Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ejecución de Proyectos de Auditoría
Ejecución de Proyectos de Auditoría
Primavera 2017
Auditoria Interna
• DEFINICIÓN AUDITORÍA INTERNA: Es una actividad independiente
y objetiva de aseguramiento y consulta concebida para agregar
valor y mejorar las operaciones de una organización.
• Independencia y objetividad.
• NORMAS PROFESIONALES
– NORMAS DE ATRIBUTOS (De la 1000 a 1322)
– NORMAS DE DESEMPEÑO ( De la 2000 a 2600)
– NORMAS DE IMPLANTACION (Integrada con anteriores, pero separando aseguramiento y
consulta)
Código de Ética
• CODIGO DE ETICA: Se aplica tanto a las personas como a las entidades que prestan servicios
de auditoría interna.
• Principios
– Integridad: provee la base para confiar en su juicio.
– Objetividad: Evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios
sin dejarse influir indebidamente por sus propios intereses o por otras personas.
– Confidencialidad: Respetan el valor y la propiedad de la información que reciben y no divulgan
información sin la debida autorización, a menos que exista una obligación legal o profesional
para hacerlo.
– Competencia: Los A.I. aplican el conocimiento, aptitudes y experiencia necesarios al
desempeñar los servicios de auditoría interna.
Código de Ética
• Integridad:
• Objetividad:
– Divulgarán todos los hechos materiales que conozcan y que, de no ser divulgados,
pudieran distorsionar el informe de las actividades sometidas a revisión.
Código de Ética
• Confidencialidad:
– Serán prudentes en uso y protección de la información adquirida en el transcurso de su
trabajo.
– No utilizarán información para lucro personal o de alguna manera que fuera contraria a la ley o
en detrimento de los objetivos legítimos y éticos de la organización.
• Competencia:
– Participarán sólo en aquellos servicios para los cuales tengan los suficientes conocimientos,
aptitudes y experiencia.
– Desempeñarán todos los servicios de auditoría interna de acuerdo con las Normas
Internacionales para el Ejercicio Profesional de la Auditoría Interna.
– Mejorarán continuamente sus aptitudes y la eficacia y calidad de sus servicios.
Estándares para la Profesión
• Debe ser adecuados para permitir a auditoría interna lograr sus objetivos. Escrito y
Reevaluado periódicamente.
– Misión y Alcance
– Responsabilidad
– Independencia
– Autoridad
– Normas para el Ejercicio de la Auditoría Interna
• Objetividad:(Norma 1120)
– Si se viese comprometida de hecho o apariencia, detalles deben darse a conocer a las partes
correspondientes.
Estándares para la Profesión
• Los trabajos de aseguramiento (auditoría) para funciones por las cuales el DEA, tiene
responsabilidades, deben ser evaluadas por alguien fuera de la actividad de auditoría
interna.
– Los auditores internos deben reunir los conocimientos, las aptitudes y otras
competencias necesarias para cumplir con sus responsabilidades individuales.
• Pericia Profesional…….
• Aseguramiento de Calidad..continuación….
– Proceso para supervisar y evaluar la eficacia general del programa de calidad. Este proceso
debe incluir tanto evaluaciones internas como externas.
• Evaluaciones Internas
– Revisiones continuas del desempeño de la actividad de auditoría interna
– Revisiones periódicas mediante autoevaluación o mediante otras personas dentro de la
organización, con conocimiento de las prácticas de auditoría interna y de las Normas.
• Evaluaciones Externas
– Deben realizarse evaluaciones externas al menos una vez cada cinco años por un revisor o
equipo de revisión cualificado e independiente, proveniente de fuera de la organización.
Estándares para la Profesión
• El director ejecutivo de auditoría debe comunicar los resultados de las evaluaciones externas al
Consejo.
• Se anima a los auditores internos a informar que sus actividades son "realizadas de acuerdo con
las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna".
• Sin embargo, los auditores internos podrán utilizar esta declaración sólo si las evaluaciones del
programa de mejoramiento de calidad demuestran que la actividad de auditoría interna cumple
con las Normas.
Estándares para la Profesión
• Aseguramiento de Calidad..continuación….
• Si bien la actividad de auditoría interna debe lograr el cumplimiento total de las Normas
y los auditores internos deben lograr el cumplimiento total del Código de Ética, puede
haber casos en los cuales no se logre el cumplimiento total.
– Productos de Calidad
– Evitar preocupaciones por lo NO IMPORTANTE
– Comprender todas las áreas de la Organización
– Enfatizar competencia y profesionalismo de los AI : Ocuparse de aquellos servicios
que tienen conocimiento, habilidades y competencia
– Ofrecer colaboración para resolver problemas gerenciales.
– Ver todas las recomendaciones con los ojos de la alta dirección.
– Mantenerse a la delantera en técnicas de gestión modernas: Asistencia a la
dirección.
Planificación, Riesgo y
Comunicaciones
• Planificación (Norma 2010)
– El director ejecutivo de auditoría debe establecer planes basados en los riesgos, a fin de
determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser
consistentes con las metas de la organización.
– Evaluación de riesgos realizada anualmente.
– Tener en cuenta los comentarios de la alta dirección y del Consejo.
• Características y Responsabilidades
• El director ejecutivo de auditoría debe asegurar que los recursos de auditoría interna
sean adecuados, suficientes y efectivamente asignados para cumplir con el plan
aprobado.
