Documento #24 - Programación Especifica V.0.4

PROGRAMA MARCO
PROGRAMACIN ESPECFICA DE PROGRAMACIN EN AUDITORA AUDITORA EN BASE A RIESGOS
DOCUMENTO TCNICO N 24 VERSIN 0.4
MARZO 2008
Registro de Propiedad Intelectual Inscripcin N 171122, ao 2008. Santiago- Chile. El Consejo de Auditora Interna General de Gobierno autoriza la reproduccin total o parcial de esta obra, a condicin de que se cite su fuente, ttulo y autora.
Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________
TABLA DE CONTENIDOS _______________________________________________________________________________ MATERIAS PGINA
I.-
INTRODUCCIN
2 3 3 4 4 4 4 4 4 4 5 5 5 5 6 6 7 7 7 7 9 11 11 12 12 12 13 14 23 24 25 27 29 35 41 42
II.- OBJETIVO DEL DOCUMENTO III.- CONCEPTOS GENERALES SOBRE PROGRAMACIN O PLANIFICACIN ESPECFICA IV.- ELEMENTOS DEL PROGRAMA DE AUDITORA 1.- Documentacin del programa de auditora 2.- Identificacin del programa, versin, fecha de emisin y periodo de vigencia 3.- Aprobacin del programa de auditora 4.- Tipo de Objetivo de Control 5.- Proceso a auditar y materia de auditora 6.- Equipo de auditores y responsable del equipo 7.- Objetivos generales de la auditora 8.- Alcance de la auditora 9.- Mtodo para determinar las muestras de auditora 10.- Oportunidad y periodo 11.- Horas de auditora 12.- Fuentes de informacin para formular el programa de auditora 13.- Cronograma especfico para realizar la auditora 14.- Uso de Tcnicas de Auditora Asistidas por Computador 15.- Identificacin de los puntos crticos en el programa de auditora 15.1- Escenarios para la Etapa de Programacin o Planificacin Especfica 15.2.-Definicin del alcance de las fuentes de informacin a utilizar para la identificacin de puntos crticos en la programacin de auditora 15.3.-Nivel de la informacin a complementar para la identificacin de los puntos crticos en el programa de auditora 15.4.- Resultado del anlisis de la informacin 15.5.- Identificacin de puntos crticos 16.- Definicin de objetivos especficos en el programa de auditora 17.- Formulacin de procedimientos de trabajo para cumplir con los objetivos especficos de auditora V.- RESUMEN DEL ANLISIS VI.- EJEMPLO DE DETERMINACIN DE PUNTOS CRTICOS PARA EL PROGRAMA DE AUDITORA VII.- ESQUEMA GRFICO DEL ANLISIS PARA DETERMINAR PUNTOS CRTICOS EN EL PROGRAMA DE AUDITORA, AL MOMENTO DE SU FORMULACIN VIII.- BIBLIOGRAFA ANEXO N 1 ANEXO N 2 ANEXO N 3 ANEXO N 4 ANEXO N 5 ANEXO N 6
______________________________________________________________________________ 1
I.-
INTRODUCCIN
El Consejo de Auditora en cumplimiento de la Poltica de Auditora Interna General de Gobierno implementada y propiciada por el Ejecutivo para el fortalecimiento y desarrollo de los organismos, sistemas y metodologas que permitan resguardar los recursos pblicos y apoyar la gestin de la Administracin y los actos de Gobierno ha formulado la versin 0.4 del Documento Tcnico N 24 Programacin o Planificacin Especfica de Auditora. El auditor interno es responsable de determinar para cada trabajo los objetivos de la auditora, el alcance, definir los procedimientos para realizar el trabajo de auditora e identificar y analizar los riesgos relevantes que le permitan priorizar y definir el alcance de su trabajo al momento de realizar la auditora. Las referidas actividades, entre otras, deben estar aprobadas y documentadas en un programa de auditora para su utilizacin posterior al realizar la auditora en terreno. El presente documento contiene una descripcin general de los principales elementos que deben contener los programas de auditora que utilicen las unidades de auditora interna del Sector Gubernamental. En forma especial, se describe un enfoque metodolgico propuesto para determinar los puntos crticos, los objetivos especficos de auditora y los procedimientos de auditora. Finalmente, en anexos adjuntos se presenta una serie de conceptos y elementos complementarios.
______________________________________________________________________________ 2
II.-
OBJETIVO DEL DOCUMENTO
Entregar una propuesta metodolgica para formular el programa de auditora por las unidades de auditora interna del Sector Pblico. III.CONCEPTOS ESPECFICA GENERALES SOBRE PROGRAMACIN O PLANIFICACIN
La planificacin especfica consiste en el trabajo que el auditor realiza para determinar en base al conocimiento integral del proceso a auditar; cules, cmo, por quin, con qu extensin y cundo se ejecutarn los procedimientos de trabajo, que permitan satisfacer adecuadamente los objetivos de auditora generales y especficos propuestos. Entre los beneficios que se pueden obtener destacan: Facilitar la organizacin de las actividades respecto de los objetivos de auditora. Concentracin en la identificacin y evaluacin de lo importante, en base a los riesgos y controles existentes. Contribuir a la racionalizacin de los recursos humanos, tcnicos y financieros. Fijar lneas de accin para ejecutar programadamente las labores en terreno. Guiar la obtencin de evidencia de auditora adecuada y suficiente para respaldar el contenido del informe. Presentar evidencia objetiva de la programacin de las actividades en terreno. Justificar la labor del auditor frente a cuestionamientos externos. Documentar los procedimientos utilizados para dar aseguramiento a la Jefatura del Servicio respecto del Proceso de Gestin de Riesgos. En diversos cuerpos normativos de la disciplina de auditora existen normas que contienen requisitos a cumplir dentro de esta etapa y que obligan a programar rigurosamente cada trabajo, considerando entre otros los siguientes elementos: Los auditores internos deben programar cada auditora, incluyendo su registro, el alcance, los objetivos, el tiempo y la asignacin de recursos. Al planificar el trabajo, los auditores internos deben considerar: o Los objetivos de la actividad que est siendo auditada y los medios con los cuales la actividad controla su desempeo. o Los riesgos significativos de los procesos, sus objetivos, recursos y operaciones, y los medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable. o La adecuacin y eficacia de los sistemas de gestin de riesgos y control de la actividad comparados con un cuadro o modelo de control relevante. o Las oportunidades de introducir mejoras significativas en los sistemas de gestin de riesgos y control del proceso. El auditor interno es el responsable de planificar y conducir el trabajo asignado, sujeto a la revisin y aprobacin del jefe de la unidad de auditora interna. Los auditores internos deben preparar programas de auditora que cumplan con los objetivos de trabajo. Estos programas deben estar registrados.
______________________________________________________________________________ 3
IV.-
ELEMENTOS DEL PROGRAMA DE AUDITORA
En base a los requerimientos sealados en el punto III, el Consejo de Auditora ha relevado los principales elementos que al menos debe contener el programa de auditora1. El orden de presentacin de estos elementos en el cuerpo del programa de auditora puede variar en cada Servicio. 1.Documentacin del programa de auditora
Sin perjuicio de lo sealado en este documento tcnico, ser necesario que cada unidad de auditora documente la metodologa y acompae los formatos utilizados para documentar la formulacin del programa de auditora. Para este efecto, es recomendable utilizar los instrumentos que se entregan en el del Marco Avanzado del Programa de Mejoramiento de la Gestin. - Sistema de Auditora Interna. 2.Identificacin del programa, versin, fecha de emisin y periodo de vigencia
Cada programa de auditora debe contar con una identificacin que incluya elementos tales como; un nmero o cdigo de referencia nica, el o los autores de su formulacin, la fecha de emisin, el periodo de vigencia y el nmero de versin que tiene el respectivo programa, ya que cada vez que se utilice se debe actualizar su contenido. 3.Aprobacin del programa de auditora
El Jefe de la Unidad de Auditora debe aprobar el programa antes de iniciarse su aplicacin en la etapa de ejecucin en terreno. Lo mismo ocurre con las modificaciones que deban realizarse durante la ejecucin. En estas aprobaciones formales se requiere al menos, la fecha y firma del Jefe de Auditora. 4.Tipo de Objetivo de Control
Se debe consignar si la auditora es Gubernamental (G), Ministerial (M) o Institucional (I). 5.Proceso a auditar y materia de auditora
Corresponde a la identificacin del proceso - subproceso - etapa consignada en el Plan Anual correspondiente y la materia o tema especfico que ser auditada en ste. 6.Equipo de auditores y responsable del equipo
Se debe sealar nombre y profesin de las personas que realizarn la auditora, incluyendo su cargo o funcin, las reas y temas tratados por cada uno de ellos, cuando corresponda. Adems se debe identificar el profesional que estar a cargo del equipo en la auditora.
Documento que contiene los procedimientos a seguir durante el trabajo de auditora, diseado para cumplir con el plan de trabajo especfico.
______________________________________________________________________________ 4
7.-
Objetivos generales de la auditora
Los objetivos generales corresponden a los propsitos globales que se pretende alcanzar al auditar un proceso, subproceso o etapa crtica que se va a auditar. En consecuencia, los objetivos generales aqu sealados, deben ser coherentes con los sealados previamente en el Plan Anual de Auditora. Los objetivos generales deben ser cumplidos en la ejecucin de la auditora. El resultado y las conclusiones finales de esta actividad deben estar contenidos en el informe de auditora. Por otra parte, los objetivos especficos de auditora (que sern analizados ms adelante en este documento) se deben relacionar directamente con los objetivos generales definidos en el programa de auditora y con los riesgos operativos identificados como puntos crticos. En anexo N 1 se presenta un ejemplo de relaciones bsicas entre los objetivos generales y otros elementos relevantes en la fase de programacin en auditora. 8.Alcance de la auditora
El alcance depender de la estructura, complejidad y caractersticas del proceso o sistema que se auditar: perodo de tiempo que abarca la revisin; tamao de la muestra auditada respecto al universo total (cantidad de personas, registros, etc.); profundidad o amplitud de anlisis de los temas auditados. En el caso de auditar transferencias u otros recursos medibles en dinero, el alcance se puede expresar como el porcentaje que representa la muestra auditada respecto al total del tem del presupuesto. En el programa debe sealarse adems del alcance en trminos cualitativos y/o cuantitativos, los criterios utilizados para determinar las muestras de auditora. 9.Mtodo para determinar las muestras de auditora
En relacin con las muestras de auditora seleccionadas, cuando no es posible realizar una verificacin total de las transacciones o hechos de una poblacin, en consideracin al tiempo y costo, stas pueden ser determinadas usando mtodos estadsticos, tales como: muestreo aleatorio simple, muestreo estratificado, muestreo por conglomerados (muestreo sistemtico o muestreo por reas) o mtodos no estadsticos, tales como: muestreo por conveniencia, muestreo por juicio o muestreo por cuotas, entre otros. La muestra seleccionada debe ser representativa de acuerdo con la poblacin en estudio, de esta forma se dar suficiente respaldo a las conclusiones obtenidas en la auditora. Cualquiera sea el caso, el mtodo de muestreo a utilizar en la auditora deber quedar descrito en el programa. 10.Oportunidad y periodo
Se refiere a la fecha de comienzo de realizacin de la auditora y a la estimacin del perodo de tiempo que se emplear en la programacin, ejecucin e informe de auditora. Aqu deber consignarse el tiempo proyectado desde el diseo de la programacin hasta la elaboracin del
______________________________________________________________________________ 5
Informe final de auditora. El perodo de tiempo aqu consignado debe guardar coherencia con la utilizacin del tiempo indicada en el informe por el auditor. 11.Horas de auditora
Corresponde sealar y relacionar el nmero de horas hombre estimadas para la realizacin de la auditora para cada etapa, desde la programacin hasta el informe final. 12.Fuentes de informacin para formular el programa de auditora
Identificar a travs de un estudio preliminar cuales son las principales fuentes de informacin de donde obtener antecedentes para la programacin de la auditora, tales como leyes, decretos, reglamentos, normas especficas, manuales, e instructivos que regulan las operaciones en carcter general, como especficas para cada Ministerio y Servicio. Adicionalmente cuando existe un Proceso de Gestin de Riesgos formal en la entidad, una de las fuentes de informacin para formular el programa de auditora es la Matriz de Riesgos Estratgica generada en dicho Proceso, sin prejuicio de esto, el auditor debera considerar adicionalmente otras fuentes de informacin con la finalidad de enriquecer dicha informacin, a modo de ejemplo: Los papeles de trabajo y sus informes de auditora correspondientes a revisiones anteriores, que contienen informacin til sobre las caractersticas, fortalezas y riesgos de los procesos y reas auditadas anteriormente, las transacciones que puedan requerir un anlisis especial y el nivel de eficiencia del sistema de control interno de la organizacin y de cada proceso en particular. Los resultados de las auditoras de aseguramiento del Proceso de Gestin del Riesgo, en particular la calidad del levantamiento. Tambin podran constituirse en una adecuada fuente de informacin, los resultados de la participacin de empresas de auditora externa, especialmente en casos de auditora a los estados financieros, en asesoras a casos particulares o los resultados de la participacin de algn experto en la entidad o en otras entidades del sector pblico, que pueda considerarse interesante como benchmarking para el Servicio. Otra fuente de informacin que debe considerarse en la planificacin son los informes de fiscalizacin emitidos por la Contralora General de la Repblica en sus revisiones habituales y especiales en el Servicio y, los emitidos por otros organismos supervisores y reguladores en el uso de sus facultades. Los informes de seguimiento, tanto los de auditora interna, auditoras externas y Contralora General de la Repblica. Los resultados de las evaluaciones de entidades y programas que realiza la Direccin de Presupuestos (Balance de Gestin Integral, Evaluacin Comprehensiva del Gasto, etc.) y las bases de datos para consulta de jurisprudencia, normas contables para el sector gubernamental de la Contralora General de la Repblica.
