Ejecución de Proyectos de Auditoría

Ejecución Proyectos de Auditoría Interna
Primavera 2017
Auditoria Interna
• DEFINICIÓN AUDITORÍA INTERNA: Es una actividad independiente
y objetiva de aseguramiento y consulta concebida para agregar
valor y mejorar las operaciones de una organización.
• Ayuda a una organización a cumplir con sus objetivos mediante un

enfoque sistemático y disciplinado para evaluar y mejorar la
eficiencia de los procesos de gestión de riesgos, control y gobierno
corporativo.
Cumplimiento con los Estándares del AI
Los estandares fueron creados para:
• Delinear los principios básicos que representan la práctica de auditoria interna

• Proveer una estructura para desarrollar y promover la generación de valor
agregado de la función de auditoria interna
• Establecer las bases para la evaluación del desempeño de auditoria interna
• Fomentar la mejora de procesos y de la operación
Cumplimiento con los Estándares del AI
• Definir el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna.
• Independencia y objetividad.
• Conocimientos, habilidades y competencias requeridos.
• Ejercitar el debido cuidado profesional.
• Promover el desarrollo profesional continuo.
• Promover el aseguramiento de la calidad y la mejora de la actividad de la auditoría

interna.
• Cumplir y promover el cumplimiento del Código de Ética del IIA.

Cumplimiento con los Estándares
del AI
• Marco para la Práctica Profesional (PPF)
– Proporciona un diseño estructural de cómo se estructura un cuerpo de

conocimientos y una guía.
– Propósito: organizar una gran variedad de guías para la práctica de AI existente y

aquella en desarrollo, de tal forma que sean accesibles en forma oportuna para los
auditores internos.
– Ayudar a los profesionales a ser responsables, al prestar un servicio de auditoría

interna de alta calidad.
Cumplimiento con los Estándares
del AI
• NORMAS OBLIGATORIAS
• CODIGO DE ETICA: Promover una cultura ética en la profesión de AI.
• Principios relevantes para la profesión y práctica de la AI.

– Reglas de Conducta: Normas de comportamiento que se espera sean observadas por los AI.
Ayuda para interpretar los principios en aplicaciones prácticas. Guiar la conducta de los AI.
• NORMAS PROFESIONALES
– NORMAS DE ATRIBUTOS (De la 1000 a 1322)
– NORMAS DE DESEMPEÑO ( De la 2000 a 2600)
– NORMAS DE IMPLANTACION (Integrada con anteriores, pero separando aseguramiento y
consulta)
Código de Ética
• CODIGO DE ETICA: Se aplica tanto a las personas como a las entidades que prestan servicios
de auditoría interna.
• Principios
– Integridad: provee la base para confiar en su juicio.
– Objetividad: Evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios
sin dejarse influir indebidamente por sus propios intereses o por otras personas.
– Confidencialidad: Respetan el valor y la propiedad de la información que reciben y no divulgan
información sin la debida autorización, a menos que exista una obligación legal o profesional
para hacerlo.
– Competencia: Los A.I. aplican el conocimiento, aptitudes y experiencia necesarios al
desempeñar los servicios de auditoría interna.
Código de Ética
• Integridad:
– Honestidad, diligencia y responsabilidad
– Respetarán las leyes y divulgarán lo que corresponde de acuerdo con ley y la

profesión.
– No participarán a sabiendas en una actividad ilegal o en actos que vayan en

detrimento de la profesión de auditoría interna o de la organización.
– Respetarán y contribuirán a los objetivos legítimos y éticos de la organización

Código de Ética
• Objetividad:
– No participarán en ninguna actividad o relación que pueda perjudicar o aparente

perjudicar su evaluación imparcial. Incluye aquellas que puedan estar en conflicto
con los intereses de la organización.
– No aceptarán nada que pueda perjudicar o aparente perjudicar su juicio profesional.
– Divulgarán todos los hechos materiales que conozcan y que, de no ser divulgados,
pudieran distorsionar el informe de las actividades sometidas a revisión.
Código de Ética
• Confidencialidad:
– Serán prudentes en uso y protección de la información adquirida en el transcurso de su
trabajo.
– No utilizarán información para lucro personal o de alguna manera que fuera contraria a la ley o
en detrimento de los objetivos legítimos y éticos de la organización.
• Competencia:
– Participarán sólo en aquellos servicios para los cuales tengan los suficientes conocimientos,
aptitudes y experiencia.
– Desempeñarán todos los servicios de auditoría interna de acuerdo con las Normas
Internacionales para el Ejercicio Profesional de la Auditoría Interna.
– Mejorarán continuamente sus aptitudes y la eficacia y calidad de sus servicios.
Estándares para la Profesión
• Estatuto: Propósito, Autoridad y Responsabilidad (1000-1)
• Debe ser adecuados para permitir a auditoría interna lograr sus objetivos. Escrito y
Reevaluado periódicamente.
– Misión y Alcance
– Responsabilidad
– Independencia
– Autoridad
– Normas para el Ejercicio de la Auditoría Interna
• Nivel de Reporte suficiente para cumplir sus responsabilidades (Niveles Superiores:

Consejo-Directorio).
• El Director Ejecutivo de Auditoría (DEA) debe tener comunicación permanente con

dichos niveles superiores (Gobierno Corporativo).
• Comité de Auditoría compuesto sólo por miembros externos al Consejo o Equivalente,

de modo de mejorar la independencia de AI y Externa.
• Norma 1000 – Propósito, Autoridad y Responsabilidad.
• Independencia y Objetividad (Norma 1100)
– Independencia es de la actividad de Auditoría Interna y Objetividad es del Auditor

Interno en lo individual.
• Independencia: (Norma 1110)
– Responder a un nivel jerárquico que permita cumplir las responsabilidades de A.I.

– Libre de injerencias al determinar el alcance de auditoría interna, al desempeñar su trabajo y al
comunicar sus resultados.
• Objetividad:(Norma 1120)
– Actitud imparcial y neutral

– Evitar conflicto de intereses
• Impedimentos a la independencia u objetividad: (Norma 1130)
– Si se viese comprometida de hecho o apariencia, detalles deben darse a conocer a las partes
correspondientes.
• Estatutos, Independencia, Objetividad…Cont..
• Los A.I. deben abstenerse de evaluar (aseguramiento) operaciones específicas de las

cuales hayan sido previamente responsables. (Año inmediatamente anterior).
• Los trabajos de aseguramiento (auditoría) para funciones por las cuales el DEA, tiene
responsabilidades, deben ser evaluadas por alguien fuera de la actividad de auditoría
interna.
• Por ejemplo, si hubieran en Auditoría Interna, responsabilidades de cumplimiento.

• Pericia Profesional (Norma 1210)
– Atributos de los Auditores Internos como individuos y de la actividad de auditoría

interna como organización, que permiten brindar sus servicios con pericia
profesional.
– Los auditores internos deben reunir los conocimientos, las aptitudes y otras
competencias necesarias para cumplir con sus responsabilidades individuales.
– La actividad de auditoría interna, colectivamente, debe reunir u obtener los

conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus
responsabilidades.
• Pericia Profesional…….
– Obtener asesoramiento competente y asistencia si el personal de auditoría interna

carece de los conocimientos, las aptitudes u otras competencias necesarias para
llevar a cabo la totalidad o parte del trabajo.
– El auditor interno debe tener suficientes conocimientos para identificar los

indicadores de fraude, pero no es de esperar que tenga conocimientos similares a
los de aquellas personas cuya responsabilidad principal es la detección e
investigación del fraude.
• Debido Cuidado Profesional (Norma 1220)
– A.I. deben cumplir su trabajo con el cuidado y la pericia que se esperan de un

auditor interno razonablemente prudente y competente. El debido cuidado
profesional no implica infalibilidad.
– Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras

competencias mediante la capacitación profesional continua.
• El auditor interno debe ejercer el debido cuidado profesional al considerar:
– El alcance necesario para lograr los objetivos del trabajo.

– La relativa complejidad, materialidad o significatividad de asuntos a los cuales se
aplican procedimientos de aseguramiento.
– La adecuación y eficacia de los procesos de gestión de riesgos, control y gobierno.
– La probabilidad de errores materiales, irregularidades o incumplimientos.
– El costo de aseguramiento en relación con los potenciales beneficios.
• Estandar 1230. Desarrollo profesional continuo

• Coordinación (Norma 2050)

– El director ejecutivo de auditoría debe compartir información y coordinar actividades con otros
proveedores internos y externos de aseguramiento y servicios de consultoría relevantes para
asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos.
• Aseguramiento de Calidad (Norma 1300)

– El director ejecutivo de auditoría debe desarrollar y mantener un programa de aseguramiento
de calidad y mejora que cubra todos los aspectos de la actividad de auditoría interna y revise
continuamente su eficacia. Este programa incluye:
• Evaluaciones de calidad externas e internas periódicas y

• Supervisión interna continua.
• Aseguramiento de Calidad..continuación….
– Proceso para supervisar y evaluar la eficacia general del programa de calidad. Este proceso
debe incluir tanto evaluaciones internas como externas.
• Evaluaciones Internas
– Revisiones continuas del desempeño de la actividad de auditoría interna
– Revisiones periódicas mediante autoevaluación o mediante otras personas dentro de la
organización, con conocimiento de las prácticas de auditoría interna y de las Normas.
• Evaluaciones Externas
– Deben realizarse evaluaciones externas al menos una vez cada cinco años por un revisor o
equipo de revisión cualificado e independiente, proveniente de fuera de la organización.
• Reporte sobre el Programa de Calidad
• El director ejecutivo de auditoría debe comunicar los resultados de las evaluaciones externas al
Consejo.
• Utilización de “Realizado de Acuerdo con las Normas”
• Se anima a los auditores internos a informar que sus actividades son "realizadas de acuerdo con
las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna".
• Sin embargo, los auditores internos podrán utilizar esta declaración sólo si las evaluaciones del
programa de mejoramiento de calidad demuestran que la actividad de auditoría interna cumple
con las Normas.
• Aseguramiento de Calidad..continuación….
• Declaración de Incumplimiento (1322)
• Si bien la actividad de auditoría interna debe lograr el cumplimiento total de las Normas
y los auditores internos deben lograr el cumplimiento total del Código de Ética, puede
haber casos en los cuales no se logre el cumplimiento total.
• Cuando el incumplimiento afecte el alcance general o el funcionamiento de la actividad

de auditoría interna, debe declararse esta situación a la dirección superior y al Consejo.
• El nivel de la Auditoría Interna mejora mediante:
– Productos de Calidad
– Evitar preocupaciones por lo NO IMPORTANTE
– Comprender todas las áreas de la Organización
– Enfatizar competencia y profesionalismo de los AI : Ocuparse de aquellos servicios
que tienen conocimiento, habilidades y competencia
– Ofrecer colaboración para resolver problemas gerenciales.
– Ver todas las recomendaciones con los ojos de la alta dirección.
– Mantenerse a la delantera en técnicas de gestión modernas: Asistencia a la
dirección.
Planificación, Riesgo y
Comunicaciones
• Planificación (Norma 2010)
– El director ejecutivo de auditoría debe establecer planes basados en los riesgos, a fin de
determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser
consistentes con las metas de la organización.
– Evaluación de riesgos realizada anualmente.
– Tener en cuenta los comentarios de la alta dirección y del Consejo.
• Comunicación y Aprobación (Norma 2020)

– El DEA debe comunicar los planes y requerimientos de recursos de la actividad de A. interna,
incluyendo los cambios provisorios significativos, a la alta dirección y al Consejo para la
adecuada revisión y aprobación.
– El director ejecutivo de auditoría también debe comunicar el impacto de cualquier limitación de
recursos.
Comunicaciones
• Comité de Auditoría
– Subcomité integrado por directores externos independientes de la administración.
– Ayudar a mantener la independencia de los auditores internos y externos respecto
de la dirección.
– Asegurar que los directores estén ejerciendo el debido cuidado
• Características y Responsabilidades
• Funciones del Comité de Auditoría

Comunicaciones
• Administración de Recursos (Norma 2030)
• El director ejecutivo de auditoría debe asegurar que los recursos de auditoría interna
sean adecuados, suficientes y efectivamente asignados para cumplir con el plan
aprobado.
• Los planes de personal y presupuestos financieros, incluyendo la cantidad de auditores

y los conocimientos, técnicas y competencias exigidos para desempeñar su trabajo,
deben ser determinados partiendo de la planificación de trabajos, de las actividades
administrativas, de las exigencias de formación y preparación, y de los esfuerzos de
desarrollo e investigación sobre auditoría.
Comunicaciones
• Administración de Recursos
• El DEA debe establecer un programa para la selección y el desarrollo de los recursos humanos de
la actividad de Auditoría Interna. El programa debe contemplar:
– La descripción escrita de los puestos de trabajo, para cada nivel del personal de auditoría.
– La selección de personal cualificado y competente respecto de las áreas a auditar y las
habilidades de auditoría interna a aplicar.
– La capacitación, y proporcionar oportunidades de educación continua para cada auditor
interno.
– Establecer objetivos anuales de desempeño para los auditores internos.
– La evaluación del desempeño de cada auditor interno al menos una vez al año.
– Proporcionar consejo a los auditores internos sobre su desempeño y desarrollo profesional.
Comunicaciones
• Administración de Recursos
– El director ejecutivo de auditoría debe considerar la utilización de personal a partir de
acuerdos de externalización conjunta (co-sourcing), otros consultores, o empleados de otros
departamentos de la compañía, para proporcionar habilidades especializadas o adicionales
cuando sea necesario.
– Fuentes de Personal
– Técnicas de Entrevista y Examen
– Capacitación del Personal
– Evaluación del Personal
• Políticas y Procedimientos (Norma 2040)

– El director ejecutivo de auditoría debe establecer políticas y procedimientos para guiar la
actividad de auditoría interna.
Comunicaciones
• Políticas y Procedimientos (Norma 2040)
– Manuales para el personal de la compañía.
– Objetivos y Metas
– Políticas de Personal
• Manuales de Auditoría (Técnicos)

– Guías
– Tipos de Trabajos
– Alcance de Trabajos
– Papeles de Trabajo
• Temas técnicos Especiales

– Auditoría Tecnológica
– Muestreo
– Investigación de Fraude
– Manuales de Políticas y Procedimientos administrativos para la actividad de auditoría interna.
Norma 2000: Administrando la Función
de AI
Norma de Planificación. 2010
Conocimiento de Gestión de Riesgos Ambiente Interno
• Auditar la función de riesgos
• Ejecutar la gestión de riesgos Definición de Objetivos
• Sin participación de gestión de riesgos
Identificación de Eventos
Práctica 2010-2. Usando la gestión de riesgos
en planificación de AI
Evaluación de Riesgos
Respuesta al Riesgo
Actividades de Control
Información y Comunicación
Monitoreo
Modelo Alternativo Riesgo Operacional
COSO ERM es aplicable en Ambiente Interno

la identificación y gestión
Definición de Objetivos
de riesgo estratégico.
Identificación de Eventos
Para riesgo operacional en
algunos casos requiere un Evaluación de Riesgos
ajuste.
Respuesta al Riesgo
Información y Comunicación
Monitoreo
Riesgos Inherentes y Residual
Verificación Financiera del

Cliente
Alto
Monitoreo de situación
Pérdidas por financiera del cliente Pérdidas por
no pago de no pago de
clientes Ajuste de línea de crédito clientes
otorgada
Impacto
Solicitud de Garantías
Medio
Seguros
Pérdidas por Pérdidas por

no pago de no pago de
clientes clientes
Bajo
Bajo Medio Alto

Probabilidad
Evaluación de Riesgos
Criterios de Evaluación Riesgo
Operacional
Frecuencia Formal
Riesgo
Actividad de
Riesgo Inherente Oportunidad Capacitado Residual
Control
Por Diseño
Pertinencia Aceptado
Pruebas de Control o Cumplimiento
Riesgo Residual Definitivo
Pruebas Sustantivas (Auditoría)

Respuesta: Y que hacer con los riesgos?
ALTO Transferir Evitar
BAJO
Aceptar Mitigar
BAJO ALTO
• Tipos de Control (Antes):

– Preventivos
– Detectivos
– Correctivos
• Tipos de Control (Ahora):

