EVALUACIÓN DEL DISEÑO DE CONTROLES DEL PROCESO DE GOBIERNO CORPORATIVO

Auditoría comprendida entre el período Referencia P.T.

Preparado por: Fecha: Versión: 1
Revisado por: Fecha: D-EDC 005
Aprobado por: Fecha:

OBJETIVO

Evaluar el diseño de los controles que la administración ha definido para la mitigación de riesgos del proceso. Esta evaluación inicia desde la fase de entendimiento del proceso (actividades operativas y automáticas). El DEA debe
identificar los riesgos críticos del proceso y asociar los controles definidos por la administración; si se identifica ausencia de control o debilidades en el diseño, estas deben ser reportadas de manera inmediata como primer resultado
de evaluación.

La evaluación del diseño de un control requiere considerar si el control, ya sea individualmente o en combinación con otros, es capaz de prevenir, o detectar y corregir, errores materiales con efectividad. La implementación de un
control nos permite evidenciar que este existe y que la entidad lo está usando, sin embargo cuando el control tiene debilidades de diseño tiene una alta probabilidad de deficiencia.

USUARIOS

El presente documento debe ser usado por el DEA, senior y demás miembros del equipo en la etapa de ejecución de la auditoría de los procesos alcanzados en el plan de auditoría u otra evaluación, desde la fase de entendimiento
del proceso.

SUGERENCIA

Esta herramienta no pretende abarcar la totalidad de las situaciones a considerar en la evaluación del diseño de control, de tal manera que se deben ajustar los criterios a cada una de las compañías y procesos evaluados.

Guía para evaluar el diseño de control

La evaluación del diseño de control inicia en la fase de entendimiento del proceso a auditar como riesgo inherente, usando las siguientes técnicas:

a. Análisis de políticas y procedimientos internos de la organización Las técnicas a usar son:

b. Entrevistas con dueños del proceso y áreas relacionadas Inspección
c. Entendimiento de los sistemas de información Observación
d. Pruebas de recorrido operativas y en el sistema de información Validación

El control debe estar asociado y alineado con los riesgos de la organización. Los riesgos están categorizados como riesgo inherente y riesgo residual, en donde el primero es el riesgo
intrínseco de las actividades y no considera ninguna acción de mitigación de la probabilidad o el impacto de un suceso; mientras que el riesgo residual es el que se mitiga y subsiste
después de una respuesta al riesgo (control). Si un control tiene debilidades de diseño no se formulan pruebas de auditoría, lo que se busca es identificar la materialización del riesgo,
planteando posibles pruebas sustantivas.

Algunos aspectos a considerar, que generan mayor impacto en los riesgos inherentes, son:
a. Procesos más complejos y altamente regulados
b. Actividades manuales frente a las automáticas
c. Rotación de personal frecuente
d. Cambios frecuentes del proceso y de las actividades
e. Funcionarios sin experiencia y aptitudes frente a las actividades que desarrolla
f. Concentración de actividades e inadecuada segregación de funciones
g. Ausencia de lineamientos operativos

Aspectos a considerar en el diseño de un control

ELEMENTOS CRITERIOS

Ausencia o redundancia del control

Naturaleza del control Detectivo, correctivo y preventivo
Complejidad del control Alto, bajo, medio El resultado de la evaluación del diseño de los controles
del proceso debe ser validado con el dueño del proceso. El
Cobertura del control / período Parcial, completo, mínimo. DEA debe emitir un informe formal para que la
Anual, mensual, trimestral, diario, por administración defina acciones de mejoramiento.
Periodicidad / frecuencia del control evento
Identificar un responsable de la ejecución del control Asignación a un rol dentro del proceso
Segregación de funciones y niveles de autorización
Clase de control Manual, tecnológico y mixto
Evidencia del control Existe, no existe
Riesgo asociado al control y su nivel de criticidad Extremo, alto, tolerable, aceptable
Control documentado y divulgado Si, No
Control clave Clave, No clave

MATRIZ DE EVALUACIÓN DEL DISEÑO DE CONTROLES PARA EL PROCESO DE GOBIERNO CORPORATIVO

El documento de EFN-001 ENTENDIMIENTO DEL FLUJOGRAMA Y NARRATIVA DEL PROCESO es nuestro punto de partida para la evaluación del diseño de
controles. El entendimiento detallado de las actividades, la identificación y análisis de documentos internos nos permiten de manera objetiva y justificada tener
un criterio profesional sobre la evaluación del diseño del control en respuesta a los riesgos de gobierno, operaciones y sistemas de información (Norma 2130).

