Diapositiva 1 - Chec
Diapositiva 1 - Chec
Diapositiva 1 - Chec
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CONTENIDO
OBJETIVO GENERAL
CONCEPTOS SOBRE PLANIFICACION GENERAL EN AUDITORIA<br />
1. Definiciones y requisitos contenidos en Normas Internacionales de Auditoría<br />
Establecer planes basados en riesgos<br />
1<br />
•Análisis integral de<br />
todos los elementos<br />
internos y externos<br />
a la organización.<br />
Administrar y gestionar la actividad de auditoria interna<br />
Los Planes de Auditoría deberán ser consistentes con las<br />
metas de la Organización<br />
El Plan de Auditoría debe estar basado en una evaluación de<br />
riesgos<br />
2<br />
•Determinar eventos<br />
de mayor<br />
relevancia.<br />
Actividades<br />
definidas en la<br />
Norma<br />
Internacional de<br />
Auditoria Interna.<br />
El DEA debe:<br />
Prepara el Plan de Auditoria basándose en el Universo de<br />
Auditoria<br />
Analizar las actividades a realizar en su plan considerando las<br />
competencias de su personal debe aceptar los trabajos de<br />
auditoría solicitados por la administración y el comité de<br />
auditoria<br />
3<br />
•Formular Plan<br />
Anual de Auditoria<br />
de los procesos<br />
que requieren<br />
mayor dedicación.<br />
comunicar los planes y requerimientos de recursos de la<br />
actividad de auditoría interna, incluyendo los cambios<br />
provisorios significativos<br />
Debe comunicar al Comité de Auditoria el impacto de<br />
cualquier limitación de recursos para ejecutar una actividad<br />
que podría estar o no en el plan<br />
Asegurar que los recursos para la auditoría interna sean<br />
adecuados, suficientes y efectivamente asignados<br />
Informar periódicamente al Comité de Auditoria sobre la<br />
actividad de auditoría interna en lo referido al propósito,<br />
autoridad, responsabilidad (Estatuto de Auditoria Interna) y<br />
desempeño de su plan.
2. Etapa de Planificación General en el Proceso de Auditoría<br />
PROCESO DE AUDITORIA<br />
Planificación de<br />
la Auditoria<br />
Norma IIA 2010<br />
Planificación del<br />
Trabajo<br />
Norma IIA 2200<br />
Desempeño del<br />
Trabajo<br />
Norma IIA 2300<br />
Comunicación<br />
de Resultados<br />
Norma IIA<br />
2400<br />
Seguimiento<br />
del Progreso<br />
Norma IIA 2500<br />
RETROALIMENTACION
3. Escenarios para la Etapa de Planificación General en Auditoría<br />
SI<br />
NO
FASES GENÉRICAS EN LA ETAPA<br />
DE PLANIFICACIÓN DE AUDITORIA<br />
Fuentes de<br />
Informacion<br />
Adicionales<br />
Nivel de Priorización<br />
en la Matriz de<br />
Riesgos y Controles<br />
por Proceso<br />
Obtención de información de la organización y<br />
del contexto externo<br />
Definición del alcance de las fuentes de<br />
información a utilizar para la planificación<br />
Formulación del Plan Anual de Auditoría<br />
Presentación del Plan Anual de Auditoría al<br />
Comité de Auditoria para su aprobación<br />
Determinación de indicadores y metas para<br />
evaluar y controlar el avance del Plan<br />
R<br />
E<br />
T<br />
R<br />
O<br />
A<br />
L<br />
I<br />
M<br />
E<br />
N<br />
T<br />
A<br />
C<br />
I<br />
O<br />
N
Obtención de información de la organización y del contexto externo
Definición del alcance de las fuentes de información a utilizar para la planificación<br />
1. Estudio<br />
Preliminar<br />
Definición de la forma de trabajo aplicando la Metodología para obtener<br />