– Preventivos
– Detectivos
– Directivos
Mejor Actividad de Control
Evaluación de Controles
Se desarrollará un modelo para la evaluación
de los controles diseñados e implementados
para la administración, que permita
determinar lo adecuado del diseño y su
efectividad. Se basa en nuestra metodología
de evaluación que se presenta a
continuación:
Evaluación de los Riesgos Estratégicos
Ejemplo Riesgo Externo
Nos Teno Reñaca
45% 27% 15%
Conflicto con la
Riesgo Externo
comunidad. (RSE)
8% 1%
4%
Lontué Victoria Parral / Talca
Este riesgo contempla los posibles conflictos que se pueden generar en la relación con los stakeholders relevantes, en
cada zona relevante para alcanzar los objetivos de la compañía.
• Impacto: Interrupción operacional, pérdida de permisos para operar, pérdida de permisos para operar, Daño a la
imagen de la compañía.
• Probabilidad: Requerimientos no tratados de stakeholders, nuevos proyectos, expansión de instalaciones, nuevas
comunidades, descubrimiento de sitios históricos, arqueológicos y/o de relevancia para las comunidades,
sanciones recurrentes, etc.
Ejemplo Riesgo Externo
41
Ejemplo Riesgo Mixto
Filtraciones Filtraciones
25 10
50% 35%
Secreta Confidencial
50% 30%
Filtración al
mercado de
Riesgo Externo
información
confidencial
15% 5%
Crítica Clasificada
15% 15%
Filtraciones
Filtraciones
1
1
42
Riesgo de Información
43
Universo Auditable
Resultados de Auditorias Previas
Factores de Riesgos (Importancia y Cambios)
Link entre Riesgos Estratégicos y Procesos
Riesgos Estratégicos
Politics
2
2
Economy
2
2
2
Disaster
Macro
Environment
Crisis / Conflicts
Link entre Riesgos Estratégicos y Procesos
Litigations
Fraud & Corruption
1
1
1
1
1
1
1
1
1
Compliance
Legal &
P olicy L andscape
Regulations
Partners
Organization
Procurement
2
2
2
2
2
2
2
IT Service
Support
Business
IT Security
1
Business Portfolio
Business Plan
2
2
2
2
2
Planning
Projects
Reputation
1
Communication
CSR
Image
Corporate Brand
Imports
2
New E ntrants
Identificación y Evaluación de Riesgos
Year Planning 2010
Main Menu
Reports to Create Configuration
Processes and Sub-Processes Priority Parameters
IA Risk List
Scope Definition for IA Plan
IA Plan Template
Audit Universe Create Template for New Period
Start with the Risk Assessment for IA Planning

Prioridad de Procesos y
Subprocesos
Group Company:
Segment:
Period:
Priority of Sub-processes
Processes Sub-processes In the Scope Priority Result

1. Marketing and Sales 1.3 Pricing (incl. rebates and discounts) Y 1 70
1. Marketing and Sales 1.4 Selling and account management Y 1 69
1. Marketing and Sales 1.6 Sales service Y 1 67
8. Purchasing 8.4 Purchasing of goods & services Y 1 66
2. Manufacturing 2.4 Inventories Y 1 66
2. Manufacturing 2.2 Maintenance Y 1 63
6. Human Resources 6.2 Payroll Y 1 55
8. Purchasing 8.5 Contracting services Y 1 54
8. Purchasing 8.2 Vendor selection Y 2 54
5. Finance & Controlling 5.3 Accounts receivables & credit mgt. Y 2 53
3. Logistics 3.1 Terminal operations Y 2 49
1. Marketing and Sales 1.5 Sales order management Y 2 48
5. Finance & Controlling 5.1 Treasury and cash management Y 2 48
5. Finance & Controlling 5.9 Capital expenditure Y 2 46
6. Human Resources 6.5 Loans and advances Y 2 46
5. Finance & Controlling 5.6 Financial accounting & fixed assets Y 2 46
3. Logistics 3.2 Intra-company shipping Y 2 46
6. Human Resources 6.8 Health & Safety Y 2 45
5. Finance & Controlling 5.2 Accounts payables Y 2 44
3. Logistics 3.3 Shipping to customers Y 2 44
5. Finance & Controlling 5.7 Cost accounting & controlling Y 2 43
2. Manufacturing 2.7 AFR Y 2 43
5. Finance & Controlling 5.8 Taxation Y 2 42
8. Purchasing 8.1 Strategy and policy Y 2 42
8. Purchasing 8.3 Requisitions and approvals Y 2 41
5. Finance & Controlling 5.4 Insurance management Y 2 38
8. Purchasing 8.6 Receiving and returns Y 3 36
6. Human Resources 6.3 Commissions and incentives Y 3 34
6. Human Resources 6.4 Employee benefits Y 3 32
6. Human Resources 6.6 Personnel records Y 3 31
Asignación de Recursos para el Plan
Group Company: Back to Menu
Segment:
Period:
Generate Report
Total number of project days 217
Days required for Follow up -
Total available to perform IAP 217
Days Contracted
In Audit Scope
Acumulated
Field Work
Post Audit
Pre Audit
Priority
Total
To be Included in the
Processes Subprocesses IA Plan
1. Marketing and Sales 1.3 Pricing (incl. rebates and discounts) 3 15 3 21 21 Included 1 Y
1. Marketing and Sales 1.4 Selling and account management 3 16 5 24 45 Included 1 Y
1. Marketing and Sales 1.6 Sales service 3 6 3 12 57 Included 1 Y
8. Purchasing 8.4 Purchasing of goods & services 2 20 3 25 82 Included 1 Y
2. Manufacturing 2.4 Inventories 3 20 3 26 108 Included 1 Y
2. Manufacturing 2.2 Maintenance 2 22 3 27 135 Included 1 Y
6. Human Resources 6.2 Payroll 2 15 3 20 155 Included 1 Y
8. Purchasing 8.5 Contracting services 2 15 3 20 175 Included 1 Y
8. Purchasing 8.2 Vendor selection 3 10 3 16 191 Included 2 Y
5. Finance & Controlling 5.3 Accounts receivables & credit mgt. 3 20 3 26 217 Included 2 Y
3. Logistics 3.1 Terminal operations 3 20 3 26 243 Not Included 2 Y
1. Marketing and Sales 1.5 Sales order management 3 12 3 18 261 Not Included 2 Y
5. Finance & Controlling 5.1 Treasury and cash management 3 12 3 18 279 Not Included 2 Y
5. Finance & Controlling 5.9 Capital expenditure 3 10 3 16 295 Not Included 2 Y
6. Human Resources 6.5 Loans and advances 3 10 3 16 311 Not Included 2 Y
5. Finance & Controlling 5.6 Financial accounting & fixed assets 2 10 5 17 328 Not Included 2 Y
3. Logistics 3.2 Intra-company shipping 3 20 3 26 354 Not Included 2 Y
6. Human Resources 6.8 Health & Safety 3 15 3 21 375 Not Included 2 Y
5. Finance & Controlling 5.2 Accounts payables 3 20 4 27 402 Not Included 2 Y
3. Logistics 3.3 Shipping to customers 3 20 4 27 429 Not Included 2 Y
5. Finance & Controlling 5.7 Cost accounting & controlling 3 20 4 27 456 Not Included 2 Y
2. Manufacturing 2.7 AFR 3 15 4 22 478 Not Included 2 Y
5. Finance & Controlling 5.8 Taxation 3 10 3 16 494 Not Included 2 Y
Proceso estándar para la emisión del Reporte Final: Regla de los 30 días
1 2
~ 2 días 2 semanas Si
Reunión Reporte Comentarios Reporte
de Cierre Borrador De la Final
Gerencia
No
Informes con mas de 30 días
1- El Reporte Borrador debe estar listo
idealmente en la reunión de cierre -------------------------
Recordar 3
Informes emitidos
2- 2 días para preparar el Reporte Borrador
1 semana
3- El mail para recordar el plazo de los
comentarios es enviado por AI Comentarios Si Reporte
De la Final
Gerencia
No
Informes sin acciones
El ciclo desde la reunión de cierre Reporte Final sin
puede tomar máximo 30 días ! Comentarios -------------------------
De la Gerencia
Informes emitidos
Reporte de Hallazgos y Conclusión
Calificación de hallazgos
• Los hallazgos de auditoria interna, pueden corresponder a:

– Controles ausentes
– Controles incorrectamente diseñados
– Controles que no operan como fueron diseñados
– Riesgos materializados
• Cada hallazgo se califica en tres niveles:

– Alto. Nivel de exposición a riesgos por sobre los niveles tolerables
– Medio. Nivel de exposición a riesgos por sobre los niveles aceptables, y bajo el nivel de intolerancia
– Bajo. Nivel de exposición bajo el nivel aceptable. Se presenta un hallazgo como oportunidad para
mejorar el proceso o eficiencia del proceso
Calificación de Auditoría Interna
• El resultado final de la revisión de auditoria interna, se presenta en un resumen

ejecutivo, calificando el sistema de control interno en concordancia con los hallazgos
detectados:
– Débil. El sistema de control interno implementado en el proceso evaluado, no permite
mitigar los riesgos, exponiendo a la organización a niveles intolerables de riesgos
– Requiere Mejora. El sistema de control implementado en el proceso evaluado, requiere
mejoras para mitigar riesgos a niveles aceptables
– Satisfactorio. El sistema de control implementado en el proceso evaluado, permite mitigar
adecuadamente los riesgos, existiendo oportunidades para mejorar la eficiencia de los
controles y/o procesos
– Bueno. No existen hallazgos a informar
Comentarios de la Gerencia: Principio SMART
Las acciones acordadas con la Gerencia y Comentarios deben seguir el principio SMART, es
decir:
▪ Specific (Específico)
▪ Measurable (Medible)
▪ Achievable (Alcanzable)
▪ Responsible person (Persona Responsable)
▪ Time (Plazo)
Principio Importante:
No incluir “justificaciones” en Comentarios de la Gerencia !

Reporte de Hallazgos y Conclusión
Seguimiento
Manual de Auditoría Interna
Versión Fecha Realizado por: Aprobado por:
Auditoría Interna Página 1 de 42

PROCESO DE AUDITORÍA 4
1 DEFINICIÓN DE AUDITORÍA INTERNA 6

1.1 OBJETIVO DE LA ETAPA 6
1.2 DESCRIPCIÓN DE LAS ETAPAS Y ENTREGABLES 6
1.3 EXPLICACIÓN DE LAS ETAPAS 7
1.3.1 EXPECTATIVAS DE LOS STAKEHOLDERS 7
1.3.2 ENTENDER EL NEGOCIO Y LAS OPERACIONES BÁSICAS 8
1.3.3 EXPLICACIÓN DE LOS ENTREGABLES – ARCHIVO PERMANENTE DE AUDITORÍA INTERNA 9
2 PLANIFICACIÓN 11
2.1 EL PROCESO DE GESTIÓN DE RIESGOS 12
2.1.1 DEFINICIÓN DE UNIVERSALIDAD 14
2.1.2 JERARQUÍA Y CLASIFICACIÓN DE RIESGOS 15
2.1.3 FACTORES DE PONDERACIÓN DE PROCESOS Y SUBPROCESOS 16
2.1.4 IDENTIFICACIÓN DE RIESGOS 18
2.1.5 EVALUACIÓN DE RIESGOS 21
2.1.6 EVALUACIÓN DE RIESGOS ESTRATÉGICOS 23
2.1.7 NIVEL ACEPTABLE E INTOLERABLE DE RIESGO 23
2.1.8 PRIORIZACIÓN DE LOS PROCESO Y SUBPROCESOS 23
3 INFORME DE AUDITORÍA INTERNA 29

3.1 OBJETIVOS 29
3.2 DESCRIPCIÓN DE LAS ETAPAS Y ENTREGABLES 29
3.3 EXPLICACIÓN DE LAS ETAPAS 30
3.3.1 RESUMIR RESULTADOS DE LA AUDITORÍA Y DE LAS SOLUCIONES PROPUESTAS 30
3.3.2 REALIZAR UNA REUNIÓN DE CIERRE E INTENTO DE CONSENSO 30
3.3.3 PREPARAR REPORTE BORRADOR DE AI DE LA COMPAÑÍA 31
3.3.4 RECIBIR COMENTARIOS Y PLANES DE ACCIÓN DE LA ADMINISTRACIÓN 31
3.3.5 EMISIÓN DEL INFORME FINAL DE AUDITORÍA INTERNA DE LA COMPAÑÍA 34
3.4 FORMATOS DE INFORME DE AI, DISTRIBUCIÓN DE INFORME DE AI 34
3.4.1 INFORME DE AUDITORÍA INTERNA DE LA COMPAÑÍA 34
3.4.2 RESUMEN ANUAL INFORME DE AI 36
3.4.3 CARGA DE INFORME A PENTANA 36
4 SEGUIMIENTO DE AUDITORÍA INTERNA 39

4.1 OBJETIVOS 39
4.2 DESCRIPCIÓN DEL PROCESO 39
4.2.1 COMUNICACIÓN DE IMPLEMENTACIÓN DE ACCIONES COMPROMETIDAS 39

4.2.2 EJECUCIÓN DE AUDITORÍA DE SEGUIMIENTO 39
5 MUESTREO ESTADÍSTICO. 41
5.1 DETERMINACIÓN DE TAMAÑO DE LA MUESTRA 41
5.2 SELECCIÓN DE REGISTROS DE LA MUESTRA. 42

Proceso de Auditoría
El procesos de auditoría interna, describe como las empresa determinan lo que se espera
de la función de Auditoría, determinar las prioridades en base a riesgos, ejecutar proyectos
de auditoría, comunicar los resultados y realizar seguimiento de las actividades
comprometidas por la gerencia en cada revisión.
El proceso es secuencial, y cada etapa entrega información útil para la siguiente etapa. Para
el caso específico de Concha y Toro, el proceso es en base anual, es decir, el proceso se
reinicia cada año, siendo los resultados de las etapas finales la fuente de información
principal para el inicio del proceso en el año siguiente.
Las etapas del proceso de auditoría interna son:
Definición Planificación Ejecución de

Reporte Seguimiento
de AI de AI AI
A continuación se describe en detalle cada etapa del proceso de Auditoría interna.

1 – Definición de Auditoría Interna

1 DEFINICIÓN DE AUDITORÍA INTERNA

1.1 Objetivo de la etapa
Los dos principales objetivos de la Etapa 1 – Definición de Auditoría Interna son:
• Construir una relación con los Stakeholders y comprender sus objetivos,

preocupaciones y expectativas;
• Reunir información relevante suficiente para comprender el negocio de la Compañía y
sus operaciones básicas
Etapa I – Definición de Auditoría Interna, es la base para la evaluación de riesgos de

auditoría y la planificación de auditoría. Esta fase es ejecutada al menos una vez al año
como parte de un proceso de planificación sistemática. Sin embargo, la comunicación
constante con los Stakeholders de Auditoría Interna durante el año es de suma importancia
para actualizar continuamente la función de Auditoría Interna sobre los cambios en el
contexto de negocios.
1.2 Descripción de las Etapas y Entregables
Planificación Ejecución de
Reporte Seguimiento
Definición de AI AI
de AI
Etapas Entregables
▪ Documentar las expectativas de los ▪ Un archivo permanente para la Auditoría

Stakeholders Interna de la Compañía incluyendo, por
▪ Entender el negocio y las ejemplo:
operaciones básicas: o Modelo de procesos de negocio
o Estrategia de negocio,
personalizado para el Auditoría
objetivos y contexto
o Medidas de desempeño de Interna
negocios relevante o Descripción exhaustiva de
o Procesos de negocio locaciones y actividades de la
relevantes (cadena de valor Compañía
y procesos de apoyo) o Documentación de las
o Riesgos de negocio expectativas de los
relevantes
Stakeholders

1.3 Explicación de las Etapas

1.3.1 Expectativas de los Stakeholders
Una clara comprensión de las preocupaciones y expectativas de los Stakeholders es
fundamental para que los Auditoría Interna cumplan con estas expectativas. El propósito
de esta etapa es asegurar que las expectativas de los Stakeholders son identificadas,
debidamente comprendidas y abordadas adecuadamente en todo el proceso de Auditoría
Interna, por ejemplo, en las fases de planificación y presentación del informe.
Auditoría Interna debe realizar las siguientes acciones:
• Llevar a cabo reuniones con los principales Stakeholders para obtener una clara
comprensión de sus preocupaciones y expectativas, para discutir el proceso de
Auditoría Interna y los entregables (el contenido, forma y momento). Aspectos a corto
plazo como a largo plazo (3 a 5 años) deben tenerse en cuenta.
• Confirmar el enfoque de Auditoría Interna con los principales Stakeholders
• Identificar otros Stakeholders pertinentes (ver los comentarios y el gráfico a
continuación)
• Identificar los intereses y preocupaciones de otros Stakeholders relevantes, solicitar
opinión para áreas potenciales de revisión y coordinación de actividades.
En la mayoría de las Compañías, los principales Stakeholders incluyen, pero no están

limitados a:
• La Junta de Directores.
• La Administración, tales como los miembros del Comité Ejecutivo y Gerentes, Gerente
General.
• Terceros relevantes a tener en cuenta
De una lista de invitados potenciales en la organización, los Stakeholders más relevantes a

participar en la Planificación de Auditoría Interna deben ser determinados. Estos
Stakeholders relevantes incluyen, pero no se limitan a:
• Los Stakeholders internos, cómo responsables de gestión de riesgos, Legal, Contralor

interno, Coordinadores Ambientales, Salud Operacional, coordinadores de Seguridad,
Aseguramiento de Calidad y otras funciones de revisión interna y consultoría.
• Stakeholders externos, cómo un Auditor Externo, considerando aspectos de
confidencialidad, otras funciones de aseguramiento externo y consultoría.
En el gráfico siguiente se resumen los distintos tipos de Stakeholders que pueden estar
involucrados en la Planificación de Auditoría Interna.

