manual de auditorÍa interna ene 31, 2018 · manual de auditorÍa interna m-pa-aud-01/18 entrada en...

ÍNDICE

I. BASE LEGAL.

II. POLÍTICAS.

Objetivo.

Políticas Generales.

Institucionales.

Facultades.

Condiciones.

Responsabilidades.

De la Auditoría Interna.

Facultades.

Condiciones.

Políticas Particulares.

1.- Planeación.

Facultades.

Condiciones.

Responsabilidades.

2.- Trabajo de Campo.

Condiciones.

Responsabilidades.

3.- Informes.

Condiciones.

Responsabilidades.

4.- Supervisión.

Condiciones.

5.- Seguimiento.

Condiciones.

PP1.- Integración de la Carpeta del Comité de Auditoría.

Condiciones.

Responsabilidades.

PP2.- Logística para la celebración del Comité de Auditoría.

Condiciones.

Responsabilidades.

PP3.- Elaboración y revisión del Acta del Comité con sus integrantes.

Condiciones.

Responsabilidades.

MANUAL DE AUDITORÍA INTERNAM-PA-AUD-

01/18

Entrada envigor:

Ene 31, 2018

Pág 1 de 31

III. DEFINICIÓN DEL PRODUCTO.

Descripción.

Reglas de Negocio.

Fechas, tiempos y horarios.

Metodologías.

IV. PROCEDIMIENTOS.

A. Proceso de Auditoría.

Proceso de Auditoría.

1.- Planeación.


3.- Informes.

4.- Supervisión.

5.- Seguimiento.

V. PROCEDIMIENTOS PARTICULARES.




VI. NORMATIVIDAD RELACIONADA.


01/18

Entrada envigor:

Ene 31, 2018

Pág 2 de 31

I. BASE LEGAL. Ley de Instituciones de Crédito (LIC).

Ley Orgánica del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C. (LOBNEFAA).

Reglamento Orgánico del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C.

Disposiciones de Carácter General Aplicables a las Instituciones de Crédito (CUB).

Normas de Auditoría Interna.

Normas para el Ejercicio Profesional de la Auditoría Interna.

Las demás Leyes, Reglamentos, Reglas, Disposiciones de Carácter General, Acuerdos, Decretos, Circulares, Oficios-Circulares,Metodologías, Instructivos, Directivas y de cualesquiera de naturaleza análoga a las anteriores, que emita el Congreso de la Unión, laSecretaria de Hacienda y Crédito Público, la Comisión Nacional Bancaria y de Valores, el Banco de México, la Comisión Nacionalpara la Protección y Defensa de los Usuarios de Servicios Financieros, El Instituto Federal de Acceso a la Información y Protección deDatos, la Secretaria de la Función Pública, y demás autoridades y órganos competentes, aplicables a las Instituciones de Crédito.

No obstante las disposiciones legales antes señaladas, se deberán de tomar en consideración todas y cada una de las reformas a lasmismas que vayan siendo publicadas en el Diario Oficial de la Federación (DOF) o en las Gacetas Oficiales de las EntidadesFederativas y Municipios.

"El presente manual atiende las recomendaciones por parte del Consejo Nacional para Prevenir la Discriminación (CONAPRED),el Instituto Nacional de las Mujeres (INMUJERES) y la Secretaría del Trabajo y Previsión Social (STPS) en las medidasnecesarias para erradicar los usos excluyentes del lenguaje promoviendo valores de respeto y no discriminación entre las y losServidor(es) Público(s)."


01/18

Entrada envigor:

Ene 31, 2018

Pág 3 de 31

w:/Parametros/G11.pdf



II. POLÍTICAS.

Objetivo.El objetivo del presente manual es dar cumplimiento a lo establecido en el artículo 163 de las Disposiciones de Carácter GeneralAplicables a las Instituciones de Crédito (CUB), en donde se establece que la Dirección de Auditoría Interna deberá contar conprocedimientos documentados para el desarrollo de sus funciones, contemplando al menos, los aspectos siguientes:

I. La periodicidad con la que se realizarán las auditorías en cada área, tomando en cuenta el tipo de revisión que se efectúe.

II. El plazo máximo de realización de la auditoría, según su tipo.

III. Procedimientos y metodologías para llevar a cabo la auditoría, así como el seguimiento de las medidas correctivasimplementadas como consecuencia de las desviaciones detectadas en la propia auditoría.

IV. Rotación del personal de auditoría, según las áreas sujetas a revisión, a fin de preservar su independencia.

V. Requisitos mínimos de los informes según el alcance y tipo de auditoría realizada.

VI. Documentación de los avances y desviaciones en la realización de cada revisión en particular.

VII. El plazo máximo para, una vez realizada la auditoría, emitir el informe de resultados correspondiente.

Asimismo, establecer las bases sobre las cuales se deberá desarrollar el trabajo de la Dirección de Auditoría Interna del BancoNacional del Ejército, Fuerza Aérea y Armada, S.N.C., sirviendo como guía para el personal del Área y coadyuvando a que lamisma pueda cumplir con sus responsabilidades.

El presente Manual es un instrumento administrativo que pretende integrar todos los elementos y actuaciones de la Dirección deAuditoría Interna de la Institución. Puede ser utilizado en todas las fases del proceso, desde la planeación hasta el seguimiento de laatención a lo detectado.

Políticas Generales.

Institucionales.

Facultades.

A fin de preservar la política de la Dirección de Auditoría Interna, respecto a la independencia y objetividad de su personal en eldesempeño de sus funciones, el responsable de la Dirección de Auditoría Interna reportará directamente al Comité de Auditoría;no obstante, conserva una línea de reporte administrativo con el Director(a) General del Banco Nacional del Ejército, Fuerza Aéreay Armada, S.N.C.

H. Consejo Directivo.

LIC - Tit 2° - Cap II - Art 40.

LOBNEFAA - Tit 4° - Art 38.

Comité de Auditoría.


Dirección General.


LOBNEFAA - Tit 4° - Art 46.

Condiciones.

Todo el personal involucrado en los procesos normados elaborará la Cédula de Eventualidades Operativas, siempre que en laejecución de sus funciones o actividades se presente alguna situación riesgosa para el Banco Nacional del Ejército, Fuerza Aérea yArmada, S.N.C., o un evento extraordinario que implique el reproceso y la desviación de tiempos y recursos no establecidos en laNormatividad Institucional; y una vez requisitada la Cédula de Eventualidades Operativas deberá ser capturada en el Sistema para laInformación del Riesgo Operacional (SPIRO) para su validación por la Dirección de Contabilidad y la Contraloría Interna.

Con el objeto de fortalecer los objetivos y lineamientos del Sistema de Control Interno Institucional (SCI) y en apego al artículo 169 delas Disposiciones de Carácter General Aplicables a las Instituciones de Crédito (CUB), se incluye la Cédula de Cumplimiento de losObjetivos de Control Interno para Auditoría Interna.


01/18

Entrada envigor:

Ene 31, 2018

Pág 4 de 31








w:/Parametros/40494.pdf







Las funciones del personal involucrado en los procesos normados se encuentran especificadas en el Manual de Descripción dePuestos.

1. Llevar a cabo las funciones relacionadas a su jerarquía, así como cualquier trabajo o actividad asignada por su superior,cumpliendo en tiempo y de acuerdo a las normas establecidas.

Es responsabilidad de la Dirección de Auditoría Interna, el dar a conocer el contenido del mismo, instruyendo, asesorando ycapacitando a su personal de forma permanente respecto de las actividades que deberán llevarse a cabo en el logro de los objetivosestablecidos, con base en las Normas de Auditoría y las Normas para el Ejercicio Profesional de la Auditoría Interna.

Las funciones de Auditoría Interna quedarán concentradas en la Dirección de Auditoría Interna; por lo que, ninguna otra área delBanco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C., deberá realizar actividades propias de esta función.

La Dirección de Auditoría Interna tendrá la suficiente autoridad para tener acceso a información de cualquier nivel con el fin de lograrlos objetivos y alcances necesarios para el desarrollo del trabajo encomendado, dicha autoridad es concedida por el H. ConsejoDirectivo.

Responsabilidades.

Toda modificación a la Normatividad Institucional descrita en el presente Manual deberá ser sancionada en primera instancia por elComité de Auditoría, para posteriormente sesionar dentro del Comité de Política y Normatividad con previo acuerdo de laDirección responsable y en su caso con el acuerdo del Comité competente; notificando además la modificación al Gerente deNormatividad y Reingeniería, adscrito a la Dirección de Planeación Estratégica y Financiera para la actualización del acervonormativo correspondiente, su formalización y difusión dentro de la Institución.

Dirección General.

El Director(a) General, será responsable de dar cumplimiento a la siguiente norma:

CUB - Tit 2° - Cap I - Art 11 - Par 2°.

CUB - Tit 2° - Cap I - Art 12 - Frac lll.

Adicionalmente, se deberá dar cumplimiento a la siguiente norma externa:

LIC - Tit 3° - Cap I - Art 48 Bis 4 - Par 2°.

LIC - Tit 4° - Cap I - Art 91.

LIC - Tit 5° - Cap II - Art 108 - Frac IV.

LIC - Tit 5° - Cap IV - Art 115.

LIC - Tit 7° - Cap I - Art 142 - Par 1°.

LFRASP - Tit 2° - Cap I - Art 7.

LFRASP - Tit 2° - Cap I - Art 8.

H. Consejo Directivo.

CUB - Tit 2° - Cap I - Art 7 - Par 2°.

CUB - Tit 2° - Cap I - Art 16.

Así como al Código de Ética del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C., y Código de Conducta del BancoNacional del Ejército, Fuerza Aérea y Armada, S.N.C., el cual establece que el personal involucrado en los procesos deberádesempeñar sus responsabilidades y atribuciones con estricto apego a la Normatividad Institucional contenida en el presente Manual,con lo cual el Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C., garantizará una gestión apegada a la transparencia,legalidad, objetividad, imparcialidad y eficiencia; ya que en caso contrario por dolo, negligencia o incompetencia, el personal serásujeto a las comparecencias y a las sanciones que correspondan.

Dirección de Auditoría Interna

El artículo 160 de las Disposiciones de Carácter General Aplicables a Instituciones de Crédito establece que el Dirección deAuditoría Interna tendrá, entre otras funciones las siguientes:

1. Evaluar con base en el Programa Anual de Trabajo, mediante pruebas sustantivas, procedimentales y de cumplimiento, elfuncionamiento operativo de las distintas unidades de la Institución, así como su apego al Sistema de Control Interno, y a laobservancia al Código de Conducta.

2. Revisar que los mecanismos de control implementados, conlleven la adecuada protección de los activos de la Institución.