______________________________________________________________________________ 6
Las investigaciones y procesos sumariales administrativos que se han realizado en la entidad. Finalmente, siempre es importante considerar como fuente de informacin los cambios significativos en el negocio y los nuevos procesos, programas, sistemas o sistemas de control. Todas estas fuentes de informacin podran ser usadas para analizar los puntos crticos a considerar en la formulacin del programa de auditora. 13.Cronograma especfico para realizar la auditora
Es recomendable adjuntar al programa, un cronograma estimado de actividades, confeccionado en base a los antecedentes que conforman los puntos 10 y 11 anteriores. En este cronograma se podra incluir el tiempo requerido para realizar algunos hitos que en su mayora son comunes a toda auditora. A modo de ejemplo: Planificacin General para determinar los elementos bsicos del programa de auditora. Programacin o planificacin especfica para formular los procedimientos especficos de auditora, indicando la tarea. Tiempos de viaje y traslado de los auditores Reunin de inicio con las unidades involucradas. Levantamiento y anlisis de la Informacin recopilada. Seleccin de las muestras. Aplicacin de los procedimientos de auditora. Supervisin del equipo en terreno Registro de observacin sealando riesgo e implicancia y recomendacin. Correccin de papeles de trabajo Entrevistas con el personal de las Unidades involucradas. Elaboracin de la propuesta de Informe detallado e informe ejecutivo. Entrevista con Unidades relacionadas para analizar hallazgos y debilidades de control. Confeccin del informe final. Entrega de informe a la Jefatura del Servicio. 14.Uso de Tcnicas de Auditora Asistidas por Computador
En el caso que en la auditora sea necesario utilizar aplicaciones o software de auditora para analizar cualitativamente o cuantitativamente la informacin, debe dejarse constancia del software especfico, su versin y cul es el objetivo para su utilizacin. Sin perjuicio que en la determinacin de procedimientos de auditora aparezcan adecuadamente relacionados los objetivos especficos de auditora, los procedimientos y la funcionalidad del software que se aplicar. 15.Identificacin de los puntos crticos en el programa de auditora
15.1- Escenarios para la Etapa de Programacin o Planificacin Especfica De acuerdo con normas de auditora para realizar la programacin especfica se deben considerar los riesgos existentes en la organizacin y en particular en el proceso que se vaya a realizar la auditora, por lo tanto en trminos generales se puede dar las siguientes situaciones:
______________________________________________________________________________ 7
a.-
La Entidad Gubernamental no cuenta con un Proceso de Gestin de Riesgos
En este escenario el programa de auditora debe basarse en alguna metodologa para la identificacin y evaluacin de riesgos relevantes, adecuadas a la naturaleza propia de cada entidad. Para llevar a cabo las actividades de programacin en este escenario se recomienda considerar el modelo presentado en el Documento Tcnico N 24 versin 0.3 del ao 2006. En la prctica se trata de que la auditora interna a travs de un estudio formule una matriz preliminar para anlisis que le permita definir los puntos crticos en el programa de auditora, realizando para tal efecto una desagregacin de procesos, subprocesos y etapas, identificando y valorizando riesgos y controles y definiendo finalmente la exposicin al riesgo. Posteriormente en base a esa informacin, puede proceder a priorizar los puntos crticos que auditar. En el caso anterior, la sealada matriz es formulada slo para efectos de sistematizar el anlisis, y priorizar las actividades de auditora en la programacin y no es parte de un Proceso de Gestin de Riesgos, por lo tanto no contribuye al tratamiento de los riesgos y podra no considerar las orientaciones estratgicas de la Direccin de la entidad. b.Existencia de un Proceso de Gestin de Riesgos formal en la Entidad Gubernamental
En este escenario destaca el hecho de que el auditor debe dar aseguramiento permanente a la Jefatura del Servicio respecto del Proceso de Gestin de Riesgos que se lleva a cabo. Una de las fuentes para formular el Plan Anual de Auditora es la informacin que est en la Matriz de Riesgos Estratgica generada en el Proceso de Gestin de Riesgos en la entidad. Sin embargo, en la oportunidad de programar la auditora ser necesario evaluar si se debe enriquecer la informacin para el anlisis y determinacin de los puntos crticos para el programa de auditora, mediante el uso de otros antecedentes provenientes de fuentes de informacin confiables, asociadas directamente con el trabajo del auditor. En el contexto descrito se pueden presentar dos situaciones amplias2: Considerar fundadamente como fuente de informacin para la determinacin de los puntos crticos en el programa de auditora slo la informacin contenida en el Plan Anual de Auditora, que se basa principalmente en la identificacin y valuacin de las etapas y riesgos operativos de los subprocesos y procesos obtenidos de la Matriz de Riesgos Estratgica. Considerar fundadamente, al momento de la programacin, complementar y mejorar (slo para efectos del programa de auditora) la informacin contenida en el Plan Anual de Auditora, que se basa principalmente en la identificacin y valuacin de las etapas y riesgos operativos de los subprocesos y procesos obtenidos de la Matriz de Riesgos Estratgica, sobre la base de fuentes de informacin confiables.
2 En ambos casos, se debe fundamentar adecuadamente el criterio a utilizar para priorizar los puntos crticos en el programa de auditora
______________________________________________________________________________ 8
Este procedimiento implica que es posible agregar3, a la informacin de las etapas y riesgos operativos de los procesos y subprocesos considerados en el Plan Anual de Auditora4, otras etapas y/o riesgos operativos que no han sido levantados en la Matriz de Riesgos Estratgica y, que a juicio del auditor interno enriquecern el anlisis para la formulacin del programa de trabajo. Para determinar los puntos crticos en el programa de auditora en esta ltima situacin, se debe considerar el modelo presentado en este Documento Tcnico N 24 versin 0.4 del ao 2008. 15.2.- Definicin del alcance de las fuentes de informacin a utilizar para la identificacin de puntos crticos en la programacin de auditora En cualquiera de los dos casos descritos en la letra anterior, se requerir realizar un estudio preliminar que debera entregar una adecuada justificacin, es decir, definir y describir fundadamente cul es el procedimiento que se utilizar para determinar los puntos crticos en el programa de auditora. Entre las justificaciones que puede dar el auditor para esa definicin se pueden considerar, entre otras, las siguientes alternativas: En el momento de formular el programa de auditora, el proceso a auditar individualizado en el Plan Anual de Auditora est levantado en la Matriz de Riesgo Estratgica en forma adecuada a nivel de etapas, identificacin y valuacin de los riesgos y controles en el Servicio. En el momento de formular el programa de auditora, el proceso a auditar individualizado en el Plan Anual de Auditora no est levantado en la Matriz de Riesgo Estratgica en forma adecuada a nivel de etapas, identificacin y valuacin de los riesgos y controles en el Servicio o tiene algunas deficiencias importantes que dificultan trabajar la informacin directamente a ese nivel. En el momento de formular el programa de auditora, el proceso a auditar individualizado en el Plan Anual de Auditora no est levantado en la Matriz de Riesgo Estratgica en forma adecuada a nivel de etapas, ya que existen algunas de ellas, a juicio del auditor, que no se consideran o slo se consideran parcialmente. En el momento de formular el programa de auditora, el proceso a auditar individualizado en el Plan Anual de Auditora no est levantado en la Matriz de Riesgo Estratgica en forma adecuada a nivel de riesgos operativos, ya que existen algunos de ellos, a juicio del auditor, que no se consideran o slo se consideran parcialmente. En el momento de formular el programa de auditora se observa que desde la formulacin del Plan Anual de Auditora aprobado en la Entidad el subproceso priorizado en dicho Plan se ha reformulado, identificndose etapas y/o riesgos nuevos que deberan ser analizados para definir los puntos crticos en el programa de auditora.
Slo para efectos de mejorar la informacin para anlisis y determinacin de los puntos crticos. No se trata ni corresponde al auditor cambiar directamente la Matriz de Riesgos Estratgica 4 La informacin proviene de la Matriz de Riesgos Estratgica o del levantamiento realizado por el auditor en subprocesos que no estaban considerados en dicha matriz al momento de formular el Plan.
______________________________________________________________________________ 9
A continuacin, se presenta en el cuadro N 1, un ejemplo de posibles acciones a seguir por el auditor interno, de acuerdo a la situacin que presente la informacin contenida en el Plan Anual de Auditora en relacin con la Matriz de Riesgos Estratgica formulada en el Proceso de Gestin de Riesgos, al momento de programar la auditora. Cuadro N 1. Ejemplo de posibles acciones a seguir por el auditor interno
Situacin del proceso considerado en el Plan Anual al momento de programar la auditora En el momento de formular el programa de auditora, el proceso a auditar individualizado en el Plan Anual de Auditora est levantado en la Matriz de Riesgo Estratgica en forma adecuada a nivel de etapas, identificacin y valuacin de los riesgos y controles en el Servicio En el momento de formular el programa de auditora, el proceso a auditar individualizado en el Plan Anual de Auditora no est levantado en la Matriz de Riesgo Estratgica en forma adecuada a nivel de etapas, identificacin y valuacin de los riesgos y controles en el Servicio o tiene algunas deficiencias importantes que dificultan trabajar la informacin directamente a ese nivel En el momento de formular el programa de auditora, el proceso a auditar individualizado en el Plan Anual de Auditora no est levantado en la Matriz de Riesgo Estratgica en forma adecuada a nivel de etapas, ya que existen algunas de ellas, a juicio del auditor, que no se consideran o slo se consideran parcialmente V5 F Accin posible Utilice directamente informacin del Plan Anual de Auditora (etapas/riesgos) Complemente etapas y/o riesgos operativos de la informacin dispuesta en el Plan Anual de Auditora Utilice directamente informacin del Plan Anual de Auditora (etapas/riesgos) Complemente etapas y/o riesgos operativos de la informacin dispuesta en el Plan Anual de Auditora X Utilice directamente informacin del Plan Anual de Auditora (etapas/riesgos) Complemente etapas y/o riesgos operativos de la informacin dispuesta en el Plan Anual de Auditora Utilice directamente informacin del Plan Anual de Auditora (etapas/riesgos) Complemente etapas y/o riesgos operativos de la informacin dispuesta en el Plan Anual de Auditora Complemente etapas y/o riesgos operativos de la informacin dispuesta en el Plan Anual de Auditora Utilice directamente informacin del Plan Anual de Auditora (etapas/riesgos)
En el momento de formular el programa de auditora, el proceso a auditar individualizado en el Plan Anual de Auditora no est levantado en la Matriz de Riesgo Estratgica en forma adecuada a nivel de riesgos operativos, ya que existen algunos de ellos, a juicio del auditor, que no se consideran o slo se consideran parcialmente
X Desde la formulacin del Plan Anual de Auditora aprobado en la Entidad se ha reformulado el subproceso priorizado en dicho Plan X
V= Verdadero, F=Falso
______________________________________________________________________________ 10
15.3.- Nivel de la informacin a complementar para la identificacin de los puntos crticos en el programa de auditora En el caso que el auditor interno decida fundadamente que para identificar los puntos crticos en el programa de auditora debe necesariamente enriquecer la informacin a nivel de etapas y riesgos operativos dispuesta en el Plan Anual de Auditora, el complemento de informacin que puede realizar el auditor interno, ser slo a nivel de etapas y/o riesgos operativos del proceso, ya que en la Etapa de Planificacin General de Auditora, se hicieron, si corresponda, los ajustes a nivel de Procesos y Subprocesos. Lo antes descrito requerir considerar lo siguiente:

