT de las entidades sujetas de control de la Contraloría General del Municipio de Manizales.
Fuente: Estudio de nivel de madurez tecnológico de las entidades sujetas de control de la
Contraloría General del Municipio de Manizales, 2013.
Si bien, determinar el estado exacto del nivel de automatización, de los procesos de las
entidades sujetas de control es subjetivo, dada la cantidad de variables que pueden entrar
en juego (número de procesos, tamaño de procesos, porcentaje de automatización de cada
proceso…), se indago a los auditores de manera perceptiva, acerca del nivel de
automatización en que ellos consideraban que estaban los procesos auditados, que
adelantaron durante el último año en las entidades sujetas de control, arrojando un
resultado promedio de 44,73% sobre 95 procesos auditados en 18 entidades sujetas de
control, tal como se puede apreciar en la tabla 60.
25
6
Tabla 60. Nivel de automatización de procesos auditados por la Contraloría General del Municipio de Manizales, durante el año 2012.
Entidad Sujeta a Control
Número de procesos auditados
Promedio de Automatización
%
Alcaldía de Manizales 15 61
Asbasalud 6 33,3
Cable Aéreo 5 58
Caja de la Vivienda Popular 9 37,8
Colegio INEM 2 50
Colegio León de Greiff 2 17,5
Ecoparque los Yarumos 2 30
EMSA 4 47,5
ERUM 8 30,6
Hospital de Caldas 4 38,7
Hospital Geriátrico 7 37,9
Infimanizales 7 65
InfoTic (Venta Acciones) 1 60
Instituto de Cultura y Turismo 6 22,5
INVAMA 6 40
Manizales Segura 5 34
People Contact 1 80
Terminal de Transportes 5 63
Total/Promedio 95 44,7
Fuente: Encuesta aplicada a auditores gubernamentales de la Contraloría General del
Municipio de Manizales, 2014.
8.3.5.2. Automatización de procesos de la Contraloría General del Municipio de
Manizales.
“La Contraloría General del Municipio de Manizales, es una de las entidades de Control
Fiscal que más ha utilizado las Tecnologías de Información y Comunicaciones dentro de
sus procesos de Control Fiscal” (Ministerio de Tecnologías de la Información y las
Comunicaciones, Auditoría General de la República, Consorcio S&M, & UT Software
Works, 2012b,42), lo cual es explicado por la cantidad y calidad de herramientas
257
tecnológicas, que dan soporte a los diferentes procesos de control fiscal que desarrolla la
entidad.
Sistemas de Información que soportan los procesos de Control Fiscal
Los principales sistemas de información que soportan los procesos de Control Fiscal de la
Contraloría General del Municipio de Manizales son los siguientes:
COBRA (Control de Obras): Es una solución tecnológica bajo ambiente web,
desarrollada por la empresa Interkont. Su objetivo es servir de soporte a la CGMM en la
planeación, seguimiento y control de las obras que se desarrollan en la ciudad de
Manizales (ver Figura 40).
Figura 40. Interfaz solución tecnológica COBRA
Fuente: http://www.cobraobras.com/manizales/#
E-SIVICOS (Sistema Electrónico Integrado de Vigilancia y Control Social): Es un
sistema de información desarrollado por la firma SIGMA Ingeniería. Su objetivo es registrar
los diferentes contratos desarrollados por la Alcaldía de Manizales, con el fin de que la
ciudadanía pueda realizar el seguimiento respectivo, para promover la transparencia en la
Administración Municipal.
25
8
CORAL (Control de Riesgos Ambientales Localizados): Es un sistema de información
que permite geo-localizar los puntos ambientales críticos de la ciudad.
SECOP (Contratación en línea): El Sistema Electrónico de Contratación Pública es el
portal oficial de contratación en Colombia, operado por la Agencia Nacional de
Contratación Pública y utilizado por la CGMM, para evaluar los procesos de contratación
de las entidades sujetas de control y para desarrollar sus propios procesos de contratación.
SIA (Sistema Integral de Auditoría): Este sistema es de propiedad de la Auditoría
General de la República, y es utilizado por la mayoría de las contralorías del país (como
se presentó en el capítulo 3), con el fin de contar con una herramienta centralizada para
la rendición de la cuenta, por parte de todas las entidades sujetas de control.
AUDIBAL (Auditoría al Balance): Es el sistema de información utilizado para llevar a cabo
el registro y consulta de información relacionada con hallazgos de tipo contable,
presupuestal, control interno contable y la opinión sobre los estados contables de las
entidades sujetas de control.
La CGMM ha sido destacada, por su experiencia con el uso de las TIC’s en los procesos
de Control Fiscal, por entidades como CERCAPAZ y el Departamento Administrativo de la
Función Pública; siendo precisamente a través de esta última entidad, donde ha
participado por dos (2) años consecutivos en la convocatoria del Banco de éxitos de la
Administración Pública Colombiana y también, donde ha expuesto el caso de COBRA y E-
SIVICOS como experiencias exitosas de uso de TIC en los procesos de control Fiscal.
Por último, es importante destacar que la Contraloría General del Municipio de Manizales,
en su Plan Estratégico 2008 – 2011, formuló como estrategia el denominado e-control,
consistente en “el desarrollo e integración de la plataforma tecnológica de la Contraloría
Municipal de Manizales, como estrategia para un efectivo y oportuno control fiscal, que
permita la activa participación de la comunidad y la democratización de las funciones de la
entidad”, para contribuir a un efectivo y oportuno control fiscal, mediante el
aprovechamiento de los Medios y Tecnologías de la Información y las Telecomunicaciones
– MTIC, propendiendo por el control posterior en línea y en tiempo real.
259
8.3.6. Masificación del Gobierno Electrónico
8.3.6.1. Entidades sujetas de control
De acuerdo a los resultados arrojados por el estudio llevado a cabo en las entidades
sujetas a Control de la CGMM, el nivel de avance promedio de cada una de las fases de
Gobierno en línea a Diciembre de 2014, como se puede apreciar en la Figura 41.
Figura 41. Nivel promedio de avance del Gobierno Electrónico a 2014 en las entidades sujetas de control de la Contraloría General del Municipio de Manizales
Fuente: Fuente: Estudio de nivel de avance del Gobierno electrónico en las entidades
sujetas de control de la Contraloría General del Municipio de Manizales, 2014.
Como se puede observar en la figura 43, no se ha logrado cumplir la meta impuesta por el
Gobierno Nacional, a través del Decreto 2693 de 2012 en las 4 fases del gobierno
electrónico, pues tan sólo en 2 de ellas, como es el caso de las fases de Interacción y
Transacción en línea, se han cumplido las metas.
Si hacemos un análisis más profundo por cada entidad, se puede observar que el 52.6%
de las entidades sujetas de control han cumplido hasta Diciembre de 2014, con la fase de
53,9
41,7
44,6
49,1
44,6
21,6
55
60
35
40
65
60
0,0 10,0 20,0 30,0 40,0 50,0 60,0 70,0
Elementos Transversales
Información en línea
Interacción en línea
Transacción en línea
Transformación
Democracia en línea
Meta exigida a 2014 Nivel alcanzado
26
0
elementos transversales, como se puede observar en la tabla 61; mientras que en la fase
de Información en Línea y Democracia en Línea, no han logrado las metas ninguna de las
entidades.
Se podría afirmar que, las entidades con mayor nivel de avance en la estrategia de
gobierno en línea, en sus diferentes fases son en su orden: La Alcaldía de Manizales,
seguidos del Instituto de Cultura y Turismo, INFIMANIZALES e INVAMA; y los que
presentan un mayor retraso son: el Terminal de Transportes de Manizales y el Hospital
Geriátrico San Isidro.
Tabla 61. Nivel de avance de la estrategia de Gobierno en Línea de las entidades sujetas de control de la CGMM hasta 2014.
CODIGO ENTIDAD SUJETA A CONTROL
FASES DE GOBIERNO EN LÍNEA
Ele
me
nto
s Tr
ansv
ers
ale
s
Info
rmac
ión
en
líne
a
Inte
racc
ión
en
lín
ea
Tran
sacc
ión
en
líne
a
Tran
sfo
rmac
ión
De
mo
crac
ia e
n
líne
a
1 INSTITUTO DE VALORIZACIÓN DE MANIZALES - INVAMA 67,3 44,0 64,0 70,0 45,0 54,0
2 INFIMANIZALES 74,0 56,0 50,0 70,0 45,0 52,0
3 E.S.E HOSPITAL DE CALDAS 36,5 34,0 9,0 17,5 62,5 15,0
4 CAJA DE LA VIVIENDA POPULAR DEL MUNICIPIO DE MANIZALES 63,5 37,0 32,0 70,0 17,0 0,0
5 SERVICOS ESPECIALES DE SALUD 87,0 50,0 60,0 80,0 45,0 0,0
6 EMSA - LOTERÍA DE MANIZALES 37,5 29,0 49,0 65,0 30,0 7,0
7 PERSONERÍA DE MANIZALES 54,0 52,0 48,0 85,0 45,0 22,0
8 AGUAS DE MANIZALES S.A E.S.P 77,5 56,0 32,0 27,5 47,0 9,0
9 HOSPITAL GERIÁTRICO SAN INSIDRO ESE 17,0 27,0 32,0 17,5 17,0 19,0
10 ASSBASALUD E.S.E 73,8 27,0 39,0 27,5 32,0 54,0
11 INFOTIC S.A. 82,0 47,0 61,0 75,0 66,5 5,0
12 ERUM LTDA 34,0 27,0 57,0 37,5 62,5 20,0
13 CENTRO DE RECEPCIÓN DE MENORES 17,0 34,0 32,0 17,5 34,5 5,0
14 ASOCIACIÓN CABLE AÉREO MANIZALES 65,0 37,0 42,0 17,5 34,5 0,0
15 INSTITUTO DE CULTURA Y TURISMO MANIZALES 78,5 58,0 41,0 85,0 75,0 50,0
16 TERMINAL DE TRANSPORTES DE MANIZALES 9,0 27,0 35,0 5,0 25,0 13,0
17 PEOPLECONTACT 51,5 36,0 47,0 42,5 73,0 6,0
18 CONCEJO DE MANIZALES 29,5 56,0 54,0 37,5 17,0 33,0
19 MUNICIPIO DE MANIZALES 70,0 59,0 64,0 85,0 73,0 46,0
261
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control de la Contraloría General del Municipio de Manizales, 2014.
A continuación, se hará un análisis del estado actual de cada una de las variables que
conforman cada fase y su nivel de cumplimiento por parte de las entidades sujetas de
control.
Índice de Gobierno en Línea
El Índice de Gobierno en Línea de las entidades sujetas de control es de 42,1%, basado
en el promedio de los tres subíndices, lo que significa realmente el nivel de avance que
presentan las entidades sujetas de control, en la implementación de la estrategia de
gobierno en línea.
El modelo de Auditoría Continua, tiene una fuerte influencia del subíndice Gobierno
Abierto, y como se puede apreciar en la tabla 62 y en el diagrama radar de la Figura 42,
es el índice que presenta menor avance.
Tabla 62. Subindices del Gobierno Abierto de las entidades sujetas de control de la Contraloría General del Municipio de Manizales.
SUBÍNDICES ACTIVIDAD PUNTAJE
Eficiencia Electrónica
(49,61%)
Intercambiar información entre entidades 18,4
Hacer uso de medios electrónicos en procesos y procedimientos internos 76,5
Implementar un sistema de gestión de seguridad de la información 55,3
Implementar un sistema de gestión de TI 31,9
Institucionalizar la Estrategia de Gobierno en Línea 66,0
Gobierno Abierto
(29,16%)
Abrir espacios de innovación abierta 9,3
Abrir espacios para el control social 34,7
Construir de forma participativa las políticas y planeación estratégica 15,1
Definir la estrategia de participación 41,8
Publicación de datos abiertos 3,5
Publicación de Información 70,5
Servicios (47,52%)
Disponer trámites y servicios en línea 49,1
Habilitar espacios electrónicos para interponer peticiones 63,9
Habilitar espacios de interacción 25,4
Centrar la atención en el usuario 51,8
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control de la Contraloría General del Municipio de Manizales, 2014.
26
2
Figura 42.Diagrama radar de los elementos de los subíndices de las entidades sujetas de control de la estrategia de gobierno en línea.
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control de la Contraloría General del Municipio de Manizales, 2014.
Las tres entidades que presentan un mayor índice de gobierno en línea, siendo coherente
con el avance en las diferentes fases de Gobierno en Línea son: la Alcaldía de Manizales,
el Instituto de Cultura y Turismo e Infimanizales, tal como se puede observar en la Figura
43.
263
Figura 43. Índice y subíndices de Gobierno en Línea por entidad sujeta de control
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control de la Contraloría General del Municipio de Manizales. 2014.
8.3.6.2. Contraloría General del Municipio de Manizales
La Contraloría General del Municipio de Manizales tan solo ha cumplido con la fase de
Interacción en línea, de las 6 fases de gobierno en línea; siendo ésta, la fase de menor
avance la fase de Transformación, tal como se puede observar en la Figura 44.
26
4
Figura 44.Nivel promedio de avance del Gobierno Electrónico hasta 2014 de la Contraloría General del Municipio de Manizales
Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2014)
El índice de gobierno en línea presenta un nivel de avance de 45,38%, siendo el subíndice
de gobierno abierto, el más bajo con un 44.95% de avance, como se puede observar en la
tabla 63; y el diagrama radar respectivo, con un nivel de avance nulo en el Sistema de
gestión de Seguridad de la Información.
Tabla 63.Subindices del Gobierno Abierto de la Contraloría General del Municipio de Manizales
Eficiencia Electrónica
(45,38)
Institucionalizar la Estrategia de Gobierno en línea 81,82
Implementar un sistema de gestión de TI 92,94
Intercambiar información entre entidades 16,76
Hacer uso de medios electrónicos en procesos y procedimientos internos 25,90
Implementar un sistema de gestión de seguridad de la información 0,00
Gobierno Abierto
(44,95%)
Publicación de datos abiertos 22,29
Construir de forma participativa las políticas y planeación estratégica 83,33
Definir la estrategia de participación 16,67
50,41
46,49
43,07
22,46
45,35
55
60
35
40
65
60
0 10 20 30 40 50 60 70
Elementos Transversales
Información en línea
Interacción en línea
Transacción en línea
Transformación
Democracia en línea
Meta exigida a 2014 Nivel alcanzado
265
Publicación de Información 58,51
Abrir espacios para el control social 66,67
Abrir espacios de innovación abierta 22,26
Servicios (47,69%)
Habilitar espacios de interacción 47,60
Disponer trámites y servicios en línea 80,65
Habilitar espacios electrónicos para interponer peticiones 14,83 Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2014)
Figura 45. Diagrama radar de los elementos de los subíndices del gobierno en línea de la Contraloría General del Municipio de Manizales.
Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2014)
0102030405060708090
100
Crecimiento tecnológicoplaneado
Gobierno en línea estáintegrado a la gestión…
Interoperabilidad entrámites y en…
Procedimientos internosautomatizados y…
Sistema de Gestión deSeguridad de la…
Datos abiertospublicados
Estrategia departicipación…
Estrategia construida conla participación…
Información pertinentecompleta y disponible…
Rendición de cuentas enlínea implementada
Solución deproblemáticas con la…
Sede electrónica usable yaccesible en nivel AAA,…
Servicios de consulta yatención interactiva…
Sistema integrado dePQRD
26
6
8.3.7. Gobierno Abierto
Los resultados arrojados por el trabajo de campo desarrollado en las entidades sujetas de
control y por el último informe elaborado por el Ministerio de Tecnologías de Información y
Comunicaciones en relación con la Contraloría General del Municipio de Manizales,
presenta los siguientes resultados con respecto a estas variables.
8.3.7.1. Estado actual del gobierno abierto en las entidades sujetas de control
Como se mencionó previamente, el subíndice de gobierno abierto es el que presenta
menor avance, de los tres índices de gobierno en línea con un 29,16%, siendo
Infimanizales, el Instituto de Cultura y Turismo y el Municipio de Manizales, las entidades
que presentan un mayor nivel de avance en este índice, tal como se puede observar en la
figura 46.
Figura 46. Índice de gobierno abierto de las entidades sujetas de control de la Contraloría General del Municipio de Manizales.
267
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control de la Contraloría General del Municipio de Manizales. 2014.
