Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Versión 0.1
0
OCTUBRE 2018
TABLA DE CONTENIDOS
___________________________________________________________________________
MATERIAS PÁGINA
PRESENTACIÓN ..................................................................................................................... 2
I.- INTRODUCCIÓN ............................................................................................................... 3
II.- OBJETIVO DEL DOCUMENTO ..................................................................................... 4
III.- CONCEPTOS SOBRE PLANIFICACIÓN ANUAL EN AUDITORÍA INTERNA .............. 4
IV.- MARCO PARA LA ETAPA DE FORMULACIÓN DEL PLAN ANUAL DE AUDITORÍA
BASADO EN RIESGOS - PRINCIPALES PASOS ................................................................... 6
PASO N° 1: IDENTIFICAR EL UNIVERSO DE AUDITORÍA ................................................. 7
PASO N° 2: IDENTIFICAR CONTEXTOS CRÍTICOS GLOBALES QUE PODRÍAN
PROVOCAR MATERIALIZACIÓN DE LOS RIESGOS RELEVANTES ................................. 9
PASO N° 3: IDENTIFICAR FUENTES DE INFORMACIÓN A CONSULTAR PARA
FORMULAR EL PLAN ANUAL DE AUDITORÍA BASADO EN RIESGOS ........................... 10
PASO N° 4: FORMULAR UN MAPA DE ASEGURAMIENTO ............................................. 11
PASO N° 5: RANKING Y PRIORIZACIÓN DE MATERIAS QUE SE INCLUIRÁN EN EL
PLAN ANUAL DE AUDITORÍA BASADO EN RIESGOS ..................................................... 14
PASO N° 6: FORMULACIÓN DEL PLAN ANUAL DE AUDITORÍA BASADO EN RIESGOS22
PASO N° 7: COMUNICACIÓN Y APROBACIÓN DEL PLAN ANUAL DE AUDITORÍA ....... 29
PASO N° 8: CONTROL DEL AVANCE Y RESULTADOS DEL PLAN ANUAL DE AUDITORÍA
............................................................................................................................................ 30
V.- ASPECTOS SIGNIFICATIVOS EN LA ETAPA DE FORMULACIÓN DEL PLAN
ANUAL DE AUDITORÍA BASADO EN RIESGOS ................................................................. 33
VI.- GLOSARIO DE TÉRMINOS RELEVANTES .................................................................... 36
VII.- BIBLIOGRAFÍA .............................................................................................................. 38
VIII.- ANEXOS ........................................................................................................................ 39
ANEXO N° 1 ....................................................................................................................... 39
ANEXO N° 2 ....................................................................................................................... 43
ANEXO N° 3 ....................................................................................................................... 47
ANEXO Nº 4........................................................................................................................ 52
ANEXO Nº 5........................................................................................................................ 55
ANEXO Nº 6........................................................................................................................ 65
1
PRESENTACIÓN
2
I.- INTRODUCCIÓN establecer los criterios y ranking de
prioridades basado en la importancia y el
El Consejo de Auditoría, en cumplimiento nivel de impacto de los procesos,
de la Política de Auditoría Interna General programas, proyectos, áreas o funciones
de Gobierno, ha formulado el Documento para el éxito de la entidad y el cumplimiento
Técnico Nº 108 Plan Anual de Auditoría de sus objetivos estratégicos y de servicio
basado en Riesgos. a los ciudadanos. De acuerdo a la
priorización realizada en el Ranking, se
En términos generales, esta etapa incluye formula el Plan Anual de Auditoría, el que
un análisis integral por parte de la función debe reflejar entre otros; los tipos de
de auditoría de todos los elementos trabajo a realizar, las actividades operativas
internos y externos a la organización, con donde se realizará el trabajo, el objetivo y
la finalidad de determinar los eventos que alcance general de los trabajos, y las
cuentan con la mayor relevancia para estimaciones de uso de recursos para el
cumplir con la misión y objetivos periodo planificado.
estratégicos y que, a su vez, cuentan con el
mayor nivel de riesgo. En base a estos Una vez formulado el Plan Anual de
elementos, se debe formular un Plan Anual Auditoría debe ser discutido con el Jefe de
de Auditoría que incluya los trabajos que Servicio, sometiéndolo a su aprobación
deberían requerir mayor dedicación para la final y posterior envío al CAIGG para su
función de auditoría. verificación técnica, antes de comenzar a
aplicarlo en el periodo para el cual se
Este documento comienza con una formuló.
descripción global de la Etapa de
Formulación del Plan Anual de Auditoría, Por último, el avance de la ejecución del
que señala como primer paso, que se debe Plan Anual de Auditoría debe ser evaluado
determinar el Universo de Auditoría, a y controlado por el Jefe de Auditoría Interna
través de la consulta de diversas fuentes con la finalidad de tomar las medidas
para obtener información de todos los necesarias cuando se produzcan demoras
elementos y temas relevantes para el u obstáculos que pongan en riesgo la
organismo, tanto de nivel estratégico, legal, ejecución total o parcial de dicho Plan.
entorno, organizacional, sistemas de
información, recursos humanos y
financieros.
3
II.- OBJETIVO DEL DOCUMENTO para las diferentes actividades o partes
de la organización.
Entregar una propuesta metodológica para
desarrollar la Etapa de Formulación del Si no existe tal enfoque, el Jefe de
Plan Anual de Auditoría en el Proceso de Auditoría utilizará su propio juicio sobre
Auditoría Interna de Gobierno. los riesgos después de consultar con el
Jefe de Servicio.
III.- CONCEPTOS SOBRE
PLANIFICACIÓN ANUAL EN AUDITORÍA El Plan Anual de Auditoría deberá ser
INTERNA consistente con las metas de la
organización.
1.- DEFINICIONES Y REQUISITOS
CONTENIDOS EN NORMAS DE
El Jefe de Auditoría debería analizar los
AUDITORÍA INTERNA GENERALMENTE
trabajos a incluir en su plan,
ACEPTADAS
considerando las competencias de su
personal, con la finalidad de mejorar la
Para formular el documento técnico, se han
calidad del examen y formar equipos de
considerado las Normas Generales de
trabajo multidisciplinarios para
Auditoría Interna y de Gestión, emitidas por
compartir el conocimiento adquirido.
el Colegio de Contadores de Chile
(Contach) y las Normas Internacionales
El Jefe de Auditoría debe aceptar los
para el Ejercicio Profesional de la Auditoría
trabajos de auditoría solicitados por el
Interna, emitidas por The Institute of
Jefe de Servicio, que sirvan para
Internal Auditors (Theiia)1. En términos
mejorar la gestión de riesgos, añadir
resumidos en los marcos normativos antes
valor, y mejorar las operaciones de la
señalados se destacan los siguientes
organización. Aquellos trabajos que
requerimientos para la Formulación del
hayan sido aceptados deben ser
Plan Anual de Auditoría:
incluidos en el Plan Anual de Auditoría.
El Jefe de Auditoría debe administrar y
gestionar la auditoría interna para El Jefe de Auditoría debe comunicar los
asegurar que añada valor a la planes y requerimientos de recursos de
organización. Debe identificar y la auditoría interna, incluyendo los
considerar las expectativas del Jefe de cambios provisorios significativos, al
Servicio y otras partes interesadas de Jefe de Servicio para la adecuada
cara a emitir opiniones de auditoría revisión y aprobación formal.
interna y otras conclusiones.
El Jefe de Auditoría también debe
El Jefe de Auditoría debe establecer comunicar al Jefe del Servicio el
planes basados en riesgos, a fin de impacto de cualquier limitación de
determinar las prioridades de la recursos para ejecutar un trabajo que
auditoría interna. Para ello, debe tener podría estar o no en el Plan.
en cuenta el enfoque de gestión de
riesgos de la organización, incluyendo El Jefe de Auditoría debe asegurar que
los niveles de aceptación de riesgos los recursos para la auditoría interna
establecidos por el Jefe de Servicio sean adecuados, suficientes y
efectivamente asignados para cumplir
con el Plan aprobado.
1
En la Bibliografía de este Documento Técnico se
señalan en forma específica las Normas de Auditoría El Jefe de Auditoría debe informar
Interna relacionadas con el Plan Anual de Auditoría periódicamente al Jefe de Servicio
que han sido consideradas para su formulación.
4
sobre la actividad de auditoría interna debe realizar cada trabajo de auditoría
en lo referido al propósito, autoridad, (aseguramiento) y consultoría contenido en
responsabilidad y desempeño de su el Plan Anual de Auditoría.
plan. El informe también debe incluir
exposiciones de riesgo relevantes y El esquema Nº 1 presenta la relación entre
cuestiones de control, gobierno cada Etapa del Proceso de Auditoría
corporativo y otras necesarias o Interna según lo dispuesto en Normas de
requeridas por el Jefe de Servicio. Auditoría Interna Nacionales e
Internacionales2 y los documentos técnicos
El Jefe de Auditoría debe revisar y que este Consejo de Auditoría Interna
ajustar el plan, cuando sea necesario, General de Gobierno (CAIGG) emite con la
como respuesta a los cambios en el finalidad de apoyar metodológicamente el
negocio, los riesgos, las operaciones, desarrollo de cada etapa. Por su parte, el
los programas, los sistemas y los Modelo Integral de Auditoría Interna de
controles. Gobierno, está conformado por los
componentes de cada una de las etapas, y
El Jefe de Auditoría debe considerar la las interrelaciones que se producen entre
supervisión de los trabajos, sus productos.
directamente o a través de personal de
auditoría delegado para tal efecto. El presente documento técnico describe la
Etapa de Formulación del Plan Anual de
El Jefe de Auditoría debería considerar Auditoría.
la aceptación de trabajos de consultoría
que le sean propuestos, basándose en
el potencial del trabajo para mejorar la
gestión de riesgos, añadir valor y
mejorar las operaciones de la
organización. Los trabajos aceptados
deben ser incluidos en el Plan Anual de
Auditoría.
Posteriormente, en la Etapa de
Planificación del Trabajo de Auditoría
Interna se establecerá entre otras labores,
el programa de trabajo o de auditoría, que 2
Normas emitidas por el Colegio de Contadores de
señala quién, cómo, dónde y cuándo se Chile (Contach) y por The Institute of Internal
Auditors (Theiia).
5
Esquema Nº 1. Etapas del Proceso de Auditoría Interna
6
Esquema Nº 2. Marco para la Formulación del Plan Anual de Auditoría Basado en
Riesgos - Principales Pasos en la Etapa
7
que lo componen3. Para realizar lo anterior, punto, contemplar los dictámenes de la
será necesario consultar y analizar las Contraloría General de la República, así
diversas fuentes a que se tenga acceso, las como de otros órganos que emitan
que pueden contener datos de carácter pronunciamientos que afecten a la
cualitativo o cuantitativo, considerando los organización (Resoluciones del SII,
siguientes elementos: Aduanas, Superintendencia de Seguridad
Social, entre otros).
1.- OBTENCIÓN DE INFORMACIÓN DE
LA ORGANIZACIÓN GUBERNAMENTAL Elementos sobre el entorno
Y DEL CONTEXTO EXTERNO
El sector de la comunidad que atiende, los
1.1.- Principales elementos de los cuales tipos de productos y servicios ofrecidos, las
obtener información localidades donde opera y los métodos de
producción, distribución y comercialización
Elementos estratégicos de la si procede, las nuevas tecnologías que
Organización imperan en el mercado y que afectan el
cumplimiento de la misión.
La formulación de la planificación
estratégica: La visión, misión, los objetivos Elementos referidos al diseño
estratégicos, las metas, las estrategias organizacional
específicas, el presupuesto general y el
operativo. Especialmente, se requiere El tipo de estructura organizacional, la
obtener conocimiento del modelo para estructura nacional y por regiones.
análisis de las estrategias de negocio
utilizado, en la organización, por ejemplo; Elementos referidos a los recursos
FODA (Fortalezas - Oportunidades - humanos
Debilidades - Amenazas), Análisis de 5
fuerzas de M. Porter (Poder de los La cantidad y distribución del personal en el
Proveedores - Competidores Potenciales - nivel central y regional, el proceso de
Amenazas de Productos/Servicios de selección, contratación y capacitación del
Sustitución - Poder de Negociación de los recurso humano.