Para las nuevas etapas identificadas por el auditor (que no estn contenidas en el Plan de Auditora ni desagregadas en la Matriz de Riesgos Estratgica) se requiere realizar un levantamiento y desagregacin de informacin adicional para identificar los objetivos, los riesgos, controles mitigantes y, su posterior valuacin y anlisis6 que permita determinar, para efectos de anlisis comparativos, el nivel de exposicin al riesgo para las nuevas etapas y para los nuevos riesgos operativos. Para todos los nuevos riesgos de las etapas que ya haban sido identificadas en el Plan Anual de Auditora ser necesario identificar y valuar los riesgos, controles y determinar el nivel de exposicin al riesgo de acuerdo al mismo mtodo utilizado en el punto anterior. En ambos casos, una vez calculada la exposicin al riesgo para todos los riesgos operativos, se utilizar para determinar los puntos crticos, la informacin a nivel de etapas y riesgos operativos dispuesta en el estudio realizado, basndose por lo tanto, en la informacin sobre los niveles de severidad, probabilidad, impacto o exposicin al riesgo o una combinacin de ellas.
Como puede derivarse de lo antes descrito, el auditor puede considerar que deben identificarse nuevos riesgos dentro de las etapas que se sealan en el Plan Anual de Auditora, o bien que deben identificarse nuevas etapas con sus respectivos riesgos. En el caso que el auditor decida fundadamente, no complementar la informacin para la identificacin de los puntos crticos en el programa de auditora, entonces no debe usar el mtodo presentado en este punto. Por consiguiente, en ese caso slo utilizar para determinar los puntos crticos la informacin a nivel de etapas y riesgos operativos dispuesta en el Plan Anual de Auditora7, basndose en la informacin que entrega sobre los niveles de severidad, probabilidad, impacto o exposicin al riesgo o una combinacin de ellas. 15.4.- Resultado del anlisis de la informacin Como resultado del estudio preliminar desarrollado en el punto anterior, deben identificarse claramente los puntos crticos a incluir en el programa de auditora. Estos deben considerar lo siguiente: Identificacin a nivel de riesgo (s) operativo (s) Identificacin a nivel de etapa (s). En este caso se deben incluir todos los riesgos operativos identificados en la etapa (s) especfica (s) de un subproceso.
Se debe utilizar las tablas de valuacin para riesgos, controles y exposicin del anexo N 3. La informacin proviene de la Matriz de Riesgos Estratgica y/o del levantamiento realizado por el auditor en subprocesos que no estaban considerados en dicha matriz al momento de formular el Plan Anual de Auditora.
7
______________________________________________________________________________ 11
15.5.- Identificacin de puntos crticos Para identificar los puntos crticos debe utilizarse algn criterio especfico, que puede ser por ejemplo el nivel de impacto, probabilidad, severidad, exposicin o una combinacin de ellas. Es fundamental que en el programa de auditora se seale cul fue el criterio que opt el auditor para identificar los puntos crticos. 16.- Definicin de objetivos especficos en el programa de auditora Una vez identificados los puntos crticos, idealmente al nivel de riesgos operativos relevantes que podran impedir el logro de los objetivos definidos por el Servicio para cada etapa e identificados los controles asociados a cada riesgo, es oportuno y necesario definir los objetivos especficos de auditora que se incorporarn en el programa de trabajo. Los objetivos especficos de auditora corresponden a la finalidad del trabajo del auditor, fijada en relacin a los objetivos generales de auditora y al nivel y tipo de riesgo detectado. Permiten orientar el trabajo para evaluar y determinar cul es el nivel del riesgo residual efectivo que presenta un riesgo especfico o el proceso completo. En definitiva, los objetivos especficos deben guardar estrecha relacin con los objetivos generales definidos en el Plan Anual y en el programa, debindose procurar que el resultado de la auditora permita cumplirlos adecuadamente. Deben ser coherentes con la descripcin de los riesgos operativos identificados, puesto que al cumplir un objetivo de auditora especfico exitosamente, debe concluirse, en trminos descriptivos con observaciones precisas y detalladas sobre el nivel de exposicin al riesgo y la adecuacin del sistema de control interno, de tal forma que la administracin pueda tomar esta informacin como un insumo esencial en la evaluacin cuantitativa de los riesgos y controles, modificando, actualizando o definiendo estos aspectos en la Matriz de Riesgos Estratgica. En anexo N 1 se presenta un ejemplo de relaciones bsicas entre los objetivos generales y otros elementos relevantes en la fase de programacin en auditora. 17.- Formulacin de procedimientos de trabajo para cumplir con los objetivos especficos de auditora Para satisfacer o alcanzar los objetivos especficos de auditora mediante la obtencin de informacin suficiente, competente, relevante y til, se deben disear y aplicar procedimientos de auditora para obtener informacin y evidencia que corrobore, entre otros, el nivel de efectividad y calidad de los controles mitigantes asociados al riesgo identificado. Es necesario tener presente que en el diseo de estos procedimientos de auditora, se debe considerar el tiempo estimado que se requiere para su aplicacin. Este elemento debe ser coherente con lo sealado en los puntos 7, 8, 9 y 10 de este documento. Estos elementos del programa se sugieren presentar y listar por escrito, en un formato similar al ejemplo dispuesto en anexo N 2. La informacin y datos pueden estar slo o principalmente disponibles en formato electrnico y por lo tanto, pueden existir en un determinado momento, por lo que el auditor al elegir los procedimientos de auditora debe tener en cuenta que la evidencia puede resultar imposible de conseguir despus de un cierto periodo.
______________________________________________________________________________ 12
Con la finalidad de definir adecuadamente la naturaleza, extensin y oportunidad de los procedimientos de auditora el auditor interno debe enfocarse a los riesgos ms relevantes. Una variable importante en la definicin de la naturaleza y extensin de los procedimientos a aplicar, es el nivel de Riesgo de Auditora que determine el auditor previamente (en anexo N 5 se incluyen conceptos bsicos sobre Riesgo de Auditora). Una vez que se han diseado completamente los procedimientos de auditora, tanto en su naturaleza, extensin y oportunidad, se ha concluido la formulacin del programa de auditora, que ser el documento gua que utilizar el auditor para efectuar su revisin y obtener informacin y evidencia adecuada en cantidad y calidad de los hallazgos de auditora que se informarn posteriormente al Jefe de Servicio. Finalmente, la aplicacin del programa de auditora debe ser supervisada rigurosamente durante su aplicacin y hasta el final de la auditora, con el propsito de alcanzar exitosamente los objetivos generales y especficos de auditora dispuestos en el programa. Producto de estas supervisiones, es probable que dicho programa pueda ser ajustado en el transcurso de la auditora, con la finalidad de adecuarlo a nuevas necesidades. V.- RESUMEN DEL ANLISIS De acuerdo a lo detallado en el presente documento, al momento de formular el programa de auditora y determinar los puntos crticos a auditar, el auditor debe realizar el siguiente estudio preliminar, siguiendo los pasos que a continuacin se indican:

Determinar fundadamente si la informacin del Plan Anual de Auditora a nivel de etapas y riesgos operativos, debe ser complementada con un estudio preliminar basado en fuentes de informacin confiables para una mejor identificacin de los puntos crticos. En caso que fundadamente no se requiera lo anterior, deben seleccionarse los puntos crticos utilizando criterios de severidad, impacto, probabilidad, exposicin o una combinacin de ellos. La base para realizar este anlisis ser la informacin dispuesta en el Plan Anual de Auditora al momento de la programacin. En caso que se requiera complementar la informacin para anlisis de los puntos crticos, debe acudirse a fuentes de informacin confiables, tales como las sealadas en el punto 12 de este documento. Adicionalmente, siempre debe documentarse el uso de fuentes de informacin y variables que sustentan la incorporacin de puntos crticos. Con base en la informacin anterior, ser posible adicionar nuevas etapas y/o riesgos operativos a los identificados en el Plan Anual de Auditora. Para las nuevas etapas se debe usar la misma metodologa utilizada en la Matriz de Riesgos Estratgica, es decir, identificar el objetivo, identificar y valuar los riesgos que lo afectan y los controles mitigantes asociados a los riesgos. Para los nuevos riesgos considerados en etapas ya incluidas en el Plan Anual de Auditora, debe utilizarse la metodologa antes sealada para valuar los riesgos, identificar los controles mitigantes, determinar su valorizacin y obtener el nivel de exposicin al riesgo. Toda la informacin de las etapas y riesgos operativos (identificados en el Plan Anual de Auditora y, las nuevas, determinadas por el auditor al momento de la programacin) ser la base para priorizar la seleccin de los puntos crticos en el programa de auditora8. Para la determinacin de los puntos crticos en el programa de auditora debe analizarse la informacin a nivel de etapas y riesgos operativos dispuesta en el estudio realizado,
Matriz preliminar para anlisis
______________________________________________________________________________ 13
basndose entonces en los niveles de severidad, probabilidad, impacto o exposicin al riesgo o una combinacin de ellas. A continuacin se deben determinar los objetivos especficos de auditora que se perseguirn en el desarrollo de la labor y que permitirn orientar la evaluacin del nivel de riesgo residual operativo y del sistema de control interno, para cada punto crtico. Posteriormente se deben formular los procedimientos de auditora para evaluar la efectividad de los controles mitigantes existentes. Estos procedimientos deben formularse con la finalidad de satisfacer los objetivos de auditora especficos definidos en el programa de trabajo y obtener evidencia suficiente y competente. Finalmente, se deben presentar y listar por escrito en el programa de auditora; los puntos crticos, los objetivos especficos de auditora y las actividades y procedimientos de trabajo que se aplicarn para cumplir con ellos (en anexo N 2 se presenta un formato similar al utilizado en el ejemplo siguiente).
VI.- EJEMPLO DE DETERMINACIN DE PUNTOS CRTICOS PARA EL PROGRAMA DE AUDITORA 1.- Antecedentes del ejemplo En el ejemplo que se presenta a continuacin, la unidad de auditora interna ha determinado emplear una serie de fuentes de informacin confiables para formular el programa de auditora y mejorar el anlisis y determinacin de los puntos crticos. Esto debido a que en el transcurso del ao y despus de la auditora de aseguramiento se han recogido antecedentes que no otorgan confianza razonable para el auditor, respecto de la desagregacin y anlisis de los riesgos dispuesta en la Matriz de Riesgos Estratgica, que fue la base principal para formular el Plan Anual de Auditora. Las siguientes fuentes de informacin se han utilizado para definir los puntos crticos en el programa de auditora: Plan Anual de Auditora aprobado. ltima versin de la Matriz de Riesgos Estratgica de la entidad, construida como resultado del Proceso de Gestin de Riesgos. Informes externos de organismos fiscalizadores y supervisores emitidos durante el periodo. Informes de la unidad de auditora interna emitidos durante el periodo. Informes de seguimiento de origen interno y externos a la entidad del periodo. En las prximas pginas del documento se presentan los antecedentes y elementos que se han utilizado para determinar los puntos crticos en este ejemplo: 2.- Matriz de Riesgos Estratgica (simplificada) construida en el Proceso de Gestin de Riesgos de la entidad. Ver pgina 17. Corresponde a la informacin de los procesos, subprocesos, etapas, objetivos, riesgos, controles y exposiciones levantadas y analizadas por la Administracin en la ltima Matriz de Riesgos Estratgica. En el ejemplo se trata de una Matriz de Riesgos Estratgica simplificada, que presenta informacin del proceso Abastecimiento y del subproceso Planificacin, que ha sido desagregado en la etapa Definiciones de compra, en la cual se ha identificado y analizado un
______________________________________________________________________________ 14
riesgo operativo y en la etapa Definiciones tcnicas, en la cual se han identificado y analizado dos riesgos operativos. 3.- Plan Anual de Auditora (simplificado). Ver pgina 18. Corresponde a la informacin de cules sern las actividades de auditora a realizar durante el ao. En este caso se hace el supuesto que el Plan de Auditora fue formulado utilizando la versin disponible de la Matriz de Riesgos Estratgica en esa oportunidad. En el ejemplo se ha priorizado para el Plan Anual de Auditora, el proceso Abastecimiento y el subproceso Planificacin y las dos etapas, de las cuales se han seleccionado un riesgo operativo para cada una. Esta seleccin fue en base al criterio de una combinacin entre las mayores severidades y exposiciones. 4.- Anexo: Fundamentacin de las nuevas etapas y/o riesgos adicionados para el anlisis de puntos crticos9. Ver pgina 19. Corresponde a la justificacin de cules sern los nuevos riesgos y/o nuevas etapas y sus riesgos correspondientes, que a juicio del auditor se utilizarn para complementar el anlisis de los puntos crticos en el programa de trabajo. Debe realizarse utilizando un formato donde adems de sealarse los nuevos riesgos y/o etapas, se debe describir la fuente utilizada para su identificacin y una justificacin global de su impacto en el subproceso y proceso. Cuando se utiliza este anexo es obligatorio acompaarlo con el programa de auditora. 5.- Informacin en anexo con matriz preliminar para anlisis (simplificada), incluye los nuevos riesgos y/o etapas identificadas por el auditor. Ver pgina 20. Corresponde al conjunto de informacin que est en el Plan Anual de Auditora y a la informacin levantada por el auditor interno10 en base a las fuentes de informacin sealadas en el formato dispuesto en el punto anterior. En el ejemplo, se trata de una matriz preliminar para anlisis (simplificada) que presenta informacin del proceso Abastecimiento y del subproceso Planificacin, que ha sido desagregado en la etapa definiciones de necesidades de compra por producto, en la cual se ha adicionado slo para efectos del anlisis, un riesgo (asocindosele en total dos riesgos) y, en la etapa definiciones tcnicas, a la cual se le ha adicionado slo para efectos del anlisis, un riesgo (asocindosele en total dos riesgos). Utilizando el criterio basado en una combinacin de los mayores niveles de exposicin y severidad de todos los riesgos operativos, identificados en las dos etapas del subproceso Planificacin se seleccionan dos riesgos como puntos crticos11: Sistemas de informacin no entregan informacin actualizada y oportuna sobre niveles de stock.
9
Corresponde a las etapas y riesgos no considerados en el Plan Anual de Auditora a la fecha del programa. La metodologa utilizada para la matriz preliminar para anlisis, debe ser la misma con la cual se construye la Matriz de Riesgos Estratgica. 11 Basado en una combinacin de los mayores niveles de exposicin y severidad. Considerando las competencias existentes y los recursos disponibles de la unidad de auditora.
10
______________________________________________________________________________ 15
Deficiencias y errores en la definicin de requisitos tcnicos para compra de productos, en relacin a las necesidades de la organizacin. 6.- Esquema de anlisis para determinar los puntos crticos. Ver pgina 21. Para efectos de una mejor explicacin, se presenta un esquema que muestra la necesaria coherencia que debe existir desde la identificacin de puntos crticos, hasta la formulacin de los procedimientos de auditora, y cuyo flujo corresponde al siguiente: En el Plan Anual de Auditora, se han identificado como actividades de auditora los proceso (s) y subproceso (s) desagregados hasta el nivel de riesgos operativos. Por otra parte, se ha agregado informacin sobre nuevos riesgos y/o sobre nuevas etapas y riesgos operativos identificados por el auditor en base a fuentes confiables, que tienen la finalidad de enriquecer el anlisis de los puntos crticos. Deber definirse el criterio que se utilizar para identificar los puntos crticos. El criterio puede ser la severidad, la probabilidad, el impacto, exposicin o una combinacin entre ellos. El anlisis se inicia con la seleccin de los riesgos operativos que se han priorizado como puntos crticos. Los riesgos deben ser eventos que afectan en forma negativa el cumplimiento de los objetivos de las etapas a los cuales corresponden. Para su seleccin se deben utilizar los criterios y la metodologa previamente descrita, utilizando como universo todos los riesgos operativos identificados previamente en el Plan Anual de Auditora y los identificados al momento de programar la auditora por el auditor (matriz preliminar para anlisis). Contina el anlisis con la definicin de objetivos especficos de auditora que orientarn el propsito del trabajo. Estos objetivos deben relacionarse directamente con la naturaleza de los riesgos operativos antes identificados. Finalmente se realiza la formulacin de los procedimientos de auditora (sustantivos, de cumplimiento, analticos, etc.) para obtener informacin relevante, completa y til que permita satisfacer los objetivos y obtener la evidencia suficiente y competente sobre la efectividad de los controles mitigantes y sobre el sistema de control interno en general. 7.- Programa de auditora (simplificado). Ver pgina 22. Corresponde a la documentacin formal de los puntos crticos obtenidos en base al esquema previamente descrito, de los objetivos especficos de auditora y de los procedimientos de auditora a aplicar para realizar el trabajo. Dicho programa debe cumplir los requisitos y contener los elementos sealados en este documento.
______________________________________________________________________________ 16
Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________ 1.- MATRIZ DE RIESGOS ESTRATGICA (SIMPLIFICADA) CONSTRUIDA EN EL PROCESO DE GESTIN DE RIESGOS
RIESGOS OPERATIVOS IDENTIFICADOS PROCESO SUBPROCESO ETAPAS OBJETIVO OPERATIVO DE LA ETAPA CONTROLES CLAVES EXISTENTES NIVEL EFECTIVIDAD DESCRIPCIN DEL CONTROL VALOR PD O A NIVEL VALOR CLASIFICACIN DE EXPOSICIN AL RIESGO
DESCRIPCIN DEL RIESGO
PROBABILIDAD CLASIFIC VALOR
IMPACTO CLASIFIC VALOR
SEVERIDAD DEL RIESGO VALOR
Abastecimiento N.E = Media (3,0)
Planificacin N.E. = Media (3,4)
Asegurar que se adquieren las Definicin de cantidades necesidades por producto de compra por necesarias producto para (Cantidades) abastecer las necesidades de la N.E.= Media Institucin. (4) Otros Otros
Deficiencias errores en definicin cantidades compra productos, relacin a necesidades de organizacin.
y la de de de en las la
Probable
Mayores
Extremo
16
Existe un sistema de informacin informtico que entrega informacin histrica y proyectada, cada 4 meses, la que se utiliza como base para la programacin de compras para productos.
Pd
Pv
At
Mayor
Definicin de especificacio nes tcnicas (Caractersti cas y calidades) N.E.= Menor (3) Otros Otros
Otros x Faltan capacidades tcnicas del Asegurar que personal para definir Moderado las especificaciones especificacio nes tcnicas de los bienes No se encuentran de que se Proveedores bienes en el M de adquieren, a las satisfacen las acuerdo especificaciones necesidades Moderado de la tcnicas Institucin.
Moderado
Alto
Moderado
Alto
Otros... La empresa realiza capacitaciones al personal encargado cada 6 meses en materias tcnicas. Cada 6 meses se hace un estudio de los proveedores que existen en el mercado y que productos y condiciones tcnicas ofrecen.
Pd
Dt
Ma
Media
Pd
Dt
Ma
Media
Otros
Otros
Otros
(*) N.E. = Nivel de Exposicin Promedio
________________________________________________________________________________
17
2.- PLAN ANUAL DE AUDITORA (SIMPLIFICADO)