Si entramos a analizar las actividades que conforman este subíndice, tal como se aprecia
en la tabla 64, podemos observar que la actividad que presenta menor avance es
precisamente, la variable más importante para el modelo de Auditoría Continua, que es la
de publicación de datos abiertos con un 3,5%, lo cual se valida con los catálogos de datos
publicados por las entidades sujetas de control, en el portal de datos abiertos del gobierno
nacional, donde tan solo se encuentran publicados cuatro (4) de éstos catálogos.
Tabla 64. Estado actual de las actividades del subindice de gobierno abierto de las entidades sujetas de control de la Contraloría General del Municipio de Manizales.
Subíndice Actividades % avance
Gobierno Abierto
(29,16%)
Abrir espacios de innovación abierta 9,3
Abrir espacios para el control social 34,7
Construir de forma participativa las políticas y planeación estratégica 15,1
Definir la estrategia de participación 41,8
Publicación de datos abiertos 3,5
Publicación de Información 70,5
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control de la Contraloría General del Municipio de Manizales. 2014.
En la tabla 65 se pueden observar catálogos de datos publicados por la Alcaldía de
Manizales y Aguas de Manizales, los cuales contienen registros que no tienen relación,
con las necesidades de información requerida por la Contraloría General del Municipio de
Manizales, para llevar a cabo sus funciones de control.
Tabla 65. Entidades sujetas de control que cuentan con catálogo de datos.
ENTIDAD CATALOGO FECHA DE
PUBLICACIÓN
Alcaldía de Manizales Barrios y veredas de Manizales 09/11/2013
EPS e IPS de Manizales 09/11/2013
Aguas de Manizales
S.A. E.S.P.
Oferta hídrica disponible mes de Marzo 01/04/2015
Oferta hídrica mensual de la ciudad de
Manizales
19/03/2015
Fuente: (Ministerio de Tecnologías de Información y Comunicaciones, 2015c)
26
8
La actividad de publicación de datos abiertos, es uno de los elementos críticos del modelo
de Auditoría Continua, dado que este es el producto de un proceso, donde intervienen las
actividades de intercambio de datos e interoperabilidad y al no presentar este elemento un
avance significativo, por deducción, sus generadores tampoco lo presentan.
8.3.7.2. Estado actual del gobierno abierto en la Contraloría General del Municipio
de Manizales.
El subíndice de gobierno abierto que presenta la Contraloría General del Municipio de
Manizales, de acuerdo a las mediciones realizadas por el Ministerio de Tecnologías de
Información y Comunicaciones es del 44,95%; un subíndice que se encuentra soportado
básicamente en las acciones que ha desarrollado con aplicativos tales como COBRA, E-
SIVICOS, a través de los cuales se está promoviendo la participación de la comunidad en
los procesos de control, sin embargo, en lo concerniente a publicación de datos abiertos,
a pesar de contar con un indicador superior al de las entidades sujetas de control hasta la
fecha, y de acuerdo a lo manifestado por el responsable de Tecnologías de Información
de la entidad, realmente no se han adelantado acciones para publicar datos o interactuar
a través de ellos, con las entidades sujetas de control. Ello se refleja de igual forma, en la
nula publicación de catálogos de datos en el portal de datos abiertos.
8.4. Conclusiones y plan propuesto para cerrar la brecha del estado actual de la Contraloría General del Municipio de Manizales, frente al modelo de Auditoría Continua propuesto.
Tomando como referencia el diagnóstico realizado de los elementos endógenos, que
hacen parte del modelo propuesto de Auditoría Continua, a continuación se resumirá el
estado actual de la Contraloría General del Municipio de Manizales, frente a los elementos
endógenos que hacen parte del modelo de Auditoría Continua propuesto.
269
Competencias Tecnológicas del Auditor Gubernamental
Los auditores gubernamentales de la Contraloría General del Municipio, no cuentan aún
con las competencias tecnológicas requeridas para llevar a cabo procesos de Auditoría
Continua, y requieren fortalecer los procesos de gestión de riesgos para afrontar, no solo
el enfoque moderno de Auditoría (RBA), sino el enfoque requerido por el modelo de
Auditoría Continua.
Acciones propuestas para cerrar la brecha
En el plan de capacitación, se recomienda incorporar procesos de capacitación en
metodologías de gestión de riesgos y auditoría orientada a riesgos, para garantizar no
solo el paradigma actual de auditoría, sino la incorporación del proceso de Auditoría
Continua.
En el plan de capacitación se recomienda incorporar procesos de capacitación en
Técnicas y Herramientas de Auditoría Asistida por Computador, en especial,
herramientas tecnológicas de análisis de datos y de Auditoría Continua.
Metodología de Auditoría Continua
La Contraloría General del Municipio de Manizales utiliza como la mayoría de las
Contralorías del país, la Guía de Auditoría Territorial (GAT) para llevar a cabo sus
procesos de auditoría y hasta la fecha, no han contemplado esquemas de Auditoría
continua, no obstante la importancia para el proceso y el impacto que podría tener en el
Control Fiscal, de acuerdo a lo planteado por los auditores gubernamentales.
Acciones propuestas para cerrar la brecha
Se recomienda adaptar la guía de Auditoría Territorial, con las actividades
complementarias de Auditoría Continua propuestas para no manejar dos guías y
adoptarlo mediante resolución interna de la contraloría.
27
0
Programar capacitaciones para dar a conocer la guía complementada, que permita a
todos los auditores incorporar como parte del control fiscal la Auditoría Continua.
Base de Conocimiento
La Contraloría General del Municipio de Manizales, no cuenta con procesos de gestión
del conocimiento en marcha, ni tiene previsto como parte de sus planes estratégicos
su desarrollo.
Acciones propuestas para cerrar la brecha
Establecer como iniciativa estratégica en los planes estratégicos de la entidad, la
incorporación de un proyecto de gestión del conocimiento, donde se contemplen
instrumentos de base de conocimiento, que aporten no solo para el desarrollo de la
Auditoría Continua, sino en general para todos los tipos de auditoría adelantados por la
entidad.
Técnicas y Tecnologías de Auditoría Continua
La Contraloría General del Municipio de Manizales, no utiliza de manera intensiva las
Técnicas y Tecnologías de Auditoría Continua, su principal herramienta para realizar
análisis de datos es Excel y ACL. Esta última, sin explotar toda su capacidad.
Acciones propuestas para cerrar la brecha
Dada la baja disponibilidad de recursos financieros que tiene la CGMM para la
adquisición de herramientas tecnológicas, que soporten en general el proceso auditor y
en particular la Auditoría Continua, se recomienda la incorporación, al menos de manera
inicial, de herramientas de software libre que permita incrementar el nivel de madurez
en el uso de TAAC’s y allanen el camino hacia el uso de la Auditoría Continua (por
ejemplo PICALO, Powerpivot).
Automatización de procesos gubernamentales
En promedio las entidades sujetas de control presentan un nivel de madurez de sus
procesos de Tecnología de Información de 3.1, equivalente a un nivel de madurez
DEFINIDO, lo que representa la existencia de procedimientos de Tecnología de
271
Información, estandarizados y documentados; y aunque no son sofisticados, se
formalizan las prácticas existentes. Así mismo, cuenta con una serie de procesos con
un nivel de automatización del 44.73% desde la perspectiva de los auditores de la
contraloría, lo que sienta una base suficiente para desarrollar el proceso de Auditoría
Continua con estos procesos como piloto.
Acciones propuestas para cerrar la brecha
Al momento de realizar las auditorías tradicionales, tratar de identificar el nivel de
automatización de los procesos que son objeto de auditoría, con el fin de sentar las
bases de los procesos sujetos de Auditoría Continua, mientras se cuenta con las
herramientas y competencias tecnológicas para desarrollar el modelo propuesto.
Masificación del Gobierno Electrónico
No obstante el incumplimiento de algunas de las fases de Gobierno en Línea, por parte
tanto de las entidades sujetas de control, como de la Contraloría General Municipio de
Manizales, se observa un avance en la implementación de la estrategia de gobierno en
línea, lo que permite impulsar las diferentes estructuras habilitadoras para poner a
disposición del proceso de Auditoría Continua, la información gubernamental.
Acciones propuestas para cerrar la brecha
Se insta a la Contraloría General del Municipio de Manizales, a seguir desarrollando
auditorías al avance del gobierno electrónico en las entidades sujetas de control, como
mecanismo impulsor del avance de la masificación del gobierno electrónico y generador
de condiciones, para establecer los escenarios requeridos por el modelo de Auditoría
Continua.
Gobierno Abierto
Ni las entidades sujetas de control, ni la Contraloría General del Municipio de Manizales,
presentan un avance significativo en el subíndice de gobierno abierto, lo que dificulta de
manera inicial la posibilidad de establecer procesos de intercambio de información entre
la contraloría y las entidades sujetas de control, a través de los mecanismos previstos
por el Gobierno Nacional.
27
2
Acciones propuestas para cerrar la brecha
Mientras se desarrollan los procesos de gobierno abierto por parte de la Contraloría
General del Municipio de Manizales y las entidades sujetas de control, se recomienda
desarrollar proyectos piloto de Auditoría Continua, con procesos soportados en
Tecnologías de Información de las entidades sujetas de control, para avanzar en la
madurez de los procesos de Auditoría Continua.
9. Conclusiones, Aportes y Trabajos Futuros
9.1. Conclusiones
De acuerdo a los objetivos específicos planteados en esta investigación, se puede concluir
lo siguiente:
- la Auditoría Continua es una metodología alterna y a su vez complementaria de la
Auditoría moderna y no puede ser concebida simplemente como una técnica de Auditoría,
si se tiene en cuenta el impacto que tiene, no solo en los diferentes componentes de un
ciclo de auditoría, sino en su contexto, dado el valor agregado que aporta a la organización
en términos de eficacia y eficiencia, pudiendo ser considerada tal y como es planteado por
diversos autores, como un nuevo paradigma de auditoría fundamentado en lo siguiente:
Cambia la frecuencia con que se realizan las auditorías y por ende hace que los
controles sean más eficaces, debido a la periodicidad de su revisión, con el impacto
que ello genera en la disminución del riesgo.
Hace que la auditoria se convierta en una función más preventiva que correctiva,
lo que agrega valor a la organización y se convierte en un aliado fundamental de la
dirección.
El esfuerzo del auditor disminuye, dada la automatización que se realiza de las
pruebas de auditoría, tanto de aquellas orientadas a detectar la ocurrencia de
riesgos, como al incumplimiento de controles.
El rol del auditor se transforma, pasando de ser un profesional que dedica mucho
tiempo a tareas operativas y repetitivas, que están orientadas a ejecutar
procedimientos de pruebas, a ser un auditor que desarrolla competencias
analíticas, volviéndose más competitivo y haciendo que su trabajo genere mayores
27
4
niveles de productividad, debido a que puede tener más cobertura en el control del
negocio y en un menor tiempo.
Se transforma la tecnología usada por el auditor para desempeñar su trabajo,
pasando de ser un proceso con altos niveles de manualidad, a ser un proceso
tecnificado, convirtiendo a las Tecnologías de Información y Comunicaciones en un
aliado de su función.
Los reportes de auditoría se transforman al pasar de ser reportes con una menor
periodicidad y mucha extensión, a reportes más periódicos y de menor extensión,
de forma que facilite su lectura por parte de la Dirección.
El enfoque de Auditoría Continua, transforma el enfoque tradicional de auditoría,
basado en aquella que abarca todos los aspectos de un proceso y de una
organización, adoptándolo como una auditoría por excepción, basada en la
detección oportuna de parámetros que están por fuera de los criterios previamente
definidos y que puede generar alertas que llamen la atención del auditor y de la
administración para su oportuna corrección.
La Auditoría Continua incrementa los procesos de autocontrol en la organización,
si se tiene en cuenta que, al incorporar técnicas de detección automática de
ocurrencia de riesgos y de desviación de controles en los procesos, la
administración se inhibirá en el desarrollo de prácticas que vayan en detrimento del
control y que generen riesgos a la organización, dado el efecto panóptico que
genera la Auditoría Continua.
- La crisis del Control Fiscal Colombiano presenta muchas aristas, una de ellas, como lo
plantean diferentes actores del escenario del Control Fiscal del país, es el escaso uso de
las Tecnologías de Información y Comunicaciones como parte del proceso auditor y no
simplemente como herramientas de apoyo, lo cual queda demostrado con la cantidad de
herramientas tecnológicas disponibles para tal fin.
De igual forma al participar en diferentes reuniones y eventos, además de organizar dos
encuentros para conocer el nivel de uso de las Tecnologías de Información y
Comunicaciones, en los procesos de Control en el sector público y particularmente en el
Control Fiscal Colombiano y de manera complementaria, al acudir a fuentes secundarias
275
para conocer las técnicas y herramientas de auditoría asistidas por computador que se
usan; se puede concluir que, el nivel de madurez con que cuentan las contralorías del país,
está orientado desde la perspectiva del proceso de auditoría a una “Auditoría alrededor del
computador” y desde la perspectiva de Apoyo a una “Auditoría con el computador”, sin
haber avanzado aún a una “Auditoría a través del computador”. Ello se ratifica por el fallido
intento de implementar un proyecto de control en línea, cuyo objetivo apuntaba a seguir
reforzando la perspectiva de una auditoría con el computador.
- Se ha diseñado un modelo de Auditoría Continua bajo una lógica científica y
pragmática en un contexto particular. En términos de la propuesta, la lógica científica
está delimitada por la importancia histórica y presente del uso de las Tecnologías de
Información y Comunicaciones en la función de auditoría, en particular la Auditoría
Continua. La lógica pragmática se enmarca en la realidad del uso de las TIC en los
procesos de gobierno (e-government) y específicamente, en la realidad que vive el país
alrededor de la estrategia de gobierno en línea. Dado que, el contexto particular es el
Control Fiscal Colombiano con su problemática en diferentes ámbitos, y pese a sus
múltiples dimensiones, tan sólo se modela desde la perspectiva del aporte de las TIC en
la eficacia y eficiencia del control gubernamental y en especial, el aseguramiento que de
este se realiza.
El modelo puede aportar al cumplimiento de lo establecido en el artículo 129 de la Ley
1474 de 2011 (Ley anticorrupción), donde se insta a las contralorías a desarrollar y a
aplicar metodologías que permitan el ejercicio inmediato del control posterior y el uso
responsable de la función de advertencia (NOTA: esta función de advertencia fue
declarada inconstitucional en fallo de la Corte Constitucional del pasado 11 de Marzo
de 2015), siempre y cuando se logré contar con un nivel aceptable de madurez de las
diferentes variables que lo componen.
- La Contraloría General del Municipio de Manizales, como contraloría piloto del modelo, y
a pesar de ser considerada como una de las contralorías que se destacan por el uso
intensivo de las TIC en los procesos de Control Fiscal, aún presenta un nivel muy bajo en
el desarrollo de las diferentes variables que hacen parte integral del modelo, en especial
27
6
por la baja competencia tecnológica de los auditores, el escaso uso de Técnicas de
Auditoría concurrentes como parte del proceso auditor, el limitado uso de herramientas
tecnológicas que estén orientadas a la Auditoría Continua y el escaso avance en materia
de gobierno abierto que presenta no solo la contraloría, sino las entidades sujetas de
control.
9.2. Aportes de la investigación
La investigación aporta a la comunidad científica y profesional de la auditoría dos
herramientas, para el desarrollo de la Auditoría Continua a nivel internacional:
- La elaboración de una propuesta taxonómica de Auditoría Continua, a partir del
análisis de treinta (30) modelos a nivel internacional, si se tiene en cuenta que a
partir de la revisión bibliográfica realizada, no se logró establecer alguna propuesta
relacionada con taxonomías de Auditoría Continua, y tan solo trabajos como los
desarrollados por Blundell (2007) y (Aboa, 2014) establecen una comparación de
tres modelos, el modelo Woodroof, Rezaee y Onions sin estar orientado a
establecer alguna taxonomía.
- El desarrollo de una propuesta de Auditoría Continua orientada al sector público,
en el contexto de la Auditoría externa y tomando como insumo, uno de los
programas que actualmente adelantan la mayoría de los países del mundo, que es
el gobierno electrónico; lo que la hace aplicable a los órganos de control superior
de cualquier país, dada la fundamentación teórica y el análisis de una significativa
cantidad de modelos de Auditoría Continua. Es importante destacar que hasta la
fecha no se logró evidenciar en la bibliografía existente, un modelo de Auditoría
Continua orientado de forma general al control de recursos públicos, y tan solo se
logró encontrar el caso de la Oficina de Auditoría Nacional de China, pero aplicado
a un ámbito específico.
277
Para el contexto Colombiano, se deja planteada una alternativa que da respuesta a lo
establecido en el artículo 129 de la Ley 1474 de 2011 (Ley anticorrupción), para que las
Contralorías Territoriales y la Contraloría General de la República puedan hacer uso del
modelo.
