Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BASADA EN RIESGOS
AUDITORÍA
INTERNA
BASADA EN
RIESGOS
PLAN DE AUDITORÍA BASADO EN RIESGOS
ACUERDOS
Metodología
1. Desarrollo
Gente 2. Evaluación 3. Plan de 5. Comunicación
conjunto de 4. Ejecución 6. Seguimiento
Conocimiento de riesgos Auditoría de resultados
expectativas
Tecnología
PLAN DE AUDITORÍA BASADO EN RIESGOS
Desarrollo conjunto de expectativas
Realizar una reunión de “co-desarrollo de expectativas” con las principales partes interesadas y
acordar el esquema de reporte del progreso en:
Sistemas Liquidez
Operaciones
& Crédito
• Financieros
Despliegue de riesgos
COSO
• Cumplimiento
Monitoreo del Perfil de Monitoreo a la efectividad de
Monitoreo del SAR
Riesgo los planes de acción
Monitoreo
• Reputacional
SGR, RF Auditoría
Interna
enmarcado en…
Gobierno Corporativo
PLAN DE AUDITORÍA BASADO EN RIESGOS
1.2 Análisis de riesgos y entorno
Riesgo Inherente Proceso de Negocio
Objetivos de Negocio y Estrategias
Incremento de oferta ▪ Condición económica Desarrollo de
ingresos y de producto
participación ▪ Volatilidad de materia prima nuevo producto
Aprobación
Estrategia de la del plan
organización
Plan de auditoría
Expectativas de la
Dirección
Evaluación y análisis
de riesgos
Análisis estados
financieros y Auditorías
presupuesto Específicas Importante :No todos los riesgos
son cubiertos en el plan
Análisis resultados
auditorías anteriores
PLAN DE AUDITORÍA BASADO EN RIESGOS
1.2 Priorización de procesos y plan de auditoría (Gestión de Recursos)
▪ La Auditoria Interna es responsable de planear, guiar, reportar y hacer seguimiento a los proyectos incluidos
en el plan de auditoria, y decidir el alcance y tiempo de las auditorias. El trabajo de campo de la auditoria
debe ser guiado de una manera oportuna y profesional, para lo cual deben existir líneas de supervisión.
Material:
Criterios de
Análisis y calificación
calificación Plan de Auditoría
Aspectos a de riesgos – Mapa Gestión de recursos
(probabilidad e Interna
tener en de riesgos
impacto)
cuenta
2. Entendimiento
del proceso
PLAN DE AUDITORÍA BASADO EN RIESGOS
2.1 Entendimiento del proceso
Obtener un conocimiento del proceso a auditar considerando los objetivos de la
actividad a revisar para identificar los riesgos de mayor a menor significatividad
(top-down) e identificar los controles clave que gestionan los riesgos.
Identificación y priorización de
riesgos de proceso
Identificación de controles
PLAN DE AUDITORÍA BASADO EN RIESGOS
2.1 Entendimiento del proceso
▪ Notificar el responsable del proceso el inicio de la auditoría indicando el
objetivo, el alcance y el equipo asignado.
▪ Realice reunión de apertura con el objetivo de definir los canales de
comunicación, aclarar inquietudes y obtener información sobre las
expectativas de los responsables del proceso.
▪ Programar entrevistas con los responsables del proceso a auditar para
obtener un conocimiento inicial de cada una de las actividades que se
ejecutan en el procesos.
▪ Obtener un entendimiento de: Objetivos, estructura, indicadores.
▪ Controles claves
► 5% Alta Dirección
Alto
► 20% Gerencia /
cargos de dirección
► 75% otros
empleados
Bajo
Número potencial de implicados
3. Mapa de
riesgos
inherentes
PLAN DE AUDITORÍA BASADO EN RIESGOS
3.1 Gestión de riesgos
O1 O2 O3 O4 O5 O6 O7 R1 R2 R3 R4 R5 R6 R7
Habilitan Mitigan
CONTROL INTERNO
PLAN DE AUDITORÍA BASADO EN RIESGOS
3.1 Gestión de riesgos – Elementos de riesgos
Probabilidad (acerca de la frecuencia)
Elementos
de Riesgo
Impacto (acerca del efecto)
Apetito por el Riesgo - El nivel de riesgo, a nivel gerencial, al que una organización está dispuesta a
aceptar en seguimiento al valor y logro de los objetivos.