Cliente:
Macroproceso:
Proceso:
Fecha de inicio de la auditoría: Fecha de finalización de la auditoría :
Preparado por: Revisado por:

Objetivo de la auditoría:

Identificar los riesgos inherentes del proceso en la fase de entendimiento y planeación de la auditoría, con el objetivo de evidenciar la existencia de los controles manuales y automáticos definidos por la administración para la
mitigación de los riesgos, validar el diseño de los controles, su naturaleza, pertinencia, operatividad, cobertura, complejidad, evidencia de su aplicación, para posteriormente verificar su efectividad operativa.

El responsable del proceso auditado definirá acciones de fortalecimiento de los controles asociados a riesgos del críticos del proceso.

Alcance de la auditoría:

La auditoría a ejecutar tiene alcance a la evaluación del Gobierno Corporativo de la compañía, considerando los órganos de gobierno (estructura del gobierno y líneas de comunicación), la ética empresarial (lineamientos éticos,
administración del riesgo y responsabilidad social empresarial) y los elementos de gobierno (definiciones y estándares del marco de buen gobierno)

Período auditado:

(Se debe identificar el período sobre el cual se va a realizar la auditoría, de acuerdo con el alcance y período de muestra de la documentación a evaluar)

RIESGO EVALUACIÓN DEL DISEÑO DEL CONTROL

PROCESO SUBPROCESO ACTIVIDAD ¿El nivel funcional de quien ¿Cuál es la ¿La evidencia del ¿Se aplicará prueba
Descripción Riesgo Inherente Descripción ¿El control Naturaleza del control Clase de ¿El control está ¿El control es ¿El responsable está Responsable asignado ejecuta el control es el adecuado y Frecuencia del ¿La frecuencia cobertura del ¿La cobertura es Complejidad Calificación del ¿Riesgo Observaciones Causa raíz, si aplica
existe? control documentado ? clave? identificado? suficiente / hay segregación de control es apropiada? control / apropiada? control es clara y del control control residual? de eficacia
suficiente? operativa?
funciones? período?

La compañía tiene definido

Gobierno Definición de lineamientos del Actividades y decisiones no autorizadas su gobierno corporativo en
Gobierno Corporativo Extremo términos de órganos que lo SI Detectivo Mixto SI SI NO SI Semanal SI Completo SI SI Medio Efectivo Tolerable SI
Corporativo gobierno corporativo en el gobierno corporativo componen, lineamientos éticos,
y de atribuciones y divulgación

La compañía define y actualiza

Pérdidas económicas por decisiones no de manera formal los máximos
Gobierno Órganos de gobierno Definición de órganos de gobierno, autorizadas y sin cumplimiento de los Alto órganos de gobierno, sus roles, SI Detectivo Mixto SI SI NO SI Semanal SI Completo SI SI Medio Efectivo Tolerable SI
Corporativo facultades y atribuciones
objetivos estratégicos atribuciones y niveles de
autorización

La compañía cuenta con comités

de control para actividades
específicas, con facultades para
hacer seguimiento, monitoreo y
toma de decisiones de
Gobierno Definición de órganos de gobierno, Pérdidas económicas por ausencia de acuerdo con los niveles de
Órganos de gobierno Tolerable atribución. SI Detectivo Mixto SI SI NO SI Semanal SI Completo SI SI Medio Efectivo Tolerable SI
Corporativo facultades y atribuciones seguimiento de gestión y control
Cuenta con líneas de defensa
como auditoría interna y
revisoría fiscal, que le reportan a
comités de auditoría interna y
control.

La compañía tiene definido el

perfil profesional para la
Gobierno Definición de órganos de gobierno, Pérdidas económicas por órganos de selección del Presidente,
Órganos de gobierno gobierno sin el perfil adecuado o Aceptable miembros de Junta Directiva y SI Detectivo Mixto SI SI NO SI Semanal SI Completo SI SI Medio Efectivo Tolerable SI
Corporativo facultades y atribuciones requerido Alta Gerencia, así como un plan
de capacitaciones y mecanismos
de evaluación de su gestión

La Asamblea General y Junta

Directiva se reúne de acuerdo
Gobierno Órganos de gobierno Reuniones de Asamblea y Junta Pérdidas económicas por inadecuada Extremo con lo establecido en los SI Detectivo Mixto SI SI NO SI Semanal SI Completo SI SI Medio Efectivo Tolerable SI
Corporativo Directiva toma de decisiones y/o no autorizadas estatutos, dan cumplimiento al
procedimiento de votación y
aprobación de decisiones

• La compañía tiene definida su

visión, misión, principios y
valores.
•Cuenta con el Código de buen
gobierno, Código de Ética y
conducta, Política de conflicto de
interés, Política de antifraude y
corrupción , Protocolo de familia,
La compañía tiene definidos Estatutos, políticas y
Reputacional por comportamientos no procedimientos, entre otros
Gobierno Elementos de gobierno lineamientos de Gobierno acordes a los valores y principios de la Alto documentos de gobierno. SI Detectivo Mixto SI SI NO SI Semanal SI Completo SI SI Medio Efectivo Tolerable SI
Corporativo corporativo Corporativo según sus valores y
principios compañía • La compañía ha establecido
mecanismos de medición de
riesgos generales de la compañía
y mecanismos de denuncias de
prácticas inusuales internas y
externas.
• Las políticas y procedimientos
de la organización se encuentran
definidos, documentados y
divulgados.