Nmero: 1 Nombre del Servicio: Gubernamental Cdigo: A-21 Versin: 01 Pginas: 2
Ministerio
Plan Anual de Auditora perodo 2008 Fecha de Emisin: 15.12.2007
Objetivo de Control: Objetivos Institucionales Actividad de auditora N 1: Auditora a al proceso Abastecimiento Objetivo General de auditora: Evaluar los niveles de eficiencia obtenidos en el ciclo de adquisicin de productos, en trminos de calidad, cantidad y oportunidad, en base a requerimientos organizacionales. Alcance General: Nivel de severidad o Proceso Subproceso Etapas Riesgos Criterio utilizado exposicin Definicin de necesidades de compra por producto (Cantidades) Deficiencias y errores en la definicin de cantidades de compra de productos, en relacin a las necesidades de la organizacin. Mayor (4) Extremo (16) Exposicin Severidad
Obtenido de la informacin proveniente de la Matriz de Riesgos Estratgica
Abastecimiento
Planificacin
Definicin de especificaciones Faltan capacidades tcnicas del tcnicas personal para definir (Caractersticas y especificaciones calidades)
Media (3)
Exposicin
Alto (9)
Severidad
Actividad de auditora N 2:. Actividad de auditora N n:.
________________________________________________________________________________
18
3.- INFORMACIN EN ANEXO PARA FUNDAMENTACIN DE LAS NUEVAS ETAPAS Y/O RIESGOS ADICIONADOS PARA EL ANLISIS DE PUNTOS CRTICOS12 (CUANDO SE UTILIZA ESTE ANEXO13 ES OBLIGATORIO ACOMPAARLO CON EL PROGRAMA DE AUDITORA)
En este ejemplo slo se han adicionado al anlisis nuevos riesgos para etapas ya identificadas en el Plan Anual de Auditora. Tambin habra sido posible identificar nuevas etapas del subproceso y analizar sus respectivos riesgos.
Nombre del riesgo identificado por auditora interna
Objetivo de la Etapa que afecta
Nombre de la etapa al que corresponde el riesgo identificado
Nombre del subproceso identificado en el Plan Anual de Auditora al que corresponde
Fuente de informacin utilizada
Justificacin global de su impacto en el subproceso y proceso
Asegurar que se Sistemas de informacin adquieren las Definicin de no entregan informacin cantidades por necesidades de compra actualizada y oportuna producto necesarias por producto sobre niveles de stock. para abastecer las (Cantidades) necesidades de la Institucin. Deficiencias y errores en la definicin de requisitos tcnicos para compra de productos, en relacin a las necesidades de la organizacin. Asegurar que las especificaciones tcnicas de los bienes que se adquieren, satisfacen las necesidades de la Institucin.
Planificacin
Informe de auditora externa CI N 5 del 03.04.08
Este riesgo es relevante debido a que en el informe se ha detectado algunos problemas recurrentes que implican $ xx, y cuyo origen es la falta de definicin de necesidades por producto. Este riesgo es relevante debido a que en el informe se detect que pese a que se han implementado las medidas comprometidas, los problemas persisten. La causa detectada es que las especificaciones tcnicas tienen dficit.
Definicin de especificaciones tcnicas (Caractersticas y calidades)
Planificacin
Informe de seguimiento de auditora interna N 7 del 02.05.08
Obtenido en base a fuentes de informacin confiables para la auditora interna con la finalidad de mejorar el anlisis de los puntos crticos
12 13
Corresponde a las etapas y riesgos no considerados en el Plan Anual de Auditora a la fecha de formulacin del programa de trabajo. En anexo N 6 de este documento se presenta el formato para la fundamentacin de las nuevas etapas y/o riesgos en el anlisis de la programacin.
________________________________________________________________________________
19
4.- ANEXO: INFORMACIN EN MATRIZ PRELIMINAR PARA ANLISIS (SIMPLIFICADA), INCLUYE LOS NUEVOS RIESGOS ANALIZADOS POR EL AUDITOR SE DESTACAN EN COLOR ROJO. (CUANDO SE UTILIZA ESTE ANEXO ES OBLIGATORIO ACOMPAARLO EN EL PROGRAMA DE AUDITORA)
ETAPAS PROCESO SUBPROCESO (PUNTOS CRITICOS) OBJETIVO OPERATIVO DE LA ETAPA DESCRIPCION DEL RIESGO RIESGOS OPERATIVOS IDENTIFICADOS CONTROLES CLAVES EXISTENTES NIVEL EFECTIVIDAD VALOR PD O A NIVEL VALOR CLASIFICACION DE EXPOSICIN AL RIESGO
PROBABILIDAD CLASIFIC VALOR
IMPACTO CLASIFIC VALOR
SEVERIDAD DEL RIESGO VALOR
DESCRIPCION DEL CONTROL
Definicin de necesidades de compra por producto (Cantidades)
N.E.= Media (3,5)
Asegurar que se adquieren las cantidades por producto necesarias para abastecer las necesidades de la Institucin.
Abastecimiento
Planificacin
Otros
Otros
Definicin de especificacio nes tcnicas (Caractersti cas y calidades) N.E.= Menor (2,8)
Asegurar que las especificacio nes tcnicas de los bienes que se adquieren, satisfacen las necesidades de la Institucin.
Deficiencias y errores en la definicin de cantidades de compra de Probable productos, en relacin a las necesidades de la organizacin. Sistemas de informacin no entregan Improb. informacin actualizada y oportuna sobre niveles de stock. Otros x Faltan capacidades tcnicas del personal para definir Moderado especificaciones Deficiencias y errores en la definicin de requisitos tcnicos para compra de productos, en Probable relacin a las necesidades de la organizacin.
Mayores
Extremo
16
Existe un sistema de informacin informtico que entrega informacin histrica y proyectada, cada 4 meses, la que se utiliza como base para la programacin de compras para productos. Existe contrato con una empresa externa para mantencin y proteccin de los sistemas. En el mbito fsico y lgico. El Jefe de finanzas monitorea este contrato Otros... La empresa realiza capacitaciones al personal encargado cada 6 meses en materias tcnicas, Existe Comit tcnico que una vez al ao analiza los productos y los avances tecnolgicos con el fin de adecuar y actualizar los requerimientos tcnicos que se solicitan. Para cada adquisicin, se rene un Comisin que analiza la compra especfica a la luz de los criterios del Comit Otros
Pd
Pv
At
Mayor
Moderado
Moderado
Oc
Pv
Sa
Media
Moderado
Alto
Pd
Dt
Ma
Media
Moderado
Alto
12
Pe
Pv
Ma
2.4
Menor
Otros
Otros
Otros
Otros
________________________________________________________________________________
20
5.- ESQUEMA DE ANLISIS PARA DETERMINAR LOS PUNTOS CRTICOS EN EL PROGRAMA DE AUDITORA
Objetivo General de Auditora:
RIESGOS OPERATIVOS PUNTOS CRTICOS PROCEDIMIENTOS DE AUDITORA OBJETIVOS ESPECFICOS DE AUDITORA PARA DETERMINAR LA EFECTIVIDAD DE LOS CONTROLES EXISTENTES.
PROCESOS
SUBPROCESOS
ETAPAS
OBJETIVOS OPERATIVOS DE LA ETAPA
Desagregacin
Desagregacin
Desagregacin
Relacin directa
Relacin directa
Relacin directa
Informacin proveniente del Plan Anual de Auditora
Informacin proveniente del Plan Anual de Auditora y/o del levantamiento realizado por el auditor interno al momento de programar la auditora
Informacin generada a partir de la identificacin de los puntos crticos
________________________________________________________________________________
21
6.- PROGRAMA DE AUDITORA (SIMPLIFICADO)

Descripcin de puntos crticos, objetivos especficos de auditora y procedimientos de auditora a aplicar Puntos crticos: A nivel de riesgos operativos
Deficiencias y errores en la definicin de cantidades de compra de productos, en relacin a las necesidades de la organizacin. Obtenido de la informacin proveniente del Plan de Auditora que se bas en la Matriz de Riesgos Estratgica
Objetivos especficos de auditoria

Examinar si las adquisiciones por producto efectuadas por el Depto. de Adquisiciones, se ajustan a las necesidades de la organizacin.
Detalle actividades y procedimientos auditoria

Determinar la existencia de sistemas de informacin que entreguen informacin oportuna, completa y veraz, sobre niveles de existencia disponibles por productos. Determinar la existencia de procedimientos que consideren aprobaciones de adquisiciones por producto antes de la orden de compra. Evaluar y analizar la informacin de compra establecida en el Plan de Compras por producto, en relacin con las necesidades de la Institucin. Comparar cantidades de compra por producto contempladas en planes de compra originales con los correspondientes ajustes solicitados y realizados, durante el periodo por las unidades operativas. Otros.....
,,,
Deficiencias y errores en la definicin de requisitos tcnicos para compra de productos, en relacin a las necesidades de la organizacin.
Calificar la calidad y pertinencia de los mecanismos y tcnicas utilizadas para definir especificaciones tcnicas por las unidades operativas.
Obtenido de la informacin proveniente del anlisis de fuentes de informacin confiables, al momento de formular el programa de auditora
Determinar la existencia de instancias de control formales para evaluar las especificaciones tcnicas respecto de los productos insertos en el Plan de Compras. Determinar la existencia de aprobaciones previas a la entrega de requerimientos tcnicos. Determinar la existencia de sistemas de informacin que permitan controlar las caractersticas del producto recepcionado en relacin con los requerimientos tcnicos. Examinar y evaluar las especificaciones existentes, mediante el concurso de personal tcnico especialista. Examinar origen, periodo y frecuencia de problemas de produccin, relacionados con deficiencias en especificaciones tcnicas de productos adquiridos. Otros.... -
,,,
________________________________________________________________________________
22
VII.- ESQUEMA GRFICO DEL ANLISIS PARA DETERMINAR PUNTOS CRTICOS EN EL PROGRAMA DE AUDITORA, AL MOMENTO DE SU FORMULACIN (En el caso que se complemente la informacin de las etapas y/o riesgos contenida en el Plan Anual de Auditora)
PLAN ANUAL DE AUDITORIA
MATRIZ PRELIMINAR PARA ANLISIS
Proceso
Se mantiene la informacin a nivel de procesos y subprocesos, de lo contrario implicara un cambio del Plan de Auditora
Subproceso
Potencialmente, podran agregarse nuevas etapas y sus correspondientes riesgos a los subprocesos identificados en el Plan de Auditora y/o nuevos riesgos de etapas ya identificadas en el Plan de Auditora
Etapa(s)
Etapa(s)
Riesgo (s) Operativo (s)
La informacin a nivel de etapas y riesgos operativos es utilizada para determinar los puntos crticos en el programa de auditora, en base a criterios de severidad, exposicin, etc. o una combinacin de ellas. Lo anterior implica que el auditor puede fundadamente identificar y analizar nuevas etapas con sus respectivos riesgos y/o identificar y analizar nuevos riesgos en etapas ya priorizadas en el Plan Anual de Auditora.
_____________________________________________________________________________
23
VIII.-
BIBLIOGRAFA
The Institute of Internal Auditors - Normas para el ejercicio profesional de la auditora interna EEUU, 2001. Instituto de Auditores Internos de Espaa - Concepto Moderno de la Auditora, Eduardo Hevia Vsquez, Madrid, 1999. Sponsoring Organizations for The Treadway Commission Informe COSO Marco Integrado de Control. Internacional Auditing Assurance Standards Board Procedimientos de auditora en respuesta a los riesgos valorados, 2002. American Institute of Certified Public Accountants (AICPA) Procedimientos de auditora SAS, 1997. Organizacin Internacional de las Entidades Fiscalizadoras Superiores Directrices para las Normas de Control Interno, 1992.
_____________________________________________________________________________
24
ANEXO N 1 EJEMPLO DE RELACIONES BSICAS EN LA ETAPA DE PROGRAMACIN EN AUDITORIA A objeto de describir una relacin global entre riesgos y objetivos generales y especficos, procedimientos generales, medios para obtener evidencia y elementos a considerar en la obtencin de evidencia, a continuacin se presenta el siguiente esquema: Esquema para relaciones entre objetivos generales y especficos.
OBJETIVO GENERAL DE AUDITORIA PARA EL PROCESO CRITICO INCLUIDO EN EL PLAN ANUAL Conocer Comprender Explicar Sintetizar Interpretar Deducir Analizar Evaluar Otros...
Objetivos especficos de Identificacin de Objetivos auditora riesgos operativos, operativos de la asociados al asociados a los etapa riesgo operativo y objetivos operativos al objetivo general Categorizar... Clasificar... Deficiencias o errores en la... Falta de transparencia... Transferencia incompleta.... Falta de autorizacin... Falta de coherencia de.... Falta de claridad en los... Omisin de... Desconocimiento de... Inexistencia de... Falta de oportunidad del... Incumplimiento de... Procesamiento incompleto... Seguridad insuficiente... Falta de recursos... Falta de claridad en la comunicacin... Calidad insuficiente... Inexistencia de informacin.. Dficit en competencias... Examinar... Conocer...
Procedimientos generales para satisfacer los objetivos de auditora
Medios para obtener evidencia de auditora en base a muestras o poblacin
Elementos considerar obtencin evidencia auditora
en de
a la la de
Transferir... Vincular...
Deducir... Medir...
Examen fsico Confirmacin
Naturaleza Fuente Integridad Disponibilidad accesibilidad Autorizaciones Formatos Completitud Firmas
Establecer... Estructurar...
Interrelacionar... Vincular...
Clculo Documentacin
Identificar... Ordenar... Originar... Pronosticar... Resolver... Sintetizar... Desarrollar... Disear... Organizar... Realizar...
Relacionar... Inferir... Analizar... Comparar... Distinguir... Validar... Relacionar Identificar... Evaluar... Medir... Distinguir... Comparar...
Observacin Analticos Cumplimiento Entrevista Sustantivos Otros Otros
Almacenamiento Otros...
Reconocer... Sintetizar...
Calificar... Evaluar...
_____________________________________________________________________________
25