Factores de Riesgo - Son factores de riesgo las fuentes generadoras de eventos que pueden significar
la materialización de los riesgos. Los factores de riesgo se clasifican en internos y externos.
PLAN DE AUDITORÍA BASADO EN RIESGOS
3.1 Gestión de riesgos – Factores de riesgos
Procesos: Actividades para la transformación de elementos de entrada, en productos
o servicios para satisfacer una necesidad. Existen factores de riesgo en los procesos
cuando hay fallas en:
Eventos Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros,
que se escapan en cuanto a su causa y origen al control del Conglomerado y las Compañías que los
conforman. Existen factores de riesgo en eventos externos cuando hay fallas relacionadas con:
▪ Fallas en los servicios públicos.
▪ Ocurrencia de desastres naturales.
▪ Atentados.
▪ Otros actos delictivos.
Riesgo Financiero: Se asocia con las pérdidas en las que puede incurrir la
Organización y las compañías que lo conforman financieramente o por
estados financieros que no presentan la realidad financiera de la Entidad.
Riesgo de contagio: Referido al riesgo que corren de que las dificultades financieras
de una de las Compañías que conforman la Organización afecten a los otros
miembros, principalmente en problemas de solvencia y liquidez.
Riesgo de transparencia: Este riesgo se refiere al riesgo que corren las Compañías
que conforman la Organización de ser incapaces de evaluar completamente el impacto
potencial de cualquier transacción llevada a cabo por algún miembro de la
Organización.
U
P
▪ Lavado de Activos: ▪ Deficiente ejecución y
C Proceso en virtud del cual los administración de Proyectos:
I bienes de origen delictivo se Pérdidas derivadas de errores y/o
integran en el sistema económico demoras voluntarias en la
Ó legal con apariencia de haber sido ejecución, supervisión y
obtenidos de forma lícita. administración de los proyectos.
N
PLAN DE AUDITORÍA BASADO EN RIESGOS
3.1 Gestión de riesgos – Tratamiento a los riesgos
Aceptar
Transferir
PLAN DE AUDITORÍA BASADO EN RIESGOS
3.2 Mapa de riesgos inherentes
La matriz de Riesgos y controles permite realizar la construcción del mapa de riesgos inherentes y residuales
asociados al proceso
Matriz de Riesgos &
Controles (Excel)
RIESGO INHERENTE
Proceso / Clase de Riesgos del Causa / Falla / Factor del Severidad del Tratamiento
No. Probabilidad Impacto
Subproceso Riesgo Proceso Insuficiencia Riesgo Riesgo Inherente al Riesgo
1 2 3
RIESGO INHERENTE
Proceso / Clase de Riesgos del Causa / Falla / Factor del Severidad del Tratamiento
No. Probabilidad Impacto
Subproceso Riesgo Proceso Insuficiencia Riesgo Riesgo Inherente al Riesgo
4 5 6 7 8 9
4
Causa / Falla / Insuficiencia: Probabilidad:
Describa la(s) causa(s) identificadas que dan 9
Calificación de la probabilidad de ocurrencia del riesgo sin tener en cuenta los
origen al riesgo 6 controles asociados. Tratamiento al Riesgo:
Consiste en definir las
En este punto, se tienen en cuenta los criterios para calificación de riesgos definidos. acciones que realizará la
Factor del Riesgo: Compañía o dejará de
Seleccione de la lista desplegable el factor Impacto: realizar para gestionar
asociado al riesgo identificado: Seleccione de la lista desplegable, el impacto del riesgo sin tener en cada riesgo identificado,
5 Recurso Humano cuenta los controles asociados y de acuerdo con los criterios dentro de esta
Tecnología de Información 7 cuantitativos o cualitativos definidos clasificación esta:
Infraestructura Física • Aceptar
Procesos En este punto, se tienen en cuenta los criterios para calificación de • Mitigar
Evento Externo riesgos definidos. • Transferir
• Eliminar
Severidad del Riesgo Inherente:
8
De acuerdo a la calificación de probabilidad e impacto inherente, se asigna la severidad del riesgo
PLAN DE AUDITORÍA BASADO EN RIESGOS
3.2 Taller práctico 3 – Matriz de riesgo inherente
Tema:
Realizar la identificación y calificación de los riesgos inherentes del
proceso de Liquidación de la Nómina.