La compañía cuenta con

Ambiente laboral no adecuado y un protocolo de familia y
Definición de lineamientos éticos complejidad en la toma de decisiones lineamientos éticos y de conflicto
Gobierno Lineamientos éticos para los miembros de familia Tolerable SI Detectivo Mixto SI SI NO SI Semanal SI Completo SI SI Medio Efectivo Tolerable SI
Corporativo (primera, segunda y tercera por falta de claridad en los roles, límites de interés aplicable
y responsabilidades de los miembros de a los miembros de familia
generación) familia que realizan actividades
en la compañía

La compañía ha establecido
Definición de lineamientos éticos Reputacional por comportamientos no mecanismos de medición de
Gobierno Lineamientos éticos Aceptable riesgos generales de la compañía SI Detectivo Mixto SI SI NO SI Semanal SI Completo SI SI Medio Efectivo Tolerable SI
Corporativo para los grupos de interés internos acordes a los valores y principios de la y mecanismos de denuncias de
y externos compañía
prácticas inusuales internas y
externas

Validación de resultados con dueño de proceso

Dueño del proceso: XXXXXX, xxxxx

De acuerdo con la validación de resultados efectuada el xx de xx de xxxx con el Sr. Xxxx, la política xxxx correspondiente a xxx se encuentra pendiente de aprobación, divulgación e implementación debido a xxx, aumentando el
riesgo de xxxx
 INFORME DE DISEÑO DE CONTROL ACCIONES DE FORTALECIMIENTO DE LA ADMINISTRACIÓN

Título del hallazgo Descripción de la debilidad del Recomendación de Descripción Responsable fecha Link al informe
diseño de control fortalecimiento del control implementación

Documentar la recomendación
Documentar el plan
Documentar para generar Documentar para generar de buenas prácticas que de acción propuesto Incluir el link al
permitan agregar valor a la Nombre y cargo 2/12/2020
informe en línea informe en línea organización, gobierno, riesgo y por la informe
administración
control

Documentar la recomendación Documentar el plan

de buenas prácticas que
Documentar para generar Documentar para generar permitan agregar valor a la de acción propuesto Nombre y cargo 2/13/2020 Incluir el link al
informe en línea informe en línea por la informe
organización, gobierno, riesgo y administración
control

Documentar la recomendación
Documentar el plan
Documentar para generar Documentar para generar de buenas prácticas que de acción propuesto Incluir el link al
permitan agregar valor a la Nombre y cargo 2/14/2020
informe en línea informe en línea organización, gobierno, riesgo y por la informe
administración
control

Documentar la recomendación
Documentar el plan
Documentar para generar Documentar para generar de buenas prácticas que de acción propuesto Incluir el link al
permitan agregar valor a la Nombre y cargo 2/15/2020
informe en línea informe en línea organización, gobierno, riesgo y por la informe
administración
control

Documentar la recomendación Documentar el plan

de buenas prácticas que
Documentar para generar Documentar para generar permitan agregar valor a la de acción propuesto Nombre y cargo 2/16/2020 Incluir el link al
informe en línea informe en línea por la informe
organización, gobierno, riesgo y administración
control

Documentar la recomendación Documentar el plan

de buenas prácticas que
Documentar para generar Documentar para generar permitan agregar valor a la de acción propuesto Nombre y cargo 2/17/2020 Incluir el link al
informe en línea informe en línea por la informe
organización, gobierno, riesgo y administración
control

Documentar la recomendación
de buenas prácticas que Documentar el plan
Documentar para generar Documentar para generar de acción propuesto Nombre y cargo 2/18/2020 Incluir el link al
informe en línea informe en línea permitan agregar valor a la por la informe
organización, gobierno, riesgo y
control administración

Documentar la recomendación
de buenas prácticas que Documentar el plan
Documentar para generar Documentar para generar de acción propuesto Nombre y cargo 2/19/2020 Incluir el link al
informe en línea informe en línea permitan agregar valor a la por la informe
organización, gobierno, riesgo y
control administración