AUDITORÍA

Normas éticas

Integridad, Objetividad, Confidencialidad. Competencia → 12 reglas de conducta: hacer las cosas

con honestidad; no involucrarse en actividades ilegales; revelar la info; formarse; usar info
prudentemente, etc.

Normas técnicas: mejoran el grado de uniformidad de las prácticas de auditoría. AUDITORÍA

INDEPENDIENTE.

NAGAS: responsabilidades y funciones del auditor independiente. Debe tener capacidad

profesional, ser independiente, cuidadoso y técnico.

El trabajo de auditoría debe contemplar:

• Planificación y supervisión del proceso de auditoría
• Definición de riesgos e importancia relativa de estos
• Ejecución de pruebas sustantivas antes de la fecha de cierre de los EEFF
• Consideraciones en la estructura de control interno
• Evidencias de auditoría
• Papeles de trabajo
• Muestreo en la auditoría
Informes financieros deben cumplir con las políticas contables generalmente aceptadas (PCGA)

Normas de atestiguación: proporcionan estándares de calidad y los objetivos a ser alcanzados en

ese trabajo. Siempre mantener independencia. El profesional identificará que será evaluado y dejará
reflejado en el informe la conclusión respecto a la materia evaluada, indicando las salvedades
significativas acerca del trabajo, además de la intención de este informe.

Responsabilidad legal: Según la Ley 18.045 del Mercado de Valores, el art. 59 establece penas de
presidio menor en su grado medio a presidio mayor en su grado mínimo a quienes entreguen
informes falsos sobre la situación financiera de una empresa. También se penalizará a quienes hagan
uso indebido de información privilegiada. La Ley 18.046 para Sociedades Anónimas, el art. 134,
establece pena de presidio menor en su grado medio a máximo, por declaraciones o informes que
indujeren en errores a los accionistas y externos. Se establece multa de hasta 4000 UF al fisco.

Proceso de Auditoría:

1. Definición de AI: objetivos stakeholders, reunir info del negocio y operaciones básicas.
Entender estrategia y conocer los reportes de control existentes para ver riesgos.
2. Planificación: identificación de riesgos. Riesgos estratégicos definidos por la dirección de la
empresa. Riesgos operacionales los que pueden afectar los objetivos de las actividades.
Evaluación de riesgos criterios para interpretar los riesgos, ver nivel de este. Cómo se hará.
Se revisarán los controles que se prueban mediante pruebas que se documentan. Luego se
ven las causas y se definen posibles acciones correctivas. Observaciones: criterio, condición,
causa, efecto, recomendación, comentarios de la adm. y valoración de la observación. AMB
3. Ejecución de AI: pruebas y etapas asociadas (crear, guardar, hacer informes)
4. Informe de AI: Conclusiones en relación con los objetivos de la auditoría. Objetivas y
consistentes.
5. Seguimiento: monitoreo de recomendaciones periódico para comprobar cumplimiento.
 AUDITORÍA

Control Interno

Plan de organización y métodos y medidas tomadas para salvaguardar sus activos, asegura
la exactitud y confiabilidad de su info financiera, promover la eficiencia operacional y
promover adherencia a las políticas establecidas por la administración.
Lo llevan a cabo personas, aporta un grado de seguridad razonable, no total a los directivos.

Informe COSO 2013: objetivo de control interno en tres tipos:

- Operaciones: mejoras. Incluidas prácticas ambientales y satisfacción al cliente.
- Reportes: informes para grupos de interés, info financiera y no, interna o externa.
- Cumplimiento: normas min. de conducta. Leyes y normativas a RRHH u otras que deben ser
cumplidas por la organización.

El informe COSO tiene 5 componentes:

1. Entorno de control: conductas que enmarcan el accionar de una entidad. Relacionado

con los valores y la cultura organizacional. Integridad y valores éticos; independencia
y supervisión por parte del consejo; definición de estructuras; retener personas
competentes alineadas con los objetivos; individuos son responsables de sí.
2. Evaluación de riesgos: conocer y abordarlos, se establecen mecanismos para
identificar, analizar, y tratarlos.
3. Actividades de control: políticas y procedimientos que la dirección ha establecido para
cumplir con los objetivos. Se llevan a cabo en todos los niveles de la entidad y en las
distintas etapas.
4. Información y comunicación: la adm. obtiene o genera y utiliza la información relevante
y de calidad tanto de fuentes internas y externas para apoyar el funcionamiento del CI.
La interna es cuando se difunde la información a la organización y la externa permite la
entrada de información importante de otras partes.
5. Supervisión: permite determinar la calidad del CI, además de tener una visión externa
del día a día y permite estar al tanto de los cambios ocurridos en el entorno.
Evaluaciones globales; comunica deficiencias de control interno.