Compradores - Competencia), o Cuadro de
Mando Integral CMI (Balanced Scorecard Elementos de los sistemas de
BSC). información
8
Elementos referidos a los recursos Tecnológicos
financieros
Incluyen las tecnologías emergentes, los
La cantidad de recursos que la avances en las redes de comunicación, los
organización administra, la distribución a medios tecnológicos para realizar comercio
nivel regional, origen de los recursos y sus electrónico y Gobierno Electrónico que
requisitos de ejecución. generan una mayor disponibilidad de datos,
las reducciones de costos de
PASO N° 2: IDENTIFICAR CONTEXTOS infraestructura y un mayor aumento en la
CRÍTICOS GLOBALES QUE PODRÍAN demanda de servicios basados en la
PROVOCAR MATERIALIZACIÓN DE LOS tecnología.
RIESGOS RELEVANTES
Regulaciones
a.- De carácter externo
Cambios de políticas públicas y normas
Económicos que implican oportunidades o amenazas en
el mercado o segmento en que participa la
Cambios de precios de los insumos, organización. Modificaciones en las normas
nuevas restricciones o aperturas en el que regulan o afectan el que hacer de
acceso a mercados, cambios en las organización.
barreras de entrada de la competencia, y
nuevos competidores. b.- De carácter interno
9
Tecnologías levantamiento de información y la
identificación de los riesgos relevantes.
El aumento continuado de recursos
tecnológicos, las fallas de seguridad y la También podrían constituirse en una
potencial caída de los sistemas, la adecuada fuente de información, los
disponibilidad e integridad de las bases de resultados de la participación de
datos, la mantención preventiva de los empresas de auditoría externa,
sistemas. especialmente en casos de auditoría a
los estados financieros, en asesorías a
Comunicaciones casos particulares o los resultados de la
participación de algún experto en la
El nivel de desarrollo y fluidez de las organización o en otras entidades del
comunicaciones al interior de la sector público, que pueda considerarse
organización. Especialmente la cobertura interesante como benchmarking para
de estas y la claridad y oportunidad con ella.
que llegan a todo el personal.
Otra fuente de información que debe
PASO N° 3: IDENTIFICAR FUENTES DE considerarse en la planificación son los
INFORMACIÓN A CONSULTAR PARA informes de fiscalización emitidos por la
FORMULAR EL PLAN ANUAL DE Contraloría General de la República en
AUDITORÍA BASADO EN RIESGOS sus revisiones habituales y especiales
en la organización y, los emitidos por
Sin perjuicio que una de las principales otros organismos supervisores y
fuentes de información para formular el reguladores en el uso de sus
Plan Anual de Auditoría podría ser la Matriz facultades.
de Riesgos Estratégica generada en el
Proceso de Gestión de Riesgos, que Los informes de seguimiento de los
adquiere una connotación especial cuando distintos proveedores de
se trata de otorgar aseguramiento a la aseguramiento, tanto los de auditoría
Jefatura del Servicio en relación a dicho interna, auditorías externas y de la
proceso, el auditor debería considerar Contraloría General de la República.
adicionalmente, algunas de las siguientes
fuentes de información con la finalidad de Los resultados de las evaluaciones de
enriquecer el análisis: organizaciones gubernamentales y
programas que realiza la Dirección de
Los informes de auditoría y sus papeles Presupuestos (Balance de Gestión
de trabajo correspondientes a Integral, Evaluación Comprehensiva del
revisiones anteriores, que contienen Gasto, etc.) y las bases de datos para
información útil sobre las consulta de jurisprudencia, normas
características, fortalezas y riesgos de contables para el sector gubernamental
los procesos y áreas auditadas de la Contraloría General de la
anteriormente, las transacciones que República.
puedan requerir un análisis especial y el
nivel de eficacia del sistema de control Las investigaciones y procesos
interno de la organización y de cada sumariales administrativos que se han
proceso en particular. realizado en la organización en el
periodo previo a la planificación de
Los resultados de las auditorías de auditoría.
aseguramiento del Proceso de Gestión
del Riesgo, en particular la calidad del
10
Siempre será importante considerar Auditoría Interna se debería especificar que
como fuente de información los la actividad de auditoría interna tiene
cambios significativos en la acceso al trabajo de otros proveedores
organización y en los procesos, internos y externos de servicios de
programas, sistemas o sistemas de aseguramiento.
control que se han creado o sufrido Por su parte, la dirección gubernamental
cambios, parcial o totalmente en el necesita conocer y considerar los cambios
periodo previo a la planificación de en la cobertura de aseguramiento para los
auditoría en la organización. riesgos críticos en la organización. Sin una
coordinación efectiva, el trabajo podría
Es importante señalar que para obtener y verse duplicado, y los riesgos claves
analizar los antecedentes organizacionales pueden obviarse o malinterpretarse.
y normativos requeridos para determinar el
Universo de Auditoría en la organización, La elaboración de mapas de
se pueden utilizar algunas de las técnicas aseguramiento es una herramienta que
que habitualmente facilitan la obtención de contribuye a la auditoría interna para fines
información en el trabajo de auditoría de formular el Plan Anual de Auditoría, a la
interna, entre las que se cuentan las hora del análisis de la insuficiente o
siguientes: excesiva cobertura de los riesgos críticos
por parte de otros proveedores de
Cuestionarios/encuestas. aseguramiento al interior de la
Examen documental. organización. Por consiguiente, una vez
Flujos de procesos. definido el Universo de Auditoría e
Observación. identificados los Contextos Críticos
Grupos de enfoque. Globales que podrían provocar
materialización de los riesgos relevantes,
Entrevistas a ejecutivos responsables.
se debe continuar con la elaboración de un
Mapa de Aseguramiento que permita
Mayor información sobre el tema
determinar la insuficiente o excesiva
encontrará en Anexo N° 1.
cobertura de aseguramiento de los riesgos
PASO N° 4: FORMULAR UN MAPA DE críticos en los procesos, áreas, proyectos,
ASEGURAMIENTO programas, etc. en la organización.
En general existen tres clases principales
1.- ANTECEDENTES de proveedores de servicios de
Las Normas de Auditoría Interna aseguramiento, diferenciados por las partes
Generalmente Aceptadas señalan que el interesadas a las que sirven, por su nivel
Jefe de Auditoría Interna debería coordinar de independencia de las actividades sobre
sus actividades con otros proveedores las que ofrecen aseguramiento y por la
internos y externos de servicios de solidez del aseguramiento:
aseguramiento4 para asegurar una Los que informan a la Jefatura del
cobertura adecuada y minimizar la Servicio y/o son parte de ella
duplicación de esfuerzos al formular su (aseguramiento de la dirección), en los
Plan Anual de Auditoría. que se incluyen quienes realizan
Complementariamente, en el Estatuto de autoevaluaciones de control, auditores
de calidad, auditores medioambientales
4
Por Proveedores de Aseguramiento se entenderá y otro personal de aseguramiento
aquellos que realizan una función de revisión, designado por el Jefe de Servicio.
auditoría, fiscalización, etc., que tenga como objetivo
principal entregar una opinión técnica sobre el diseño
o funcionamiento de temas específicos en la
organización.
11
Los que informan directamente a la Para elaborar el Mapa de Aseguramiento
Jefatura del Servicio, incluyendo a la es posible utilizar el Universo de Auditoría5
auditoría interna. como información base.
Los que informan a las personas A continuación, se muestra la estructura
interesadas externas (aseguramiento que debe tener el Mapa de Aseguramiento
de auditoría externa), papel en una organización:
tradicionalmente realizado por los
auditores independientes a la
organización.
La realización de mapas de aseguramiento
es una herramienta que contribuye en la
formulación del Plan Anual de Auditoría, y
que también permite a la organización
identificar y abarcar las lagunas que
hubiera en el proceso de gestión de riesgos
y ofrece a las partes interesadas
tranquilidad de que los riesgos estarían
siendo gestionados y comunicados, y de
que se cumplirán las obligaciones
legales/reglamentarias. Las organizaciones
podrían beneficiarse de un enfoque
optimizado, que vela por que la información
sobre los riesgos a los que se enfrentan, y
cómo están siendo tratados estos riesgos,
esté disponible para el Jefe de Servicio. La
realización del mapa se lleva a cabo en
toda la organización para poder
comprender en dónde residen los roles y
responsabilidades de riesgos y
aseguramiento. El objetivo es asegurar que
existe un proceso integral de riesgos y
aseguramiento carente de posibles lagunas
y sin mayores duplicidades de esfuerzos.
Sin perjuicio de lo anterior, lo óptimo es que
cada materia dentro de una organización
debería tener su propio mapa de
aseguramiento que podría ser construido
por el responsable o encargado del riesgo
o una persona responsable de coordinar
las actividades de aseguramiento en la
organización. Alternativamente, la auditoría
interna en un primer momento puede
desempeñar un rol de coordinación para
desarrollar y finalizar el mapa de
aseguramiento de la organización.
5
También es posible utilizar las categorías de riesgo
transversales que componen el marco de gestión de
riesgo. Ver Anexo N° 2.
12
Cuadro N° 1. Estructura Mapa de Aseguramiento
Identificar quién la
Identificar quién la
realiza o realizará
realiza o realizará
de Auditoría:
Planificada 20xx
Planificada 20xx
se ubican Matriz de Matriz de
Proceso, Área,
Actividades
Actividades
Actividades
Realizadas
Realizadas
Realizadas
los riesgos (Según Riesgos Riesgos
Actividad
Actividad
Últimas
Últimas
Últimas
Programa, etc.
Media
Baja
críticos definición
Alta
CAIGG) (Nivel de (Nivel de
(Responsable
(Universo de Severidad) Exposición)
del riesgo)
Auditoría)
Mes/ Mes/
Mes/año
año año
Mes/ Mes/
Mes/año
año año
13
Debe asegurarse que el trabajo de los relación con el éxito de la organización y el
otros proveedores está debidamente cumplimiento de sus objetivos estratégicos
planificado, supervisado, documentado y de servicio a los ciudadanos, a través de
y revisado. Para aumentar el nivel de la formulación de un método o modelo para
confianza en los resultados, la actividad priorizar; la evaluación de trabajos
de auditoría interna puede evaluar los potenciales de auditoría y la consideración
resultados del otro proveedor de acerca de la suficiencia del equipo de
servicios de aseguramiento. auditoría para cubrir todos los riesgos
principales y las necesidades de apoyo y/o
Debe tener suficiente convencimiento, tercerización.
apoyándose en el conocimiento del
negocio, del entorno, técnicas e Una vez que se ha identificado y
información utilizadas por el proveedor comprendido el Universo de Auditoría a
de servicios de aseguramiento, de que través del estudio del contexto interno,
los hallazgos que ha formulado el principalmente los procesos de negocio y
proveedor de aseguramiento en sus del contexto externo donde participa la
informes son razonables. organización, existen dos posibles formas
Debe considerar que los hallazgos de enfrentar la decisión de cuáles serán las
significativos encontrados por otro materias a incluir como trabajos en el Plan
proveedor de servicios de Anual de Auditoría:
aseguramiento, hay que tenerlos en
cuenta en el aseguramiento y las 1.- CONSIDERAR TODO EL UNIVERSO
comunicaciones que auditoría interna DE AUDITORÍA DEL SERVICIO COMO
proporciona a la organización. Además, MATERIAS CRÍTICAS
los resultados del trabajo realizado por
otro proveedor, pueden afectar a la Esta alternativa es recomendable utilizarla
evaluación de riesgos de la auditoría en organizaciones que cuentan con pocas
interna y al nivel de trabajo de auditoría materias en total, o bien donde pese a que
realizado como respuesta a ese riesgo. no son pocas, la unidad de auditoría cuenta
con los recursos humanos y económicos
Debe asegurarse que la evaluación necesarios para analizar el total de ellas,
realizada por los otros proveedores de por lo que, en este caso, los trabajos de
servicios de aseguramiento, se ha auditoría a incluir en el Plan Anual
comunicado a las áreas relevantes de corresponden a todas las materias que
la organización, con el fin de ser componen el Universo de Auditoría de la
tomadas en cuenta en las organización.
consideraciones relacionadas con el
marco de gestión de riesgos de la Otra posibilidad para considerar este
organización y en el mapa de criterio se da cuando la unidad de auditoría
aseguramiento. lleva dos a tres años trabajando con
PASO N° 5: RANKING Y PRIORIZACIÓN levantamiento, modelamiento y priorización
DE MATERIAS QUE SE INCLUIRÁN EN de procesos críticos. En consecuencia, la
EL PLAN ANUAL DE AUDITORÍA casi totalidad de los procesos de la
organización ya han sido analizados hasta
BASADO EN RIESGOS
el nivel de etapas y actividades, por lo que
bajo esas condiciones se contaría con la
Esta fase considera el establecimiento de
información requerida para realizar un
criterios y desarrollo de un ranking de
análisis completo de todos los procesos,
prioridades basado en la importancia y en
debiendo actualizarse solo dicha
el nivel de impacto de las materias que
información.
componen el Universo de Auditoría, en
14
2.- UTILIZAR UN MÉTODO PARA simple y útil, incluso cuando las
PRIORIZAR LAS MATERIAS organizaciones gubernamentales cuentan
CRÍTICAS CONTENIDAS EN EL con modelos o procesos de gestión de
UNIVERSO DE AUDITORÍA riesgos definidos y maduros.
