Presentación - Auditoría Interna Basada en Riesgos - VF

AUDITORÍA INTERNA
BASADA EN RIESGOS
AUDITORÍA
INTERNA
BASADA EN
RIESGOS
PLAN DE AUDITORÍA BASADO EN RIESGOS
ACUERDOS
▪ Celulares y computadores no se requieren

▪ Asistencia puntual
▪ Cumplimiento de la agenda
▪ Break 15 minutos
1. Metodología de Auditoría Interna. 5. Programa de auditoría.
1.1 Metodología - Taller: Análisis metodología 5.1 Evaluación de diseño y operatividad.
actual vs prácticas líderes. 5.2 Tipos y enfoques de pruebas - Taller
1.2 Análisis de riesgo y el entorno / Priorización práctico – Evaluación de diseño y operatividad
de Procesos – Taller: Elaboración del Plan de de controles
Auditoría basado en riesgos. 6. Plan de muestreo.
2. Entendimiento del proceso. 6.1 Requerimientos de información.
2.1 Entendimiento del proceso. 6.2 Plan de muestreo.
2.2 Exposición al fraude. 7. Papeles de Trabajo
3. Mapa de riesgos inherentes. 7.1 Características
3.1 Gestión de riesgos. 7.2 Buenas prácticas
3.2 Matriz de riesgos y controles – Taller de 7.3 Papeles de trabajo electrónicos.
riesgos. 8. Comunicación de resultados
4. Identificación e Implementación de 8.1 Comunicaciones
controles. 8.2 Hallazgos de Auditoría
4.1 Conceptos sobre controles. 8.3 Concepto y propósito de los informes de
4.2 Implementación de controles para ejecución auditoría.
de pruebas - Taller práctico 9. Monitoreo.
1. Metodología de
Auditoría Interna
1.1 Marco Metodológico (Auditoría Interna)
La metodología de Auditoría Interna está basada en proveer un marco de referencia en el cual este alineada la
experiencia del equipo de trabajo asignado, con las estrategias, objetivos, iniciativas y riesgos relacionados con
la organización.
La Metodología de Auditoría Interna se compone de seis actividades principales:
Metodología
1. Desarrollo
Gente 2. Evaluación 3. Plan de 5. Comunicación
conjunto de 4. Ejecución 6. Seguimiento
Conocimiento de riesgos Auditoría de resultados
expectativas
Tecnología
Desarrollo conjunto de expectativas
Realizar una reunión de “co-desarrollo de expectativas” con las principales partes interesadas y
acordar el esquema de reporte del progreso en:
▪ Expectativas de los servicios

▪ Enfoque de la Auditoría Interna
▪ El grupo de trabajo incluyendo el nivel de experiencia
▪ Protocolos de comunicación
▪ Protocolos de ejecución del trabajo
Protocolos de Comunicación
Protocolos de Ejecución de la Auditoría
Evaluación de riesgos
▪ Identificar los principales riesgos del negocio
▪ Examinar los riesgos incluidos en sus matrices de riesgo.
▪ Generar compromiso con los ejecutivos para identificar preocupaciones específicas y perspectivas
de riesgo. Proveer puntos de vista de fuentes externas que sean relevantes a su ambiente de
riesgo.
▪ Identificar zonas de riesgo de fraude (como se identificaron mediante las prácticas proactivas de
manejo de fraude)
▪ Desarrollar criterios para la asignación de riesgos. Asignar los principales riesgos del negocio
basado en su impacto y probabilidad de ocurrencia.
▪ Hacer un mapa de riesgos a nivel estratégico o entidad.
Plan de Auditoría
▪ Utilizar sesiones de diagnóstico para aplicar el criterio de asignación de riesgo.
▪ Desarrollar un plan de auditoría interna basado en la asignación de riesgo.
▪ Definir revisiones anuales para asegurar que el enfoque es relevante.
▪ Recibir e incorporar auditorías/proyectos de ejecutivos y otras partes interesadas (ej: gerente,
auditoría externa).
▪ Asignar recursos / actividades de auditoría interna a las áreas de mayor nivel de riesgo y valor.
▪ Identificar los requerimientos de habilidades a alto nivel.
▪ Validar el plan con las principales partes interesadas.
Ejecución
▪ Desarrollar comunicación anticipada para cada auditoría.
▪ Identificar recursos apropiados para llevar a cabo asignaciones específicas. Esto incluye:
▪ Recursos específicos
▪ Especialistas en el tema (cuando aplique)
▪ Aprovechar el análisis de la información para identificar las áreas en las cuales puede enfocarse el
trabajo de campo.
▪ Desarrollar programas de trabajo de auditoria.
▪ Evaluar el diseño de los controles y llevar a cabo pruebas de operatividad (100% o por muestras)
▪ Analizar las brechas y hallazgos.
▪ Asignación de causas raíz.
▪ Comunicación permanente entre el equipo y las partes
interesadas.
Comunicación de resultados
▪ Utilizar sesiones de diagnóstico para aplicar el criterio de asignación de riesgo.
▪ Documentar y validar resultados regularmente con los dueños del negocio y las partes
interesadas.
▪ Obtener planes de acción y finalizar los reportes.
▪ Reportar regularmente:
• Estado de las auditorías, el plan y cualquier cambio en las prioridades.
▪ Emitir reportes finalizados.
▪ Resumen de las principales fortalezas y hallazgos.
▪ Estado del manejo de los planes de acción.
Monitoreo
▪ Hacer seguimiento a las fechas de implementación de los planes de acción
▪ Manejar la asignación de acuerdo al estado de los planes de acción/ implementación
▪ Incorporar y priorizar los requerimientos en el desarrollo del plan de auditoría interna
▪ Desarrollar auditorías puntuales basado en las prioridades de hallazgos
▪ Reportar seguimiento sobre los hallazgos de la auditoria
Taller práctico 1 – Comparación de

actividades con prácticas líderes
1.2 Análisis de riesgos y entorno
El punto de partida es el el cual se enfrenta a que está alineada con los
Modelo de Negocio… que se administran a través de marcos conceptuales de
Universo
de riesgos
Gente
& Cultura
Activos
Fisicos
Legal
Sistema gestión integral de riesgos
Procesos Mercado
Sistemas Liquidez
Operaciones
& Crédito
Administración Conocimiento Financiero

Reportes
de la Información Definición del contexto de la Administración de Riesgos
Estratégico
Alineación con el contexto Estructura
Cultura organizacional orientada

Propiedad Estructura de Políticas Objetivos Alcance Organizacional
a la administración del riesgo

Intelectual
Estructura
Capital
Direccionamiento Estratégico y
de Mercado Stakeholder/ Organizacional
Terceros
Funciones y Documentación Tecnología
responsabilidades soporte habilitante
• Operativos Definición de la estructura de

evaluación de riesgos
Definición de criterios de
evaluación de riesgos
Definición y aplicación de la
metodología de administración
• Financieros
Despliegue de riesgos
COSO
• Cumplimiento
Monitoreo del Perfil de Monitoreo a la efectividad de
Monitoreo del SAR
Riesgo los planes de acción
Monitoreo
• Estratégicos Mejoramiento Continuo del SAR
• Reputacional
se sostiene y mejora por la

gestión de monitoreo realizada
por… MECI
Monitoreo
y que permiten que generan (a través de esquemas de control
y retroalimenta y autocontrol)
fortalecer
Planes de acción Dueños de procesos
Sistema de control
Órganos de administración
Órganos de control
SGR, RF Auditoría
Interna
enmarcado en…
Gobierno Corporativo
1.2 Análisis de riesgos y entorno
Riesgo Inherente Proceso de Negocio
Objetivos de Negocio y Estrategias
Incremento de oferta ▪ Condición económica Desarrollo de
ingresos y de producto
participación ▪ Volatilidad de materia prima nuevo producto
Evaluar el significado de riesgo para los objetivos de negocio