GESTIÓN DE RIESGOS

Tipos de Riesgo:

- Sistemático/no diversificable: incertidumbre global del mercado.

- Riesgo propio/diversificable: depende de las características de la empresa.
- Estratégico: eventos ext. y tendencias que pueden afectar el crecimiento de la comp.
- Operacional: pérdida debido a la inadecuación o a fallo de los procesos u otros.
- Legal: sanciones, indemnizaciones por incumplimiento de normas o regulaciones.
- Reputacional: imagen pública.
- Tecnológico: pérdidas por fallas en la tecnología.
- De crédito: pérdida de activos por baja calificación crediticia.
- De mercado: pérdida por fluctuaciones de los precios del mercado.
- De liquidez: pérdida potencial por actos que afecten la capacidad de disponer recursos.
 AUDITORÍA

COSO ERM

Objetivos:

- Estrategia: obj. de alto nivel, alineados con la misión y prestándole apoyo.

- Operaciones: uso eficaz y eficiente de los recursos de la entidad.
- Información: fiabilidad de los informes de la entidad.
- Cumplimiento: de leyes y normas aplicables a la entidad.

La gestión de riesgos considera 8 componentes:

1. Ambiente interno: base de los componentes, proporciona disciplina y estructura, influye en

el establecimiento de la estrategia y los objetivos. Consejo de administración y estructura
organizativa. Debe haber alto compromiso por parte de la alta dirección.
2. Establecimiento de objetivos: se centra en la coherencia de metas y objetivos. El riesgo
aceptado es una orientación para establecer los objetivos. Crecimiento-riesgo-rendimiento.
3. Identificación de eventos de riesgo:
4. Evaluación de riesgos: posibilidad de ocurrencia y efecto de los eventos de riesgo
(frecuencia, severidad, seriedad o consecuencia)
5. Respuesta al riesgo: EVITAR, REDUCIR, COMPARTIR, ACEPTAR.
6. Actividades de control: políticas y procedimientos definidos para mitigar riesgos y alcanzar
objetivos.
7. Info y comunicación: la información será necesaria para identificar, evaluar y responder a
los riesgos, además permite dirigir a la entidad y conseguir los objetivos. La comunicación
debe ser clara y eficaz y además se debe contar con canales alternativos para comunicar
situaciones que presenten riesgos.
8. Supervisión: todo se supervisa y se realizan las modificaciones necesarias para reaccionar
dinámicamente. Dependerá de la significancia de los riesgos, de la importancia de las
respuestas y controles.

ISO 31000

El propósito de la gestión del riesgo es la creación y la protección del valor. Mejora el desempeño,
fomenta la innovación y contribuye al logro de objetivos.

Los principios son el fundamento de la gestión del riesgo y se deberían considerar cuando se
establece el marco de referencia y los procesos de la gestión del riesgo de la organización:

1. Integrada: La gestión del riesgo es parte integral de todas las actividades de la organización. Debe
estar integrada en la gestión de las entidades.

2. Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la gestión del riesgo

contribuye a resultados coherentes y comparables.

3. Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y son

proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.
 AUDITORÍA

4. Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que se

consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de
conciencia y una gestión del riesgo informada.

5. Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos
externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a
esos cambios y eventos de una manera apropiada y oportuna.

6. Mejor información disponible: Las entradas a la gestión del riesgo se basan en información
histórica y actualizada, así como en expectativas. La gestión del riesgo tiene en cuenta
explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La
información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.

7. Factores humanos y culturales: El comportamiento humano y la cultura influyen

considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.

8. Mejora continua: La gestión del riesgo mejora continuamente mediante aprendizaje y

experiencia.

Este modelo de gestión de riesgo, posee también un marco de referencia, que tiene como propósito
asistir a la organización en integrar la gestión del riesgo en todas sus actividades y funciones
significativas. El desarrollo del marco de referencia implica integrar, diseñar, implementar, valorar
y mejorar la gestión del riesgo a lo largo de toda la organización.