• El DEA debe establecer un programa para la selección y el desarrollo de los recursos humanos de
la actividad de Auditoría Interna. El programa debe contemplar:
– La descripción escrita de los puestos de trabajo, para cada nivel del personal de auditoría.
– La selección de personal cualificado y competente respecto de las áreas a auditar y las
habilidades de auditoría interna a aplicar.
– La capacitación, y proporcionar oportunidades de educación continua para cada auditor
interno.
– Establecer objetivos anuales de desempeño para los auditores internos.
– La evaluación del desempeño de cada auditor interno al menos una vez al año.
– Proporcionar consejo a los auditores internos sobre su desempeño y desarrollo profesional.
Planificación, Riesgo y
Comunicaciones
• Administración de Recursos
– El director ejecutivo de auditoría debe considerar la utilización de personal a partir de
acuerdos de externalización conjunta (co-sourcing), otros consultores, o empleados de otros
departamentos de la compañía, para proporcionar habilidades especializadas o adicionales
cuando sea necesario.
– Fuentes de Personal
– Técnicas de Entrevista y Examen
– Capacitación del Personal
– Evaluación del Personal
Respuesta al Riesgo
Actividades de Control
Información y Comunicación
Monitoreo
Modelo Alternativo Riesgo Operacional
Actividades de Control
Información y Comunicación
Monitoreo
Riesgos Inherentes y Residual
Solicitud de Garantías
Medio
Seguros
BAJO
Aceptar Mitigar
BAJO ALTO
Actividades de Control
Conflicto con la
Riesgo Externo
comunidad. (RSE)
8% 1%
4%
Este riesgo contempla los posibles conflictos que se pueden generar en la relación con los stakeholders relevantes, en
cada zona relevante para alcanzar los objetivos de la compañía.
• Impacto: Interrupción operacional, pérdida de permisos para operar, pérdida de permisos para operar, Daño a la
imagen de la compañía.
• Probabilidad: Requerimientos no tratados de stakeholders, nuevos proyectos, expansión de instalaciones, nuevas
comunidades, descubrimiento de sitios históricos, arqueológicos y/o de relevancia para las comunidades,
sanciones recurrentes, etc.
Ejemplo Riesgo Externo
41
Ejemplo Riesgo Mixto
Filtraciones Filtraciones
25 10
50% 35%
Secreta Confidencial
50% 30%
Filtración al
mercado de
Riesgo Externo
información
confidencial
15% 5%
Crítica Clasificada
15% 15%
Filtraciones
Filtraciones
1
1
42
Riesgo de Información
43
Universo Auditable
Resultados de Auditorias Previas
Factores de Riesgos (Importancia y Cambios)
Link entre Riesgos Estratégicos y Procesos
Riesgos Estratégicos
Politics
2
2
Economy
2
2
2
Disaster
Macro
Environment
Crisis / Conflicts
Link entre Riesgos Estratégicos y Procesos
Litigations
Fraud & Corruption
1
1
1
1
1
1
1
1
1
Compliance
Legal &
P olicy L andscape
Regulations
Partners
Organization
Procurement
2
2
2
2
2
2
2
IT Service
Support
Business
IT Security
1
Business Portfolio
Business Plan
2
2
2
2
2
Planning
Projects
Reputation
1
Communication
CSR
Image
Corporate Brand
Imports
2
New E ntrants
Identificación y Evaluación de Riesgos
Year Planning 2010
Main Menu
IA Risk List
IA Plan Template
Priority of Sub-processes
Days Contracted
In Audit Scope
Acumulated
Field Work
Post Audit
Pre Audit
Priority
Total
To be Included in the
Processes Subprocesses IA Plan
1. Marketing and Sales 1.3 Pricing (incl. rebates and discounts) 3 15 3 21 21 Included 1 Y
1. Marketing and Sales 1.4 Selling and account management 3 16 5 24 45 Included 1 Y
1. Marketing and Sales 1.6 Sales service 3 6 3 12 57 Included 1 Y
8. Purchasing 8.4 Purchasing of goods & services 2 20 3 25 82 Included 1 Y
2. Manufacturing 2.4 Inventories 3 20 3 26 108 Included 1 Y
2. Manufacturing 2.2 Maintenance 2 22 3 27 135 Included 1 Y
6. Human Resources 6.2 Payroll 2 15 3 20 155 Included 1 Y
8. Purchasing 8.5 Contracting services 2 15 3 20 175 Included 1 Y
8. Purchasing 8.2 Vendor selection 3 10 3 16 191 Included 2 Y
5. Finance & Controlling 5.3 Accounts receivables & credit mgt. 3 20 3 26 217 Included 2 Y
3. Logistics 3.1 Terminal operations 3 20 3 26 243 Not Included 2 Y
1. Marketing and Sales 1.5 Sales order management 3 12 3 18 261 Not Included 2 Y
5. Finance & Controlling 5.1 Treasury and cash management 3 12 3 18 279 Not Included 2 Y
5. Finance & Controlling 5.9 Capital expenditure 3 10 3 16 295 Not Included 2 Y
6. Human Resources 6.5 Loans and advances 3 10 3 16 311 Not Included 2 Y
5. Finance & Controlling 5.6 Financial accounting & fixed assets 2 10 5 17 328 Not Included 2 Y
3. Logistics 3.2 Intra-company shipping 3 20 3 26 354 Not Included 2 Y
6. Human Resources 6.8 Health & Safety 3 15 3 21 375 Not Included 2 Y
5. Finance & Controlling 5.2 Accounts payables 3 20 4 27 402 Not Included 2 Y
3. Logistics 3.3 Shipping to customers 3 20 4 27 429 Not Included 2 Y
5. Finance & Controlling 5.7 Cost accounting & controlling 3 20 4 27 456 Not Included 2 Y