01/18

Entrada envigor:

Ene 31, 2018

Pág 5 de 31














3. Verificar que los sistemas informáticos, incluyendo los contables, operacionales de cartera crediticia, con valores o decualquier otro tipo, cuenten con los mecanismos para preservar la integridad, confidencialidad y disponibilidad de lainformación, que eviten su alteración y cumplan con los objetivos para los cuales fueron implementados o diseñados;Asimismo, vigilar dichos sistemas a fin de identificar fallas potenciales y verificar que éstos generen información suficiente,consistente y fluyan.

En todo caso, deberá revisarse que la Institución cuente con planes de contingencia y medidas necesarias para evitarpérdidas de información; así como para, en su caso, su recuperación.

4. Cerciorarse de la calidad, suficiencia y oportunidad de la información financiera, así como que sea confiable para laadecuada toma de decisiones, y que tal información se proporcione de forma correcta y oportuna a las autoridadescompetentes.

5. Valorar la eficacia de los procedimientos de control interno para prevenir y detectar actos u operaciones con recursos,derechos o bienes, que procedan o representen el producto de un probable delito; así como comunicar los resultados a lasinstancias competentes dentro de la Institución.

6. Facilitar a las autoridades financieras competentes; así como a los auditores externos, la información necesaria de quedispongan con motivo de sus funciones, a fin de que éstos determinen la oportunidad y alcance de los procedimientosseguidos por la propia Dirección de Auditoría Interna y puedan efectuar su análisis para los efectos que correspondan.

7. Verificar la estructura organizacional autorizada por el H. Consejo Directivo, en relación con la independencia de lasdistintas funciones que lo requieran; así como la efectiva segregación de funciones y ejercicio de facultades atribuidas a cadaunidad de la Institución.

8. Verificar el procedimiento mediante el cual la Unidad para la Administración Integral de Riesgos, dé seguimiento alcumplimiento de los límites en la asunción de riesgos al celebrar operaciones, así como los niveles de tolerancia definidos, enel caso de los riesgos no discrecionales, acorde con las disposiciones legales aplicables, de conformidad con las políticasestablecidas por la Institución.

9. Proporcionar al Comité de Auditoría los elementos que le permitan cumplir con informar al H. Consejo Directivo, cuandomenos una vez al año, sobre la situación que guarda el Sistema de Control Interno de la institución, a que hace referencia lafracción VI del artículo 156 de las Disposiciones de Carácter General Aplicable a Instituciones de Crédito.

10. Dar seguimiento a las deficiencias o desviaciones relevantes detectadas en relación con la operación de la Institución, conel fin de que sean subsanadas oportunamente, informando al respecto al Comité de Auditoría, para lo cual se deberáelaborar un informe específico.

11. Presentar para aprobación del Comité de Auditoría, el Programa Anual de Trabajo.

En la elaboración del Programa Anual de Trabajo, se deberán incorporar las observaciones que la Comisión NacionalBancaria y de Valores (CNBV) hubiera formulado en el ejercicio de sus facultades de inspección y vigilancia. DichoPrograma, una vez aprobado, deberá entregarse al Director General y entregarse a la Comisión Nacional Bancaria y deValores (CNBV) a más tardar durante el primer trimestre de su aplicación.

12. Proporcionar, cuando menos semestralmente, al Comité de Auditoría los informes de gestión elaborados por el o losresponsables de las funciones de Contraloría Interna a que hace referencia el último párrafo del artículo 167 de lasDisposiciones de Carácter General Aplicables a las Instituciones de Crédito.

13. Informar por escrito al Comité de Auditoría, el resultado de la gestión de las funciones de Auditoría Interna, cuando menossemestralmente o con una frecuencia menor cuando así lo establezca dicho Comité. Lo anterior, sin perjuicio de hacer de suconocimiento, en forma inmediata, la detección de cualquier deficiencia o desviación que se identifique en el desarrollo de lasfunciones y que conforme al sistema de control interno se considere significativa o relevante.

Adicionalmente, tales informes se entregarán a la Dirección General y a otras unidades de la Institución, cuando así lo estimeconveniente en atención a la naturaleza de la problemática detectada.

El personal adscrito a la Dirección de Auditoría Interna es responsable de:

1. Diagnosticar y notificar oportunamente sobre cualquier tema relacionado con los procesos para controlar las actividades del BancoNacional del Ejército, Fuerza Aérea y Armada, S.N.C., incluyendo posibles mejoras, proporcionando la información relativa hasta suresolución.

2. Interpretar con toda claridad los objetivos, políticas y estrategias del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C.,para revisar que las actividades del resto de las áreas se conduzcan dentro de dichos lineamientos.

3. Revisar que todos los sistemas estén documentados y que su desarrollo este dentro de los estándares vigentes y normas deseguridad, con énfasis en los de procesamiento electrónico de datos.

4. Revisar que el sistema de información derivado de la contabilidad, así como la propia contabilidad, se maneje bajo los principiostécnicos que aseguren su confiabilidad, veracidad y exactitud.

5. Considerar el alcance del trabajo de auditores externos y órganos reguladores, según sea pertinente, para efectos de proporcionaruna cobertura de auditoría optima a un costo general razonable.


01/18

Entrada envigor:

Ene 31, 2018

Pág 6 de 31

6. Monitorear el apego a las normas de gobierno corporativo.

7. Asegurar la integridad y confidencialidad de la información relativa a las auditorías.

8. Sustentar con suficiente evidencia las observaciones detectadas.

De la Auditoría Interna.

Facultades.

La Dirección de Auditoría Interna designará al personal a su cargo las áreas sujetas a revisión, a fin de preservar su independenciay en cumplimiento al artículo 163, fracción IV de las Disposiciones de Carácter General aplicables a las Instituciones de Crédito.

Condiciones.

A. La función de Auditoría Interna tiene como objetivos generales los siguientes:

I. Evaluar y revisar periódicamente que las políticas, procedimientos y normas aprobadas por el H. Consejo Directivo para eladecuado funcionamiento de la Institución se apliquen, así como el Sistema de Control Interno de la Institución, mediante laaplicación de pruebas de Auditoría con base en normas y procedimientos de auditoría aplicables en las circunstancias.

II. Vigilar que los empleados del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C., cumplan con la normatividadexterna e interna que sea aplicable.

III. Verificar que existan dentro de los procedimientos establecidos, controles que mitiguen los riesgos y aseguren elcumplimiento de las leyes, regulaciones, objetivos y normas determinadas por las autoridades.

IV. Evaluar y validar los mecanismos de control establecidos para la adecuada protección de los activos del Banco Nacionaldel Ejército, Fuerza Aérea y Armada, S.N.C.

El trabajo desarrollado se realizará con base en las Normas Internacionales de Auditoría, Normas para el Ejercicio Profesionalde la Auditoría Interna y al presente Manual.

Las expectativas que se tienen respecto al desempeño de los auditores son precisas por lo cual se espera que cumplan lossiguientes principios:

• Integridad.

• Objetividad.

• Confidencialidad.

• Competitividad.

B. El personal de todos los niveles del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C., tiene la obligación de brindaren tiempo y forma acceso a la información requerida y en su caso a detalle de lo solicitado por la Dirección de Auditoría Interna.

C. Este Manual únicamente podrá sufrir cambios y actualizaciones por parte de la Dirección de Auditoría Interna y en respuesta alos cambios de la propia dinámica operativa y objetivos institucionales.

D. Su encomienda principal es definir el Programa Anual de Auditoría basado en riesgos, de acuerdo a los criterios preestablecidospor el mismo, detallando las áreas a revisar con base en la normatividad establecida.

Tipos de Auditoría:

• Regulatoria.

• Operativas.

• Sistemas.

• Especiales.

Cabe precisar, que las auditorías que se especifican obedecerán al Programa Anual de Auditoría Interna aprobado por el Comité deAuditoría, las cuales se desarrollarán con el marco establecido actualmente en el Manual y será complementado con la propuesta quese adjunta.

E. Atención a requerimientos de Autoridades.

(Comisión Nacional Bancaria y de Valores, Auditoría Superior de la Federación, Banco de México, Servicio de AdministraciónTributaria, Secretaría de Hacienda y Crédito Público, Instituto Nacional de Estadística y Geografía, entre otras.)


01/18

Entrada envigor:

Ene 31, 2018

Pág 7 de 31

• Verificar la procedencia del requerimiento.

• Coordinar las Juntas de Trabajo con las áreas de la Institución requeridas para determinar competencia, forma y plazos deentrega.

• Elaboración de solicitud de información y/o documentación a las áreas de la Institución.

• Revisar que la información y/o documentación proporcionada cumpla con lo requerido por la autoridad.

• Elaborar proyecto de respuesta.

• Entrega de la información a la autoridad.

F. Seguimiento de Observaciones, Recomendaciones y Acciones Correctivas.

(Órganos Fiscalizadores, Auditoría Externa, Auditoría Interna, Comité de Auditoría y H. Consejo Directivo.)

• Elaboración de Matriz de Seguimiento.

• Verificar con base en dicha matriz, plazos de cumplimiento.

• Elaboración de oficios para requerir información.

• En su caso, tener por desahogado el requerimiento.

Elaboración del Programa Anual de Auditoría Interna.

• Seleccionar las Auditorías a realizar considerando Matriz de Sistema de Control Interno y riesgos Institucionales.

• Verificar en dicha matriz las auditorías realizadas, con el objeto de revisar en su totalidad todas las áreas en el ámbito decompetencia de esta Dirección de Auditoría Interna.

G. Otras Actividades de Auditoría.

• Revisiones a eventos delictivos o de pérdida

• Elaboración de Informes de Presunta Responsabilidad.

• Evaluación del Clima Laboral de las diferentes áreas.

• Emitir opiniones sobre situaciones específicas.

• Dictámenes Contables.

• Elaboración de Matrices de Control.

En relación a dichas actividades, se especificarán a detalle en una matriz independiente al Manual.

• En materia de Crédito, (art. 30 y 31 Disposiciones de Carácter General Aplicables a las Instituciones de Crédito) de aquí enadelante Disposiciones.

• En materia de Banca Electrónica. (art. 316 Bis 20 de las Disposiciones).

• En materia de Prevención de Lavado de Dinero y Financiamiento al Terrorismo. (60ª de las Disposiciones de CarácterGeneral a que se refiere el Artículo 115 de la Ley de Instituciones de Crédito).

• En materia de Administración Integral de Riesgos. (Art. 76 Disposiciones).

• En materia de Administración de Riesgos Bianual. (Art. 77 Disposiciones).

• En materia de Administración de Riesgo Legal. (Art. 86 Fracción III Disposiciones).

• En materia del Sistema de Pagos Interbancarios en Dólares (SPID). (Regla 46a. Evaluación de cumplimiento de la circular4/2016 de Banco de México, se informa los resultados de la Certificación del nivel de cumplimiento a los Requisitos paraoperar con el Sistema de Pagos Interbancarios en Dólares (SPID)).