La eficacia de la gestión del riesgo dependerá́ de su integración en el gobierno de la organización,

incluyendo la toma de decisiones. Los componentes del marco de referencia y la manera en la que
trabajan juntos, deberían adaptarse a las necesidades de la organización.

El proceso de la gestión del riesgo implica la aplicación sistemática de políticas, procedimientos y

prácticas de gestión de riesgos. Este proceso debería ser una parte integral de la gestión y de la toma
de decisiones y se debería integrar en la estructura, las operaciones y los procesos de la
organización.
 AUDITORÍA

AUDITORÍA TIC

Auditoría de Sistemas:

Riesgo Tecnológico es el potencial que una determinada amenaza tecnológica pueda explotar las
vulnerabilidades de un activo y causar pérdidas o daños a la empresa.

Amenaza: Hecho probable que puede producir un daño provocado por un evento natural
(terremoto, ciclón, temporales, etc.) u originado por la actividad humana (antrópico: incendios,
atentados y/o fraudes). Ejemplo de amenazas tecnológicas son: errores, fallas de hardware o
software, daños intencionales, fraudes, robo, pérdidas operativas, entre otros.

Vulnerabilidad o falta de control: Puntos débiles del software, sistemas y/o infraestructura que
permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo.
Ejemplo de vulnerabilidades son: falta o desactualización de procedimientos, configuraciones
deficientes, faltas de controles en procesos o accesos, falta de registros de accesos, de políticas de
respaldo o de una infraestructura de contingencia.

Ej amenazas: Errores en la fase de planificación anual de auditoría, ya que no se han incluido

revisiones a la seguridad de los servicios web.

Ej vulnerabilidad o falta de control: Falta de un procedimiento de planificación anual que incluya

en el análisis de riesgos las debilidades declaradas por los gerentes de área. // Falta de un
procedimiento de planificación anual que incluya el estado de situación de los reclamos o
incidencias declarados por los clientes.

Ej. Pruebas: Revisar que los procedimientos utilizados para elaborar el plan anual de auditoría
incluyen el análisis de los reclamos o inquietudes de los gerentes. // Validar que en la estimación
del riesgo residual del proceso de elaboración del plan anual de auditoría se realizan análisis de los
reclamos o inquietudes de los gerentes. // Revisar que los procedimientos utilizados para elaborar
el plan anual de auditoría incluyen, el análisis de los reclamos o incidencias declaradas por los
clientes. // Validar que en la estimación del riesgo residual del proceso de elaboración del plan anual
de auditoría se realizan análisis de los reclamos o incidencias declaradas por los clientes.

Ej. Recomendación:

Situación: Si bien, el área de auditoría cuenta con una metodología para elaborar su plan anual,
dicha metodología no contempla la incorporación de las opiniones o reclamos de los gerentes y
clientes en la estimación del riesgo residual de los procesos contenidos en el universo auditable.

Riesgos: No considerar las opiniones o reclamos de los gerentes y clientes en la estimación del riesgo
residual puede provocar que, por error en la estimación del mismo, no se incluyan procesos críticos
en el plan anual de auditoría.

Observación: Incluir en la metodología utilizada para estimar el riesgo residual de los procesos a
auditar las opiniones y reclamos o incidentes declarados por los gerentes y clientes del Banco.

PROGRAMA DE TRABAJO

Riesgos; Objetivo General; Objetivo Específico; Pruebas; Conclusiones.

 AUDITORÍA

Control Interno Tecnológico

Son políticas, prácticas y estructuras organizacionales designadas para proporcionar una razonable
seguridad de que los objetivos del negocio serán alcanzados y que los eventos indeseables serán
prevenidos, detectados y/o corregidos.

Objetivos de CI:

1. Integridad de los datos

a. La información es una imagen fiel de la realidad.
b. Fiabilidad o confiabilidad de la fuente.
c. Completitud e integridad del flujo.
d. Conciliar los sistemas transaccionales y financieros.

2. Disponibilidad de sistemas
a. Definir procedimientos de contingencia que ante cualquier falla nos diga que hacer.
b. Contar con la infraestructura técnica adecuada.
c. Contar con herramientas para monitorear la operatividad.

3. Confidencialidad de la información
a. Control de acceso.
b. Se previene la modificación no autorizada de la información.
c. El acceso a los sistemas exige identificación.
d. Los usuarios mantienen el mínimo privilegio.
e. Procedimientos de validación de accesos y privilegios de los usuarios.