Ver documento con Stakeholders y Coordinación.
1.3.2 Entender el Negocio y las Operaciones Básicas

En esta etapa, Auditoría Interna adquiere un conocimiento profundo de la estrategia de la
Compañía y sus planes a corto plazo, así como sus implicancias en el día a día de las
operaciones a nivel de Compañía.
Las principales actividades de esta etapa son:
• Entender la estrategia de negocio, objetivos y el contexto del negocio en su conjunto,

y de los diferentes segmentos de negocio. Auditoría Interna debe considerar el plan de
negocios de la Compañía y adquirir/desarrollar un conocimiento sobre los factores de
éxito claves de la Compañía.
• Entender cómo es medido el rendimiento del negocio y la significancia de los
indicadores de rendimiento de negocio correspondientes. Auditoría Interna debe tener
acceso a los reportes de control y de negocios, así como a los indicadores claves de
rendimiento usados por la Administración para monitorear las actividades de la
Compañía.
• Entender los procesos clave del negocio. Un modelo de procesos de negocio
personalizado debe ser definido, destacando los procesos de negocio relevantes y los
procesos de apoyo.
• Este modelo es utilizado como una herramienta de planificación de Auditoría Interna
en la etapa siguiente de Plan de Auditoría Interna.
• Comprender los riesgos de negocio relevantes. Como parte de esta etapa, Auditoría
Interna debe obtener elementos de riesgos administrados por la gerencia, evaluar y
discutir los riesgos con los responsables de los procesos de negocio.

Como se mencionó anteriormente, se recomienda que un modelo de procesos de negocio

personalizado para la identificación y clasificación de procesos de negocios y los procesos
de apoyo sea desarrollado por el Auditoría Interna.
1.3.3 Explicación de los Entregables – Archivo Permanente de Auditoría Interna

El Auditoría Interna establece un archivo permanente para la Compañía en el cual se
presenta la documentación obtenida y producida durante la fase de Definición de Auditoría
Interna. Este archivo sirve como una fuente de referencia permanente y debe
periódicamente, al menos una vez al año, ser actualizado para reflejar el estado actual de
la Compañía y sus actividades.
El archivo permanente por un lado incluye notas de entrevistas de las reuniones con los
Stakeholders (expectativas de los Stakeholders) y por otro lado incluye información
integral sobre el universo de auditoría interna, por ejemplo, plan de negocios, reportes de
control, indicadores de desempeño, evaluación de riesgos de negocio y de procesos de
negocio, y una visión global de todas las locaciones y actividades de la Compañía. El archivo
permanente es una referencia fundamental en la etapa de Planificación de la Auditoría
Interna.
Documentos de esta etapa:
• Descripción de las estrategias de la compañía

• Proyectos iniciados y por iniciar
• Condiciones de mercado actuales y estimados a futuro
• Descripción de las principales preocupaciones de los stakeholders
• Minutas de reunión realizadas
• Informes de otras unidades de control y Auditoría. (Auditores de calidad, auditoría
externa, etc.)
Lo establecido en esta etapa se resume en el Estatuto de Auditoría Interna. Ver Archivo: 04

- Estaututo de Auditoria Interna sin materialidad

2 – Planificación de Auditoría Interna

2 Planificación
Definición Ejecución de
Reporte Seguimiento
de AI AI
Planificación
de AI
Esta etapa considera todas las mejores prácticas establecidas por el Instituto de auditores
internos internacional, la asociación de auditores de sistemas de información, la asociación
de examinadores de fraudes certificados y la experiencia práctica obtenida en distintas
industrias y empresas nacionales y extranjeras.
En primer lugar esta fase requiere que se realice la definición de riesgos, los tipos de riesgos
de acuerdo al nivel jerárquico de quien debe supervisarlo y gestionarlo y todo lo
concerniente con el proceso general de gestión de riesgos.
La presente la metodología desarrollada para la empresa presenta un proceso que inicia

con la identificación del riesgo, su evaluación por impacto y probabilidad, el resultado final
de la evaluación y el método establecido para jerarquizar los distintos procesos y
subprocesos de negocio.
Adicionalmente, se desarrolla el concepto de gestión de riesgo para la administración del

negocio, para los auditores, para el oficial de cumplimiento y finalmente para el directorio
y comité de auditoría.
Finalmente, se establece los lineamientos generales para la identificación y valoración de

los controles que mitigan los riesgos identificados, así como un proceso general de
evaluación para la administración, los auditores y el oficial de cumplimiento.
A continuación, se presenta un detalle del proceso de gestión de riesgos, que permiten

concluir con el Plan de Auditoría Interna.

2.1 El proceso de Gestión de Riesgos

El proceso de gestión de riesgos puede ser definido como la integración de juicio
profesional y metodologías específicas para identificar los eventos que pueden afectar el
cumplimiento de los objetivos de la empresa, así como a su patrimonio, generando un daño
potencial que debe ser administrado por la dirección y administración de la empresa.
Este proceso debe tener como característica principal el ser sistemático, es decir la
capacidad de retroalimentarse de sus propios resultados, ajustando periódicamente los
elementos que lo componen, con la finalidad de apoyar la toma de decisiones en todos los
niveles organizacionales y en la asignación eficiente de recursos de supervisión y control.
El proceso expuesto en este documento está diseñado para apoyar tanto a la gestión de
riesgos para toma de decisiones como a las unidades de control independientes.
El modelo requiere cumplir con algunas características específicas para satisfacer los
objetivos antes mencionados, las cuales se han incorporado en las distintas etapas del
proceso. Estas características son:
Universalidad
El modelo requiere de universalidad base. Esto es, se requiere determinar o identificar un

universo sobre el cual aplicar la identificación y evaluación de riesgos. Esta característica,
permite asegurar que todas las actividades relevantes y que generan valor al negocio, han
sido consideradas en la evaluación y gestión de los riesgos. Para esto, se considera como
elemento base los procesos de negocio, ya que esto permite abstraer la mirada de unidades
de negocio específicas, y concentrar la mirada en el cumplimiento de objetivos
transversales de la organización.
Jerarquía de riesgos
La jerarquía de los riesgos corresponde a la clasificación de los riesgos que enfrenta la

entidad, de acuerdo al nivel jerárquico del responsable o responsables de gestionarlo. A
modo de ejemplo, los riesgos que requieren de definiciones y decisiones por parte del
Directorio y la Alta Administración, son definidos como estratégicos. A su vez, los riesgos
que se identifican en las actividades diarias, y que son gestionados por personal de línea,
son definidos como operacionales.
Ponderación de los procesos de negocio
La ponderación de los procesos de negocio es una característica relevante del modelo de

gestión de riesgo, ya que permite asignar una mayor prioridad a procesos que por sus
características, se encuentran mas expuestos a la materialización de los riesgos. A los
elementos que permiten ponderar los procesos, los denominaremos “Factores de riesgos”.
Uniformidad en la asignación de impacto y probabilidad de los riesgos

Debido a que si no se establecen claramente los patrones para asignar un puntaje para
cuantificar el potencial impacto de la materialización de un riesgo y la probabilidad de que
el riesgo se materialice. Este elemento se traduce en una matriz única de evaluación de
riesgos, que es utilizada por todas las unidades que requieren evaluar riesgos.
Nivel aceptable e intolerable de riesgos
El nivel de autoridad máximo de la organización, debe determinar los niveles aceptables de

riesgos y aquellos niveles que son intolerables para la organización. Estos niveles son
establecidos como Bajo (Aceptable), Medio (Requiere ser controlado por la administración)
y Alto (Nivel intolerable de riesgo que debe ser controlado de forma prioritaria e inmediata)
Identificación de Dueño de Proceso
Cada proceso identificado y definido, debe tener un único responsable denominado

“Dueño de Proceso”, quien es responsable de asegurar que todos los riesgos relevantes del
proceso han sido identificados, han sido evaluados por los responsables de cada
subproceso y de la existencia de controles adecuados para mitigar tanto su impacto en el
negocio como la probabilidad de que este se materialice.
Identificación de responsable de control
Cada riesgo identificado y evaluado, debe estar claramente descrito y evaluado.

Adicionalmente, cada riesgo debe estar acompañado por un nivel óptimo de actividades
de control que permitan llevar o mantener el nivel de riesgo, a un nivel aceptable. Se
entiende por nivel aceptable lo definido por la Dirección de la compañía o, en casos
especiales, un nivel de riesgo “Medio”, que se decide aceptar por parte de la administración,
debido a que por sus características, el establecer controles exigentes que permitan llevarlo
a un nivel “Bajo” puede significar un costo significativamente superior al potencial daño del
riesgo identificado.

2.1.1 Definición de universalidad

La determinación de la universalidad de la empresa, puede ser determinado en base a
diferentes puntos de vista. Existe bibliografía que desarrolla este elementos desde una
mirada organizacional, geográfica u operacional, las cuales permiten determina cual es la
totalidad de las entidades internas que deben ser evaluadas en base a riesgos.
La determinación a través de la estructura organizacional, simplifica el análisis al utilizar las

distintas gerencia y unidades de negocio como base para establecer los elementos a
priorizar. Sin embargo, este punto de vista presenta la desventaja de que cambios en la
estructura organizacional, obligan a efectuar ajustes mayores al modelo de riesgos. Debido
a que en la actualidad los cambios organizacionales se generan con mayor frecuencia, el
modelo a su vez requiere ser adaptado y con esto se pierde estabilidad y consistencia.
La determinación a través de ubicaciones geográficas, permite incorporar las distintas

actividades del negocio independiente de donde estas se encuentren, ayudando al
compromiso e integración de todos los empleados en el proceso de gestión de riesgos. Sin
embargo, al utilizar solo este punto de vista, se pierde la capacidad del modelo para cruzar
a la organización.
Finalmente el uso de un enfoque operacional, es decir a través de procesos de negocios,

permite asegurar la transversalidad del modelo y la incorporación de todas las actividades
necesarias para el cumplimiento de los objetivos del negocio. Adicionalmente, si se utiliza
como base para la identificación de los procesos y subprocesos un enfoque de cadena de
valor, estaremos asegurando que la gestión de riesgo se enfoca efectivamente en las
actividades que generan valor al cliente como al negocio.
El modelo seleccionado para establecer el punto de partida de la gestión de riesgo es a

través de los procesos de negocio, combinando este enfoque con el de ubicaciones
geográficas, en la etapa de evaluaciones y revisiones independiente de los riesgos.

2.1.2 Jerarquía y Clasificación de Riesgos

La clasificación de los riesgos de la compañía, ha sido establecido en base a su nivel
jerárquico y al tipo de riesgo que se presenta. La clasificación de los riesgos según su
jerarquía es:
• Riesgos Estratégicos
• Riesgos Operacionales
Los riesgos estratégicos, son aquellos que han sido establecidos por la Dirección de la
compañía, y que representan un potencial daño a la organización como un todo, ya sea
debilitando su posición negociadora, su sustentabilidad, afectando el cumplimiento de
objetivos estratégicos, perdiendo eficiencia operativa y/o financiera o generando un daño
al entorno y/o al personal. Estos riesgos si bien son identificados, descritos y gestionados
por la Dirección y la Alta Gerencia, se evalúan en base a los resultados de los riesgos que
existen a nivel operacional en conjunto con factores de riesgos del entorno de la compañía.
Los riesgos operacionales son aquellos eventos potenciales que pueden generar un daño a
la organización en las actividades diarias de la empresa. Estos son gestionados por los
responsables de cada proceso y subproceso, quienes deben asegurar que estos se
encuentran bajo niveles de exposición aceptables. Estos riesgos a su vez han sido
clasificados en base a sus características propias y en base a la unidad responsable de
monitorearlos de forma independiente. Esta clasificación es:
• Riesgo de la Operación
• Riesgo de Fraude
• Riesgo de Información
Tanto los riesgos de la operación, de fraude y de información, son objeto de revisiones

independientes de Auditoría interna, sin embargo, los riesgos de fraude ademas son
evaluados por el encargado de prevención de delitos y el de información es evaluado por el
encargado de seguridad de la información y por los auditores externos para los reportes
financieros.

2.1.3 Factores de Ponderación de Procesos y Subprocesos

El modelo de gestión de riesgos, como se señaló previamente, tiene por finalidad el
determinar los riesgos que exponen a la compañía a niveles por sobre lo tolerable y asignar
adecuadamente los recursos disponibles. Este último objetivo se cumple al priorizar
adecuadamente los distintos subprocesos identificados. El método de priorización consta
de dos etapas: la primera corresponde a la definición de factores ponderadores de procesos
y subprocesos y la segunda etapa a la evaluación formal de los riesgos identificados en cada
etapa.
Definición de factores ponderadores
Con la finalidad de asignar una adecuada ponderación a cada proceso y subproceso, se han
definido un número limitado de factores que permitirán iniciar la priorización. Estos
factores corresponden a condiciones generales que permiten definir un subproceso como
con mayor o menor exposición a los riesgos, los cuales han sido seleccionados
considerando las mejores prácticas internacionales y las condiciones particulares de la
compañía. Estos factores son:
• Resultados de Auditorías Internas Previas

• Cambios ocurridos en el subproceso o que se espera ocurran en el periodo siguiente
de evaluación (Generalmente 12 meses)
• Importancia asignada por la Dirección y Alta Gerencia al proceso
Estos factores, de acuerdo a su naturaleza, son evaluados en conjunto con la administración

o por una unidad independiente, asignándole un valor de 0 a 3 de acuerdo a los siguientes
criterios:
a) Resultados de Auditorías Internas Previas
Este factor requiere que el resultado global de cada revisión de Auditoría interna, quede
expresado de forma estandarizada tanto en los reportes como en la comunicación oficial al
dueño del proceso involucrado y al Comité de Auditoría. Cada revisión requiere una
evaluación estándar del nivel de control que posee el proceso y su efecto en la mitigación
de los riesgos. En este caso se han definido los siguientes niveles:
• Valor 0 (Muy Buena) = El sistema de control permite mitigar a nivel aceptable todos
los riesgos evaluados en el o los subprocesos
• Valor 1 (Buena) = El sistema de control permite mitigar a nivel aceptable la mayor
parte de los riesgos evaluados, existiendo mejoras de control que permitirían dejar
todos los riesgos en nivel aceptable
• Valor 2 (Regular) = El sistema de control no permite mitigar los riesgos evaluados,
existiendo riesgos residuales que se encuentran por sobre los niveles aceptables.

Existen mejoras propuestas a los controles que deben ser tratados por la
Administración.
• Valor 3 (Deficiente) = El sistema de control implementado no mitiga de forma
adecuada los riesgos evaluados, existiendo riesgos residuales en niveles
intolerables. Las mejoras propuestas a los controles deben ser tratadas de forma
urgente por la Administración.
Estos valores son asignados de acuerdo a las evaluaciones de auditoría interna de los
últimos 3 años, asignándoles una ponderación de 20% al año −3; un 35% al año −2 y un 45%
al año −1. En los casos en que el subproceso analizado no ha sido evaluado en los últimos 3
años, corresponde asignar el valor más alto de la evaluación (Valor 3)
b) Cambios en los subprocesos
Este factor permite incorporar en el análisis la ocurrencia de cambios en los subprocesos o

cambios que ocurrirán con alta probabilidad en el próximo periodo. El valor asignado a este
factor dependerá del impacto del cambio en el subproceso, considerando para esto los
siguientes criterios:
• Valor 0 (Sin cambios) = No han existido cambios en el último periodo evaluado y no

se prevén cambios para el próximo periodo
• Valor 1 (Cambios marginales) = Han ocurrido o se esperan cambios marginales en
el subproceso. No se estiman cambios de responsables de actividades claves,
sistémicos, en políticas o en procedimientos.
• Valor 2 (Cambios importantes) = Han ocurrido o se esperan cambios en el
subproceso, relacionados con actualizaciones de procedimientos, sistemas o
estructura organizacional de nivel medio y/o bajo.
• Valor 3 (Cambios estructurales) = Han ocurrido o se esperan cambios significativos
en el subproceso, relacionados con cambios en sistemas, políticas, varios
procedimientos y/o en la estructura organizacional de nivel gerencial.
Estos valores son asignados por las unidades de control en conjunto con los dueños de
procesos y validados por la Alta Gerencia.
c) Importancia del Subproceso
Este factor incorpora la visión de la Alta Dirección al modelo de gestión de riesgos,

asignándole valores de acuerdo a la relevancia del subproceso en los objetivos y metas
definidos como prioritarios para el periodo a evaluar. Para incorporar este factor se requiere
que en conjunto con la Dirección y Gerencia General, se defina un valor a cada subproceso
de acuerdo a los siguientes criterios:
• Valor 0 (Sin relevancia) = El subproceso no esta directa ni indirectamente

relacionado con los objetivos estratégicos del negocio para el periodo evaluado.