• Revisión de Manuales de Políticas y Procedimientos, para verificar el funcionamiento correcto del sistema de Control Internoy su consistencia con los objetivos y lineamientos aplicables a dicha materia.

• Revisión de Estados Financieros.

• Mensual y Trimestral.

• Revisión del art. 61 de la Ley de Instituciones de Crédito. prescripción de cuentas bancarias.


01/18

Entrada envigor:

Ene 31, 2018

Pág 8 de 31

Especiales.

• Revisión a Sucursales

• Metropolitanas, Foráneas.

• Módulos de IITV.

• Auditorías por instrucción del Comité de Auditoría.

Políticas Particulares.

1.- Planeación.

Facultades.

Mediante el análisis de esta información el Auditor estará facultado para :

• Contar con un entendimiento integral sobre el área que auditará antes de entrar al trabajo de campo.

• Vincular los objetivos y estrategias particulares del área, con los del Banco Nacional del Ejército, Fuerza Aérea y Armada,S.N.C., garantizando que son congruentes con el apetito de riesgo del mismo.

• Facilitar el monitoreo para Auditorías posteriores, al contar con base de información que podrá utilizarse como punto departida en la siguiente revisión.

Condiciones.

La Dirección de Auditoría Interna deberá asegurar que la planeación de auditoría cumpla con los objetivos de la revisión, que lostemas de mayor riesgo de las áreas que integran al Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C., sean revisadosefectivamente y acorde con las estrategias institucionales a fin de determinar si los riesgos han sido plenamente identificados y si seadministran y controlan adecuadamente.

En esta fase se establecen las relaciones entre auditores y el área auditada, para determinar alcance para el logro de los objetivos.Para ello es importante considerar lo siguiente:

a. Conocimiento y Comprensión del área a auditar:

Previo a la elaboración del Programa de Auditoría, se debe investigar todo lo relacionado al área a auditar, para poderelaborar el Programa en forma objetiva. Este análisis debe contemplar: su naturaleza operativa, su estructura, manuales deprocedimientos, y todo aquello que sirva para comprender exactamente cómo funciona el área auditada.

El auditor deberá estudiar y correlacionar toda la información que tiene con objeto de determinar número de procesos osubprocesos, volúmenes de operación e información. Asimismo, deberá identificar qué puede tener en medios físicos y quéen magnéticos.

b. Objetivos y Alcance de la auditoría:

Los objetivos indican el propósito de la revisión y evaluación de control interno del área auditada, para qué y por qué. Si escon el objetivo de informar al Comité de Auditoría y a la Dirección General sobre el estado real, o si es por cumplimiento delos estatutos que mandan efectuar auditorías anualmente, en todo caso, siempre se cumple con el objetivo de informaranualmente.

El Gerente de Auditoría y el Auditor deberán determinar el o los objetivos de la revisión, así como su alcance y tiemposrequeridos, asimismo se considerara la fuerza de trabajo disponible.

Para realizar la planeación es necesario contar con información suficiente, fiable, relevante y útil del área a auditar, de maneratal que permita alcanzar los objetivos del trabajo; de una manera enunciativa, más no limitativa, se mencionan:

• Ubicación.

• Estructura organizacional del área.

• Dirección estratégica del área (Objetivos y estrategias).

• Manuales de políticas y procedimientos operativos.

• Políticas y procedimientos contables.

• Descripciones de puestos.


01/18

Entrada envigor:

Ene 31, 2018

Pág 9 de 31

• Cuadros de facultades.

• Lista de procesos, servicios, productos, bases de clientes y proveedores.

• Activos/Pasivos.

• Sistemas de Tecnologías de Información.

• Listas de sistemas utilizados y perfiles de usuarios.

• Información financiera.

• Reportes de fraudes, pérdidas operativas o fallas de controles internos.

• Resultados de autoevaluaciones al Sistema de Control Interno.

• Factores externos: entorno político, económico, legislativo y cultural.

• Entidades reguladoras y legislación aplicable.

c. Análisis Preliminar del Control Interno:

Este análisis reviste de vital importancia en esta fase, porque de su resultado se comprenderá la naturaleza y extensión delPrograma de Auditoría y la valoración y oportunidad de los procedimientos a utilizarse durante la revisión.

d. Planeación Específica de la Auditoría.

Este Programa debe ser técnico y administrativo, el cual debe contemplar todo lo referente a la ejecución operativa de laauditoría, en cada una de las áreas donde se aplique esta revisión. Así como todo lo referente a cálculos monetarios, personalque conformarán los equipos de auditoría, horas hombres, etc.

e. Procedimiento de la Auditoría:

1.1 Determinación de la Muestra.

Se deberán establecer normas y proporcionar lineamientos sobre el uso de procedimientos de muestreo en laauditoría y otros medios de selección de partidas para reunir evidencia en la Auditoría.

1.2 Ejecucuión de Auditoría.

Esta se obtiene de una mezcla apropiada de pruebas de control y de procedimientos sustantivos. El tipo deprueba a realizar es importante para una adecuada aplicación de procedimientos de auditoría al obtenerevidencia de auditoría.

a) Pruebas de Control.

Se llevan a cabo pruebas de control si el auditor planea evaluar el riesgo de control.

Con base en el conocimiento del área y de control interno, se identifican lascaracterísticas o atributos que indican la efectividad de un control, así como lasposibilidades de desviación de un funcionamiento adecuado del mismo. La presenciao ausencia de atributos de los controles puede entonces ponerse a prueba.

El muestreo de la Auditoría para pruebas de control es generalmente utilizadocuando el control deja evidencia de su aplicación.

b) Procedimientos Sustantivos.

Su propósito es obtener evidencia de Auditoría para detectar errores importantes.Cuando se llevan a cabo pruebas sustantivas de detalle.

1.3 Consideraciones del Riesgo al obtener evidencia.

Los componentes de riesgo de auditoría son:

• Riesgo inherente. Es la posibilidad de que exista una información errónea deimportancia relativa, asumiendo que no haya controles internos supletorios.

• Riesgo de control. Es el riesgo de que no se prevenga o detecte informaciónerrónea de importancia relativa de manera oportuna por parte del sistema (si existe) yde control interno.

• Riesgo de detección. Es el riesgo de que información errónea de importanciarelativa no sea detectada por los procedimientos sustantivos del auditor interno.


01/18

Entrada envigor:

Ene 31, 2018

Pág 10 de 31

Estos tres componentes se consideran durante el proceso de planeación en el diseño de los procedimientosde Auditoría para reducir el riesgo de Auditoría a un nivel aceptablemente bajo.

1.4 Procedimientos para Obtener Evidencia.

La selección de procedimientos adecuados es un asunto de juicio profesional en las circunstancias. Laaplicación de estos procedimientos a menudo implicará la selección de partidas de un universo paraaprobarlas. Incluyen procedimientos de inspección, observación, investigación, confirmación, cálculo y otrosanalíticos.

1.5 Selección de Partidas para Pruebas para reunir evidencia de Auditoría.

• Selección de partidas específicas.

El Auditor deberá decidir seleccionar partidas específicas de un universo basado en factores tales como elconocimiento de la Institución, evaluaciones preliminares de los riesgos inherentes y de control, y lascaracterísticas del universo que se somete a prueba. La selección basada en partidas específicas está sujetaa riesgos no provenientes del muestreo. Las partidas específicas seleccionadas pueden incluir:

a. Partidas claves o de montos relevantes.

Se puede decidir seleccionar partidas específicas dentro de un universo porque son de monto relevante, oporque muestren alguna otra característica; por ejemplo, partidas que son sospechosas, no comunes,particularmente propensas al riesgo o que tienen un historial de error.

b. Todas las partidas cubren una cierta cantidad.

Se puede decidir examinar partidas cuyos valores exceden una cierta cantidad con objeto de verificar unagran proporción de la cantidad total del saldo de una cuenta o clase de transacciones.

c. Partidas para obtener información.

Se puede examinar partidas para obtener información sobre asuntos tales como el conocimiento del entornodel Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C.

d. Partidas para probar procedimientos.

Se puede usar el juicio para seleccionar y examinar partidas específicas para determinar si se está o norealizando un procedimiento particular.

• Muestreo en la Auditoría.

Se puede decidir aplicar muestreo en la Auditoría al saldo de la cuenta o clase de transacciones. El muestreoen la Auditoría puede ser aplicado usando ya sea de métodos de muestreo no estadístico o estadístico.

1.6 Enfoques de Muestreo Estadístico contra No Estadístico.

El Auditor deberá decidir si usar o no un enfoque de muestreo estadístico o no estadístico en un asunto ajuicio del auditor respecto de la manera más eficiente de obtener suficiente evidencia apropiada de Auditoríaen las circunstancias particulares.

Cuando se aplica el muestreo estadístico, el tamaño de la muestra puede determinarse usando ya sea lateoría de la probabilidad o el juicio profesional. Más aún, el tamaño de la muestra no sea un criterio validopara distinguir entre los enfoques estadísticos y no estadísticos. Cuando las circunstancias son similares, elefecto sobre el tamaño de la muestra de factores será similar sin importar si se escoge un enfoque estadísticoo no estadístico.

Si el enfoque adoptado no cumple con la definición de muestreo estadístico, se usan elementos de unenfoque estadístico, por ejemplo, el uso de selección al azar usando números al azar generados porcomputadora. Sin embargo, sólo cuando el enfoque adoptado tiene las características de muestreoestadístico son válidas las mediciones estadísticas del riesgo de muestreo.

1.7 Diseño de la Muestra.

El Auditor Interno deberá considerar primero los objetivos específicos a lograr y la combinación deprocedimientos de Auditoría Interna que es probable que cumplan mejor dichos objetivos. La consideraciónde la naturaleza de la evidencia de Auditoría Interna buscada y las condiciones de error posible u otrascaracterísticas relacionadas con dicha evidencia, ayudarán a definir que constituye un error y qué universousar para el muestreo.

El Auditor Interno deberá considerar que condiciones constituyen un error por referencia a los objetivos de laprueba. Una comprensión clara de qué constituye un error es importante para asegurar que todas, ysolamente, aquellas condiciones que son relevantes a los objetivos de la prueba se incluyan en la proyecciónde errores.


01/18

Entrada envigor:

Ene 31, 2018

Pág 11 de 31

Cuando se llevan a cabo pruebas de control, generalmente se hace una evaluación preliminar de la tasa deerror que espera encontrar en el universo que se somete a prueba y el nivel de riesgo de control. Estaevaluación se basa en el conocimiento previo o en examen de un pequeño número de partidas del universo.De modo similar, para pruebas sustantivas, se debe hacer una evaluación preliminar del monto del error en eluniverso. Estas evaluaciones preliminares son útiles para diseñar una muestra de Auditoría y determinar eltamaño de la muestra.