4. Salvaguarda de activos
a. La información de los sistemas automatizados esté protegida y actualizada

5. Registro de actividad
a. Control de eventos: trazabilidad de eventos críticos
b. Pistas de auditoría: detección de modificaciones
c. Revisión: análisis de información recogida

6. Efectividad y eficiencia
a. Los sistemas entregan información relevante, oportuna, consistente y utilizable.
b. La información es generada optimizando el uso de recursos.

7. Cumplimiento normativo
a. Los sistemas incluyan lo estipulado en las leyes, reglamentos y acuerdos, tanto internos como
externos.

8. Confiabilidad del proceso

a. Los sistemas deben entregan información apropiada para la toma de decisiones.
 AUDITORÍA

Tres líneas de defensa

Primera línea: se encarga de implementar las acciones correctivas y del mantenimiento efectivos
de los controles día a día. Adicionalmente, se debe cumplir con el objetivo fundamental de control
interno; aseguramiento de cumplir con los objetivos de la empresa.
Segunda línea: establece diversas funciones de gestión y cumplimiento para ayudar a construir y/o
monitorear los controles de la primera línea. Rinde cuenta directamente al directorio y a los órganos
del gobierno en ciertas situaciones.
Tercera línea: Entrega a los directivos y alta administración, garantía objetiva y global de que la
información y operación de línea 1 y 2 es razonablemente adecuada, mostrando un grado de
independencia a la empresa.

El control interno, como se mencionó anteriormente tiene como objetivo mitigar el riesgo a través
del establecimiento de controles. Estos se clasifican en:
- Preventivos: Detectan problemas antes que aparezcan, evitan la ocurrencia de errores,
omisiones o actos maliciosos. Ejemplo: segregación de funciones; mensajes de error en
cintas; validación de consistencia; cualificación del personal; control de acceso; uso de
software de encriptación.
- Detectivos: Permiten revelar e informar la ocurrencia de un error, omisión o acto
fraudulento. Ejemplos: verificación de cálculos; auditoría interna; totales de comprobación;
validación de entrada de datos; reportes de rendimiento; revisión de logs.
- Correctivos: Minimiza el impacto de una amenaza, remedia problemas descubiertos por los
controles detectivos, identifica las causas de un problema, corrige errores y modifica los
sistemas de procesamiento para minimizar futuros problemas. Ejemplo: plan de
contingencia; procedimientos de respaldo; reversas de operaciones; reejecución de
procesos.
- Compensatorios: Mitiga la falta de controles automáticos.

Auditoría de Sistemas

Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema o proceso

informatizado cumple con salvaguardar los activos, mantiene integridad de datos, cumple con la
normativa, es eficaz, lleva a cabo los objetivos de la empresa, mantiene un adecuado control y tiene
planes de contingencia.

Una vez analizados los riesgos y sus controles se deben realizar pruebas de auditoría, para probar
estos controles y las aseveraciones contables. Con esto, se busca generar evidencia que debe estar
documentada en papeles de trabajo. Estos documentos deben cumplir con ser: suficiente,
relevante, independiente, fiable, objetiva y adecuada.

- Pruebas de cumplimiento: Recopilar evidencia para probar el cumplimiento de las políticas

y procedimientos de control (Control interno).
- Pruebas sustantivas: Recopila evidencia para evaluar la integridad de las transacciones y la
consistencia y exactitud de los registros financieros (Saldos)
Cuando las pruebas de cumplimiento son satisfactorias, se puede optar por no realizar las pruebas
sustantivas dependiendo de la empresa. Esto debido a que, se cree que un buen control interno
permite que las transacciones de la compañía no posean grandes errores.
 AUDITORÍA

Gobierno de Tecnología de Información

Auditoría recomienda mejores prácticas, asegura el cumplimiento de iniciativas, y valida objetivos.

Las políticas, estándares y procedimientos contienen la dirección de la gerencia en el desarrollo de

controles sobre los sistemas de información, recursos y procesos.

Las políticas (Por qué) son documentos de alto nivel que representan la filosofía de la empresa, son
claras y concisas y deben ser revisadas periódicamente. Son creadas, desarrolladas y promulgadas
por la gerencia, y los empleados deben ser capacitados para que entiendan los lineamientos
contenidos en estas políticas. Estas deben apoyar los objetivos del negocio y la implementación de
controles de TI.