Ingresar a nuevos
Enlace de riesgos con Procesos de Negocio

en el mercado mercados ▪ Volatilidad en tasas de interés
Enlace objetivos de negocio con riesgos

▪ Expansión internacional Ganar nuevo
Evaluar gerencia y control de actividades

▪ Desarrollo de nuevo producto negocio
Entrega superior
Servicio al cliente ▪ Regulación ambiental
Reputación y
marca Incrementar calidad ▪ Capacidad de infraestructura de
del producto TI Abastecimiento
▪ Dependencia de proveedores
clave
Maximizar retorno de
Activos y capital ▪ Reclutamiento y retención Producción
administración Maximizar beneficios ▪ Migración de clientes
de capitales de inversiones en
tecnología ▪ Cumplimiento regulatorio
▪ Costos de salud / pensión
Optimizar eficiencia Distribución
operativa ▪ Socios de Joint Ventnure
Ganacias y ▪ Continuidad de negocio
márgenes de Alcanzar optimización
de costos ▪ Propiedad Intelectual
Operación Soporte al Cliente
Retener mejor ▪ Evolución de economía asiática
personal
1.2 Priorización de procesos y plan de auditoría
Priorización
Entendimiento del procesos/áreas
entorno y evolución
Aprobación
Estrategia de la del plan
organización
Plan de auditoría
Expectativas de la
Dirección
Entendimiento de las Auditorías

unidades de negocio
Programadas
Evaluación y análisis
de riesgos
Análisis estados
financieros y Auditorías
presupuesto Específicas Importante :No todos los riesgos
son cubiertos en el plan
Análisis resultados
auditorías anteriores
1.2 Priorización de procesos y plan de auditoría (Gestión de Recursos)
▪ La Auditoria Interna es responsable de planear, guiar, reportar y hacer seguimiento a los proyectos incluidos
en el plan de auditoria, y decidir el alcance y tiempo de las auditorias. El trabajo de campo de la auditoria
debe ser guiado de una manera oportuna y profesional, para lo cual deben existir líneas de supervisión.
•Soportar a la administración en la identificación de riesgos potenciales en las

operaciones de la compañía.
•Revisar la suficiencia de los controles establecidos para procurar el cumplimiento de

políticas, planes, procesos y objetivos del negocio.
•Evaluar la confiabilidad y seguridad de la información financiera y gerencial, así como

los sistemas y operaciones que generan esta información.
•Identificar oportunidades de mejoramiento a través del desarrollo del plan de

auditoria.
•Hacer seguimiento a las recomendaciones realizadas para verificar su implementación

y en caso de incumplimiento informar a la administración el nivel de exposición al
riesgo.
Taller práctico 2 – Elaboración del plan de auditoría basado en riesgos
Material:
Criterios de
Análisis y calificación
calificación Plan de Auditoría
Aspectos a de riesgos – Mapa Gestión de recursos
(probabilidad e Interna
tener en de riesgos
impacto)
cuenta
2. Entendimiento
del proceso
2.1 Entendimiento del proceso
Obtener un conocimiento del proceso a auditar considerando los objetivos de la
actividad a revisar para identificar los riesgos de mayor a menor significatividad
(top-down) e identificar los controles clave que gestionan los riesgos.
Entendimiento del proceso Mapa de riesgos

inherente
Identificación y priorización de
riesgos de proceso
Identificación de controles
▪ Notificar el responsable del proceso el inicio de la auditoría indicando el
objetivo, el alcance y el equipo asignado.
▪ Realice reunión de apertura con el objetivo de definir los canales de
comunicación, aclarar inquietudes y obtener información sobre las
expectativas de los responsables del proceso.
▪ Programar entrevistas con los responsables del proceso a auditar para
obtener un conocimiento inicial de cada una de las actividades que se
ejecutan en el procesos.
▪ Obtener un entendimiento de: Objetivos, estructura, indicadores.
▪ Riesgos del proceso
▪ Controles claves
▪ Realizar una prueba de recorrido con el objetivo de confirmar el

entendimiento del proceso, los riesgos y controles claves del proceso.
▪ Documentar el entendimiento, los riesgos y controles del proceso.
ENTREGABLES
▪ Carta notificación auditoría
▪ Acta reunión de apertura
▪ Documento de entrevistas
▪ Documentación de controles.
▪ Documentación de riesgos
▪ Documentación del proceso.
▪ Recomendaciones respecto a mejoras del
proceso
▪ Universo de riesgos
▪ Perfil del riesgo del proceso
▪ Cuestionario de control interno de fraude
2.2 Entendimiento del proceso – EXPOSICIÓN AL FRAUDE
➢ “Un acto intencional por parte de uno o más individuos de la
administración, de los encargados de la dirección, empleados o terceros,
que implican el uso del engaño para obtener una ventaja injusta o ilegal.”
International Standards on Auditing 240
➢ Fraude vs. error - una cuestión de intención

Fraude
EEFF / Reportes fraudulentos Apropiación indebida de activos

Fraude en la Alta Dirección Robo de activos
Gobierno Transacciones no autorizadas
Cultura Corporativa Lavado de dinero
Corrupción y soborno
Funcionarios que sobornan
Carteles
Facilidades en pagos
Publicidad negativa,
desconfianza de
inversionistas, entidades
¿Por qué se comete fraude? Reputación
financieras, proveedores,
colaboradores y entidades de
control.
Presión/Beneficio (Incentivo)
• Financiera, personal, objetivos Disminución del valor de las
empresariales inalcanzables, etc. Valor de la compañía acciones, duda sobre la
continuidad o conveniencia
de las operaciones de la
compañía
Oportunidad
• Controles débiles o inexistentes/ Pérdida monetaria,
empleados en puestos de Impacto Financiero disminución de ingresos,
Adverso pérdida de participación de
confianza mercado, sanciones.
Racionalización o Justificación Efecto sobre la seguridad

Riesgo personal de sus personal por infiltración de
• “No soy el único que lo hace”, ejecutivos grupos delincuenciales /
“no es delito”, “la compañía mafias.
me trata mal” etc.

Impacto en el negocio
► 5% Alta Dirección
Alto
► 20% Gerencia /
cargos de dirección
► 75% otros
empleados
Bajo
Número potencial de implicados
3. Mapa de
riesgos
inherentes
3.1 Gestión de riesgos
Riesgo al que la Compañía se ve Incluyen iniciativas, políticas, Riesgo al que la Compañía se ve

expuesta en la ejecución propia de procesos, procedimientos, expuesta en la ejecución de los
los procesos al dar cumplimiento a restricciones físicas, guías, reglas, procesos, luego de implementar los
los objetivos sin considerar los etc. que pretendan mitigar ya sea la controles asociados a las actividades
controles o actividades de gestión probabilidad o el impacto de un buscando mitigar los riesgos o de
y control. riesgo. actividades de gestión y control.
3.1 Gestión de riesgos
Objetivos Estratégicos Riesgos a nivel Entidad Calificación
(Imperativos)
Apetito de
O1 O2 O3 O4 R1 R2 R3 R4 Riesgo
O1 O2 O3 O4 O5 O6 O7 R1 R2 R3 R4 R5 R6 R7
Objetivos Operativos Riesgos de Procesos
Habilitan Mitigan
PROCESOS / PROYECTOS CONTROLES
CONTROL INTERNO
3.1 Gestión de riesgos – Elementos de riesgos
Probabilidad (acerca de la frecuencia)
Elementos
de Riesgo
Impacto (acerca del efecto)
El resultado de la combinación de la probabilidad

y el impacto se denomina como la severidad del riesgo
Muy Alto Alto Moderado Bajo
Apetito por el Riesgo - El nivel de riesgo, a nivel gerencial, al que una organización está dispuesta a
aceptar en seguimiento al valor y logro de los objetivos.
Factores de Riesgo - Son factores de riesgo las fuentes generadoras de eventos que pueden significar
la materialización de los riesgos. Los factores de riesgo se clasifican en internos y externos.
3.1 Gestión de riesgos – Factores de riesgos
Procesos: Actividades para la transformación de elementos de entrada, en productos
o servicios para satisfacer una necesidad. Existen factores de riesgo en los procesos
cuando hay fallas en:
▪ Definición de políticas y procedimientos.