1.8 Tamaño de la Muestra.

El tamaño de la muestra es afectado por el nivel del riesgo de muestreo que se esté dispuesto en aceptar.Más bajo el riesgo en aceptar, mayor debe ser la muestra.

El tamaño de la muestra puede determinarse por la aplicación de una formula basada estadísticamente omediante el ejercicio de juicio profesional aplicado objetivamente a las circunstancias.

1.9 Selección de Muestra.

El muestreo estadístico requiere que las partidas de la muestra sean seleccionadas al azar de modo que cadaunidad de muestreo tenga oportunidad de ser seleccionada. Las unidades de muestreo podrían ser partidasfísicas (tales como facturas) o unidades monetarias. Con el muestreo no estadístico, se usa el juicioprofesional para seleccionar las partidas para una muestra. Dado que el propósito del muestreo es obtenerconclusiones sobre el universo total, se seleccionará una muestra representativa escogiendo partidas quetengan características típicas del universo, y la muestra necesitará ser seleccionada de modo que se evite laparcialidad.

Los métodos principales de selección de muestras son el uso de tablas de números al azar o programas decomputación, selección sistemática y selección al tanteo.

a) Uso de un proceso computarizado de números al azar o tablas de números alazar.

b) Selección sistemática.

c) Selección al tanteo.

La selección en bloque implica seleccionar un(os) bloque(s) de partidas contiguas dentro del universo. Laselección en bloque no puede ordinariamente usarse en muestreo de Auditoría porque la mayoría de losuniversos están estructurados de modo que las partidas en una secuencia pueden esperarse que tengancaracterísticas similares entre sí, pero características diferentes de partidas en otra parte del universo.Aunque en algunas circunstancias puede ser un procedimiento apropiado de Auditoría examinar un bloquede partidas, rara vez sería una técnica apropiada de selección de muestras cuando se tenga la intención deextraer conclusiones válidas sobre el universo total con base en la muestra.

1.10 Aplicación de Procedimientos de Auditoría.

Aplicar los procedimientos de Auditoría apropiados al objetivo de la prueba sobre cada partida seleccionada.

1.11 Naturaleza y Causa de Errores.

Considerar los resultados de la muestra, la naturaleza y causa de cualquier error identificado y su posibleefecto en el objetivo de la prueba particular y en otras áreas de la Auditoría.

Al realizar pruebas de control, se está primordialmente interesado en el diseño y operación de los controlesmismos y la evaluación del riesgo de control. Sin embargo, cuando se identifican errores, se necesitaráconsiderar asuntos como:

• El efecto directo de los errores identificados.

• La efectividad de los sistemas y de control interno y su efecto en el enfoque de Auditoría cuando, porejemplo; los errores son resultado de violaciones al control interno por parte de la Administración.

Al analizar los errores descubiertos, se puede observar que muchos tienen un rasgo común, por ejemplo; tipode transacción, ubicación, línea de producto o período de tiempo. En tales circunstancias, se puede decidiridentificar todas las partidas en el universo que posean el rasgo común y extender los procedimientos deAuditoría en ese estrato. Además, estos errores pueden ser intencionales y pueden indicar la posibilidad defraude.

Se puede establecer que un error surge de un suceso aislado que no es recurrente y que es identificableespecíficamente y, por lo tanto no es representativo de errores similares en el universo (un error anómalo).Para ser considerado un error anómalo, se tiene que tener un alto grado de certeza de que dicho error no esrepresentativo del universo. Se tiene que obtener esta certeza realizando trabajo adicional, el cual dependeráde la situación pero debe ser adecuado para obtener evidencia suficiente de que el error no afecta a la parterestante del universo.

1.12 Evaluación de los Resultados de la Muestra.


01/18

Entrada envigor:

Ene 31, 2018

Pág 12 de 31

Evaluar los resultados de la muestra para determinar si la característica relevante del universo de laevaluación preliminar se confirma o necesita ser revisada. En el caso de una prueba de controles, una tasa deerror inesperadamente alta en la muestra puede llevar a un incremento en el nivel evaluado de riesgo decontrol, a menos que se obtenga evidencia adicional que soporte la evaluación inicial. En el caso de unprocedimiento sustantivo, una cantidad inesperadamente alta de error en una muestra puede causar que seestime que el saldo de cuenta o clase de transacciones contiene errores de importancia relativa.

Si el monto total del error proyectado más el error anómalo es menor que, pero cercano al que se considerócomo tolerable, se puede considerar apropiado obtener evidencia adicional de Auditoría. El total del errorproyectado más el error anómalo es el mejor estimado de error en el universo. Sin embargo, los resultadosdel muestreo son afectados por el riesgo de muestreo. Así, cuando el mejor estimado de error es cercano alerror tolerable, se deberá reconocer el riesgo de que una muestra diferente daría un resultado diferente quepodría exceder el error tolerable. Considerar los resultados de otros procedimientos de Auditoría ayudará aevaluar este riesgo, mientras que el riesgo se reduce si se obtiene adicional evidencia de Auditoría.

Si la evaluación de los resultados de la muestra indica que la evaluación preliminar de las característicasrelevantes del universo necesita revisarse, se puede considerar:

a) Pedir a las áreas responsables que investigue los errores identificados y elpotencial de errores adicionales, y que registre los ajustes necesarios.

b) Modificar los procedimientos de Auditoría planeados.

c) Considerar el efecto de la operación.

1.13 Metodología Basada en Riesgos.

La Dirección de Auditoría Interna adopta la metodología basada en Riesgos. Todas las acciones del auditorson pensando, evaluando y revisando en los riesgos que afectan a la Institución. Existen riesgos mayores yde menor consideración. La metodología brinda una guía general para evaluar los riesgos de la Institución yelaborar planes para reducir el riesgo a un nivel aceptable.

Existen riesgos que son inherentes a la naturaleza del área, estos riesgos siempre existirán y se estaráexpuesto a dichos riesgos, la función del Auditor al respecto deberá identificarlos, evaluarlos y medirlos, estocon la finalidad de sugerir controles para tener medido el riesgo a un nivel aceptable.

Responsabilidades.

Será responsabilidad de la/el Titular de la Dirección de Auditoría Interna:

Firmar la Notificación de Auditoría, así como el Requerimiento de información y documentación solicitada al Área auditada, yturnar al Subdirector(a) de Auditoría Operativa y Financiera y/o Subdirector(a) de Auditoría a la Red de Negocios para lagestión correspondiente.

Asegurar el cumplimiento a lo dispuesto en el Artículo 163, Fracción IV de las Disposiciones de Carácter General aplicable alas Instituciones de Crédito, instruyendo la rotación del personal de auditoría, según las áreas a revisar, a fin de preservar suindependencia.

Usar su juicio profesional para evaluar el riesgo de auditoría, al obtener evidencia, y diseñar procedimientos de auditoría paraasegurar que este riesgo se reduzca a un nivel aceptablemente bajo.

Determinar los medios apropiados de seleccionar partidas para pruebas, siendo los medios disponibles los siguientes:

• Seleccionar todas las partidas (examen del 100%).

• Seleccionar partidas específicas, y

• Muestreo en la Auditoría.

Considerar los objetivos de la prueba y los atributos del universo, cuando se diseñe una muestra de auditoría.

Será responsabilidad del Subdirector de Auditoría Operativa y Financiera y/o Subdirector de Auditoría a la Red de Negocios:

Asegurar la correcta integración de los siguientes documentos, y en su caso rubricarlos:

• Notificación de Auditoría.

• Carta Planeación.

• Cronograma de Actividades.

• Requerimiento de información y documentación solicitada al Área auditada.


01/18

Entrada envigor:

Ene 31, 2018

Pág 13 de 31

Turnar para firmar del Director(a) de Auditoría Interna, los siguientes documentos:



Remitir a la/el Gerente de Auditoría la documentación citada, para que realice el trámite correspondiente.

Será responsabilidad de la/el Gerente de Auditoría Interna:

Validar la correcta integración de los siguientes documentos, y en su caso rubricarlos:



• Marco Conceptual.



Turnar para rúbrica del Subdirector de Auditoría Operativa y Financiera y/o Subdirector de Auditoría a la Red deNegocios, los siguientes documentos:






Será responsabilidad del Auditor(a) Comisionado(a):

Elaborar la siguiente documentación, y entregar a la/el Gerente de Auditoría para su validación:







Condiciones.

Durante el trabajo de campo los auditores aplicarán las pruebas, controles y procedimientos clave, que diseñaron durante el procesode planeación.

Los auditores deberán mantener comunicación abierta con la administración del área auditada durante toda la revisión, a fin denotificarle sobre su progreso, así como el de cualquier tema significativo en el momento en que surja.

2.1 Junta de Inicio.

El equipo de auditoría deberá reunirse con el personal Directivo correspondiente del área a auditar, el primer día del trabajode campo con el objetivo de formalizar el inicio de la revisión. Durante esa sesión deberán tratarse los siguientes temas:

• Presentación del equipo auditor.

• Importancia del proceso de Auditoría.

• Objetivo y alcance de la revisión.

• Establecer un punto de contacto.

2.2 Documentación del Trabajo de Auditoría.


01/18

Entrada envigor:

Ene 31, 2018

Pág 14 de 31

El Auditor deberá documentar todos aquellos aspectos importantes de la Auditoría que proporcionen evidencia de que eltrabajo se llevó a cabo de acuerdo con las Normas de Auditoría Interna.

Los papeles de trabajo son propiedad del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C.

La importancia de los papeles de trabajo es determinante, dado que en ellos se plasma la evidencia suficiente y competentede las pruebas que se aplicaron en la revisión efectuada.

Servir de fuente de información en caso de que alguna autoridad así lo requiera (CNBV, SHCP, etc.). Asimismo, puede serconsultada por el área auditada, Auditoría Externa o bien como antecedentes de futuras revisiones.

2.3 Objetivo de los Papeles de Trabajo.

Los papeles de trabajo deberán cumplir con lo siguiente:

• Establecer una metodología de trabajo.

• Evidenciar los comentarios o sugerencias para respaldo del Informe de Auditoría.

• Evidenciar la supervisión y revisión realizadas sobre el trabajo de Auditoría.

• Soportar la conclusión u opiniones emitidas en el informe a la Dirección del Banco Nacional del Ejército,Fuerza Aérea y Armada, S.N.C., al área auditada o bien el dictamen emitido.

Clasificación.

Los Papeles de Trabajo por su origen se deberán clasificar de acuerdo a lo siguiente:

• Papeles que elabora el Auditor.

Son sus cédulas de trabajo, tales como Programa Anual de Auditoría, Narrativa, Diagrama de Flujo, Pruebasde Recorrido, Diseño y Ejecución de Pruebas (Testing), Informe de Auditoría y Informe Ejecutivo deAuditoría.