el valor de la exposición al riesgo y el ranking de priorización<br />
2. Metodología<br />
Priorización de<br />
Riesgos para la<br />
Elaboración del<br />
Plan Anual de<br />
Auditoria<br />
2.1. Identificación de<br />
Riesgos<br />
2.2. Análisis del riesgo<br />
absoluto (sin controles)<br />
2.3. Evaluación de<br />
controles existentes<br />
2.4. Evaluación del riesgo<br />
con control<br />
2.1.1. Identificación de los Objetos de Impacto<br />
2.1.2. Identificación de Fuentes de Riesgo<br />
2.2.1. Probabilidad Absoluta<br />
2.2.2. Consecuencia /Impacto<br />
2.2.3. Nivel de Riesgo Absoluto<br />
2.3.1. Evaluación de los atributos de Diseño y<br />
Operación de los controles<br />
2.3.2. Análisis del riesgo con control (Riesgo<br />
Residual)<br />
3. Método de<br />
Definición de otras<br />
Variables de<br />
Priorización para la<br />
Elaboración el Plan<br />
Anual de Auditoria.<br />
3.1. Variables o Factores estratégicos para determinar la criticidad y<br />
priorización de los procesos<br />
3.2. Importancia estratégica de cada variable para priorizar procesos en el<br />
plan de auditoria
2.1. Identificación de Riesgos<br />
Estratégico<br />
Operacional<br />
Información<br />
Cumplimiento
2.1.1. Identificación de los Objetos de Impacto<br />
Estratégico<br />
Operacional<br />
Información<br />
Cumplimiento<br />
• Financiero<br />
• Proyecto<br />
• Gobierno<br />
• Regulatorio<br />
• Continuidad de<br />
servicio<br />
• Prestación del<br />
servicio<br />
• Calidad del<br />
Servicio<br />
• Físicos<br />
• Tecnología<br />
• Contractual<br />
• Personas<br />
• Ingresos<br />
• Costos y Gastos<br />
• Ambiente de<br />
Trabajo<br />
• Integridad<br />
• Confidencialidad<br />
• Oportunidad<br />
• Disponibilidad<br />
• Relevancia<br />
• Confiabilidad<br />
• Interrelación<br />
con entes<br />
externos de<br />
control<br />
• Sancionatorio
2.1.2. Identificación de Fuentes de Riesgo<br />
Métodos de<br />
trabajo<br />
Relaciones<br />
Comerciales,<br />
contractuales y<br />
de cooperación<br />
Circunstancias<br />
Políticas y<br />
normativas<br />
Eventos<br />
Naturales<br />
Fuentes de<br />
Riesgo<br />
Circunstancias<br />
Económicas<br />
Infraestructura<br />
Individuos o<br />
grupos<br />
externos<br />
Individuos o<br />
grupos internos
2.2.1.Probabilidad Absoluta<br />
Valoración de la Probabilidad<br />
Probabilidad Definición Valor<br />
Altamente<br />
probable<br />
Alta probabilidad de ocurrencia.<br />
Es probable que ocurra muchas<br />
veces.<br />
Probabilidad<br />
estadística<br />
5 > 84% ≤100%<br />
Frecuencia<br />
Más de 10<br />
veces al año.<br />
Probable<br />
Significativa probabilidad de<br />
ocurrencia.<br />
Es probable que ocurra varias veces.<br />
4 > 50% ≤84%<br />
Entre 1 vez y<br />
10 veces al<br />
año.<br />
Ocasional<br />
Mediana probabilidad de ocurrencia.<br />
Es probable que ocurra algunas<br />
veces.<br />
3 >16% ≤50%<br />
Una vez entre<br />
1 y 5 años.<br />
Remota<br />
Baja probabilidad de ocurrencia.<br />
Es poco probable que ocurra pero es<br />
posible.<br />
2 >2% ≤16%<br />
Una vez entre<br />
los 5 y los 20<br />
años.<br />
Improbable<br />
Es casi imposible que ocurra.<br />
Puede ocurrir en circunstancias<br />
excepcionales.<br />
1 0% ≤2%<br />
Una vez en 20<br />
o más años.<br />
Frecuencia: Según el número de veces que el riesgo se ha materializado en un<br />
tiempo determinado, para ello se requiere de registros de eventos de pérdida (datos<br />
históricos).
