Auditoría Interna

Metodología de Auditoría Interna

Docente Jonathan Jacome

Auditoría Interna
CONTENIDO

Ciclo de la Gestión de Auditoría Interna

Desarrollo del modelo de Riesgo

Universo de Auditoria

Desarrollo del plan de Auditoria Interna

Tipos de Riesgo

Matriz de Riesgo y Mapa de Calor

1. Ciclo de la Gestión de Auditoría Interna
(Metodología)
El siguiente diagrama muestra cada una de las etapas:
La Gestión de Auditoría
Interna constituye todos
aquellos pasos que son
necesarios llevar a cabo para
garantizar el cumplimiento del
Rol de Auditoría Interna, la
misma se desarrolla en ciclos
anuales que se retroalimentan
hacia futuro, promoviendo la
madurez del modelo de
evaluación de auditoría.
2. Desarrollo del modelo de Riesgo

El AI es responsable de establecer los lineamientos generales para la definición de

planes de auditoria basados en los riesgos de la entidad, a fin de determinar las
prioridades de la actividad de auditoría interna. Dichos planes deberán ser
consistentes con las metas de la organización.

Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización,

incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las
diferentes actividades o partes de la organización. Si no existe tal enfoque, el director
ejecutivo de auditoría utilizará su propio juicio sobre los riesgos después de consultar
con la alta dirección y el Consejo.
2.1 Universo de Auditoria

El universo de
auditoria es la
lista de todos
los elementos
sujetos a ser
auditados.
2.2 Evaluación de Riesgos

El análisis de riesgos proporciona la orientación necesaria en la preparación de

auditorías basadas en riesgo. La auditoría interna debe centrar sus actividades
iniciales en las áreas, procesos y/o sub procesos de alto riesgo. Este proceso de
análisis y priorización se aplica a todos los elementos del universo de auditoria.

Después de contar con un entendimiento amplio del negocio y de sus objetivos

estratégicos, el propósito del auditor es identificar, analizar y evaluar los riesgos a los
que está expuesta la organización, y para lo cual debe proceder a realizar una
valoración de los mismos, orientado tanto a los objetivos de la organización como a
aquellos eventos de fraude.
Evaluación de Riesgos

Dentro del proceso de evaluación de riesgos el Auditor debe considerar lo siguiente:

 Si la organización trabaja en la gestión de riesgos (planeación, organización,

dirección, ejecución y seguimiento de procesos, actividades y estrategias tendientes a
la identificación, evaluación, monitoreo y control de los riesgos) el auditor debe
solicitar la última evaluación de riesgos realizada, identificando cuándo se realizó, el
alcance, quién la realizó y cómo la realizaron, de tal forma que concluya sobre la
idoneidad de dicha evaluación, determinando que dichos riesgos realmente se
alinean con los objetivos y planes de la organización.
2.2 Evaluación de Riesgos

Dentro del proceso de evaluación de riesgos el Auditor debe considerar lo siguiente:

 En caso que la organización no realice una estimación de riesgos, se deberá realizar

una evaluación de riesgos por parte de Auditoria Interna a nivel de los procesos de la
entidad. En dicha situación la estimación de riesgos de Auditoría Interna deberá
comunicarse a la administración, de tal forma que los conceptos de riesgos sean un
lenguaje único con la administración. Durante la definición de riesgos, se debe
evaluar la inclusión de riegos de fraude.

La estimación correcta de los riesgos permite al Auditor Interno, focalizarse en aquellas

áreas que para la administración tiene un impacto importante dentro de los objetivos de
la organización.
2.2 Evaluación de Riesgos

El modelo de riesgo aplicado por la Auditoria Interna, comprende una evaluación en dos
etapas del proceso;

2) Etapa de entendimiento de los

procesos auditados, con el
1) Etapa de la definición del
objetivo de establecer los
plan de trabajo de la auditoria
objetivos específicos y las pruebas
interna, con el propósito de
de auditoria.
definir las frecuencias de las
auditorias y el destino de los
recursos en tres años;
3. Desarrollo del plan de Auditoria Interna

La etapa de planeación debe permitir a la Función de Auditoría Interna alcanzar sus

objetivos en la forma más eficiente posible, así como dar cubrimiento a las expectativas
de la organización. El plan puede ser revisado de manera continua y, en caso de ser
necesario, el mismo podrá ser modificado previa aprobación del Comité de Auditoria.

El AI es responsable de definir los lineamientos generales para la determinación del

alcance de los planes de trabajo de las entidades, bajo un enfoque de riesgo. Los AI, son
responsables por la definición de los planes de trabajo anuales. Los planes de trabajo se
definirán por un período de 3 años, y serán revisados anualmente para ajustarlos a los
cambios del entorno, los negocios y los riesgos de las entidades.
3.1. Objetivos de la Planeación

La planeación implica elaborar la estrategia de auditoría de forma regular (anualmente)

así como orientarla a los principales riesgos y expectativas de la organización. Los
objetivos de la planeación son:

1. Obtener un entendimiento del negocio de la entidad, su ambiente circundante (industria), políticas y

prácticas desarrolladas.
2. Entender los objetivos de la organización.
3. Realizar la valoración de riesgos de la organización.
4. Entender los controles generales relevantes de la entidad.
5. Identificar aquellos procesos con debilidades y los cuales pueden tener oportunidades de mejora.
6. Desarrollar la estrategia de auditoría involucrando el resultado de la valoración de riesgos identificados,
los objetivos de la organización y los procesos con oportunidades de mejora importantes, de tal forma
que se determinen el nivel de prioridades a auditar.
7. Definir oportunamente los recursos necesarios para el cumplimiento del plan.
8. Actualizar de acuerdo a los cambios en la organización el Plan de Auditoria.
Tipos de
Riesgos
Matriz de Riesgos

Área Descripción Tipo de

Entidad Proceso Probabilidad Impacto Total Riesgo
Funcional del Riesgos Riesgo

Parámetros Escalas de Riesgos

Entre 1 y 2.99 R. Insignificante 1 R. Insignificante
Entre 3 y 4.99 R. Bajo 2 R. Bajo
Entre 5 y 9.99 R. Moderado 3 R. Moderado
Entre 10 y 19.99 R. Alto 4 R. Alto
Entre 20 y 25 R. Critico 5 R. Critico
Matriz de Riesgos

MAPA DE CALOR
5 5 10 15 20 25
4 4 8 12 16 20
IMPACTO
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
0 1 2 3 4 5
VULNERABILIDAD

Parámetros
Escalas de Riesgos
Entre 1 y 2.99 R. Insignificante
1 R. Insignificante
Entre 3 y 4.99 R. Bajo 2 R. Bajo
Entre 5 y 9.99 R. Moderado 3 R. Moderado
Entre 10 y 19.99 R. Alto 4 R. Alto
Entre 20 y 25 R. Critico 5 R. Critico