• Valor 1 (Relevancia Baja) = El subproceso está indirectamente relacionado con los

objetivos estratégico del negocio.
• Valor 2 (Relevante) = El subproceso está directamente relacionado con uno o mas
objetivos estratégicos del negocio.
• Valor 3 (Relevancia Crítica) = El subproceso está directamente relacionado con uno
o mas objetivos estratégicos del negocio. Una falla en el subproceso tiene un efecto
crítico e inmediato en el logro de los objetivos.
El factor final ponderador de cada subproceso, corresponde a la suma de los tres factores
antes descritos.
2.1.4 Identificación de riesgos

Una vez que se han definido los conceptos generales descritos anteriormente, es necesario
iniciar una de las actividades que requiere una mayor dedicación y de mayor relevancia para
el modelo de gestión de riesgo. Esta actividad corresponde a la identificación de riesgos de
negocios, tanto estratégicos como operacionales. De acuerdo al nivel de los riesgos, se
utilizan métodos distintos para la identificación:
2.1.4.1 Identificación de riesgos estratégicos

Los riesgos estratégicos son establecidos por la Dirección de la compañía, considerando los
desafíos futuros, entorno al que enfrentan y la normativa legal vigente. Con el soporte de
las unidades especialistas en riesgo, se establecen formalmente las principales
preocupaciones de la Dirección, ya sea por que pueden afectar de forma significativa el
cumplimiento de objetivos estratégicos, por que pueden afectar la sustentabilidad de la
organización, afectar la imagen de la compañía o dañar significativamente recursos
estratégicos del negocio.
De acuerdo a estas consideraciones, se pueden considerar entre otros los siguientes riesgos
como estratégicos:
• Daño a la Imagen
• Interrupción operacional
• Falta de liquidez
• Incumplimiento de objetivos y/o ineficiencias
• Fraude Corporativo
• Incumplimiento normativo
La selección definitiva de cada riesgo, debe ser revisada y aprobada anualmente tanto por
el Comité de Auditoría como por el Directorio.

2.1.4.2 Identificación de riesgos operacionales

La identificación de los riesgos operacionales es la parte central del modelo. Sin una
adecuada identificación y definición de los riesgos operacionales de cada proceso, no es
posible asegurar la integridad, consistencia y validez de la gestión de riesgos.
Para iniciar el proceso de identificación, es necesario determinar cuales son los elementos
que se pueden ver afectados durante las actividades de la empresa y por el accionar de
terceros. Es necesario destacar que un enfoque ampliamente aceptado y que tiene
resultados efectivos, es comenzar por los objetivos de cada proceso y subproceso, y
comenzar a identificar eventos que pueden afectar adversamente el logro de tales
objetivos. Sin embargo, este enfoque requiere asegurar que los riesgos identificados son
los adecuados y que son consistentes con los objetivos de estratégicos del negocio. Debido
a que la finalidad del proceso de gestión de riesgos no considera la planificación estratégica
y la correspondiente definición de objetivos, se utilizará un enfoque mas amplio para la
identificación de riesgos, esto es la identificación de daños patrimoniales y los eventos que
pueden generar este daño:
a) Daños al “Patrimonio de la Compañía”
Se entiende por patrimonio de la compañía, cualquier elemento interno o externo que

permite alcanzar los objetivos del negocio y/o generar valor a clientes y al negocio. En este
sentido el patrimonio puede estar compuesto de:
• Daño Imagen
• Pérdidas Financieras
• Daño a la Información
• Daño al personal
• Daño a la infraestructura
• Pérdida de Know-how
• Pérdida de derechos o permisos para operar
b) Identificación de Eventos
Una vez definidos los daños que pueden afectar adversamente a la organización, en
conjunto con cada unidad de negocio, se inicia la identificación de eventos que pueden
generar estos daños en las actividades diarias de la empresa.
La identificación inicial de los eventos se genera en reuniones de trabajo con personal clave
de cada subproceso, en la cual se señalan las acciones que pueden fallar ya sea de forma
intencional o no intencional. Esto se realiza a través de “Tormentas de Ideas” que quedan
plasmadas en los documentos de trabajo.

c) Componentes del Riesgo
Finalmente, la combinación del daño, el evento que lo genera y la ubicación dada por el
subproceso o la ubicación geográfica, nos permite definir completamente el riesgo,
cumpliendo siempre con la nomenclatura mínima del riesgo:
DAÑO + EVENTO + UBICACIÓN

2.1.5 Evaluación de riesgos

La evaluación de los riesgos es una etapa crítica y por su naturaleza subjetiva. El objetivo
de esta etapa es presentar una metodología de evaluación estándar para todas las unidades
que deben evaluar los riesgos operacionales, estableciendo criterios comunes para aplicar
e interpretar los distintos componentes de la evaluación de riesgos.
Este manual, establece dos metodologías para evaluar los riesgos, una para la evaluación
de riesgos estratégicos, en base a factores de entorno y en base a los resultados de las
evaluaciones de riesgos operacionales. Para estos últimos riesgos, se establece un método
basado en patrones y criterios comunes para ser aplicados sobre los riesgos previamente
identificados.
2.1.5.1 Evaluación de riesgos operacionales

Para la evaluación de los riesgos operacionales, la metodología implica la estimación del
Nivel de Riesgo Inherente, para luego determinar el Nivel de Riesgo Residual que se obtiene
de restar del nivel inherente el efecto de mitigación de los controles diseñados por la
administración.
Nivel de Riesgo Inherente
Los riesgos operacionales que han sido identificados en la etapa anterior, serán evaluados
de acuerdo a la percepción de impacto al negocio y de la probabilidad de ocurrencia del
riesgo en el periodo analizado. Inicialmente el periodo de evaluación o alcance de la
evaluación es en base anual, siendo factible reducir este periodo a base semestral o
trimestral. Los componentes para la evaluación de riesgos inherentes son:
• Impacto: el potencial daño al patrimonio de la compañía (patrimonio de acuerdo a

definición de la etapa anterior). Este se mide de forma cualitativa de 1 a 5, siendo
el nivel cinco el mas alto. Se establecen criterios para la aplicación de este valor, de
acuerdo al daño identificado en la primera parte de la definición del riesgo (Daño +
Evento + Ubicación).
• Probabilidad: la probabilidad de ocurrencia corresponde a que tan probable es que
el riesgo se materialice en el periodo base de evaluación. Si consideramos base
anual, se establece este elemento como la probabilidad de que el riesgo se
materialice durante el próximo año. La valorización de la probabilidad es
cualitativa, asignando un valor de 1 a 5 siendo cinco el valor para la mas alta
probabilidad de ocurrencia. Se establecen criterios para la aplicación de este valor,
considerando el evento que general el daño en la definición del riesgo y su
ubicación.
• Nivel de Riesgo: corresponde a la multiplicación del valor asignado al impacto,
multiplicado por el valor de probabilidad de ocurrencia.

Los criterios para la evaluación del riesgo se estructuran en una matriz de evaluación de
riesgos que se presenta en el Archivo 07 - Matriz de Evaluación de Riesgos.
Evaluación del Diseño de Controles
El propósito de esta etapa es identificar los controles que permiten mitigar el riesgo
identificado. Los controles pueden ser basados en sistemas -o personas, y detectivos o
preventivos. Los mejores controles son aquellos que están basados en sistemas y son
preventivos. El siguiente esquema muestran los tipos de controles a identificar.
Evaluar el Diseño de Controles y Medidas de Desempeño
El AI evalúa la efectividad del diseño de los controles y medidas de desempeño actuales. El

AI determina si el conjunto de los controles permite mitigar los riesgos identificados,
verificando que se cumpla:
• Integridad de controles: Para un mismo riesgo existen controles preventivos y

detectivos
• Oportunidad de los controles: Los controles preventivos operan antes que la
actividad de riesgo y los controles detectivos deben operar después de la actividad
de riesgos. Para esto se debe apoyar en el diagrama de flujo, identificando el riesgo
y los controles.
• Frecuencia de los controles: Al menos uno de los controles debe tener igual o
superior frecuencia que la actividad de riesgos
• Determinar documentación: Los controles deben estar documentados para
asegurar su operación de forma independiente de que el responsable esté
disponible
• Capacitación del responsable: Se debe analizar en base a carpeta del personal o
entrevista si el responsable de los controles está capacitado para ejecutarlo de
forma efectiva

Finalmente se verifica si cada control mitiga el riesgo a través del impacto, de la

probabilidad o ambos elementos del riesgo residual
El resultado del análisis es cargado en la matriz riesgo control para calcular el riesgo
residual. Ver archivo 15 - Matriz Riesgo - Control
2.1.6 Evaluación de riesgos estratégicos

Los riesgos estratégicos por su naturaleza son calificados en Riesgo Estratégico Externo,
Interno o Mixtos.
Los Estratégicos Externos son evaluados en base a las condiciones del entorno las cuales
pueden ser obtenidos de definiciones de expertos. Sin embargo, siempre requiere la
asignación de un responsable de la empesa para obtener la información de los expertos y
asignarlos al riesgo.
Los Riesgos Estratégicos Internos, son evaluados por el efecto de todos los riesgos
operacionales asociados. Para determinar el efecto de los riesgos operacionales, se utiliza
la siguiente formula:
Promedio de nivel de riesgo de los N Riesgos Operacionales * 0,30 + El nivel de riesgo

operacional máximo *0,7
Los Estratégicos Mixtos, se evalúan al promediar los resultados de los dos métodos
anteriores.
2.1.7 Nivel Aceptable e Intolerable de Riesgo

De acuerdo a la matriz de evaluación de riesgos, se definen 4 niveles cualitativos de riesgos
(Bajo, Medio, Alto y Crítico). El nivel bajo corresponde a niveles tolerables de riesgo, los
cuales pueden ser aceptados por la gerencia. Los tres niveles que están por sobre los niveles
tolerables, deben ser tratados por la gerencia a través de la implementación de actividades
de control que permitan llevar el riesgo a un nivel tolerable. La diferencia entre los tres
niveles sobre lo tolerable, está dato por la urgencia en la implementación de las medidas
correctivas.
La definición de nivel aceptable e intolerable es establecido por el nivel directivo de la

organización, siendo esta definición un parámetro único a ser aplicado en el proceso de
gestión de riesgo del negocio. Excepciones a esta definición deben ser aprobadas por el
Comité de Auditoría y/o Directorio.
2.1.8 Priorización de los proceso y subprocesos

Con la finalidad de establecer prioridades para las revisiones independientes de la
exposición a riesgos, las unidades de Auditoría Interna, debe efectuar en base anual o

semestral una evaluación de los riesgos identificados en los procesos de negocio. Esta
priorización es realizada de la siguiente forma:
1. Determinar riesgos relevantes
De la lista de riesgos identificados en el subproceso, se deben identificar los riesgos

relevantes para cada unidad de monitoreo independiente. Es altamente probable que
Auditoría Interna considere todos los riesgos identificados, sin embargo prevención de
delitos utilizará solo los riesgos identificados, relacionados con delitos tipificados en la
legislación vigente
2. Aplicación de factores de riesgos
Para todos los subprocesos de negocio, se debe determinar los valores correspondientes a
los factores ponderadores de riesgos descritos en el capítulo IV. La suma de todos los
factores ponderadores entregará un valor de ponderación que denominamos “Factor de
riesgo” único por subproceso. Debido a que cada factor puede tomar un valor de 0 a 3, el
Factor de Riesgo puede tomar un valor de 0 a 9.
3. Evaluación de riesgos operacionales en el subproceso
Los riesgos identificados en los subprocesos, deben ser evaluados por impacto y
probabilidad utilizando la matriz de evaluación de riesgos. Cada subproceso por esta acción
tendrá un número determinado de riesgos que tendrá un valor asignado a potencial
impacto y la probabilidad de ocurrencia del riesgo, los cuales pueden tomar valores de 1 a
5. La multiplicación de los valores de impacto y probabilidad da como resultado el nivel de
riesgo, que puede tomar un valor de 1 a 25.
4. Determinación del valor de priorización del subproceso
Para determinar la prioridad del subproceso, se debe determinar un valor único por
subprocesos considerando los valores de Factores de Riesgos y la Evaluación de Riesgos.
Para esto se debe seguir los siguientes pasos:
• Determinar Factor de Riesgo

• Determinar el promedio de nivel de riesgo del subproceso, para lo cual se debe
determinar el promedio aritmético de los Niveles de Riesgo de cada uno de los
riesgos identificados en el subproceso.
• Determinar el máximo nivel de riesgo de los riesgos del subproceso
Luego de tener estos valores, se debe aplicar la siguiente fórmula:
(Promedio de Niveles de Riesgo * 30% + Máximo Nivel de Riesgo * 70%) * (Factor de

Riesgo)

El resultado de la aplicación de esta fórmula corresponde al resultado de la evaluación de

riesgos para priorización de subprocesos, siendo el resultado más alto el con mayor
prioridad para ser revisado por Auditoría Interna o Prevención de Delitos.

Ejecución de Auditoría Interna
Ver Manual de Ejecución de Auditoría Interna.


3 – Informe de Auditoría Interna

3 Informe de Auditoría Interna

3.1 Objetivos
Los objetivos de esta etapa son:
• Presentar los resultados finales, las observaciones y recomendaciones que se han discutido
y acordado progresivamente con la Administración a lo largo de la auditoría.
• Preparar y emitir el Informe de la Compañía incluyendo los comentarios y planes de acción
de la Administración.
• Preparar y emitir el Informe de Auditoría con Excepciones de la Compañía.
• Preparar y emitir el Resumen Anual del Informe de AI.
3.2 Descripción de las Etapas y Entregables
Definición Planificación Ejecución de

Seguimiento
de AI de AI AI
Reporte
Etapas Entregables
▪ Resumir los resultados de la ▪ Presentación de la reunión de cierre

auditoría y las soluciones propuestas ▪ Acta de la reunión
▪ Realizar una reunión de cierre y un ▪ Informe de AI de la Compañía
intento de consenso ▪ Informe de AI con Excepciones de la
▪ Preparar el reporte borrador de AI de Compañía
la Compañía ▪ Resumen Anual del Informe de AI
▪ Recibir comentarios y planes de
acción de la Administración
▪ Emisión del Informe Final de AI

3.3 Explicación de las Etapas

Las diferentes etapas que se deben desarrollar son:
3.3.1 Resumir Resultados de la Auditoría y de las Soluciones Propuestas

Entre las observaciones y recomendaciones definidas en la etapa anterior, el equipo de AI
determina cuáles se van a incluir en el informe escrito, y cuáles son sólo “asuntos
domésticos”. Cada observación y recomendación deberá estar avalada por evidencia
suficiente y concluyente, y se basará en un análisis exhaustivo y detallado. El equipo de AI
asegura que todas las observaciones y recomendaciones han sido discutidas con la
administración.
En caso de observaciones muy críticas sobre asuntos que puedan poner en peligro los
objetivos de negocio generales, AI debe considerar discutir inmediatamente el tema con el
Gerente General.
3.3.2 Realizar una Reunión de Cierre e Intento de Consenso

El equipo de AI lleva a cabo una reunión final con la Administración y los Dueños de
Procesos principales. El propósito de la reunión de cierre es presentar y discutir los
resultados de la auditoría con la Administración y llegar a un consenso sobre los principales
resultados y las acciones que deben emprenderse. El equipo de AI aborda los siguientes
puntos en la reunión de cierre:
• Objetivo y Alcance de la Auditoría
• Impresión General
- Logros
- Desafíos
• Opinión de Auditoría
• Emisión con Calificación Alta/Media/Baja

- Observación/Riesgo/Recomendación
• Otros Temas
• Resumen y próximos pasos
Para apoyar y facilitar la discusión sobre los resultados de la auditoría, el equipo de AI

desarrolla una presentación de reunión de cierre.
Al presentar las observaciones y recomendaciones a la Administración, se debe prestar

especial atención a la exactitud fáctica, la comprensibilidad, la claridad, la estructura y la

viabilidad práctica de las observaciones y recomendaciones. Sólo las observaciones bien

investigadas y las recomendaciones bien escritas, que reflejan las mejores prácticas y el
fuerte sentido común del negocio, son probables que resulten en una acción correctiva
efectiva.
Los principales puntos de discusión y conclusiones de la reunión de cierre son

documentados en el acta de reunión. Ver formato de reunión de Cierre en Anexo 10
3.3.3 Preparar Reporte Borrador de AI de la Compañía

Un proyecto de informe de auditoría es la base para la reunión de cierre de auditoría. Su
contenido está sujeto a la presentación y discusión con la entidad auditada. Una versión
preliminar del informe escrito es entregada al final de la reunión de cierre.
La siguiente convención se utiliza en la generación de informes de auditoría en formato MS

Word y/o Acrobat:
Proyecto de Auditoría Número - Tema
Ejemplos:
XX-2013-022 – Adquisición.doc
XX-2014-033 – Inventario Piezas de Repuesto.pdf
Para los borradores del informe añadir la palabra “borrador” y la fecha al final.
Ejemplo:
XX-2014-018 - Nómina BORRADOR 20050526.doc
Tenga en cuenta que el número de proyecto de auditoría es siempre el mismo que el

número de identificación utilizado en el Plan Anual de AI para el proyecto de auditoría dado.
Solicitudes especiales de proyectos de auditoría y proyectos de seguimiento se identifican
mediante la adición de SR antes de la numeración secuencial del proyecto, por ejemplo,
XX-2013-SR001.
3.3.4 Recibir Comentarios y Planes de Acción de la Administración

El reporte borrador de AI de la Compañía es enviado a la Administración para comentarios
después de la reunión de cierre. El AI está de acuerdo con la Administración en que una
persona de la Compañía coordinará la retroalimentación en el contenido del borrador del
informe y asegurará que las acciones correctivas necesarias para las funciones relevantes
sean documentadas en los planes de acción.