Material
Caracterización
4.Implementación
de controles
PLAN DE AUDITORÍA BASADO EN RIESGOS
4.1 Conceptos sobre controles
Actividad 3
Actividades de Control
PLAN DE AUDITORÍA BASADO EN RIESGOS
4.1 Conceptos sobre controles
Corporativo
A Nivel de Entidad
A Nivel de Procesos/Actividades
PLAN DE AUDITORÍA BASADO EN RIESGOS
4.1 Conceptos sobre controles - ELC
Ambiente de Evaluación de Actividades Información y
Monitoreo
control Riesgos de control comunicación
Risk assessment
Aplican a todos los procesos y
niveles de la organización Monitoring
Information and
Asocian los elementos del communication
modelo de control interno -
COSO Control activities
PLAN DE AUDITORÍA BASADO EN RIESGOS
4.2 Implementación de controles para ejecución de pruebas
✓ Ciertos controles a nivel de entidad tienen un efecto
generalizado sobre el riesgo de fraude.
✓ Ejemplos: codigo de conducta, política de etica,
procesos de evaluación de riesgos.
Indirecto Directo
✓ Politicas y Procedimientos ✓ Actividades de Auditoria Interna
✓ Codigo de Conducta ✓ Analisis del Presupuesto vs. ejecutado.
✓ Audit committee involvement ✓ Revisión de los indicadores clave de
desempeño.
✓ Capacitación/experiencia
✓ Revisión del consolidado de las
✓ Segregar funciones conciliaciones de cuentas.
PLAN DE AUDITORÍA BASADO EN RIESGOS
4.2 Implementación de controles para ejecución de pruebas
Categorías de control:
▪ Autorización
▪ Configuración y mapeo de cuentas
▪ Análisis de variaciones Taller práctico 4 –
▪ Controles de interfaz
▪ Indicador clave de rendimiento
▪ Revisión de la gerencia Identificación de
▪ Conciliación controles para el proceso
▪ Segregación de funciones
de nómina, asociados a
▪ Controles de Acceso
cada una de las causas de
La existencia de un control no garantiza que se minimice el impacto del los riesgos de la matriz
riesgo
5. Programa de
auditoría
PLAN DE AUDITORÍA BASADO EN RIESGOS
5.1 Evaluación de diseño y operatividad
Para probar la efectividad del diseño de los controles el Auditor debe preguntarse si:
PLAN DE AUDITORÍA BASADO EN RIESGOS
5.1 Evaluación de diseño y operatividad
Identificación de la Población y Validación de la Integridad
Se debe tener en consideración la fuente de la cual se obtuvo la población:
• Generada directamente del sistema de información. Qué debemos
Veraz
comparando.
• Verificación de totales de control (Sumatoria de algún campo o conteo de registros).
• Verificación de la fecha de actualización del control mantenido por el dueño del control. • Cómo verificamos la
veracidad, exactitud y
completitud de la
información.
PLAN DE AUDITORÍA BASADO EN RIESGOS
5.1 Evaluación de diseño y operatividad
Atributos de los Controles Ejemplo 1
Quién El Supervisor Contable de Activos (Gerencia de Servicios Generales) cada vez que recibe por parte del área
Cuándo solicitante el formato de "Solicitud de creación, modificación, eliminación o inactivación de cuentas
Qué contables y/o centros de costos" revisa que:
Cómo 1) Las descripciones y justificaciones de cambios acorde con la “Política y Procedimiento de mantenimiento
Evidencia de maestro de cuentas contables y centros de costos”
2) Para creación y modificación adecuado direccionamiento a la cuenta de grupo correcta y que la cuenta
o centro de costos respectivamente, no hayan sido creados previamente.