Es posible que por los recursos financieros Este método consiste en definir factores
y humanos limitados con que cuentan las críticos de riesgo global para la
unidades de auditoría interna y por la organización, ponderando cada uno de
cantidad y complejidad de las materias que dichos factores, con la finalidad de priorizar
conforman el Universo de Auditoría, deban las materias que son componentes o
necesariamente priorizarse a fin de forman parte del Universo de Auditoría.
seleccionar aquellas más relevantes y
riesgosas para la organización, es decir, las Los factores críticos de riesgo global son
de mayor criticidad. Respecto de este variables que vinculan en algún grado las
último punto, es en esta fase donde se materias con los riesgos críticos en la
usarán modelos para priorizar las materias organización (impacto). Son criterios para
del Universo de Auditoría en base al nivel identificar áreas que presentan
de riesgo e importancia estratégica para la oportunidades de agregar valor por parte
organización. La confiabilidad de los de la auditoría interna a la organización.
modelos utilizados contribuirá directamente También pueden ser considerados como
en la calidad del Plan Anual de Auditoría, “filtros” para priorizar las materias
por lo que su diseño debe estar componentes del Universo de Auditoría.
adecuadamente fundamentado, a través de
registros y documentación de respaldo. Las materias que tengan el mayor valor
promedio de la aplicación del factor crítico
Sin perjuicio que existen muchos modelos y de riesgo global y su nivel de importancia
métodos para priorizar los procesos estratégica, deberían ser priorizadas en el
críticos, en este documento técnico se Plan Anual de Auditoría.
explicitará un modelo que fue elegido
debido a que, presenta una gama de La metodología para la priorización en base
variables que abarca la realidad del Sector a factores críticos de riesgo global se
Público, y que además ha sido probado por detalla a continuación:
las unidades de auditoría interna de este
sector en el transcurso del tiempo, con b.- DEFINICIÓN DE FACTORES
resultados adecuados. Sin perjuicio de CRÍTICOS DE RIESGO GLOBAL
esto, cada unidad de auditoría podrá
ajustarlos a la realidad de su organización Estos factores pueden ser definidos por el
o diseñar otros modelos. Para este efecto, equipo de auditoría interna en coordinación
deben contar previamente con la con el equipo directivo de la organización.
aprobación técnica del CAIGG.
A continuación, se presentan un conjunto
a.- MÉTODO DE FACTORES CRÍTICOS de factores que son útiles para determinar
DE RIESGO GLOBAL PARA LA el nivel de criticidad de las materias
ORGANIZACIÓN componentes del Universo de Auditoría
para cada organización del Sector Público:
Para centrarse en los temas más críticos,
es necesario utilizar un modelo de Existencia de Compromisos en el
priorización basado en factores críticos de Programa de Gobierno 2018-2022 y/o
riesgo global como forma de selección de en la Cuenta Pública Anual del
las materias incluidas dentro del Universo Presidente de la República.
de Auditoría. Esta es una metodología
15
Resultados previos de fiscalizaciones Volumen de recursos involucrados.
de la Contraloría General de la Ámbito de ejecución de la materia.
República Nivel de criticidad de los riesgos de la
Impacto potencial en la opinión pública. materia.
Tiempo transcurrido desde la última
auditoría. Los factores críticos de riesgo global deben
Resultados previos de auditoría interna. describirse, señalando lo que representan
Directrices, lineamientos e instrucciones como impacto para la organización
asociados a la probidad y transparencia gubernamental y, posteriormente,
de los actos en la Administración del cuantificarlos en una escala ordinal.
Estado (por ejemplo; Agenda para la Además, es importante determinar el origen
Transparencia y la Probidad en del factor, pudiendo ser de origen interno o
Negocios y Política, Oficio Circular N° externo a la materia analizada. En el caso
20/2015 del Ministerio de Hacienda, que no sea posible clasificarlo en estas
Oficio Gabinete Presidencial N° categorías se usará la categoría Otros.
522/2016 que reitera y amplía
instructivo de austeridad, probidad y La escala debe representar con el
eficiencia en el uso de los recursos guarismo más alto, el criterio que más
públicos, Oficio Circular N° 16/2015 del impacte en la materia de auditoría, tal como
Ministerio de Hacienda, Oficio Gabinete se presenta en el cuadro siguiente:
Presidencial N° 002/2018, sobre
austeridad y eficiencia en el uso de los
recursos públicos, Oficio Ord. N°
03/2016 del Ministro de Hacienda,
Planificación para la elaboración e
implementación de Códigos de Ética en
los Servicios Públicos, Oficio Ord. N°
1316/2017 del Ministerio de Hacienda,
Informa acciones vinculadas a
implementación del Sistema de
Integridad en cada institución pública,
Oficio Gabinete Presidencial N°
006/2018, Instructivo sobre igualdad de
oportunidades y prevención y sanción
del maltrato, acoso laboral y acoso
sexual en los ministerios y servicios de
la Administración del Estado).
Cambios significativos en la materia
(por ejemplo; proceso, personal,
procedimientos, etc.)
Fortaleza y eficacia del sistema de
control interno (CI).
Complejidad de la materia.
Desviaciones de presupuesto o en el
plan que impactan en el logro de los
objetivos.
Relación de la materia con la misión y
objetivos estratégicos de la
organización.
16
Cuadro Nº 2. Factores Críticos de Riesgo Global para el Sector Público - Descripción y
Valuación
Origen
Factor Crítico Descripción del Factor Criterios de Valuación
Factor
La materia es un compromiso directo en
el Programa de Gobierno o en la
Existencia de Analiza la existencia de Cuenta Pública Anual del Presidente de
Compromisos en compromisos en el la República: 5
el Programa de Programa de Gobierno La materia no está comprometida, pero
Gobierno 2018 - 2018 - 2022 y/o en la se relaciona con compromisos de
Externo 2022 y/o en la Cuenta Pública Anual Gobierno o en la Cuenta Pública Anual
Cuenta Pública del Presidente de la del Presidente de la República: 3
Anual del República, para cada La materia no ha sido comprometida y/o
Presidente de la materia del Universo de no se relaciona con compromisos del
República. Auditoría. Programa de Gobierno y/o en la Cuenta
Pública Anual del Presidente de la
República: 1
Los hallazgos de los informes de CGR
permiten concluir que los controles
Resultados Examina los resultados
mitigantes son insuficientes: 5
previos de de las fiscalizaciones de
Los hallazgos de los informes de CGR
fiscalizaciones la CGR, en particular de
permiten concluir que los controles
Externo de la Contraloría los riesgos y controles
mitigantes son regulares: 3
General de la mitigantes en la materia
No hay hallazgos relevantes o los
República del Universo de
hallazgos de los informes de CGR
(CGR). Auditoría.
permiten concluir que los controles
mitigantes son adecuados: 1
La concreción de riesgos en la materia
de auditoría es de alto impacto público y
Examina la
afecta gravemente la imagen
consecuencia que los
corporativa o reputación del organismo:
riesgos en la materia
5
Impacto del Universo de
La concreción de riesgos en la materia
Externo Potencial en la Auditoría generarían en
de auditoría impacta en forma
opinión pública. la opinión de los
moderada, afectando la imagen del
interesados (políticos,
organismo: 3
gestores, ciudadanía,
La concreción de riesgos en la materia
etc.)
de auditoría es de bajo impacto y no
afecta la imagen del organismo: 1
No se han realizado auditorías a la
materia o la última fue hace más de 2
Examina los tiempos
años: 5
Tiempo transcurridos desde que
La última auditoría realizada a la
transcurrido se realizó una acción de
Externo materia fue hace más de 1 año: 3
desde la última aseguramiento en
La última auditoría a la materia se
auditoría. materia del Universo de
realizó hace menos de un año y
Auditoría.
corresponde realizar el seguimiento a
sus recomendaciones: 1
Examina los resultados Los hallazgos de los informes permiten
Resultados de las auditorías, en concluir que los controles mitigantes
Externo previos de particular de los riesgos son insuficientes: 5
auditoría interna. y controles mitigantes Los hallazgos de los informes permiten
en la materia del concluir que los controles mitigantes
17
Universo de Auditoría. son regulares: 3
No hay hallazgos relevantes o los
hallazgos de los informes permiten
concluir que los controles mitigantes
son adecuados: 1
Analizar y determinar el
nivel de impacto en la
Directrices, Las directrices, lineamientos e
materia del Universo de
lineamientos e instrucciones impactan a la materia en
Auditoría de las
instrucciones forma relevante: 5
directrices, lineamientos
asociados a Las directrices, lineamientos e
e instrucciones
Externo la Probidad y instrucciones impactan a la materia en
asociados a
Transparencia de forma moderada: 3
la Probidad y
los Actos en la Las directrices, lineamientos e
Transparencia de los
Administración instrucciones impactan a la materia en
Actos en la
del Estado. forma menor o no la afectan: 1
Administración del
Estado.
Analiza la importancia Se han producido cambios importantes
de los cambios que se que pueden tener efectos significativos
han generado en el en la materia: 5
Cambios
período previo a la Se han producido algunos cambios que
Interno significativos en
Planificación en la pueden tener efectos moderados en la
la materia.
Entidad en la materia materia: 3
del Universo de No existen cambios relevantes en la
Auditoría. materia o los generados no lo afectan: 1
Existen situaciones graves sobre fallas
Determina el nivel de de control, fraudes, incumplimientos
Fortaleza y
madurez del sistema de permanentes en los 2 últimos años: 5
eficacia del
control interno en la Existen fallas de cumplimiento, pero no
Interno Sistema de
materia del Universo de de gran importancia en los últimos 2
Control Interno
Auditoría en los 2 años: 3
(CI).
últimos años. No existen problemas significativos de
CI en los 2 últimos años: 1
El nivel de complejidad de la materia es
alto, ya que presenta muchas fases y
alta especialización: 5
Evalúa el nivel de El nivel de complejidad de la materia es
dificultad y medio, ya que, si bien presenta varias
Complejidad de
Interno especialización que fases, no tiene un alto nivel de
la materia.
presenta la materia del especialización:3
Universo de Auditoría. El nivel de complejidad de la materia es
bajo, ya que su estructura es simple y
no se requiere especialización en su
desarrollo: 1
La materia presenta grandes brechas
Evalúa cómo la materia entre su planificación y su ejecución,
Desviaciones de
del Universo de desviando el logro de los objetivos: 5
presupuesto o en
Auditoría ha cumplido La materia presenta algunas brechas
el plan que
Interno con los objetivos que se entra su planificación y su ejecución,
impactan en el
había propuesto o los demorando el logro de sus objetivos: 3
logro de los
presupuestos definidos La materia no presenta brechas o estas
objetivos.
o proyectados. no han desviado el logro de los
objetivos: 1
Relación de la Analiza la relación que La materia se relaciona directamente
Interno materia con la tiene la materia del con el cumplimiento de la misión y
misión y Universo de Auditoría estrategias del organismo: 5
18
objetivos con el cumplimiento de La materia se relaciona en forma
estratégicos del la misión y objetivos indirecta con el cumplimiento de la
Organismo. estratégicos del misión y estrategias del organismo: 3
Organismo. La materia no tiene relación o es muy
menor, con el cumplimiento de la misión
y estrategias del organismo: 1
Los recursos involucrados son el 10% o
más del presupuesto total del
6
Analiza el monto de los organismo : 5
Volumen de recursos financieros Los recursos involucrados son entre el
Interno recursos involucrado en la 4% y 9% del presupuesto total del
involucrados. materia del Universo de organismo: 3
Auditoría. Los recursos involucrados son menos
del 4% del presupuesto total del
organismo: 1
Materia con cobertura en todo el país: 5
Analizar y cuantificar la
Materia con cobertura en más del 50%
Ámbito de cobertura a nivel
de las regiones del país: 3
Interno ejecución de la nacional y regional de la
Materia que se desarrolla en menos del
materia. materia del Universo de
50% de las regiones o en sectores
Auditoría.
específicos: 1
El nivel de criticidad de los riesgos de la
Analizar y determinar el
materia según la Matriz de Riesgos es
nivel de criticidad de los
Alta: 5
Nivel de riesgos de la materia
El nivel de criticidad de los riesgos de la
Criticidad de los del Universo de
Interno materia según la Matriz de Riesgos es
riesgos de la Auditoría según la
Media: 3
materia. Matriz de Riesgos
El nivel de criticidad de los riesgos de la
Estratégica de la
materia según la Matriz de Riesgos es
entidad.