2. Manufacturing 2.7 AFR 3 15 4 22 478 Not Included 2 Y
5. Finance & Controlling 5.8 Taxation 3 10 3 16 494 Not Included 2 Y
Proceso estándar para la emisión del Reporte Final: Regla de los 30 días
1 2
~ 2 días 2 semanas Si
Reunión Reporte Comentarios Reporte
de Cierre Borrador De la Final
Gerencia
No
Informes con mas de 30 días
1- El Reporte Borrador debe estar listo
idealmente en la reunión de cierre -------------------------
Recordar 3
Informes emitidos
2- 2 días para preparar el Reporte Borrador
1 semana
3- El mail para recordar el plazo de los
comentarios es enviado por AI Comentarios Si Reporte
De la Final
Gerencia
No
Informes sin acciones
El ciclo desde la reunión de cierre Reporte Final sin
puede tomar máximo 30 días ! Comentarios -------------------------
De la Gerencia
Informes emitidos
Reporte de Hallazgos y Conclusión
Calificación de hallazgos
▪ Specific (Específico)
▪ Measurable (Medible)
▪ Achievable (Alcanzable)
▪ Time (Plazo)
Principio Importante:
PROCESO DE AUDITORÍA 4
2 PLANIFICACIÓN 11
2.1 EL PROCESO DE GESTIÓN DE RIESGOS 12
2.1.1 DEFINICIÓN DE UNIVERSALIDAD 14
2.1.2 JERARQUÍA Y CLASIFICACIÓN DE RIESGOS 15
2.1.3 FACTORES DE PONDERACIÓN DE PROCESOS Y SUBPROCESOS 16
2.1.4 IDENTIFICACIÓN DE RIESGOS 18
2.1.5 EVALUACIÓN DE RIESGOS 21
2.1.6 EVALUACIÓN DE RIESGOS ESTRATÉGICOS 23
2.1.7 NIVEL ACEPTABLE E INTOLERABLE DE RIESGO 23
2.1.8 PRIORIZACIÓN DE LOS PROCESO Y SUBPROCESOS 23
5 MUESTREO ESTADÍSTICO. 41
5.1 DETERMINACIÓN DE TAMAÑO DE LA MUESTRA 41
5.2 SELECCIÓN DE REGISTROS DE LA MUESTRA. 42
Proceso de Auditoría
El procesos de auditoría interna, describe como las empresa determinan lo que se espera
de la función de Auditoría, determinar las prioridades en base a riesgos, ejecutar proyectos
de auditoría, comunicar los resultados y realizar seguimiento de las actividades
comprometidas por la gerencia en cada revisión.
El proceso es secuencial, y cada etapa entrega información útil para la siguiente etapa. Para
el caso específico de Concha y Toro, el proceso es en base anual, es decir, el proceso se
reinicia cada año, siendo los resultados de las etapas finales la fuente de información
principal para el inicio del proceso en el año siguiente.
Planificación Ejecución de
Reporte Seguimiento
Definición de AI AI
de AI
Etapas Entregables
• Llevar a cabo reuniones con los principales Stakeholders para obtener una clara
comprensión de sus preocupaciones y expectativas, para discutir el proceso de
Auditoría Interna y los entregables (el contenido, forma y momento). Aspectos a corto
plazo como a largo plazo (3 a 5 años) deben tenerse en cuenta.
• Confirmar el enfoque de Auditoría Interna con los principales Stakeholders
• Identificar otros Stakeholders pertinentes (ver los comentarios y el gráfico a
continuación)
• Identificar los intereses y preocupaciones de otros Stakeholders relevantes, solicitar
opinión para áreas potenciales de revisión y coordinación de actividades.
• La Junta de Directores.
• La Administración, tales como los miembros del Comité Ejecutivo y Gerentes, Gerente
General.
• Terceros relevantes a tener en cuenta
En el gráfico siguiente se resumen los distintos tipos de Stakeholders que pueden estar
involucrados en la Planificación de Auditoría Interna.
El archivo permanente por un lado incluye notas de entrevistas de las reuniones con los
Stakeholders (expectativas de los Stakeholders) y por otro lado incluye información
integral sobre el universo de auditoría interna, por ejemplo, plan de negocios, reportes de
control, indicadores de desempeño, evaluación de riesgos de negocio y de procesos de
negocio, y una visión global de todas las locaciones y actividades de la Compañía. El archivo
permanente es una referencia fundamental en la etapa de Planificación de la Auditoría
Interna.
2 Planificación
Definición Ejecución de
Reporte Seguimiento
de AI AI
Planificación
de AI
Esta etapa considera todas las mejores prácticas establecidas por el Instituto de auditores
internos internacional, la asociación de auditores de sistemas de información, la asociación
de examinadores de fraudes certificados y la experiencia práctica obtenida en distintas
industrias y empresas nacionales y extranjeras.
En primer lugar esta fase requiere que se realice la definición de riesgos, los tipos de riesgos
de acuerdo al nivel jerárquico de quien debe supervisarlo y gestionarlo y todo lo
concerniente con el proceso general de gestión de riesgos.
Este proceso debe tener como característica principal el ser sistemático, es decir la
capacidad de retroalimentarse de sus propios resultados, ajustando periódicamente los
elementos que lo componen, con la finalidad de apoyar la toma de decisiones en todos los
niveles organizacionales y en la asignación eficiente de recursos de supervisión y control.