9.3. Trabajos futuros
El control organizacional involucra por lo general muchas instancias
organizacionales, que requieren de procesos de auditoría y monitoreo continuo, por
lo que es necesario desarrollar trabajos a futuro sobre la forma como se integra un
proceso de aseguramiento continuo, donde participen todas las instancias de
aseguramiento de una organización pública.
Uno de los aspectos críticos para la implementación de un modelo de Auditoría
Continua, en las entidades encargadas de cumplir con la función constitucional de
salvaguardar el adecuado manejo de los recursos públicos de los Colombianos, es
contar con auditores competentes, en este caso específico, con un adecuado uso
de las Técnicas y Herramientas de Auditoría Asistidas por Computador (CAATT’s);
por ello es necesario adelantar trabajos, que permitan incrementar los niveles de
competencia tecnológica de los auditores gubernamentales.
Se requiere avanzar en procesos de investigación científica y tecnológica, que
permitan involucrar la minería de datos y la inteligencia artificial como mecanismos
que aporten al desarrollo de la Auditoría y del monitoreo continuo, agregando valor
no solo a la función de auditoría, sino en general a la organización.
Uno de los requerimientos actuales del gobierno nacional para las entidades
públicas y para los diferentes sectores gubernamentales, es la implementación de
arquitecturas empresariales, en las cuales actualmente trabajan muchas de estas
27
8
entidades. Este modelo puede servir de base para el desarrollo de una arquitectura
empresarial del Control Fiscal Colombiano y de manera individual, para las
diferentes contralorías del país.
279
7. ANEXOS
Anexo 1. Contralorías departamentales, distritales y municipales que hacen parte del Control Fiscal Colombiano
Nro CONTRALORÍAS
CONTRALORÍAS DEPARTAMENTALES
1 Contraloría Departamental de Amazonas
2 Contraloría Departamental de Arauca
3 Contraloría Departamental de Bolívar
4 Contraloría Departamental de Caldas
5 Contraloría Departamental de Casanare
6 Contraloría Departamental de Cesar
7 Contraloría Departamental de Córdoba
8 Contraloría Departamental de Guainía
9 Contraloría Departamental de Guaviare
10 Contraloría Departamental de Magdalena
11 Contraloría Departamental de Nariño
12 Contraloría Departamental de Putumayo
13 Contraloría Departamental de Risaralda
14 Contraloría Departamental de Santander
15 Contraloría Departamental de Tolima
16 Contraloría Departamental de Vaupés
17 Contraloría Departamental de Antioquia
18 Contraloría Departamental de Atlántico
19 Contraloría Departamental de Boyacá
20 Contraloría Departamental de Caquetá
21 Contraloría Departamental de Cauca
22 Contraloría Departamental de Chocó
23 Contraloría Departamental de Cundinamarca
24 Contraloría Departamental de Guajira
25 Contraloría Departamental de Huila
26 Contraloría Departamental de Meta
28
0
27 Contraloría Departamental de Norte Santander
28 Contraloría Departamental de Quindío
29 Contraloría Departamental de San Andrés
30 Contraloría Departamental de Sucre
31 Contraloría Departamental de Valle
32 Contraloría Departamental de Vichada
CONTRALORÍAS DISTRITALES
1 Contraloría Distrital de Bogotá
2 Contraloría Distrital de Barranquilla
3 Contraloría Distrital de Buenaventura
4 Contraloría Distrital de Cartagena
5 Contraloría Distrital de Santa Martha
CONTRALORIAS MUNICIPALES
1 Contraloría Municipal de Armenia
2 Contraloría Municipal de Barrancabermeja
3 Contraloría Municipal de Bello
4 Contraloría Municipal de Bucaramanga
5 Contraloría Municipal de Cali
6 Contraloría Municipal de Cúcuta
7 Contraloría Municipal de Dosquebradas
8 Contraloría Municipal de Envigado
9 Contraloría Municipal de Floridablanca
10 Contraloría Municipal de Ibagué
11 Contraloría Municipal de Itagüí
12 Contraloría Municipal de Manizales
13 Contraloría Municipal de Medellín
14 Contraloría Municipal de Montería
15 Contraloría Municipal de Neiva
16 Contraloría Municipal de Palmira
17 Contraloría Municipal de Pasto
18 Contraloría Municipal de Pereira
19 Contraloría Municipal de Popayán
20 Contraloría Municipal de Soacha
21 Contraloría Municipal de Soledad
22 Contraloría Municipal de Tunja
23 Contraloría Municipal de Tuluá
281
24 Contraloría Municipal de Valledupar
25 Contraloría Municipal de Villavicencio
26 Contraloría Municipal de Yumbo
Fuente: Elaboración propia
28
2
Anexo 2. Normas internacionales de auditoría
NIA Norma Internacional
PRINCIPIOS GENERALES Y RESPONSABILIDADES
200 Objetivos generales del auditor independiente y conducción de una auditoría de acuerdo con las Normas Internacionales de Auditoría
210 Acuerdo de los términos de los trabajos de auditoría
220 Control de calidad para una auditoría de estados financieros
230 Documentación de la auditoría
240 Responsabilidades del auditor en relación con el fraude en una auditoría de estados financieros
250 Consideración de leyes y reglamentos en una auditoría de estados financieros
260 Comunicación con los encargados del gobierno corporativo
265 Comunicación de deficiencias en el Control Interno a los encargados del gobierno corporativo y a la administración.
EVALUACIÓN DEL RIESGO Y RESPUESTA A LOS RIESGOS DETERMINADOS
300 Planeación de una Auditoría de Estados Financieros
315 Identificación y evaluación de los riesgos de error material mediante el entendimiento de la entidad y su entorno
320 Materialidad en la planificación y realización de una auditoría
330 Respuestas del auditor a los riesgos evaluados
402 Consideraciones de auditoría relativas a una organización de servicios
450 Evaluación de equivocaciones identificadas durante la auditoría
EVIDENCIA DE AUDITORIA
500 Evidencia de auditoría
501 Evidencia de auditoría –Consideraciones específicos para partidas seleccionadas
505 Confirmaciones externas
510 Trabajos iniciales de Auditoría – Saldos iniciales
520 Procedimientos Analíticos
530 Muestreo de auditoría
540 Auditoría de estimaciones contables, incluyendo estimaciones contables del valor razonable y revelaciones relacionadas
550 Partes Relacionadas
560 Hechos Posteriores
570 Negocio en Marcha
580 Manifestaciones escritas
UTILIZACIÓN DEL TRABAJO DE TERCEROS
600 Consideraciones Especiales – Auditorías de estados financieros de grupos (incluido del trabajo de los auditores de componentes)
610 Uso del trabajo de auditores internos
620 Uso del trabajo de un experto
283
CONCLUSIONES Y DICTAMEN DE AUDITORÍA
700 Formación de una opinión y dictamen sobre los estados financieros.
705 Modificaciones a la opinión en el dictamen del auditor independiente.
706 Párrafos de énfasis y párrafos de otros asuntos en el dictamen del auditor independiente.
710 Información comparativa –Cifras correspondientes y estados financieros comparativos.
720 Responsabilidades del auditor relacionadas con otra información en documentos que contienen estados financieros auditados
ÁREAS ESPECIALIZADAS
800 Consideraciones especiales – Auditorías de estados financieros preparados de acuerdo con marcos de referencia de referencia de propósito especial.
805 Consideraciones especiales – Auditorías de estados financieros únicos y elementos, cuentas o partidas específicas de un estado financiero.
810 Trabajos para dictaminar sobre estados financieros resumidos.
Norma Internacional de Control de Calidad (ISQC) 1, Control de calidad para firmas que realizan auditorías y revisiones de estados financieros y de garantía y demás servicios Conexos
Fuente: (IAASB, 2012)
28
4
Anexo 3. Ficha técnica Estudio Tipo 1
ESTUDIO TIPO 1
EVALUACIÓN DEL NIVEL DE MADUREZ DE LOS PROCESOS DE TECNOLOGÍA DE
INFORMACIÓN DE LAS ENTIDADES SUJETAS DE CONTROLDE LA CONTRALORIA
GENERAL DEL MUNICIPIO DE MANIZALES
OBJETIVO
Determinar la infraestructura tecnológica y el nivel de madurez de las áreas de Tecnología
de Información y establecer los principales procesos de cada entidad, que se encuentran
automatizados como base para determinar la viabilidad de cumplir con uno de los
requisitos de la Auditoría Continua, y es que los procesos a auditar se encuentran
soportados en Tecnologías de Información
POBLACIÓN OBJETIVO
Entidades públicas de la ciudad de Manizales, sujetas de control por parte de la Contraloría
General del Municipio de Manizales.
TAMAÑO DE LA POBLACIÓN
19 Entidades
TIPO DE ESTUDIO
Censo
UNIDAD DE OBSERVACIÓN
Infraestructura tecnológica y procesos de tecnologías de información que desarrollan las
entidades públicas, tomando como referencia COBIT QUICKSTART.
METODOLOGIA DE RECOLECCIÓN DE INFORMACIÓN
Auto diligenciamiento a partir de encuesta remitida mediante oficio por la Contraloría
General del Municipio de Manizales (como estrategia para garantizar el nivel de respuesta).
PERIODO DE RECOLECCIÓN DE INFORMACIÓN
Febrero a Junio de 2013.
INSTRUMENTO
285
Para llevar a cabo la evaluación se utilizaron dos instrumentos:
1. Diagnóstico de Infraestructura
2. Evaluación del nivel de madurez de TI
DIAGNÓSTICO DE LA INFRAESTRUCTURA
DIAGNÓSTICO GENERAL DE INFRAESTRUCTURA TECNOLÓGICA
I. IDENTIFICACIÓN
1. Nombre de la entidad: 2. Nombre del Responsable de la función de Tecnologías de Información y Comunicaciones en la entidad.
3. Cargo del Responsable de la función de Tecnologías de Información y Comunicaciones en la entidad.
5. Teléfono:
6. e-mail del Responsable de Sistemas:
II. INFRAESTRUCTURA TECNOLÓGICA Y CONECTIVIDAD 7. A nivel de hardware, qué tipo de computadores posee la entidad (Especificar la cantidad)
TIPO CANTIDAD
Portátiles
Computadores de mesa
Servidores (Continúe con la pregunta 8)
28
6
TOTALES 0
8. Si cuenta con servidores, por favor especifique el uso principal de estos en la entidad.
SERVIDOR USO PRINCIPAL
9. ¿Cuenta la entidad con una infraestructura de red?
SI (Continúe con la pregunta 10)
NO (Continúe con la pregunta 11)
10. Por favor anexe como parte de esta encuesta, un diseño de la infraestructura de red (topología) que tiene la entidad
11. ¿La entidad cuenta con centro de cómputo?
SI
NO
12. ¿Cuenta la entidad con acceso a Internet?
SI
NO
13. ¿Con qué tipo de conexión a Internet cuenta su entidad?
TIPO PROVEEDOR
Conmutado
Cable
Fibra óptica
Inalámbrica
Satelital
Otros (Especifique)
287
14. ¿La entidad cuenta con Sitio Web?
SI ______________
NO ______________
15.¿Cuál es el proveedor del hosting?
PROVEEDOR VIGENCIA
16. ¿El dominio fue adquirido por la entidad?
SI _____________
NO ______________
Especifique que entidad le proporciona el dominio CO
III. SOFTWARE 17. Sistemas operativos utilizados por la entidad
SISTEMA OPERATIVO NRO DE EQUIPOS
18. ¿Qué tipo de software utiliza la entidad?
TIPO DE SOFTWARE PROVEEDOR
TIPO DE LICENCIAMIEN
TO
NRO LICENCIA
S
HERRAMIENTAS OFIMÁTICAS Y SIMILARES
28
8
BASES DE DATOS
COMUNICACIÓN
APLICACIONES QUE APOYAN DIRECTAMENTE LAS FUNCIONES DE LA ENTIDAD (ERP´s, Sistemas Contables, Sistemas de Información de Bancos de Proyectos, Sistemas de gestión Administrativa, Sistemas de atención a la comunidad, Sistemas CRM………….)
NOMBRE DESCRIPCIÓN
GENERAL
PROCESO QUE AUTOMATIZA EN LA
ENTIDAD EN FUNCIÓN DEL MAPA DE PROCESOS DE
LA ENTIDAD Y EN QUE PORCENTAJE (1-100%)
19. ¿La entidad ha desarrollado software para cumplir requerimientos de la entidad?
SI _____________ (Continúe con la pregunta 20)
289
NO _____________ (Continúe con la pregunta 22)
20. ¿Con qué tipo de personal la entidad ha desarrollado software?
Interno ______________
Externo ____________
21. ¿Qué programas ha desarrollado o está desarrollando la entidad con personal interno ó externo?
PROGRAMA DESCRIPCIÓN LENGUAJE DE DESARROLLO
(I)NTERNO/EXTERNO
22. Por favor anexar el último informe de software que reporta la entidad a la Oficina Nacional de Derechos de Autor (de acuerdo con la Directiva Presidencial 01 de 1999 y 02 del 2002)
IV. PERSONAL Y/O ENTIDADES QUE DESARROLLAN LA FUNCIÓN DE TIC'S
23. Número Total de personas con que cuenta la entidad desarrollando la función de Tecnologías de Información y Comunicaciones
24. ¿Con qué personal cuenta el área de sistemas de la entidad?
ÁREAS NÚMERO DE PERSONAS
Soporte
Redes
Desarrollo
Analistas
Otros (Especifique)
Planeación de TI
Implementación SI externos
Administración de Políticas Informáticas
Administración de Contenidos
25. ¿La entidad cuenta con un Jefe de sistemas?
29
0
SI ______________ (Continúe con la pregunta 25)
NO ______________ (Continúe con la pregunta 26)
26. ¿Cuál es el perfil profesional del Jefe de sistemas? (Realice una breve descripción) Ingeniero Industrial - Técnico en Mantenimiento de Hardware - Técnico en Redes - Especialista en Auditoría de Sistemas
27. ¿En cuál de las siguientes funciones de TI, la entidad está utilizando esquemas de outsourcing?
FUNCIÓN PROVEEDOR
Otros (Especifique)
V. OBSERVACIONES
DILIGENCIÓ:
FECHA DILIGENCIAMI
ENTO:
DD/MM/AAA
A Cualquier aclaración que requiera para dar respuesta a la encuesta, se puede comunicar con la Contraloría General del Municipio de Manizales en el teléfono 8843988 Ext. 136, o enviarnos sus inquietudes al correo
electrónico [email protected]
291
EVALUACIÓN DEL NIVEL DE MADUREZ (4 FORMULARIOS)
DIAGNÓSTICO DEL NIVEL DE MADUREZ Y CONTROL DE LA FUNCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES
- PLANEACIÓN Y ORGANIZACIÓN DE TI -
ENTIDAD:___________________________________________________________________
RESPONSABLE DEL DILIGENCIAMIENTO:_________________________________________________________
CARGO: ___________________________________________________________________________
FECHA DE DILIGENCIAMIENTO:________________________
INEXISTENTE: Carencia completa de esta práctica y no se requiere
Ine
xis
ten
te
Inic
ial
Rep
etib
le
Defin
ido
Ad
min
istra
do
Op
timiz
ad
o
RESPONSABLE
(CARGO)
DOCUMENTO/REGISTRO/SOPORTE QUE EVIDENCIA
SU EVALUACIÓN
OBSERVACIONES
INICIAL: Se tiene conciencia de la necesidad de esta práctica, sin embargo no existen actividades y/o procesos estándar para llevar a cabo esta práctica de gestión.
REPETIBLE: Se han desarrollado actividades y/o procesos alrededor de esta práctica, pero no hay entrenamiento, ni comunicación formal de esta práctica, se deja la responsabilidad al individuo, no hace parte de las prácticas tradicionales en la entidad.
DEFINIDO: Esta práctica se ha estandarizado y documentado. Y se ha difundido a través de entrenamiento, sin embargo se deja que la persona decida utilizarlo.
ADMINISTRADO: Es posible monitorear y medir el cumplimiento de la práctica y tomar medidas cuando los procesos no estén trabajando de forma efectiva.
OPTIMIZADO: Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas.
COD.
PROCESO DE TI
# PRACTIC
AS DE GESTIÓN
0 1 2 3 4 5
29
2
PO1
PLANEAR Y
ORGANIZAR
1
¿La entidad define y evalúa las contribuciones necesarias de TI para el logro de los objetivos estratégicos y la creación de oportunidades de la entidad?