Baja: 1
6
Presupuesto total de la organización; entendido como la cantidad de recursos que el organismo tiene asignado
para el cumplimiento de su misión y objetivos institucionales (de ser posible, sin considerar los gastos de soporte).
19
c.- RESPECTO DE LA su uso por las unidades de auditoría
OBLIGATORIEDAD EN EL USO DE LOS interna7.
FACTORES CRÍTICOS DE RIESGO
GLOBAL
20
Cuadro Nº 3. Ponderación Estratégica General Mínima para Factores Críticos de Riesgo
Global
Ponderación
Estratégica General
N° Factor Crítico de Riesgo Mínima del Factor
(%) por Grupo de
Factores
Existencia de compromisos en el Programa de Gobierno 2018-2022
1
y/o en la Cuenta Pública Anual del Presidente de la República.
Directrices, lineamientos e instrucciones asociadas a la probidad y
2
transparencia de los actos en la Administración del Estado.
Resultados previos de fiscalizaciones de la Contraloría General de la
3 15%
República (CGR).
4 Volumen de recursos involucrados.
Relación de la materia con la misión y objetivos estratégicos del
5
Organismo.
6 Nivel de criticidad de los riesgos de la materia.
7 Impacto potencial en la opinión pública.
8 Cambios significativos en la materia.
9 Complejidad de la materia.
10 Ámbito de ejecución de la materia.
11 Fortaleza y eficacia del Sistema de Control Interno (CI). 10%
12 Resultados previos de auditoría interna.
Desviaciones de presupuesto o en el plan que impactan en el logro de
13
los objetivos.
14 Tiempo transcurrido desde la última auditoría.
21
PASO N° 6: FORMULACIÓN DEL PLAN Producto de los tiempos que necesita la
ANUAL DE AUDITORÍA BASADO EN auditoría interna para estudiar la
RIESGOS organización, la recolección de información
confiable, la determinación de los riesgos,
Tal como se ha señalado, según Normas la aplicación del modelo de priorización y
de Auditoría Interna Nacionales e la generación de la documentación que
Internacionales8, el Plan Anual de Auditoría fundamente el Plan Anual de Auditoría, se
debe formularse anualmente. Debiendo requiere que sea realizado con una
incorporar, además de los trabajos anticipación adecuada al cierre de año.
priorizados en base a riesgos por el auditor
interno; los trabajos de consultoría, las 1.- CRITERIOS PARA LA SELECCIÓN DE
actividades rutinarias, las solicitudes MATERIAS A EVALUAR Y
específicas del Jefe de Servicio, las DETERMINAR LOS TRABAJOS A
obligatorias por normativa y los de INCLUIR EN EL PLAN ANUAL DE
seguimiento. AUDITORÍA
22
2.- ELEMENTOS BÁSICOS DEL PLAN Identificar con un código único cada
ANUAL DE AUDITORÍA BASADO EN trabajo planificado para el periodo
RIESGOS anual
23
b.- ASPECTOS TÉCNICOS Alcance general y frecuencia del
trabajo de auditoría
Objetivos generales para cada
trabajo de auditoría planificado para El alcance general de cada trabajo de
el periodo anual auditoría dependerá de la estructura,
complejidad y características de cada
Los objetivos generales corresponden a los actividad operativa donde se realizará el
propósitos globales que se pretende trabajo. Al igual que los objetivos se deben
alcanzar para cada trabajo incluido en el formular como una declaración global de
Plan Anual de Auditoría. En consecuencia, qué abarcará cada trabajo (y que no
los objetivos generales aquí señalados, abarcará). Es decir; definir los ámbitos
deben ser definidos como una declaración específicos, los límites, el periodo que se
relacionada con la pregunta: ¿Cuál es el considerará y los lugares físicos o virtuales
propósito global del trabajo de incluidos en el trabajo.
auditoría?
En los trabajos de aseguramiento, la
Para los trabajos de aseguramiento, los determinación del alcance general podrá
objetivos de auditoría específicos ser refinada en la planificación del trabajo,
asociados al objetivo de auditoría general, cuando después del estudio o encuesta
serán definidos o refinados posteriormente preliminar se determine específicamente y
en la Etapa de Planificación del Trabajo. en forma fundada; las materias, muestras,
montos, límites, periodo y lugares que
Identificación de los riesgos críticos considerará el alcance de cada trabajo de
globales para cada actividad auditoría.
operativa11 donde se realizará el
trabajo de auditoría de acuerdo al También se debe describir cuando
Plan Anual corresponda, la frecuencia con que se
realizarán los trabajos incluidos en el Plan
Para cada trabajo de auditoría incluido en Anual de Auditoría.
el Plan Anual de Auditoría, deben
identificarse los principales riesgos globales Recursos estimados: recursos
que podrían afectar los objetivos de la materiales, personal y horas de
actividad operativa donde se realizará el auditoría
trabajo.
Detalle de recursos materiales
Los riesgos globales son aquellos eventos considerados
que podrían impedir o demorar el
cumplimiento de los objetivos estratégicos, En el caso que sea posible es
operativos, de eficiencia, eficacia y recomendable la cuantificación
legalidad, y de información financiera y no monetaria de los recursos requeridos
financiera de una actividad operativa. Para para la adecuada ejecución del Plan
los trabajos de aseguramiento, los riesgos Anual de Auditoría en el periodo (por
globales serán refinados posteriormente en ejemplo: equipos computacionales,
la Etapa de Planificación del Trabajo. viáticos, pasajes, combustible, etc.)
24
las áreas a tratar por cada uno de responsables operativos, ya sea para
ellos. Sin perjuicio de lo anterior, responder tanto a las observaciones de los
siempre se debe identificar el o los informes emitidos por la auditoría interna,
profesionales que formulan, revisan y Contraloría General de la República u otros
validan el Plan Anual de Auditoría. proveedores de aseguramiento.
Trabajos de seguimiento
12
Ver Documento Técnico N° 87: Seguimiento del
Trabajo de Auditoría Interna.
25
Cuadro Nº 4. Ejemplo de Formato de Anexo con compromisos pendientes para adjuntar
al Plan Anual de Auditoría
… … … … …
26
Cuadro Nº 5. Ejemplo de Formato Plan Anual de Auditoría Basado en Riesgos
Plan Anual de Auditoría 20XX
Nombre del Ministerio: Código del Plan Anual de Auditoría:
Nombre del Servicio: Fecha de Emisión:
Dependencia: Región:
27
El CAIGG informará oportunamente el dicho cronograma se puede utilizar una
formato, fechas y medios mediante el cual Carta o Diagrama de Gantt14. Esta es una
el Plan Anual de Auditoría aprobado debe herramienta básica en la gestión de
remitirse a ese organismo. proyectos, implementación de acciones y
procesos de diversa índole, que tiene como
c.- RELACIÓN ENTRE LOS TRABAJOS objeto representar las diferentes fases,
DE ASEGURAMIENTO Y DE tareas, actividades e hitos programados,
CONSULTORÍA CONTENIDOS EN EL acotando (en tiempo) las diferentes
PLAN ANUAL DE AUDITORÍA Y LOS actividades y ayudando a mejorar la
COMPONENTES, PRINCIPIOS Y gestión.
OBJETIVOS DEL MARCO COSO 2013
En el caso del Plan Anual de Auditoría a
Se debe relacionar cada trabajo de través de la Carta Gantt, se puede
aseguramiento y de consultoría contenido establecer una idea clara de los recursos
en el Plan Anual de Auditoría, con los involucrados (tiempo, actividades,
componentes, principios y objetivos del secuencia, etc.) para su correcta gestión.
Marco COSO 201313.
El Diagrama de Gantt está compuesto por
Para ello, se debe completar y adjuntar al un eje vertical y horizontal, en donde en el
Plan Anual de Auditoría, el cuadro N° 1 del eje vertical se identifican los trabajos que
Anexo N° 5. se va a ejecutar en el periodo planificado, y
en el eje horizontal, se muestra un
Para completar el referido cuadro, debe calendario de la duración de cada uno de
asociarse cada trabajo de aseguramiento o los trabajos.
de consultoría, con el o los componente(s),
principio(s) y objetivo(s) que de mejor
forma se relacionen. Por consiguiente, un
trabajo contenido en el Plan Anual de
Auditoría, podría asociarse a varios
componentes, a varios principios y a más
de un objetivo del Marco COSO 2013.
13
Para mayor información, consultar el Documento
Técnico N° 103: Objetivo Gubernamental de
Auditoría N° 2 – Evaluación de los Sistemas de
14
Control Interno, ponderando las observaciones y Para mayor información, consultar el Documento
recomendaciones de la Contraloría General de la Técnico N° 75: Técnicas y herramientas para el
República y las de Auditoría Interna. control de procesos y la gestión de la calidad.
28
Cuadro Nº 7. Ejemplo de Esquema de Carta o Diagrama Gantt Aplicado al Plan Anual de
Auditoría
SEMANA 1
SEMANA 2
SEMANA 3
SEMANA 4
SEMANA 1
SEMANA 2
SEMANA 3
SEMANA 4
SEMANA 1
SEMANA 2
SEMANA 3
SEMANA 4
Trabajos Contenidos en el Plan Anual Auditoría
Código Nombre
El Plan Anual de Auditoría debe ser Una vez formulado el Plan Anual de
aprobado por el Jefe de Servicio en forma Auditoría debe ser discutido con el Jefe del
explícita previa a su ejecución. Lo anterior Servicio, sometiéndolo a su aprobación
sin perjuicio de la validación técnica que final antes de comenzar a aplicarlo en el
hará el CAIGG. periodo para el cual se formuló. El Plan
Anual, con la constancia de haber sido
Para comunicar los planes y requerimientos aprobado por la autoridad, deberá ser
al Jefe de Servicio, el Jefe de Auditoría le remitido al CAIGG para su revisión y
15
consideración técnica. Una vez realizado
Normas emitidas por el Colegio de Contadores de ello, podrá ser aplicado en el periodo para
Chile (Contach) y por The Institute of Internal
Auditors (Theiia).
el que fue formulado.
29
Existen situaciones en las cuales, durante estuvo dirigido en forma correcta por el
el transcurso del año, será necesario Jefe de Auditoría Interna. Para minimizar
realizar actualizaciones al Plan Anual de cualquier riesgo de incumplimiento del Plan
Auditoría, debido a cambios importantes en Anual de Auditoría, el Jefe de Auditoría
los trabajos o producto de situaciones debería considerar al menos lo siguiente:
urgentes de contingencia. En estos casos,
deberá informarse de forma oportuna al Tener en consideración los riesgos y
Jefe del Servicio, para la aprobación de demás elementos externos a la
estos cambios, y deberá asimismo, organización que puedan afectar la
remitirse al CAIGG para su consideración ejecución del Plan Anual de Auditoría.
técnica. Ejemplos de estos riesgos externos
son las restricciones presupuestarias
Sin perjuicio de lo anterior, el CAIGG podrá impuestas por el Ejecutivo, las
requerir en el transcurso del año, hacer modificaciones normativas, las
ajustes al Plan Anual de Auditoría, los que instrucciones del Ejecutivo.
deben acompañarse al Informe de
Diagnóstico. Examinar y analizar las materias del
Universo de Auditoría de la
organización, y los recursos con los
PASO N° 8: CONTROL DEL AVANCE Y cuales cuenta para determinar los
RESULTADOS DEL PLAN ANUAL DE eventos que pueden apoyar o limitar el
AUDITORÍA trabajo de auditoría. El Plan Anual de
Auditoría debe tener una cobertura que
El avance de la ejecución del Plan Anual de considere los principales riesgos de la
Auditoría debe ser evaluado y controlado organización, pero debe ser razonable
por el Jefe de Auditoría Interna con la en relación a los medios operativos,
finalidad de tomar las medidas necesarias humanos y financieros que tenga la
cuando se produzcan demoras u unidad de auditoría interna.
obstáculos que pongan en riesgo su
ejecución total o parcial. Para lo anterior, Debe considerar la posibilidad que el
deben establecerse informes periódicos Jefe de Servicio le solicite trabajos de
trimestrales y anuales al Jefe del Servicio y aseguramiento o de consultoría
al CAIGG que den cuenta del avance del adicionales a las contenidas en el Plan
Plan Anual de Auditoría, señalando si hay Anual de Auditoría aprobado, en
demoras con su debida justificación, o respuesta a situaciones emergentes de
solicitando suplementación de recursos, contingencia u otros requerimientos.
contratación de expertos u otras Debido a ello deben siempre
necesidades que vayan surgiendo a considerarse tiempos que permitan
medida que se ejecuta el Plan Anual de responder dichas solicitudes en forma
Auditoría. Además, con este informe se razonable.
mantiene informado al Jefe del Servicio
sobre los logros y limitaciones de la unidad
Debe definir indicadores de gestión y
de auditoría interna. Copia de estos
metas asociadas al objetivo de
informes deben ser enviados al CAIGG.
alcanzar en el periodo en que se
ejecutará el Plan Anual de Auditoría.