2.2.2.Consecuencia /Impacto<br />
Valoración de las Consecuencias Objetos de Impacto<br />
CONSECUENCIA VALOR CRITERIO<br />
Riesgo cuya materialización influye altamente en el cumplimiento<br />
de los objetivos estratégicos y pérdida patrimonial y deterioro de<br />
Catastrófica<br />
la imagen, dejando además sin funcionar totalmente o por un<br />
5 período importante de tiempo, los servicios que entrega la<br />
Empresa.<br />
Mayor<br />
4<br />
Riesgo cuya materialización influye significativamente en el<br />
cumplimiento de los objetivos estratégicos ó pérdida patrimonial o<br />
deterioro de la imagen ó dejando sin funcionar por un periodo de<br />
tiempo considerable los servicios que entrega la Empresa.<br />
Moderada<br />
Menor<br />
Insignificante<br />
3<br />
2<br />
1<br />
Riesgo cuya materialización causaría ya sea una pérdida<br />
importante en el patrimonio o un deterioro significativo de la<br />
imagen. Además, se requeriría una cantidad de tiempo importante<br />
en investigar y corregir los daños.<br />
Riesgo que causa un daño en el patrimonio o imagen, que se<br />
puede corregir en el corto tiempo y que no afecta el cumplimiento<br />
de los objetivos estratégicos.<br />
Riesgo que puede tener un pequeño o nulo efecto en la Empresa.
Probabilidad Absoluta<br />
2.2.3.Nivel de Riesgo Absoluto<br />
Matriz de Riesgo Absoluto<br />
5<br />
Altamente<br />
probable<br />
5 (20%) 10 (40%) 15 (60%) 20 (80%) 25 (100%)<br />
4 Probable 4 (16%) 8 (32%) 12 (48%) 16 (64%) 20 (80%)<br />
3 Ocasional 3 (12%) 6 (24%) 9 (36%) 12 (48%) 15 (60%)<br />
2 Remota 2 (8%) 4 (16%) 6 (24%) 8 (32%) 10 (40%)<br />
1 Improbable 1 (4%) 2 (8%) 3 (12%) 4 (16%) 5 (20%)<br />
Insignificante Menor Moderada Mayor Catastrófica<br />
1 2 3 4 5<br />
Consecuencia/Impacto<br />
Criterios de Aceptabilidad Riesgo Absoluto<br />
Criterio de<br />
Aceptabilidad<br />
Nivel de Riesgo Absoluto<br />
Aceptable ≤ 12%<br />
Tolerable > 12% y ≤ 24%<br />
Inaceptable > 24% y ≤ 48%<br />
Inadmisible > 48% y ≤ 100%
2.3.1.Evaluación de los atributos de los controles<br />
Evaluación de Atributos<br />
Atributos<br />
1. Ejecución<br />
del control<br />
2. Alcance del<br />
Control<br />
3. Frecuencia<br />
de aplicación<br />
del control<br />
4. Estructura<br />
del control<br />
5. Fallas<br />
históricas del<br />
control<br />
Calificación<br />
Manual (1): El control es aplicado por las personas.<br />
Combinado (3): Parte del control es aplicado por las personas y parte es<br />
programada a través de sistemas de información u otros sistemas de tipo<br />
tecnológico.<br />
Automatizado (5): La aplicación del control es programada a través de<br />
sistemas de información u otros sistemas de tipo tecnológico.<br />
Parcial (1): El control cubre una parte o una muestra de lo que se<br />
requiere Controlar.<br />
Total (5): El control cubre todo lo que se requiere controlar<br />
Discrecional (1): La aplicación del control se da a criterio del responsable.<br />
Esporádico (2): El control se aplica en circunstancias eventuales u<br />
ocasionales.<br />
Periódico (3): El control se aplica con una frecuencia previamente<br />
establecida.<br />
Continuo (5): El control se aplica siempre y no puede ser omitido bajo<br />
ninguna circunstancia.<br />
