Diapositiva 1 - Chec

CONTENIDO

OBJETIVO GENERAL

CONCEPTOS SOBRE PLANIFICACION GENERAL EN AUDITORIA
1. Definiciones y requisitos contenidos en Normas Internacionales de Auditoría
Establecer planes basados en riesgos
1
•Análisis integral de
todos los elementos
internos y externos
a la organización.
Administrar y gestionar la actividad de auditoria interna
Los Planes de Auditoría deberán ser consistentes con las
metas de la Organización
El Plan de Auditoría debe estar basado en una evaluación de
riesgos
2
•Determinar eventos
de mayor
relevancia.
Actividades
definidas en la
Norma
Internacional de
Auditoria Interna.
El DEA debe:
Prepara el Plan de Auditoria basándose en el Universo de
Auditoria
Analizar las actividades a realizar en su plan considerando las
competencias de su personal debe aceptar los trabajos de
auditoría solicitados por la administración y el comité de
auditoria
3
•Formular Plan
Anual de Auditoria
de los procesos
que requieren
mayor dedicación.
comunicar los planes y requerimientos de recursos de la
actividad de auditoría interna, incluyendo los cambios
provisorios significativos
Debe comunicar al Comité de Auditoria el impacto de
cualquier limitación de recursos para ejecutar una actividad
que podría estar o no en el plan
Asegurar que los recursos para la auditoría interna sean
adecuados, suficientes y efectivamente asignados
Informar periódicamente al Comité de Auditoria sobre la
actividad de auditoría interna en lo referido al propósito,
autoridad, responsabilidad (Estatuto de Auditoria Interna) y
desempeño de su plan.

2. Etapa de Planificación General en el Proceso de Auditoría
PROCESO DE AUDITORIA
Planificación de
la Auditoria
Norma IIA 2010
Planificación del
Trabajo
Norma IIA 2200
Desempeño del
Trabajo
Norma IIA 2300
Comunicación
de Resultados
Norma IIA
2400
Seguimiento
del Progreso
Norma IIA 2500
RETROALIMENTACION

3. Escenarios para la Etapa de Planificación General en Auditoría
SI
NO

FASES GENÉRICAS EN LA ETAPA
DE PLANIFICACIÓN DE AUDITORIA
Fuentes de
Informacion
Adicionales
Nivel de Priorización
en la Matriz de
Riesgos y Controles
por Proceso
Obtención de información de la organización y
del contexto externo
Definición del alcance de las fuentes de
información a utilizar para la planificación
Formulación del Plan Anual de Auditoría
Presentación del Plan Anual de Auditoría al
Comité de Auditoria para su aprobación
Determinación de indicadores y metas para
evaluar y controlar el avance del Plan
R
E
T
R
O
A
L
I
M
E
N
T
A
C
I
O
N

Obtención de información de la organización y del contexto externo

Definición del alcance de las fuentes de información a utilizar para la planificación
1. Estudio
Preliminar
Definición de la forma de trabajo aplicando la Metodología para obtener
el valor de la exposición al riesgo y el ranking de priorización
2. Metodología
Priorización de
Riesgos para la
Elaboración del
Plan Anual de
Auditoria
2.1. Identificación de
Riesgos
2.2. Análisis del riesgo
absoluto (sin controles)
2.3. Evaluación de
controles existentes
2.4. Evaluación del riesgo
con control
2.1.1. Identificación de los Objetos de Impacto
2.1.2. Identificación de Fuentes de Riesgo
2.2.1. Probabilidad Absoluta
2.2.2. Consecuencia /Impacto
2.2.3. Nivel de Riesgo Absoluto
2.3.1. Evaluación de los atributos de Diseño y
Operación de los controles
2.3.2. Análisis del riesgo con control (Riesgo
Residual)
3. Método de
Definición de otras
Variables de
Priorización para la
Elaboración el Plan
Anual de Auditoria.
3.1. Variables o Factores estratégicos para determinar la criticidad y
priorización de los procesos
3.2. Importancia estratégica de cada variable para priorizar procesos en el
plan de auditoria

2.1. Identificación de Riesgos
Estratégico
Operacional
Información
Cumplimiento

2.1.1. Identificación de los Objetos de Impacto
Estratégico
Operacional
Información
Cumplimiento
• Financiero
• Proyecto
• Gobierno
• Regulatorio
• Continuidad de
servicio
• Prestación del
servicio
• Calidad del
Servicio
• Físicos
• Tecnología
• Contractual
• Personas
• Ingresos
• Costos y Gastos
• Ambiente de
Trabajo
• Integridad
• Confidencialidad
• Oportunidad
• Disponibilidad
• Relevancia
• Confiabilidad
• Interrelación
con entes
externos de
control
• Sancionatorio