El cumplimiento total del Plan Anual de
De esta manera se podrá ir midiendo e
Auditoría es fundamental para demostrar informando respecto del avance del
que la unidad de auditoría interna puede
Plan Anual de Auditoría y las
cumplir adecuadamente con su propósito y
desviaciones que este experimente, de
responsabilidad y también demuestra que
forma de permitir tomar medidas
el proceso de planificación de auditoría
oportunas para subsanar dichas
30
situaciones. Entre los indicadores que
podrían establecerse se pueden
señalar como ejemplos los siguientes:
16
Trabajo: Auditoría (aseguramiento), Consultoría, Seguimiento, otros.
31
Cuadro Nº 7. Resultados de Indicadores Asociados al Plan Anual de Auditoría sobre
Control del Avance
Resultados de Aplicación de Indicadores del Plan Anual de Auditoría => Medición: Trimestral
Indicador Medidas
Cumplimiento Explicación de Proyección
Metas Tomadas
Nombre Trabajo Real (% u otra la Desviación, de Conclusión
Proyectadas Auditoría
medida) si corresponde Cumplimiento
Interna
Resultados de Aplicación de Indicadores del Plan Anual de Auditoría => Medición: Anual al 31 de diciembre
Indicador Explicación Medidas
Fórmula Cumplimiento
Metas de la Tomadas
Nombre Trabajo del Real (% u otra Conclusión
Proyectadas Desviación, si Auditoría
Indicador medida)
corresponde Interna
Otros temas Relevantes Asociados al Cumplimiento del Plan Anual de Auditoría => Medición: Trimestral o Anual
Explicación de la Medidas Tomadas Proyección de
Tema Conclusión
Problemática Auditoría Interna Cumplimiento Plan Anual
32
V.- ASPECTOS SIGNIFICATIVOS EN su personal. Con motivo de ello, el auditor
LA ETAPA DE FORMULACIÓN DEL interno debe ser especialmente cuidadoso
PLAN ANUAL DE AUDITORÍA BASADO en mantener la discreción de las materias
EN RIESGOS que le tocará revisar, informando solo a la
autoridad facultada, mediante los canales
1.- ÉTICA Y GOBIERNO CORPORATIVO de comunicación que existan en la
EN LA PLANIFICACIÓN GENERAL DE organización, y manteniendo el resguardo
AUDITORÍA sobre la documentación en la que trabaja.
Para ello, es necesario tener presente el
Es necesario considerar que la unidad de Estatuto de Auditoría de la organización, en
auditoría interna debe evaluar y hacer las el cual se establecen normas asociadas a
recomendaciones adecuadas, para que el las funciones, atribuciones y
Jefe del Servicio cumpla adecuadamente responsabilidades del auditor interno.
con los objetivos relacionados con la ética y
la probidad en la organización. Otro punto a considerar es que el Plan
Anual de Auditoría debe contener los
Por ello, los auditores deberían considerar trabajos que realmente se puedan realizar
dentro de su plan o de sus trabajos, la con los recursos disponibles en la unidad
evaluación periódica del entorno de de auditoría, por lo que en el manejo de las
probidad en la organización, y de la eficacia holguras, el auditor siempre debe actuar
de las estrategias, tácticas, comunicación, bajo un criterio profesional y en base a lo
difusión y otros procedimientos que se más adecuado en relación a la realidad de
apliquen a este para obtener un nivel la organización.
deseado de cumplimiento legal y ético.
Para ello debe evaluarse la existencia de 2.- EFECTO DE LAS TECNOLOGÍAS DE
códigos de conducta o reglamentos de INFORMACIÓN EN LA PLANIFICACIÓN
ética, la existencia de procedimientos GENERAL DE AUDITORÍA
destinados a cumplir las disposiciones de la
Ley de Probidad y las normas del Estatuto Cuando se ha priorizado en el Plan Anual
Administrativo, las acciones y canales de de Auditoría realizar trabajos en actividades
difusión y comunicación de los elementos operativas donde existe utilización intensiva
claves de la probidad, la existencia y de tecnologías de información, o bien
efectividad de la formación y capacitación donde se utiliza un sistema de información
en temas de probidad y ética al interior de informatizado que es fundamental para
la organización, entre otros elementos. alcanzar exitosamente los objetivos de la
actividad operativa, será necesario tener
Los auditores poseen un alto nivel de presente algunas consideraciones
confianza e integridad al interior de las importantes.
organizaciones, por lo que el
aseguramiento que realicen acerca de la En primer lugar, es fundamental examinar
observancia de los objetivos de probidad y la identificación y análisis de los riesgos,
cumplimiento se constituye en un apoyo controles y nivel de exposición al riesgo
importante para que el Jefe de Servicio dentro de la actividad operativa, verificando
afiance su gestión hacia la promoción de que se incluyan en dicho análisis los
valores apropiados, ética y probidad al elementos tecnológicos que se utilizan. Por
interior de la organización. ejemplo, si se realizan transferencias
electrónicas de dinero, deben analizarse
La organización gubernamental confía en los riesgos asociados con este mecanismo
sus auditores internos quienes, en razón de y aplicarse las técnicas de control y
su trabajo, tienen acceso y manejan seguridad informáticos que existan para
información confidencial y estratégica y de mitigar los riesgos.
33
Cómo evaluar el equipamiento;
Los auditores que participen en el equipo capacidades, utilización, nuevos
que formulará el programa y ejecutará la proyectos, seguridad física y lógica,
auditoría deben tomar conciencia de las entre otros.
competencias que se requieren para
realizar un trabajo adecuado con estas Cómo recolectar evidencia electrónica
características. Hay que tener presente que de auditoría confiable y de calidad.
la evidencia electrónica que se necesita
recabar en estos casos tiene Cómo manejar consultas sobre las
características distintas a la evidencia bases de datos relacionales existentes.
tradicional en papel. Por otra parte, los
procedimientos de auditoría para Cómo se aplican los estándares y
comprobar la concreción de los riesgos y la normativas gubernamentales
efectividad de los controles tienen también relacionadas con documento
características distintas en el caso de un electrónico y firma electrónica en la
ambiente informatizado, lo que debe ser organización.
evaluado por el auditor.
Cómo se estructura y opera el
El auditor no solo debe tener conocimientos estándar oficial para la
teóricos acerca de los sistemas interoperabilidad y documentación
informatizados, sino que además debe electrónica en Chile.
tener competencias prácticas en su uso, en
la extracción y manejo de la información, 3.- TRABAJO DE ASEGURAMIENTO AL
en técnicas de control y seguridad, entre PROCESO DE GESTIÓN DE RIESGOS
otros elementos.
Implantado el Proceso de Gestión de
En general, debe tener conocimiento y Riesgos en la organización, es necesaria
práctica para comprender suficientemente una retroalimentación que permita prevenir
lo siguiente: y mejorar aspectos deficientes de la
implementación, con el fin de asegurar un
Cómo se integra la estrategia de la mejoramiento continuo de los procesos de
entidad y los sistemas y tecnologías gestión de riesgo, control y gobierno. En
informáticas. este marco, la acción de la auditoría interna
es fundamental y uno de sus roles respecto
Cómo obtener información y del Proceso de Gestión de Riesgos será
comprensión de los sistemas (flujo de proveer aseguramiento objetivo al Jefe de
información, procedimientos, Servicio sobre la efectividad de las
documentación electrónica, actividades de dicho proceso. Esta
redundancia, organización de archivos, retroalimentación ayudará a asegurar que
estándares de programación, los riesgos claves de negocio han sido
controles, utilización de los sistemas). identificados en forma adecuada y están
siendo gestionados en forma adecuada y
Cómo evaluar la seguridad física y que el sistema de control interno está
lógica de los sistemas. siendo operado efectivamente.
34
forma permanente en el Plan Anual de
Auditoría.
35
VI.- GLOSARIO DE TÉRMINOS otra subdivisión establecida en una
RELEVANTES organización gubernamental, donde se
realizó un trabajo de auditoría y existen
Actividad operativa: Corresponde al compromisos pendientes de
proceso, área, función, proyecto, implementar.
programa, ciclo o cualquier otra
subdivisión establecida en una Materia del universo de auditoría:
organización gubernamental, donde se Corresponde a cualquier proceso,
realizará un trabajo de auditoría que programa, proyecto, área o función, o
es parte del Plan Anual de Auditoría. cualquier otra subdivisión establecida
en una organización gubernamental,
Contextos críticos globales: que es parte del Universo de Auditoría.
Corresponden a situaciones de
carácter interno y externo que, en Organización gubernamental
determinadas condiciones, podrían (Organización): Servicio, Órgano o
provocar materialización de los riesgos Entidad dependiente de la
relevantes en la organización. Es Administración del Estado.
fundamental que el auditor interno los
identifique cuando se identifica el Plan Anual de Auditoría: Documento
Universo de Auditoría y se construyen que establece el enfoque general y los
los métodos de priorización. énfasis del trabajo que desarrollará la
unidad de auditoría para un periodo
Factores críticos de riesgo global: determinado, generalmente un año. El
Son variables que vinculan en algún Plan Anual de Auditoría debe
grado las materias del Universo de individualizar cada trabajo que lo
Auditoría con los riesgos críticos en la compone y definir en forma global los
organización (impacto). Son criterios riesgos críticos de la actividad
para identificar áreas que presentan operativa, los objetivos y alcance
oportunidades de agregar valor por generales del trabajo y las
parte de la auditoría interna a estimaciones de recursos humanos y
organización. También pueden ser financieros. La formulación del Plan
considerados como “filtros” para Anual comprende desde el
priorizar las materias del Universo de conocimiento y compresión de la
Auditoría. organización hasta la formulación y
aprobación del Plan Anual de
Mapa de aseguramiento: Una Auditoría.
herramienta que contribuye en la
formulación del Plan Anual de Proveedores de aseguramiento:
Auditoría. También permite a la Aquellos, distintos de la auditoría
organización identificar y abarcar las interna, que realizan una función de
lagunas que pudiera haber en el revisión, auditoría, fiscalización, etc.,
proceso de gestión de riesgos y ofrece que tenga como objetivo principal
a las partes interesadas tranquilidad de entregar una opinión técnica sobre el
que los riesgos estarían siendo diseño o funcionamiento de temas
gestionados y comunicados, y de que específicos y críticos en la
se cumplirían las obligaciones organización gubernamental.
legales/reglamentarias.
Responsable operativo: Personal que
Materia de seguimiento: Corresponde tiene la responsabilidad de la dirección
a cualquier proceso, programa, de la actividad operativa donde se
proyecto, área o función, o cualquier realizará el trabajo de auditoría.