3) Para inactivación o eliminación por medio de la transacción FS03 y KS03 que la cuenta contable o
centro de costos respectivamente no posean saldos contables (historial en SAP).
4) La firma del solicitante y aprobador acorde con la “Política y Procedimiento de mantenimiento de
maestro de cuentas contables y centros de costos”
La evidencia del control se documenta mediante la impresión, firma, fecha de revisión y archivo (junto con
los documentos soportes que apliquen) del formato "Solicitud de creación, modificación, eliminación o
inactivación de cuentas contables y/o centros de costos" en la carpeta "Creación de cuentas
contables/centros de costos Año 20xx
PLAN DE AUDITORÍA BASADO EN RIESGOS
5.2 Tipos y enfoques de pruebas
Pruebas
PLAN DE AUDITORÍA BASADO EN RIESGOS
5.2 Tipos y enfoques de pruebas
Solicitud de Poblaciones
Preparación de Poblaciones
Selección de la Muestra
Requerimiento de Evidencias
Recepción de Evidencias
Reuniones de Validación
PLAN DE AUDITORÍA BASADO EN RIESGOS
5.2 Tipos y enfoques de pruebas
► Solicitud de Poblaciones
Solo aplica para controles con frecuencia “Eventual”. Para los controles con frecuencia definida, se toman los
correspondientes días, semanas, quincenas, meses, trimestres o semestres transcurridos durante el período de prueba.
Nota: Existen algunos controles con frecuencia definida que ocurren varias veces durante el mes (Ej. Conciliaciones
Bancarias), en este caso se solicita el listado de las ocurrencias del control durante el período de prueba.
► Preparación de poblaciones
Los dueños de control deben entregar la información de manera suficiente, competente y que este en línea con las
características descritas en la matriz de riesgos y controles sobre el control objeto de prueba, en un plazo
determinado.
► Requerimiento de Evidencias
Una vez determinada la muestra los auditores, deben solicitar a los dueños de control, informando a los dueños de proceso
la información necesaria que cubra los objetivos de la prueba y cumpla con la evaluación adecuada del control.
Formato Formato
Prueba de Diseño Prueba de Operatividad
6. Plan de
muestreo
PLAN DE AUDITORÍA BASADO EN RIESGOS
6.1 Requerimiento de información
Métodos y herramientas más utilizados en el muestreo
Método de Descripción
muestreo
Aleatorio • Cada ítem de la población tiene la misma probabilidad de ser
elegido.
• Se utiliza un generador de números aleatorios.
25 0 90% 10%
40 1 90% 10%
60 0 95% 5%
100 1 95% 5%
PLAN DE AUDITORÍA BASADO EN RIESGOS
6.1 Requerimiento de información
Definición de la población:
La población es el conjunto completo de datos sobre los que
queremos llegar a una conclusión. Cuando definimos la población, Si la población contiene diferentes
debemos determinar si la características, diseñamos pruebas
población es: separadas para cada sub-población
para alcanzar el objetivo de auditoría
Adecuada para el objetivo específico de prueba de auditoría en la población como conjunto.
a realizar.
Completa / Integra.
Determinamos la unidad de muestreo apropiada en la población a evaluar
(La población puede ser todas las transacciones o un subconjunto de las mismas para las que estamos considerando el uso del
muestreo para lograr nuestro objetivo de la auditoría. Si no definimos la población adecuadamente, podemos utilizar una
población incorrecta para seleccionar los elementos para probar, o dar una conclusión inapropiada acerca de la efectividad de la
operación del control.
PLAN DE AUDITORÍA BASADO EN RIESGOS
6.2 Plan de muestreo
Errores
No. Muestra No. Total Muestra
Frecuencia del control Aceptados
Mínima Ampliación (con ampl.)