El proceso expuesto en este documento está diseñado para apoyar tanto a la gestión de
riesgos para toma de decisiones como a las unidades de control independientes.
El modelo requiere cumplir con algunas características específicas para satisfacer los
objetivos antes mencionados, las cuales se han incorporado en las distintas etapas del
proceso. Estas características son:
Universalidad
Jerarquía de riesgos
Debido a que si no se establecen claramente los patrones para asignar un puntaje para
cuantificar el potencial impacto de la materialización de un riesgo y la probabilidad de que
el riesgo se materialice. Este elemento se traduce en una matriz única de evaluación de
riesgos, que es utilizada por todas las unidades que requieren evaluar riesgos.
• Riesgos Estratégicos
• Riesgos Operacionales
Los riesgos estratégicos, son aquellos que han sido establecidos por la Dirección de la
compañía, y que representan un potencial daño a la organización como un todo, ya sea
debilitando su posición negociadora, su sustentabilidad, afectando el cumplimiento de
objetivos estratégicos, perdiendo eficiencia operativa y/o financiera o generando un daño
al entorno y/o al personal. Estos riesgos si bien son identificados, descritos y gestionados
por la Dirección y la Alta Gerencia, se evalúan en base a los resultados de los riesgos que
existen a nivel operacional en conjunto con factores de riesgos del entorno de la compañía.
Los riesgos operacionales son aquellos eventos potenciales que pueden generar un daño a
la organización en las actividades diarias de la empresa. Estos son gestionados por los
responsables de cada proceso y subproceso, quienes deben asegurar que estos se
encuentran bajo niveles de exposición aceptables. Estos riesgos a su vez han sido
clasificados en base a sus características propias y en base a la unidad responsable de
monitorearlos de forma independiente. Esta clasificación es:
• Riesgo de la Operación
• Riesgo de Fraude
• Riesgo de Información
Con la finalidad de asignar una adecuada ponderación a cada proceso y subproceso, se han
definido un número limitado de factores que permitirán iniciar la priorización. Estos
factores corresponden a condiciones generales que permiten definir un subproceso como
con mayor o menor exposición a los riesgos, los cuales han sido seleccionados
considerando las mejores prácticas internacionales y las condiciones particulares de la
compañía. Estos factores son:
Este factor requiere que el resultado global de cada revisión de Auditoría interna, quede
expresado de forma estandarizada tanto en los reportes como en la comunicación oficial al
dueño del proceso involucrado y al Comité de Auditoría. Cada revisión requiere una
evaluación estándar del nivel de control que posee el proceso y su efecto en la mitigación
de los riesgos. En este caso se han definido los siguientes niveles:
• Valor 0 (Muy Buena) = El sistema de control permite mitigar a nivel aceptable todos
los riesgos evaluados en el o los subprocesos
• Valor 1 (Buena) = El sistema de control permite mitigar a nivel aceptable la mayor
parte de los riesgos evaluados, existiendo mejoras de control que permitirían dejar
todos los riesgos en nivel aceptable
• Valor 2 (Regular) = El sistema de control no permite mitigar los riesgos evaluados,
existiendo riesgos residuales que se encuentran por sobre los niveles aceptables.
Existen mejoras propuestas a los controles que deben ser tratados por la
Administración.
• Valor 3 (Deficiente) = El sistema de control implementado no mitiga de forma
adecuada los riesgos evaluados, existiendo riesgos residuales en niveles
intolerables. Las mejoras propuestas a los controles deben ser tratadas de forma
urgente por la Administración.
Estos valores son asignados de acuerdo a las evaluaciones de auditoría interna de los
últimos 3 años, asignándoles una ponderación de 20% al año −3; un 35% al año −2 y un 45%
al año −1. En los casos en que el subproceso analizado no ha sido evaluado en los últimos 3
años, corresponde asignar el valor más alto de la evaluación (Valor 3)
Estos valores son asignados por las unidades de control en conjunto con los dueños de
procesos y validados por la Alta Gerencia.
El factor final ponderador de cada subproceso, corresponde a la suma de los tres factores
antes descritos.
De acuerdo a estas consideraciones, se pueden considerar entre otros los siguientes riesgos
como estratégicos:
• Daño a la Imagen
• Interrupción operacional
• Falta de liquidez
• Incumplimiento de objetivos y/o ineficiencias
• Fraude Corporativo
• Incumplimiento normativo
La selección definitiva de cada riesgo, debe ser revisada y aprobada anualmente tanto por
el Comité de Auditoría como por el Directorio.
Para iniciar el proceso de identificación, es necesario determinar cuales son los elementos
que se pueden ver afectados durante las actividades de la empresa y por el accionar de
terceros. Es necesario destacar que un enfoque ampliamente aceptado y que tiene
resultados efectivos, es comenzar por los objetivos de cada proceso y subproceso, y
comenzar a identificar eventos que pueden afectar adversamente el logro de tales
objetivos. Sin embargo, este enfoque requiere asegurar que los riesgos identificados son
los adecuados y que son consistentes con los objetivos de estratégicos del negocio. Debido
a que la finalidad del proceso de gestión de riesgos no considera la planificación estratégica
y la correspondiente definición de objetivos, se utilizará un enfoque mas amplio para la
identificación de riesgos, esto es la identificación de daños patrimoniales y los eventos que
pueden generar este daño:
• Daño Imagen
• Pérdidas Financieras
• Daño a la Información
• Daño al personal
• Daño a la infraestructura
• Pérdida de Know-how
• Pérdida de derechos o permisos para operar
b) Identificación de Eventos
Una vez definidos los daños que pueden afectar adversamente a la organización, en
conjunto con cada unidad de negocio, se inicia la identificación de eventos que pueden
generar estos daños en las actividades diarias de la empresa.