Simple (1): El control no responde a una secuencia lógica y ordenada y<br />
no permite detectar fallas en su ejecución.<br />
Medianamente estructurado (3): El control posee una secuencia<br />
moderadamente lógica y ordenada y no siempre implementa<br />
mecanismos de detección y respuesta a errores de ejecución.<br />
Estructurado (5): El control tiene una secuencia lógica y ordenada, y<br />
permite detectar y dar respuesta a los errores que se producen durante<br />
su ejecución, proporcionando retroalimentación para su mejoramiento.<br />
Se presentan frecuentes fallas del control (1): El control ha presentado<br />
fallas o desviaciones frecuentemente.<br />
Se presentan esporádicas fallas del control (3): El control ha presentado<br />
fallas o desviaciones eventualmente.<br />
No se han detectado fallas del control (5): El control no ha presentado<br />
fallas o desviaciones.<br />
Interpretación de Resultados Calificación de los<br />
atributos de Diseño y Operación del Control<br />
ESCALA VALORACIÓN INTERPRETACIÓN<br />
< 20% Ausente El control no existe<br />
≥ 20% y<br />
< 60%<br />
≥ 60% y<br />
≤ 81%<br />
>81% y<br />
≤100%<br />
Deficiente<br />
Adecuado<br />
Óptimo<br />
El control existe sin embargo, hay<br />
deficiencias en su diseño o<br />
aplicación.<br />
El control existe, su diseño es<br />
adecuado y hay un nivel<br />
satisfactorio de aplicación.<br />
El control existe, su diseño es<br />
adecuado, se aplica y contribuye<br />
de manera efectiva al logro de<br />
los objetivos, de la dependencia<br />
o del proceso.
2.3.2. Análisis del riesgo con control (Riesgo Residual)<br />
Calificación del Riesgo Residual<br />
CLASIFICACION DEL RIESGO RESIDUAL<br />
RIESGO<br />
CONTROL<br />
Optimo Adecuado Deficiente Ausente<br />
Inadmisible Inaceptable Inaceptable Inadmisible Inadmisible<br />
Inaceptable Tolerable Tolerable Inaceptable Inaceptable<br />
Tolerable Aceptable Aceptable Tolerable Tolerable<br />
Aceptable Aceptable Aceptable Aceptable Aceptable
2.4. Evaluación del riesgo con control<br />
Criterios de Aceptabilidad<br />
Criterio de<br />
Aceptabilidad<br />
Nivel de Riesgo<br />
con Control<br />
Aceptable ≤ 12%<br />
Tolerable > 12% y ≤ 24%<br />
Inaceptable<br />
> 24% y ≤ 48%<br />
Inadmisible > 48% y ≤ 100%<br />
Descripción<br />
El riesgo se encuentra en un nivel que puede asumirse sin<br />
necesidad de tomar otras medidas de control diferentes<br />
a las que se poseen.<br />
Se deben tomar acciones para mejorar o rediseñar los<br />
controles existentes o diseñar nuevos controles, sin<br />
embargo, tienen una prioridad de segundo nivel, por lo<br />
tanto las acciones pueden ser tomadas a mediano plazo y<br />
realizarse con los recursos ordinarios del proceso.<br />
Debido al alto impacto que tendrían en el proceso, se<br />
deben tomar acciones para mejorar o rediseñar los<br />
controles existentes o diseñar nuevos controles. Estas<br />
acciones se deben tomar en el corto plazo y pueden<br />
implicar recursos extraordinarios del proceso.<br />
Dado su impacto en el logro de los objetivos deben ser<br />
intervenidos en forma inmediata y por lo tanto se deben<br />
tomar acciones para mejorar o rediseñar los controles<br />
existentes o diseñar nuevos controles. La intervención<br />
de este nivel de riesgo es de alta prioridad.