▪ Estandarización, formalización, actualización y divulgación de procesos.
▪ Definición de objetivos, límite y alcance de los procesos.
▪ Segregación de funciones.
▪ Definición de indicadores de gestión.
▪ Actividades de mejoramiento y su seguimiento.
Personas: Es el conjunto de colaboradores vinculados directa o indirectamente con

la ejecución de los procesos del Conglomerado Financiero y las Compañías que lo
conformen. Existen factores de riesgo en el recurso humano cuando hay fallas tales
como:
▪ Falta de personal con perfil suficiente para el desarrollo de las operaciones
▪ Negligencia.
▪ Error humano.
▪ Inapropiadas relaciones interpersonales y ambiente laboral desfavorable.
▪ Falta de especificaciones claras en los términos de contratación de personal.
3.1 Gestión de riesgos – Factores de riesgos
Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos del
Conglomerado y las Compañías que lo conforman. Incluye: hardware, software y
telecomunicaciones. Existen factores de riesgo en la tecnología cuando hay fallas relacionadas con:
▪ Operaciones de Tecnología de Información.
▪ Servicios y recursos provistos por terceros.
▪ Administración de la seguridad de información.
▪ Continuidad de las operaciones.
▪ Adquisición, desarrollo e implementación de las aplicaciones.
▪ Infraestructura tecnológica.
Eventos Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros,
que se escapan en cuanto a su causa y origen al control del Conglomerado y las Compañías que los
conforman. Existen factores de riesgo en eventos externos cuando hay fallas relacionadas con:
▪ Fallas en los servicios públicos.
▪ Ocurrencia de desastres naturales.
▪ Atentados.
▪ Otros actos delictivos.
Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una Institución.

Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte
3.1 Gestión de riesgos – Tipos de riesgos
Riesgo Estratégico: Se asocia con la forma en que se administra la

Organización. El manejo del riesgo estratégico se enfoca a asuntos globales
relacionados con la misión, la planeación estratégica y el cumplimiento de
los objetivos estratégicos.
Riesgo Financiero: Se asocia con las pérdidas en las que puede incurrir la
Organización y las compañías que lo conforman financieramente o por
estados financieros que no presentan la realidad financiera de la Entidad.
Riesgo Operativo: Es la posibilidad de incurrir en pérdidas por deficiencias,

fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología,
la infraestructura o por la ocurrencia de acontecimientos externos.
Riesgo de cumplimiento: contempla la sanción legal y normativa

materializada en pérdida financiera o reputación adversa, como
consecuencia de la incapacidad de la Organización para cumplir con las
leyes, reglamentos y normas aplicables.
Riesgo Reputacional: Posibilidad de pérdida que incurre la Organización y las
Compañías que lo conforman por desprestigio, mala imagen, publicidad negativa,
cierta o no respecto a cada Compañía, que cause pérdida de participación en el
mercado, disminución de ingresos o procesos judiciales.
Riesgo de contagio: Referido al riesgo que corren de que las dificultades financieras
de una de las Compañías que conforman la Organización afecten a los otros
miembros, principalmente en problemas de solvencia y liquidez.
Riesgo de transparencia: Este riesgo se refiere al riesgo que corren las Compañías
que conforman la Organización de ser incapaces de evaluar completamente el impacto
potencial de cualquier transacción llevada a cabo por algún miembro de la
Organización.
Riesgo de autonomía: Referido al riesgo de que La Gerencia y la Junta Directiva de

una de las Compañías que conforman la Organización sea incapaz de descargar sus
responsabilidades y obligaciones a los depositantes, acreedores, prestatarios y las
autoridades supervisoras como resultado de una influencia indebida de los miembros
de la Organización.
C ▪ Fraude Interno: ▪ Fraude Externo:

O Actos que de forma intencionada Actos realizados por una persona
buscan defraudar o apropiarse externa a la Entidad, que buscan
R indebidamente de activos de la apropiarse indebidamente de
Entidad, en los que está implicado, al
R menos, un funcionario de la Entidad.
recursos públicos
U
P
▪ Lavado de Activos: ▪ Deficiente ejecución y
C Proceso en virtud del cual los administración de Proyectos:
I bienes de origen delictivo se Pérdidas derivadas de errores y/o
integran en el sistema económico demoras voluntarias en la
Ó legal con apariencia de haber sido ejecución, supervisión y
obtenidos de forma lícita. administración de los proyectos.
N
3.1 Gestión de riesgos – Tratamiento a los riesgos
Aceptar
Consiste en definir las acciones

que realizará la Compañía o
dejará de realizar para
gestionar cada riesgo Tratamiento
Eliminar Mitigar
identificado, dentro de esta al riesgo
clasificación esta:
Transferir
3.2 Mapa de riesgos inherentes
La matriz de Riesgos y controles permite realizar la construcción del mapa de riesgos inherentes y residuales
asociados al proceso
Matriz de Riesgos &
Controles (Excel)
RIESGO INHERENTE Evaluación de Controles RIESGO RESIDUAL

Responsabilidad del Actividades que Observaciones Solidez Solidez del
Proceso / Clase de Riesgos del Causa / Falla / Factor del Severidad del Tratamiento Descripción Control Tipo de Control Naturaleza Frecuencia del Control Documentación Diseño del Ejecución del Importancia Disminuye la Disminuye Riesgo
No. Probabilidad Impacto No. Control componen el frente al diseño Individual Conjunto de
Subproceso Riesgo Proceso Insuficiencia Riesgo Riesgo Inherente al Riesgo del Control Clave del Control del Control Control Control del Control Probabilidad el Impacto Residual
Asignación Cargo Tipo Funcionalidad Periodicidad Funcionalidad Control del control del Control Controles
La información a incluir en la matriz se puede discriminar en dos secciones…
Sección 1 – Relación de Riesgos, Fallas, Riesgo Inherente
RIESGO INHERENTE
Proceso / Clase de Riesgos del Causa / Falla / Factor del Severidad del Tratamiento
No. Probabilidad Impacto
Subproceso Riesgo Proceso Insuficiencia Riesgo Riesgo Inherente al Riesgo
1 2 3
Proceso / Subproceso: Clase de Riesgo:

1 2
Corresponde al nombre del proceso / subproceso al cual se Corresponde a los tipos de riesgos que se puede presentar
está realizando la evaluación de Riesgos y Controles dentro del proceso (operativo, financiero, de cumplimiento /
legal, estratégico, tecnológico, ambiental, reputacional…..
Riesgo del proceso:

Descripción del riesgo identificado en el proceso / subproceso.
3
Un riesgo se identifica como todas aquellas situaciones que afectan o impiden el cumplimiento del
objetivo del proceso.
Sección 1 – Relación de Riesgos, Fallas, Riesgo Inherente
RIESGO INHERENTE
Proceso / Clase de Riesgos del Causa / Falla / Factor del Severidad del Tratamiento
No. Probabilidad Impacto
Subproceso Riesgo Proceso Insuficiencia Riesgo Riesgo Inherente al Riesgo
4 5 6 7 8 9
4
Causa / Falla / Insuficiencia: Probabilidad:
Describa la(s) causa(s) identificadas que dan 9
Calificación de la probabilidad de ocurrencia del riesgo sin tener en cuenta los
origen al riesgo 6 controles asociados. Tratamiento al Riesgo:
Consiste en definir las
En este punto, se tienen en cuenta los criterios para calificación de riesgos definidos. acciones que realizará la
Factor del Riesgo: Compañía o dejará de
Seleccione de la lista desplegable el factor Impacto: realizar para gestionar
asociado al riesgo identificado: Seleccione de la lista desplegable, el impacto del riesgo sin tener en cada riesgo identificado,
5 Recurso Humano cuenta los controles asociados y de acuerdo con los criterios dentro de esta
Tecnología de Información 7 cuantitativos o cualitativos definidos clasificación esta:
Infraestructura Física • Aceptar
Procesos En este punto, se tienen en cuenta los criterios para calificación de • Mitigar
Evento Externo riesgos definidos. • Transferir
• Eliminar
Severidad del Riesgo Inherente:
8
De acuerdo a la calificación de probabilidad e impacto inherente, se asigna la severidad del riesgo
3.2 Taller práctico 3 – Matriz de riesgo inherente
Tema:
Realizar la identificación y calificación de los riesgos inherentes del
proceso de Liquidación de la Nómina.
Material
Diagrama de flujo de Nómina Matriz de riesgos
Caracterización
4.Implementación
de controles
4.1 Conceptos sobre controles
Aproximadamente el 30% de los costos de procesos

se relacionan con la ejecución de los controles.
Aproximadamente el 40% de los controles se

encuentran repetidos o pueden ser eliminados.
Intentos de optimizar controles se han concentrado

principalmente en reducir el nivel de pruebas y
monitoreo.
Sólo el 3% de los ejecutivos han automatizado

completamente más de la mitad de los controles
principales, mientras que sólo el 22% han
automatizado más de un cuarto.
Control …cualquier acción tomada para mitigar o administrar el riesgo e incrementar la
probabilidad de que el negocio/proceso alcance sus metas y objetivos.
Son actividades diseñadas para  Prevenir ocurrencia de errores

mitigar los riesgos de un proceso.  Minimizar impacto o probabilidad de ocurrencia
Muestra de un flujo de proceso

Actividad 2
Inicio Actividad 1 Si/No Actividad 4 Actividad 5 Fin
Actividad 3
Actividades de Control
Corporativo
A Nivel de Entidad
A Nivel de Unidad de Negocio
► Los controles existen en varios

niveles de la Compañía.
A Nivel de Procesos/Actividades
4.1 Conceptos sobre controles - ELC
Ambiente de Evaluación de Actividades Información y
Monitoreo
control Riesgos de control comunicación
•Código de ética y conducta •Políticas y procedimientos •Actividades de monitoreo

•Asignación de autoridad y responsabilidad •Segregación de funciones •Mecanismos de evaluación
•Prácticas de prevención de fraude y •Conciliación de cuentas independiente del sistema de
lavado de activos •Reporte de excepciones control interno
•Mecanismos de remediación
•Identificación, evaluación y tratamiento
•Desarrollo de reportes para
de riesgos
comunicaciones internas
•Técnicas y metodologías para realizar el
•Reportes al comité de auditoría
análisis de riesgos
•Manejo de comunicaciones externas
Controles liderados por la alta Transaction/process

gerencia y comité de auditoría Componente Entity level
level
Características
Establecen el ambiente de control Control environment

de la organización
ELC
Risk assessment
Aplican a todos los procesos y
niveles de la organización Monitoring
Information and
Asocian los elementos del communication
modelo de control interno -
COSO Control activities
4.2 Implementación de controles para ejecución de pruebas
✓ Ciertos controles a nivel de entidad tienen un efecto
generalizado sobre el riesgo de fraude.
✓ Ejemplos: codigo de conducta, política de etica,
procesos de evaluación de riesgos.
Indirecto Directo
✓ Politicas y Procedimientos ✓ Actividades de Auditoria Interna
✓ Codigo de Conducta ✓ Analisis del Presupuesto vs. ejecutado.
✓ Audit committee involvement ✓ Revisión de los indicadores clave de
desempeño.
✓ Capacitación/experiencia
✓ Revisión del consolidado de las
✓ Segregar funciones conciliaciones de cuentas.
4.2 Implementación de controles para ejecución de pruebas
Categorías de control:
▪ Autorización
▪ Configuración y mapeo de cuentas
▪ Análisis de variaciones Taller práctico 4 –
▪ Controles de interfaz
▪ Indicador clave de rendimiento
▪ Revisión de la gerencia Identificación de
▪ Conciliación controles para el proceso
▪ Segregación de funciones
de nómina, asociados a
▪ Controles de Acceso
cada una de las causas de
La existencia de un control no garantiza que se minimice el impacto del los riesgos de la matriz
riesgo
5. Programa de
auditoría
5.1 Evaluación de diseño y operatividad
OBJETIVO ACTIVIDADES A DESARROLLAR

1. Establecer los objetivos del trabajo de acuerdo con la evaluación de los
riesgos relevantes del proceso a auditar y los controles claves.
✓ Preparar y documentar programas
que cumplan con los objetivos del 2. Establecer el alcance detallado del servicio de Auditoría Interna.
trabajo.
3. Se debe desarrollar y obtener aprobación documentada del programa de
✓ Estos deben incluir los trabajo antes de comenzar cada trabajo de auditoría interna.
procedimientos para identificar, 4. El programa debe incluir:
analizar, evaluar y documentar
- Detalle de las pruebas a ejecutar incluyendo procedimientos analíticos
información durante la ejecución del
y de detalle para los controles claves identificados.
trabajo. - Detalle de las pruebas de aplicación de tecnología.
✓ Aprobar con anterioridad la - Muestreo a utilizar
- Tiempo definido para la auditoría
estructura planeada de revisión.
- Recursos asignados
5. Diligencie el memorando de planeación
Marco General
para la evaluación
de diseño de
controles
Prueba de escritorio
Resultado Adecuado No adecuado Adecuado con observación

Para evaluar el diseño del control inicialmente el Auditor debe:
Para probar la efectividad del diseño de los controles el Auditor debe preguntarse si:
Identificación de la Población y Validación de la Integridad
Se debe tener en consideración la fuente de la cual se obtuvo la población:
• Generada directamente del sistema de información. Qué debemos
Veraz
• Provista por un tercero o un ente externo. Incluir?

• La compañía mantiene un documento formalmente documentado con la población solicitada.
• Se mantiene la evidencia física de la cual se obtiene la población. • Cuál fue la fuente de
obtención de la información
(Generado del sistema,
Para validar la exactitud se recomienda que se compare la información con otra fuente : construido manualmente, etc.)
• Inspección física contra documentos o archivos electrónicos.
Exacta
• Quién nos suministra la