Los planes de acción son una parte integral del Informe de AI de la Compañía y las acciones
correctivas establecen claramente que se deben tomar, los nombres y cargos de las
personas responsables de la implementación, así como la fecha del plazo de la
implementación. Los planes de acción serán completados por la Administración dentro
delos 30 días siguientes a la emisión del borrador del informe.
En caso de que los comentarios y planes de acción de la Administración no estén

disponibles en la fecha acordada (15 días después de la publicación del borrador del
informe), el Auditor Interno está autorizado para emitir un informe final sin comentarios de
la Administración.
Se aplica el procedimiento siguiente:

Las acciones comprometidas deben ser registradas en Pentana, con la finalidad de realizar un
seguimiento efectivo. Cada acción debe ser cargada identificando fecha y responsable de la
implementación. El auditado recibirá un recordatorio vía e-mail del vencimiento de un plan de
acción. El auditado debe informar si la acción ha sido implementada o está pendiente aún de
implementar, actualizando la nueva fecha de implementación.
Para lograr que Pentana genere avisos automáticos para el seguimiento, es necesario incorporar
los contactos del personal del área auditada en el proyecto, para luego generar la acción
comprometida en Pentana
Para ingresar las acciones comprometidas a Pentana, se debe acceder a la lista de hallazgos,
seleccionar el hallazgo correspondiente y presionando click derecho adjuntar acción de la gerencia:

3.3.5 Emisión del Informe Final de Auditoría Interna de la Compañía

Este informe incluye todos los hallazgos relevantes y críticos para la Compañía y las
recomendaciones pertinentes.
3.4 Formatos de Informe de AI, Distribución de Informe de AI

3.4.1 Informe de Auditoría Interna de la Compañía
3.4.1.1 Propósito del Informe

El Informe de AI, es un informe estandarizado emitido para cada proyecto de AI
realizados para diferentes niveles de administración y funciones en la empresa.
• Para el Comité Ejecutivo y los Directores, si es aplicable, destacando los temas

y recomendaciones más importantes de AI, dándoles la información necesaria
para promover la acción adecuada por parte de la Administración de la
Compañía.
• Para la Administración de la Compañía, dando retroalimentación sobre la
conveniencia de los procesos y de los controles internos existentes e
información suficiente para definir y poner en práctica las medidas adecuadas.
3.4.1.2 Generación y Finalización del Informe

Los Informes de AI de la Compañía son compilados de determinados elementos de
texto diferentes, los cuales son parte de la documentación del proyecto de
auditoría. El AI garantiza que todos los comentarios de la administración, cambios

de redacción en los borradores de los informes de auditoría y planes de acción de la

administración con los nombres de las personas responsables incluidos y las fechas
límites, sean incluidos en la versión final publicada. El AI lee cuidadosamente las
pruebas y revisa la calidad del informe a emitir. El equipo de AI también puede
solicitar revisar un informe y los documentos de trabajo correspondientes antes de
la emisión del informe.
3.4.1.3 Distribución y Presentación del Informe

Los Informes de AI de la Compañía sólo se distribuyen como archivos PDF en
formato electrónico. La versión original firmada es presentada como una copia
impresa, archivo estructurado, en un área designada de la Compañía junto con
cualquier copia impresa de los papeles de trabajo. La distribución de los informes
es responsabilidad del Jefe de AI.
Receptores estándar del Informe de AI de la Compañía son:
• Presidente del Directorio

• Gerente de Área
• Equipo de AI
• Gerente General de la Compañía.
Los Informes de Auditoría pueden ser compartidos con los Auditores Externos .
3.4.1.4 Estructura y Elementos Clave del Informe

El Informe de AI de la Compañía se compone de tres partes principales, esto es:
• Resumen Ejecutivo de AI
• Visión general de todas las observaciones de auditoría
• Observaciones calificaciones altas, medias y bajas (la Lista de Observaciones
de Auditoría)
El resumen ejecutivo de AI incluye la esencia de la auditoría realizada en forma

condensada. Los elementos clave son: la introducción a la auditoría, el alcance y
objetivo de la auditoría, información de antecedentes, la conclusión general de
auditoría incluyendo la calificación global del proceso en revisión, y el resumen de
las principales observaciones.
Clasificación de la opinión de Auditoría
• Deficiente: Controles están ausentes o no están operando como fueron

definidos. Recomendaciones para mejorar los controles y las operaciones
requieren urgente atención de la Gerencia.
• Regular: Controles son solo parcialmente adecuados. Los controles
diseñados no permiten mitigar adecuadamente los riesgos y/o no están
operando como fueron definidos. Recomendaciones para mejorar los
controles requieren la pronta atención de la Gerencia.

• Buena: Controles son adecuados y están operando como fueron

definidos. Se entregan recomendaciones menores para mejorar controles
básicos.
• Muy Buena: Controles son adecuados y operan como fueron definidos.
La clasificación global se asigna con el mimo debido cuidado que la clasificación de

las observaciones individuales. Es importante que:
• La clasificación global sea consistente con la calificación de observaciones

individual
• Un estándar común de AI sea aplicado en todo el grupo de Auditoría
La Visión general de todas las observaciones de auditoría enumera las

observaciones de auditoría y sus respectivas clasificaciones, así como las fechas
límites y los nombres de las personas encargadas de la aplicación de las acciones
correctivas. La información detallada de todas las observaciones, los riesgos
identificados y las recomendaciones están incluidos en la tercera parte del informe,
la Lista de Observaciones de Auditoría detallada (ver también el capítulo 3.6.3.5
Formular Observaciones, Riesgos y Recomendaciones).
3.4.2 Resumen Anual Informe de AI

Por lo menos una vez al año, el AI resume los resultados del trabajo de auditoría en un
informe oficial al Presidente del Directorio y al Gerente General. El Resumen Anual del
Informe de AI incluye los siguientes elementos:
• Las actividades de auditoría, cumplimiento del Plan Anual de AI

• Alcance de Auditoría y opiniones de auditoría emitida
• Hallazgos significativos
• Estado de aplicación de la acción de la administración
Ver formato de Reporte en 16 - Reporte de Auditoría Interna
3.4.3 Carga de Informe a Pentana

Una vez diseñado y terminado el informe, este debe ser incorporado a Pentana.


4 – Seguimiento de Auditoría Interna

4 Seguimiento de Auditoría Interna

4.1 Objetivos
Los objetivos de esta etapa son:
• Verificar el cumplimiento de acciones comprometidas de los responsables asignados por la

gerencia
• Determinar la correcta implementación de las acciones correctivas
• Determinar la mitigación de los riesgos luego de implementadas las acciones correctivas
4.2 Descripción del proceso

El proceso se sub divide en dos sub etapas:
• Comunicación de implementación por el responsable de la acción comprometida

• Ejecución de Auditoría de seguimientos
4.2.1 Comunicación de implementación de acciones comprometidas

En la fecha de implementación de la acción comprometida en el informe de Auditoría
interna, Pentana enviará un recordatorio al responsable de implementar la acción, quien
debe comunicar el cumplimiento de la acción correctiva. En caso de no haber sido
cumplida, se puede otorgar una prorroga (por una sola vez).
El auditor interno responsable del seguimiento, debe registrar cualquier cambio en el

estado de las acciones, de acuerdo a la siguiente pauta:
• Acciones que aún no se cumple el plazo inicialmente indicado en el informe, es

decir, no se encuentran vencidas deben ser registradas como “Vigentes”,
• En las acciones donde el responsable solicitó una prorroga, debe ser registrada
como “Prorrogada”,
• Las que han excedido el plazo indicado, y que no han sido implementadas serán
registradas como “Vencida”
• Una vez recibida la comunicación de implementada, esta debe quedar registrada
como “Implementada” y documentada en los papeles de trabajo de Auditoría
interna.
4.2.2 Ejecución de Auditoría de Seguimiento

Al menos trimestralmente, el equipo de Auditoría interna debe obtener todas las acciones
comprometidas pendientes de implementar, y que a la fecha del seguimiento, deberían
haber sido implementadas por la administración. El alcance de esta revisión de Auditoría

serán todas aquellas acciones registradas como “Vencidas”, “Implementadas” o

“Prorroga”, con nivel de impacto “Alto” o “Crítico”
Cada acción comprometida debe ser analizada para verificar que el estado indicado en el
registro es el correcto, y verificar si la acción ha sido efectivamente implementada. Para
esto se debe realizar al menos lo siguiente:
• Entrevista con el responsable de la acción comprometida

• Obtención de documentación, y otra evidencia de la implementación
• Verificar que la acción implementada, mitigue el riesgo original identificado en la
Auditoría interna en que fue definida
• Probar la correcta implementación de la acción comprometida
Los resultados de esta Auditoría deben indicar para cada acción si estas fueron:
• Verificadas: La acción fue implementada efectivamente y ha sido validado por

Auditoría interna
• Incorrectamente informada como implementada: Acción que ha sido informada
por el responsable como implementada, y que en la revisión de Auditoría no pudo
ser verificado.
• Vencida: Acción que no ha sido informada como implementada y que es reconocida
por los responsables como pendientes de implementación.
En los casos de acciones en estado “Incorrectamente informada como implementada” o

“Vencida”, se debe indicar el grado de avance de la implementación de la acción.
Estas auditorías deben quedar refljadas en el plan anual con un número único
independiente de las auditorías operativas.
Se emite un reporte de seguimiento trimestral que incluye todas las acciones pendientes,
vencidas o implementadas a la fecha, independiente del origen del plan de acción.
El resultado del seguimiento, debe ser ingresado a Pentana en la siguiente pantalla:

5 Muestreo Estadístico.
Para realizar muestreo estadístico en un proceso de revisión de auditoría interna, se recomienda
utilizar los siguientes crieterios:
5.1 Determinación de tamaño de la muestra

Para determinar el tamaño de la muestra requerida, se debe establecer los siguientes parámetros:
▪ Nivel de Confianza: Probabilidad de que el intervalo construido en torno a un

estadístico capte el verdadero valor del parámetro. En este sentido, se establece que,
a mayor valor del tamaño de intervalo, mayor es el tamaño de la muestra, tanto para
distribuciones Poisson como Normal..
▪ Límite máximo de errores: Se entiende como cantidad máxima de errores que el
fiscalizador está dispuesto a aceptar sin detección en la población en estudio
▪ Error Tolerable: Grado de exactitud con que se pueden conocer los parámetros
poblacionales, representa la cantidad o porcentaje aceptable de desviación en el valor
obtenido en el examen, respecto al verdadero promedio de la población. La precisión
en el muestreo es semejante a la tolerancia utilizada en control de calidad.

Para determinar los valores a utilizar se recomienda la siguiente tabla:
Riesgo Residual Nivel de Confianza Límite máximo de Tasa de errores

errores previstos
Crítico (Rojo) 95% 5% 0
Alto (Naranja) 90% 10% 0
Medio-Bajo 85% 15% 0
(Amarillo-Verde)
5.2 Selección de registros de la muestra.

Una vez determinado el tamaño de la muestra, se deben seleccionar los registros a ser
considerados. Para esto se recomienda la selección aleatoria de los datos. Utilizando ACL, se deben
establecer los siguientes parámetros:
Los datos requeridos son:
▪ Tamaño de la muestra: Obtenido del punto 8.1

▪ Población: la cantidad de registros existentes. Es el número total de registros.
▪ Semilla: No es necesario completar este campo. Correpsonde a la posición iniciar desde
donde seleccionará aletoriamente la muestra.

Manual de Ejecución de Auditoría Interna
Versión Fecha Realizado por: Aprobado por:

1 EJECUCIÓN DE AUDITORÍA INTERNA 3

1.1 PREPARACIÓN DE LA AUDITORÍA INTERNA 4
1.1.1 OBJETIVOS 4
1.1.2 DESCRIPCIÓN DE LAS ETAPAS Y ENTREGABLES 4
1.1.3 EXPLICACIÓN DE LAS ACTIVIDADES 5
1.2 ENTENDER EL PROCESO 8
1.2.1 OBJETIVOS 8
1.2.3 EXPLICACIÓN DE LAS ETAPAS 9
1.3 ACTUALIZAR LOS RIESGOS DEL PROCESO 12
1.3.1 OBJETIVOS 12
1.4 EVALUAR DISEÑO DE CONTROL DEL PROCESO 17
1.4.1 OBJETIVOS 17
1.5 PRUEBAS DE CONTROLES Y SUSTANTIVAS, SUB ETAPA IIIE 22
1.5.1 OBJETIVOS 22
1.6 DETERMINAR LAS OBSERVACIONES, POSIBLES CAUSAS Y SOLUCIONES, 26
1.6.1 OBJETIVOS 26
1.6.4 CARGA DE HALLAZGOS 30
1.7 CONCLUSIÓN GLOBAL DE LA AUDITORÍA 30
2 ANEXO: DIAGRAMA DE FLUJO 32

1 Ejecución de Auditoría Interna

La definición de Auditoría Interna y la etapa de Planificación, establecen el marco para la Ejecución
de la Auditoría Interna (Etapa III). La etapa de Ejecución de la Auditoría Interna se centra en la
realización de un único proyecto de auditoría para el Plan Anual de AI.
Esta etapa se divide en seis distintas sub-etapas como se muestra en el gráfico siguiente:
Determinar
Actualizar Evaluar diseño Pruebas de
Preparación Entendimiento hallazgos y
riesgos de control auditoria
causas
Las dos primeras sub-etapa, Preparación y Entendimiento de la Auditoría Interna, es la parte de la

planificación de cada proyecto individual de auditoría. El resto de las sub-etapas son realizadas
durante el trabajo en terreno de auditoría.
Todo el proceso de Ejecución de la Auditoría Interna ilustrado anteriormente y descrito con más
detalle en las secciones siguientes, se aplica para las auditorías de procesos de negocio de extremo
a extremo para un negocio determinado (por ejemplo, marketing y ventas, compras).
El resultado de la Ejecución de Auditoría Interna debe permitir cumplir con los siguientes
entregables:
• Crear y guardar archivos de proyecto completo y finalizado en Pentana, para todos los
proyectos de auditoría realizados.
• Analizar y documentar los suprocesos auditados, a través de diagramas de flujo.
• Desarrollar y documentar los programas de trabajo de auditoría y papeles de trabajo de
auditoría de los proyectos individuales.
• Se debe formar una opinión respecto de los niveles de riesgos del subproceso auditado.
• Almacenar copias electrónicas de documentos de auditoría, y documentar las referencias
cruzadas entre papeles de trabajo y evidencia impresa.
• Generar informes de auditoría incluidas las excepciones, recomendaciones propuestas y los
planes de acción correspondientes.
A continuación de presenta el detalle de cada sub etapa

1.1 Preparación de la Auditoría Interna

1.1.1 Objetivos
Los objetivos de esta sub-etapa son:
• Obtener un entendimiento fundamental del proceso o función a auditar con el fin de
determinar su relevancia, el objetivo y alcance de la auditoría basada en riesgos, así
como el tiempo, los recursos y el presupuesto previsto o solicitado especialmente para
el proyecto de auditoría.
• Preparacióm para un proceso de auditoría eficiente y eficaz hasta la conclusión del
proyecto de auditoría (por ejemplo, asegurar la disponibilidad del personal auditado,
documentación y datos, fecha establecida para la última sesión, los recursos del plan de
auditoría).
1.1.2 Descripción de las Etapas y Entregables

Idealmente, la etapa de preparación parte 2 a 3 semanas antes del inicio del trabajo en
terreno y toma entre 1 y 5 días-hombre dependiendo del alcance y la complejidad del
proyecto de auditoría.
Determinar
causas
Las etapas y entregables de esta fase son las siguientes:
Etapas:
▪ Obtener antecedentes de auditorías previas

▪ Crear proyecto en Pentana
▪ Recopilar y analizar información relevante para el actual proceso de auditoría.
▪ Entrevistar a los principales Stakeholders.
▪ Asignación adecuada de recursos y preparación del presupuesto.
▪ Anunciar el proyecto de auditoría a la Gerencia en caso de ser necesario.
Entregables
▪ Archivo de proyecto en Pentana de Papeles de Trabajo.

▪ Plan de trabajo preliminar de auditoría y presupuesto.
▪ Definición, documentación y verificación de objetivos y alcance de auditoría aprobado por
el supervisor
▪ Presentación del enfoque de auditoría.