(tolerancia)
Ejemplo de selección:
Ejemplo de selección:
Elementos especcíficos
PLAN DE AUDITORÍA BASADO EN RIESGOS
6.2 Plan de muestreo
Ejemplo de
selección:
Aleatorio
PLAN DE AUDITORÍA BASADO EN RIESGOS
6.2 Plan de muestreo
• Riesgo de muestreo (NIA 530):
Riesgo de que la conclusión del auditor basada en una muestra pueda diferir de la que obtendría
aplicando el mismo procedimiento de auditoría a toda la población. El riesgo de muestreo puede
producir dos tipos de conclusiones erróneas:
• En el caso de una prueba de controles, concluir que los controles son más eficaces de lo que
realmente son. El auditor se preocupará principalmente por este tipo de conclusión errónea debido
a que afecta a la eficacia de la auditoría y es más probable que le lleve a expresar una opinión de
auditoría inadecuada.
• En el caso de una prueba de controles, concluir que los controles son menos eficaces de lo que
realmente son. Este tipo de conclusión errónea afecta a la eficiencia de la auditoría puesto que,
generalmente, implica la realización de trabajo adicional para determinar que las conclusiones
iniciales eran incorrectas.
7. Papeles
de trabajo
PLAN DE AUDITORÍA BASADO EN RIESGOS
7.1 Características
Emisión de
✓ Facilitar la planificación y ejecución del informe
trabajo de auditoría.
✓ Permitir al equipo rendir cuenta de su
trabajo.
Documentación
✓ Mantener un archivo de cuestiones suficiente en todas
significativas para auditorías futuras. las fases de la
auditoría
✓ Soportar inspecciones externas de
conformidad con los requerimiento Planificación Ejecución
legales, reglamentarios u otros que sean
aplicables.
PLAN DE AUDITORÍA BASADO EN RIESGOS
7.1 Características
Oportunidad en la preparación de los papeles de trabajo
• Evidencia suficiente que la auditoría se planificó y ejecutó de conformidad con las políticas y
metodología aplicada por la Compañía, documentación apropiada del trabajo realizado.
Archivo final
• Almacenamiento físico, electrónico, digital, etc, que contienen los papeles de trabajo de la
auditoría realizada. El tiempo establecido para la compilación de acuerdo con las mejores
prácticas, es de 60 días después del dictamen del auditor. Los papeles de trabajo se deben
retener por un periodo mínimo de 5 años a contar desde la fecha del informe de auditoría, lo
cual esta alineado con las normas fiscales en Colombia.
PLAN DE AUDITORÍA BASADO EN RIESGOS
7.2 Buenas prácticas
✓ Cada papel de trabajo debe contener como mínimo, nombre de la prueba, objetivo, alcance, fecha,
procedimientos, fuente de origen de la información, resultados y conclusiones.
✓ La documentación debe responder a los procedimientos y objetivos planteados
✓ La conclusión debe estar de acuerdo con los objetivos planteados
✓ La documentación debe quedar totalmente amarrada con planillas iniciales de resumen, anexos u otros
papeles de trabajo.
✓ La documentación debe ser completa, concreta, fácil de entender y no redundante
✓ En caso de un litigio ese papel puede ser utilizado como defensa nuestra
✓ Cualquier persona la puede entender. (Ejemplo: un abogado). ―"los papeles de trabajo deben hablar"
✓ Los papeles de trabajo en cada fase de auditoría son finalizados y revisados de forma oportuna
✓ Es recomendable la existencia de políticas para efectuar revisiones de calidad del trabajo efectuado antes
de que se entreguen los reportes.
✓ La documentación debe quedar firmada por la persona que la elabora y la persona que la revisa con la
fecha en la que se completó cada trabajo.
PLAN DE AUDITORÍA BASADO EN RIESGOS
7.2 Buenas prácticas
✓ Los papeles de trabajo físicos deben contener una referenciación.
✓ En caso de PT’s digitales se pueden utilizar técnicas como hipervínculos para amarrar PT’s, bien sea dentro de
los mismos archivos o a otros PT´s digitales.
✓ Los papeles de trabajo deben contener marcas de auditoría.
✓ Todos los temas deben quedar totalmente cerrados.