• Verificación de totales de control (Sumatoria de algún campo o conteo de registros) información (nombre y cargo)
• Fecha de cubrimiento de la
población. (Ej. Del 1 de
marzo al 30 de junio de 2010)
Para validar la completitud se recomienda que se ejecute algún procedimiento para verificar que
está incluida toda la población en la información suministrada: • Contra qué fuente estamos
Completa
comparando.
• Verificación de totales de control (Sumatoria de algún campo o conteo de registros).
• Verificación de la fecha de actualización del control mantenido por el dueño del control. • Cómo verificamos la
veracidad, exactitud y
completitud de la
información.
Atributos de los Controles Ejemplo 1
Quién El Supervisor Contable de Activos (Gerencia de Servicios Generales) cada vez que recibe por parte del área
Cuándo solicitante el formato de "Solicitud de creación, modificación, eliminación o inactivación de cuentas
Qué contables y/o centros de costos" revisa que:
Cómo 1) Las descripciones y justificaciones de cambios acorde con la “Política y Procedimiento de mantenimiento
Evidencia de maestro de cuentas contables y centros de costos”
2) Para creación y modificación adecuado direccionamiento a la cuenta de grupo correcta y que la cuenta
o centro de costos respectivamente, no hayan sido creados previamente.
3) Para inactivación o eliminación por medio de la transacción FS03 y KS03 que la cuenta contable o
centro de costos respectivamente no posean saldos contables (historial en SAP).
4) La firma del solicitante y aprobador acorde con la “Política y Procedimiento de mantenimiento de
maestro de cuentas contables y centros de costos”
La evidencia del control se documenta mediante la impresión, firma, fecha de revisión y archivo (junto con
los documentos soportes que apliquen) del formato "Solicitud de creación, modificación, eliminación o
inactivación de cuentas contables y/o centros de costos" en la carpeta "Creación de cuentas
contables/centros de costos Año 20xx
5.2 Tipos y enfoques de pruebas
Está operando de acuerdo

como fue documentado?
Ejecución de Pruebas de Recorrido

para evaluar el diseño del control
Para probar que el control esté operando como
fue documentado y que el diseño es efectivo, el
Auditor ejecuta pruebas de recorrido, las cuales
incluyen principalmente:
¿Cómo documentar una prueba de recorrido?
La documentación de la prueba de recorrido debe incluir, como mínimo:
▪ Proceso al cual pertenece el control

▪ Número de control
▪ Descripción del Control
▪ Persona que ejecuta el recorrido
▪ Personas entrevistadas durante el recorrido (dueño del control)
▪ Fecha de la prueba en el detalle del recorrido
▪ Descripción de la prueba: Por ejemplo:
▪ No. de orden de compra / factura
▪ Fecha de la transacción
▪ Proveedor
▪ Monto, entre otros
▪ Lugar del cual se obtuvo la evidencia
▪ Pasos del proceso/control verificados en la prueba (atributos)
▪ Detalle de las evidencias recorridas
▪ Resultados de la prueba
▪ Adjuntar las evidencias correspondientes
✓ Objetivo de Control: Conciliar el resultado del inventario físico versus el auxiliar
contable de activos fijos y asegurar que las inconsistencias identificadas en la toma
física fueron gestionadas.
Ejemplo ✓ Programa de trabajo:
1. Verifique que se haya emitido el informe final de Toma Física donde se
especifique el resultado de comprar el inventario físico versus el auxiliar contable.
2. Tome la base maestra del sistema con corte al 31 de marzo de 20XX y
seleccione un Activo Fijo y verifique:
-El resultado de la toma física para dicho activo
-Si fue clasificado como sobrante o faltante en el Informe Final de Toma Física
y Conciliación, e identifique si está incluido dentro del detalle de faltantes o
sobrantes entregado por el contratista.
-La gestión realizada por la Unidad de Gestión de Activos, con la respectiva
Vicepresidencia a cargo del Activo.
-Si el activo fue catalogado como sobrante o faltante, que se hayan efectuado
los ajustes correspondientes en el sistema con las debidas aprobaciones.
• Conclusión: Adecuado / No Adecuado / Adecuado con Observación
▪ Objetivo pruebas de operatividad de controles
Evaluar la eficacia de funcionamiento de un control y determinar si el control está

operando de acuerdo con el diseño establecido.
Pruebas
Solicitud de Poblaciones
Preparación de Poblaciones
Recepción y Revisión de la Información
Selección de la Muestra
Requerimiento de Evidencias
Recepción de Evidencias
Ejecución de las Pruebas
Conclusión de las Pruebas
Reuniones de Validación
► Solicitud de Poblaciones
Solo aplica para controles con frecuencia “Eventual”. Para los controles con frecuencia definida, se toman los
correspondientes días, semanas, quincenas, meses, trimestres o semestres transcurridos durante el período de prueba.
Nota: Existen algunos controles con frecuencia definida que ocurren varias veces durante el mes (Ej. Conciliaciones
Bancarias), en este caso se solicita el listado de las ocurrencias del control durante el período de prueba.
► Preparación de poblaciones
Los dueños de control deben entregar la información de manera suficiente, competente y que este en línea con las
características descritas en la matriz de riesgos y controles sobre el control objeto de prueba, en un plazo
determinado.
► Recepción y revisión de la información

Los auditores antes de iniciar las pruebas de control, deben garantizar que la información que le fue suministrada es
integra, suficiente y competente para cumplir con los objetivos de la evaluación del control, a fin de prevenir la
realización de pruebas con la información inadecuada y/o incompleta. Se debe tener en cuenta la información solicitada,
período solicitado, otros.
► Selección de muestras
Para la selección de las muestras debemos tener en cuenta.
► La frecuencia del control
► Tiempo mínimo de operación del control
► Ampliación de la muestra
► Método de selección de Muestra.
► Requerimiento de Evidencias
Una vez determinada la muestra los auditores, deben solicitar a los dueños de control, informando a los dueños de proceso
la información necesaria que cubra los objetivos de la prueba y cumpla con la evaluación adecuada del control.
► Recepción de Evidencias (dueño del control)

La información suministrada por el dueño del control o proceso debe ser la solicitada por el auditor y la calidad de la
misma debe cumplir con las especificaciones.
El auditor con base en ésta, puede decidir si la calidad de la evidencia es lo suficientemente convincente para obtener una
seguridad razonable que el control funcione de manera efectiva durante el período de prueba. El auditor puede realizar
pruebas adicionales (re-ejecución) en el caso que la documentación no sea suficiente y no existan controles
compensatorios.
5.2 Taller práctico 6
Tema:
Definición del diseño de controles (matriz de riesgos y controles)
Material del participante
Formato Formato
Prueba de Diseño Prueba de Operatividad
6. Plan de
muestreo
6.1 Requerimiento de información
Métodos y herramientas más utilizados en el muestreo
Método de Descripción
muestreo
Aleatorio • Cada ítem de la población tiene la misma probabilidad de ser
elegido.
• Se utiliza un generador de números aleatorios.
Intervalos • Existe un intervalo uniforme entre cada ítem seleccionado (ej.

mo
Seleccionar cada 10 ítem)
Estratifiación • La población total se divide en dos o más categorías que son
muestreadas por separado.
• Es utilizado cuando se tienen varios tipos ítems dentro de una
población.
Juicio • La muestra se selecciona con base en el juicio del evaluador. No se

utiliza ningún medio estadístico o aleatorio.
Para la selección de las muestras debemos tener en cuenta.
▪ La frecuencia del control
▪ Tiempo mínimo de operación del control
▪ Ampliación de la muestra
▪ Método de selección de Muestra.
Existen prácticas basadas en conceptos estadísticos
que nos proporcionan lineamientos para efectuar
muestreos según la frecuencia del control. Estos
muestreos se basan en la confiabilidad y la tolerancia
de errores.
Tamaño de No. De Tasa de Error
Confiabilidad
Muestra Errores (tolerancia)
25 0 90% 10%
40 1 90% 10%
60 0 95% 5%
100 1 95% 5%
Definición de la población:
La población es el conjunto completo de datos sobre los que
queremos llegar a una conclusión. Cuando definimos la población, Si la población contiene diferentes
debemos determinar si la características, diseñamos pruebas
población es: separadas para cada sub-población
para alcanzar el objetivo de auditoría
Adecuada para el objetivo específico de prueba de auditoría en la población como conjunto.
a realizar.
Completa / Integra.
Determinamos la unidad de muestreo apropiada en la población a evaluar
(La población puede ser todas las transacciones o un subconjunto de las mismas para las que estamos considerando el uso del
muestreo para lograr nuestro objetivo de la auditoría. Si no definimos la población adecuadamente, podemos utilizar una
población incorrecta para seleccionar los elementos para probar, o dar una conclusión inapropiada acerca de la efectividad de la
operación del control.
6.2 Plan de muestreo
Errores
No. Muestra No. Total Muestra
Frecuencia del control Aceptados
Mínima Ampliación (con ampl.)
(tolerancia)
Promedio de la Promedio de Promedio de Promedio de