Obtener... Adquirir... Seguimiento inadecuado... Clusulas deficientes... Deficiencias en el control... Ineficiencias en produccin... Otros... Analizar... Determinar....
Producir... Procesar...
Revisar... Chequear...
Otros...
Otros...
_____________________________________________________________________________
26
Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________ ANEXO N 2 EJEMPLO FORMATO BSICO PARA PRESENTAR Y LISTAR EN EL PROGRAMA DE AUDITORA; PUNTOS CRTICOS, OBJETIVOS ESPECFICOS DE AUDITORIA Y ACTIVIDADES Y PROCEDIMIENTOS A APLICAR
Nmero : Cdigo: . Versin :. Pgina :. de.
Nombre del documento: Procedimiento de auditora para.
1.2.3.4.5.6.7.8.910.-
11.12.-
13-
TIPO DE OBJETIVO DE CONTROL PROCESO, SUBPROCESO, ETAPA Y RIESGOS A AUDITAR EQUIPO DE AUDITORES Y RESPONSABLE DEL EQUIPO OBJETIVOS GENERALES DE AUDITORA ALCANCE DE LA AUDITORA OPORTUNIDAD Y PERIODO HORAS DE AUDITORA CRONOGRAMA ESPECFICO PARA REALIZAR LA AUDITORA FUENTES DE INFORMACIN OPERACIONAL Y LEGAL UTILIZADAS CRITERIO (S) UTILIZADO PARA DEFINIR LA BASE PARA DETERMINAR LOS PUNTOS CRTICOS A AUDITAR ( informacin del Plan Anual de Auditora a nivel de etapas y riesgos o complementada en base a fuentes de informacin) ANEXO CON FUNDAMENTACIN DE LAS ETAPAS Y RIESGOS ADICIONADOS PARA EL ANLISIS DE PUNTOS CRTICOS14 ANEXO CON MATRIZ PRELIMINAR PARA ANLISIS PARA TODAS LAS ETAPAS Y/O RIESGOS, EXISTENTES Y NUEVAS, CUANDO CORRESPONDA (objetivos, riesgos, controles y exposicin al riesgo) CRITERIO UTILIZADO PARA PRIORIZAR LOS PUNTOS CRTICOS (severidad, impacto, exposicin al riesgo, etc.) Descripcin de puntos crticos, objetivos especficos de auditora y procedimientos de
14.-
auditora a aplicar
Puntos crticos Objetivos especficos de auditoria Detalle actividades y procedimientos auditoria Ref. P/T15 Tiempo (hrs.) estimado aplicacin de procedimiento
CONTROL DE AUDITORES PARTICIPANTES EN EL PROGRAMA AUDITOR (S) QUE ELABOR AUDITOR (S) QUE REVIS AUDITOR (S) QUE AUTORIZ Nombre: Firma: Fecha: Nombre: Firma: Fecha: Nombre: Firma: Fecha:
14 Corresponde a las etapas y/o riesgos no considerados en el Plan Anual de Auditora al momento de formular el programa de auditora. 15 REF. P/T = Referencia a papeles de trabajo
_____________________________________________________________________________
27
EXPLICACIN DE LOS ELEMENTOS DEL PROGRAMA
N 1 2 3 4 5 6 7 8 9
DESCRIPCIN Identificar si se trata de una Auditora Gubernamental, Ministerial o Institucional. Identificar el proceso, subproceso, etapa y riesgos a auditar. Sealar el equipo de auditores y responsable del equipo. Describir los objetivos generales de auditora. Describir el alcance de la auditora. Sealar la oportunidad y periodo de la auditora. Sealar las horas de auditora que se utilizarn en el trabajo. Presentar el cronograma especfico para realizar la auditora. Describir las fuentes de informacin operacional y legal utilizadas. Se debe incluir aquellas empleadas para agregar nuevos riesgos y/o nuevas etapas. Describir el criterio (s) u opcin utilizada para definir la base para determinar los puntos crticos a auditar (informacin del Plan Anual de Auditora a nivel de etapas y/o riesgos o complementado en base a fuentes de informacin confiables para el auditor). Se debe hacer referencia cuando corresponda, al anexo con fundamentacin de las etapas y/o riesgos adicionados para el anlisis de puntos crticos. Se debe hacer referencia cuando corresponda, al anexo con matriz preliminar para anlisis para todas las etapas y riesgos, existentes y nuevas (objetivos, riesgos, controles y exposicin al riesgo). Describir el criterio utilizado para priorizar los puntos crticos (severidad, impacto, exposicin al riesgo o una combinacin de ellas). Describir los puntos crticos, objetivos especficos de auditora y procedimientos de auditora a aplicar.
10
11 12 13 14
_____________________________________________________________________________
28
ANEXO N 3 ESCALAS DE VALORACIN SUGERIDAS PARA CONSTRUIR MATRIZ DE RIESGOS 1.SEVERIDAD DEL RIESGO
1.1.-
Esquema N 1. Categoras de probabilidad
Categora
Valor
Descripcin Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado de seguridad que ste se presente. (90% a 100%) Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89% de seguridad que ste se presente. Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a 65% de seguridad que ste se presente. Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30% de seguridad que ste se presente. Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a 10% de seguridad que ste se presente.
Casi certeza
Probable
Moderado
Improbable
Muy improbable
1.2.-
Esquema N 2. Categoras de Impacto
Categora
Valor
Descripcin Riesgo cuya materializacin influye gravemente en el desarrollo de la etapa y en el cumplimiento de sus objetivos, impidiendo finalmente que sta se desarrolle. Riesgo cuya materializacin daara significativamente el desarrollo de la etapa y el cumplimiento de sus objetivos, impidiendo que sta se desarrolle en forma normal. Riesgo cuya materializacin causara un deterioro en el desarrollo de la etapa dificultando o retrasando el cumplimiento de sus objetivos, impidiendo que sta se desarrolle en forma adecuada. Riesgo que causa un dao menor en el desarrollo de la etapa y que no afecta mayormente el cumplimiento de sus objetivos. Riesgo que puede tener un pequeo o nulo efecto en el desarrollo de la etapa y que no afecta el cumplimiento de sus objetivos.
Catastrficas Mayores
Moderadas
Menores
Insignificantes
_____________________________________________________________________________
29
1.3.-
Esquema N 3. Nivel de Severidad del riesgo

NIVEL IMPACTO (I) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) SEVERIDAD DEL RIESGO S = (P x I) EXTREMO ( 25) EXTREMO (20 ) EXTREMO (15 ) ALTO (10) ALTO (5) EXTREMO (20) EXTREMO (16 ) ALTO (12) ALTO (8) MODERADO (4) EXTREMO (15 ) EXTREMO (12 ) ALTO (9) MODERADO (6) BAJO (3) EXTREMO (10 ) ALTO (8) MODERADO (6) BAJO (4) BAJO (2) ALTO (5) ALTO (4) MODERADO (3) BAJO (2) BAJO (1)
NIVEL PROBABILIDAD (P) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Probable (4) Probable (4) Probable (4) Probable (4) Probable (4) Moderado (3) Moderado (3) Moderado (3) Moderado (3) Moderado (3) Improbable (2) Improbable (2) Improbable (2) Improbable (2) Improbable (2) muy improbable (1) muy improbable (1) muy improbable (1) muy improbable (1) muy improbable (1)
En el esquema se muestra el resultado de la combinacin entre las categoras del nivel de impacto del riesgo y las categoras del nivel de probabilidad de ocurrencia del riesgo, es decir, el nivel de severidad. De este esquema se puede observar que las categoras de impacto tienen una mayor incidencia en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia sea menor, al tratarse de riesgos con impactos altos, cualquier materializacin del riesgo (aunque sea en slo una oportunidad) tendr una consecuencia significativa en el cumplimiento de los objetivos del proceso examinado. Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de ejemplo se presentan las siguientes relaciones:
NIVEL PROBABILIDAD (P) muy improbable (1) Probable (4) Probable (4) Moderado (3) NIVEL IMPACTO (I) Mayores (4) Insignificantes (1) Moderadas (3) Mayores (4) SEVERIDAD DEL RIESGO S = (P x I) ALTO (4) MODERADO (4) ALTO (12) EXTREMO (12 )
_____________________________________________________________________________
30
2.- CLASIFICACIN DEL CONTROL CLAVE 2.1. DISEO DEL CONTROL
Esquema N 4. Oportunidad de la accin del control (O)

Clasificacin Descripcin
Preventivo (Pv)
Controles claves que actan antes o al inicio de una actividad.
Correctivo (Cr)
Controles claves que actan durante la actividad y que permiten corregir las deficiencias. Controles claves que slo actan una vez que la actividad ha terminado.
Detectivo (Dt)
Esquema N 5. Periodicidad en la accin del control (PD)

Clasificacin Descripcin
Permanente (Pe)
Controles claves aplicados durante toda la actividad, es decir, en cada operacin.
Peridico (Pd)
Controles claves aplicados en forma constante slo cuando ha transcurrido un peridico especfico de tiempo. Controles claves que se aplican slo en forma ocasional en una actividad.
Ocasional (Oc)
Esquema N 6. Automatizacin en la aplicacin del control (A)

Clasificacin Descripcin Controles claves incorporados en la actividad, cuya aplicacin es completamente informatizada. Estn incorporados en los sistemas informatizados. Controles claves incorporados en la actividad, cuya aplicacin es parcialmente desarrollada mediante sistemas informatizados. Controles claves incorporados en la actividad, cuya aplicacin no considera uso de sistemas informatizados.
100% automatizado (At)
Semi automatizado (Sa)
Manual (Ma)
_____________________________________________________________________________
31
2.2.-
Esquema N 7. Escala de clasificacin de la efectividad de los controles