✓ Los papeles que anexamos deben ser realmente relevantes.
✓ En la documentación no es necesario incluir los borradores de papeles de trabajo que reflejen razonamientos
incompletos o preliminares.
✓ Los hallazgos deben quedar en los respectivos papeles de trabajo
✓ La documentación del auditor debe quedar almacenada en medios electrónicos o papel.
✓ Deben existir políticas de archivo y retención de los papeles de trabajo que se utilizaron para documentar el
reporte emitido.
✓ Los papeles de trabajo, en lo posible, deben ser preparados y revisados durante la auditoría con el fin de evitar
que queden incompletos.
✓ La extensión de los papeles de trabajo va de acuerdo al alcance del trabajo y al juicio profesional de cada
auditor
PLAN DE AUDITORÍA BASADO EN RIESGOS
7.3 Papeles de trabajo electrónicos
1. Acceso restringido a los equipos de cómputo (equipos personalizados).
2. Acceso restringido al software de auditoría (mediante el uso de usuarios y claves de acceso).
3. Acceso restringido al archivo de auditoría, únicamente, al personal asignado al trabajo.
4. Políticas de cierre de archivos de auditoría y su almacenamiento.
5. Políticas de apertura y/o acceso a archivos electrónicos ya almacenados.
6. Derechos de acceso a personal encargado de administrar los archivos de auditoría.
7. Políticas de respaldo de archivos, tanto del equipo de auditoría como de la totalidad de los archivos que
manejan.
8. Políticas de acceso a los archivos electrónicos, vía accesos remotos.
9. Seguridad en las instalaciones y servidores encargados de mantener los archivos electrónicos.
10. Seguridad física de los equipos centrales y respaldo fuera de las instalaciones, etc.
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.1 Comunicaciones
Asuntos relacionados con recomendaciones y planes de acción, riesgos y otros asuntos específicos
Discusión de asuntos específicos de
auditorías internas
de las auditorías internas, serán resueltos en primera instancia con el dueño del proceso y en
segunda instancia con la Dirección Ejecutiva.
Aprobación y cambios al plan de Los cambios al plan de auditoría serán planteados conjuntamente con la Dirección Ejecutiva y
auditoría presentados para aprobación del Comité de Auditoría.
La información confidencial que requiera la auditoría interna para la ejecución del trabajo será
Manejo de información solicitada a quien sea el responsable de dicha información. La consulta de papeles de trabajo de
confidencial auditoría interna que sea requerida por terceros (Revisoría fiscal u otros auditores, entes externos
de vigilancia y control, ect) debe ser solicitada y autorizada por escrito.
Los informes incluirán: objetivos, alcance, observaciones de las auditorías, recomendaciones, planes
Estructura de informes
de acción de las áreas y la fecha esperada de implementación
Los informes se auditoría interna se emitirán dentro de la semana siguiente a la finalización del
Emisión de informes
trabajo de campo. Sujetos a la oportunidad de la respuesta por parte de las áreas.
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.1 Comunicaciones ► Realizar reunión de cierre de la auditoría con los responsables del proceso en donde se
expondrán los resultados indicando:
▪ Hallazgos y recomendaciones
Objetivo ▪ Cualquier circunstancia que se haya presentado y hubiere afectado la ejecución del trabajo.
► Preparar el informe con los resultados de la auditoria describiendo:
Efectuar la comunicación ▪ Objetivo de la auditoria
▪ Alcance
de los resultados de la ▪ Resumen ejecutivo
Auditoría. ▪ Hallazgos y recomendaciones
► La presentación del informe debe considerar la guía establecida por la Compañía en donde se
establecen por ejemplo las palabras que no se deben usar en los informes.
Las comunicaciones deben
incluir los objetivos y ► Presentar informe final del resultado de la auditoría al responsable del proceso con el objetivo
de que establezcan los planes de acción de cada uno de los hallazgos e incorporarlos al
alcance del trabajo así informe.
como las conclusiones ► Los planes de acción deben considerar la actividad a ejecutar, el responsable y las fechas de
correspondientes, las inicio y fin del plan de acción.
recomendaciones y los ► Actualizar el mapa de riesgo residual.
planes de acción. (Norma ► Evaluación interna de resultados de la Auditoría.