2
¿La entidad traduce su plan estratégico de TI, en planes de corto plazo contemplando sus operaciones, los proyectos y objetivos de TI relacionados con rendimiento, disponibilidad, funcionalidad y su costo actual de propiedad frente al retorno de inversión?
PO2
DEFINIR LA
ARQUITECTURA DE INFORMA
CIÓN
3
¿La entidad crea y mantiene una lista para identificar los elementos de datos importantes, considerando que se pueden acceder y modificar?
4
¿La entidad define y aplica medidas para garantizar la integridad y la coherencia de todos los datos almacenados en formato electrónico, tales como bases de
293
datos, archivos de datos y almacenes de datos.
PO3
DETERMINAR LA
DIRECCIÓN
TECNOLÓGICA
5
¿La entidad es consciente de continuar con el apoyo de los sistemas de información actuales frente a su vida prevista, teniendo en cuenta la relación entre el valor actual de este y el valor potencial de adquirir nuevas tecnologías?
PO4
DEFINIR LOS
PROCESOS DE TI,
SU ORGANIZA
CIÓN Y LAS
RELACIONES
6
¿La entidad asigna claramente funciones relacionadas con las responsabilidades de TI, teniendo en cuenta unas expectativas razonables y se comunica a todos, prestando especial atención a los deberes en el ámbito de la seguridad y la calidad?
7
¿La entidad revisa y evalúa con regularidad que las funciones relacionadas con las responsabilidades de TI, se entiendan, se ejerzan y se cuenten con los recursos adecuados?
29
4
8
¿La entidad define en qué momento la contratación o subcontratación de TI, es necesaria y la forma cómo van a ser controladas?
PO5
ADMINISTRACIÓN
DE INVERSIONES DE TI
9
¿La entidad planifica y gestiona los gastos de la inversión de TI, dentro de un presupuesto anual, reflejando las prioridades y los beneficios esperados para la entidad?
PO6
COMUNICAR LAS
ASPIRACIONES Y LA DIRECCIÓN DE LA
GERENCIA
10
¿La entidad toma decisiones aceptables y razonables en materia de TI, que se comuniquen y discutan como parte de los principios de un buen funcionamiento de las TI?
11
¿La entidad fomenta la capacidad de respuesta del personal frente a: requisitos aplicables externos, riesgos de TI, sus recursos, la integridad de los sistemas informáticos, los derechos de propiedad intelectual y datos de la entidad?
295
PO7
ADMINISTRAR LOS
RECURSOS
HUMANOS DE TI
12
¿La entidad tiene en cuenta la experiencia, la educación y las habilidades necesarias para la contratación de personal de TI, que permita garantizar las metas y la infraestructura de TI de la entidad?
13
¿La entidad comprueba y evalúa cada año que las competencias del personal de TI están al día y actúa en función de estas?
14
¿La entidad se asegura que las tareas esenciales de TI no dependen de una sola persona?
PO8
ADMINISTRAR LA
CALIDAD 15
¿La entidad define y hace cumplir las prácticas básicas de la documentación, incluyendo los cambios y pruebas?
PO9
EVALUAR Y
ADMINISTRAR LOS RIESGOS
DE TI
16
¿La entidad discute en el momento oportuno con el personal clave que puede ir mal con los objetivos de la entidad, teniendo en cuenta los datos que son críticos para el éxito de esta?
29
6
17
¿La entidad establece una comprensión por parte del personal, acerca de la necesidad de dar respuesta y utilizar los medios necesarios para gestionar los riesgos de TI identificados en la entidad?
PO10
ADMINISTRAR
PROYECTOS
18
¿La entidad garantiza y define la correcta asignación de prioridades y la coordinación de todos los proyectos definiendo claramente lo que se espera obtener, por quién, cuándo, a qué costo y con qué beneficios?
19
¿La entidad define, describe, comunica y apoya a la gestión de proyectos, de forma tal que se tenga explicito el alcance del proyecto, los criterios de aceptación final de la entrega y los cambios vinculados a los proyectos con un adecuado plan de formación?
297
20
¿La entidad implementa un plan de calidad para hacer seguimiento a los resultados del proyecto, en términos de costos, plazos y riesgos de manera permanente?
DIAGNÓSTICO DEL NIVEL DE MADUREZ Y CONTROL DE LA FUNCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES
- ADQUISICIÓN E IMPLEMENTACIÓN -
ENTIDAD:___________________________________________________________________
RESPONSABLE DEL DILIGENCIAMIENTO:__________________________________________________________
CARGO: ____________________________________________________________________________
FECHA DE DILIGENCIAMIENTO:________________________
INEXISTENTE: Carencia completa de esta práctica y no se requiere
Ine
xis
ten
te
Inic
ial
Rep
etib
le
Defin
ido
Ad
min
istra
do
Op
timiz
ad
o
RESPONSABL
E (CARGO
)
DOCUMENTO/REGISTRO/SOPORTE QUE EVIDENCIA SU EVALUACIÓN
OBSERVACIONES
INICIAL: Se tiene conciencia de la necesidad de esta práctica, sin embargo no existen actividades y/o procesos estándar para llevar a cabo esta práctica de gestión.
REPETIBLE: Se han desarrollado actividades y/o procesos alrededor de esta práctica, pero no hay entrenamiento, ni comunicación formal de esta práctica, se deja la responsabilidad al individuo, no hace parte de las prácticas tradicionales en la entidad.
DEFINIDO: Esta práctica se ha estandarizado y documentado. Y se ha difundido a través de entrenamiento, sin embargo se deja que la persona decida utilizarlo.
ADMINISTRADO: Es posible monitorear y medir el cumplimiento de la práctica y tomar medidas cuando los procesos no estén trabajando de forma efectiva.
OPTIMIZADO: Los procesos se han refinado hasta un nivel de mejor
29
8
práctica, se basan en los resultados de mejoras continuas.
COD.
PROCESO DE TI
# PRACTIC
AS DE GESTIÓN
0 1 2 3 4 5
AI1
IDENTIFICAR
SOLUCIONES
AUTOMATIZADAS
21
¿La entidad tiene claridad acerca de cómo las soluciones tecnológicas van a cambiar y beneficiar los procesos de la entidad?, ¿Se asegura que los requisitos operacionales y funcionales dan solución a lo que se necesita, incluyendo mantenimiento, funcionamiento, rendimiento, seguridad y compatibilidad con los sistemas actuales?
22
¿La entidad de acuerdo con su plan estratégico de TI, establece cuidadosamente la compra o desarrollo de soluciones tecnológicas, contemplando soluciones alternativas y su viabilidad, sin excluir los sistemas existentes o teniendo presente que si no existe una idea clara de cómo mejorar los procesos de la entidad, no
299
es necesario inyectar tecnología?
23
¿La entidad tiene establecido un proceso de selección de proveedores, para la adquisición de productos o servicios de TI e invita a más de un proveedor para su adquisición?
AI2
ADQUIRIR Y
MANTENER
SOFTWARE DE
APLICACIÓN
24
¿La entidad asegura que existe un buen conjunto de requerimientos funcionales, operativos y de revisión con: a. El personal clave para determinar los registros que se deben lograr en la aplicación, b. El proveedor o desarrollador, para verificar que las necesidades se entienden claramente?
25
¿La entidad obtiene del proveedor o desarrollador un modelo de datos, descripciones de procesos y documentación del proveedor/desarrollador?
30
0
AI3
ADQUIRIR Y
MANTENER LA
INFRAESTRUCTURA TECNOLÓ
GICA
26
¿La entidad tiene en cuenta todo lo necesario para implementar, operar, mantener y asegurar la aplicación para apoyar a los usuarios y hacer recuperaciones de fallas?
AI4
FACILITAR LA
OPERACIÓN Y EL USO
27
¿La entidad se asegura de que los conocimientos y habilidades sobre los sistemas nuevos y actuales están disponibles y actualizados a través de documentación y formación para todo el personal?
AI5
ADQUIRIR RECURSOS DE TI
28
¿La entidad tiene definido un conjunto de procedimientos de contratación de los recursos de TI? , ¿Utiliza procedimientos para la selección de proveedores. Se asegura de los componentes legales, financieros, organizativos, de seguridad y de rendimiento de los acuerdos contractuales?
301
AI6
ADMINISTRAR
CAMBIOS
29
¿La entidad establece un proceso de gestión del cambio que incluye etapas de aprobación, categorización, evaluación de impacto, priorización, autorización, planificación, prueba e implementación, durante la ejecución del proceso de gestión del cambio?
30
¿La entidad establece un proceso de gestión de cambio que incluye varias etapas de aprobación para tener seguimiento del proyecto, los riesgos y la ejecución?
31
¿La entidad tiene establecido un proceso de cambios de emergencia (incluidos los criterios para su activación, los procedimientos, etc.) y se asegura de que cada cambio de emergencia es registrado y autorizado?
AI7
INSTALAR Y
ACREDITAR
SOLUCIONES Y
CAMBIOS
32
¿La entidad considera la documentación de los cambios de las soluciones tecnológicas y lleva a cabo la formación respectiva?
30
2
33
¿La entidad analiza, elabora y asigna un plan para la conversión de datos, teniendo en cuenta la complejidad y el alcance que se van a tener en otras aplicaciones y el grado de verificación requerido?
34
¿La entidad realiza las pruebas a las aplicaciones frente a los requisitos funcionales y operativos para que puedan dar confiabilidad? De igual forma, ¿Se prueba que las aplicaciones (o grandes cambios a estas) se integren con las aplicaciones existentes?
DIAGNÓSTICO DEL NIVEL DE MADUREZ Y CONTROL DE LA FUNCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES
- ENTREGA Y SOPORTE -
ENTIDAD:___________________________________________________________________
RESPONSABLE DEL DILIGENCIAMIENTO:_________________________________________________________
CARGO: ___________________________________________________________________________
FECHA DE DILIGENCIAMIENTO:________________________
303
INEXISTENTE: Carencia completa de esta práctica y no se requiere
Ine
xis
ten
te
Inic
ial
Rep
etib
le
Defin
ido
A
dm
inis
trad
o
Op
timiz
ad
o
RESPO
NSABLE (CARGO)
DOCUMENTO/REGISTRO/SOPO
RTE QUE
EVIDENCIA SU
EVALUACIÓ
N
OBSERVACIONES
INICIAL: Se tiene conciencia de la necesidad de esta práctica, sin embargo no existen actividades y/o procesos estándar para llevar a cabo esta práctica de gestión.
REPETIBLE: Se han desarrollado actividades y/o procesos alrededor de esta práctica, pero no hay entrenamiento, ni comunicación formal de esta práctica, se deja la responsabilidad al individuo, no hace parte de las prácticas tradicionales en la entidad.
DEFINIDO: Esta práctica se ha estandarizado y documentado. Y se ha difundido a través de entrenamiento, sin embargo se deja que la persona decida utilizarlo.
ADMINISTRADO: Es posible monitorear y medir el cumplimiento de la práctica y tomar medidas cuando los procesos no estén trabajando de forma efectiva.
OPTIMIZADO: Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas.
COD.
PROCESO DE TI
# PRACTICAS DE GESTIÓN 0 1 2 3 4 5
DS1
DEFINIR Y ADMINISTRA
R LOS NIVELES DE SERVICIO
35
¿La entidad realiza la evaluación de la aceptación final de los servicios de TI, evaluando la participación del personal clave que va a utilizar, ejecutar y mantener el sistema, los resultados de las pruebas y los criterios de aceptación de acuerdo con los objetivos del negocio?
DS2
ADMINISTRAR LOS
SERVICIOS DE
TERCEROS
36
¿La entidad define, identifica y evalúa periódicamente los servicios prestados por TI, y los acuerdos de niveles de servicio, cubriendo las necesidades de la empresa, e identificando los roles, costos relacionados y responsabilidades en la entidad. ?
37
¿La entidad tiene en cuenta la dependencia de los proveedores y de terceros, para garantizar su continuidad y la confidencialidad de la información y el riesgo de propiedad intelectual?
DS3
ADMINISTRAR EL
DESEMPEÑO Y LA
CAPACIDAD
38
¿La entidad evalúa y garantiza la capacidad profesional de terceros, ofreciendo un contacto claro de quien tiene la autoridad para actuar sobre las necesidades y preocupaciones de la entidad?
39
¿La entidad con base a las necesidades, las cargas actuales y futuras de trabajo, define la disponibilidad mínima de rendimiento y la capacidad de servicio de los sistemas de TI?
DS4
GARANTIZAR LA
CONTINUID
40
¿La entidad identifica sus funciones críticas y la información, aplicaciones, servicio a terceros, suministros, archivos de datos, entre otros, que son fundamentales para la entidad, minimizando los niveles de dependencia hasta donde sea posible?
30
4
AD DEL SERVICIO
41
¿La organización establece los principios básicos de la protección y reconstrucción de los servicios de TI, tales como la obtención de suministros y servicios en caso de emergencia para retornar a las operaciones normales después de haber ocurrido el evento y de igual forma los mecanismos para comunicarse con clientes y proveedores?
42
¿La entidad define junto con los empleados claves, lo que se debe almacenar en las copias de seguridad y se ubica en sitios fuera de la entidad que garantice que la información pueda ser recuperada después? , ¿Se aseguran adecuadamente recursos tales como archivos de datos críticos, documentación y otros recursos de TI?
DS5
GARANTIZAR LA
SEGURIDAD DE LOS
SISTEMAS
43
¿La entidad implementa procedimientos de control, basados en las necesidades de las personas para ver, añadir, cambiar o eliminar datos, teniendo en cuenta especial atención con los derechos de acceso de los proveedores y clientes y existen políticas de cambio de contraseñas para los usuarios?
44
¿La entidad asegura que una persona es la responsable de administrar todas las cuentas de usuario, Tokens de seguridad (contraseñas, tarjetas, dispositivos, etc.) y con procedimientos definidos de seguridad revisados periódicamente?
45
¿La entidad cuenta con un registro de violación de seguridad (de sistemas y redes, acceso, virus, uso de software ilegal), que permita informar y actuar de acuerdo al caso de forma inmediata?
46 ¿La entidad asegura que todos los usuarios (internos, externos y temporales) y actividades en los sistemas de TI son identificados fácilmente?
47
¿La entidad tiene medidas preventivas y correctivas para protegerse contra el malware (Refuerzos de software, actualización de parches), con la instalación y configuración de servidores de seguridad para controlar el acceso a la red y el flujo de información?
DS8
ADMINISTRAR LA MESA
DE SERVICIO Y
LOS INCIDENTES
48 ¿La entidad tiene establecida una oficina de servicio o unidad de apoyo, para controlar los incidentes y solicitudes de servicio?
DS9
ADMINISTRAR LA
CONFIGURACIÓN
49 ¿La entidad crea, regula y actualiza el inventario de material informático y configuración de software?
50 ¿La entidad revisa de forma regular si todo el software instalado, esta actualizado y con la licencia correspondiente?
305
DS10
ADMINISTRAR LOS
PROBLEMAS
51
¿La entidad identifica y hace seguimiento a los problemas significativos, investigando la causa de estos y poniendo en marcha soluciones sostenibles en el momento oportuno?
DS11
ADMINISTRACIÓN DE DATOS
52
¿La entidad define los periodos de retención, requisitos y condiciones de almacenaje de archivos, documentos, datos y programas, asegurándose que se cumplan con los requerimientos legales y del usuario?
DS12
ADMINISTRACIÓN DEL AMBIENTE
FÍSICO
53
¿La entidad protege físicamente los activos de TI y es consciente de la afectación que pueden tener por factores ambientales, tales como calor, riesgos naturales, polvo y humedad? , ¿Se presta especial atención a la seguridad de los dispositivos móviles y portátiles de la entidad?
DS13
ADMINISTRACIÓN DE
LAS OPERACION
ES
54
¿La entidad documenta y revisa las operaciones básicas de TI regularmente, para asegurar que las actividades de procesamiento se desarrollan según lo previsto (tiempo, secuencia, calidad, etc.) y se cuenta con procedimientos y registros de control para garantizar la exactitud e integridad del procesamiento?