CARACTERSTICAS DISEO CONTROL CLAVE/FUNDAMENTAL CLASIFICACIN PERIODICIDAD (PD) PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL NO DETERMINADO OPORTUNIDAD (O) PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO NO DETERMINADO AUTOMATIZACIN (A) INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL NO DETERMINADO
CUMPLIMIENTO CON NORMAS O REQUISITOS DE CONTROL CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO
VALOR DEL DISEO DEL CONTROL
OPTIMO
BUENO
MAS QUE REGULAR
REGULAR
DEFICIENTE
Insuficiente
INEXISTENTE
En el esquema anterior se seala que en primer lugar, se debe evaluar si el control mitigante asociado a un riesgo tiene un nivel de cumplimiento adecuado respecto de las normas o requisitos de control bsicos que en este modelo se han relevado para dar razonable seguridad de cumplimiento de los objetivos y metas. Esto implica realizar un anlisis integral de las referidas normas o requisitos (segregacin, autorizacin, formalizacin, etc.) y determinar si stas se cumplen para un control examinado en particular. Producto de este anlisis, se puede dar que los referidos requisitos se cumplan satisfactoriamente, es decir, que el control est sustentado en una estructura bsica slida. Posteriormente, se debe seguir con el anlisis del diseo del control, este aspecto es relevante, ya que los riesgos son por naturaleza dinmicos y requieren que los controles tengan una estructura que se oriente a la prevencin de la materializacin del efecto de los riesgos dinmicos. Finalmente, se debe clasificar el nivel de efectividad del control examinado, de acuerdo con el esquema presentado, asignndole el valor respectivo segn la escala. En caso que esto no ocurra, es decir, los requisitos no presentan un cumplimiento suficiente en el control examinado, debe entenderse que su nivel de cumplimiento es insuficiente y
_____________________________________________________________________________
32
corresponde clasificarlo como si se tratara de un control inexistente, con valoracin de 1, sin que ya sea necesario evaluar la efectividad en el diseo del control respecto de la ocurrencia del riesgo. En caso que no exista control, obviamente no ser necesario probarlo mediante procedimientos y pruebas de auditora, ni verificar si su diseo est orientado a mitigar el riesgo. Por consiguiente debe clasificarse como inexistente, con nivel de efectividad del control examinado de 1, de acuerdo con la escala contenida en el esquema presentado. Para ver mayores detalles de las normas o requisitos de control bsicos considerados en este modelo ver anexo N 4. Posteriormente, en la etapa de formulacin del informe, debe describirse la situacin de inexistencia de control y los efectos reales o potenciales para la organizacin. Debiendo adicionalmente el auditor, aportar a la disminucin del nivel de exposicin determinado mediante propuestas de medidas correctivas y preventivas, que contribuyan a un adecuado control y administracin del riesgo (por ejemplo mediante sugerencias de diseo e implementacin de controles con caractersticas apropiadas de periodicidad, oportunidad y automatizacin en relacin al riesgo asociado). Ante inconsistencias entre la medicin y la opinin profesional del auditor prevalece esta ltima, debidamente fundada. 3.NIVELES DE CLASIFICACIN DEL NIVEL DE EXPOSICIN AL RIESGO
La exposicin al riesgo est determinada por la severidad del riesgo dividida por efectividad del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas en el Esquema N 3 (nivel de severidad del riesgo) y Esquema N 7 (nivel de efectividad del control). A continuacin se presenta la escala de nivel de exposicin al riesgo que los califica: Esquema N 8. Escala del nivel de exposicin al riesgo
INDICADOR DE EXPOSICIN AL RIESGO VALOR NIVEL DE EXPOSICIN AL RIESGO NO ACEPTABLE (Na) MAYOR (Ma) MEDIA (Md) MENOR (Me)
8,0 25,0 4,0 7,99 NIVEL SEVERIDAD DEL RIESGO NIVEL EFECTIVIDAD DEL CONTROL 3,0 3,99 0,2 - 2,99
Tal como se seal, la escala previamente presentada, ha sido construida en base a la relacin entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de efectividad del control asociado a ese riesgo (Deficiente, Regular, Ms que regular, Bueno, ptimo). Dicha relacin se presenta en el esquema N 9.
_____________________________________________________________________________
33
Un primer anlisis de dicha escala observara que los niveles de exposicin al riesgo Mayor y No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos respectivamente, pero al realizar un anlisis ms riguroso, se debera observar que en realidad los niveles de exposicin al riesgo con valores ms altos, corresponden en general a las combinaciones entre los niveles de riesgo ms severos y los niveles de efectividad del control ms bajos, o a las combinaciones entre los riesgos con severidad ms altas y con controles que tienen un nivel de efectividad slo de regular. Por otra parte, los niveles de exposicin al riesgo ms bajos estn conformados en general por las combinaciones entre los niveles de riesgos menos severas y los niveles de efectividad del control ms altos, o por las combinaciones entre riesgos con severidades bajas y controles con niveles de efectividad deficiente o regular, o por las combinaciones entre riesgos con severidad altas, pero con controles con nivel de efectividad ptimo o bueno. Por ejemplo, en el esquema N 9 se observa que el nivel de exposicin al riesgo E1 = 10, (Nivel de exposicin al riesgo No Aceptable) est conformado por un nivel de severidad del riesgo, Extremo = 20 y un nivel de efectividad de control, Regular = 2. En el caso del nivel de exposicin E2 = 4 (Nivel de exposicin al riesgo Mayor), est conformado por un nivel de severidad del riesgo, Alto = 12 y un nivel de efectividad de control, Ms que Regular = 3. Finalmente, el nivel de exposicin E3 = 1 (Nivel de exposicin al riesgo Menor), est conformado por un nivel de severidad del riesgo, Alto = 5 y un nivel de efectividad de control, ptimo = 5. Esquema N 9. Relaciones entre severidad del riesgo y efectividad del control que determinan la escala del nivel de exposicin al riesgo
_____________________________________________________________________________
34
ANEXO N 4 CONCEPTOS GENERALES SOBRE REQUISITOS O NORMAS DE CONTROL BSICOS CONSIDERADOS EN EL MODELO
1.-
Definicin de control
El Control es un proceso que permite medir el desempeo individual y organizacional para asegurar que razonablemente las actividades se ajusten a los planes y metas y, mitiguen adecuadamente los riesgos. 2. 3.Secuencia tpica de control Fijacin de estndares. Seleccin de puntos crticos de control. Comparacin y verificacin contra los estndares. Determinacin si el desempeo es satisfactorio. Reporte de desviaciones significativas al nivel jerrquico correspondiente. Determinacin si la accin tomada es efectiva para corregir las desviaciones tomadas. Revisin y modificacin de los estndares si corresponde. Requisitos o normas bsicas de control consideradas en el modelo
Son los medios, mecanismos o procedimientos que permiten alcanzar los objetivos de control. Comprenden las polticas especficas, los procedimientos, los planes de la organizacin (incluida la divisin de las tareas) y los dispositivos fsicos (tales como cerraduras o alarmas contra incendio), si bien no se limitan exclusivamente a estos aspectos. Los controles deben proporcionar una seguridad razonable de que se logren continuamente los objetivos del control interno. Para ello, deben ser eficaces y estar diseados de forma que operen como un sistema integrado y no individualmente. Los controles, para que sean eficaces, deben cumplir con el propsito previsto en la aplicacin real. Es posible que los controles diseados para funcionar en un ambiente manual no sean eficaces en uno automatizado. Por consiguiente, los controles seleccionados deben cumplir el propsito previsto y funcionar siempre que el caso lo requiera. En cuanto a su eficiencia, los controles deben estar diseados para poder obtener el mximo beneficio con un esfuerzo adecuado. Los controles que se examinen para verificar su eficacia y suficiencia deben ser los que se utilizan en la prctica y deben ser evaluados peridicamente para asegurar su aplicacin constante en la prevencin de riesgos. Los controles que se presentan a continuacin son los que se utilizan generalmente en una estructura de control interno ordenada y eficaz. Los mtodos y procedimientos especficos que se describen en relacin a cada uno de ellos, no pretenden ser exhaustivos sino que deben ser considerados como ejemplos. Entre otros se cuentan: la organizacin, la documentacin, el registro oportuno y adecuado de las transacciones y hechos, autorizacin y ejecucin de las transacciones y hechos, divisin de las tareas, supervisin y acceso a los recursos y registros y responsabilidad ante los mismos.
_____________________________________________________________________________
35
a)
Documentacin en papel y medios electrnicos
Deben documentarse las estructuras de control interno y todas las transacciones y hechos internos, incluyendo sus objetivos y procedimientos de control, y todos los aspectos pertinentes de las transacciones y hechos significativos. Asimismo, la documentacin en papel y electrnica debe estar disponible y ser fcilmente accesible para su verificacin por el personal apropiado y los auditores. La documentacin relativa a las estructuras de control interno debe incluir aspectos sobre la estructura y polticas de una institucin, sobre sus categoras operativas, objetivos y procedimientos de control. Esta informacin debe figurar en documentos tales como planes o guas, las polticas administrativas y los manuales de operacin y de contabilidad. La documentacin sobre transacciones y hechos significativos debe ser completa y exacta y facilitar el seguimiento de la transaccin o hecho, antes, durante y despus de su realizacin. La documentacin de las estructuras de control interno, de las transacciones y de hechos importantes debe tener un propsito claro, ser apropiada para alcanzar los objetivos de la institucin y servir a los directivos para controlar sus operaciones y a los auditores para analizar dichas operaciones. En los casos en que existen sistemas informticos integrados en la institucin, que generen como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal, se deber obtener evidencia electrnica respecto del origen, firmas, integridad, completitud, archivo o registro, accesibilidad y disponibilidad y no-repudio de la informacin. b) Registro oportuno y adecuado de las transacciones y hechos
Las transacciones y hechos importantes deben registrarse inmediatamente y debidamente clasificados. Las transacciones deben registrarse en el mismo momento en que ocurren a fin de que la informacin siga siendo relevante y til para los directivos que controlan las operaciones y adoptan las decisiones pertinentes. Ello es vlido para todo el proceso o ciclo de vida de una transaccin; abarcando el inicio y la autorizacin, todos los aspectos de la transaccin mientras se realiza y su anotacin final en los registros. Tambin conviene actualizar rpidamente toda la documentacin con objeto de mantener su validez. Se requiere, asimismo, una clasificacin pertinente de las transacciones y hechos a fin de garantizar que la direccin disponga continuamente de una informacin fiable. Una clasificacin pertinente significa organizar y procesar la informacin a partir de la cual se elaboran los informes, los planes y los estados financieros y presupuestarios. El registro inmediato y pertinente de la informacin es un factor esencial para asegurar la oportunidad y fiabilidad de toda la informacin que la institucin maneja en sus operaciones y en la adopcin de decisiones. En los casos en que existen sistemas informticos integrados en la institucin, que generan como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
_____________________________________________________________________________
36
se deber obtener evidencia electrnica respecto de la firma, integridad, completitud y archivo o registro. c) Autorizacin y ejecucin de las transacciones y hechos
Las transacciones y hechos relevantes solo podrn ser autorizados en papel o electrnicamente y ejecutados por aquellas personas que acten dentro del mbito de sus competencias. La direccin es quien decide el canje, la transferencia, la utilizacin o la asignacin de fondos para atender metas especficas en condiciones particulares. La autorizacin es la principal forma de asegurar que slo se efecten transacciones y hechos vlidos de conformidad con lo previsto por la direccin. La autorizacin debe estar documentada fsica o electrnicamente y ser comunicada explcitamente a los directivos y a los empleados, incluyendo los trminos y condiciones especficos conforme a los cuales se concede una autorizacin. La conformidad con los trminos de una autorizacin significa que los empleados ejecutan las tareas que les han sido asignadas de acuerdo con las directrices y dentro del mbito de competencias establecido por la direccin o la legislacin. En los casos en que existen sistemas informticos integrados en la institucin, que generan como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal, se deber obtener evidencia electrnica respecto del origen, firmas e integridad de la informacin. d) Divisin de las tareas
Las tareas y responsabilidades principales ligadas a la autorizacin, tratamiento, registro y revisin de las transacciones y hechos deben ser asignadas a personas diferentes. Con el fin de reducir el riesgo de errores, despilfarros o actos ilcitos, o la probabilidad de que no se detecten este tipo de problemas, es preciso evitar que todos los aspectos fundamentales de una transaccin u operacin se concentren en manos de una sola persona o seccin. Las funciones y responsabilidades deben asignarse sistemticamente a varias personas para asegurar un equilibrio eficaz entre los poderes. Entre las funciones claves figuran la autorizacin y el registro de las transacciones, la emisin y el recibo de los haberes, los pagos y la revisin o fiscalizacin de las transacciones. Sin embargo, la colusin puede reducir o eliminar la eficacia de esta tcnica de control interno. Una pequea organizacin puede que no tenga suficientes empleados para aplicar esta tcnica plenamente. En tal caso, la direccin debe ser consciente del riesgo que ello implica y compensar el defecto con otros controles. La rotacin del personal contribuye a que los aspectos centrales de las transacciones o hechos contables no se concentren en una sola persona por un espacio de tiempo prolongado. Debe promoverse e incluso exigirse tambin el uso del perodo vacacional anual para ayudar a reducir estos riesgos. e) Supervisin
Debe existir una supervisin para garantizar el logro de los objetivos de control interno. Los supervisores deben examinar y aprobar cuando proceda, el trabajo encomendado a sus subordinados. Asimismo, deben proporcionar al personal las directrices y la capacitacin
_____________________________________________________________________________
37
necesarias para minimizar los errores, el despilfarro y los actos ilcitos y asegurar la comprensin y cumplimiento de las directrices especificas de la direccin. La asignacin, revisin y aprobacin del trabajo del personal exige:

Indicar claramente las funciones y responsabilidades del trabajo del empleado. Examinar sistemticamente el trabajo de cada empleado, en la medida que sea necesario. Aprobar el trabajo en puntos crticos del desarrollo para asegurarse de que avanza segn lo previsto.
La asignacin, revisin y aprobacin del trabajo del personal debe tener como resultado el control apropiado de sus actividades. Ello incluye: la observancia de los procedimientos y requisitos aprobados, la constatacin y eliminacin de los errores, los malentendidos y las prcticas inadecuadas, la reduccin de las probabilidades de que ocurran o se repitan actos ilcitos y el examen de la eficiencia y eficacia de las operaciones. La delegacin del trabajo de los supervisores no exime a estos de la obligacin de rendir cuentas de sus responsabilidades y tareas. f) Acceso a los recursos y registros y responsabilidades ante los mismos
El acceso a los recursos y registros debe limitarse a las personas autorizadas para ello, quienes estn obligadas a rendir cuentas de la custodia o utilizacin de los mismos. Para garantizar dicha responsabilidad, se debe cotejar peridicamente los recursos con los registros y verificar si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad y relevancia de los activos. La restriccin del acceso fsico y lgico a los recursos permite reducir el riesgo de una utilizacin no autorizada o de prdida y contribuir al cumplimiento de las directrices de la direccin. El grado de limitacin depende de la vulnerabilidad de los recursos y del riesgo potencial de prdida. Ambos deben evaluarse peridicamente. Por ejemplo, el acceso a los documentos sumamente vulnerables y la responsabilidad ante los mismos, tales como cheques en blanco, puede restringirse:

