Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OBJETIVO
Evaluar el diseño de los controles que la administración ha definido para la mitigación de riesgos del proceso. Esta evaluación inicia desde la fase de entendimiento del proceso (actividades operativas y automáticas). El DEA debe
identificar los riesgos críticos del proceso y asociar los controles definidos por la administración; si se identifica ausencia de control o debilidades en el diseño, estas deben ser reportadas de manera inmediata como primer resultado
de evaluación.
La evaluación del diseño de un control requiere considerar si el control, ya sea individualmente o en combinación con otros, es capaz de prevenir, o detectar y corregir, errores materiales con efectividad. La implementación de un
control nos permite evidenciar que este existe y que la entidad lo está usando, sin embargo cuando el control tiene debilidades de diseño tiene una alta probabilidad de deficiencia.
USUARIOS
El presente documento debe ser usado por el DEA, senior y demás miembros del equipo en la etapa de ejecución de la auditoría de los procesos alcanzados en el plan de auditoría u otra evaluación, desde la fase de entendimiento
del proceso.
SUGERENCIA
Esta herramienta no pretende abarcar la totalidad de las situaciones a considerar en la evaluación del diseño de control, de tal manera que se deben ajustar los criterios a cada una de las compañías y procesos evaluados.
La evaluación del diseño de control inicia en la fase de entendimiento del proceso a auditar como riesgo inherente, usando las siguientes técnicas:
El control debe estar asociado y alineado con los riesgos de la organización. Los riesgos están categorizados como riesgo inherente y riesgo residual, en donde el primero es el riesgo
intrínseco de las actividades y no considera ninguna acción de mitigación de la probabilidad o el impacto de un suceso; mientras que el riesgo residual es el que se mitiga y subsiste
después de una respuesta al riesgo (control). Si un control tiene debilidades de diseño no se formulan pruebas de auditoría, lo que se busca es identificar la materialización del riesgo,
planteando posibles pruebas sustantivas.
Algunos aspectos a considerar, que generan mayor impacto en los riesgos inherentes, son:
a. Procesos más complejos y altamente regulados
b. Actividades manuales frente a las automáticas
c. Rotación de personal frecuente
d. Cambios frecuentes del proceso y de las actividades
e. Funcionarios sin experiencia y aptitudes frente a las actividades que desarrolla
f. Concentración de actividades e inadecuada segregación de funciones
g. Ausencia de lineamientos operativos
ELEMENTOS CRITERIOS
El documento de EFN-001 ENTENDIMIENTO DEL FLUJOGRAMA Y NARRATIVA DEL PROCESO es nuestro punto de partida para la evaluación del diseño de
controles. El entendimiento detallado de las actividades, la identificación y análisis de documentos internos nos permiten de manera objetiva y justificada tener
un criterio profesional sobre la evaluación del diseño del control en respuesta a los riesgos de gobierno, operaciones y sistemas de información (Norma 2130).
Cliente:
Macroproceso:
Proceso:
Fecha de inicio de la auditoría: Fecha de finalización de la auditoría :
Preparado por: Revisado por:
Objetivo de la auditoría:
Identificar los riesgos inherentes del proceso en la fase de entendimiento y planeación de la auditoría, con el objetivo de evidenciar la existencia de los controles manuales y automáticos definidos por la administración para la
mitigación de los riesgos, validar el diseño de los controles, su naturaleza, pertinencia, operatividad, cobertura, complejidad, evidencia de su aplicación, para posteriormente verificar su efectividad operativa.
El responsable del proceso auditado definirá acciones de fortalecimiento de los controles asociados a riesgos del críticos del proceso.
Alcance de la auditoría:
La auditoría a ejecutar tiene alcance a la evaluación del Gobierno Corporativo de la compañía, considerando los órganos de gobierno (estructura del gobierno y líneas de comunicación), la ética empresarial (lineamientos éticos,
administración del riesgo y responsabilidad social empresarial) y los elementos de gobierno (definiciones y estándares del marco de buen gobierno)
Período auditado:
(Se debe identificar el período sobre el cual se va a realizar la auditoría, de acuerdo con el alcance y período de muestra de la documentación a evaluar)
PROCESO SUBPROCESO ACTIVIDAD ¿El nivel funcional de quien ¿Cuál es la ¿La evidencia del ¿Se aplicará prueba
Descripción Riesgo Inherente Descripción ¿El control Naturaleza del control Clase de ¿El control está ¿El control es ¿El responsable está Responsable asignado ejecuta el control es el adecuado y Frecuencia del ¿La frecuencia cobertura del ¿La cobertura es Complejidad Calificación del ¿Riesgo Observaciones Causa raíz, si aplica
existe? control documentado ? clave? identificado? suficiente / hay segregación de control es apropiada? control / apropiada? control es clara y del control control residual? de eficacia
suficiente? operativa?
funciones? período?
La compañía ha establecido
Definición de lineamientos éticos Reputacional por comportamientos no mecanismos de medición de
Gobierno Lineamientos éticos Aceptable riesgos generales de la compañía SI Detectivo Mixto SI SI NO SI Semanal SI Completo SI SI Medio Efectivo Tolerable SI
Corporativo para los grupos de interés internos acordes a los valores y principios de la y mecanismos de denuncias de
y externos compañía
prácticas inusuales internas y
externas
De acuerdo con la validación de resultados efectuada el xx de xx de xxxx con el Sr. Xxxx, la política xxxx correspondiente a xxx se encuentra pendiente de aprobación, divulgación e implementación debido a xxx, aumentando el
riesgo de xxxx
INFORME DE DISEÑO DE CONTROL ACCIONES DE FORTALECIMIENTO DE LA ADMINISTRACIÓN
Título del hallazgo Descripción de la debilidad del Recomendación de Descripción Responsable fecha Link al informe
diseño de control fortalecimiento del control implementación
Documentar la recomendación
Documentar el plan
Documentar para generar Documentar para generar de buenas prácticas que de acción propuesto Incluir el link al
permitan agregar valor a la Nombre y cargo 2/12/2020
informe en línea informe en línea organización, gobierno, riesgo y por la informe
administración
control
Documentar la recomendación
Documentar el plan
Documentar para generar Documentar para generar de buenas prácticas que de acción propuesto Incluir el link al
permitan agregar valor a la Nombre y cargo 2/14/2020
informe en línea informe en línea organización, gobierno, riesgo y por la informe
administración
control
Documentar la recomendación
Documentar el plan
Documentar para generar Documentar para generar de buenas prácticas que de acción propuesto Incluir el link al
permitan agregar valor a la Nombre y cargo 2/15/2020
informe en línea informe en línea organización, gobierno, riesgo y por la informe
administración
control
Documentar la recomendación
de buenas prácticas que Documentar el plan
Documentar para generar Documentar para generar de acción propuesto Nombre y cargo 2/18/2020 Incluir el link al
informe en línea informe en línea permitan agregar valor a la por la informe
organización, gobierno, riesgo y
control administración
Documentar la recomendación
de buenas prácticas que Documentar el plan
Documentar para generar Documentar para generar de acción propuesto Nombre y cargo 2/19/2020 Incluir el link al
informe en línea informe en línea permitan agregar valor a la por la informe
organización, gobierno, riesgo y
control administración