Los estándares (Qué) son los criterios o requisitos mínimos aceptables para la operación de procesos
específicos, con el fin del asegurar la calidad en la presentación de los servicios. Señalan el
comportamiento esperado y deseado en los empleados, y son utilizados como guías para evaluar su
funcionamiento y lograr el mejoramiento continuo. Se debe realizar un seguimiento y control de los
estándares.

Los procedimientos (Cómo) son pasos detallados que se definen y documentan para implementar
políticas. Deben ser claros y concisos, generalmente son dinámicos dependiendo de cómo cambia
el entorno. Los auditores deben revisar los procedimientos para identificar, evaluar y probar los
controles definidos.

Gestión de Riesgos: identificación y análisis de vulnerabilidades y amenazas sobre los recursos.

Existen cuatro estrategias de gestión de riesgos, que son evitar (no implementar actividades
riesgosas), mitigar (reducir la probabilidad o impacto del riesgo), transferir (compartir el riesgo) o
aceptar (no se toman medidas). También se puede ignorar o rechazar el riesgo, pero esto puede ser
altamente riesgoso.
Para llevar a cabo un correcto proceso de gestión de riesgos, se debe establecer el propósito del
programa (disminuir riesgos, costos, número de accidentes), definir indicadores de desempeño y
evaluar los resultados para determinar la efectividad del programa.
Desarrollo y Mantenimiento de Sistemas: si no hay controles adecuados en el proceso de
adquisición o desarrollo de sistemas se puede afectar la:
- Efectividad, ya que los proyectos pueden no cumplir con lo definido por las unidades de
negocio.
- Eficiencia dado que se pueden realizar inadecuadas evaluaciones de costos, tiempos y
recursos.
- Integridad de la información, ya que se pueden introducir rutinas no solicitadas por el
usuario.
- Confidencialidad, por el nivel de participación del área de seguridad de información en las
fases del proyecto.

Los principales problemas en el desarrollo de sistemas son retrasos en la planificación, deterioro de

sistemas, gran cantidad de defectos, aplicaciones que no cumplen con los objetivos establecidos,
cambios del negocio que generan que las aplicaciones no cubran nuevas necesidades.
 AUDITORÍA

Actividades: alineación estratégica; caso de negocio; atención de clientes; plan tecnológico; ciclo de
vida de productos.
Los proyectos, deben pasar por las actividades mostradas anteriormente:

Factibilidad: Análisis de los beneficios y la relación con la estrategia del negocio, riesgos asociados,
si se satisfacen las necesidades, si mejora algún sistema y si el proyecto es compatible con la
infraestructura.

Definición de requerimientos: El proyecto debe estar relacionado con la estrategia a largo plazo, se
debe describir cómo funciona el proyecto, como este interactúa con otros sistemas, que controles
de seguridad son necesarios. Debe existir participación de las gerencias y los usuarios, además de
un documento formal de requerimiento

Diseño (Desarrollo): Desarrollar diagramas de flujos, describir entrada y salidas de información

(interfaces), determinar la estructura de los archivos o tablas, considerar la Inter operatividad con
los sistemas e infraestructura existente, desarrollar planes de prueba de desarrollo y desarrollar
planes de conversión de datos.

Selección (Adquisición): Procedimiento de licitación, si la solución es conocida, procedimiento de

generación de propuesta, si la solución es específica, metodología de adquisición (evaluación de
propuestas e identificación y estudio de soluciones), organizar presentaciones de prototipos del
sistema, evaluar situación financiera y gestión de recursos humanos del proveedor y términos
contractuales mediano y largo plazo.

Desarrollar (Desarrollo): Dependiendo de la envergadura se define un comité de proyecto, se

desarrolla la funcionalidad del proyecto de acuerdo con el diseño, metodología y requerimientos de
calidad.

Configurar (Adquisición): De acuerdo con los requerimientos de control, procedimientos de prueba

e implementación, plan de capacitación. Debe haber una portabilidad a la arquitectura de
información de la empresa y una interoperabilidad con las aplicaciones y bases de datos.

Implementación: Se debe contar con ambientes separados, realizar pruebas de sistemas, ejecutar
conversión de datos, ejecutar la conversión de datos, formalizar la aceptación usuaria y
promocionar las aplicaciones al ambiente productivo.