36
no son priorizados en base a factores
Trabajo: Una actividad de críticos de riesgo global.
aseguramiento, consultoría,
seguimiento, rutinarias y/o obligatorias Trabajo de seguimiento: Un examen
por ley o solicitudes realizadas por el objetivo de evidencias con el propósito
Jefe de Servicio, que está contenida en de proveer una evaluación
el Plan Anual de Auditoría de una independiente del estado de
organización, aprobado por la Jefatura implementación de los compromisos
del Servicio. tomados por los responsables de una
actividad operativa, producto de
Trabajo de auditoría (trabajo de recomendaciones de auditoría. Es
aseguramiento): Un examen objetivo parte del Plan Anual de Auditoría y
de evidencias con el propósito de puede haber sido priorizado en base a
proveer una evaluación independiente factores críticos de riesgo global y su
de los procesos de gestión de riesgos, ponderación estratégica.
control y gobierno de una organización
gubernamental. Es parte del Plan Trabajos solicitados por el jefe de
Anual de Auditoría y ha sido priorizado servicio: Un examen objetivo de
desde el Universo de Auditoría en base evidencias con el propósito de proveer
a factores críticos de riesgo globales y una evaluación independiente respecto
su ponderación estratégica. de temas solicitados especialmente por
la Jefatura del Servicio, por ser de su
Trabajo de consultoría: Actividades interés. Es parte del Plan Anual de
de asesoramiento y servicios Auditoría y en general no son
relacionados, proporcionadas a las priorizados en base a factores críticos
áreas de la organización de riesgo global.
gubernamental, cuya naturaleza y
alcance estén acordados con los Universo de Auditoría: Es una
mismos y estén dirigidos a añadir valor recopilación de la información
y a mejorar los procesos de gobierno, estratégica y operativa de filiales,
gestión de riesgos y control de una unidades de negocio, departamentos,
organización, sin que el auditor interno grupos, procesos, funciones o
asuma responsabilidades de gestión. cualquier otra subdivisión establecida
Es parte del Plan Anual de Auditoría y en una organización que exista para
puede haber sido priorizado desde el gestionar uno o más riesgos críticos.
Universo de Auditoría en base a En la práctica es la lista de todas las
factores críticos de riesgo global y su potenciales áreas, procesos,
ponderación estratégica. funciones, proyectos, programas, etc.
que se deben evaluar y priorizar para
Trabajos rutinarios y obligatorios determinar los trabajos de auditoría
por normativa: Un examen objetivo de que se realizarán en un periodo
evidencias con el propósito de proveer determinado y que se incluirán en el
una evaluación independiente y de Plan Anual de Auditoría
cumplimiento respecto de obligaciones correspondiente.
establecidas por normas específicas o
para actividades de rutina. Es parte del
Plan Anual de Auditoría y en general
37
VII.- BIBLIOGRAFÍA
1.- Marco Internacional para la Práctica Profesional de la Auditoría Interna del Instituto
de Auditores Internos Global – IIA. Principales Normas Utilizadas
Normas de Desempeño
2010 – Planificación.
2020 – Comunicación y aprobación.
2050 – Coordinación.
2060 – Informe a la alta dirección y al Consejo.
2010 - Planificación.
2020 - Comunicación y Aprobación.
2030 - Administración de Recursos.
2050 - Coordinación y Confianza.
2060 – Informe a la alta dirección y al Consejo.
Documentos de Posición
Las Tres Líneas de Defensa para una Efectiva Gestión de Riesgos y Control.
38
VIII.- ANEXOS
ANEXO N° 1
Los datos que se requieren obtener desde las diversas fuentes de información disponibles en
esta etapa son de tipo cualitativo y cuantitativo. Algunas de ellas son las siguientes:
Datos Cualitativos
Datos Cuantitativos
A continuación, se presenta un abreve descripción de las técnicas que podrían resultar útiles
para recoger información en la Etapa de Plan Anual de Auditoría Basado en Riesgos.
Examen Documental
Cuestionarios/encuestas
39
Los cuestionarios se utilizan principalmente para recoger hechos que no están disponibles de
ningún otro modo, y que son importantes como referencia para documentar un punto de vista.
Entrevistas
Grupos de Enfoque
Observación
Consiste en observar a las personas, procedimientos y los procesos. Por lo general una
observación se considera más persuasiva que una encuesta en el sentido que el auditor
obtiene información directa.
40
Las respuestas
Obtener con rapidez y
pueden resultar
fiabilidad impresiones
difíciles de analizar
frecuentes
Se necesita un
Cuando se quiere explorar Puede ser un modo
facilitador adecuado
Grupos de Enfoque un tema en profundidad eficiente de obtener una
para que haya
mediante el debate en información amplia y
seguridad y para el
grupo profunda en poco
cierre
tiempo
Es difícil programar
Puede transmitir
la reunión de un
información clave
conjunto de muchas
acerca de los programas
personas
Podría no obtenerse
una
Puede respetarse el
retroalimentación
anonimato
cuidadosa
realización barata
La redacción puede
Cuando se necesita Fácil de comparar y
sesgar las
obtener, con rapidez y/o analizar
respuestas de los
Cuestionarios/ facilidad, gran cantidad de Puede administrarse a
clientes
Encuestas información que poseen las muchas personas
Son impersonales
personas, de un modo que Puede obtener gran
En las encuestas
no resulte amenazador cantidad de datos
pueden requerirse
Existen muchos
expertos en
modelos de
muestreo
cuestionarios
No cuentan toda la
historia
A menudo ocupa
mucho tiempo
Brinda una información
Cuando se desea una La información
amplia y a lo largo del
impresión acerca de la forma puede ser
tiempo.
en que actúa un programa, incompleta
No interrumpe los
proceso, función, proyecto, Es necesario tener
procesos ni el
Examen Documental etc. sin interrumpirlo, a partir una idea muy clara
comportamiento de las
de una revisión de sobre lo que uno
personas en el proceso.
solicitudes, documentos está buscando
La información ya existe
financieros, memorándums, Medio no flexible de
Pocos sesgos de la
actas, etc. obtención de datos;
información
los datos se limitan a
lo ya existente
La conducta puede
resultar difícil de
Ver las actividades de interpretar
Cuando se requiere recoger
mientras están Categorizar las
información exacta acerca
ocurriendo realmente observaciones
de la forma en que actúa
Observación Puede adaptarse a los puede ser
realmente un programa,
acontecimientos complicado
sobre todo en lo referente a
mientras estos se Puede influir en la
sus procesos
producen conducta de los
participantes
Puede ser cara
41
Potenciales
Visión gráfica del todo
interpretaciones
en un gráfico.
Cuando se requiere recoger cuando el lector no
Identificación de riesgos
información detallada y comprende los
y puntos de control de
representada gráficamente símbolos.
Flujo de Procesos procesos o sistemas.
acerca de la forma en que Son impersonales
Pocos sesgos de la
se procesa la información de Pueden contener
información.
los procesos información
Generalmente ya
desactualizada.
existen.
Para mayor información sobre los métodos y técnicas para obtener datos cualitativos y
cuantitativos desde las diversas fuentes de información disponibles en esta etapa, se
recomienda leer el Documento Técnico N° 75: Técnicas y Herramientas para el Control de
Procesos y la Gestión de la Calidad para su uso en la Auditoría Interna y en la Gestión de
Riesgos, emitido por el CAIGG.
42
ANEXO N° 2
Los procesos transversales son procesos definidos a nivel global de acuerdo a sus objetivos y
productos finales. Dentro de ellos se agrupan los procesos específicos informados por las
organizaciones gubernamentales con distintas denominaciones, pero que responden a una
misma raíz.
Procesos Transversales
en la Administración del Descripción
Estado
Procesos de Negocio
Subsidios a privados de Se entienden aquellos cuyo objetivo es promover, mediante
fomento incentivos económicos, que los particulares realicen por sí
mismos actividades productivas.
Se entienden como tales los procesos cuyo objetivo es la
Subsidios a privados social promoción de ciertos objetivos sociales como la integración,
etc.
Subsidios a privados Consisten en procesos cuya finalidad es entregar ayuda de
asistencial subsistencia a particulares.
Transferencias a/de otras Son procesos en que, por ley o convenios, se entregan o
entidades públicas reciben recursos de otro organismo del Estado.
Servicios de atención al Procesos que se orienten a servir a todos los ciudadanos a
ciudadano – contraprestación través de la entrega de atención, servicios o productos.
43
Procesos Transversales
en la Administración del Descripción
Estado
función; que son de la esencia de su “negocio”.
Otorgamiento y/o En el caso de aquellas organizaciones que entregan
reconocimiento de derechos derechos o beneficios a personas naturales como ser parte
de un registro, derechos de aguas, etc.
Aquellos estudios cuyo sentido es investigar un tema
Estudios e investigaciones
económico, financiero, de mercado u otra situación
determinada importante para la organización.
Desarrollo de acciones legales y/o judiciales como negocio
Legal estratégico
de la organización gubernamental.
Equivalen a la gestión y monitoreo de los contratos que
Control de outsourcing
externalizan funciones propias de la organización
gubernamental.
Proceso relacionado con seguridad que realizan
determinados entes del estado en relación a las personas
Seguridad y Control de
en distintas calidades: victimas, imputados, reos, reclutas y
Personas y/o Recintos
la ciudadanía en general. Esto podría incluir operaciones de
distinta naturaleza como vigilancia, traslados, control u otros
de índole distinta, relacionados con la seguridad.
Procesos relacionados con seguridad operacional y
respuestas ante situaciones de emergencias de los servicios
Seguridad del transporte
de transporte terrestre, marítimo y aéreo, así como de las
instalaciones portuarias y aeroportuarias o de cualquier otra
índole, en donde exista tráfico de pasajeros o carga.
Calificación ambiental Procesos relacionados a análisis, autorizaciones y permisos
medio ambientales.
Producción de bienes Corresponde a aquellos procesos productivos que generan
materiales bienes materiales como resultado
Procesos que desarrollan aquellas organizaciones
Comercialización
gubernamentales que venden productos y/o servicios a
terceros.
Procesos asociados a la ejecución y coordinación de
Coordinación de Acciones de
operaciones de emergencia, gestión de recursos para
Emergencia
emergencias, monitoreo y análisis de los diversos factores y
elementos relacionados con situaciones de emergencia o
catástrofes.
Procesos Gerenciales o de Dirección Estratégica
Proceso anual que se realiza en la organización para
Planificación presupuestaria programar la presupuestación de las diversas acciones que
ejecuta.
Proceso que realiza la organización gubernamental en el
Planificación estratégica que fija sus objetivos, sus metas y la forma como las
cumplirá.
Coordinación entre instancias Procesos que implican relaciones entre diversos niveles,
personas o entidades cuya organización y canalización son
de responsabilidad de la organización gubernamental.
Procesos integrales para mejorar los servicios e información
ofrecidos a los ciudadanos, aumentar eficiencia y eficacia de
44
Procesos Transversales
en la Administración del Descripción
Estado
Gobierno Electrónico la gestión pública e incrementar la transparencia del sector
público y la participación de los ciudadanos a través del uso
de las tecnologías de información y comunicaciones (TIC).
Procesos de Inversión
Iniciativas de inversión Todos los procesos de inversión considerados en el
subtítulo 31, desde los estudios a la ejecución.
Inversión en instrumentos financieros y de mercado
Mercado financiero accionario que realizan algunas organizaciones
gubernamentales autorizadas.
Procesos de Información
Sistemas de información Aquellos sistemas de información que entregan reportes y
administrativos datos a los que puedan tener acceso terceros.
Soporte informático interno de la organización
gubernamental, que comprende sistemas de información
Sistemas informáticos
contable, financieros y operativos que contienen datos
internos de dicha organización.
Procesos de Control Operativo de los Recursos Públicos
Fiscalización Procesos a través de los cuales las organizaciones
gubernamentales controlan a entes externos en el
cumplimiento de normas y estándares.
Evaluación y control de Proceso de control de substancias peligrosas.
substancias
Proceso a través del cual la organización controla el
Control de gestión cumplimiento de las metas, logros e indicadores que se ha
definido en su planificación.
Procesos de Soporte
Procesos contables, de tesorería, registro presupuestario,
Financiero
etc.
Asesoría y apoyo jurídico dirigido al quehacer interno de la
Legal
organización gubernamental.
Comunicaciones Acciones de difusión y publicidad de los programas y
acciones desarrolladas por la organización gubernamental.
Adquisiciones y Incluye la programación de compra, licitación, compra,
abastecimiento recepción y distribución de los bienes y servicios adquiridos.
Recursos humanos Incluye todos los procesos relacionados al personal, su
capacitación, remuneraciones, feriados y bienestar.
Administración/mantenimiento Procesos de gestión de los recursos materiales de la
recursos organización gubernamental, inventario, baja y traslado.
Procesos de administración, dirección, manejo, registro,
archivo y almacenamiento de documentación de la
Gestión documental organización gubernamental, con o sin apoyo de sistemas
informáticos, referido tanto a documentación interna como
externa de dicha organización.