La identificación inicial de los eventos se genera en reuniones de trabajo con personal clave
de cada subproceso, en la cual se señalan las acciones que pueden fallar ya sea de forma
intencional o no intencional. Esto se realiza a través de “Tormentas de Ideas” que quedan
plasmadas en los documentos de trabajo.
Finalmente, la combinación del daño, el evento que lo genera y la ubicación dada por el
subproceso o la ubicación geográfica, nos permite definir completamente el riesgo,
cumpliendo siempre con la nomenclatura mínima del riesgo:
Este manual, establece dos metodologías para evaluar los riesgos, una para la evaluación
de riesgos estratégicos, en base a factores de entorno y en base a los resultados de las
evaluaciones de riesgos operacionales. Para estos últimos riesgos, se establece un método
basado en patrones y criterios comunes para ser aplicados sobre los riesgos previamente
identificados.
Los riesgos operacionales que han sido identificados en la etapa anterior, serán evaluados
de acuerdo a la percepción de impacto al negocio y de la probabilidad de ocurrencia del
riesgo en el periodo analizado. Inicialmente el periodo de evaluación o alcance de la
evaluación es en base anual, siendo factible reducir este periodo a base semestral o
trimestral. Los componentes para la evaluación de riesgos inherentes son:
Los criterios para la evaluación del riesgo se estructuran en una matriz de evaluación de
riesgos que se presenta en el Archivo 07 - Matriz de Evaluación de Riesgos.
El propósito de esta etapa es identificar los controles que permiten mitigar el riesgo
identificado. Los controles pueden ser basados en sistemas -o personas, y detectivos o
preventivos. Los mejores controles son aquellos que están basados en sistemas y son
preventivos. El siguiente esquema muestran los tipos de controles a identificar.
El resultado del análisis es cargado en la matriz riesgo control para calcular el riesgo
residual. Ver archivo 15 - Matriz Riesgo - Control
Los Estratégicos Externos son evaluados en base a las condiciones del entorno las cuales
pueden ser obtenidos de definiciones de expertos. Sin embargo, siempre requiere la
asignación de un responsable de la empesa para obtener la información de los expertos y
asignarlos al riesgo.
Los Riesgos Estratégicos Internos, son evaluados por el efecto de todos los riesgos
operacionales asociados. Para determinar el efecto de los riesgos operacionales, se utiliza
la siguiente formula:
Los Estratégicos Mixtos, se evalúan al promediar los resultados de los dos métodos
anteriores.
semestral una evaluación de los riesgos identificados en los procesos de negocio. Esta
priorización es realizada de la siguiente forma:
Para todos los subprocesos de negocio, se debe determinar los valores correspondientes a
los factores ponderadores de riesgos descritos en el capítulo IV. La suma de todos los
factores ponderadores entregará un valor de ponderación que denominamos “Factor de
riesgo” único por subproceso. Debido a que cada factor puede tomar un valor de 0 a 3, el
Factor de Riesgo puede tomar un valor de 0 a 9.
Los riesgos identificados en los subprocesos, deben ser evaluados por impacto y
probabilidad utilizando la matriz de evaluación de riesgos. Cada subproceso por esta acción
tendrá un número determinado de riesgos que tendrá un valor asignado a potencial
impacto y la probabilidad de ocurrencia del riesgo, los cuales pueden tomar valores de 1 a
5. La multiplicación de los valores de impacto y probabilidad da como resultado el nivel de
riesgo, que puede tomar un valor de 1 a 25.
Para determinar la prioridad del subproceso, se debe determinar un valor único por
subprocesos considerando los valores de Factores de Riesgos y la Evaluación de Riesgos.
Para esto se debe seguir los siguientes pasos:
• Presentar los resultados finales, las observaciones y recomendaciones que se han discutido
y acordado progresivamente con la Administración a lo largo de la auditoría.
• Preparar y emitir el Informe de la Compañía incluyendo los comentarios y planes de acción
de la Administración.
• Preparar y emitir el Informe de Auditoría con Excepciones de la Compañía.
• Preparar y emitir el Resumen Anual del Informe de AI.
Etapas Entregables
En caso de observaciones muy críticas sobre asuntos que puedan poner en peligro los
objetivos de negocio generales, AI debe considerar discutir inmediatamente el tema con el
Gerente General.
• Impresión General
- Logros
- Desafíos
• Opinión de Auditoría
• Otros Temas
Ejemplos:
XX-2013-022 – Adquisición.doc
XX-2014-033 – Inventario Piezas de Repuesto.pdf
Para los borradores del informe añadir la palabra “borrador” y la fecha al final.
Ejemplo:
XX-2014-018 - Nómina BORRADOR 20050526.doc
Los planes de acción son una parte integral del Informe de AI de la Compañía y las acciones
correctivas establecen claramente que se deben tomar, los nombres y cargos de las
personas responsables de la implementación, así como la fecha del plazo de la
implementación. Los planes de acción serán completados por la Administración dentro
delos 30 días siguientes a la emisión del borrador del informe.