3. Método de Definición de otras Variables de Priorización para la<br />
Elaboración el Plan Anual de Auditoria<br />
Enfoque general del proceso de planeación<br />
Nivel de criticidad<br />
según la matriz de<br />
riesgos y controles<br />
por procesos<br />
Peso del Proceso<br />
Expectativas de la<br />
Gerencia y el<br />
Comité de<br />
Auditoria<br />
Cambios<br />
significativos en el<br />
negocio<br />
Seguimiento a<br />
planes de mejora<br />
Informes ente<br />
interno y externos<br />
de control
La función de Auditoria basada en Riesgos se Modula así….<br />
Se articula los interese de la gerencia , el comité de auditoria y las<br />
actividades recurrentes en un proceso de evolución y mejora continua<br />
alrededor del Plan definitivo.
3.1.Variables o Factores estratégicos para determinar la criticidad<br />
y priorización de los procesos<br />
Variable Relevante<br />
Descripción Variable<br />
Criterios de Evaluación<br />
1. Plantilla para<br />
Análisis Riesgos y<br />
Controles<br />
50%<br />
Analiza la<br />
criticidad de los<br />
Procesos teniendo<br />
en cuenta los<br />
riesgos y<br />
controles<br />
El proceso corresponde a los de criticidad Inadmisible e<br />
Inaceptable: 5<br />
El proceso en la matriz tiene criticidad Tolerable: 3<br />
El proceso en la matriz tiene criticidad Aceptable: 1<br />
2. Peso del Proceso<br />
10%<br />
Nivel de<br />
contribución al<br />
logro del<br />
Direccionamiento<br />
estratégico<br />
Procesos que afecten el cumplimiento del direccionamiento<br />
estratégico, además que no haya sido auditados en el<br />
último año. Procesos que requieran informes de<br />
cumplimiento externo. Procesos que hayan tenido eventos<br />
de fraude en el año anterior=5<br />
Procesos que afectan la operatividad, continuidad de los<br />
servicios ofrecidos por la empresa y soporte a los mismos=3<br />
Proceso que no afectan el cumplimiento del<br />
direccionamiento estratégico. Procesos donde se han hecho<br />
varias auditorías o acompañamiento en el año<br />
inmediatamente anterior=1
3.1.Variables o Factores estratégicos para determinar la criticidad<br />
y priorización de los procesos<br />
Variable Relevante Descripción Variable Criterios de Evaluación<br />
3. Informes de<br />
auditoría interna<br />
8%<br />
Analizar los resultados<br />
de las auditorías, en<br />
particular de los<br />
riesgos y controles<br />
mitigantes de los<br />
procesos.<br />
Los hallazgos del informe permiten concluir que los<br />
controles mitigantes son insuficientes: 5<br />
Los hallazgos del informe permiten concluir que los<br />
controles mitigantes son regulares: 3<br />
Los hallazgos del informe permiten concluir que los<br />
controles mitigantes son buenos: 1<br />
4. Seguimiento<br />
realizado a<br />
planes de mejora<br />
8%<br />
Analizar los informes de<br />
seguimiento, en especial<br />
el grado de implantación<br />
de las recomendaciones<br />
en el proceso<br />
El proceso no presenta mejoras, los compromisos no<br />
se han implementado o sólo parcialmente: 5<br />
El proceso demuestra un mejoramiento medio: 3<br />
El proceso demuestra un mejoramiento importante y<br />
los compromisos implementado han solucionado las<br />
observaciones: 1<br />
5. Informes de<br />
Revisoría Fiscal<br />
Auditoría Externa<br />
de Gestion y<br />
Resultados y otros<br />
entes Externos de<br />
Control.<br />
8%<br />
Analizar los resultados de<br />
las auditorías externas, en<br />
particular la conclusión<br />
referida a las deficiencias<br />
y debilidades de control y<br />
cómo estas afectan el<br />
desarrollo del proceso y el<br />
cumplimiento de sus<br />
objetivos<br />
El informe concluye que el proceso presenta graves<br />