DIAGNÓSTICO DEL NIVEL DE MADUREZ Y CONTROL DE LA FUNCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES
-MONITOREO Y EVALUACIÓN -
ENTIDAD:___________________________________________________________________
RESPONSABLE DEL DILIGENCIAMIENTO:__________________________________________________________
CARGO: ____________________________________________________________________________
FECHA DE DILIGENCIAMIENTO:________________________
INEXISTENTE: Carencia completa de esta práctica y no se requiere
Ine
xis
ten
te
Inic
ial
Rep
etib
le
Defin
ido
Ad
min
istra
do
Op
timiz
ad
o
RESPONSABLE
(CARGO)
DOCUMENTO/REGISTRO/SOPORTE QUE
EVIDENCIA SU EVALUACIÓN
OBSERVACIONES
INICIAL: Se tiene conciencia de la necesidad de esta práctica, sin embargo no existen actividades y/o procesos estándar para llevar a cabo esta práctica de gestión.
30
6
REPETIBLE: Se han desarrollado actividades y/o procesos alrededor de esta práctica, pero no hay entrenamiento, ni comunicación formal de esta práctica, se deja la responsabilidad al individuo, no hace parte de las prácticas tradicionales en la entidad.
DEFINIDO: Esta práctica se ha estandarizado y documentado. Y se ha difundido a través de entrenamiento, sin embargo se deja que la persona decida utilizarlo.
ADMINISTRADO: Es posible monitorear y medir el cumplimiento de la práctica y tomar medidas cuando los procesos no estén trabajando de forma efectiva.
OPTIMIZADO: Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas.
COD.
PROCESO DE TI
#
PRACTICAS DE GESTIÓN
0 1 2 3 4 5
ME1
MONITOREAR Y
EVALUAR EL
DESEMPEÑO DE
TI
55
¿La entidad cuenta con indicadores de TI relevantes, para realizar seguimiento permanente a los resultados y al rendimiento de TI y en consecuencia se establecen iniciativas de mejora?
56
¿La entidad compara los problemas de TI con las principales decisiones de TI?
307
ME2
MONITOREAR Y
EVALUAR EL
CONTROL
INTERNO
57
¿La entidad monitorea y evalúa los mecanismos de control para identificar y evaluar si las actividades de TI, se llevan de forma correcta, y como se esperaban de acuerdo con lo planeado?
58
¿La entidad acude cuando es necesario a recursos externos competentes, para evaluar los mecanismos de control de TI existentes, con el fin de revisar el cumplimiento de ley y/o reglamentos relacionados con obligaciones contractuales en materia de TI?
30
8
ME3
GARANTIZAR EL
CUMPLIMIENTO
REGULATORIO
59
¿La entidad identifica las acciones que se deben desarrollar para dar cumplimiento a los requisitos legales externos (seguridad, privacidad, propiedad intelectual, normativas de comercio electrónico, etc.) relacionados con TI?
ME4
PROPORCIONAR
GOBIERNO DE TI
60
¿La entidad establece la presentación de informes regulares sobre las actividades de TI, para ser presentados al representante legal y al comité de dirección?
309
Anexo 4. Ficha técnica Estudio Tipo 2
ESTUDIO TIPO 2
CARACTERIZACIÓN DEL SERVICIO DE AUDITORÍA CONTINUA EN LA
CONTRALORIA GENERAL DEL MUNICIPIO DE MANIZALES.
OBJETIVO
Establecer las principales características del auditor gubernamental de la Contraloría
General del Municipio de Manizales y su nivel de conocimiento, tanto del uso del
computador en los procesos de auditoría, como de la auditoría continua propiamente dicha.
POBLACIÓN OBJETIVO
Auditores gubernamentales adscritos a la Contraloría General del Municipio de Manizales.
TAMAÑO DE LA POBLACIÓN
19 Auditores gubernamentales
TIPO DE ESTUDIO
Censo
UNIDAD DE OBSERVACIÓN
Características del auditor gubernamental frente a su labor como auditor y percepciones
de las Técnicas de Auditoría Asistidas por Computador y de la Auditoría Continua.
METODOLOGIA DE RECOLECCIÓN DE INFORMACIÓN
Entrevista guiada a partir del instrumento base con cada uno de los auditores
gubernamentales.
PERIODO DE RECOLECCIÓN DE INFORMACIÓN
Febrero a Mayo de 2013.
INSTRUMENTO
CONTRALORÍA GENERAL DEL MUNICIPIO DE MANIZALES UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES
Caracterización del Servicio de Auditoría Continua
31
0
FECHA DE DILIGENCIAMIENTO: ___________
Servicio de Auditoría Continua
La Contraloría General del Municipio de Manizales, prestará dentro de su portafolio de servicios, un nuevo servicio de Auditoría Continua, como parte de sus servicios de control fiscal, a través del cual se espera disminuir la latencia existente, entre el momento en que ocurren los hechos desarrollados por las entidades sujetas a control y el momento en que la función de control fiscal actúa, utilizando para ello las Tecnologías de Información y Comunicaciones. De igual forma, se espera con este nuevo servicio evaluar y monitorear de forma permanente la ocurrencia de riesgos y el incumplimiento de controles de aquellos procesos gubernamentales, en donde las entidades sujetas de control utilizan las Tecnologías de Información y Comunicaciones.
I. DATOS PERSONALES DEL AUDITOR
1.1. Nombre: _________________________________________________________________
1.2. Profesión:
________________________________________________________________
1.3. Posgrados: Especialización en: ________________________________________________
Maestría en: ________________________________________________________
1.4. Años de experiencia en auditoría:____________
1.5. Años de experiencia en auditoría gubernamental:_________________
1.6. Tiempo laborado en la Contraloría General del Municipio de Manizales: _______
1.7. En orden ascendente (1: las auditorías donde más ha participado…6:
Auditorías donde menos ha participado), por favor establezca las modalidades de
auditoría en las que más ha participado
Auditoría Exprés
Especiales
Regulares
311
De seguimiento
Virtuales
Otras: ¿Cuáles?_________________
II. CARACTERIZACIÓN DE LOS PROCESOS DE AUDITORÍA Y CONTROL
DESARROLLADOS 2.1. En orden de prioridad, su participación en los procesos de control fiscal en
la Contraloría General del Municipio de Manizales, han sido:
PROCESO NIVEL DE PARTICIPACIÓN
(1: ALTO…. 7:BAJO) Si no ha
participado coloque 0 (cero).
Rendición de la cuenta
Proceso de Auditoría
Participación ciudadana
Responsabilidad Fiscal
Jurisdicción coactiva
Administrativo sancionatorio
Otro. ¿Cuál?
2.2. Su perfil como auditor, se encuentra más relacionado con: (Seleccione una
opción)
La auditoría financiera
La auditoría de gestión y resultados
La auditoría administrativa
La auditoría de sistemas
La auditoría ambiental
31
2
La auditoría al sistema de control interno
Otra:
¿Cuál?___________________________
2.3. Cuando realiza su proceso de auditoría gubernamental, utiliza usted alguna
técnica de auditoría apoyada por computador (por ejemplo: simulación paralela, scarf, módulos embebidos de auditoría….)
SI___ NO_____
Explique:_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
2.4. Cuando usted realiza su auditoría, a un proceso gubernamental específico, ¿Lleva a cabo ó se basa en la identificación de los riesgos que tiene el proceso para orientar el desarrollo de la auditoría?
SI_____ NO_____
2.5. En las auditorías que usted desarrolla, en promedio ¿Cuánto tiempo se demoran las entidades sujetas de control, en reportar la información requerida por usted para llevar a cabo la auditoría? (sin tener en cuenta la información de la rendición de la cuenta)
_______ (en días)
2.6. ¿Considera usted viable que las entidades sujetas de control de la Contraloría General del Municipio de Manizales, puedan reportar ó publicar la información requerida para llevar a cabo procesos de auditoría, inmediatamente después que se genera?
SI_____ NO_____ ¿Por qué?:_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
2.7. En el último año, en cuantas auditorías participó como:
Perfil Número de Auditorías
Auditor líder
Auditor de apoyo
313
2.8. En el último año, en promedio ¿Cuánto tiempo duraron las auditorías en las cuales usted participó?
__________ (en meses)
III. ASPECTOS RELACIONADOS CON AUDITORÍA CONTINUA
3.1. En una escala de 1 a 5, por favor califique su nivel de conocimiento de la Auditoría Continua.
__________
3.2. ¿Considera usted que la Contraloría General del Municipio de Manizales, ha prestado en algún momento el servicio de Auditoría Continua?
SI_____ (Describa la situación donde se ha prestado el servicio) NO_____ Situación, donde se ha prestado el servicio: ___________________________________ ____________________________________________________________________________________________________________________________________________________________________________________________________________________
3.3. De acuerdo a su experiencia en los procesos de auditoría gubernamental ¿En qué ha participado en las diferentes entidades sujetas de control; que porcentaje de esos procesos se encuentran actualmente automatizados?
Entre 0 y 25%
Entre el 26 y el 50%
Entre el 51 y el 75%
Entre el 76 y el 100%
3.4. Tradicionalmente cuando una entidad auditada, le entrega a usted como auditor, información en medio magnético para que sea analizada
- ¿Quién extrae la información del sistema de información de la entidad?
Usted directamente
El responsable de sistemas de la entidad sujeta de control
Personal de sistemas de la Contraloría
Otro: ¿Quién?_____________
31
4
- ¿Qué herramientas utiliza para realizar el análisis de la información? (generación de estadísticas, cruce de variables, detección de inconsistencias en registros….)
Excel
Access
IDEA
ACL
Herramienta Especializada
Otra: Cual?
- ¿Quién realiza la generación de estadísticas básicas, cruces de información, detección de inconsistencias sobre la información aportada por la entidad sujeta de control?
Usted directamente
El responsable de sistemas de la entidad sujeta de control
Personal de sistemas de la Contraloría
Otro: ¿Quién?_____________
3.5. En su concepto, y de acuerdo a la descripción del servicio de Auditoría Continua planteado al inicio de la encuesta, ¿En que aspectos puede mejorar este servicio su labor como auditor?
________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
3.6. En su concepto, y de acuerdo a la descripción del servicio de Auditoría Continua, planteado al inicio de la encuesta, ¿Qué tanto impacto puede generar este servicio en el mejoramiento de la efectividad de la función de control gubernamental que ejercer la Contraloría General del Municipio de Manizales?
_____________________________________________________________________________________________________________________________________________________________________________________________________________________
315
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
3.7. Relacione las auditorías que ha realizado durante el último año.
Entidad sujeto de auditoría
Proceso Auditado
Modalidad de Auditoría
% de Automatización
del proceso auditado en la
entidad
OBSERVACIONES GENERALES: ___________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
31
6
Anexo 5. Ficha Técnica Estudio Tipo 3
ESTUDIO TIPO 3
EVALUACIÓN DEL NIVEL DE AVANCE DEL GOBIERNO ELECTRÓNICO EN LAS
ENTIDADES SUJETAS DE CONTROL DE LA CONTRALORIA GENERAL DEL
MUNICIPIO DE MANIZALES
OBJETIVO
Determinar el nivel de avance del gobierno electrónico de las entidades sujetas de control
de la Contraloría General del Municipio de Manizales, con base en las directrices del
Ministerio de Tecnologías de Información, plasmadas en el manual 3.1 de gobierno en
línea.
POBLACIÓN OBJETIVO
Entidades públicas de la ciudad de Manizales, obligadas por el Decreto 2693 de 2012 a
implementar las diferentes fases de Gobierno en Línea y que son sujetas de control por
parte de la Contraloría General del Municipio de Manizales.
TAMAÑO DE LA POBLACIÓN
19 Entidades
TIPO DE ESTUDIO
Censo
UNIDAD DE OBSERVACIÓN
Actividades desarrolladas por las entidades relacionadas con la implementación del
gobierno electrónico, de acuerdo a las directrices del Ministerio de Tecnologías de
Información y Comunicaciones, establecidas en el manual 3.1 de Gobierno en Línea.
METODOLOGIA DE RECOLECCIÓN DE INFORMACIÓN
Auto diligenciamiento a partir de encuesta por fases de Gobierno en Línea, liderado por la
Contraloría General del Municipio de Manizales (como estrategia para garantizar el nivel
de respuesta), utilizando para ello instrumento en línea elaborado con Google Forms.
PERIODO DE RECOLECCIÓN DE INFORMACIÓN
317
Septiembre a Diciembre de 2014.
INSTRUMENTO
Seis formularios con un total de 194 preguntas, cada formulario corresponde a una de las
fases de gobierno en línea.
Por la extensión del formulario, a continuación se relacionan los URL donde se encuentran
los formularios aplicados.
FORMULARIO FASE URL (Form)
1 Elementos
Transversales
https://docs.google.com/a/unal.edu.co/forms/d/1Q4h
0PY-3pRO8hq8R6jbLmeXkn_du4eh0W--
3gYqDhKU/viewform
2 Información en
línea
https://docs.google.com/a/unal.edu.co/forms/d/1bvG
DW8hF5zAqUaO3Ra84b35e1C_QxlP2pnXpEBcZs
PU/viewform
3 Interacción en
línea
https://docs.google.com/a/unal.edu.co/forms/d/1tCD
2o7nCce2ZCD3MY-pKY-S20FEamVQ-
kUp3GkwtXMw/viewform?c=0&w=1
4 Transacción en
línea
https://docs.google.com/a/unal.edu.co/forms/d/1jsF
S_krn4Y0QCU7FGXB8-
jj8XIValaZ3v6k6JTiiKM0/viewform
5 Transformación https://docs.google.com/a/unal.edu.co/forms/d/1AM
3s5TK2JWVlOyWMIQ9bdpnUVOPYIo6ojNTZYy5M
sTw/viewform
6 Democracia en
línea
https://docs.google.com/a/unal.edu.co/forms/d/18nQ
WHTgoL4YE1rfNU8aT7Y5M0N8UbXatsOAAXoIntp
c/viewform
31
8
Anexo 6. Informe detallado de resultados por fases del estado actual de la Estrategia de Gobierno en Línea en las entidades sujetas de control de la Contraloría General del Municipio de Manizales.
1. Elementos Transversales
Las entidades sujetas de control de la Contraloría General del Municipio de Manizales,
presentan en promedio un nivel de cumplimiento del 53,9%, frente a la meta a 2014 del
55% impuesto por el Gobierno a través del Decreto 2693 de 2012, como se puede apreciar
en la tabla 62.
Se destacan dentro de las actividades de esta fase, que las entidades sujetas de control
no han iniciado ningún tipo de acción para implementar el protocolo IPv6, mientras que se
destaca el avance en el desarrollo de los Sistemas de Gestión de Seguridad de la
Información y en la institucionalización de la estrategia de Gobierno en Línea.
Tabla 66. Nivel de avance promedio de los diferentes componentes de la fase de elementos transversales de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.
PESO (%) ACTIVIDAD PESO (%)
CATEGORIA
5,9 Comité o instancia responsable de GEL
19,8 Institucionalizar la
Estrategia de Gobierno en Línea.
3,9 Planeación del Gobierno en línea
6,9 Estrategia de apropiación
3 Monitoreo y Evaluación
8,7 Caracterización de usuarios
15,5 Centrar la atención en
el usuario
3,7 Estrategia de promoción
0,3 Accesibilidad
2,8 Usabilidad
4,8 Planear el ajuste tecnológico 4,8
Implementar un sistema de gestión de
TI 0 Protocolo IPv6
13,8 Sistema de Gestión de Seguridad de la Información
13,8 Implementar un
sistema de gestión de
319
seguridad de la información
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control por la Contraloría General del Municipio de Manizales, 2014.
Información en línea
El promedio de nivel de avance de las entidades sujetas de control en esta fase es del
41.7%, estando por debajo de la meta requerida a 2014, influenciado fundamentalmente
por la categoría de publicación de datos abiertos, donde no se observa mayor avance por
parte de las entidades, como se puede observar en la tabla 63. Este componente en
particular, es uno de los elementos fundamentales para habilitar procesos de Auditoría
Continua y será analizado en mayor profundidad, en la variable correspondiente a
Gobierno Abierto del modelo propuesto.
Tabla 67. Nivel de avance promedio de los diferentes componentes de la fase de información en línea de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.
PESO (%) ACTIVIDAD PESO (%) CATEGORIA
3,4 Política Editorial
40,2 Publicación de Información 33,9 Publicación de Información
2,9 Acceso multicanal
0 Inventario de Información 1,5 Publicación de datos abiertos
1,5 Apertura de datos
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control por la Contraloría General del Municipio de Manizales, 2014.
Interacción en línea
Esta fase presenta un nivel de avance promedio de las 19 entidades del 44,6%, estando
por encima de la meta del gobierno, donde se destaca:
32
0
Tabla 68. Nivel de avance promedio de los diferentes componentes de la fase de Interacción en línea de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.