• Papeles que proporciona el área Auditada.

Son de apoyo para la revisión y pueden ser tan diversos como: Manual de Políticas y Procedimientos, Plan deContingencias, relaciones solicitadas para la Auditoría, listados provenientes de los sistemas operados por elárea auditada, bases de datos con la información que maneja el área, presupuesto, correspondencia derivadade la revisión, etc. También se consideran papeles de trabajo los archivos electrónicos en custodia deAuditoría.

Estructura de los Papeles de Trabajo

• Encabezado.

El encabezado debe contener el nombre y logotipo del Banco Nacional del Ejército, Fuerza Aérea y Armada,S.N.C., nombre del área auditada, fecha a la que se revisa la información, índice, fecha de elaboración,evidencia de la supervisión mediante iniciales y firma.

• Cuerpo.

Presenta la información obtenida, la que el Auditor elaboró las marcas que indican las pruebas realizadas,notas aclaratorias, observaciones encontradas e informe de Auditoría.

• Pie.

Menciona la fuente de información, significado de las marcas utilizadas, leyenda: "Información Confidencial,uso Exclusivo de Auditoría Interna".

2.4 Formación de la Carpeta.

Los papeles de trabajo deberán ser clasificados y archivados de acuerdo a su naturaleza y funcionalidad en el desarrollo detoda revisión de acuerdo a la siguiente estructura:

• Carpeta de Auditoría.

Contendrá todos los documentos e información del área auditada, correspondiente al período en que se está llevando a cabola revisión.

Los papeles de trabajo que integran la carpeta de Auditoría deberán ser los siguientes son:

• Documentos relativos a la planeación de la Auditoría, así como el Programa Anual de Auditoría.


01/18

Entrada envigor:

Ene 31, 2018

Pág 15 de 31

• Cuestionarios relativos al conocimiento de Prevención de Lavado de Dinero y Financiamiento al Terrorismoy Código de Ética.

• Narrativa, Diagrama de flujo, Testing.

Los papeles de trabajo deberán ordenarse de acuerdo a su clasificación, así es que el expediente de Auditoría se deberáintegrar de la siguiente forma:

• Portada.

• Programa Anual de Auditoría.

• Narrativa.

• Pruebas de Recorrido.

• Prueba de Auditoría (Testing)

• Informe Ejecutivo de Auditoría.

Para la conservación y custodia de los papeles de trabajo, éstos deberán permanecer en la Dirección de Auditoría Interna.Asimismo, la Dirección de Auditoría Interna deberá de buscar las medidas de seguridad de la información y en dado casoguardar bajo llave los accesos a tales papeles.

• Lista de Verificación.

Contiene la documentación mínima necesaria que se debe recabar en cualquier Auditoría que se lleve a cabo en el Direcciónde Auditoría Interna.

Se deberá ajustar dependiendo de las características particulares de cada revisión.

• Contenido de los papeles de trabajo en la carpeta de Auditoría.

La Carpeta de Auditoría incluirá, entre otros:

1. Documentos relativos a la planeación, así como el Plan y Alcance de la Auditoría.

2. Cuestionarios referidos al control interno, diagramas de flujo, pruebas y narrativas.

3. Notas y Correos resultantes de las entrevistas.

4. Los procedimientos de Auditoría aplicados, la información obtenida y las conclusiones alcanzadas.

5. Análisis y Pruebas sobre los procesos.

6. Resultados sobre los procedimientos analíticos de revisión.

• Contenido de la Carpeta de Seguimientos de Auditoría.

La carpeta de seguimiento de Auditoría incluirá:

• Supervisión y revisión.

• Seguimiento.

Los Papeles de Trabajo de Auditoría deberán estar constituidos por hojas de trabajo y/o unidades externas dealmacenamiento (USB, CD, DVD, etc.). Si los Papeles de Trabajo de Auditoría están constituidos por elementos diferentes ahojas de trabajo, se debe considerar la posibilidad de generar copias de soporte.

Los archivos magnéticos u ópticos que sean proporcionados por el área revisada deberán mantenerse sin alteración, esto esno se grabará por ningún motivo ni realizarán modificaciones con objeto de mantener la versión original de la informaciónobtenida.

Algunos Papeles de Trabajo de Auditoría pueden ser catalogados como Archivos de Seguimiento de Auditoría. Estosexpedientes continuos de Auditoría generalmente contienen información de considerable importancia, la cual servirá enfuturas revisiones.

Otros factores a considerar.

En la preparación de los Papeles de Trabajo son:

• Control.


01/18

Entrada envigor:

Ene 31, 2018

Pág 16 de 31

Los papeles de trabajo del auditor interno son confidenciales, y son utilizados parasoportar sus conclusiones. Con objeto de mantener la independencia y proteger laconfidencialidad, los papeles de trabajo deben guardarse bajo llave.

• Retención.

El periodo de retención para los papeles de trabajo e informes deberá de ser de 12años, a menos que se reciban instrucciones especiales.

• Marcas a utilizar.

• La estandarización de ciertas marcas resultará en uniformidad ya que en caso deque las marcas se utilicen más de una ocasión solamente se necesita realizar unasola explicación.

• Todas las marcas deben ir en color rojo.

• Las marcas deben ser siempre en diseño.

• Las marcas siempre se explican en la cédula de trabajo, o en su caso se haráreferencia a la cédula de marcas.

• Recomendación en la preparación de Papeles de Trabajo.

Qué Hacer.

• Al realizar la Auditoría, es recomendable preparar una lista de asuntos (lista de pendientes) que no hayansido resueltos.

• Evitar demasiada información en una cédula de trabajo.

• Dejar evidencia de la elaboración y revisión de cada cédula de trabajo.

• Identificar las fuentes de información, números de documentos, reportes consultados, comentarios de laspersonas entrevistadas, distinguir entre un hecho y una opinión.

• Indicar si el análisis requiere de más de una cédula de trabajo.

• Explicar el significado de las marcas consideradas como estándar.

• Cuando indique los comentarios del personal entrevistado, mencionar su nombre completo y cargo quedesempeña.

• Indicar las opiniones y conclusiones, como Auditor Interno, tratando de diferenciar entre los hechos,opiniones y explicaciones.

• Solo incluir como papeles de trabajo, los documentos que sean necesarios para soportar las conclusiones.

• Tener la visión de hacer más con menos, optimizando siempre los procedimientos de revisión así como lostiempos de respuesta.

• Dedicar tiempo suficiente a cada prueba cuestionando el valor agregado y la suficiencia del alcanceestimado.

Qué No Hacer.

• No preparar papeles de trabajo sin considerar primero los objetivos de la revisión.

• No tratar ciegamente de copiar los papeles de trabajo de auditorías anteriores.

• No dejar comentarios pendientes en las cédulas de trabajo.

• No proporcionar los papeles de trabajo a un tercero, sin consultarlo previamente con su jefe inmediato.

2.5 Junta de cierre.

Es conveniente que el último día del trabajo de campo se lleve a cabo junta de cierre con el área auditada, a fin de formalizar eltérmino de la revisión.

Para llevar a cabo esta reunión se debe llevar a cabo lo siguiente:

• Que todas las observaciones hayan sido discutidas y acordadas.

• Preparar con anticipación la junta de cierre.


01/18

Entrada envigor:

Ene 31, 2018

Pág 17 de 31

• Para finalizar la sesión, mencionar los resultados de la evaluación de riesgos de control y el soporte de dichos resultados.

Responsabilidades.


Asegurar la correcta integración de la(s) Cédula(s) de observaciones y/o recomendaciones.


Validar la correcta integración de la(s) Cédula(s) de observaciones y/o recomendaciones.

Será responsabilidad del Auditor(a) Comisionado(a):

Desarrollar las actividades descritas en la Carta Planeación, elaborando las Cédulas de Trabajo respectivas, y en su casoCédula de Observaciones y/o Cédula de Recomendaciones, haciendo los comentarios pertinentes a la/el Gerente deAuditoría Interna.

Elaborar la(s) Cédula(s) de observaciones y/o recomendaciones, y entregar a la/el Gerente de Auditoría Interna para suvalidación.

3.- Informes.

Condiciones.

El informe tiene como finalidad mostrar el resultado del trabajo de Auditoría. En el cual debe contener la conclusión, los objetivos y elalcance de la revisión, las observaciones, recomendaciones y responsables de dar seguimiento y, en su caso, los comentariosemitidos por estos referentes a la implementación.

El informe debe ser claro, preciso y oportuno. Su información debe ser exacta, concreta, suficiente y constructiva. Su objetivo es el defacilitar la toma de decisiones respecto a la adopción de medidas de solución, el aprovechamiento de oportunidades y la adopción demedidas preventivas, con el fin de minimizar el impacto de los riesgos.

Con el objeto de unificar criterios en la elaboración de informes por la Dirección de Auditoría Interna, así como aquellos queimpliquen algún daño patrimonial, quebranto o fraude, se elaboraran tres tipos de informes:

A. Informe: Interno.

B. Dictamen: Interno o Externo.

C. Informe Ejecutivo: Interno.

3.1 Cualidades y Requisitos

Los informes deberán tener las siguientes cualidades y requisitos:

1.- Clave de informes.

Todo informe deberá tener una clave alfanumérica, la cual se conformará por la integración de las siguientes claves:

Clave de Dirección + Consecutivo + Fecha

• Consecutivo:

Tendrá tres dígitos y será un número consecutivo. La/El responsable del área deberá asignar el número conobjeto de evitar duplicidades.

• Fecha:

Es el año en que inicio del trabajo de Auditoría.

Ejemplo:

Informe de la Auditoría a la Sucursal Culiacán que inicio el 05 de octubre de 2015 y el número consecutivo fue001.

AI-001-2015

Como se puede observar cada tramo de información está separado por un guion. Por ningún motivo seiniciará o emitirá informe alguno sin la clave de identificación.

2.- Lenguaje.


01/18

Entrada envigor:

Ene 31, 2018

Pág 18 de 31

Usar el lenguaje más sencillo posible, evitando los modismos regionales y el uso de adjetivos calificativos o palabras que engeneral no contribuyen explicar una situación, como:

• Pésimo, excelente, malísimo, etc.

• Fraude, abuso de confianza, lavando de dinero, etc.

3.- Presentación Informe.

El Informe se presentará en hojas membretadas de la Institución, tamaño carta en presentación vertical en todos los casos.

Existen dos tiempos de presentación:

• Primero: Preliminar, cuando sé esta discutiendo por primera vez el informe con las áreas involucradas (losresponsables). Invariablemente se deberá incluir en el extremo superior derecho de cada hoja una leyendaque diga “Borrador para Discusión”:

• Segundo: Oficial, cuando ya se discutió el informe con las áreas involucradas mismo que ya cuenta con loscompromisos del Auditado. Invariablemente se deberá incluir en el extremo superior derecho de cada hojauna leyenda que diga "Informe de Auditoría Definitiva".