deficiencias que de no ser superadas podrían<br />
impedir el logro del objetivo del proceso: 5<br />
El informe concluye que si bien el proceso se<br />
desarrolla se observan deficiencias de control que<br />
podrían afectar el cumplimiento de su objetivo: 3<br />
El informe concluye que el proceso se desarrolla en<br />
forma adecuada con debilidades que no afectan el<br />
cumplimiento de su objetivo: 1
3.1.Variables o Factores estratégicos para determinar la criticidad<br />
y priorización de los procesos<br />
Variable Relevante Descripción Variable Criterios de Evaluación<br />
6. Informes de la<br />
Contraloría General<br />
de Medellín<br />
8%<br />
Analizar los resultados de<br />
los informes de la<br />
Contraloría General de<br />
Medellín, en especial las<br />
observaciones que se<br />
realizan y cómo estas<br />
afectan a los procesos<br />
El informe señala que el proceso presenta<br />
deficiencias graves: observaciones reiteradas, mal<br />
manejo de recursos, etc.: 5<br />
El informe señala que el proceso presenta<br />
deficiencias que podrían afectar su desarrollo : 3<br />
El informe señala que el proceso se desarrolla<br />
correctamente con debilidades menores:1<br />
7. Cambios<br />
significativos en el<br />
negocio y los<br />
nuevos procesos,<br />
programas,<br />
sistemas o sistemas<br />
de control<br />
8%<br />
Analizar la importancia de<br />
los cambios que se han<br />
generado en el periodo<br />
previo a la Planificación<br />
en la Organización.<br />
Existen varios cambios que pueden tener efectos<br />
significativos en el proceso: 5<br />
Existen algunos cambios que pueden tener efectos<br />
de nivel medio en el proceso: 3<br />
No existen cambios en el proceso o los generados<br />
no lo afectan: 1
3.2.Importancia estratégica de cada variable para priorizar<br />
procesos en el plan de auditoria<br />
Peso del Proceso<br />
8%<br />
8%<br />
10%<br />
Nivel de priorización Matriz de Riesgos y<br />
Controles por Procesos<br />
8%<br />
Informes de auditoría interna<br />
8%<br />
Seguimiento realizados a planes de mejora<br />
8%<br />
50%<br />
Informes de Revisoría Fiscal Auditoría Externa de<br />
Gestion y Resultados y otros entes Externos de<br />
Control.<br />
Informes de la Contraloría General de Medellín<br />
Cambios significativos en el negocio y los nuevos<br />
procesos, programas, sistemas o sistemas de<br />
control
Formulación del Plan Anual de Auditoría<br />
Basado en normas Internacionales para el ejercicio profesional de la Auditoria<br />
Interna, referidas a la planificación, el Plan de Auditoría debe formularse<br />
anualmente, es decir, dicho plan al momento de su presentación, reflejará las metas<br />
para el año siguiente, los tipos de auditoría a realizarse, los procesos a auditarse, el<br />
alcance general de las auditorías, las estimaciones de uso de recursos para el<br />
período, entre otros.<br />
Elementos básicos del plan anual de auditoria<br />
1.Documentación<br />
del Plan Anual de<br />
Auditoria<br />
•La documentación de la metodología y los formatos<br />
utilizados para formular el plan se encuentran en el<br />
Sistema de Gestión Integral en el proceso de Verificación<br />
Independiente.<br />
2.Recursos<br />
considerados<br />
•Recursos materiales<br />
•Equipo de Auditoria y responsable del equipo<br />
•Horas de auditoria<br />
•Cronograma general del Plan
Presentación del Plan Anual de Auditoría al<br />
Comité de Auditoria para su aprobación
Determinación de indicadores y metas para<br />
evaluar y controlar el avance del Plan
Nivel de Priorización en la Matriz de Riesgos y<br />
Controles por Proceso<br />
MATRIZ CONSOLIDADA PRIORIZACION PLAN DE AUDITORIA<br />
RANKING DE PRIORIZACIÓN<br />
CRONOGRAMA DE TRABAJO 2011
¿Inquietudes?