PESO (%) ACTIVIDAD PESO (%) CATEGORIA
8,4 Consulta interactiva de información 12,7
Habilitar espacios de interacción 4,3 Servicios de interacción
25,7 Sistema de contacto y PQRD
31,9 Habilitar espacios
electrónicos para interponer peticiones
0 Sistema móvil de contacto y PQRD
6,3 Sistema integrado de PQRD
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control por la Contraloría General del Municipio de Manizales, 2014.
Transacción en línea
Tabla 69. Nivel de avance promedio de los diferentes componentes de la fase de Transacción en línea de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.
PESO (%) ACTIVIDAD PESO (%) CATEGORIA
2,6 Formularios para descarga
49,1 Disponer trámites y
servicios en línea
1,6 Certificaciones y constancias
38,6 Trámites y servicios
6,3 Ventanillas únicas
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control por la Contraloría General del Municipio de Manizales, 2014.
Transformación
321
Tabla 70. Nivel de avance promedio de los diferentes componentes de la fase de Transformación de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.
PESO (%) ACTIVIDAD PESO (%) CATEGORIA
8,5 Buenas prácticas
34,4 Hacer uso de medios
electrónicos en procesos y procedimientos internos
8,2 Sistema de gestión de documentos
17,7 Automatización de procesos
8,7 Cadenas de trámites
10,1 Intercambiar información entre
entidades 1,4 Servicios de intercambio de información
Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control por la Contraloría General del Municipio de Manizales, 2014.
Democracia en línea
Tabla 71.Nivel de avance promedio de los diferentes componentes de la fase de Democracia en línea de la estrategia de Gobierno en Línea en las entidades sujetas de control por la Contraloría General del Municipio de Manizales.
PESO (%) ACTIVIDAD PESO (%) CATEGORIA
6,3 Estrategia de participación por medios electrónicos
6,3 Definir la estrategia de
participación
2,9 Normatividad 6,1
Construir de forma participativa las políticas y planeación
estratégica 3,2 Planeación Estratégica
6,9 Rendición de cuenta 6,9 Abrir espacios para el control
social
0,8 Promoción de datos abiertos 2,3
32
2
1,5 Solución de problemas Abrir espacios de innovación
abierta Fuente: Estudio de nivel de avance del gobierno electrónico en las entidades sujetas de
control por la Contraloría General del Municipio de Manizales, 2014.
323
Anexo 7.Análisis de homogeneización detallado de guías y metodologías de Auditoría Continua.
Análisis de Guías de Auditoría Continua
ACTIVIDADES DEL MODELO
ETAP
A
FASE IIAG IIAE ISACA AUS
T TOTAL
% COHESIÒ
N
PROMEDIO
COHESIÓN POR
ETAPA
Defin
ición
d
e Recu
rsos
y An
álisis de
Co
stos
Definición de personal, recursos clave y gestión de competencias del auditor 9, 10 2, 10 2 50% 50% Evaluación de costos y beneficios 4,19 3 2 50%
Relacio
nes co
n
la A
dm
inistració
n
Obtener el respaldo de la alta dirección 2 3, 5 6 3 75%
58% Estado actual del monitoreo continuo 3 11 2 50%
Desarrollar relaciones con la gestión de TI 7 8 2 50%
Plan
An
ual d
e A
ud
itoría Establecer áreas prioritarias 4,24 1 1 3 75% 75%
Plan
eación
Detallad
a Comprender los procesos de negocio 6,13 5 2 50%
57%
Definición de Objetivos y alcance de Auditoría Continua 1 1 7 3 75%
Identificar Riesgos e Indicadores de Riesgo
14,15,23 7,2 3 3 75%
Identificar Controles e Indicadores de Control
17,18,23 2 2 50%
Identificar y Comprender Sistemas de Información clave 5,6 2 2 50%
Conocer y comprender las fuentes de datos 5 9 2 50%
Conexión con aplicaciones/repositorios 11,12 1 25%
Depurar y preparar los datos 11,12 9 2 50%
32
4
Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos
16, 19, 20 4 2 50%
Determinar la frecuencias de los procesos 21 5 8 3 75%
Seleccionar y adquirir herramientas de análisis 8
6,8;10 3 3 75%
Ejecu
ción
Configurar los parámetros de aseguramiento continuo 9 1 25%
38% Ejecutar pruebas de manera regular y oportuno para identificar excepciones 22 14,15 2 50%
Co
mu
nicació
n d
e R
esultad
os
Supervisar permanentemente los Resultados de Auditoría Continua 26,28 17 6 3 75%
88%
Informar a la Dirección 25 16 7 11 4 100%
Seguim
iento
Seguimiento a la implementación de las acciones implementadas 27 10 2 50%
50% Garantizar la continuidad del proceso de Auditoría Continua. 29
18, 20, 13 2 50%
Índice de cohesión del modelo. 82,6% 52,2% 43,5%
47,8% 58%
Análisis de las metodologías de Auditoría Continua
ETAPA FASE
(Jolly, Julio R.;
Alcarraz,
2010)
(Chan &
Vasarhelyi, 2011)
(Abdolmoha
mmadi &
Sharbatoghlie, 2005); (Sharbatoghli
e & Sepehri, n.d.)
(Mainardi,
2011)
(Rezaee et al., 2002),
(Rezaee et al.,
2004),(Blundell, 2007),
(Ye & Li, 2010),(Abdolmohammadi
&
(C. E. De
Aquino et al.,
2010)
(Kuenkaikaew
& Vasarh
elyi, 2013), (Kuenkaikaew, 2013)
TOTAL %
Índice de co
hesión por etapas
325
Sharbatoghlie,
2005),(Aboa,
2014)
Defin
ición
de R
ecurso
s y A
nálisis d
e Co
stos
Definición de personal, recursos clave y gestión de competencias del auditor 12 1
14,3%
7,1%
Evaluación de costos y beneficios 0
0,0%
Relacio
nes co
n la
Ad
min
istración
Obtener el respaldo de la alta dirección 14 3 2
28,6%
23,8%
Estado actual del monitoreo continuo 15 1
14,3%
Desarrollar relaciones con la gestión de TI 16,19 3 2
28,6%
Plan
An
ual d
e A
ud
itoría
Establecer áreas prioritarias 5 4
1 3
42,9%
42,9%
Plan
eación
Detallad
a
Comprender los procesos de negocio 1,2,3,4 1 1 2 4
57,1%
51,9%
Definición de Objetivos y alcance de Auditoría Continua 13 4 5,8 1 4
57,1%
Identificar Riesgos e Indicadores de Riesgo 6,8 2 2
2 1, 4 5
71,4%
Identificar Controles e
7,8,9,10 2 2
2
4 5
71,4%
32
6
Indicadores de Control
Identificar y Comprender Sistemas de Información clave 3
2 2
28,6%
Conocer y comprender las fuentes de datos 11 2 5 9 3,4,5
3 6
85,7%
Conexión con aplicaciones/repositorios 6 6 2
28,6%
Depurar y preparar los datos 20 7,8 10 7,8
3 5
71,4%
Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos 1 7,11 2
28,6%
Determinar la frecuencias de los procesos 17 6
3 3
42,9%
Seleccionar y adquirir herramientas de análisis 3 12 2
28,6%
Ejecució
n
Configurar los parámetros de aseguramiento continuo
4 1
14,3%
42,9%
Ejecutar pruebas de manera regular y oportuno para identificar excepciones 18,21 9, 10
13,14 9, 10 5, 6 5
71,4%
Co
mu
nicaci
ón
de
Resu
ltad
os
Supervisar permanentemente los 22 12
5 3
42,9%
47,6%
327
Resultados de Auditoría Continua (Identificar desviaciones o deficiencias de control)
Investigar la razonabilidad de las desviaciones detectadas 23 11 2
28,6%
Informar a la Dirección 24,25 4
15,16,17,18 10
6 5
71,4%
Seguim
iento
Seguimiento a la implementación de las acciones implementadas 13 1
14,3%
28,6%
Garantizar la continuidad del proceso de Auditoría Continua 26 14 7, 9 3
42,9%
Mo
nito
reo
Co
ntin
uo
Crear esquemas para transferencia a Monitoreo Continuo 8 ,10 1
14,3%
32
8
Anexo 8. Productos de difusión de resultados de la tesis
1. Ponencias
Año Evento País (Ciudad) Ponencia
2012 1er Encuentro Nacional sobre
innovación tecnológica
empresarial (ENITEC)
Colombia
(Manizales)
Diseño de un modelo de
Auditoría Continua para las
organizaciones del sector
público Colombiano
2012 1er Encuentro Nacional de
Control en línea y Auditoría
Continua
Colombia
(Manizales)
El Control en línea y la
Auditoría Continua, estado
del arte a nivel internacional
2012 9o CONTECSI (Conferência
Internacional sobre Sistemas
de Gestão da Informação e
tecnológico)
Brasil (Sao
Paulo)
Modelos de Auditoría
Continua y su aplicación en
el sector público
Colombiano.
2012 7ª Jornada Académica de
ISACA Colombia
Colombia
(Bogotá)
La Auditoría Continua, una
herramienta para
modernizar y poner en
contexto la Auditoría
2012 Congreso Latinoamericano de
Auditoría Interna 2012
Paraguay
(Asunción)
La Auditoría Continua:
génesis, evolución, estado
actual y aplicación en el
sector público Colombiano
2012 Foro Internacional UN 2012.
Investigación y extensión para
la Innovación
Colombia
(Bogotá)
La Auditoría Continua, una
herramienta para la
modernización de la función
de auditoría en las
organizaciones y su
aplicación en el control
fiscal colombiano
329
2013 1er Encuentro Internacional y
2do Nacional de Control en
línea y Auditoría Continua
Colombia
(Manizales)
Arquitectura de Auditoría
Continua para el Control
Fiscal Colombiano. Una
versión preliminar.
2013 La prevención y detección del
riesgo de fraude con énfasis
en auditoría forense
Colombia
(Medellín)
La Auditoría Continua y su
aplicación en el sector
público Colombiano
2013 Conferencia Latinoamericana
de Auditoría, Control y
Seguridad (LATINCACS 2013)
y Conferencia
Latinoamericana de Seguridad
de la Información y
Administración del Riesgo
(ISRM 2013)
Colombia
(Medellín)
E-control y Auditoría
Continua en Colombia
2013 Jornadas de actualización de
Control Interno de la
Universidad Nacional de
Colombia
Colombia
(Bogotá)
Auditoría Continua: Una
herramienta para mejorar la
efectividad del Control
Organizacional
2. Eventos científicos organizados
Año Evento generado Ciudad Organizadores Asistentes
2012 1er Encuentro
Nacional de Control
en línea y Auditoría
Continua
Manizales Universidad Nacional de
Colombia / Contraloría
General del Municipio de
Manizales
100 Asistentes (4
Contralores
Territoriales)
5 Conferencistas
Nacionales.
2013 1er Encuentro
Internacional y 2do
Nacional de Control
Manizales Universidad Nacional de
Colombia / Contraloría
80 Asistentes
1 Conferencista
Internacional
33
0
en línea y Auditoría
Continua
General del Municipio de
Manizales
5 Conferencistas
Nacionales.
3. Reconocimientos recibidos
Mención Especial con el trabajo denominado “La Auditoría Continua, un modelo
complementario, que permite agregar valor a la Auditoría Moderna“ por parte de la
Federación Latinoamericana de Bancos –FELABAN- y el Comité Latinoamericano de
Auditoría Interna y Evaluación de Riesgos – CLAIN- presentado para participar en el
concurso de ensayos sobre Auditoría Interna Bancaria 2015.
4. Artículos de investigación
Valencia Duque, F. J., & Tamayo Arias, J. A. (2012). Evidencia digital y tècnicas y
herramientas de auditorìa asistidas por computador. Ventana Informàtica, (26), 93–110.
Valencia Duque, F. J., & Tamayo Arias, J. A.. (2015).Modelos de Auditoría Continua.
Una propuesta taxonómica. Journal of Information Systems and Technology
Management. (En proceso de aprobación).
Valencia Duque, F. J., & Tamayo Arias, J. A.,& Osorio López, K. (2015). Tecnologías de
la Información y Comunicación en el Control Fiscal Colombiano. Revista Administración
& Desarrollo. (En proceso de aprobación).
5. Libros y capítulos de libro
ISBN Título Editorial Capítulo Año
331
En
proceso
de
edición
Técnicas y
Herramientas de
Auditoría Asistidas
por Computador
Universidad
Nacional
2015
978-980-
6125-71-
1
Memorias “XVI
Congreso
Internacional del
CLAD sobre la
reforma del Estado
y de la
Administración
Pública”
CLAD El e-control
estado actual y
perspectivas
en el Control
Fiscal
Colombiano
2013
6. Intervención en el contexto del Control Fiscal Colombiano
Evento/Acción Entidades
organizadoras
Tipo de
participación
Ciudad y
Fecha
Encuentro
Regional de
Contralores
Territoriales
Contraloría
Departamental
del Tolima.
Conferencia La Auditoría
Continua una
herramienta
para la
modernización
del Control
Fiscal
Colombiano.
Ibagué
1-03-2012
Foros de
Sensibilización
Iniciativa
Control en línea
Ministerio de
Tecnologías de
Información y
Comunicaciones
y Universidad
Nacional de
Charla de
sensibilización
El e-control,
estado actual y
perspectivas
en el Control
Fiscal
Colombiano
Bogotá
15-11-
2012
33
2
Colombia sede
Bogotá
Charla de
sensibilización
El e-control,
estado actual y
perspectivas
en el Control
Fiscal
Colombiano
Cartagena
30-11-
2012
Charla de
sensibilización
El e-control,
estado actual y
perspectivas
en el Control
Fiscal
Colombiano
Cali
12-11-
2012
333
Bibliografía
Abdolmohammadi, M. J., & Sharbatoghlie, A. (2005). Continuous Auditing: An Operational Model for Internal Auditors. The IIA Research Foundation. Retrieved from http://www.theiia.org/bookstore/product/continuous-auditing-an-operational-model-for-internal-auditors-1158.cfm
Aboa, Y. P. J. D. (2014). Continuous Auditing : Technology Involved. East Tennessee State University.
ACL. (2005). Auditoría permanente: Implicancias para el aseguramiento, el monitoreo y la evaluación de riesgos.
ACL. (2006). Nuevas exigencias , Nuevas prioridades. La nueva función de la auditoría interna.
Aguilera, J. R. (2000). Modelo Queretaro.
Alles, M. G., Brennan, G., Kogan, A., & Vasarhelyi, M. A. (2006). Continuous monitoring of business process controls: A pilot implementation of a continuous auditing system at
Siemens☆. International Journal of Accounting Information Systems, 7(2), 137–161.
doi:10.1016/j.accinf.2005.10.004
Alles, M. G., Kogan, A., & Vasarhelyi, M. A. (2008). Audit Automation for Implementing Continuous Auditing : Principles and Problems.
Alles, M. G., Tostes, F., Vasarhelyi, M. A., & Riccio, E. L. (2006). Continuous Auditing: The USA experience and considerations for its implementation in Brazil. Revista de Tecnologia Da Gestão E Sistemas de Informação, 3(2), 211–224.
Alles, M. G., & Vasarhelyi, M. A. (2009). Principles and Problems of Audit Automation as a Precursor to Continuous Auditing.
Aquino, E. (2011). GESTÃO INTEGRADA DE RISCOS – CONTINUOUS ASSURANCE. In 22th World Continuous Auditing and Reporting Systems Symposium.
Arias, F., & Cerpa, N. (2008). Extendiendo el modelo e-SCARF de detección de fraude en sistemas de comercio electronico. Ingeniare. Revista Chilena de Ingeniería., 16(2), 282–294.
Auditoría General de la República. (2010a). Informe de gestión y resultados 2009-2010.
Auditoría General de la República. (2010b). Reformar el Control Fiscal Territorial. SINDÉRESIS, (13).
33
4
Auditoría General de la República. (2011). El camino de la transformación del control fiscal Colombiano. Informe de gestión y resultados 2009-2011. Bogotá: Imprenta Nacional de Colombia.
Auditoría General de la República. (2012). Certificación de la gestión de las Contralorías 2011.
Auditoría General de la República. (2013a). Informe de Gestiòn 2011-2013 (Primer edi.). Bogotá.
Auditoría General de la República. (2013b). La impostergable Reingenieria del Control Fiscal Territorial. Retrieved from http://www.auditoria.gov.co/index.php/biblioteca-virtual/documentos-de-interes/cat_view/4-documentos-de-interes/12-interes?start=10
Badillo, R. G. (2004). Un concepto epistemológico de modelo para la didáctica de las ciencias experimentales. Revista Electrònica de Enseñanza de Las Ciencias, 3(3), 301–319.