IIA 2400) ► Lecciones aprendidas
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.2 Hallazgos de Auditoría
Según el estándar No. 3 de la PCAOB se A continuación se describen los principales aspectos a tener
establece lo siguiente, respecto de la en cuenta en la generación de hallazgos:
documentación de los hallazgos de ✓ Determina puntualmente la deficiencia
auditoría:
✓ Establecer las posibles causas que originaron el hallazgo
✓ Además de la documentación ✓ Determinar el efecto/impacto negativos que produce el
necesaria para respaldar las hallazgo
conclusiones finales del auditor, ésta ✓ Obtener comentarios de las personas u organismos
debe incluir la información que el directamente interesados, que pueden estar afectados en
auditor ha identificado en relación con forma adversa por el hallazgo.
los hallazgos significativos ✓ Determinar las conclusiones de auditoría, con base en la
evidenciados. evidencia acumulada y los comentarios de los afectados
✓ Los papeles de trabajo que deben y/o interesados.
conservarse, incluyen los ✓ Determinar las acciones correctivas, disposiciones o
procedimientos realizados que recomendaciones que permitan introducir mejoras sobre
soportan los hallazgos identificados. las causas originadoras del hallazgo.
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.2 Hallazgos de Auditoría
Definición
los hallazgos
Atributos de
►Título ►Efecto
►Situación ►Causa
►Criterio ►Recomendación
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.2 Hallazgos de Auditoría
Título:
– Describe brevemente de forma objetiva y específica el asunto de que trata el hallazgo.
Situación:
– Describe los hechos concretos que revelan qué no se cumplió, de acuerdo con la evidencia verificada.
▪ Datos sobre qué se examinó
▪ Información de fechas, importes, cantidades
▪ Descripción de transacciones o procesos.
▪ Frase introductoria: El examen de xxx evidenció que …
▪ Específico (no mezclar dos situaciones en un párrafo)
▪ Evitar incluir palabras imprecisas (EJ.:Algunos, bastantes, pocos, varios, en ocasiones, en el futuro o pasado, nadie,
ninguno, todos, siempre, nunca).
Criterio:
– Norma y/o atributo referente utilizada para evaluar la situación específica
Estándares: (Leyes, Reglamentos, Guías, Acuerdos, Contratos)
Indirectos o Implícitos, Experiencia, Opinión de un perito, Normas de control interno, Metas y objetivos programáticos, uso y
costumbre de la industria
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.2 Hallazgos de Auditoría
Efecto
– Es la consecuencia real o potencial de no haber cumplido con uno o mas criterios
y lo que ello significa para el interés público y/o de la compañía.
▪ Pérdida de ingresos
▪ Gasto indebido
▪ Ineficacia al realizar un trabajo
▪ Desmoralización del personal
▪ Pérdida de imagen o de prestigio
Causa
– La razón fundamental que motivó al incumplimiento
▪ Falta de supervisión adecuada
▪ Inobservancia o inconsistencia al aplicar las leyes o reglamentos
▪ Falta de planificación y organización
▪ Ausencia de comunicación de las decisiones y de la norma
▪ Falta o deficiencia en el control interno
▪ Guías inadecuadas, obsoletas o imprácticas.
▪ Deshonestidad, descuido o negligencia del personal.
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.2 Hallazgos de Auditoría
Recomendaciones
Son las consideraciones sugeridas por el equipo auditor, con el fin de dar cubrimiento al impacto y/o causa que originó el
hallazgo y el riesgo asociado.
– Propósito
▪ Mejorar los procesos
▪ Indicar que se cumpla con las recomendaciones o planes de acción de las auditorías anteriores.
▪ Indicar que hay que cumplir con las leyes y reglamentos
– Deben ser:
▪ Específicas, claras y precisas
▪ Ser prácticas – Costo/Beneficio
▪ Dirigidas al empleado con autoridad para resolver o implantar la recomendación
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.2 Hallazgos de Auditoría
El informe de auditoría, es el documento final del proceso de auditoría, que consolida el resultado de la
revisión y el cumplimiento del plan de auditoría.