Cuándo Ocurre / Eventual
Frecuencia la Frecuencia la Frecuencia la Frecuencia
Control Continuo
25 15 40 1
(varias veces en un día)
Control Diaria 25 15 40 1
Control Semanal 5 N/A 5 0
Control Quincenal 3 N/A 3 0
Control Mensual 2 N/A 2 0
Control Trimestral 2 N/A 2 0
Control Semestral 1 N/A 1 0
Control Anual 1 N/A 1 0
Ejemplo de selección:
Todos los elementos

Ejemplo de selección:
Elementos especcíficos
Ejemplo de
selección:
Aleatorio
• Riesgo de muestreo (NIA 530):
Riesgo de que la conclusión del auditor basada en una muestra pueda diferir de la que obtendría
aplicando el mismo procedimiento de auditoría a toda la población. El riesgo de muestreo puede
producir dos tipos de conclusiones erróneas:
• En el caso de una prueba de controles, concluir que los controles son más eficaces de lo que
realmente son. El auditor se preocupará principalmente por este tipo de conclusión errónea debido
a que afecta a la eficacia de la auditoría y es más probable que le lleve a expresar una opinión de
auditoría inadecuada.
• En el caso de una prueba de controles, concluir que los controles son menos eficaces de lo que
realmente son. Este tipo de conclusión errónea afecta a la eficiencia de la auditoría puesto que,
generalmente, implica la realización de trabajo adicional para determinar que las conclusiones
iniciales eran incorrectas.
7. Papeles
de trabajo
7.1 Características
Emisión de
✓ Facilitar la planificación y ejecución del informe
trabajo de auditoría.
✓ Permitir al equipo rendir cuenta de su
trabajo.
Documentación
✓ Mantener un archivo de cuestiones suficiente en todas
significativas para auditorías futuras. las fases de la
auditoría
✓ Soportar inspecciones externas de
conformidad con los requerimiento Planificación Ejecución
legales, reglamentarios u otros que sean
aplicables.
7.1 Características
Oportunidad en la preparación de los papeles de trabajo
• Evidencia suficiente que la auditoría se planificó y ejecutó de conformidad con las políticas y
metodología aplicada por la Compañía, documentación apropiada del trabajo realizado.
Procedimientos aplicados y evidencia obtenida

• Documentación suficiente y apropiada para que facilite la revisión y evaluación de la evidencia
NIA y conclusiones del auditor, entender la naturaleza y extensión de los procedimientos de la
auditoria llevados a cabo, y asuntos importantes, o juicios profesionales alcanzados; debido a
230 que la documentación puede estar sujeta a revisiones externas.
Archivo final
• Almacenamiento físico, electrónico, digital, etc, que contienen los papeles de trabajo de la
auditoría realizada. El tiempo establecido para la compilación de acuerdo con las mejores
prácticas, es de 60 días después del dictamen del auditor. Los papeles de trabajo se deben
retener por un periodo mínimo de 5 años a contar desde la fecha del informe de auditoría, lo
cual esta alineado con las normas fiscales en Colombia.
7.2 Buenas prácticas
✓ Cada papel de trabajo debe contener como mínimo, nombre de la prueba, objetivo, alcance, fecha,
procedimientos, fuente de origen de la información, resultados y conclusiones.
✓ La documentación debe responder a los procedimientos y objetivos planteados
✓ La conclusión debe estar de acuerdo con los objetivos planteados
✓ La documentación debe quedar totalmente amarrada con planillas iniciales de resumen, anexos u otros
papeles de trabajo.
✓ La documentación debe ser completa, concreta, fácil de entender y no redundante
✓ En caso de un litigio ese papel puede ser utilizado como defensa nuestra
✓ Cualquier persona la puede entender. (Ejemplo: un abogado). ―"los papeles de trabajo deben hablar"
✓ Los papeles de trabajo en cada fase de auditoría son finalizados y revisados de forma oportuna
✓ Es recomendable la existencia de políticas para efectuar revisiones de calidad del trabajo efectuado antes
de que se entreguen los reportes.
✓ La documentación debe quedar firmada por la persona que la elabora y la persona que la revisa con la
fecha en la que se completó cada trabajo.
7.2 Buenas prácticas
✓ Los papeles de trabajo físicos deben contener una referenciación.
✓ En caso de PT’s digitales se pueden utilizar técnicas como hipervínculos para amarrar PT’s, bien sea dentro de
los mismos archivos o a otros PT´s digitales.
✓ Los papeles de trabajo deben contener marcas de auditoría.
✓ Todos los temas deben quedar totalmente cerrados.
✓ Los papeles que anexamos deben ser realmente relevantes.
✓ En la documentación no es necesario incluir los borradores de papeles de trabajo que reflejen razonamientos
incompletos o preliminares.
✓ Los hallazgos deben quedar en los respectivos papeles de trabajo
✓ La documentación del auditor debe quedar almacenada en medios electrónicos o papel.
✓ Deben existir políticas de archivo y retención de los papeles de trabajo que se utilizaron para documentar el
reporte emitido.
✓ Los papeles de trabajo, en lo posible, deben ser preparados y revisados durante la auditoría con el fin de evitar
que queden incompletos.
✓ La extensión de los papeles de trabajo va de acuerdo al alcance del trabajo y al juicio profesional de cada
auditor
7.3 Papeles de trabajo electrónicos
1. Acceso restringido a los equipos de cómputo (equipos personalizados).
2. Acceso restringido al software de auditoría (mediante el uso de usuarios y claves de acceso).
3. Acceso restringido al archivo de auditoría, únicamente, al personal asignado al trabajo.
4. Políticas de cierre de archivos de auditoría y su almacenamiento.
5. Políticas de apertura y/o acceso a archivos electrónicos ya almacenados.
6. Derechos de acceso a personal encargado de administrar los archivos de auditoría.
7. Políticas de respaldo de archivos, tanto del equipo de auditoría como de la totalidad de los archivos que
manejan.
8. Políticas de acceso a los archivos electrónicos, vía accesos remotos.
9. Seguridad en las instalaciones y servidores encargados de mantener los archivos electrónicos.
10. Seguridad física de los equipos centrales y respaldo fuera de las instalaciones, etc.
8.1 Comunicaciones
Asuntos relacionados con recomendaciones y planes de acción, riesgos y otros asuntos específicos
Discusión de asuntos específicos de
auditorías internas
de las auditorías internas, serán resueltos en primera instancia con el dueño del proceso y en
segunda instancia con la Dirección Ejecutiva.
Aprobación y cambios al plan de Los cambios al plan de auditoría serán planteados conjuntamente con la Dirección Ejecutiva y
auditoría presentados para aprobación del Comité de Auditoría.
La información confidencial que requiera la auditoría interna para la ejecución del trabajo será
Manejo de información solicitada a quien sea el responsable de dicha información. La consulta de papeles de trabajo de
confidencial auditoría interna que sea requerida por terceros (Revisoría fiscal u otros auditores, entes externos
de vigilancia y control, ect) debe ser solicitada y autorizada por escrito.
Informes a la dirección Se ejecutarán reuniones de seguimiento periódicas con la ala dirección
Los informes incluirán: objetivos, alcance, observaciones de las auditorías, recomendaciones, planes
Estructura de informes
de acción de las áreas y la fecha esperada de implementación
Los informes se auditoría interna se emitirán dentro de la semana siguiente a la finalización del
Emisión de informes
trabajo de campo. Sujetos a la oportunidad de la respuesta por parte de las áreas.
8.1 Comunicaciones ► Realizar reunión de cierre de la auditoría con los responsables del proceso en donde se
expondrán los resultados indicando:
▪ Hallazgos y recomendaciones
Objetivo ▪ Cualquier circunstancia que se haya presentado y hubiere afectado la ejecución del trabajo.
► Preparar el informe con los resultados de la auditoria describiendo:
Efectuar la comunicación ▪ Objetivo de la auditoria
▪ Alcance
de los resultados de la ▪ Resumen ejecutivo
Auditoría. ▪ Hallazgos y recomendaciones
► La presentación del informe debe considerar la guía establecida por la Compañía en donde se
establecen por ejemplo las palabras que no se deben usar en los informes.
Las comunicaciones deben
incluir los objetivos y ► Presentar informe final del resultado de la auditoría al responsable del proceso con el objetivo
de que establezcan los planes de acción de cada uno de los hallazgos e incorporarlos al
alcance del trabajo así informe.
como las conclusiones ► Los planes de acción deben considerar la actividad a ejecutar, el responsable y las fechas de
correspondientes, las inicio y fin del plan de acción.
recomendaciones y los ► Actualizar el mapa de riesgo residual.
planes de acción. (Norma ► Evaluación interna de resultados de la Auditoría.
IIA 2400) ► Lecciones aprendidas
8.2 Hallazgos de Auditoría
Según el estándar No. 3 de la PCAOB se A continuación se describen los principales aspectos a tener
establece lo siguiente, respecto de la en cuenta en la generación de hallazgos:
documentación de los hallazgos de ✓ Determina puntualmente la deficiencia
auditoría:
✓ Establecer las posibles causas que originaron el hallazgo
✓ Además de la documentación ✓ Determinar el efecto/impacto negativos que produce el
necesaria para respaldar las hallazgo
conclusiones finales del auditor, ésta ✓ Obtener comentarios de las personas u organismos
debe incluir la información que el directamente interesados, que pueden estar afectados en
auditor ha identificado en relación con forma adversa por el hallazgo.
los hallazgos significativos ✓ Determinar las conclusiones de auditoría, con base en la
evidenciados. evidencia acumulada y los comentarios de los afectados
✓ Los papeles de trabajo que deben y/o interesados.
conservarse, incluyen los ✓ Determinar las acciones correctivas, disposiciones o
procedimientos realizados que recomendaciones que permitan introducir mejoras sobre
soportan los hallazgos identificados. las causas originadoras del hallazgo.
Definición
• La palabra hallazgo, tiene muchos significados y connotaciones,