Las acciones comprometidas deben ser registradas en Pentana, con la finalidad de realizar un
seguimiento efectivo. Cada acción debe ser cargada identificando fecha y responsable de la
implementación. El auditado recibirá un recordatorio vía e-mail del vencimiento de un plan de
acción. El auditado debe informar si la acción ha sido implementada o está pendiente aún de
implementar, actualizando la nueva fecha de implementación.
Para lograr que Pentana genere avisos automáticos para el seguimiento, es necesario incorporar
los contactos del personal del área auditada en el proyecto, para luego generar la acción
comprometida en Pentana
Para ingresar las acciones comprometidas a Pentana, se debe acceder a la lista de hallazgos,
seleccionar el hallazgo correspondiente y presionando click derecho adjuntar acción de la gerencia:
Los Informes de Auditoría pueden ser compartidos con los Auditores Externos .
• Resumen Ejecutivo de AI
• Visión general de todas las observaciones de auditoría
• Observaciones calificaciones altas, medias y bajas (la Lista de Observaciones
de Auditoría)
Cada acción comprometida debe ser analizada para verificar que el estado indicado en el
registro es el correcto, y verificar si la acción ha sido efectivamente implementada. Para
esto se debe realizar al menos lo siguiente:
Los resultados de esta Auditoría deben indicar para cada acción si estas fueron:
Estas auditorías deben quedar refljadas en el plan anual con un número único
independiente de las auditorías operativas.
Se emite un reporte de seguimiento trimestral que incluye todas las acciones pendientes,
vencidas o implementadas a la fecha, independiente del origen del plan de acción.
5 Muestreo Estadístico.
Para realizar muestreo estadístico en un proceso de revisión de auditoría interna, se recomienda
utilizar los siguientes crieterios:
Esta etapa se divide en seis distintas sub-etapas como se muestra en el gráfico siguiente:
Determinar
Actualizar Evaluar diseño Pruebas de
Preparación Entendimiento hallazgos y
riesgos de control auditoria
causas
Todo el proceso de Ejecución de la Auditoría Interna ilustrado anteriormente y descrito con más
detalle en las secciones siguientes, se aplica para las auditorías de procesos de negocio de extremo
a extremo para un negocio determinado (por ejemplo, marketing y ventas, compras).
El resultado de la Ejecución de Auditoría Interna debe permitir cumplir con los siguientes
entregables:
• Crear y guardar archivos de proyecto completo y finalizado en Pentana, para todos los
proyectos de auditoría realizados.
• Analizar y documentar los suprocesos auditados, a través de diagramas de flujo.
• Desarrollar y documentar los programas de trabajo de auditoría y papeles de trabajo de
auditoría de los proyectos individuales.
• Se debe formar una opinión respecto de los niveles de riesgos del subproceso auditado.
• Almacenar copias electrónicas de documentos de auditoría, y documentar las referencias
cruzadas entre papeles de trabajo y evidencia impresa.
• Generar informes de auditoría incluidas las excepciones, recomendaciones propuestas y los
planes de acción correspondientes.
Determinar
Actualizar Evaluar diseño Pruebas de
Preparación Entendimiento hallazgos y
riesgos de control auditoria
causas
Etapas:
Entregables
Una parte integral de esta etapa es más que confirmar la disponibilidad del
personal clave de la entidad auditada para las entrevistas previstas. Tenemos
también, por ejemplo, visitas a las instalaciones, inspecciones e inventarios a
realizar.
Determinar
Actualizar Evaluar diseño Pruebas de
Preparación Entendimiento hallazgos y
riesgos de control auditoria
causas
Etapas: Entregables
El auditor interno encargado del proyecto de auditoría evalúa como puede tener
lugar la mejor comunicación teniendo en cuenta el nivel de experiencia de las
personas invitadas, y prepara la reunión correspondiente. El acta de la reunión
deberá ser archivada en los papeles de trabajo de auditoría.
• Alta Dirección. Por ejemplo, para la realización de descripción del proceso (si
no fue desarrollada durante la etapa de preparación).
• Dueños de Proceso (por ejemplo, para la documentación detallada y mapeo del
proceso).
• Especialistas funcionales pertinentes (por ejemplo, caminar a través del
proceso y verificarlo).
• Personal administrativo, trabajadores de obra (por ejemplo, recorrer el proceso
y verificarlo).
• Empleados de procesos de interfaz con el proceso bajo revisión (por ejemplo,
análisis de las interfaces).
Las entrevistas con los auditados representativos, debería enfocarse en, por
ejemplo, objetivos de los procesos, roles y responsabilidades de los individuos en el
proceso, etapas de proceso, soluciones de sistemas de información que apoyan el
proceso de negocio, así como interfaces de procesos y sistemas, riesgos de proceso
y rendimiento del proceso.
• Puntos de riesgo
• Identificar los riesgos del proceso (“¿Qué puede salir mal? ¿Qué puede comprometer
los recursos administrados en del proceso?”)
• Medir y priorizar los riesgos (“¿Qué riesgos tienen potencialmente el mayor impacto?”)
• Definir y documentar los riesgos que deben analizarse en profundidad, y definir el
programa de trabajo de auditoría para el proyecto de auditoría.
