Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Anexo 04 AC - Instructivo para Identificar y Evaluar Riesgos y Controles
Anexo 04 AC - Instructivo para Identificar y Evaluar Riesgos y Controles
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 1 de 23
Anexo 04 AC –
Instructivo para Identificar y Evaluar Riesgos y Controles
1. INTRODUCCIÓN
Para este propósito se ha diseñado una matriz, en archivo Excel, siguiendo los
conceptos y principios contenidos en el documento “Principios, Fundamentos y
Aspectos Generales para las Auditorías en la CGR”, en el numeral 1.14.3
Evaluación del Control Fiscal Interno. Así mismo, se han considerado como guía,
los requerimientos contenidos en la ISSAI 4100 1 sobre comprensión del control
interno de la entidad auditada, análisis de riesgos y consideraciones relativas al
fraude en el análisis de riesgos; y en la ISSAI 1315 2 sobre el entendimiento
necesario sobre la entidad y su entorno, incluido el control interno de la entidad.
1
ISSAI 4100 Directrices para las auditorías de cumplimiento realizadas separadamente de la auditoría de
estados financieros.
2
ISSAI 1315 Identificación y evaluación de los riesgos de irregularidades importantes a través de una
compresión de la entidad y su entorno.
1
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 2 de 23
b. Evaluación del diseño de los controles que intentan mitigar los riesgos de
incumplimiento identificados, con una ponderación de 20% sobre el
resultado global.
2
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 3 de 23
3
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 4 de 23
Los resultados parciales y el resultado final obtenido en esta hoja son transferidos
de forma automática a la hoja “RESULTADOS” de la Matriz.
2.2. Evaluación del diseño de los controles para mitigar los riesgos de
incumplimiento identificados.
Para este proceso los auditores harán uso de la hoja “RIESGOS Y CONTROLES”
de la Matriz, incluirán en ella los criterios identificados para la auditoría en
cuestión. Cada uno de estos criterios debe ser asociado con un Factor de Riesgo,
los que a su vez se encuentra listados en la hoja “FACTORES DE RIESGO” de la
misma Matriz.
FACTORES DE RIESGO
AUDITORÍA DE CUMPLIMIENTO
No Factor de riesgo Definición
.
1 Legalidad Que las actividades u operaciones no se hayan realizado de
conformidad con las normas que le son aplicables.
2 Eficacia Que las actividades u operaciones no se realicen o que sus resultados
no se logren de manera adecuada y en concordancia con los objetivos
y metas previstas.
3 Oportunidad Que las actividades u operaciones se lleven a cabo por fuera de los
términos o el plazo establecido para su ejecución.
4 Consistencia de la Que la información sobre las actividades u operaciones no refleje la
información realidad de manera fidedigna: 1) que no incluya la totalidad de las
actividades u operaciones, 2) que incluya datos erróneos sobre las
4
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 5 de 23
Una vez asociados los Factores de Riesgo a los criterios, los auditores deben
identificar los Riesgos de Incumplimiento, los cuales para la AC corresponden a
los Riesgos Inherentes. Para esta identificación, los auditores cuentan con el
Apéndice 3 - IDENTIFICACIÓN DE RIESGOS DE AUDITORÍA, documento de
consulta o fuente adicional que les facilita un marco conceptual y ejemplos de
cuestionarios generales que les orientan para la formulación de preguntas, las
cuales se diseñarán acordes con la materia o asunto a auditar y hacia los objetivos
de la AC, de acuerdo con el juicio profesional del equipo de auditores.
5
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 6 de 23
Cada una de las “preguntas” serán respondidas como “SI” o “NO” dependiendo del
juicio y de la evidencia evaluada por los auditores a cargo. A las respuestas “SI” se
les otorgará una calificación de “Adecuado” y a las “NO” una calificación
“Inadecuado”; así la combinación de resultados nos llevaría a concluir como:
“Adecuado, Inadecuado o Parcialmente Adecuado” el diseño de los controles.
EVALUACIÓN DEL
DISEÑO DE CRITERIOS PUNTAJE
CONTROLES
Adecuado Cumple con todos los criterios 1
Cumple con el criterio:
Parcialmente Adecuado apropiado, pero incumple con 2
algún otro de los criterios.
Incumple con el criterio
Inadecuado o Inexistente apropiado, o no cumple con 3
ninguno de los criterios.
6
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 7 de 23
Si bien este riesgo no se califica, se constituye en una alerta sobre el riesgo al cual
puede estar expuesta la entidad, el programa, el proyecto, el asunto o materia que
se está examinando en la auditoría.
7
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 8 de 23
Este atributo se califica en “SI” o “NO”, donde un “SI” califica de “Inefectivo” con
una puntación de “3” y un “NO” califica de “Efectivo” con una puntuación de “1” a la
Efectividad del Control.
3
Numeral 1.14.3
8
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 9 de 23
a. Ambiente de Control.
9
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 10 de 23
10
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 11 de 23
11
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 12 de 23
e. Supervisión y Monitoreo.
12
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 13 de 23
El equipo auditor puede utilizar este recurso para reconocer los distintos
aspectos de la estructura de control interno que pudieran ser inadecuados.