además transmite una idea diferente a diversas personas.
• En auditoría, se les considera en un sentido crítico y se refiere a

“cualquier situación deficiente y relevante que se determine y/o
identifique y que pueda y/o haya asociado la materialización de un
riesgo” y/o materialización de una aserción sobre el reporte
financiero.
los hallazgos
Atributos de
►Título ►Efecto
►Situación ►Causa
►Criterio ►Recomendación
Título:
– Describe brevemente de forma objetiva y específica el asunto de que trata el hallazgo.
Situación:
– Describe los hechos concretos que revelan qué no se cumplió, de acuerdo con la evidencia verificada.
▪ Datos sobre qué se examinó
▪ Información de fechas, importes, cantidades
▪ Descripción de transacciones o procesos.
▪ Frase introductoria: El examen de xxx evidenció que …
▪ Específico (no mezclar dos situaciones en un párrafo)
▪ Evitar incluir palabras imprecisas (EJ.:Algunos, bastantes, pocos, varios, en ocasiones, en el futuro o pasado, nadie,
ninguno, todos, siempre, nunca).
Criterio:
– Norma y/o atributo referente utilizada para evaluar la situación específica
Estándares: (Leyes, Reglamentos, Guías, Acuerdos, Contratos)
Indirectos o Implícitos, Experiencia, Opinión de un perito, Normas de control interno, Metas y objetivos programáticos, uso y
costumbre de la industria
Efecto
– Es la consecuencia real o potencial de no haber cumplido con uno o mas criterios
y lo que ello significa para el interés público y/o de la compañía.
▪ Pérdida de ingresos
▪ Gasto indebido
▪ Ineficacia al realizar un trabajo
▪ Desmoralización del personal
▪ Pérdida de imagen o de prestigio
Causa
– La razón fundamental que motivó al incumplimiento
▪ Falta de supervisión adecuada
▪ Inobservancia o inconsistencia al aplicar las leyes o reglamentos
▪ Falta de planificación y organización
▪ Ausencia de comunicación de las decisiones y de la norma
▪ Falta o deficiencia en el control interno
▪ Guías inadecuadas, obsoletas o imprácticas.
▪ Deshonestidad, descuido o negligencia del personal.
Recomendaciones
Son las consideraciones sugeridas por el equipo auditor, con el fin de dar cubrimiento al impacto y/o causa que originó el
hallazgo y el riesgo asociado.
– Propósito
▪ Mejorar los procesos
▪ Indicar que se cumpla con las recomendaciones o planes de acción de las auditorías anteriores.
▪ Indicar que hay que cumplir con las leyes y reglamentos
– Deben ser:
▪ Específicas, claras y precisas
▪ Ser prácticas – Costo/Beneficio
▪ Dirigidas al empleado con autoridad para resolver o implantar la recomendación
A continuación se describen algunas de las principales

barreras y/o fallas en la efectiva redacción de hallazgos
– Falta de información. Taller práctico 6 –

– Percepción de que la redacción es una tarea Redacción de hallazgos y
compleja e ineficiente. elaboración de informes
– Malos hábitos y actitudes.

– Temor a comprometerse con la información.
– Limitación de tiempo
– Deficiencias en la supervisión
8.3 Concepto y propósito de los informes de auditoría
► Concepto
El informe de auditoría, es el documento final del proceso de auditoría, que consolida el resultado de la
revisión y el cumplimiento del plan de auditoría.
► Propósitos
► Registrar los resultados de la auditoría adelantada

► Describir de manera precisa, clara y concisa los hallazgos y planes de acción determinados
► Comunicar e informar la opinión sobre la razonabilidad de los estados financieros (auditorías
financieras), y la efectividad del control interno.
► Servir (si aplica) a los órganos de control y vigilancia del Estado y/o terceros
El informe debe cumplir con los siguientes aspectos:
Preciso:
• Es conveniente ser exacto (puntual) en cada frase y en el informe completo. Su redacción debe ser sencilla, clara, ordenada,
coherente y en orden de importancia.
Conciso:
• La redacción debe ser breve pero sin omitir lo relevante, la brevedad permite mayor impacto. Así mismo, debe incluir la causa,
el efecto, y aspectos que muestren claramente el impacto que tiene la situación detectada así como los riesgos asociados.
Objetivo:
• Todos los hallazgos deben reflejar una situación real, manejada con criterios técnicos, analíticos e imparciales
Soportado:
• Las afirmaciones, conceptos, opiniones y hallazgos, deben estar respaldadas con evidencia válida, suficiente, pertinente y
competente
Oportuno:
• Debe cumplir los términos de elaboración, consolidación, entrega, comunicación y publicidad
Informes de Auditoria Detallados:
► Proceso evaluado
► Objetivo de la Auditoria
► Fecha de la auditoria
► Alcance de la Auditoria
► Período evaluado (si aplica)
► Resumen de los procedimientos efectuados
► Hallazgos / Oportunidades de Mejoramiento
► Planes de Acción (Incluye compromiso, responsable, fecha inicio, fecha fin, equipo de apoyo, prioridad,
inversión necesaria)
► Adjunto a cada informe se anexa la documentación generada durante el conocimiento y evaluación de los
procesos, la cual incluye:
► Caracterización del Proceso