2.1.2. Identificación de Fuentes de Riesgo
Métodos de
trabajo
Relaciones
Comerciales,
contractuales y
de cooperación
Circunstancias
Políticas y
normativas
Eventos
Naturales
Fuentes de
Riesgo
Circunstancias
Económicas
Infraestructura
Individuos o
grupos
externos
Individuos o
grupos internos

2.2.1.Probabilidad Absoluta
Valoración de la Probabilidad
Probabilidad Definición Valor
Altamente
probable
Alta probabilidad de ocurrencia.
Es probable que ocurra muchas
veces.
Probabilidad
estadística
5 > 84% ≤100%
Frecuencia
Más de 10
veces al año.
Probable
Significativa probabilidad de
ocurrencia.
Es probable que ocurra varias veces.
4 > 50% ≤84%
Entre 1 vez y
10 veces al
año.
Ocasional
Mediana probabilidad de ocurrencia.
Es probable que ocurra algunas
veces.
3 >16% ≤50%
Una vez entre
1 y 5 años.
Remota
Baja probabilidad de ocurrencia.
Es poco probable que ocurra pero es
posible.
2 >2% ≤16%
Una vez entre
los 5 y los 20
años.
Improbable
Es casi imposible que ocurra.
Puede ocurrir en circunstancias
excepcionales.
1 0% ≤2%
Una vez en 20
o más años.
Frecuencia: Según el número de veces que el riesgo se ha materializado en un
tiempo determinado, para ello se requiere de registros de eventos de pérdida (datos
históricos).

2.2.2.Consecuencia /Impacto
Valoración de las Consecuencias Objetos de Impacto
CONSECUENCIA VALOR CRITERIO
Riesgo cuya materialización influye altamente en el cumplimiento
de los objetivos estratégicos y pérdida patrimonial y deterioro de
Catastrófica
la imagen, dejando además sin funcionar totalmente o por un
5 período importante de tiempo, los servicios que entrega la
Empresa.
Mayor
4
Riesgo cuya materialización influye significativamente en el
cumplimiento de los objetivos estratégicos ó pérdida patrimonial o
deterioro de la imagen ó dejando sin funcionar por un periodo de
tiempo considerable los servicios que entrega la Empresa.
Moderada
Menor
Insignificante
3
2
1
Riesgo cuya materialización causaría ya sea una pérdida
importante en el patrimonio o un deterioro significativo de la
imagen. Además, se requeriría una cantidad de tiempo importante
en investigar y corregir los daños.
Riesgo que causa un daño en el patrimonio o imagen, que se
puede corregir en el corto tiempo y que no afecta el cumplimiento
de los objetivos estratégicos.
Riesgo que puede tener un pequeño o nulo efecto en la Empresa.

Probabilidad Absoluta
2.2.3.Nivel de Riesgo Absoluto
Matriz de Riesgo Absoluto
5
Altamente
probable
5 (20%) 10 (40%) 15 (60%) 20 (80%) 25 (100%)
4 Probable 4 (16%) 8 (32%) 12 (48%) 16 (64%) 20 (80%)
3 Ocasional 3 (12%) 6 (24%) 9 (36%) 12 (48%) 15 (60%)
2 Remota 2 (8%) 4 (16%) 6 (24%) 8 (32%) 10 (40%)
1 Improbable 1 (4%) 2 (8%) 3 (12%) 4 (16%) 5 (20%)
Insignificante Menor Moderada Mayor Catastrófica
1 2 3 4 5
Consecuencia/Impacto
Criterios de Aceptabilidad Riesgo Absoluto
Criterio de
Aceptabilidad
Nivel de Riesgo Absoluto
Aceptable ≤ 12%
Tolerable > 12% y ≤ 24%
Inaceptable > 24% y ≤ 48%
Inadmisible > 48% y ≤ 100%