Proceso independiente y objetivo de aseguramiento y
consulta, concebida para agregar valor y mejorar las
Auditoría Interna operaciones de una organización. Se orienta a la prevención
y contempla actividades de planificación, programación,
45
Procesos Transversales
en la Administración del Descripción
Estado
ejecución, informe y seguimiento.
Incluye todos los procesos relacionados a los bienes
Recursos materiales muebles o raíces que utiliza la organización gubernamental
para cumplimiento de sus objetivos.
Mejoramiento de la gestión Entendiendo todos aquellos proceso relacionados al PMG,
convenios de desempeño y otros estímulos por metas.
Es necesario relevar que las organizaciones gubernamentales deben clasificar las materias del
Universo de Auditoría solo en una de las categorías antes definidas, basados en las
características organizacionales y en los objetivos de estas. Cuando existan dudas o
diferencias respecto de la clasificación de uno o más procesos dentro de la categoría de
procesos transversales, deberá consultarse y discutirse con el respectivo asesor de riesgos del
Consejo de Auditoría, para la creación de un nuevo proceso transversal, si fuese necesario.
Hay que tener presente que la clasificación que se hace en procesos de soporte, gerenciales,
de negocio, entre otros, es solo genérica, ya que pueden existir organizaciones
gubernamentales cuyos procesos de negocio correspondan a los que generalmente para las
demás organizaciones son de soporte, como los procesos de contabilidad, de selección de
recursos humanos, entre otros.
46
ANEXO N° 3
A continuación se presenta un ejemplo que describe como definir, a través del uso de un
ranking y priorización, los trabajos contenidos en el Plan Anual de Auditoría:
Se presenta el caso de una organización ficticia donde el auditor interno después de utilizar
diversas técnicas y consultar las fuentes de información correspondientes, ha determinado que
se cuenta con el siguiente Universo de Auditoría:
En este ejemplo las materias del Universo de Auditoría identificadas son genéricas, ya que se
trata de un caso ilustrativo de priorización de los trabajos en el Plan Anual.
Cuando se realice la identificación de las materias del Universo de Auditoría por parte de las
Unidades de Auditoría Interna, es necesario que se haga a un nivel de desagregación
específico y concreto. Lo anterior dependerá entre otros factores de la naturaleza, estructura y
tamaño de la organización y del nivel alcanzado en el levantamiento y modelamiento de
procesos.
A continuación, en esta organización ficticia el auditor interno realizará una aplicación del
modelo evaluando todo el Universo de Auditoría en base a la identificación, descripción y
aplicación de Factores Críticos de Riesgo Global (se utilizará siete factores) contenida en el
siguiente cuadro:
47
Cuadro Nº 2: Factores Críticos de Riesgo Global utilizados en la Organización
17
Presupuesto total de la organización; entendido como la cantidad de recursos que el organismo tiene asignado
para el cumplimiento de su misión y objetivos institucionales (de ser posible, sin considerar los gastos de soporte)
48
objetivos el cumplimiento de la estrategias del organismo: 5
estratégicos del misión y objetivos La materia se relaciona en forma
Organismo. estratégicos del indirecta con el cumplimiento de
Organismo. la misión y estrategias del
organismo: 3
La materia no tiene relación o es
muy menor, con el cumplimiento
de la misión y estrategias del
organismo: 1
El nivel de criticidad de los
Analizar y determinar el riesgos de la materia según la
nivel de criticidad de los Matriz de Riesgos es Alta: 5
Nivel de criticidad riesgos de la materia del El nivel de criticidad de los
6 Interno de los riesgos de Universo de Auditoría riesgos de la materia según la 15%
la materia. según la Matriz de Matriz de Riesgos es Media: 3
Riesgos Estratégica de la El nivel de criticidad de los
entidad. riesgos de la materia según la
Matriz de Riesgos es Baja: 1
Existen situaciones graves sobre
fallas de control, fraudes,
Determina el nivel de incumplimientos permanentes
Fortaleza y
madurez del sistema de en los 2 últimos años: 5
eficacia del
control interno en la Existen fallas de cumplimiento,
7 Interno Sistema de 10%
materia del Universo de pero no de gran importancia en
Control Interno
Auditoría en los 2 últimos los últimos 2 años: 3
(CI).
años. No existen problemas
significativos de CI en los 2
últimos años: 1
49
Una vez realizada esta operación, deberá multiplicarse cada uno de los resultados obtenidos
por el ponderador porcentual, que se le dio a cada Factor de Riesgo Crítico de acuerdo al
cuadro Nº 3, como se representa en el ejemplo contenido a continuación:
50
De acuerdo al ejemplo anterior, se tendría el siguiente ranking para las materias del Universo
de Auditoría:
Como puede observarse, la aplicación del Modelo de Factores Críticos de Riesgo Global y su
ponderación estratégica, a las materias contenidas en el Universo de Auditoría, tiene la
finalidad de ayudar a priorizarlas y seleccionarlas como trabajos de auditoría en el Plan Anual
de Auditoría, bajo una mirada sistemática, formal y previamente definida.
En el ejemplo, si el Jefe de Auditoría contara con recursos humanos y financieros para realizar
solo ocho trabajos de auditoría, debería realizarlos en los siguientes procesos, programas,
proyectos, áreas o funciones: Subsidios a Privados de Fomento, Servicio de Atención al
Ciudadano – Contraprestación, Iniciativas de Inversión, Adquisiciones y Abastecimiento,
Fiscalización, Recursos Humanos, Financiero y Estudios para regulaciones, normativa y
fijación tarifaria.
Adicionalmente a los trabajos de auditoría antes señalados, el Plan Anual de Auditoría debería
incluir, si corresponde, los trabajos de consultoría, de seguimiento, rutinarios y obligatorios por
normativa, los solicitados por el Jefe de Servicio y las horas de capacitación.
51
ANEXO Nº 4
1.- Antecedentes generales del Servicio. Comprende una breve explicación acerca de la
organización, cuál es su misión, sus objetivos estratégicos, sus productos, lineamientos
gubernamentales y cualquier otro antecedente que contribuya a comprender los riesgos y
oportunidades que enfrenta.
4.- Ranking de Materias del Universo de Auditoría. Debe presentarse el ranking de materias
contenidas en el Universo de Auditoría después de aplicar los Factores Críticos de Riesgos
Global utilizados y la correspondiente ponderación. Del ranking debe señalarse cuáles
materias se considerarán finalmente en el Plan Anual de Auditoría. Considerar el cuadro
número 5 del Anexo 3 de este Documento Técnico.
6.- Explicación detallada de trabajos solicitados por el Jefe de Servicio. Se debe explicar
detalladamente cada una de los trabajos solicitados por el Jefe de Servicio, señalando los
argumentos en que se basó su solicitud. Adicionalmente, en el Plan Anual de Auditoría se
debe detallar si se trata de un trabajo de aseguramiento, consultoría, seguimiento, etc. Lo
anterior con la finalidad de mantener la misma estructura para todos los trabajos contemplados
en el Plan Anual de Auditoría.
Adicionalmente se deberán adjuntar al Plan Anual de Auditoría un Anexo con los compromisos
pendientes de implementar al 31.12.20xx, y que serán sujetos de seguimiento durante el
periodo planificado. Estos deben ser parte de los Planes de Acción o Compromisos formulados
52
por los responsables operativos, ya sea para responder a los informes emitidos por la auditoría
interna como para responder a los emitidos por la Contraloría General de la República u otros
proveedores de aseguramiento. Los elementos a informar están señalados en el Cuadro N° 4,
de la letra b.- Aspectos Técnicos, contenida en el punto 2.- Elementos Básicos del Plan Anual
de Auditoría Basado en Riesgos.
Para el envío de los reportes antes señalados, el CAIGG comunicará oportunamente sobre el
formato y fechas en que las organizaciones gubernamentales deben informar a este Consejo.
Para el envío de los reportes relacionados con los resultados del control de avance
trimestrales y anuales, el CAIGG comunicará oportunamente sobre el formato y fechas en que
las organizaciones gubernamentales deben informar a este Consejo.
Cuadro Nº 3
53
b.- Estimación de días no considerados en la Planificación Anual de Auditoría
Cuadro Nº 4
Datos en días
Variables a Considerar
Días Personas Total días
Feriados Legales 15 1 15
Permisos Administrativos 6 1 6
Otros no Clasificados 10 1 10
Reuniones varias 11 1 11
Total días no considerados en la planificación anual 20XX 42
Cuadro Nº 5
Cuadro Nº 6
Cuadro Nº 7
18
Se hace un supuesto de 8 horas de trabajo disponibles por día.
54
ANEXO Nº 5
Para realizar esta tarea, se debe completar y adjuntar al Plan Anual de Auditoría, el siguiente
cuadro:
Cuadro Nº 1
19
Objetivos Operacionales (O), Objetivos de Información (I) y Objetivos de Cumplimiento (C).
55
8.- Considerar la
probabilidad de fraude al
evaluar los riesgos
9.- Identificar y evaluar
los cambios significativos
del control interno.
10.- definir y desarrollar
actividades de control
que mitiguen los riesgos
hasta niveles aceptables
11.- Definir y desarrollar
Actividades actividades de control a
de Control nivel de entidad sobre la
tecnología
12.- Desplegar las
actividades de control a
través de políticas y
procedimientos
13.- Obtener o generar y
utilizar información
relevante y de calidad
14.- Comunicar la
información
internamente, incluidos
Información y
los objetivos y
Comunicación responsabilidades que
son necesarios
15.- Comunicar con las
partes interesadas
externas los aspectos
clave
16.- Seleccionar,
desarrollar y realizar
evaluaciones continuas
Actividades y/o independientes
de 17.- Evaluar y comunicar
Supervisión las deficiencias de forma
oportuna a las partes
responsables de medidas
correctivas
Relación cuantitativa del Plan Anual de
Auditoría con los Objetivos de COSO 2013
Relación porcentual del Plan Anual de
Auditoría con los Objetivos de COSO 2013
El CAIGG distribuirá las plantillas y formatos para que las entidades del Sector Público remitan
este cuadro con el Plan Anual de Auditoría.
56
A.- Descripción del contenido de la plantilla
El control interno es un proceso llevado a cabo por el Jefe de Servicio, el equipo directivo y el
resto de los funcionarios de una organización, diseñado con el objeto de proporcionar un
grado de aseguramiento razonable en cuanto a la consecución de objetivos relativos a las
operaciones, a la información y al cumplimiento.
El Marco de Control Interno COSO versión 2013, está compuesto de tres volúmenes que
incluyen lo siguiente:
57
no financiera y el reporte interno. Asimismo, el Marco refleja los cambios en el entorno
empresarial y operativo de las últimas décadas.
Se mantiene la visión de que el control interno ayuda a las entidades a lograr importantes
objetivos y a mantener y mejorar su rendimiento. El Marco permite a las organizaciones
desarrollar, de manera eficiente y efectiva, sistemas de control interno que se adapten a los
cambios del entorno operativo y de negocio, mitigando riesgos hasta niveles aceptables y
apoyando en la toma de decisiones y la gobernanza de la organización.
Un sistema de control interno efectivo requiere algo más que un riguroso cumplimiento de las
políticas y procedimientos: requiere del juicio y del criterio profesional. El Jefe de Servicio y su
equipo directivo deben utilizar su criterio profesional para determinar el nivel de control que es
necesario aplicar. Las jefaturas y el resto del personal deben utilizar su criterio profesional para
seleccionar, desarrollar y desplegar controles en toda la organización gubernamental. Las
jefaturas y los auditores internos, entre otros profesionales de la entidad, deben aplicar su
criterio profesional a la hora de supervisar y evaluar la efectividad del sistema de control
interno.
El Marco apoya a las Jefaturas de Servicio y equipos directivos, a los grupos de interés
externos y demás partes que interactúan con la organización gubernamental a través de sus
respectivas funciones relacionadas con el control interno, sin llegar a ser excesivamente
estricto. Para ello, el Marco ofrece un entendimiento de lo que constituye un sistema de control
interno y aporta información de valor para poder determinar si se está aplicando de manera
efectiva.
(2) Componentes
Entorno de Control
El entorno de control es el conjunto de normas, procesos y estructuras que constituyen la
base sobre la que se desarrolla el control interno de la organización gubernamental. El
consejo y la alta dirección (El Jefe de Servicio y su equipo directivo en el Sector Público)
son quienes establecen el "Tone at the top" o “Tono desde la Dirección” con respecto a la
importancia del control interno y las normas de conducta esperables.