► Flujos de alto nivel
► Inventario de riesgos
► Inventario de controles
► Mapas de riesgos inherentes y residual
Informes de Auditoria Ejecutivos:
► Proceso evaluado
► Objetivo de la Auditoria
► Fecha de la auditoria
► Alcance de la Auditoria
► Período evaluado (si aplica)
► Mapa de Riesgo Residual del Proceso
► Conclusiones de principales fortalezas y debilidades (Hallazgos /
Oportunidades de Mejoramiento)
► Principales Planes de Acción
Comunicación y validación de resultados
La comunicación de resultados se realiza a través de reuniones

programadas y se entregan informes detallados y/o ejecutivos con los resultados
correspondientes.
Comité Nota
de auditoría Se deben preparar memorandos
como evidencia de la entrega
Presidente
oportuna de los informes a las
partes interesadas y/o
Vicepresidentes correspondientes.
Gerentes / Directores
Dueños de proceso
Entregables y/o Documentación

► Acta de la reunión de presentación de resultados y cierre de la auditoría.
► Informe de hallazgos y recomendaciones.
► Formato de Plan de Acción y Seguimiento.
► Mapa de Riesgo Residual actualizado.
► Encuestas de satisfacción del cliente y evaluación de la calidad de la

Auditoría.
Actividades a desarrollar
▪ Monitorear el envío oportuno de los planes de acción por parte de los responsables de los procesos auditados.
▪ Evaluar el plan de acción propuesto verificando que contenga toda la información, considerando la oportunidad y
adecuación del plan de acuerdo a las observaciones.
▪ Si algunas observaciones y recomendaciones resultan ser tan significativas que requieran acción inmediata por
parte de la dirección o del consejo de administración, se deben vigilar las acciones tomadas hasta que la
observación se haya corregido o la recomendación se haya implementado.
▪ Recibir por parte de los responsables el estado de avance de la implementación de los planes con el fin de evaluar
su cumplimiento.
▪ Definir el alcance de las pruebas a ejecutar para verificar el cumplimiento de los planes de acción.
▪ Del resultado de la verificación se debe informar al responsable del proceso, alta dirección y el Consejo.
▪ Definir plan detallado para la implementación de los planes de acción por parte de los Dueños de Procesos
▪ Generar periódicamente los informes de seguimiento a planes de acción por parte del equipo de Auditoria
Interna (a partir de información registrada en una base de datos de seguimiento)
▪ Identificar incumplimientos y obstáculos en la implementación de planes de acción
Descripción del Plan de Acción
Compromiso adquirido Responsable Equipo de

Presupuesto (si se Fecha de
por el dueño de proceso del Plan de Trabajo de Prioridad Fecha de Inicio
requiere) Finalización
/ gestor de riesgo Acción Apoyo
Descripción de los
compromisos por
actividades
Seguimiento
Porcentaje de
Compromiso – Actividades Observaciones Nuevos
Estado cumplimiento del Revisado Por
en el plan de acción por actividad Requerimientos
compromiso
Actividad No. 1 Ejecutado De las x Actividades • Gestor de riesgo /

Actividad No. 2 En Proceso cuantas se han cumplido dueño de proceso
No Implementada de acuerdo con las fechas • URO
establecidas
▪ Validar los resultados de los seguimientos con los Dueños de Procesos
▪ Definir conjuntamente con Dueños de Procesos de nuevos compromisos, si se requiere
▪ Registrar el estado de los compromisos en la base de datos de seguimiento (en progreso,

cerrado, sin ejecutar)
▪ Elaboración de informes con resultados del seguimiento
▪ Comunicar formalmente los resultados del seguimiento a las Vicepresidencias, Presidencia y al

Comité de Auditoria
▪ Comunicación de los resultados del seguimiento al equipo de auditoria interna con el fin de
actualizar los de mapas de riesgos (perfil de riesgos)
GRACIAS.

Presentación - Auditoría Interna Basada en Riesgos - VF

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Presentación - Auditoría Interna Basada en Riesgos - VF

Cargado por

Copyright:

Formatos disponibles

AUDITORÍA INTERNA

▪ Celulares y computadores no se requieren

▪ Expectativas de los servicios

Taller práctico 1 – Comparación de

Administración Conocimiento Financiero

Cultura organizacional orientada

a la administración del riesgo

• Operativos Definición de la estructura de

• Estratégicos Mejoramiento Continuo del SAR

se sostiene y mejora por la

Evaluar el significado de riesgo para los objetivos de negocio

Enlace de riesgos con Procesos de Negocio

Enlace objetivos de negocio con riesgos

Evaluar gerencia y control de actividades

Entendimiento de las Auditorías

•Soportar a la administración en la identificación de riesgos potenciales en las

•Revisar la suficiencia de los controles establecidos para procurar el cumplimiento de

•Evaluar la confiabilidad y seguridad de la información financiera y gerencial, así como

•Identificar oportunidades de mejoramiento a través del desarrollo del plan de

•Hacer seguimiento a las recomendaciones realizadas para verificar su implementación

Entendimiento del proceso Mapa de riesgos

▪ Riesgos del proceso

▪ Realizar una prueba de recorrido con el objetivo de confirmar el

➢ Fraude vs. error - una cuestión de intención

EEFF / Reportes fraudulentos Apropiación indebida de activos

Racionalización o Justificación Efecto sobre la seguridad

me trata mal” etc.

Riesgo al que la Compañía se ve Incluyen iniciativas, políticas, Riesgo al que la Compañía se ve

Objetivos Operativos Riesgos de Procesos

PROCESOS / PROYECTOS CONTROLES

El resultado de la combinación de la probabilidad

Muy Alto Alto Moderado Bajo

▪ Definición de políticas y procedimientos.

Personas: Es el conjunto de colaboradores vinculados directa o indirectamente con

Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una Institución.

Riesgo Estratégico: Se asocia con la forma en que se administra la

Riesgo Operativo: Es la posibilidad de incurrir en pérdidas por deficiencias,

Riesgo de cumplimiento: contempla la sanción legal y normativa

Riesgo de autonomía: Referido al riesgo de que La Gerencia y la Junta Directiva de

C ▪ Fraude Interno: ▪ Fraude Externo:

Consiste en definir las acciones

RIESGO INHERENTE Evaluación de Controles RIESGO RESIDUAL

Proceso / Subproceso: Clase de Riesgo:

Riesgo del proceso:

Diagrama de flujo de Nómina Matriz de riesgos

Aproximadamente el 30% de los costos de procesos

Aproximadamente el 40% de los controles se

Intentos de optimizar controles se han concentrado

Sólo el 3% de los ejecutivos han automatizado

Son actividades diseñadas para  Prevenir ocurrencia de errores

Muestra de un flujo de proceso

Inicio Actividad 1 Si/No Actividad 4 Actividad 5 Fin

A Nivel de Unidad de Negocio

► Los controles existen en varios

•Código de ética y conducta •Políticas y procedimientos •Actividades de monitoreo

Controles liderados por la alta Transaction/process

Establecen el ambiente de control Control environment

OBJETIVO ACTIVIDADES A DESARROLLAR

Resultado Adecuado No adecuado Adecuado con observación

• Provista por un tercero o un ente externo. Incluir?

• Quién nos suministra la

Está operando de acuerdo

Ejecución de Pruebas de Recorrido

▪ Proceso al cual pertenece el control