2.3.1.Evaluación de los atributos de los controles
Evaluación de Atributos
Atributos
1. Ejecución
del control
2. Alcance del
Control
3. Frecuencia
de aplicación
del control
4. Estructura
del control
5. Fallas
históricas del
control
Calificación
Manual (1): El control es aplicado por las personas.
Combinado (3): Parte del control es aplicado por las personas y parte es
programada a través de sistemas de información u otros sistemas de tipo
tecnológico.
Automatizado (5): La aplicación del control es programada a través de
sistemas de información u otros sistemas de tipo tecnológico.
Parcial (1): El control cubre una parte o una muestra de lo que se
requiere Controlar.
Total (5): El control cubre todo lo que se requiere controlar
Discrecional (1): La aplicación del control se da a criterio del responsable.
Esporádico (2): El control se aplica en circunstancias eventuales u
ocasionales.
Periódico (3): El control se aplica con una frecuencia previamente
establecida.
Continuo (5): El control se aplica siempre y no puede ser omitido bajo
ninguna circunstancia.
Simple (1): El control no responde a una secuencia lógica y ordenada y
no permite detectar fallas en su ejecución.
Medianamente estructurado (3): El control posee una secuencia
moderadamente lógica y ordenada y no siempre implementa
mecanismos de detección y respuesta a errores de ejecución.
Estructurado (5): El control tiene una secuencia lógica y ordenada, y
permite detectar y dar respuesta a los errores que se producen durante
su ejecución, proporcionando retroalimentación para su mejoramiento.
Se presentan frecuentes fallas del control (1): El control ha presentado
fallas o desviaciones frecuentemente.
Se presentan esporádicas fallas del control (3): El control ha presentado
fallas o desviaciones eventualmente.
No se han detectado fallas del control (5): El control no ha presentado
fallas o desviaciones.
Interpretación de Resultados Calificación de los
atributos de Diseño y Operación del Control
ESCALA VALORACIÓN INTERPRETACIÓN
< 20% Ausente El control no existe
≥ 20% y
< 60%
≥ 60% y
≤ 81%
>81% y
≤100%
Deficiente
Adecuado
Óptimo
El control existe sin embargo, hay
deficiencias en su diseño o
aplicación.
El control existe, su diseño es
adecuado y hay un nivel
satisfactorio de aplicación.
El control existe, su diseño es
adecuado, se aplica y contribuye
de manera efectiva al logro de
los objetivos, de la dependencia
o del proceso.

2.3.2. Análisis del riesgo con control (Riesgo Residual)
Calificación del Riesgo Residual
CLASIFICACION DEL RIESGO RESIDUAL
RIESGO
CONTROL
Optimo Adecuado Deficiente Ausente
Inadmisible Inaceptable Inaceptable Inadmisible Inadmisible
Inaceptable Tolerable Tolerable Inaceptable Inaceptable
Tolerable Aceptable Aceptable Tolerable Tolerable
Aceptable Aceptable Aceptable Aceptable Aceptable

2.4. Evaluación del riesgo con control
Criterios de Aceptabilidad
Criterio de
Aceptabilidad
Nivel de Riesgo
con Control
Aceptable ≤ 12%
Tolerable > 12% y ≤ 24%
Inaceptable
> 24% y ≤ 48%
Inadmisible > 48% y ≤ 100%
Descripción
El riesgo se encuentra en un nivel que puede asumirse sin
necesidad de tomar otras medidas de control diferentes
a las que se poseen.
Se deben tomar acciones para mejorar o rediseñar los
controles existentes o diseñar nuevos controles, sin
embargo, tienen una prioridad de segundo nivel, por lo
tanto las acciones pueden ser tomadas a mediano plazo y
realizarse con los recursos ordinarios del proceso.
Debido al alto impacto que tendrían en el proceso, se
deben tomar acciones para mejorar o rediseñar los
controles existentes o diseñar nuevos controles. Estas
acciones se deben tomar en el corto plazo y pueden
implicar recursos extraordinarios del proceso.
Dado su impacto en el logro de los objetivos deben ser
intervenidos en forma inmediata y por lo tanto se deben
tomar acciones para mejorar o rediseñar los controles
existentes o diseñar nuevos controles. La intervención
de este nivel de riesgo es de alta prioridad.

3. Método de Definición de otras Variables de Priorización para la
Elaboración el Plan Anual de Auditoria
Enfoque general del proceso de planeación
Nivel de criticidad
según la matriz de
riesgos y controles
por procesos
Peso del Proceso
Expectativas de la
Gerencia y el
Comité de
Auditoria
Cambios
significativos en el
negocio
Seguimiento a
planes de mejora
Informes ente
interno y externos
de control

La función de Auditoria basada en Riesgos se Modula así….
Se articula los interese de la gerencia , el comité de auditoria y las
actividades recurrentes en un proceso de evolución y mejora continua
alrededor del Plan definitivo.