4.- Envío.

En los casos en que se pueda enviar la información completa por correo electrónico, se utilizará ese medio como acuse derecibo.

3.2 Informe de Auditoría (Auditoría Especial).

Este documento es sólo para uso interno y no deberá elaborarse cuando exista un quebranto, fraude o daño patrimonial.

A. Presentación.

1. Indicar en la parte superior derecha de la primera hoja, la fecha en que se terminó el informe.

2. Indicar en la parte superior al centro de la primera hoja la palabra “Informe”.

3. Dirigirlo a la atención de una persona determinada indicando su cargo, y en su caso, el de las personas a las que se lesenvíe copia.

4. Indicar en la parte superior derecha el asunto del que se trata.

5. Contener la firma del auditor responsable, indicando su cargo dentro de la Dirección de Auditoría Interna.

B. Contenido.

El informe deberá contener tres partes fundamentales:

1. Objetivo.

Contener el conjunto de metas o propósitos a cubrir dentro de la Auditoría, así como, el motivo de la revisión(de acuerdo al Programa Anual de Auditoría o solicitud del Comité de Auditoría).

Informe de la revisión.

a. Orden cronológico:

La información deberá llevar un orden en tiempo y un orden lógico.

b. Alcance:

Incluir en cada punto el alcance de la revisión, indicando la relación entre la población y la muestra.

c. Documentación:

Incluir como anexos en los informes, cuadros comparativos, copias de pruebas escritas, que soportan laoperación.

d. Manuales de procedimientos y legislación correspondiente:

Mencionar cuando no se esté cumpliendo con las políticas y procedimientos establecidos, y con las leyes,códigos o circulares respectivas.

e. Recomendaciones:


01/18

Entrada envigor:

Ene 31, 2018

Pág 19 de 31

Incluir una recomendación para cada punto analizado y en su caso una propuesta para su corrección.

3. Plazo para Contestar y Compromisos.

Incluir el plazo acordado con las áreas involucradas en la revisión para que contesten el informe, e indicar elcalendario de corrección o implantación de las medidas recomendadas.

En los casos que se tomen compromisos de corrección durante el desarrollo del informe, estos deberán sermencionados dentro de este punto. Por ningún motivo deberán aceptase compromisos verbales.

C. Destino.

Dirigirlo a los jefes inmediatos de los funcionarios directamente responsables de la Sucursal, Departamento oárea revisada, con copia para éstos últimos.

3.3 Informe Ejecutivo.

Contener los puntos más relevantes de un informe, procurando que su extensión no sea mayor a dos cuartillas.

A. Presentación.

Cada página deberá incluir el logotipo del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C., yla leyenda “Documento confidencial, para uso exclusivo de Auditoría Interna”.

B. Contenido.

Contener únicamente el asunto y los puntos relevantes del Informe de Auditoría de que se trate. Separar porárea e incluir una breve descripción de la observación, la respuesta del área y sugerencias.

Al final contendrá la leyenda:

“En caso de necesitar más información se encuentra a su disposición copia deldictamen o informe correspondiente, para lo cual le solicitamos, nos lo haga saber.Gracias”.

C. Destino.

Estará dirigido a Directores o Titulares de Área, a fin de mantenerlos informados de los aspectos relevantesde las revisiones.

Los informes solo deberán comunicarse a los niveles jerárquicos responsables de tomar decisiones sobre lostemas que en ellos se incluyen.

Los destinatarios de los informes serán los responsables de tomar oportunamente las acciones que permitancorregir y evitar que las desviaciones/deficiencias informadas se repitan.

3.4 Emisión.

Los informes de auditoría deberán ser emitidos por la/él responsable encargado en un plazo no mayor a 15 días naturales a partir deldía siguiente de haberse celebrado la junta de cierre de la revisión.

Responsabilidades.

Será responsabilidad del Director(a) de Auditoría Interna:

Firmar el Informe de Auditoría Interna, y turnar al Subdirector de Auditoría Operativa y Financiera y/o Subdirector deAuditoría a la Red de Negocios para su distribución correspondiente.


Asegurar la correcta integración del Informe de Auditoría.

Turnar el Informe de Auditoría al Director(a) de Auditoría Interna para su firma

Dar Vo.Bo. al Legajo de Papeles de Trabajo.


Validar la correcta integración del Informe de Auditoría.

Gestionar el archivo del Legajo de Papeles de Trabajo.

Será responsabilidad del Auditor(a) comisionado(a):


01/18

Entrada envigor:

Ene 31, 2018

Pág 20 de 31

Elaborar el Informe de Auditoría y turnarlo vía correo electrónico a la/el Gerente de Auditoría Interna para su validación.

Elaborar el Legajo de Papeles de Trabajo para remitirse al archivo de la Dirección de Auditoría Interna, integrando la Lista deVerificación para el Control de Expedientes (PAI-F-7.5.1-03-01); conteniendo índices, marcas, cruces de auditoría, fuentes deinformación, rúbricas y firmas respectivas.

4.- Supervisión.

Condiciones.

Toda auditoría realizada por la Dirección de Auditoría Interna debe estar sujeta a cierto grado de revisión; la extensión yprofundidad de misma dependerá de la experiencia y la capacidad de cada auditor, así como de la complejidad y la naturaleza de laárea por auditar.

El proceso de supervisión deberá:

A. Ser revisado por la/él auditor responsable encargado de la revisión;

B. Abarcar todos los procesos de auditoría, y;

C. Contar con evidencia de que se realizó, estas podrán incluir:

a. Firmas en papeles de trabajo.

b. Intercambio de información y

c. Un análisis sobre el desempeño de los auditores durante la revisión, incluyendo las áreas de oportunidad detectadas y lasacciones correctivas a implementar:

1. Eficacia en el logro de los objetivos;

2. Conveniencia del alcance de la Auditoría;

3. Organización de la Auditoría: Planeación, trabajo en campo, informe;

4. Junta de cierre

5. Relación con el auditado; y,

6. Tiempos.

5.- Seguimiento.

Condiciones.

El Dirección de Auditoría Interna dará seguimiento a las deficiencias y desviaciones.

La respuesta a los informes de auditoría deberá estar expresada en términos de acciones, compromisos y fechas de cumplimiento,para cada observación/recomendación; y, el establecimiento de fechas compromiso para la corrección de aquellas excepciones norecurrentes.

La / El responsable del área auditada deberá dar seguimiento al progreso de la implementación y certificar a la Dirección deAuditoría Interna la implementación de todas y cada una de las recomendaciones.

Las respuestas deben ser recibidas por la Dirección de Auditoría Interna de acuerdo con la fecha acordada con las áreas auditadas.

Si en el plazo establecido la Dirección de Auditoría Interna no recibe respuesta, se enviará un recordatorio dirigido a losdestinatarios originales y marcando copia al nivel jerárquico de ellos.

Si después del primer recordatorio la respuesta siguiera pendiente debe ser recibida, se enviará un segundo recordatorio dirigido alnivel más alto de la área auditada, marcando copia a los destinatarios originales y al Director(a) General del Banco Nacional delEjército, Fuerza Aérea y Armada, S.N.C.

Si después de ambos recordatorios la respuesta continuará pendiente, la/él responsable de la Dirección de Auditoría Internainformará al Comité de Auditoría para que este, a su vez, informe al H. Consejo Directivo.

5.1 Análisis de la Respuesta.

Una vez que el Dirección de Auditoría Interna ha recibido la respuesta, el auditor responsable deberá analizarla en un plazono mayor a 5 días hábiles.


01/18

Entrada envigor:

Ene 31, 2018

Pág 21 de 31

En caso de que la implementación no fuera factible (por insuficiencia de recursos, por tiempo y/o costos), el área deberátramitar una excepción con el Director(a) General del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C., yestablecer las acciones, responsables y fechas para su cumplimiento.

El plazo que se solicita debe estar justificado en función al/los cambios que pretendan realizar para dar cumplimiento a lasrecomendaciones, propuesta que será evaluada por la Dirección de Auditoría Interna.

5.2 Notificación de Cumplimiento/ Incumplimiento

Una vez que la Dirección de Auditoría Interna analizó la respuesta del área auditada, determinó la integridad y suficienciade la información y esta soporta el cumplimiento de la implementación de las recomendaciones, entonces emitirá una “Notificación de Cumplimiento o Incumplimiento” al área auditada.

La Dirección de Auditoría Interna informará periódicamente a la Dirección General y al H. Consejo Directivo, a través delComité de Auditoría, el estado que guarda la implementación de las recomendaciones en las Unidades Administrativas delBanco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C.


Condiciones.

La integración de la Carpeta de Auditoría deberá ser con base en la Matriz de cumplimiento del Comité de Auditoría, y conforme a lanormatividad vigente.

Se integrarán al Comité de Auditoría, los asuntos propuestos por los miembros del presente Comité a fin de ser evaluados, así comolos asuntos que por su importancia deban ser considerados en la sesión correspondiente.

Dentro de las principales actividades para el desarrollo de la integración de la Carpeta del Comité de Auditoría, se encuentra lassiguientes:

• Recopilación de información.

• Recepción, revisión y conciliación de la información.

• Entrega de la Carpeta.

Responsabilidades.

Será responsabilidad del Secretario(a) del Comité de Auditoría:

Notificar mediante oficio a los Directores, Titulares de Áreas y al Auditor Externo el día en que sesionará dicho Comité,solicitando que remitan a la Dirección de Auditoría Interna los asuntos que por su importancia deban ser considerados en lasesión correspondiente.

Comunicar a los Directores y/o Titulares de Área sobre los acuerdos tomados en el Comité de Auditoría, de acuerdo a suámbito de competencia.

Será responsabilidad del Director(a) de Auditoria Interna:

Dar seguimiento a los asuntos aprobados por el Comité.

Notificar mediante oficio el día y hora límite para que los Directores y/o Titulares de Área responsables informen:

Coordinar la elaboración de la Orden del Día de la sesión y una vez aprobada por la/el Presidente del Comité de Auditoría, seturnará a las/los integrantes del Comité de Auditoría.

Remitir la Carpeta de Auditoría a los miembros del Comité, dentro de los cinco días hábiles a que sesione el Comité.


Condiciones.

Con dos días previos a la sesión del Comité, se confirmará vía telefónica la asistencia de los miembros al Comité.

Las pruebas audiovisuales para el Comité de Auditoría se realizarán en la sala de juntas asignada con tres días de anticipación a lafecha de la sesión.

Responsabilidades.


01/18

Entrada envigor:

Ene 31, 2018

Pág 22 de 31


Coordinar la asignación de sala de juntas, personal para recibimiento, acceso vehicular y servicio de alimentos para losmiembros del Comité.