En su gran mayoría, estos cuestionarios contienen preguntas cerradas de
tal modo que las respuestas sean afirmativas o negativas, revelando así
potenciales debilidades de control. Estas preguntas deben ser
complementadas con procedimientos alternativos para validar sus
respuestas.
13
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 14 de 23
Ambiente de Control:
i. Se han identificado la existencia de conflictos de intereses relacionados
con el cumplimiento de las leyes y regulaciones.
ii. Ha tenido la administración el conocimiento de no cumplimiento de
asuntos éticos de algunos de sus servidores con relación al
cumplimiento de sus funciones.
iii. La administración incentiva de manera frecuente con el cumplimiento de
los procesos administrativos.
iv. Los procesos de tomas de decisiones demuestran un comportamiento
ético en el contexto de las acciones de los funcionarios.
v. Los manuales y procedimientos están actualizados para los procesos
bajo evaluación.
vi. Se han producido cambios recientes en la entidad que pudieran afectar
el desempeño de las funciones.
vii. Se han producido cambios recientes en el mandato, objetivos y ámbitos
temáticos.
viii. La Dirección maneja adecuadamente el logro de los objetivos y la
gestión de riesgo garantizando la observancia de las leyes.
Valoración de Riesgo:
i. Existen mecanismos de análisis que permitan identificar, analizar y
evaluar los riesgos asociados al cumplimiento con las leyes y
regulaciones.
ii. Se han establecido de manera clara los objetivos en función a las leyes
y regulaciones que hay que cumplir.
iii. Se ha preparado al personal en cuanto a la probabilidad de cambios en
las normativas que rigen los procesos.
Información y Comunicación:
14
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 15 de 23
Supervisión y Monitoreo:
i. Existe seguimiento al cumplimiento del marco legal, normativas y
políticas.
ii. Existen registros de Supervisión, está definida la frecuencia o los
mecanismos de Supervisión.
iii. Se atienden las observaciones de los auditores internos y se prepara
documentación al respecto.
iv. Existen canales claros de comunicación.
15
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 16 de 23
16
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 17 de 23
Respuest
a
No Pregunta Comentario
. SI NO
17
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 18 de 23
18
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 19 de 23
Respuesta
No Pregunta SI NO Comentario
.
1 ¿Las directrices internas consideran criterios claros y
objetivos?
2 ¿Se han aplicado cambios recientes en los controles de
aplicación relacionados a los sistemas de información en los
que se maneja la información del asunto o materia a auditar?
3 ¿Los cambios realizados están documentados, aprobados y
socializados?
4 ¿Existen controles de calidad establecidos para dar
seguimiento a las actividades u operaciones realizadas?
5 ¿Existen controles de calidad establecidos en relación a la
revisión de los procesos relacionados con cumplimientos de
leyes, normas o reglamentaciones?
6 ¿Existe una evaluación o control, en la cual se documenten
con cierta frecuencia los incumplimientos identificados?
7 ¿Los controles existentes mitigan el riesgo de incumplimiento
del criterio de evaluación de la materia o asunto a auditar?
8 ¿Los controles evidenciados tienen definidos los responsables
de aplicarlo?
9 ¿Está identificada la periodicidad de la aplicación del control?
Las conclusiones también deben tener relación directa con el alcance y profundidad de los
procedimientos específicos y en las pruebas que se planteen en el programa de auditoría
se deben tener en cuenta los riesgos identificados.
19
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 20 de 23
Estas preguntas van dirigidas directamente a los integrantes del Equipo de Auditoría.
Respuesta
No Pregunta SI NO Comentario
.
1 ¿Se han diseñado procedimientos de auditoría para los
Riesgos Significativos identificados?
2 ¿Los procedimientos de auditoría diseñados cubren las
afirmaciones relacionadas con el control de operaciones?
3 ¿Las informaciones suministradas por la entidad se han
corroborado con información de terceros, en el caso de
aplicar?
4 ¿Existen incentivos o presión sobre cumplimiento de metas
que puedan llevar a la dirección a ocultar datos reales?
20
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 21 de 23
Las normas ISSAI 100 “Principios Fundamentales de Auditoría del Sector Público”, en
el numeral 47 exige la identificación del Riesgo de Fraude en la Auditoría
gubernamental, para lo cual determina:
47. Los auditores deben identificar y evaluar los riesgos de fraude que sean relevantes para
los objetivos de auditoría
Por lo anterior los auditores que adelanten la AC, deberán durante la fase de planeación
identificar el Riesgo de Fraude, entendido como: “La Posibilidad de que un acto tendiente a
eludir una disposición legal en perjuicio del Estado se materialice”.
Dentro de los factores que pueden generar fraude se tienen el abuso de poder, marco
legal complicado de aplicar y entender, inobservancia del marco legal, normas internas
que riñen con el marco legal, entre otros.
Riesgo de Fraude: Posibilidad de que un acto tendiente a eludir una disposición legal en
perjuicio del Estado se materialice.
4
NIA 240, P11, pág.5
21
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 22 de 23
Respuest
a
No Pregunta Comentario
. SI NO
22
Referencia
Preparado por
Aprobado por
Fecha 00/00/0000
Página Página 23 de 23
23