Evaluación de Riesgos
La evaluación del riesgo implica un proceso dinámico e iterativo para identificar y evaluar
los riesgos de cara a la consecución de los objetivos. Dichos riesgos deben evaluarse en
relación a unos niveles preestablecidos de tolerancia. De este modo, la evaluación de
riesgos constituye la base para determinar cómo se gestionarán.
58
Actividades de Control
Las actividades de control son las acciones establecidas a través de políticas y
procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones del
Jefe de Servicio para mitigar los riesgos con impacto potencial en los objetivos.
Información y Comunicación
Actividades de Supervisión
(3) Principios
Cada principio es apoyado por atributos, que se denominan “puntos de interés”. Estos
representan características relacionadas con el principio. Generalmente se espera que cada
atributo esté presente en el principio y puede ser posible tener un principio presente y
funcionando sin tener todos los puntos de interés. El identificar explícitamente principios y
puntos de interés en el Marco tiene como objetivo brindar eficiencia y una base para la eficacia
de la evaluación del control interno en la organización gubernamental. A continuación se
presentan los principios asociados a cada Componente del Marco adaptado al Sector Público:
Entorno de Control
1. La Jefatura del Servicio, equipo directivo y el resto del personal demuestra compromiso con
la integridad y los valores éticos.
2. El consejo de administración demuestra independencia de la dirección y ejerce la
supervisión del desempeño del sistema de control interno20.
3. El Jefe de Servicio establece las estructuras, las líneas de reporte y los niveles de autoridad
y responsabilidad apropiados para la consecución de los objetivos.
20
Este Principio en particular fue adaptado para el Sector Público en este Documento Técnico.
59
4. La organización demuestra compromiso para atraer, desarrollar y retener a profesionales
competentes, en alineación con los objetivos de la misma.
5. La organización define las responsabilidades de las personas a nivel de control interno para
la consecución de los objetivos.
Evaluación de Riesgos
6. La organización define los objetivos con suficiente claridad para permitir la identificación y
evaluación de los riesgos relacionados.
7. La organización identifica los riesgos para la consecución de sus objetivos en todos los
niveles de la entidad y los analiza como base sobre la cual determinar cómo se deben
gestionar.
8. La organización considera la probabilidad de fraude al evaluar los riesgos para la
consecución de los objetivos.
9. La organización identifica y evalúa los cambios que podrían afectar significativamente al
sistema de control interno.
Actividades de Control
Información y Comunicación
13. La organización obtiene o genera y utiliza información relevante y de calidad para apoyar
el funcionamiento del control interno.
14. La organización comunica la información internamente, incluidos los objetivos y
responsabilidades que son necesarios para apoyar el funcionamiento del sistema de
control interno.
15. La organización se comunica con las partes interesadas externas sobre los aspectos clave
que afectan al funcionamiento del control interno.
Actividades de Supervisión
El Marco establece tres categorías de objetivos, que permiten a las organizaciones centrarse
en diferentes aspectos del control interno:
60
Objetivos Operacionales (O): Hacen referencia a la eficacia y eficiencia de las
operaciones de la organización, incluidos sus objetivos de desempeño, financieros y
operativos, y la protección de sus activos frente a posibles pérdidas.
Existe una relación directa entre los objetivos que es lo que una organización se esfuerza por
alcanzar, los componentes, que representa lo que se necesita para lograr los objetivos y la
estructura organizacional de la entidad, constituidas por las unidades operativas, entidades
jurídicas y demás. La relación de los tres elementos, puede ser representada en la forma
tradicional de un cubo21.
21
Para mayor información ver el Volumen Marco Integrado de Control Interno COSO 2013 y Apéndices.
61
B.- Ejemplo:
Para este ejemplo se considera un Plan Anual de Auditoría para el año 20xx, que contiene
además de las actividades rutinarias, 5 trabajos de auditoría (aseguramiento) y 2 trabajos de
consultoría, de acuerdo a lo siguiente:
Código Tipo de
Nombre del Trabajo contenido en el Plan Anual de Auditoría
Trabajo Trabajo
A1 Aseguramiento a Tesorería M
A2 Aseguramiento al Proceso de Gestión de Riesgos G
A3 Aseguramiento a Compras Públicas G
A4 Aseguramiento al Proceso de Entrega de Subsidios I
A5 Aseguramiento al Sistema de Prevención de Delitos LA/FT/DF I
C1 Consultoría al Diseño de Controles de Sistemas de Información I
C2 Consultoría al Sistema de Integridad I
Para identificar la relación entre los trabajos del Plan Anual de Auditoría y el Marco COSO
2013, considerará, entre otros factores, el objetivo general y el alcance de cada trabajo.
Cuadro Nº 2
62
6.- Definir objetivos
Aseguramiento al
claros para permitir la
X X X A2 Proceso de G
identificación y
Gestión de Riesgos
evaluación de los riesgos
7.- Identificar riesgos en Aseguramiento al
todos los niveles de la X X X A2 Proceso de G
entidad y los analiza Gestión de Riesgos
Aseguramiento al
Sistema de
X A5 I
Prevención de
Delitos LA/FT/DF
Evaluación de Aseguramiento a
X X A1 M
Riesgos Tesorería
8.- Considerar la
Aseguramiento a
probabilidad de fraude al X A3 G
Compras Públicas
evaluar los riesgos
Aseguramiento al
X X A2 Proceso de G
Gestión de Riesgos
Consultoría al
X C2 sistema de I
Integridad
9.- Identificar y evaluar Aseguramiento al
los cambios significativos X X X A2 Proceso de G
del control interno. Gestión de Riesgos
Aseguramiento a
X A3 G
Compras Públicas
Aseguramiento al
10.- definir y desarrollar proceso de
X A4 I
actividades de control entrega de
que mitiguen los riesgos Subsidios
hasta niveles aceptables Aseguramiento al
proceso de
X A4 I
entrega de
Subsidios
Aseguramiento a
X X A1 M
11.- Definir y desarrollar Tesorería
actividades de control a Aseguramiento al
Actividades de nivel de entidad sobre la proceso de
X A4 M
Control tecnología entrega de
Subsidios
Aseguramiento a
X A3 G
Compras Públicas
Aseguramiento al
proceso de
X A4 I
12.- Desplegar las entrega de
actividades de control a Subsidios
través de políticas y Consultoría al
procedimientos diseño de
controles de
X X X C1 I
sistemas de
información
63
Consultoría al
13.- Obtener o generar y diseño de
utilizar información X X X C1 controles de I
relevante y de calidad sistemas de
información
14.- Comunicar la
Consultoría al
información
Información y diseño de
internamente, incluidos
Comunicación X X X C1 controles de I
los objetivos y
sistemas de
responsabilidades que
información
son necesarios
15.- Comunicar con las
partes interesadas
externas los aspectos
clave
16.- Seleccionar,
desarrollar y realizar Aseguramiento a
X A3 G
evaluaciones continuas Compras Públicas
y/o independientes
Actividades de
17.- Evaluar y comunicar
Supervisión
las deficiencias de forma
oportuna a las partes
responsables de medidas
correctivas
Relación cuantitativa del Plan Anual de
9 6 22
Auditoría con los Objetivos de COSO 2013
Relación porcentual del Plan Anual de
24,3% 16,2% 59,5%
Auditoría con los Objetivos de COSO 2013
64
ANEXO Nº 6
Así como en todas las etapas del proceso de auditoría interna, es necesario establecer puntos
críticos para la medición de la calidad en la formulación del plan anual de auditoría. Para este
efecto, a modo de ejemplo se presentan en el cuadro N° 1, algunas preguntas asociadas a
puntos de control y factores claves de esta etapa, y la evidencia que se requiere para verificar
su cumplimiento.
Cuadro Nº 1
Documentación y antecedentes de
¿El equipo de auditoría interna tiene experiencia
experiencia y competencias de los
y conocimiento adecuado que le permita contar
integrantes del equipo de auditoría,
con una comprensión de los temas clave para la
que participa en la formulación del
organización?
plan anual.
¿El alcance del Plan Anual de Auditoría, cumple
Plan Anual de Auditoría.
con el rol de auditoría interna, según lo declarado
en el estatuto de auditoría? Estatuto de Auditoría Interna.
¿En la formulación del Plan Anual de Auditoría,
se realiza un análisis del contexto externo de la
Documentación del diagnóstico del
organización. Lo que incluye, los requisitos de
Plan Anual de Auditoría.
cumplimiento legislativo, los riesgos del sector y
los factores sociales?
¿El Plan Anual de Auditoría se alinea con el Plan
Plan Anual de Auditoría.
Estratégico y con los riesgos operacionales de la
Plan estratégico de la organización.
Institución?
Plan Anual de Auditoría.
¿Se realiza una evaluación documentada de
Documentación de la evaluación de
riesgos al menos una vez al año?
riesgos.
Plan Anual de Auditoría.
¿El Plan Anual de Auditoría considera como Documentación de las entrevistas
insumo en su formulación, el marco o proceso de con el Jefe de Servicio.
gestión de riesgo de la organización? Documentación del Marco o
proceso de gestión de riesgos en la
organización.
Plan Anual de Auditoría.
¿El Plan Anual de Auditoría considera en su
Documentación de las entrevistas
formulación, las nuevas áreas de riesgo y las
áreas emergentes en la organización? con el Jefe de Servicio y
responsables de áreas.
¿El Plan Anual de Auditoría es dinámico y Plan Anual de Auditoría.
flexible, y se adapta a medida que cambia el perfil Documentación de las entrevistas
de riesgo de la organización, es decir, se con el Jefe de Servicio.
implementan efectivamente cambios en el Plan Documentación del Marco o
65
Anual de Auditoría durante el año, si el perfil de proceso de gestión de riesgos en la
riesgo de la organización cambia? organización.
¿La auditoría interna ha identificado todas las Documentación de la identificación y
áreas auditables en la organización? análisis del Universo de Auditoría.
Plan Anual de Auditoría.
Documentación de las entrevistas
¿La auditoría interna tiene un proceso para con el Jefe de Servicio.
garantizar la asignación óptima del presupuesto y Documentación de la ejecución del
el cumplimiento del Plan Anual de Auditoría? Plan Anual de Auditoría.
Documentación del presupuesto
asignado a la auditoría interna.
¿El Plan Anual de Auditoría considera como Documentación de los
insumo los requerimientos solicitado por el Jefe requerimientos y entrevistas con el
de Servicio? Jefe de Servicio.
Documentación de la metodología
¿La auditoría interna ha aplicado un enfoque para formular el Plan Anual de
consistente para evaluar los riesgos y las Auditoría.
posibles áreas auditables? Documentación de las entrevistas
con el Jefe de Servicio.
¿El Plan Anual de Auditoría incluye una
combinación adecuada de trabajos Plan Anual de Auditoría.
(aseguramiento y consultoría) que cubren Documentación de la planificación
adecuadamente el alcance de la actividad estratégica de la organización.
organizacional?
Documentación de las entrevistas
con el Jefe de Servicio.
Documentación de las solicitudes
¿Está el Jefe de Servicio conforme con la del Jefe de Servicio para incorporar
cobertura de aseguramiento proporcionada a trabajos específicos al Plan Anual
través del Plan Anual de Auditoría? de Auditoría.
Aprobación del Plan Anual de
Auditoría por parte del Jefe de
Servicio.
Documentación de las solicitudes de
¿Se comunican al Jefe de Servicio, todos los
cambio al Plan Anual de Auditoría
cambios en el Plan Anual de Auditoría, para su
y entrevistas con el Jefe de Servicio.
aprobación?
Plan Anual de Auditoría.
¿Para la formulación del Plan Anual de Auditoría,
Documentación de las entrevistas
se alinea la auditoría interna y los otros
con proveedores de aseguramiento
proveedores de aseguramiento en la
y con el Jefe de Servicio.
organización?
Plan Anual de Auditoría.
¿Existen casos en los que la auditoría interna ha
Documentación de trabajos de otros
duplicado en el Plan Anual de Auditoría, el trabajo
proveedores de aseguramiento.
de otros proveedores de aseguramiento?
Mapa de aseguramiento.
¿La auditoría interna se reúne con los otros Documentación de las entrevistas
proveedores de aseguramiento, para obtener con los proveedores de
insumos, durante la formulación del Plan Anual aseguramiento.
de Auditoría? Mapa de aseguramiento.
66
Mecanismos de Retroalimentación y Mejora Continua
67
Registro de Propiedad Intelectual.
Inscripción N° A-296531, año 2018.
Santiago de Chile.
68
ÁREA DE ESTUDIOS
69