Asegurar que se genere la presentación y guion para la sesión correspondiente.


Condiciones.

Se deberá integrar en el Acta del Comité de Auditoría los comentarios y recomendaciones expuestos por los miembros del Comité deAuditoría.

Una vez integrada el Acta del Comité de Auditoría se deberá remitir a los miembros del Comité de Auditoría, para su revisión y vistobueno.

Responsabilidades.


Asegurar el registro de comentarios realizados por los miembros del Comité, así como de los acuerdos tomados durante dichasesión.

Coordinar la elaboración del acta del Comité con base en la Orden del Día, comentarios emitidos y acuerdos tomados durantela sesión.

Difundir a los miembros del Comité vía correo electrónico el borrador del Acta para su rectificación y/o ratificacióncorrespondiente.

Asegurar que los miembros del Comité firmen y rubriquen el acta correspondiente, finalmente archivará el Acta del Comité deAuditoría.


01/18

Entrada envigor:

Ene 31, 2018

Pág 23 de 31

III. DEFINICIÓN DEL PRODUCTO.

Descripción.Es un enfoque estructurado, que los auditores deberán seguir tan pronto como se haya programado una Auditoría a un áreaindividual de la población de auditoría. Este proceso abarca las siguientes fases:

A. Planeación.

B. Trabajo de campo (en caso de que aplique).

C. Supervisión.

D. Informe.

E. Seguimiento.

Todos los trabajos de la Dirección de Auditoría Interna, deberán estar documentados de acuerdo al presente Manual.

La metodología es la que se llevará a cabo en las Auditorías; se debe de planear, organizar, dirigir y controlar. El orden de las fasesno necesariamente es el que se indica, toda vez que en cada una de las fases de la revisión pueden estarse combinando.

Reglas de Negocio.

Fechas, tiempos y horarios.Programa Anual de Auditoría Interna.

Para la elaboración del Programa Anual de Auditoria se considera en terminos generales lo siguiente:

• Procesos críticos de relevancia dentro de la organización o unidad de negocio y según el tamaño del impacto de riesgo, através del análisis de la Matriz de Riesgos Institucional de la Contraloría Interna y Dirección de Riesgos.

• Identificación de procesos no auditados.

• Criticidad: Carencia de controles, alta rotación de personal, cambio de funciones, procedimientos, eventos más recientes ydenuncias.

• Resultados de las revisiones efectuadas a la Institución por parte de los órganos fiscalizadores externos (CNVB, Banco deMéxico, Auditoría Superior de la Federación, Servicio de Administración Tributaria, Secretaría de Hacienda y Crédito Público,entre otras).

• Por criterio de los auditores internos.

Anualmente, la Auditoría Interna presentará el Programa de Auditoría al Comité de Auditoría para su aprobación, indicando losresultados del año que termina; así como la validez de continuar con dicho plan o su modificación.

Este plan deberá incluir las áreas que se auditaran en el año, conforme a los criterios establecidos y el alcance.

Para la elaboración del Programa Anual de Auditoría Interna considerará lo siguiente:

• Todas las funciones del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C. de acuerdo a su criticidad, en cuanto asu riesgo se refiere.

• Las revisiones regulatorias obligatorias.

• Seguimiento a observaciones realizadas por la Autoridad, en especial aquellas derivadas de sus visitas de inspección, asícomo las emitidas por auditores externos; y,

• Las solicitadas por la Administración, como ¨Auditorías Especiales¨.

Plazo de la realización de Auditorías:

• Las revisiones deberán priorizarse de acuerdo con la clasificación generada por la evaluación de riesgos, de tal forma que elplazo máximo para concluir una revisión será de tres meses incluyendo la entrega del informe.

• Por situaciones extraordinarias que presente la misma auditoría, se podrá prorrogar hasta por tres meses más la conclusiónde la revisión. Lo cual, se hará del conocimiento del Comité de Auditoría.


01/18

Entrada envigor:

Ene 31, 2018

Pág 24 de 31

• Asimismo, el plazo máximo en que las áreas auditadas deberán solventar las observaciones determinadas, será de 45 díashábiles. Salvo situaciones especiales que estén fuera del alcance de las áreas auditadas. Lo cual, se hará del conocimientodel Comité de Auditoría.

Metodologías.El modelo es la forma y principios que fundamentan el trabajo del Dirección de Auditoría Interna del Banco Nacional del Ejército,Fuerza Aérea y Armada, S.N.C.

Es por eso que la Dirección de Auditoría Interna adopta un enfoque basado en riesgos con el fin de proporcionar, a laAdministración y al Comité de Auditoría, el grado necesario de seguridad, de que el nivel directivo a identificado los riesgosinherentes a la operación del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C.

Proceso de Auditoría

1. Planeación de la Auditoría.

2. Determinación del área a auditar.

3. Trabajo en campo.

4. Resultado de la Auditoría e informe.

5. Supervisión y seguimiento.

El enfoque de auditoría basada en riesgos consiste en:

• Identificar los riesgos a los cuales está sujeta un área a ser auditada.

• Identificar los controles relacionados, establecidos por el área o Dirección.

• Y en realizar pruebas de auditoría, para evaluar la eficacia y eficiencia de dichos controles.

Bajo esta metodología la Dirección de Auditoría Interna brinda un servicio más eficiente y efectivo al identificar y evaluar riesgos,permitiéndole determinar:

1. El Programa Anual de Auditoría.

2. El alcance de las revisiones.

3. La estructura requerida para cada revisión.

4. Los temas que se destacaran en las Auditorías.

Para ello, es necesario:

• Identificar las áreas del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C., que conformaran lapoblación de Auditoría;

• Identificar y evaluar los riesgos de las áreas;

• Identificar y evaluar los controles correspondientes, establecidos por el área para su mitigación; y,

• Establecer pruebas para garantizar su efectividad y vigilancia operativa.

A. Población de Auditoría.

Auditoría como responsable de la evaluación al Sistema de Control Interno y a la gestión de riesgos del Banco Nacional delEjército, Fuerza Aérea y Armada, S.N.C., debe identificar todas aquellas áreas, funciones, procesos, productos, sistemas oproyectos susceptibles de ser revisados por ella, todas estas constituyen la POBLACIÓN DE AUDITORÍA.

El proceso de identificación implica el análisis de la siguiente información.

• Estructura organizacional

• Organigramas funcionales

• Centros de costos de áreas o departamentos

• Planes estratégicos, operativos y tecnológicos anuales.

• Listado de oficinas, módulos y sucursales

• Listado de productos


01/18

Entrada envigor:

Ene 31, 2018

Pág 25 de 31

• Listado de proyectos de sistemas y productos (nuevos o modificaciones)

A partir de este universo la Dirección de Auditoría Interna identifica y clasifica la población de auditoría.

Es importante recordar que la población de auditoría constituye en sí un proceso dinámico; el cual, requiere ajustes cuandoocurren cambios en la estructura del área.

B. La Administración de Riesgos y Procesos.

El Sistema de Control Interno es responsabilidad fundamental de los niveles directivos, se lleva a cabo a través delestablecimiento de políticas y procedimientos para la identificación, evaluación y de la amplia gama de riesgos inherentes alos cuales está expuesto Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C.

La función de Auditoría Interna es la de garantizar de manera objetiva al H. Consejo Directivo a través del Comité deAuditoría, la efectividad del Sistema de Control Interno, este aseguramiento incluye el diseño y la efectividad operativa de losprocesos de administración de riesgos clave, la efectividad de controles, así como informes y clasificaciones completosprecisos y adecuados de los riesgos.

C. Metodología Basada en Riesgos.

La Dirección de Auditoría Interna adopta la metodología basada en Riesgos. Todas las acciones del auditor son pensando,evaluando y revisando en los riesgos que afectan a la Institución. Existen riesgos mayores y de menor consideración. Lametodología brinda una guía general para evaluar los riesgos de la Institución y elaborar planes para reducir el riesgo a unnivel aceptable.

Existen riesgos que son inherentes a su naturaleza, estos riesgos siempre existirán y se estará expuesto a dichos riesgos, lafunción del Auditor al respecto deberá identificarlos, evaluarlos y medirlos, esto con la finalidad de sugerir controles para tenermedido el riesgo a un nivel aceptable. Diagrama de Proceso de Reducción de Riesgos a Nivel Aceptable.

La identificación de riesgos debe considerarse tanto a nivel Institucional como a nivel actividad:

1. A nivel Institucional establece un parámetro que permite determinar la prioridad para que esa Instituciónsea auditada.

2. A nivel actividad nos permite establecer los temas a destacar en la revisión, de acuerdo a su criticidad.

D. Principios del Modelo.

El modelo de Auditoría Interna del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C., se basa en tres aspectosprincipales para el logro de las funciones y objetivos que definen al área y son:

1. Medición, evaluación y prueba, usando modelos de muestreo, así como también métodos cualitativosaplicados a los procesos del área para detección, análisis y evaluación de riesgos.

2. Tecnología, el uso de esta permite tener mayor alcance con menos recursos y de forma más eficiente.

3. Asesorar en diferentes ámbitos del área en dirección de los objetivos de la Institución, buscando en todomomento generar valor a esta.

La combinación de estos tres elementos busca minimizar los riesgos y maximizar las áreas de oportunidad logrando contribuiren la misión del Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C.


01/18

Entrada envigor:

Ene 31, 2018

Pág 26 de 31


IV. PROCEDIMIENTOS.

A. Proceso de Auditoría.

Proceso de Auditoría.

1.- Planeación.