1.1.3 Explicación de las actividades
1.1.3.1 Obtener Antecedentes de Auditorías Previas

Revisar en Pentana o carpetas físicas antecedentes y papeles de trabajo de
auditorías previas. Para acceder a Pentana se requiere estar creado como parte del
equipo de la auditoría previa. En caso de no tener acceso, solicitarlo a su supervisor.
Obtener procedimientos, matrices de riesgos, controles u otra documentación que
permita al auditor tener una visión global del trabajo a desempeñar en el proyecto.
1.1.3.2 Revisión del Plan Anual de AI y Documentación de Apoyo, Programas de Trabajo

Existentes
La información contenida en el Plan Anual de AI y la Evaluación de Riesgos de
Auditoría Interna es el punto de partida para definir las áreas a considerar en el
proyecto de auditoría. Tener en cuenta que el número de referencia de proyectos
de auditoría tal como se define en la etapa de planificación tiene que permanecer
sin cambios.
El programa de trabajo de AI puede, en esta etapa del proyecto de auditoría,
proporcionar una visión de un proceso o función y los riesgos auditables
relacionados.
1.1.3.3 Analizar la Información Actual Relevante del Proyecto de Auditoría

Con el fin de ser capaz de definir el objetivo y alcance de la auditoría y planear la
auditoría con más detalle, la información financiera, operativa y de otra índole
disponible, por ejemplo, organigramas, KPI’s, debe ser recogida y analizada. Sobre
la base de este análisis inicial se preparan entrevistas con los Stakeholders clave.
1.1.3.4 Analizar la Información Disponible y Definir Objetivos, Alcance y Oportunidad

La documentación de los trabajos y el análisis realizado hasta el momento
permiten al auditor preparar las secciones introductorias del informe de auditoría,
y definir y documentar los objetivos de la auditoría y el alcance del proyecto de
auditoría.
En base a los objetivos y alcance de auditoría documentados, una revisión

preliminar general del plan de procesos, locaciones a visitar, personas a entrevistar,
y otras actividades de auditoría necesarias serán establecidas. En base a este Plan
de Trabajo de AI inicial documentado, los recursos necesarios y la oportunidad del
proyecto de auditoría pueden ser definidos.
Una parte integral de esta etapa es más que confirmar la disponibilidad del
personal clave de la entidad auditada para las entrevistas previstas. Tenemos
también, por ejemplo, visitas a las instalaciones, inspecciones e inventarios a
realizar.

En esta etapa, a más tardar, el proyecto de auditoría interna es formalmente

anunciado a las partes interesadas dentro de la organización, por ejemplo, por
correo electrónico. Invitaciones a la reunión de apertura también son enviadas.
1.1.3.5 Asignación adecuada de Recursos y Preparación del Presupuesto

Basado en la confirmación de los objetivos, alcance y oportunidad de la auditoría,
el AI asignará auditores con experiencia y competencias apropiadas al proyecto de
auditoría. Estos pueden ser:
▪ recursos internos y/o

▪ recursos externos; como habilidades especializadas que pueden ser necesarias
para las auditorías o recursos internos pueden no estar disponibles para llevar
a cabo el proyecto.
Un plan de tiempo, en forma de Plan de Trabajo de AI, es preparado para auditoría.

Un presupuesto de gastos, para el tiempo y los gastos, es preparado para todos los
proyectos de auditoría relacionados con los viajes transfronterizos y alojamiento,
recursos externos y costos directos especiales no previstos en el presupuesto de AI.
Dicho presupuesto deberá ser aprobado por la Dirección de la Compañía que lleva
el costo antes de incurrir en costo alguno. La contratación de recursos externos
debe seguir los procedimientos de adquisición aplicables de la entidad legal
contratante y siempre debe estar basada en un contrato legal firmado
mutuamente, y una carta de compromiso, destacando los aportes y los términos y
condiciones de la asignación.
1.1.3.6 Crear el proyecto en Pentana

Al inicio del proyecto, se requiere la creación del proyecto en Pentana. Para esto
es necesario acceder al menú “Universo Auditable – Auditorías – Agregar”.

Agregar los campos requeridos para la auditoría, incluyendo Alcance, objetivo,

equipo de trabajo, tipo de auditoría, según es requerido en la barra lateral derecha:

1.2 Entender el Proceso

1.2.1 Objetivos
• Comunicar el inicio del proyecto al área auditada

• Lograr un claro entendimiento del proceso a auditar
• Identificar áreas de riesgos preliminares
• Identificar puntos de control existentes
• Identificar cómo es medido el desempeño del proceso
• Resaltar que las partes del proceso que parecen estar sujetas a un alto riesgo, son
repetitivas (baja eficiencia) o están desalineadas con los propósitos de la
administración (baja eficacia).
Determinar
causas
Etapas: Entregables
▪ Recopilar información del ▪ Documentación del proceso.

proceso. ▪ Diagrama de flujo del proceso.
▪ Recibir o dibujar un diagrama de ▪ Notas de la entrevista
flujo del proceso.
▪ Validar el diagrama de flujo del
proceso con la administración.

1.2.3 Explicación de las Etapas
1.2.3.1 Preparar y Conducir una Reunión de Apertura

Los proyectos de auditoría interna regular siempre comienzan con una sesión de
apertura formal a la cual están invitadas la Dirección de la compañía y la línea de
Administración (según sea el caso). El propósito de esta reunión es asegurar que
todas las partes interesadas estén debidamente informadas sobre el proyecto de
auditoría interna y sobre el proceso de auditoría interna en sí. Una sesión de
apertura bien realizada puede contribuir significativamente a la eficacia y al éxito
del proyecto de auditoría interna.
La sesión de apertura usualmente se realiza el primer día del trabajo en terreno y

cubre al menos los siguientes temas:
▪ Presentación del equipo de auditoría.

▪ Objetivos, alcance y oportunidad.
▪ Enfoque de auditoría durante la fase de ejecución.
▪ Comunicación del enfoque para la presentación del informe.
Estos elementos pueden resumirse en una presentación del “enfoque de

Auditoría” para facilitar la discusión durante la reunión de apertura. Idealmente, la
fecha y hora de la reunión de cierre en la cual se discutirán los resultados de la
auditoría también puede ser acordada.
El auditor interno encargado del proyecto de auditoría evalúa como puede tener
lugar la mejor comunicación teniendo en cuenta el nivel de experiencia de las
personas invitadas, y prepara la reunión correspondiente. El acta de la reunión
deberá ser archivada en los papeles de trabajo de auditoría.
1.2.3.2 Recopilar Información del Proceso

La entrevista es una forma importante de obtención y validación de la información.
Basado en el alcance y objetivos de la auditoría, el equipo de AI identifica a las
personas competentes para entrevistar. Estos pueden ser:
• Alta Dirección. Por ejemplo, para la realización de descripción del proceso (si
no fue desarrollada durante la etapa de preparación).
• Dueños de Proceso (por ejemplo, para la documentación detallada y mapeo del
proceso).
• Especialistas funcionales pertinentes (por ejemplo, caminar a través del
proceso y verificarlo).
• Personal administrativo, trabajadores de obra (por ejemplo, recorrer el proceso
y verificarlo).
• Empleados de procesos de interfaz con el proceso bajo revisión (por ejemplo,
análisis de las interfaces).

Las entrevistas con los auditados representativos, debería enfocarse en, por
ejemplo, objetivos de los procesos, roles y responsabilidades de los individuos en el
proceso, etapas de proceso, soluciones de sistemas de información que apoyan el
proceso de negocio, así como interfaces de procesos y sistemas, riesgos de proceso
y rendimiento del proceso.
Otros enfoques para la recopilación de información de los procesos son, por

ejemplo:
• Estudio de procedimientos y lineamientos (procedimientos grupales y/o

locales, y lineamientos, ISO y documentación de gestión de calidad).
• Trabajo y/o descripciones funcionales.
• Observación física, recorrer las actividades de proceso.
• Memos y actas de reuniones del Consejo de Directores, comité de dirección y
reuniones del comité de calidad.
• Intranet.
1.2.3.3 Recibir (y actualizar) o Dibujar un Diagrama de Flujo del Proceso

Basándose en la información recopilada, el AI asigna tempranamente un mapa del
proceso al proceso existente con el fin de tener una visión completa de la situación
“real” (No lo definido en procedimientos, sino que lo que realmente sucede en el
proceso).
El diagrama de flujo del proceso se utiliza para:
• Documentar y validar la comprensión de cómo funciona el proceso.

• Identificar los principales sistemas de información y puntos de control.
• Identificar y documentar las áreas de riesgos preliminares.
El diagrama de flujo del proceso puede proporcionar un alto nivel de detalle en

descripción del proceso. El auditor interno utiliza el juicio profesional para
determinar el nivel de detalle a incluir en el diagrama de flujo del proceso. En
algunos casos un alto-nivel en el diagrama de flujo puede ser suficiente, en otros
casos el auditor puede (posteriormente) llegar a la conclusión de qué detalle más
debe ser añadido.
Un diagrama de flujo de alto-nivel, como se muestra a continuación, incluye:
• Resumen conceptual del proceso

• Las etapas clave en el proceso
Un diagrama de flujo detallado, como se muestra a continuación, incluye:
• Flujos de información (por ejemplo, sistemas o documentos)

• Tareas y responsabilidades de las diferentes funciones (que se realizan en
las etapas del proceso utilizando un sistema/aplicación)
• Puntos de control

• Puntos de riesgo
Cuando el auditor interno obtiene diagramas de flujo de procesos ya existentes,

estos tienen que ser validados contra el real flujo de proceso “tal-cual” a través de
entrevistas sistemáticas y recorridos por el proceso. La confianza en las
descripciones del proceso, que no reflejan los procesos reales, puede llevar a
conclusiones equivocadas y errores de auditoría.
Ejemplo de Diagrama de Flujo con puntos de riesgos se muestra en el anexo
1.2.3.4 Validar el Diagrama de Flujo del Proceso con la Administración/Dueño de Procesos

Los diagramas de flujo se encuentran en la etapa final de validación con el
Administrador/ el Dueño de Procesos, con el fin de comprobar la exactitud de las
distintas etapas del proceso, los documentos utilizados, las
personas/departamentos responsables de las diferentes actividades, y las
aplicaciones y sistemas que apoyan el proceso. Al final, el auditor interno debe
tener la certeza de que las etapas de auditoría posteriores se basarán en una
descripción precisa y un correcto entendimiento del proceso real en terreno. El
auditor interno está siempre consciente de que el proceso real puede diferir de la
descripción de los procesos existente.
1.2.3.5 Explicación de los Entregables

El entregable obligatorio de esta sub-etapa es una descripción completa del
proceso (s) que está siendo auditado. Incluyendo notas de las entrevistas
realizadas.
1.2.3.6 Plantillas y Lineamientos

Para la plantilla indicada a continuación:
• Diagrama de Flujo del Proceso Ver Anexo Diagrama de Proceso

1.3 Actualizar los Riesgos del Proceso

1.3.1 Objetivos
El propósito de esta sub-etapa es desarrollar un conocimiento completo de todos los
riesgos significativos dentro del proceso con el fin de identificar áreas específicas para el
análisis y pruebas en profundidad. Si bien los programas de trabajo pueden orientar en la
identificación de riesgos de proceso, ellos no alivian a los Auditores Externos de la tarea de
siempre evaluar los riesgos de proceso (s) específico de la Compañía sujeto a revisión. El
análisis de riesgos cubrirá todo el alcance que considera el auditor interno, sobre el cual
proporcionará seguridad razonable.
Los objetivos son los siguientes:
• Identificar los riesgos del proceso (“¿Qué puede salir mal? ¿Qué puede comprometer
los recursos administrados en del proceso?”)
• Medir y priorizar los riesgos (“¿Qué riesgos tienen potencialmente el mayor impacto?”)
• Definir y documentar los riesgos que deben analizarse en profundidad, y definir el
programa de trabajo de auditoría para el proyecto de auditoría.

Determinar
causas
Etapas Entregables
• Notas de Entrevista
• Identificar los riesgos en el proceso
• Matriz riesgo – control
• Fuentes de riesgos
• Estructura del Programa de Trabajo
• Completar matriz de riesgo control
de Auditoría
• Establecer una Lista de Riesgos de
Proceso
• Definir los riesgos a analizar en
detalle
• Validar la Lista de Riesgos de
Proceso con la Administración

1.3.3.1 Identificación de los Riesgos en el Proceso

El AI identifica y documenta los riesgos inherentes en el proceso basándose en
diferentes medios, tales como:
• Entrevistas documentadas con la Administración y los Dueños de procesos y el

personal que desempeña funciones relacionadas con el proceso.
• Validar y precisar el mapa de proceso.
• Señalar y documentar riesgos durante la observación del proceso y caminar a
través de él.
• Los datos operativos y financieros para el proceso bajo revisión.
• Los procedimientos e instrucciones internos.
• Evaluación de riesgos de negocio y Evaluación de Riesgos de AI a nivel de
compañía, análisis preparados para el: proceso de Planificación Anual de AI.
• Riesgos identificados en auditorías anteriores, intercambio de conocimientos
con otros auditores internos, programas de intercambio de ideas, programas
de trabajo de auditoría existentes.
• Información sobre otros factores, incluyendo:
- Cambios en los controles tradicionales debido a los cambios
estructurales/organizacionales (capacitación, reducción de personal,
descentralización, nuevos sistemas de soluciones, etc.).
- Preocupación por las actividades fraudulentas.
1.3.3.2 Fuentes de Riesgos

Las fuentes de riesgos pueden documentarse utilizando un Mapa de Generadores
de Riesgos. Los Generadores de Riesgos pueden ser identificados, por ejemplo, en
discusiones con los propietarios del riesgo. Esto permite al AI tener un claro
entendimiento y apreciación de los riesgos y sus causas, lo cual es necesario definir
el enfoque de auditoría apropiado para estos riesgos. Por otra parte, mediante la
identificación de las verdaderas fuentes de riesgo, el AI eventualmente será capaz
de desarrollar soluciones adecuadas para las brechas de control identificadas
1.3.3.3 Desarrollar una Lista de Riesgos de Proceso

El AI documenta los riesgos en una Lista de Riesgos de Proceso y evalúa la potencial
significancia (alta, media o baja) para cada riesgo identificado. Los riesgos son
evaluados y comparados entre sí en el orden de prioridad establecido en la lista de
riesgos de procesos. La significancia de un riesgo es la combinación entre la
evaluación del impacto potencial del riesgo y la probabilidad de ocurrencia del
mismo, aun no considerando los controles implementados para mitigar el riesgo.
La existencia, eficacia y eficiencia de estos controles serán objeto de un futuro
análisis.

1.3.3.4 Definir los Riesgos a ser Analizados

Los riesgos de los procesos clave identificados en la Lista de Riesgos de Auditoría
serán analizados en profundidad. De este modo la más alta prioridad es,
naturalmente, otorgada a los riesgos con mayor significancia.
1.3.3.5 Determinar Nivel de Riesgo Inhernte

Utilizando la matriz de evaluación de riesgo, se debe estimar el nivel de riesgo
inherente de cada riesgo identificado. Para esto se debe considerar el riesgo sin
controles, es decir una abstracción de la realidad, considerando el peor escenario
posible.
1.3.3.6 Estructurar el Programa de Trabajo de Auditoría

Basado en los riesgos incluidos en la Lista de Riesgos de Proceso se estructura el
Programa de Trabajo de Auditoría. Para cada riesgo significativo detallado en el
programa de trabajo será definida una etapa como progreso del trabajo. El
programa de trabajo es desarrollado y documentado.
El programa de auditoría debe ser creado en Pentana, utilizando la biblioteca del

sistema:
Luego en la sección “Ejecución de Auditoría”, se deben incorporar los antecedentes

relacionados con el subproceso evaluado, estos son:

• Obtener lista de riesgos, controles y pruebas de auditoría desde “Librería”

• Obtener riesgos específicos de la “Entidad” objeto de la revisión
• Obtener riesgos, controles y pruebas desde Auditorías Previas
Una vez cargados los riesgos, controles y pruebas por estos medios, se debe
analizar si de acuerdo al análisis del proceso, es necesario actualizar los riesgos,
controles y pruebas de auditoría. En caso de requerir incorporarlos de forma
manual, esto debe ser realizado por el auditor a cargo de la revisión. Para esto debe
ingresar a Pentana en la opción de “Agregar Objetivo”
Una vez agregado el objetivo, se debe Agregar el Riesgo

Luesgo, para cada riesgo es necesario incoporar a cada riesgo de procesos, los
controles implementado. Para esto se utiliza “Agregar Control”
Finalmente, para completar el programa de auditoría, es necesario “Agregar

Prueba” para cada riesgo y control.

Una vez revisado y asegurada la lista de riesgos, controles y pruebas, se debe

solicitar aprobación del Supervisor de Auditoría para actualizar la “Librería”
1.4 Evaluar Diseño de Control del Proceso

1.4.1 Objetivos
Los objetivos de esta sub-etapa, en base a las etapas del proceso de auditoría previo, son:
• Identificar los controles existentes en el proceso, identificar donde los controles están
ausentes.
• Entender cómo el desempeño de los controles del proceso son monitoreados y
medidos.
• Entender cómo es medido el rendimiento del proceso (por ejemplo, a través de figuras
clave).
• Entender qué tan bien se desarrolla el proceso comparado con, por ejemplo, fijar
objetivos, presupuestos, KPI, puntos de referencia.
• Identificar los controles más importantes y las diferencias entre el desempeño real y el
deseado de los controles de proceso, así como el proceso mismo, como prioridades
para la investigación y las pruebas adicionales en fases posteriores.
• Priorizar el trabajo de validación que se ejecutará en la etapa posterior para determinar
que controles y medidas de proceso son importantes para el logro de los objetivos del
proceso.