Etapas Entregables
• Notas de Entrevista
• Identificar los riesgos en el proceso
• Matriz riesgo – control
• Fuentes de riesgos
• Estructura del Programa de Trabajo
• Completar matriz de riesgo control
de Auditoría
• Establecer una Lista de Riesgos de
Proceso
• Definir los riesgos a analizar en
detalle
• Validar la Lista de Riesgos de
Proceso con la Administración
Una vez cargados los riesgos, controles y pruebas por estos medios, se debe
analizar si de acuerdo al análisis del proceso, es necesario actualizar los riesgos,
controles y pruebas de auditoría. En caso de requerir incorporarlos de forma
manual, esto debe ser realizado por el auditor a cargo de la revisión. Para esto debe
ingresar a Pentana en la opción de “Agregar Objetivo”
Luesgo, para cada riesgo es necesario incoporar a cada riesgo de procesos, los
controles implementado. Para esto se utiliza “Agregar Control”
Los objetivos de esta sub-etapa, en base a las etapas del proceso de auditoría previo, son:
• Identificar los controles existentes en el proceso, identificar donde los controles están
ausentes.
• Entender cómo el desempeño de los controles del proceso son monitoreados y
medidos.
• Entender cómo es medido el rendimiento del proceso (por ejemplo, a través de figuras
clave).
• Entender qué tan bien se desarrolla el proceso comparado con, por ejemplo, fijar
objetivos, presupuestos, KPI, puntos de referencia.
• Identificar los controles más importantes y las diferencias entre el desempeño real y el
deseado de los controles de proceso, así como el proceso mismo, como prioridades
para la investigación y las pruebas adicionales en fases posteriores.
• Priorizar el trabajo de validación que se ejecutará en la etapa posterior para determinar
que controles y medidas de proceso son importantes para el logro de los objetivos del
proceso.
Etapas Entregables
Las medidas de desempeño (por ejemplo, figuras clave, KPI) son controles
específicos que determinan que tan bien está la organización, sus procesos y si su
personal alcanza los objetivos especificados. Las medidas de desempeño son, ya
sea costo, calidad o tiempo base.
El auditor interno identifica los controles de procesos actuales para los riesgos
definidos y determina si son controles generales, de seguimiento o específicos,
como se muestra en el gráfico anterior.
Los controles más eficientes son aquellos que están basados en sistemas y son
preventivos.
Efectividad
Frecuencia de los controles: Al menos uno de los controles debe tener igual o
superior frecuencia que la actividad de riesgos
El resultado del análisis es cargado en la matriz riesgo control para calcular el riesgo
residual.
El AI identifica posibles brechas entre el estado actual y las buenas prácticas para
el control, priorizando los trabajos de validación posterior, y documenta los
resultados obtenidos en la sección del programa de trabajo correspondiente.
Cuando no hay control en un lugar, el AI documenta los riesgos relevantes
resultantes de esta falta de control, así como la propuesta de diseño de control a
ser implementada. Las aclaraciones adicionales que necesitan realizarse son
documentadas como etapas del programa de trabajo.
Las siguientes etapas del programa de trabajo que se realiza han sido así definidas.
• Determinar, basado en las pruebas de los controles clave, si los controles están
operando eficaz y eficientemente para gestionar o mitigar los riesgos de procesos
identificados.
• Determinar que las medidas de desempeño claves, y otra información de toma de
decisiones en que la administración se basa, son relevantes y confiables.
Evaluar Determinar
Actualizar Pruebas de
Preparación Entendimiento diseño de hallazgos y
riesgos auditoria
control causas
Etapas Entregables
Las pruebas de cumplimiento son usadas para probar la eficacia operativa de los
controles, de los que se asume que el diseño ha sido considerado como adecuado
y efectivo. En caso de requerir muestreo, se utiliza muestreo por registros.
Para determinar el alcance de las pruebas se utiliza la evaluación del riesgo residual
por diseño, siguiendo los siguientes criterios:
• Reuniones facilitadas
• Entrevistas
• Observación e inspección
• Revisión de la documentación
• Confirmación
• Representación
• Revisión analítica
• Análisis de datos
• Evaluar y verificar
• Seguimiento del proceso
• Encuesta
• Digitalización
• Conciliación
• Re-cálculo y valoración de las pruebas
• Etc.
El AI revisa y valida los resultados de las pruebas y los hallazgos preliminares con el
Dueño de procesos/control y en su caso con el Administrador.
Etapas
▪ Observaciones validadas y
▪ Definir los brechas /observaciones a
documentadas
ser analizadas
▪ Identificar las causas de las brechas ▪ Narración de los riesgos
▪ Calificar la significancia de relacionados
brechas/observaciones ▪ Documentación de las soluciones
▪ Definir posibles acciones correctivas /recomendaciones
para las brechas de control y ▪ Documentación completa de los
desempeño procedimientos de auditoría
▪ Formular observaciones, riesgos, aplicados
recomendaciones para los planes de
acción
▪ Obtener respuesta del Dueño de
Procesos/Administración
▪ Completar el trabajo en terreno, y
prepararse para la presentación del
informe.
Entregables
El equipo de AI debería definir en esta etapa un enfoque para los problemas que no
pertenecen al alcance definido en el proyecto de auditoría realizado.
Si bien las brechas u observaciones, nacen de la percepción del AI, este se puede
apoyar en el nivel de riesgo residual obtenido en la matriz riesgo control luego de
la aplicación de las pruebas. Existirán brechas simpre que el nivel de riesgo residual
sea superior al nivel amarillo definido en la Matriz de Evaluación de Riesgos. Las
brechas pueden ser:
1.6.3.4 Definir Posibles Acciones Correctivas para las Brechas de Control y Desempeño
El AI define posibles acciones correctivas a las brechas de control y desempeño
identificados y determina el costo/beneficio/riesgos de cada acción propuesta. Las
bases de datos de Buenas Prácticas pueden ser utilizadas para la elaboración de
recomendaciones. De ese modo el AI considera apropiadamente el tamaño y la
complejidad del proceso y de la Compañía Auditada, y el entorno en que esta
opera.