► Propósitos
Preciso:
• Es conveniente ser exacto (puntual) en cada frase y en el informe completo. Su redacción debe ser sencilla, clara, ordenada,
coherente y en orden de importancia.
Conciso:
• La redacción debe ser breve pero sin omitir lo relevante, la brevedad permite mayor impacto. Así mismo, debe incluir la causa,
el efecto, y aspectos que muestren claramente el impacto que tiene la situación detectada así como los riesgos asociados.
Objetivo:
• Todos los hallazgos deben reflejar una situación real, manejada con criterios técnicos, analíticos e imparciales
Soportado:
• Las afirmaciones, conceptos, opiniones y hallazgos, deben estar respaldadas con evidencia válida, suficiente, pertinente y
competente
Oportuno:
• Debe cumplir los términos de elaboración, consolidación, entrega, comunicación y publicidad
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.3 Concepto y propósito de los informes de auditoría
Informes de Auditoria Detallados:
► Proceso evaluado
► Objetivo de la Auditoria
► Fecha de la auditoria
► Alcance de la Auditoria
► Período evaluado (si aplica)
► Resumen de los procedimientos efectuados
► Hallazgos / Oportunidades de Mejoramiento
► Planes de Acción (Incluye compromiso, responsable, fecha inicio, fecha fin, equipo de apoyo, prioridad,
inversión necesaria)
► Adjunto a cada informe se anexa la documentación generada durante el conocimiento y evaluación de los
procesos, la cual incluye:
► Proceso evaluado
► Objetivo de la Auditoria
► Fecha de la auditoria
► Alcance de la Auditoria
► Período evaluado (si aplica)
► Mapa de Riesgo Residual del Proceso
► Conclusiones de principales fortalezas y debilidades (Hallazgos /
Oportunidades de Mejoramiento)
► Principales Planes de Acción
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.3 Concepto y propósito de los informes de auditoría
Comunicación y validación de resultados
Comité Nota
de auditoría Se deben preparar memorandos
como evidencia de la entrega
Presidente
oportuna de los informes a las
partes interesadas y/o
Vicepresidentes correspondientes.
Gerentes / Directores
Dueños de proceso
PLAN DE AUDITORÍA BASADO EN RIESGOS
8.3 Concepto y propósito de los informes de auditoría
▪ Evaluar el plan de acción propuesto verificando que contenga toda la información, considerando la oportunidad y
adecuación del plan de acuerdo a las observaciones.
▪ Si algunas observaciones y recomendaciones resultan ser tan significativas que requieran acción inmediata por
parte de la dirección o del consejo de administración, se deben vigilar las acciones tomadas hasta que la
observación se haya corregido o la recomendación se haya implementado.
▪ Recibir por parte de los responsables el estado de avance de la implementación de los planes con el fin de evaluar
su cumplimiento.
▪ Definir el alcance de las pruebas a ejecutar para verificar el cumplimiento de los planes de acción.
▪ Del resultado de la verificación se debe informar al responsable del proceso, alta dirección y el Consejo.
PLAN DE AUDITORÍA BASADO EN RIESGOS
▪ Definir plan detallado para la implementación de los planes de acción por parte de los Dueños de Procesos
▪ Generar periódicamente los informes de seguimiento a planes de acción por parte del equipo de Auditoria
Interna (a partir de información registrada en una base de datos de seguimiento)
▪ Identificar incumplimientos y obstáculos en la implementación de planes de acción
Descripción del Plan de Acción
Descripción de los
compromisos por
actividades
Seguimiento
Porcentaje de
Compromiso – Actividades Observaciones Nuevos
Estado cumplimiento del Revisado Por
en el plan de acción por actividad Requerimientos
compromiso
▪ Comunicación de los resultados del seguimiento al equipo de auditoria interna con el fin de
actualizar los de mapas de riesgos (perfil de riesgos)
GRACIAS.