1.4.2 Descripción de las etapas y entregables

Determinar
causas
Etapas Entregables
▪ Identificar controles incluidas las ▪ Documentación de los controles

medidas de desempeño relevantes identificados para los riesgos
▪ Evaluar el diseño de los controles y seleccionados
▪ Documentación de la evaluación del
medidas de desempeño
diseño de control
▪ Identificar brechas de control ▪ Documentación del análisis de las
▪ Identificar “victorias rápidas” medidas de desempeño del proceso
▪ Documentación de las brechas de
control y recomendaciones para un
diseño de control adecuado para los
controles requeridos
1.4.3 Explicación de las Actividades
1.4.3.1 Identificar Controles y Medidas de Desempeño Relevantes

El propósito de esta etapa es identificar los actuales controles de procesos y
medidas de desempeño que abordan los riesgos de procesos definidos. Esto
representa la etapa inicial del programa de trabajo para identificar los riesgos de
proceso a ser analizados en detalle.
Las medidas de desempeño (por ejemplo, figuras clave, KPI) son controles
específicos que determinan que tan bien está la organización, sus procesos y si su
personal alcanza los objetivos especificados. Las medidas de desempeño son, ya
sea costo, calidad o tiempo base.
El auditor interno identifica los controles de procesos actuales para los riesgos
definidos y determina si son controles generales, de seguimiento o específicos,
como se muestra en el gráfico anterior.
Los controles pueden ser basados en sistemas -o personas, y detectivos o

preventivos.
Los controles más eficientes son aquellos que están basados en sistemas y son
preventivos.

Compensatorio Mejor Control

Preventivo y Manual Preventivo y Automático
Deseable
Control no ideal Compensatorio

Detectivo y Manual Detectivo y Automático
Efectividad
El auditor interno documenta en detalle los controles y medidas de desempeño

identificadas para los riesgos clave definidos a ser auditados, en la matriz riesgo
control, determinando el porcentaje de mitigación para este punto.
1.4.3.2 Evaluar el Diseño de Controles y Medidas de Desempeño

El AI evalúa la efectividad del diseño de los controles y medidas de desempeño
actuales. El AI determina si el conjunto de los controles permite mitigar los riesgos
identificados, verificando que se cumpla:
Integridad de controles: Para un mismo riesgo existen controles preventivos y

detectivos
Oportunidad de los controles: Los controles preventivos operan antes que la

actividad de riesgo y los controles detectivos deben operar después de la actividad
de riesgos. Para esto se debe apoyar en el diagrama de flujo, identificando el riesgo
y los controles.
Frecuencia de los controles: Al menos uno de los controles debe tener igual o
superior frecuencia que la actividad de riesgos
Determinar documentación: Los controles deben estar documentados para

asegurar su operación de forma independiente de que el responsable esté
disponible

Capacitación del responsable: Se debe analizar en base a carpeta del personal o

entrevista si el responsable de los controles está capacitado para ejecutarlo de
forma efectiva
Verificar si control mitiga el riesgo: Se debe determinar si el control establecido

mitiga el impacto, la probabilida o ambos elementos del riesgo residual
El resultado del análisis es cargado en la matriz riesgo control para calcular el riesgo
residual.
1.4.3.3 Determinar nivel de riesgo residual

El objetivo general de esta etapa es determinar si existen controles adecuados para
gestionar o mitigar los riesgos de proceso. Las brechas de control pueden resultar
debido a la falta de controles, o debido al diseño u operación ineficaz de los
controles. En esta etapa se utiliza la evaluación del diseño de los controles. Una
evaluación de si los controles están actualmente funcionando según lo previsto se
realiza en la siguiente sub-etapa.
Tanto la eficacia y la eficiencia de los controles son abordadas en la evaluación del

auditor interno. La efectividad se refiere a si el control, tal como es diseñado, puede
reducir en efecto los riesgos al nivel previsto para que los objetivos clave del
proceso puedan ser alcanzados. La eficiencia se refiere a como un control es
efectivo económicamente y si el costo del control puede ser justificado por el
beneficio que brinda (reducción de riesgos). La auditoría interna apoya a la
organización mediante la identificación de controles redundantes o irrelevantes
(por ejemplo, controles que abordan los riesgos insignificantes o poco probables)
y, en su caso, recomendar controles menos costosos, los cuales proporcionan un
control suficientemente efectivo.
En esta etapa, los riesgos bajo-controlados (por ejemplo, ausencia de controles o

controles insuficientes) pueden ser una fuente de recomendaciones para el informe
de AI, así como los riesgos sobre-controlados (por ejemplo, redundancia; algún
control realizado por dos departamentos diferentes):
El AI identifica posibles brechas entre el estado actual y las buenas prácticas para
el control, priorizando los trabajos de validación posterior, y documenta los
resultados obtenidos en la sección del programa de trabajo correspondiente.
Cuando no hay control en un lugar, el AI documenta los riesgos relevantes
resultantes de esta falta de control, así como la propuesta de diseño de control a
ser implementada. Las aclaraciones adicionales que necesitan realizarse son
documentadas como etapas del programa de trabajo.
Las siguientes etapas del programa de trabajo que se realiza han sido así definidas.
Una vez concluido el análisis, es necesario cargar a Pentana el resultado de la

evaluación y establecer el nivel de riesgo definitivo.
Para esto es necesario acceder al riesgo específico para incorporar la evaluación

desarrollada.

1.4.3.4 Identificar “Victorias Rápidas”

Con base en el análisis realizado, el AI observa claras oportunidades de mejora.
Como se mencionó anteriormente, los riesgos sobre-controlados y bajo-
controlados pueden conducir a recomendaciones rápidas, por ejemplo, la
implementación de un control que falta o la eliminación de uno redundante. Esto
también puede incluir indicadores de desempeño de ausencia o
redundancia/irrelevancia que pueden ser cambiados o eliminados. Un requisito
previo para esas recomendaciones es, sin embargo, que el AI tenga una visión
completa del proceso y sus interfaces con otros procesos de la Compañía, y en
general de los controles implementados.

1.5 Pruebas de Controles y Sustantivas, Sub Etapa IIIe

1.5.1 Objetivos
• Determinar, basado en las pruebas de los controles clave, si los controles están
operando eficaz y eficientemente para gestionar o mitigar los riesgos de procesos
identificados.
• Determinar que las medidas de desempeño claves, y otra información de toma de
decisiones en que la administración se basa, son relevantes y confiables.
Evaluar Determinar
Actualizar Pruebas de
Preparación Entendimiento diseño de hallazgos y
riesgos auditoria
control causas
Etapas Entregables
• Determinar el tipo y extensión de las • Documentación de resultados y

pruebas conclusiones de las pruebas de
• Diseñar y realizar pruebas auditaría
• Documentar y analizar los
resultados

La exposición siguiente muestra la relación entre la evaluación de riesgos, la evaluación de

brechas de control y validación de controles:
1.5.3 Explicación de las Actividades
1.5.3.1 Determinar el Tipo y Alcance de las Pruebas

El AI en las etapas anteriores del proceso de auditoría determinó cuales controles
necesitan ser probados y donde los controles están ausentes (ver Sección 3.3.3.4
Definición de Riesgos a ser Analizados y 3.4.3.3 Identificar Brechas de Control). El
criterio de decisión para determinar el tipo y alcance de las pruebas que verifican la
efectividad operativa de los controles está basado en los objetivos de auditoría,
criticidad de los riesgos, la suficiencia de los controles y la evaluación del valor
agregado de las pruebas.
El AI define la naturaleza de la prueba: prueba de cumplimiento.
Las pruebas de cumplimiento son usadas para probar la eficacia operativa de los
controles, de los que se asume que el diseño ha sido considerado como adecuado
y efectivo. En caso de requerir muestreo, se utiliza muestreo por registros.
Para determinar el alcance de las pruebas se utiliza la evaluación del riesgo residual
por diseño, siguiendo los siguientes criterios:
Nivel de riesgo residual Crítico (Rojo): Máxima profundidad de pruebas de

cumplimiento. Si se utiliza muestra, se debe utilizar un nivel de confianza mínimo
de 95%, 5% de error esperado y 0 de error tolerable.
Nivel de riesgo residual Alto (Naranja): Nivel medio de profundidad. Se utiliza

nivel de confianza de 90% en muestreos requeridos
Nivel de riesgo residual Medio o Bajo (Amarillo Verde): Nivel bajo de

profundidad, se puede utilizar nivel de confianza de 85% en caso de requerir
muestras.
El resultado de las pruebas de cumplimiento debe ser documentado en Pentana, y

permite actualizar la matriz de riesgo control. En caso que el resultado de la prueba
de cumplimiento implica que un control no es efectivo, esto debe ser reflejado en
la matriz de riesgo control, marcando con un “No” en la columna a la derecha del
control correspondiente. Además se debe analizar el efecto de la inefectividad del
control en la evaluación de la integridad y frecuencia.

El AI define la naturaleza de la prueba: prueba Sustantivas.
Las pruebas sustantivas se utilizan para determinar si el riesgo se ha materializado

en el periodo del alcance de la auditoría. Estas se ejecutan con el nivel de
profundidad requerido según el nivel de riesgo residual definitivo (Después de las
pruebas de cumplimiento)
Nivel de riesgo residual Crítico (Rojo): Máxima profundidad de pruebas

sustantivas. Si se utiliza muestra, se debe utilizar un nivel de confianza mínimo de
95%, 5% de error esperado y 0 de error tolerable.
Nivel de riesgo residual Alto (Naranja): Nivel medio de profundidad. Se utiliza

nivel de confianza de 90% en muestreos requeridos
Nivel de riesgo residual Medio o Bajo (Amarillo Verde): Nivel bajo de

profundidad, se puede utilizar nivel de confianza de 85% en caso de requerir
muestras.
1.5.3.2 Diseñar y Realizar las Pruebas

El AI debe definir y documentar en la sección del programa de trabajo
correspondiente a cada prueba, incluyendo el objetivo, el método de prueba, la
población experimental, técnicas de muestreo y criterios de muestreo.
Los siguientes enfoques diferentes de prueba pueden ser utilizados:
• Reuniones facilitadas
• Entrevistas
• Observación e inspección
• Revisión de la documentación
• Confirmación
• Representación
• Revisión analítica
• Análisis de datos
• Evaluar y verificar
• Seguimiento del proceso
• Encuesta
• Digitalización
• Conciliación
• Re-cálculo y valoración de las pruebas
• Etc.
1.5.3.3 Documentación y Análisis de Resultados

Los resultados de las pruebas y las conclusiones obtenidas son documentadas en
la sección del programa de trabajo pertinente Pentana. Cualquier evidencia de
soporte es debidamente referenciada y adjunta en la sección correspondiente.

El AI revisa y valida los resultados de las pruebas y los hallazgos preliminares con el
Dueño de procesos/control y en su caso con el Administrador.
Si los resultados de las pruebas indican la existencia de riesgos significativos

adicionales no previamente identificados, el AI determinará si adicionales
evaluaciones/pruebas de control necesitan ser realizadas. Los resultados de las
etapas del programa de trabajo son añadidos y documentados apropiadamente.

1.6 Determinar las Observaciones, Posibles Causas y Soluciones,

1.6.1 Objetivos
• Capturar y analizar en profundidad las brechas de control y desempeño de los

procesos identificados en las etapas previas del proyecto de auditoría.
• Determinar las causas fundamentales de las brechas de control y desempeño.
• Desarrollar soluciones que puedan ser implementadas para hacer frente a
estas brechas. Si es apropiado, diseñar planes de implementación de alto
nivel para las soluciones.
• Validar la brecha de control identificada y las soluciones propuestas con el
dueño de procesos y la Administración.
• Completar el trabajo en terreno y prepararse para la etapa del Informe de
Auditoría Interna.

Determinar
Entendimient Actualizar Evaluar diseño Pruebas de
Preparación hallazgos y
o riesgos de control auditoria
causas
Etapas
▪ Observaciones validadas y
▪ Definir los brechas /observaciones a
documentadas
ser analizadas
▪ Identificar las causas de las brechas ▪ Narración de los riesgos
▪ Calificar la significancia de relacionados
brechas/observaciones ▪ Documentación de las soluciones
▪ Definir posibles acciones correctivas /recomendaciones
para las brechas de control y ▪ Documentación completa de los
desempeño procedimientos de auditoría
▪ Formular observaciones, riesgos, aplicados
recomendaciones para los planes de
acción
▪ Obtener respuesta del Dueño de
Procesos/Administración
▪ Completar el trabajo en terreno, y
prepararse para la presentación del
informe.
Entregables

1.6.3.1 Definir Brechas/ Observaciones a Ser Analizados

El AI tiene definido en las etapas del proceso de auditoría previa las brechas de
control y desempeño y la evaluación de su impacto en los procesos de negocio.
Pruebas y otros trabajos realizados son soportados con documentación, y si es
posible, con evidencia cuantitativa (cifras, tasas de fracaso, etc.). Es importante
que las brechas de desempeño y control hayan sido verificadas con el dueño de
procesos y según sea el caso con la Administración. Las etapas del programa de
trabajo adicionales para analizar y comprender las brechas de control identificadas
son debidamente documentadas y realizadas.
El equipo de AI debería definir en esta etapa un enfoque para los problemas que no
pertenecen al alcance definido en el proyecto de auditoría realizado.
Si bien las brechas u observaciones, nacen de la percepción del AI, este se puede
apoyar en el nivel de riesgo residual obtenido en la matriz riesgo control luego de
la aplicación de las pruebas. Existirán brechas simpre que el nivel de riesgo residual
sea superior al nivel amarillo definido en la Matriz de Evaluación de Riesgos. Las
brechas pueden ser:
• Ausencia de control para mitigar un riesgo

• Controles mal diseñados
• Controles no documentados
• Responsable no capacitado
• Riesgos materializados
1.6.3.2 Identificar Causas de las Brechas

El AI determina las principales causas de las brechas de desempeño/control y
evalúa la importancia o el impacto de cada una de las causas raíz. A continuación,
corrobora las causas raíces identificadas con la administración.
Ejemplos de causas raíz son:
• Temas de seguridad y confidencialidad

Una causa raíz puede ser “acceso no autorizado a la base de datos”. Esto puede
dar lugares a actividades fraudulentas, o la interrupción de las funciones de
negocios.
• Temas de integridad de la información
Una causa raíz puede ser “el procesamiento de transacciones indebido o acceso
directo no autorizado a las bases de datos”. Esto puede resultar en la toma de
decisiones de la Administración, basada en información inexacta.
• Temas de disponibilidad de la información
Una causa raíz puede ser “la falta de una copia de seguridad y procedimientos
eficaces de recuperación”. Esto puede resultar en la interrupción del
procesamiento.

1.6.3.3 Calificar Brechas/ Observaciones

Las tasas de observaciones de Auditoría Interna y las recomendaciones
relacionadas dependen de su impacto en, o su significado para, la organización.
Esta etapa requiere del Auditor Interno para demostrar la perspectiva de negocio,
ya que tiene que valorar la relevancia de la información con respecto al proceso
revisado, si el proceso se inserta en la organización, y la Compañía en su conjunto.
El Auditor Interno puede escoger entre las siguientes tres clasificaciones:
Problemas menores de procesos, los cuales pueden ser instantáneamente

rectificados por el dueño de procesos previa notificación del AI, son los llamados
“Problemas de Limpieza”..
Tener en cuenta que la clasificación de las observaciones tiene que realizarse con
el debido cuidado. En caso de duda, el equipo de Auditoría y/o pares Auditores
Internos deben ser consultados antes de la divulgación de dicha calificación a la
Administración, asegurando que el estándar común de Auditoría sea aplicado en
toda la Compañía.
El nivel de riesgo puede ser definido utilizando como apoyo el nivel de riesgo
residual obtenido en la matriz de riesgo control. Alto serán aquellos riesgos en la
sección “Roja”, Medios los clasificados en color “Naranja”, Bajos los clasificados
como “Amarillo”. Un riesgo residual en nivel verde, no debería generar brecha u
observación, salvo que exista una materialización de riesgos.
1.6.3.4 Definir Posibles Acciones Correctivas para las Brechas de Control y Desempeño
El AI define posibles acciones correctivas a las brechas de control y desempeño
identificados y determina el costo/beneficio/riesgos de cada acción propuesta. Las
bases de datos de Buenas Prácticas pueden ser utilizadas para la elaboración de
recomendaciones. De ese modo el AI considera apropiadamente el tamaño y la
complejidad del proceso y de la Compañía Auditada, y el entorno en que esta
opera.
1.6.3.5 Formular Observaciones, Riesgos y Recomendaciones

El AI de manera concisa resume las observaciones realizadas, los riesgos
identificados y las acciones correctivas recomendadas. Las soluciones

recomendadas deben aportar un valor añadido a la Compañía al minimizar o cerrar

la brecha de control o rendimiento.
Las soluciones de valor añadido deben cumplir al menos uno de los siguientes
criterios:
• Reducir el riesgo del negocio; mejorar los controles del negocio

• Mejorar el desempeño de los procesos
• Mejorar la satisfacción del cliente
• Mejorar la eficiencia operativa/ reducir los costos
• Mejorar la satisfacción de los empleados
• Velar por el cumplimiento de leyes y regulaciones
• Implementar o mejorar las medidas de desempeño
Al escribir las observaciones de auditoría en la Base de Datos de Papeles de

Trabajo, es obligatorio incluir todos los elementos de interés de una auditoría, por
ejemplo:
1. Criterio Lo que debería existir

2. Condición Lo que existe
3. Causa Por qué existe la diferencia
4. Efecto Impacto, Riesgo, Exposición
5. Recomendación
6. Comentarios de la Administración
7. Valoración (Alta/Media/Baja)
8. Acción debido a fechas y personas responsables de tomar las acciones
correctivas
El Auditor Interno documenta las observaciones en la Lista de Observaciones de

Auditoría
1.6.3.6 Obtener la Respuesta/Aprobación del Dueño de Procesos y de la Administración

Las observaciones y recomendaciones del AI son discutidas y acordadas con el
dueño de procesos/control y, si procede, con la Administración el progreso de la
auditoría. Es imprescindible verificar la exactitud fáctica de las observaciones del
AI. El AI se esfuerza por llegar a un acuerdo con la Administración respecto a la
acción recomendada. Idealmente, la Administración provee al AI de un plan de
acción detallado, incluyendo una fecha de término específica, antes de la etapa de
presentación del Informe de Auditoría.
1.6.3.7 Completar el Trabajo en Terreno y Prepararse para la Presentación del Informe

En esta etapa el AI verifica que todas las etapas del programa de trabajo de
auditoría se hayan cumplido para garantizar que los objetivos de la auditoría se han
realizado y se han documentado, y que los resultados de la auditoría están listos
para la presentación del informe antes de concluir la etapa de trabajo en terreno.