Mantenindolos en una caja fuerte. Asignando a cada documento un nmero de serie. Encargando su custodia a personas responsables. Al determinarse la vulnerabilidad de un activo, debe considerarse tambin su costo, la facilidad de transporte y el riesgo de prdida o de utilizacin indebida.
En los casos en que existen sistemas informticos integrados en la institucin, que generan como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal, se deber obtener evidencia electrnica respecto del origen, firmas, integridad y accesibilidad y disponibilidad. Adems de deber evaluar los niveles de seguridad de los accesos lgicos a las base de datos de la organizacin.
_____________________________________________________________________________
38
4.-
Estructura general del Marco Integrado de Control Interno Modelo C.O.S.O.
La estructura genrica que se presenta es slo a modo explicativo, puesto que su existencia y caractersticas dependen del tipo de control y de la estructura del proceso, entre otras variables. El lector puede encontrar suficiente literatura del Modelo C.O.S.O., incluida la Internet.
Normas relativas al ambiente de control Ambiente propicio para el control. Actitud de apoyo superior al control interno. Valores de integridad y tica. Administracin eficaz del potencial humano. Estructura organizativa formal y conocida. Delegacin formal y adecuada. Coordinacin de acciones organizacionales. Participacin del personal en el control interno. Adhesin a las polticas institucionales.
Normas relativas a la evaluacin de riesgos Identificacin y evaluacin de riesgos. Planificacin formal. Indicadores de desempeo mensurables. Divulgacin de los planes. Definicin y comunicacin de polticas de apoyo a los objetivos. Revisin de los objetivos. Cuestionamiento peridico de los supuestos de planificacin.
Normas relativas a las actividades de control Prcticas y medidas de control formales. Control integrado. Anlisis de costo/beneficio. Responsabilidad delimitada. Instrucciones por escrito. Separacin de funciones incompatibles. Autorizacin y aprobacin de transacciones y operaciones. Documentacin de procesos y transacciones. Supervisin constante. Registro oportuno. Sistema contable y presupuestario. Acceso a activos y registros. Revisiones de control permanentes. Conciliacin peridica de registros. Inventarios peridicos. Arqueos independientes. Formularios uniformes.
_____________________________________________________________________________
39
Rotacin de labores. Toma oportuna de vacaciones. Garantas a favor de la institucin. Dispositivos de control y seguridad lgicos y fsicos.
Normas relativas a informacin y comunicacin Obtencin y comunicacin de informacin efectivas. Calidad y suficiencia de la informacin. Sistemas de informacin. Controles sobre sistemas de informacin. Canales de comunicacin abiertos. Archivo institucional formal.
Normas relativas al monitoreo Monitoreo constante del control interno en operacin. Monitoreo de las actividades. Monitoreo constante del ambiente de control. Evaluacin del desempeo institucional. Informes de seguimiento a responsables. Rendicin de cuentas. Reporte de deficiencias. Toma de acciones correctivas. Asesora externa para monitoreo del control interno.
_____________________________________________________________________________
40
ANEXO N 5 CONCEPTOS BSICOS SOBRE RIESGO DE AUDITORA Definicin El Riesgo de auditora es la posibilidad de que la informacin o actividad sujeta a examen contenga errores o irregularidades significativas y no sean detectados en la ejecucin. El riesgo de auditora est compuesto por: a) Riesgo inherente: Es la posibilidad de que existan errores o irregularidades en la gestin administrativa y financiera, antes de verificar la efectividad del control interno diseado y aplicado por el ente a ser auditado. Este riesgo tiene relacin directa con el contexto global de una institucin e incluso puede afectar a su gestin. b) Riesgo de control: Es la posibilidad de que los procedimientos de control interno incluyendo a la unidad de auditora interna, no puedan prevenir o detectar los errores significativos de manera oportuna. Este riesgo si bien no afecta a la entidad como un todo, incide de manera directa en los componentes. c) Riesgo de deteccin: Se origina al aplicar procedimientos que no son suficientes para lograr descubrir errores o irregularidades que sean significativos, es decir, que no detecten una debilidad de control o hallazgo que pudiera ser importante. Como producto del conocimiento de la entidad y la evaluacin del control interno, el supervisor y jefe de equipo elaborar un reporte para aprobacin del jefe de la unidad de auditora que emiti la orden de trabajo que permita determinar el enfoque final del examen a ejecutar. Como ya se vio antes, el auditor debe disear y desempear procedimientos de auditora adicionales cuya naturaleza, oportunidad y extensin sean adecuados al nivel del riesgo de auditora. El propsito de este requerimiento es proveer un vnculo claro entre la naturaleza, oportunidad y extensin de los procedimientos de auditora adicionales que realiza el auditor y la valoracin de riesgos. Al disear procedimientos de auditora adicionales, el auditor considera asuntos tales como el significado del riesgo; la probabilidad de que ocurrir una declaracin equivocada material; las caractersticas de la clase de transacciones, balance de cuenta o revelacin implicada; la naturaleza de los controles especficos usados por la entidad incluyendo el uso que la entidad de a la tecnologa de la informacin (TI); y si el auditor espera obtener evidencia de auditora para determinar si los controles de la entidad son efectivos para prevenir, o detectar y corregir, declaraciones equivocadas materiales. La naturaleza de los procedimientos de auditora es de la mayor importancia para responder a los riesgos valorados. La valoracin que realiza el auditor sobre los riesgos provee una base para considerar lo apropiado del enfoque de auditora para disear y desempear procedimientos de auditora adicionales. En algunos casos, el auditor puede determinar que solamente las pruebas de la efectividad de operacin de los controles son respuesta al riesgo valorado. En otros casos, el auditor puede determinar que solamente son apropiados los procedimientos sustantivos. Pero en general se realiza una combinacin de ambos procedimientos.
_____________________________________________________________________________
41
ANEXO N 6
a.- FORMATO PARA FUNDAMENTAR LA INCLUSIN DE NUEVOS RIESGOS DE UNA ETAPA CONSIDERADA EN EL PLAN ANUAL DE AUDITORA, QUE NO HAN SIDO LEVANTADOS EN LA MATRIZ DE RIESGOS ESTRATGICA, AL MOMENTO DE FORMULAR EL PROGRAMA DE AUDITORA Nombre del subproceso identificado en el Plan Anual de Auditora (4)
Nombre del riesgo identificado por auditora interna (1)
Objetivo de la Etapa que afecta
Nombre de la etapa al que corresponde el riesgo identificado (3)
Justificacin global de su impacto en el subproceso y proceso (6)
(2)
(5)
(1) Identificar individualmente los nuevos riesgos operativos a incluir en el anlisis.
(2) Obtener el objetivo operativo de la etapa a la cual corresponde el nuevo riesgo identificado. Esta informacin debe ser obtenida de la Matriz de Riesgos Estratgica. (3) En base al riesgo operativo identificado, asociar la etapa sealada en el Plan Anual de Auditora a la cual corresponde el nuevo riesgo. (4) Identificar el subproceso contemplado en el Plan Anual de Auditora, al cual corresponde la etapa previamente identificada. (5) Sealar la fuente de informacin utilizada para identificar el riesgo del cual se est informando. Al menos debe sealarse el origen del informe o estudio, el nmero si corresponde y la fecha del documento. (6) Sealar el fundamento tcnico o estratgico en el cual el auditor se basa para destacar su relevancia en el subproceso o proceso.
_____________________________________________________________________________
42
Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________ b.- FORMATO PARA FUNDAMENTAR LA INCLUSIN DE NUEVAS ETAPAS Y RIESGOS DE UN SUBPROCESO CONSIDERADO EN EL PLAN ANUAL DE AUDITORA, QUE NO HAN SIDO LEVANTADOS EN LA MATRIZ DE RIESGOS ESTRATGICA, AL MOMENTO DE FORMULAR EL PROGRAMA DE AUDITORA
Nombre de la nueva etapa identificada por el auditor interno
Objetivo de la nueva Etapa
Nombre de los riesgos identificados en la etapa
Nombre del subproceso identificado en el Plan Anual de Auditora (4)
Justificacin global de su impacto en el subproceso y proceso
(1)
(2)
(3)
(5)
(6)
(1) Identificar la o las nuevas etapas a incluir en el anlisis.
(2) Identificar el objetivo operativo de la nueva etapa. (3) Identificar los riesgos operativos asociados a los objetivos de la (s) nueva etapa identificada. (4) Identificar el subproceso que est contemplado en el Plan Anual de Auditora, al cual corresponde la nueva etapa previamente identificada. (5) Sealar la fuente de informacin utilizada para identificar la nueva etapa de la cual se est informando. Al menos debe sealarse el origen del informe o estudio, el nmero si corresponde y la fecha del documento. (6) Sealar el fundamento tcnico o estratgico en el cual el auditor se basa para destacar su relevancia en el subproceso o proceso.
_____________________________________________________________________________
43

Documento #24 - Programación Especifica V.0.4

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Documento #24 - Programación Especifica V.0.4

Cargado por

Copyright:

Formatos disponibles

PROGRAMA MARCO

PROGRAMACIN ESPECFICA DE PROGRAMACIN EN AUDITORA AUDITORA EN BASE A RIESGOS

DOCUMENTO TCNICO N 24 VERSIN 0.4

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

TABLA DE CONTENIDOS _______________________________________________________________________________ MATERIAS PGINA

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

OBJETIVO DEL DOCUMENTO

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

ELEMENTOS DEL PROGRAMA DE AUDITORA

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Objetivos generales de la auditora

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

La Entidad Gubernamental no cuenta con un Proceso de Gestin de Riesgos

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Matriz preliminar para anlisis

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

DESCRIPCIN DEL RIESGO

PROBABILIDAD CLASIFIC VALOR

IMPACTO CLASIFIC VALOR

SEVERIDAD DEL RIESGO VALOR

Abastecimiento N.E = Media (3,0)

Planificacin N.E. = Media (3,4)

Deficiencias errores en definicin cantidades compra productos, relacin a necesidades de organizacin.

(*) N.E. = Nivel de Exposicin Promedio

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

2.- PLAN ANUAL DE AUDITORA (SIMPLIFICADO)

Plan Anual de Auditora perodo 2008 Fecha de Emisin: 15.12.2007

Actividad de auditora N 2:. Actividad de auditora N n:.

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

Nombre del riesgo identificado por auditora interna

Objetivo de la Etapa que afecta

Nombre de la etapa al que corresponde el riesgo identificado

Nombre del subproceso identificado en el Plan Anual de Auditora al que corresponde

Fuente de informacin utilizada

Justificacin global de su impacto en el subproceso y proceso

Informe de auditora externa CI N 5 del 03.04.08

Definicin de especificaciones tcnicas (Caractersticas y calidades)

Informe de seguimiento de auditora interna N 7 del 02.05.08

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

PROBABILIDAD CLASIFIC VALOR

IMPACTO CLASIFIC VALOR

SEVERIDAD DEL RIESGO VALOR

DESCRIPCION DEL CONTROL

Definicin de necesidades de compra por producto (Cantidades)

N.E.= Media (3,5)

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

OBJETIVOS OPERATIVOS DE LA ETAPA

Informacin proveniente del Plan Anual de Auditora

Informacin generada a partir de la identificacin de los puntos crticos

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________

6.- PROGRAMA DE AUDITORA (SIMPLIFICADO)

Objetivos especficos de auditoria

Detalle actividades y procedimientos auditoria

Programacin o Planificacin Especfica de Auditora ____________________________________________________________________________________________