Baksa, R., & Turoff, M. (2010). The Current State of Continuous Auditing and Emergency Management ’ s Valuable Contribution. In 7th International ISCRAM Conference (pp. 1–10).
Banco Interamericano de Desarrollo. (2014). Transparencia y confianza en el sector público. Avances de las entidades fiscalizadores superiores en Amèrica Latina y el Caribe 2002-2012.
Best, P. J., Rikhardsson, P., & Toleman, M. (2009). Continuous Fraud Detection in Enterprise Systems through Audit Trail Analysis. Journal of Digital Forensics, Security and Law, 4(1), 39–61.
Bierstaker, J. L., Burnaby, P., & Thibodeau, J. (2001). The impact of information technology on the audit process : an assessment of the state of the art and implications for the future. Managerial Auditing Journal, 16(3), 159–164.
Blundell, A. (2007, July). Continuous auditing technologies and models. Computers & Security. NELSON MANDELA METROPOLITAN UNIVERSITY. Retrieved from http://linkinghub.elsevier.com/retrieve/pii/S0167404806000964
Bonsón, E., & Borrero, C. (2011). Analysis of the factors affecting the adoption and use of Continuous Audit Tools and Techniques : Comparison between the public and private sector. International Journal of Economics and Management Sciences, 1(3), 08–16.
Braun, R. L., & Davis, H. E. (2003). Computer-assisted audit tools and techniques: analysis and perspectives. Managerial Auditing Journal, 18(9), 725–731. doi:10.1108/02686900310500488
335
Caldana, D., Correa, R., & Ponce, H. (2007). Competencias de los auditores gubernamentales chilenos para la obtención de evidencia electrónica de auditoría. Contaduría Y Administración [en Línea], (223), 9–31. Retrieved from http://redalyc.uaemex.mx/redalyc/src/inicio/ArtPdfRed.jsp?iCve=39522302.
Caldwell, F. (Gartner), & Proctor, P. E. (Gartner). (2010a). Magic Quadrant for Continuous Controls Monitoring. Reproduction.
Caldwell, F. (Gartner), & Proctor, P. E. (Gartner). (2010b). Magic Quadrant for Continuous Controls Monitoring.
Cangemi, M. (2010). Internal Audit’s Role in Continuous Monitoring. Edpacs, 41(4), 1–8. doi:10.1080/07366981.2010.488571
Cano, J. J. (2009). Computación Forense. Descubriendo los rastros informáticos (1a edición.). Alfaomega Grupo Editor.
Castello, R. J. (2006). Auditoría en entornos informáticos.
Castello, R. J., Morales, H. R., & Wolfmann, A. G. (2008). AUDIT SERVER - Una implementación piloto de un sistema de Auditoria Continua. Normaria, (19). Retrieved from http://www.iaia.org.ar/elauditorinterno/19/Articulo2.htm#
CEPAL, & EUROPEAID. (2007). Modelo multi-dimensional de medición del gobierno electrónico para América Latina y el Caribe. Santiago de Chile. Retrieved from http://www.cepal.org/SocInfo
Cerullo, M. V., & Cerullo, M. J. (2003). Impact of SAS No. 94 on Computer Audit Techniques. Information Systems Control Journal, 1(94).
Chan, D. Y., & Vasarhelyi, M. A. (2011). Innovation and practice of continuous auditing. International Journal of Accounting Information Systems, 12(2), 152–160. doi:10.1016/j.accinf.2011.01.001
Chou, C. L., Du, T., & Lai, V. S. (2007). Continuous auditing with a multi-agent system. Decision Support Systems, 42(4), 2274–2292. doi:10.1016/j.dss.2006.08.002
CINTEL. (2011). Modelo de Implementación de la Estrategía de Gobierno en línea Territorial. Retrieved from http://programa.gobiernoenlinea.gov.co/apc-aa-files/95b812a35a0c0464a79ffcca30f15508/Modelo_de_implementaci_n_GELT_2011.pdf
Coderre, D. (2010). Internal Audit Practice Guide. Retrieved from http://centerforcontinuousmonitoring.org/wp-content/uploads/2011/01/Internal-Audit-Practice-Guide-for-Continuous-Auditing-Dave-Corderre.pdf
33
6
CONPES. (2013). Documento Conpes Social 167. Estrategia Nacional de la Polìtica Pùblica Integral Anticorrupciòn.
Contraloría General de la República. (2007). El control fiscal como instrumento para el mejoramiento de la administración territorial. Retrieved from http://campus.contraloriagen.gov.co:8080/investigacion/html/productos/libros.html#
Contraloría General de la República. (2013a). Guìa de Auditorìa de la Contraloria General de la Repùblica Ajustada en el contexto SICA.
Contraloría General de la República. (2013b). Informe sobre cumplimiento de sus funciones y gestiòn al congreso y al presidente de la Repùblica2012-2013. Bogotá. Retrieved from http://www.contraloriagen.gov.co/documents/10136/21259937/Informe+de+Gestion+Final+2012-2013.pdf/03334710-a32b-4b8f-8820-20efba66363a?version=1.0
Contraloría General del Municipio de Manizales. (2014). Portal Institucional de la Contralorìa General del Municipio de Manizales. Retrieved May 3, 2014, from http://contraloriamanizales.gov.co/n_portal/index.php?option=com_content&view=article&id=20&Itemid=20
Contraloría General del Municipio de Manizales. (2015a). Informe de Gestión 2014. Retrieved March 30, 2015, from http://www.contraloriamanizales.gov.co/n_portal/index.php?option=com_docman&task=cat_view&gid=29&Itemid=75
Contraloría General del Municipio de Manizales. (2015b). Informe de Gestión 2014.
COSO. (2009). Internal Control — Integrated Framework Guidance on Monitoring Internal Control Systems Office. Policy Analysis.
Criado, J. I., Gascó, M., & Jiménez, C. E. (2011). Interoperabilidad de Gobierno electrónico en Iberoamérica. Estudio comparativo y recomendaciones de futuro. Revista Del CLAD Reforma Y Democracia, (50), 1–19.
Cuellar, M., Pardo, C., Herrera, L., & Correa, M. (2014). Armonización de múltiples modelos para el gobierno de TI y el desarrollo de software * 1 Resumen Introducción. Ventana Informática, (30), 43–53.
Daigle, J. J., Daigle, R. J., & Lampe, J. C. (2008). Auditor Ethics for Continuous Auditing and Continuous Monitoring. Information Systems Control Journal, 3, 1–4.
De Aquino, C. E., Lopes da Silva, W., Sigolo, N., & Vasarhelyi, M. A. (2010). Six Steps to an Effective Continuous Audit Process. Internal Auditor, 1–5.
337
De Pablos Heredero, C., Lòpez Hermoso, J. J., Martin-Romo, S., & Medina Salgado, S. (2013). Organizaciòn y Transformaciòn de los Sistemas de Informaciòn en la empresa. (Alfa Omega, Ed.) (2a ed.). México D.F.
Debreceny, R. S., Gray, G. L., Ng, J. J.-J., Lee, K. S.-P., & Yau, W.-F. (2005). Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality. Journal of Information Systems, 19(2), 7–27. doi:10.2308/jis.2005.19.2.7
Departamento Administrativo de la Funciòn Pùblica. (2008). Manual de Implementación Modelo Estàndar de Control Interno para el Estado Colombiano. Bogotá.
Departamento Administrativo de la Funciòn Pùblica, & Instituto de Auditores Internos de Colombia. (2013). Guía de Auditoría para Entidades Públicas.
Departamento Nacional de Planeación. (2012). Seguimiento a Proyectos de Inversión. Retrieved from https://spi.dnp.gov.co
Dorta, J. A. (2005). Teorías organizativas y los sistemas de control interno Resumen. Revista Internacional LEGIS de Contabilidad & Auditoria, 9–58. Retrieved from http://scienti.colciencias.gov.co:8084/publindex/docs/articulos/1692-2913/29/118.pdf
Du, H., & Roohani, S. (2007). Meeting Challenges and Expectations of Continuous Auditing in the Context of Independent Audits of Financial Statements. International Journal of Auditing, 11(2), 133–146. doi:10.1111/j.1099-1123.2007.00359.x
Economist Intelligence Unit. (2014). 2013/2014 Informe Global sobre Fraude.
El-Masry, E.-H. E., & Reck, J. L. (2008). Continuous online auditing as a response to the Sarbanes-Oxley Act. Managerial Auditing Journal, 23(8), 779–802. doi:10.1108/02686900810899527
Eniac, G. (2006). Realineación de las Auditorias a través de la Auditoría continua.
Ernst & Young. (2007). Global Internal Audit Survey. Retrieved from http://newsweaver.ie/ernst/e_article001112623.cfm?x=b11,0,w
Ernst & Young. (2008). Escalating the role of internal audit.
Ferchichi, A., Bigand, M., & Lefebvre, H. (2008). An Ontology for Quality Standards Integration. In First International Workshop on Model Driven Interoperability for Sustainable Information Systems - MDISIS 2008. Montpellier (France).
Fernandez M., A. (2003). El Modelo COCO. Normaria, (11). Retrieved from http://www.iaia.org.ar/revistas/normaria/Normaria11.pdf
33
8
Frick, M. (2008). De la Teoría a la práctica. Cómo implementar con éxito el gobierno electrónico.
García, A., Hurtado, C., & Alegre Ramos, M. del P. (2011). Seguridad informática. Madrid: Ediciones Paraninfo S.A.
Gasca, G. P., & Manrique, B. (2011). Método para la construcción de una taxonomía : estructura base para riesgos en outsourcing de software Method to construct a taxonomy : basic structure to risks in software outsourcing. Revista Facultad de Ingeniería Universidad de Antioquia, (60), 92–101.
Gellacic, W. L. (2009). C ontinuous C ontrol M onitoring. In 6 CONTECSI.
Ghosh, A. (2004). Guidelines for the Management of IT Evidence. Computer.
Global Mobile Awards. (2012). Government Leadership Award. Government of the Republic of Colombia. Retrieved from http://www.globalmobileawards.com/winners2012.php#cat_id31
González Tallón, J. M. (2011). ¿ Puede la auditoría realizarse al mismo tiempo que la gestión auditada y seguir siendo auditoría ? Auditoría Pública, 54, 33 – 42. Retrieved
from http://www.auditoriapublica.com/hemeroteca/Pag 33-42 n� 54.pdf
Groomer, S. M., & Murthy, U. S. (1989). Continuous auditing of database applications: An embedded audit module approach. Journal of Information Systems, 3(2), 53–69.
Handscombe, K. (2007). Continuous Auditing From a Practical Perspective. Information Systems Control Journal, 2, 1–5.
Heffes, E. (2006). Theory to practice; continuous auditing gains. Financial Executive, 17–18. Retrieved from http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:Theory+to+Practice:Continuous+Auditing+Gains#0
IAASB. (2012). The Clarified Standards. Retrieved from http://www.ifac.org/auditing-assurance/clarity-center/clarified-standards
ICONTEC. (2009). Compendio Sistema de gestión de la seguridad de la información (SGSI).
IIA. (2005a). GTAG 1. Controles de Tecnología de la Información (No. 1a Edición). Altamonte Springs (Florida).
IIA. (2005b). Guide 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment. The Institute of Internal Auditors.
339
IIA. (2011). Definición de Auditoría Interna. Retrieved December 19, 2011, from http://www.theiia.org/guidance/standards-and-guidance/ippf/definition-of-internal-auditing/
IIARF. (2009). 2009 IT AUDIT BENCHMARKING STUDY Executive Summary and Report. Altamonte Springs (Florida).
Instituto de Auditores Internos de España. (2014). Guía para implantar con éxito un modelo de Auditoría Continua.
ISACA. (2010a). IS Auditing Guideline: G42 Continuous Assurance. ISACA. Retrieved from http://www.isaca.org/Knowledge-Center/Standards/Documents/G42-Continuous-Assurance-18Feb10.pdf
ISACA. (2010b). Manual de Preparación al Examen CISA 2011.
ISACA. (2012). Certified Information Systems Auditor. Manual de Preparación al examen CISA 2012. ISACA.
ISO. (2002). International Standard. Guidelines for quality and/or environmental management systems auditing.
IT Governance Institute. (2007). COBIT 4.1.
Jiménez Caraballo, D. (2011). Apuntes para una historía de la Auditoría. Enlace, 17(101), 1–9.
Jolly, J. R., & Alcarraz, G. (2010). Auditoría Continua : Mejores Prácticas y Caso Real. In Congreso Latinoamericano de Auditoría Interna 2010.
Kearney, B., & Tryfonas, T. (2008). Security Patterns for Automated Continuous Auditing. Information Security Journal: A Global Perspective, 17(1), 13–25. doi:10.1080/10658980701784594
Kelemen, Z. D. (2009). A Process Based Unification of Process-Oriented Software Quality Approaches. In 2009 Fourth IEEE International Conference on Global Software Engineering (pp. 285–288). Ieee. doi:10.1109/ICGSE.2009.39
Kevin, M. HCA:Mitigación de riesgos por medio del monitoreo continuo (2004).
Kneer, D. C. (2003). Continuous Assurance : We Are Way Overdue. Information Systems Control Journal, 1.
Kogan, A., Alles, M. G., & Vasarhelyi, M. A. (2010). Analytical Procedures for Continuous Data Level Auditing : Continuity Equations. Accounting and Finance.
KPMG. (2009). The Evolving Face of Internal Audit in India. Challenges.
34
0
KPMG. (2013). Encuesta de Fraude en Colombia 2013.
KPMG, & IIA. (2008). III Estudio sobre la situación de la auditoría interna en España.
Krell, E. (2004). “ Continuous ” Will Be Key to Compliance. Business Finance, 1–6.
Kuenkaikaew, S. (2013). Predictive Audit Analytics: Evolving to a new era. The State University of New Jersey.
Kuenkaikaew, S., & Vasarhelyi, M. A. (2013). The Predictive Audit Framework. The International Journal of Digital Accounting Research, 13(April), 37–71. doi:10.4192/1577-8517-v13
Kuhn, J. R., & Sutton, S. G. (2010). Continuous Auditing in ERP System Environments: The Current State and Future Directions. Journal of Information Systems, 24(1), 91–112. doi:10.2308/jis.2010.24.1.91
Lee, C. S., & Chou, C. (2007). A Theoretical and Technical Model of an external Continuous Auditing System. In The Sixth Wuhan International Conference on e-business (pp. 1870–1875).
Loh, S. (2002). Using Continuous Assurance to Detect Fraud in e-commerce Transactions. Design. The University of New South Wales.
Louwers, T. J., Ramsay, R. J., Sinason, D. H., Strawser, J. R., & Thibodeau, J. (2011). Auditing & Assurance Services (4th ed.). New York: McGraw-Hill.
Mainardi, R. L. (2011). Harnessing The Power of Continuous Auditing (1a ed.). John Wiley & Sons, Inc.
Marks, N. (2010). Continuous Auditing Reexamined. ISACA Journal Online, 1, 1–5. Retrieved from http://www.isaca.org/Journal/Past-Issues/2010/Volume-1/Pages/Continuous-Auditing-Reexamined1.aspx
Marris, D. (2010). Challenges obtaining audit evidence. doi:10.2139/ssrn.1590634
Mendez, H. (2011). Auditoría grado superior (01 ed.). McGraw-Hill. Retrieved from http://www.mcgraw-hill.es/bcv/guide/capitulo/8448178971.pdf
Ministerio de Tecnologías de Información y Comunicaciones. (2012). Estrategia de Gobierno en lìnea y Control en lìnea. In Seminario de Control en Lìnea. Cali.