Las soluciones de valor añadido deben cumplir al menos uno de los siguientes
criterios:
• PROM = Promedio de los niveles de riesgo residual de los riesgos asociados al subproceso
• MAX = Nivel de riesgo residual máximo de los riesgos del subproceso
Nivel 5 5 10 15 20 25
Nivel 4 4 8 12 16 20
Nivel 3 3 6 9 12 15
Nivel 2 2 4 6 8 10
Nivel 1 1 2 3 4 5
Informa informa a
ausentismo remunerac.
3 12
Informa Informa Informa Informa
haberes y haberes y retención cambios
descuentos descuentos alimenticia cotizaciones
11 11 11
2
Completa Recibe y carga
planilla de 4 datos
Horas Extra
SAP
Genera nómina
preliminar
Genera reporte
para validación
Aprobado
? No
Si
Informa a
Finanzas monto
a reservar
Envía Reserva
correo con saldo en
nómina cuenta
para aprob.
Genera
archivos
para banco
9
8
Sube
nómina a
banco
Modifica Aprobado
? Aprobado
No ? No
Si Si
Actualiza Actualiza datos Inicia Actualiza Actualiza Actualiza Realiza
Información Horas extra periofo haberes y haberes y cambios pagos a
ausentismo nómina def. descuentos descuentos cotizaciones personal
3 12 2 11 11
4
Recibe y
centraliza
11
Genera
archivos
nómina
Existe
diferencia de
sueldo
Positivo o
Positivo
negativo?
Negativo
Sistema
registra como
prestamo y
descuento
para próximo
periodo
SAP
Incluye en
nómina
definitiva
Informa Prepara
monto para disponibilidad
reserva de fondos
10
Envía
archivo
para
revisión 8
9
6
Sube archivo
de nómina al
Banco
Gerente Analiza y
Finanzas valida
adicional revisa
Si Si
Genera Transfiere
liquidación y fondos
publica
Número de Auditoria:
Proceso o Subproceso
15.06.2011 - 31.07.2011
Introducción
De acuerdo con el Plan Anual de Auditoria Interna 2011 de Compañía XXXX, realizamos una auditoria sobre
el proceso de ZZZZZZ, específicamente sobre el subproceso de YYYY, en el periodo 05.01.2011 al
31.01.2011.
El objetivo de la revisión realizada estuvo dirigido a verificar y validar la existencia, integridad y efectividad de los
controles establecidos por la administración en el subproceso.
Sobre este subproceso los riesgos y controles evaluados fueron los que se presentan en la siguiente tabla:
La efectividad de los controles establecidos fue evaluada en base a muestras y documentación e información
recibida durante el trabajo de campo.
Esta auditoría no intentó cubrir todos los procesos ni identificar todas las debilidades en el ambiente de control.
Limitaciones al Alcance:
2
CONFIDENCIAL
En nuestra opinión el sistema de control implementado para el proceso de XXXX debe ser calificado como
(Deficiente, Requiere Mejora, Satisfactorio o Bueno), ya que controles claves están ausentes y otros no
están operando como fueron definidos.
Deficiente El sistema de control evaluado no presenta un nivel de madurez suficiente para mitigar
de forma adecuada riesgos altos identificados por Auditoria Interna. Se requiere la
atención inmediata de la Gerencia para mejorar controles.
Inadecuado El sistema de control evaluado no permite mitigar riesgos identificados por auditoría
interna, llevando los a un nivel aceptable de acuerdo a definiciones de la Dirección.
Adecuado El sistema de control es adecuado, ya que permite mitigar riesgos de nivel alto y medio
de acuerdo a las definiciones de la Dirección.
3
CONFIDENCIAL
2. Selección de proveedores
En nuestra revisión observamos que no se ha definido un equipo de personas independiente que realice un
proceso de supervisión y control sobre las actividades de proyectos. Si bien se considera personal que emite
reportes de gestión de los proyectos, no son independientes de la ejecución, ya que realizan actividades de registro
de transacciones asociadas a los proyectos y tienen una dependencia directa de los responsables de ejecutar las
actividades del proyecto.
En nuestra revisión observamos que los productos e insumos que la división de proyectos utiliza de otras divisiones
de negocio y de proveedores externos, no queda registrado más que como gasto en los proyectos. Debido a esto,
no existe un adecuado seguimiento de los productos que requieren ser transportados, no existe evidencia de la
recepción conforme de los productos y no se logra determinar la existencia de productos sobrantes o no utilizados
en los distintos proyectos.
4
CONFIDENCIAL
Todas las observaciones, hallazgos y recomendaciones fueron presentados y discutidos con las Gerencias
involucradas.
Durante la ejecución de nuestro trabajo, no se tuvo limitaciones al alcance.
El reporte firmado original es mantenido en archivos en la oficina del Gerente de Auditoria Interna.
5
CONFIDENCIAL
Resumen de Observaciones
1. Medio
2. Alto
3. Alto
4. Alto
5. Medio
6. Medio
7. Medio
8. Bajo
9. Bajo
6
CONFIDENCIAL
Condición:
Causa:
7
CONFIDENCIAL
Prioridades
Bajo Se observa una debilidad de control o situación que no necesariamente requiere la pronta
atención de la gerencia, pero que en el caso de corregirse asegurará mayor eficiencia y/o
efectividad.