Los papeles de trabajo deben mantenerse en carpetas digitales y/o físicas,

dependiendo de su naturaleza. Estos documentos deben ser resguardados como
confidenciales y deben ser custodiados por un periodo no inferior a 6 años.
Ver formato de Reporte en 16 - Reporte de Auditoría Interna
1.6.4 Carga de hallazgos

Los hallazgos deben ser incorporados a Pentana. Para esto se debe dar click derecho sobre el
riesgo y agregar hallazgo:
1.7 Conclusión Global de la Auditoría

Una vez definidos los hallazgos con su clasificación, se debe definir la conclusión global de la
auditoría, que corresponde a la opinión sobre el sistema de control interno del subproceso
auditado. Para clasificar la conclusión global se debe utilizar la siguiente fórmula:
• PROM = Promedio de los niveles de riesgo residual de los riesgos asociados al subproceso
• MAX = Nivel de riesgo residual máximo de los riesgos del subproceso
Fórmula = PROM * 30% + MAX * 70%
Utilizando el resultado de la fórmula se determina la opinión global según el siguiente criterio:

• Débil = Resultado de la fórmula aplicada indica un nivel en categoría Crítica “Rojo”

• Insuficiente = Resultado de la fórmula aplicada indica un nivel en categoría Alta “Naranja”
• Satisfactorio = Resultado de la fórmula aplicada indica un nivel en categoría Media
“Amarilla”
• Bueno = Resultado de la fórmula aplicada indica un nivel en categoría Baja “Verde”
Nivel 5 5 10 15 20 25
Nivel 4 4 8 12 16 20
Nivel 3 3 6 9 12 15
Nivel 2 2 4 6 8 10
Nivel 1 1 2 3 4 5
Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5

Críterios
Casi Nunca Improbable Moderado Probable Casi cierto

2 ANEXO: Diagrama de Flujo

Externo al proceso Personal Gerencia de Areas Remuneraciones Gerencia de Personas Gerencia de Finanzas / Gestor Bienestar Sindicato Compensaciones Legal Finanzas Tesorería / Terceros Previred Banco
Jefe Contable Contabilidad
(Depende del monto)
1 2
Alta en el
Selección y sistema
contratación
SAP
Requiere Inicio periodo

préstamo
Otorga Otorga Informa por

préstamo préstamo Ficha modifica
renta
Informa informa a
ausentismo remunerac.
3 12
Informa Informa Informa Informa
haberes y haberes y retención cambios
descuentos descuentos alimenticia cotizaciones
11 11 11
2
Completa Recibe y carga
planilla de 4 datos
Horas Extra
SAP
Genera nómina
preliminar
Genera reporte
para validación
Aprobado
? No
Si
Informa a
Finanzas monto
a reservar
Envía Reserva
correo con saldo en
nómina cuenta
para aprob.
Genera
archivos
para banco
9
8
Sube
nómina a
banco
Modifica Aprobado
? Aprobado
No ? No
Si Si
Actualiza Actualiza datos Inicia Actualiza Actualiza Actualiza Realiza
Información Horas extra periofo haberes y haberes y cambios pagos a
ausentismo nómina def. descuentos descuentos cotizaciones personal
3 12 2 11 11
4
Recibe y
centraliza
11
Genera
archivos
nómina
Existe
diferencia de
sueldo
Positivo o
Positivo
negativo?
Negativo
Sistema
registra como
prestamo y
descuento
para próximo
periodo
SAP
Incluye en
nómina
definitiva
Crea y genera 6 7 Declara

nómina cotizaciones
terceros 5
Informa Prepara
monto para disponibilidad
reserva de fondos
10
Envía
archivo
para
revisión 8
9
6
Sube archivo
de nómina al
Banco
Gerente Analiza y
Finanzas valida
adicional revisa
Modifica Aprobado Aprobado

? No ? No
Si Si
Genera Transfiere
liquidación y fondos
publica

CONFIDENCIAL
Reporte de Auditoría Interna

Compañía XXXX
Número de Auditoria:
Proceso o Subproceso
15.06.2011 - 31.07.2011
Distribución del Reporte:

CONFIDENCIAL
REPORTE EJECUTIVO DE AUDITORIA INTERNA
Introducción
De acuerdo con el Plan Anual de Auditoria Interna 2011 de Compañía XXXX, realizamos una auditoria sobre
el proceso de ZZZZZZ, específicamente sobre el subproceso de YYYY, en el periodo 05.01.2011 al
31.01.2011.
Alcance de Auditoria y Objetivo
El objetivo de la revisión realizada estuvo dirigido a verificar y validar la existencia, integridad y efectividad de los
controles establecidos por la administración en el subproceso.
Sobre este subproceso los riesgos y controles evaluados fueron los que se presentan en la siguiente tabla:
Subprocesos Riesgos Críticos Evaluados

Subproceso 1 • Pérdida Financiera por decisiones incorrectas de inversión por error o falta
de visibilidad del proyecto
• Pérdida Financiera por subutilización de sistemas
• Pérdida Financiera por perdida de material enviado a otras sucursales
• Pérdida Financiera por notas de crédito no autorizadas
• Pérdida Financiera por adquisición de materiales no requerido
• Pérdida Financiera por imputación de costos que no corresponden al
proyecto
• Pérdida Financiera por pago de materiales inexistentes
• Pérdida Financiera por pago de servicios no recibidos
• Pérdidas financieras por contratación de proveedores no calificados
• Pérdida Financiera por pago de productos con sobreprecios
• Pérdida Financiera por mermas no controladas
• Pérdida Financiera por productos no registrados ya consumidos en sistema
• Pérdida Financiera por obsolescencia de materiales
• Pérdida Financiera por compra de maquinaria no requerida o utilizadas por
terceros
• Pérdida Financiera por activos fijos inexistentes o que no corresponden al
giro
• Pérdida Financiera por activos fijos no registrados en costos del proyecto
• Daño a la imagen por incumplimiento de plazos
• Daño a la imagen por deficiente calidad del producto
• Daño a la imagen por accidente del personal
• Suspensión del proyecto por incumplimiento del cliente sin contrato
asociado
• Suspensión del proyecto por accidentes laborales
La efectividad de los controles establecidos fue evaluada en base a muestras y documentación e información
recibida durante el trabajo de campo.
Esta auditoría no intentó cubrir todos los procesos ni identificar todas las debilidades en el ambiente de control.
Limitaciones al Alcance:
No tuvimos limitaciones para la ejecución de nuestro trabajo.
2
CONFIDENCIAL
Conclusión General de Auditoria
Rating: Sistema de Control Deficiente
En nuestra opinión el sistema de control implementado para el proceso de XXXX debe ser calificado como
(Deficiente, Requiere Mejora, Satisfactorio o Bueno), ya que controles claves están ausentes y otros no
están operando como fueron definidos.
La conclusión auditoria se fundamenta principalmente en las siguientes situaciones:
1. Durante la revisión observamos la ausencia de controles en los siguientes actividades:

✓ No existen procedimientos formales o informales para asegurar la consistencia en la ejecución de
proyectos
✓ No existe evidencia de personal independiente que verifique la correcta planificación y ejecución
del proyecto
✓ No existe control sobre inventario traspasado a proyectos
✓ No se efectúa un levantamiento de actividades y acciones inseguras previo a la aceptación de los
proyectos
2. En la revisión observamos que los siguientes controles no se encontraban adecuadamente diseñados:

✓ El registro y reporte de actividades de proyectos no permite obtener de forma fácil y oportuna los
gastos e ingresos de cada proyecto
✓ El registro y custodia de documentos del personal no se realiza de forma adecuada
3. Los siguientes controles no se encontraban operando como fueron sido definidos

✓ Se observa registro inadecuado de contratos en el sistema
✓ No se obtuvo evidencia de procesos formales para la selección de proveedores de productos y
servicios
✓ No se obtuvo evidencia de niveles adecuados de aprobación de compras
Deficiente El sistema de control evaluado no presenta un nivel de madurez suficiente para mitigar
de forma adecuada riesgos altos identificados por Auditoria Interna. Se requiere la
atención inmediata de la Gerencia para mejorar controles.
Inadecuado El sistema de control evaluado no permite mitigar riesgos identificados por auditoría
interna, llevando los a un nivel aceptable de acuerdo a definiciones de la Dirección.
Adecuado El sistema de control es adecuado, ya que permite mitigar riesgos de nivel alto y medio
de acuerdo a las definiciones de la Dirección.
Satisfactorio El sistema de control es maduro y permite mitigar riesgos, llevándolos a un nivel

aceptable de acuerdo a las definiciones de la Dirección.
3
CONFIDENCIAL
Los principales hallazgos de auditoria son:
1. Ausencia de Políticas y Procedimientos
Durante nuestra revisión, pudimos observar la inexistencia de:
• Política para la ejecución de proyectos

• Política de seguridad de la compañía
• Procedimientos para la evaluación de proyectos
• Procedimientos para la adquisición de servicios y productos
• Procedimientos para el seguimiento de proyectos
• Procedimientos para cierre de proyectos
2. Selección de proveedores
En nuestra revisión observamos que:

• No se realizan cotizaciones para la selección de proveedores
• El personal que solicita los productos y servicios es la misma que selecciona a los proveedores
• No se consideran niveles de autorización formales vía sistema
• No existe personal independiente que monitoree las actividades de compra y recepción de materiales y
servicios.
• El personal que solicita, selecciona al proveedor y aprueba la compra es quien acepta el servicio o recibe el
producto.
• No se cuenta con contratos formales con proveedores
2. Ausencia de personal de supervisión independiente para proyectos
En nuestra revisión observamos que no se ha definido un equipo de personas independiente que realice un
proceso de supervisión y control sobre las actividades de proyectos. Si bien se considera personal que emite
reportes de gestión de los proyectos, no son independientes de la ejecución, ya que realizan actividades de registro
de transacciones asociadas a los proyectos y tienen una dependencia directa de los responsables de ejecutar las
actividades del proyecto.
3. Falla en el registro y control de insumos para proyectos
En nuestra revisión observamos que los productos e insumos que la división de proyectos utiliza de otras divisiones
de negocio y de proveedores externos, no queda registrado más que como gasto en los proyectos. Debido a esto,
no existe un adecuado seguimiento de los productos que requieren ser transportados, no existe evidencia de la
recepción conforme de los productos y no se logra determinar la existencia de productos sobrantes o no utilizados
en los distintos proyectos.
4
CONFIDENCIAL
Todas las observaciones, hallazgos y recomendaciones fueron presentados y discutidos con las Gerencias
involucradas.
Durante la ejecución de nuestro trabajo, no se tuvo limitaciones al alcance.
Gerente Auditoria Interna Gerente General
El reporte firmado original es mantenido en archivos en la oficina del Gerente de Auditoria Interna.
5
CONFIDENCIAL
Resumen de Observaciones
Título Rating Responsable Fecha
1. Medio
2. Alto
3. Alto
4. Alto
5. Medio
6. Medio
7. Medio
8. Bajo
9. Bajo
6
CONFIDENCIAL
REPORTE DE AUDITORIA INTERNA - OBSERVACIONES Y RECOMENDACIONES
Observaciones Riesgo Recomendación Acciones comprometidas y

comentarios de la Gerencia
1. Alto Medio Bajo
Criterio:
.
Condición:
Causa:
7
CONFIDENCIAL
Prioridades
Alto Se ha detectado un riesgo no controlado que expone a la Compañía a un nivel significativo

y/o inaceptable de pérdida patrimonial.
Medio Se ha detectado un riesgo no controlado que puede afectar la operación de la compañía

debido ineficiencias, errores o irregularidades.
Bajo Se observa una debilidad de control o situación que no necesariamente requiere la pronta
atención de la gerencia, pero que en el caso de corregirse asegurará mayor eficiencia y/o
efectividad.

Ejecución de Proyectos de Auditoría

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ejecución de Proyectos de Auditoría

Cargado por

Copyright:

Formatos disponibles

Ejecución Proyectos de Auditoría Interna

• Ayuda a una organización a cumplir con sus objetivos mediante un

• Delinear los principios básicos que representan la práctica de auditoria interna

• Conocimientos, habilidades y competencias requeridos.

• Ejercitar el debido cuidado profesional.

• Promover el desarrollo profesional continuo.

• Promover el aseguramiento de la calidad y la mejora de la actividad de la auditoría

• Cumplir y promover el cumplimiento del Código de Ética del IIA.

– Proporciona un diseño estructural de cómo se estructura un cuerpo de

– Propósito: organizar una gran variedad de guías para la práctica de AI existente y

– Ayudar a los profesionales a ser responsables, al prestar un servicio de auditoría

• CODIGO DE ETICA: Promover una cultura ética en la profesión de AI.

• Principios relevantes para la profesión y práctica de la AI.

– Honestidad, diligencia y responsabilidad

– Respetarán las leyes y divulgarán lo que corresponde de acuerdo con ley y la

– No participarán a sabiendas en una actividad ilegal o en actos que vayan en

– Respetarán y contribuirán a los objetivos legítimos y éticos de la organización

– No participarán en ninguna actividad o relación que pueda perjudicar o aparente

– No aceptarán nada que pueda perjudicar o aparente perjudicar su juicio profesional.

• Estatuto: Propósito, Autoridad y Responsabilidad (1000-1)

• Nivel de Reporte suficiente para cumplir sus responsabilidades (Niveles Superiores:

• El Director Ejecutivo de Auditoría (DEA) debe tener comunicación permanente con

• Comité de Auditoría compuesto sólo por miembros externos al Consejo o Equivalente,

• Norma 1000 – Propósito, Autoridad y Responsabilidad.

• Independencia y Objetividad (Norma 1100)

– Independencia es de la actividad de Auditoría Interna y Objetividad es del Auditor

• Independencia: (Norma 1110)

– Responder a un nivel jerárquico que permita cumplir las responsabilidades de A.I.

– Actitud imparcial y neutral

• Impedimentos a la independencia u objetividad: (Norma 1130)

• Estatutos, Independencia, Objetividad…Cont..

• Los A.I. deben abstenerse de evaluar (aseguramiento) operaciones específicas de las

• Por ejemplo, si hubieran en Auditoría Interna, responsabilidades de cumplimiento.

• Pericia Profesional (Norma 1210)

– Atributos de los Auditores Internos como individuos y de la actividad de auditoría

– La actividad de auditoría interna, colectivamente, debe reunir u obtener los

– Obtener asesoramiento competente y asistencia si el personal de auditoría interna

– El auditor interno debe tener suficientes conocimientos para identificar los

• Debido Cuidado Profesional (Norma 1220)

– A.I. deben cumplir su trabajo con el cuidado y la pericia que se esperan de un

– Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras

• El auditor interno debe ejercer el debido cuidado profesional al considerar:

– El alcance necesario para lograr los objetivos del trabajo.

• Estandar 1230. Desarrollo profesional continuo

• Coordinación (Norma 2050)

• Aseguramiento de Calidad (Norma 1300)

• Evaluaciones de calidad externas e internas periódicas y

• Reporte sobre el Programa de Calidad

• Utilización de “Realizado de Acuerdo con las Normas”

• Declaración de Incumplimiento (1322)

• Cuando el incumplimiento afecte el alcance general o el funcionamiento de la actividad

• El nivel de la Auditoría Interna mejora mediante:

• Comunicación y Aprobación (Norma 2020)

• Funciones del Comité de Auditoría

• Los planes de personal y presupuestos financieros, incluyendo la cantidad de auditores

• Políticas y Procedimientos (Norma 2040)

• Manuales de Auditoría (Técnicos)

• Temas técnicos Especiales

COSO ERM es aplicable en Ambiente Interno

Verificación Financiera del

Pérdidas por Pérdidas por

Bajo Medio Alto

Pruebas de Control o Cumplimiento

Riesgo Residual Definitivo