Ministerio de Tecnologías de Información y Comunicaciones. (2013). Manual para la implementaciòn de la Estrategia de Gobierno en lìnea en las entidades del orden Nacional de la Repùblica de Colombia. Bogotá. Retrieved from
341
http://programa.gobiernoenlinea.gov.co/apc-aa-files/eb0df10529195223c011ca6762bfe39e/manual-3.1.pdf
Ministerio de Tecnologías de Información y Comunicaciones. (2014). Indice de Gobierno en línea. Retrieved November 30, 2014, from http://indicegel.gobiernoenlinea.gov.co/Inicio.aspx
Ministerio de Tecnologías de Información y Comunicaciones. (2015a). Apertura de Datos. Retrieved March 12, 2015, from http://css.mintic.gov.co/ap/gel4/html/como_se_logra/apertura_de_datos/introduccion_apertura_datos.html
Ministerio de Tecnologías de Información y Comunicaciones. (2015b). Esquema de interoperabilidad en Colombia. Retrieved April 10, 2015, from http://css.mintic.gov.co/ap/gel4/html/como_se_logra/interoperabilidad/introduccion_interoperabilidad.html
Ministerio de Tecnologías de Información y Comunicaciones. (2015c). Portal del Catálogo de Datos Abiertos del Estado Colombiano. Retrieved April 12, 2015, from http://www.datos.gov.co/frm/buscador/frmBuscador.aspx
Ministerio de Tecnologias de la Informaciòn y las Comunicaciones. (2011). Vive digital Colombia. Versiòn 1.0 2011. Retrieved from http://www.vivedigital.gov.co/files/Vivo_Vive_Digital.pdf
Ministerio de Tecnologias de la Informaciòn y las Comunicaciones. (2012). El Gobierno en lìnea en Colombia 2011. Bogotá. Retrieved from http://programa.gobiernoenlinea.gov.co/apc-aa-files/gel_ipe_medicion_2012_20121214.pdf
Ministerio de Tecnologias de la Informaciòn y las Comunicaciones. (2014). Cómo va la Estrategia de Gobierno en línea. Retrieved from http://programa.gobiernoenlinea.gov.co/como-va.shtml
Ministerio de Tecnologias de la Informaciòn y las Comunicaciones, Auditoría General de la República, Consorcio S&M, & UT Software Works. (2012a). Anexo 1. Arquitectura General y Detallada de la Soluciòn Control Fiscal en Lìnea. Bogotá.
Ministerio de Tecnologias de la Informaciòn y las Comunicaciones, Auditoría General de la República, Consorcio S&M, & UT Software Works. (2012b). Documento Anàlisis de Brecha de Sistemas de Informaciòn con mejores pràcticas encontradas en las Contralorìas Territoriales y las Entidades integrantes del Convenio de Coadyuvancia en cuanto a Control Fiscal en Lìnea.
Ministerio de Tecnologias de la Informaciòn y las Comunicaciones, Auditoría General de la República, Consorcio S&M, & UT Software Works. (2012c). Documento Inventario de
34
2
Sistemas de Informaciòn de las Contralorìas Territoriales y las Entidades Integrantes del Convenio de Coadyuvancia en cuanto a Control Fiscal en Lìnea.
Montilla G., O. de J., & Herrera Marchena, L. G. (2006). El Deber ser de la Auditoría. Estudios Gerenciales, (98), 83–110.
Montilla G., O. de J., Montes S., C. A., & Mejia S., E. (2007). Análisis de la fundamentación del modelo estándar de control interno, MECI 1000:2005. Estudios Gerenciales, 23(104), 47–75.
Murcia, F. D. (2008). Continuous Auditing : A Literature Review Auditoria Contínua : uma revisão da literatura. Organizações Em Contexto, 4(7), 1–17.
Murthy, U. S., & Groomer, S. M. (2004). A continuous auditing web services model for XML-based accounting systems. International Journal of Accounting Information Systems, 5(2), 139–163. doi:10.1016/j.accinf.2004.01.007
Naser, A. (Naciones U., & Concha, G. (Naciones U. (2011). El gobierno electrónico en la gestión pública. Santiago de Chile: Naciones Unidas.
Naser, A., & Ramirez Alujas, A. V. (2014). Plan de gobierno abierto. Una hoja de ruta para los gobiernos de la región. Serie Manuales. Santiago de Chile.
Norka, V. (2004). Una aproximación a un enfoque holístico en auditoría. Revista Actualidad Contable Faces, 7(009), 85–94.
Omoteso, K., & Business, L. (2008). An Investigation into the Application of Continuous Online Auditing in the U . K . 1. International Journal of Digital Accounting Research, 8(July), 23–24. doi:10.4192/1577-8517-v8
Onions, R. L. (2003). Towards a Paradigm for continuous Auditing. Retrieved May 10, 2011, from http://www.auditsoftware.net/community/how/run/tools/Towards a Paradigm for continuous Auditin1.doc
Pardo, C., Pino, F. J., Garcia, F., Baldassarre, M. T., & Piattini, M. (2013). From chaos to the systematic harmonization of multiple reference models: A harmonization framework applied in two case studies. Journal of Systems and Software, 86(1), 125–143. doi:10.1016/j.jss.2012.07.072
Peres Useche, M. (2003). Gobierno Digital. Tendencias y Desafios. (Primera ed.). Bogotá (Colombia).
Perols, J. L. (2009). Information Fusion in Continuous Assurance. Symposium A Quarterly Journal In Modern Foreign Literatures.
343
Piattini, M. G., & Del peso, E. (1998). Auditoría Informática. Un enfoque práctico (1a ed.). México: RA-MA Editorial.
Pinilla Forero, J. D. (1997). Auditoría de Sistemas en funcionamiento (1a ed.). Santafé de Bogota: ROESGA.
Pino, F. J., Baldassarre, M. T., Piattini, M., & Visaggio, G. (2010). Harmonizing maturity levels from CMMI-DEV and ISO/IEC 15504. Journal of Software Maintenance and Evolution: Research and Practice., (22), 279–296. doi:10.1002/spip
Prado Carvajal, R. (2012). Sistema de Información Gerencial -SIGER- Contraloría General de Santiago de Cali. In Primer Encuentro Nacional de Experiencias en Control en Línea y Auditoría Continua en las Contralorías del pais. (pp. 81–83). Manizales: Universidad Nacional de Colombia; Contraloría General del Municipio de Manizales.
Procuraduria General de la Naciòn. (2013). Indice de Gobierno Abierto. Retrieved March 10, 2014, from http://www.procuraduria.gov.co/portal/Indice-de-Gobierno-Abierto.page
Procuraduria General de la Naciòn. (2015). Generalidades del Indice de Gobierno Abierto. Retrieved March 10, 2015, from http://www.procuraduria.gov.co/portal/Indice-de-Gobierno-Abierto.page
Ramos, S. (2007). Auditoría Continua y Monitoreo Continuo para el Aseguramiento de los Negocios. ACL.
Restrepo Medina, M. A., Araujo Oñate, R. M., & Tuta Alarcón, G. E. (2010). Control fiscal territorial Validación de un modelo de mejoramiento de la gestión y los resultados de las contralorías territoriales en Colombia. Control (Primera ed.). Facultad de Jurisprudencia. Universidad del Rosario.
Restrepo Medina, M. A., Sánchez Torres, C. A., Araujo Oñate, R. M., Peña González, E., & Dineiger, P. (2008). Control fiscal territorial. Construcción de un modelo de contraloría tipo. Control (Primera ed.). Bogotá D.C.: Editorial Universidad del Rosario.
Rezaee, Z., McMickle, P. L., Sharbatoghlie, A., & Elam, R. (2004). Auditoría continua : Construyendo capacidades para una auditoría automatizada Resumen. Revista Internacional LEGIS de Contabilidad & Auditoria, 9–40.
Rezaee, Z., Sharbatoghlie, A., Elam, R., & McMickle, P. L. (2002). Continuous Auditing: Building Automated Auditing Capability. Auditing: A Journal of Practice & Theory, 21(1), 147–163. doi:10.2308/aud.2002.21.1.147
Rodda, N., & Cosserat, G. (2009). Modern Auditing (3rd ed.). Wiley. Retrieved from http://media.wiley.com/product_data/excerpt/39/04703197/0470319739.pdf
34
4
Rodríguez Martínez, G. R. (2012). SICA. Sistema Integrado para Control de Auditorías. In Primer Encuentro Nacional de Experiencias en Control en Línea y Auditoría Continua en las Contralorías del pais. (pp. 53–59). Manizales: Universidad Nacional de Colombia; Contraloría General del Municipio de Manizales.
Sandoval Almazàn, R. (2013). La larga marcha del Gobierno Abierto. Teorìa, mediciòn y futuro.
Searcy, D., & Woodroof, J. (2003). CONTINUOUS AUDITING: LEVERAGING TECHNOLOGY. THE CPA JOURNAL, 43–48.
Searcy, D., Woodroof, J., & Behn, B. (2003). Continuous audit: the motivations, benefits, problems, and challenges identified by partners of a Big 4 accounting firm. In 36th Annual Hawaii International Conference on System Sciences (Vol. 00, pp. 1–10). Ieee. doi:10.1109/HICSS.2003.1174565
SEI. (2015). The PrIME Project. Retrieved April 13, 2015, from http://www.sei.cmu.edu/process/research/prime-details.cfm
Sharbatoghlie, A., & Sepehri, M. (n.d.). An Integrated Continuous Auditing Project Management Model ( CAPM ). In 6th International Management Conference (pp. 1–11).
Sistema Nacional de Control Fiscal. (2012). Guìa de Auditorìa para las Contralorìas Territoriales.
Smieliauskas, W., & Bewley, K. (2010). APPENDIX 9A : U NDERSTANDING I NFORMATION S YSTEMS AND INTERNAL CONTROL , INFORMATION SYSTEMS , AND THE AUDIT PLAN. In Auditing: An International Approach (5th ed., pp. 1–28). Retrieved from http://highered.mcgraw-hill.com/sites/dl/free/0070968292/815271/smi68292_app9A.pdf
Teeter, R. A., Alles, M. G., & Vasarhelyi, M. A. (2010). Remote Audit : A Research Framework. Retrieved from http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1668638
Teeter, R. A., & Brennan, R. (2008). Aiding the Audit : Using the IT Audit as a Springboard for Continuous Controls Monitoring. In Seventeenth Annual Research Workshop on: Artificial Intelligence and Emerging Technologies in Accounting, Auditing and Tax (pp. 129–136).
Texeira, C. R. (2009). A Importância atribuída pelos Empresários da da Rocha Alves da Silva Grande Lisboa ao Controlo Interno.
The Institute of Internal Auditors. (2013). IIA Position Paper : THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL.
345
Thornton, G. (2011). Looking to the future : Perspectives and trends from internal audit leaders. Risk Management.
Transparencia Internacional. (2013). Informe Colombia: Barómetro Global de la Corrupción 2013. Retrieved from http://issuu.com/transparenciaporcolombia/docs/informe-barometro-global-corrupcion/22?e=6590391/4066510
Transparency International. (2011). Corruption Perceptions Index 2010. Retrieved March 18, 2011, from http://www.transparency.org/policy_research/surveys_indices/cpi/2010/results
Transparency International. (2012). Corruption Perceptions Index 2011. Retrieved April 20, 2012, from http://cpi.transparency.org/cpi2011/results/
United Nations. (2013). E-Government Survey 2012. New York: the United Nations.
Universidad de los Andes, & Ministerio de Tecnologias de la Informaciòn y las Comunicaciones. (2009). Metodologìa de Monitoreo de Gobierno en lìnea en Colombia. Bogotá. Retrieved from http://programa.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca294791f/GEL_MetodologiaMonitoreoEvaluacionGEL.pdf
Universidad de Vigo. (2008). Servicios web. Retrieved March 20, 2015, from http://ccia.ei.uvigo.es/docencia/SCS/0910/transparencias/Tema4.pdf
Universidad Nacional de Colombia. (2012). Plan Global de Desarrollo 2013-2015. Retrieved from http://www.plandesarrollo2013-2015.unal.edu.co/
Valencia Duque, F. J. (2012a). El e control , estado actual y perspectivas en el control fiscal colombiano. In XVII Congreso Internacional del CLAD sobre la Reforma del Estado y de la Administraciòn Pùblica. (pp. 1–26). Cartagena.
Valencia Duque, F. J. (2012b). El E-Control, estado actual y perspectivas en el Control Fiscal Colombiano. In Seminarios de sensibilización de Corporación en línea y Control en línea, en el marco del programa Gobierno en línea. Bogotá,Cartagena,Cali.
Valencia Duque, F. J. (2012c). Gènesis y Estado del arte de la Auditorìa Continua. In Sèptima Jornada Académica ISACA Colombia. Bogotá (Colombia).
Valencia Duque, F. J. (2012d). La Auditorìa Continua, gènesis, evoluciòn, estado actual y aplicaciòn en el sector pùblico Colombiano. In Congreso Latinoamericano de Auditoría Interna 2012. Asunciòn (Paraguay): Federaciòn Latinoamericana de Auditorìa Interna.
Valencia Duque, F. J. (2012e). La Auditorìa Continua, una herramienta para la modernizaciòn de la funciòn de Auditorìa en las Organizaciones y su aplicaciòn en el Control Fiscal Colombiano. In 9th CONTECSI y 25th World Continuous Auditing and Reporting Systems Symposium. Sao Paulo (Brasil).
34
6
Valencia Duque, F. J. (2012f). La Auditorìa Continua, una herramienta para la modernizaciòn del Control Fiscal Colombiano. In Encuentro Regional de Contralores Territoriales. Ibaguè.
Valencia Duque, F. J. (2013a). Auditoría Continua: Una Herramienta para mejorar la efectividad del Control Organizacional. In Seminarios de Fortalecimiento del Autocontrol en la Universidad Nacional de Colombia. Bogotá.
Valencia Duque, F. J. (2013b). E-CONTROL y Auditoría en Colombia. In LATINCACS/ INFORMATION SECURITY AND RISK MANAGEMENT CONFERENCE 2013. Medellin (Colombia).
Valencia Duque, F. J. (2013c). La auditoría continua y su aplicación en el sector pùblico Colombiano. In Seminario de Prevenciòn y Detecciòn del riesgo de Fraude en las Entidades Pùblicas. Medellin.
Valencia Duque, F. J., & Tamayo Arias, J. A. (2012). Evidencia digital y tècnicas y herramientas de auditorìa asistidas por computador. Ventana Informàtica, (26), 93–110.
Vasarhelyi, M. A. (1984). Automation and changes in audit process. Auditing: A Journal of Practice & Theory, 4(1).
Vasarhelyi, M. A. (1999). Chapter 12 CONCEPTS IN CONTINUOUS ASSURANCE. In Information Systems.
Vasarhelyi, M. A. (2010). • Introdução Uma Economia em Tempo Real Teoria Ambiente Exemplos Conclusões. Retrieved from http://raw.rutgers.edu
Vasarhelyi, M. A., Alles, M. G., & Williams, K. (2010a). Continuous Assurance for the Now Economy (First Edit.). Sidney (Australia): The Institute of Chartered Accountants in Australia.
Vasarhelyi, M. A., Alles, M. G., & Williams, K. (2010b). Continuous Assurance for the Now Economy A Thought Leadership Paper for the Institute of Chartered Accountants in Australia. Information Systems.
Vasarhelyi, M. A., & Halper, F. B. (1991). The Continuous Audit of Online Systems. Auditing: A Journal of Practice & Theory, 10(1), 110–125.
Vasarhelyi, M. A., Kuenkaikaew, S., Littley, J., & Williams, K. (2006). Continuous Auditing technology adoption in leading internal audit organizations. Training.
Warren, J. D., & Ley Parker, X. (2003). Continuous Auditing: Potential for Internal Auditors. The IIA Research Foundation. Retrieved from http://www.theiia.org/bookstore/product/continuous-auditing-potential-for-internal-auditors-1136.cfm
347
Wenming, Z. (2007). Continuous Online Auditing in the Government Sector. Internal Auditor, 10, 1–6. Retrieved from http://www.theiia.org/intAuditor/itaudit/archives/2007/june/continuous-online-auditing-in-the-government-sector/?search=“continuous audit”
Woodroof, J., & Searcy, D. (2001). Continuous audit Model development and implementation within a debt covenant compliance domain. International Journal of Accounting Information Systems, 2(3), 169 – 191.
Ye, H., Chen, S., & Gao, F. (2008). On Application of SOA to Continuous Auditing. WSEAS Transactions on Computers, 7(5), 532–541.
Ye, H., Chen, S., Gao, F., & He, Y. (2008). SOA-based conceptual model for continuous auditing : A discussion. Science.
Ye, H., He, Y., & Xiang, Z. (2008). Continuous Auditing System Based on Registration Center. WSEAS Transactions on Information Science and Applications, 5(5).
Ye, H., & Li, Y. (2010). Research Of Continuous Auditing Immune Model based on Object-Oriented Rule. In 2nd International Conference on Computer Engineering and Technology (Vol. 3, pp. 0–4). IEEE.
Yeh, C., & Shen, W. (2010). Using continuous auditing life cycle management to ensure continuous assurance. African Journal of Business Management, 4(12), 2554–2570.
Yeh, C.-H., Chang, T.-P., & Shen, W.-C. (2008). Developing the Continuous Assurance Embedded Continuous Audit Web Services. 2008 IEEE Asia-Pacific Services Computing Conference, 1049–1054. doi:10.1109/APSCC.2008.9