1 Gerente de Auditoría Interna realiza la planeación de la auditoría con base en los temas de mayor riesgo que afectan a lasdistintas áreas de la Institución. Continúa en 2

2 Gerente de Auditoría Interna elabora el Programa Anual de Auditoría estableciendo los alcances y tiempos de su ejecución.Continúa en 3

3 Gerente de Auditoría Interna instruye al Auditor(a) Comisionado(a) elaborar la Notificación de Auditoría, Carta Planeación,Cronograma de Actividades y Marco Conceptual respectivamente. Continúa en 4

4 Auditor(a) Comisionado(a) elabora la Notificación de Auditoría, Carta Planeación, Cronograma de Actividades y MarcoConceptual respectivamente, y turna la documentación a la/el Gerente de Auditoría para su validación. Continúa en 5

5 Gerente de Auditoría Interna verifica la documentación elaborada por el Auditor(a), y turna al Subdirector(a) de AuditoríaOperativa y Financiera y/o Subdirector(a) de Auditoría a la Red de Negocios para su rúbrica. Continúa en 6

6 Subdirector de Auditoría Operativa y Financiera y/o Subdirector de Auditoría a la Red de Negocios valida la correctaintegración de la documentación, y turna al Director(a) de Auditoría Interna para su firma. Continúa en 7

7 Director(a) de Auditoría Interna autoriza la documentación y firma la Notificación de Auditoría. Continúa en 8

8 Gerente de Auditoría Interna en coordinación con los Auditores(as) comisionados(as) realizan el estudio preliminar del áreapor auditar y preparan los Cuestionarios de Control Interno para ser aplicados al personal de la misma. Continúa en 9

9 Subdirector de Auditoría Operativa y Financiera y/o Subdirector de Auditoría a la Red de Negocios en compañía dela/el Gerente de Auditoría y de los Auditores(as) comisionados(as) se presentan con el Director(a) del área por auditar,entregándole la Notificación de Auditoría firmada por el Director(a) de Auditoría Interna, haciendo de su conocimiento elobjetivo de la revisión y la forma de trabajo, recabando su firma autógrafa y el sello del área en señal de recibo. Continúa en 10

10 Gerente de Auditoría Interna solicita al Auditor(a) comisionado(a) elaborar el oficio de requerimiento de información ydocumentación necesaria para llevar a cabo la revisión. Continúa en 11

11 Auditor(a) comisionado(a) elabora el documento Requerimiento de información y documentación necesaria para llevar a cabola revisión, y turna para la verificación de la/el Gerente de Auditoría. Continúa en 12

12 Gerente de Auditoría Interna verifica el correcto contenido del documento, en su caso rubrica y turna al Subdirector(a) deAuditoría Operativa y Financiera y/o Subdirector(a) de Auditoría a la Red de Negocios. Continúa en 13

13 Subdirector de Auditoría Operativa y Financiera y/o Subdirector de Auditoría a la Red de Negocios valida la correctaintegración del documento, en su caso rubrica y turna al Director(a) de Auditoría Interna para su firma. Continúa en 14

14 Director(a) de Auditoría Interna firma documento y regresa al Subdirector(a) de Auditoría Operativa y Financiera y/oSubdirector(a) de Auditoría a la Red de Negocios para su trámite correspondiente. Continúa en 15


15 Auditor(a) Comisionado(a) verifica la aplicación de las Políticas y Procedimientos aplicables a la Institución, conforme a losalcances definidos en el Programa Anual de Trabajo, lo cual documentará con base a la elaboración de Papeles de Trabajo.Continúa en 16

16 Subdirector(a) de Auditoría Operativa y Financiera y/o Subdirector(a) de Auditoría a la Red de Negocios remite el documentoRequerimiento de información y documentación a la/el Titular del área auditada. Continúa en 17

17 Auditores(as) comisionados(as) aplican los Cuestionarios de Control Interno al personal del área auditada y reciben de el/laGerente de Auditoría la documentación e información solicitada. Continúa en 18

18 Auditores(as) comisionados(as) desarrollan las actividades descritas en la Carta de Planeación, elaborando las Cédulas deTrabajos respectivas y en su caso, Cédula de Observaciones y/o Cédula de Recomendaciones. Continúa en 19

19 Subdirector(a) de Auditoría Operativa y Financiera y/o Subdirector(a) de Auditoría a la Red de Negocios, Gerente de Auditoríay Auditores(as) comisionados(as) exponen a la/el Titular del área auditada los resultados de la auditoría aplicada. Continúa en 20


01/18

Entrada envigor:

Ene 31, 2018

Pág 27 de 31

20 Subdirector(a) de Auditoría Operativa y Financiera y/o Subdirector(a) de Auditoría a la Red de Negocios acuerda con la/elTitular del área auditada la forma y fecha en que solventará las observaciones y/o recomendaciones, formalizado mediante lafirma de la Cédula de Observaciones y/o Recomendaciones. Continúa en 21

3.- Informes.

21 Auditores(as) comisionados(as) preparan el Informe de Auditoría detallando las conclusiones, recomendaciones uobservaciones que derivaron de las revisiones y lo turna vía correo electrónico a la/el Gerente de Auditoría para suverificación. Continúa en 22

22 Gerente de Auditoría verifica el Informe de Auditoría, en caso procedente imprime un tanto, lo rubrica y lo turna alSubdirector(a) de Auditoría Operativa y Financiera y/o Subdirector(a) de Auditoría a la Red de Negocios. Continúa en 23

23 Subdirector(a) de Auditoría Operativa y Financiera y/o Subdirector(a) de Auditoría a la Red de Negocios valida el Informe deAuditoría, en caso procedente lo rubrica y lo turna a la/el Titular de Auditoría Interna. Continúa en 24

24 Titular de Auditoría Interna firma el Informe de Auditoría y autoriza su distribución entre los miembros del Comité de Auditoría.Continúa en 25

25 Subdirector(a) de Auditoría Operativa y Financiera y/o Subdirector(a) de Auditoría a la Red de Negocios distribuye losejemplares a los siguientes miembros: Director General, Director General Adjunto, correspondiente, Secretario del Comité deAuditoría y Director(a) de Área Auditada. Continúa en 26

26 Auditores(as) comisionados(as) elaboran el Legajo de Papeles de Trabajo y lo preparan para su envío al archivo de laDirección de Auditoría Interna, integrando la Lista de Verificación para el Control de Expedientes (PAI-F-7.5.1-03-01);conteniendo los índices, marcas, cruces de auditoría, fuentes de información, rúbricas y firmas respectivas. Continúa en 27

4.- Supervisión.

27 Gerente de Auditoría realiza la supervisión de las auditorías que se estén llevando a cabo. Continúa en 28

28 Gerente de Auditoría se asegura que los procesos de la auditoría se estén realizando conforme a lo programado. Continúa en29

5.- Seguimiento.

29 Gerente de Auditoría y el Auditor Interno dan seguimiento a las observaciones y/o recomendaciones derivadas de lasauditorías practicadas. Continúa en 30

30 Gerente de Auditoría y el Auditor Interno analizan las respuestas de las áreas. Continúa en 31

31 Gerente de Auditoría y el Auditor Interno verifican que las acciones corrijan la observación y prevengan la repetición de esta.Continúa en 32

32 Gerente de Auditoría determina la integridad y suficiencia de las respuestas, y si estas soportan el cumplimiento de lasobservaciones y/o recomendaciones para efectos de presentar la Notificación de Cumplimiento o Incumplimiento. FIN


01/18

Entrada envigor:

Ene 31, 2018

Pág 28 de 31

V. PROCEDIMIENTOS PARTICULARES.


33 Gerente de Auditoría Interna genera oficio para informar a los/las Directores(as), Titulares de Área y al Auditor Externo el díaen que sesionará dicho Comité, solicitando que remitan a la Dirección de Auditoría Interna los asuntos pertinentes. Continúaen 34

34 Subdirector(a) de Auditoría Operativa y/o Subdirector(a) de Auditoría a la Red de Negocios valida el oficio, y lo canaliza alDirector(a) de Auditoría Interna para su aprobación. Continúa en 35

35 Director(a) de Auditoría Interna aprueba el oficio recibido y lo somete a la autorización del Secretario(a) del Comité deAuditoría. Continúa en 36

36 Secretario(a) del Comité de Auditoría envía oficio a los Directores, Titulares de Área y al Auditor Externo. Continúa en 37

37 Gerente de Auditoría Interna recibe la información de los/las Directores(as), Titulares de Área y del Auditor Externo. Continúa en38

38 Gerente de Auditoría Interna revisa la información, designando el punto con el que se presentará la información en la Carpetade Auditoría. Continúa en 39

39 Subdirector(a) de Auditoría Operativa y/o Subdirector(a) de Auditoría a la Red de Negocios valida la información ypresentación de la información, canalizando al Director(a) de Auditoría Interna para su aprobación. Continúa en 40

40 Director(a) de Auditoría Interna determina que la información recibida sea oportuna y confiable, y en su caso coordinará laelaboración de la Orden del Día, de acuerdo a los asuntos a tratarse en el marco de la sesión correspondiente. Continúa en 41

41 Secretario(a) del Comité de Auditoría convoca mediante oficio a los miembros del Comité (día, hora y lugar), anexando elcontenido de la Orden del Día. Continúa en 42

42 Director(a) de Auditoría Interna remite a cada uno de los miembros del Comité la carpeta de asuntos, cuando menos cincodías hábiles a que sesione. FIN


43 Encargado(a) de Operación confirma vía telefónica la asistencia de los miembros al Comité. Continúa en 44

44 Analista y/o Encargado(a) de Operación coordina la asignación de sala de juntas, personal para recibimiento, accesovehicular y servicio de alimentos para los miembros del Comité. Continúa en 45

45 Gerente de Auditoría a Sistemas con apoyo del Analista, Encargado de Operación, Técnico Especializado y/o AuxiliarEspecializado elaboran el guión y presentación del Comité. Continúa en 46

46 Subdirector(a) de Auditoría Operativa y/o Subdirector(a) de Auditoría a la Red de Negocios valida el guión y presentación delComité. Continúa en 47

47 Gerente de Auditoría a Sistemas ejecuta las pruebas audiovisuales para el Comité de Auditoría en la sala de juntas asignada.FIN


48 Gerente de Auditoría recaba los comentarios y recomendaciones realizados en el Comité, plasmándolos en el Acta delComité. Continúa en 49

49 Subdirector(a) de Auditoría Operativa y/o Subdirector(a) de Auditoría a la Red de Negocios valida el Acta del Comité, ycanaliza al Director(a) de Auditoría Interna para su aprobación. Continúa en 50

50 Director(a) de Auditoría Interna aprueba el Acta del Comité y lo somete a la autorización del Secretario(a) del Comité deAuditoría para su envío a los integrantes del Comité. Continúa en 51

51 Director(a) de Auditoría Interna envía la propuesta del Acta del Comité a los/las integrantes del Comité de Auditoría para surevisión y observación o en su caso su Vo. Bo. Continúa en 52

52 Director(a) de Auditoría Interna remite en su caso, observaciones y/o comentarios, al Gerente de Auditoría para elaborar laversión definitiva del Acta del Comité. Continúa en 53

53 Director(a) de Auditoría Interna, Subdirector(a) de Auditoría Operativa y/o Subdirector(a) de Auditoría a la Red de Negociosrecaban las firmas de los miembros del Comité de Auditoría. Continúa en 54

54 Gerente de Auditoría archiva el Acta del Comité de Auditoría. FIN


01/18

Entrada envigor:

Ene 31, 2018

Pág 29 de 31


01/18

Entrada envigor:

Ene 31, 2018

Pág 30 de 31

VI. NORMATIVIDAD RELACIONADA.Manuales de Políticas y Procedimientos.

Manual de Descripción de Puestos.

Manual General de Organización del Banco Nacional del Ejército, Fuerza Área y Armada S.N.C.


01/18

Entrada envigor:

Ene 31, 2018

Pág 31 de 31

manual de auditorÍa interna ene 31, 2018 · manual de auditorÍa interna m-pa-aud-01/18 entrada en...

Documents