3.1.Variables o Factores estratégicos para determinar la criticidad
y priorización de los procesos
Variable Relevante
Descripción Variable
Criterios de Evaluación
1. Plantilla para
Análisis Riesgos y
Controles
50%
Analiza la
criticidad de los
Procesos teniendo
en cuenta los
riesgos y
controles
El proceso corresponde a los de criticidad Inadmisible e
Inaceptable: 5
El proceso en la matriz tiene criticidad Tolerable: 3
El proceso en la matriz tiene criticidad Aceptable: 1
2. Peso del Proceso
10%
Nivel de
contribución al
logro del
Direccionamiento
estratégico
Procesos que afecten el cumplimiento del direccionamiento
estratégico, además que no haya sido auditados en el
último año. Procesos que requieran informes de
cumplimiento externo. Procesos que hayan tenido eventos
de fraude en el año anterior=5
Procesos que afectan la operatividad, continuidad de los
servicios ofrecidos por la empresa y soporte a los mismos=3
Proceso que no afectan el cumplimiento del
direccionamiento estratégico. Procesos donde se han hecho
varias auditorías o acompañamiento en el año
inmediatamente anterior=1

3.1.Variables o Factores estratégicos para determinar la criticidad
y priorización de los procesos
Variable Relevante Descripción Variable Criterios de Evaluación
3. Informes de
auditoría interna
8%
Analizar los resultados
de las auditorías, en
particular de los
riesgos y controles
mitigantes de los
procesos.
Los hallazgos del informe permiten concluir que los
controles mitigantes son insuficientes: 5
Los hallazgos del informe permiten concluir que los
controles mitigantes son regulares: 3
Los hallazgos del informe permiten concluir que los
controles mitigantes son buenos: 1
4. Seguimiento
realizado a
planes de mejora
8%
Analizar los informes de
seguimiento, en especial
el grado de implantación
de las recomendaciones
en el proceso
El proceso no presenta mejoras, los compromisos no
se han implementado o sólo parcialmente: 5
El proceso demuestra un mejoramiento medio: 3
El proceso demuestra un mejoramiento importante y
los compromisos implementado han solucionado las
observaciones: 1
5. Informes de
Revisoría Fiscal
Auditoría Externa
de Gestion y
Resultados y otros
entes Externos de
Control.
8%
Analizar los resultados de
las auditorías externas, en
particular la conclusión
referida a las deficiencias
y debilidades de control y
cómo estas afectan el
desarrollo del proceso y el
cumplimiento de sus
objetivos
El informe concluye que el proceso presenta graves
deficiencias que de no ser superadas podrían
impedir el logro del objetivo del proceso: 5
El informe concluye que si bien el proceso se
desarrolla se observan deficiencias de control que
podrían afectar el cumplimiento de su objetivo: 3
El informe concluye que el proceso se desarrolla en
forma adecuada con debilidades que no afectan el
cumplimiento de su objetivo: 1

3.1.Variables o Factores estratégicos para determinar la criticidad
y priorización de los procesos
Variable Relevante Descripción Variable Criterios de Evaluación
6. Informes de la
Contraloría General
de Medellín
8%
Analizar los resultados de
los informes de la
Contraloría General de
Medellín, en especial las
observaciones que se
realizan y cómo estas
afectan a los procesos
El informe señala que el proceso presenta
deficiencias graves: observaciones reiteradas, mal
manejo de recursos, etc.: 5
El informe señala que el proceso presenta
deficiencias que podrían afectar su desarrollo : 3
El informe señala que el proceso se desarrolla
correctamente con debilidades menores:1
7. Cambios
significativos en el
negocio y los
nuevos procesos,
programas,
sistemas o sistemas
de control
8%
Analizar la importancia de
los cambios que se han
generado en el periodo
previo a la Planificación
en la Organización.
Existen varios cambios que pueden tener efectos
significativos en el proceso: 5
Existen algunos cambios que pueden tener efectos
de nivel medio en el proceso: 3
No existen cambios en el proceso o los generados
no lo afectan: 1

3.2.Importancia estratégica de cada variable para priorizar
procesos en el plan de auditoria
Peso del Proceso
8%
8%
10%
Nivel de priorización Matriz de Riesgos y
Controles por Procesos
8%
Informes de auditoría interna
8%
Seguimiento realizados a planes de mejora
8%
50%
Informes de Revisoría Fiscal Auditoría Externa de
Gestion y Resultados y otros entes Externos de
Control.
Informes de la Contraloría General de Medellín
Cambios significativos en el negocio y los nuevos
procesos, programas, sistemas o sistemas de
control

Formulación del Plan Anual de Auditoría
Basado en normas Internacionales para el ejercicio profesional de la Auditoria
Interna, referidas a la planificación, el Plan de Auditoría debe formularse
anualmente, es decir, dicho plan al momento de su presentación, reflejará las metas
para el año siguiente, los tipos de auditoría a realizarse, los procesos a auditarse, el
alcance general de las auditorías, las estimaciones de uso de recursos para el
período, entre otros.
Elementos básicos del plan anual de auditoria
1.Documentación
del Plan Anual de
Auditoria
•La documentación de la metodología y los formatos
utilizados para formular el plan se encuentran en el
Sistema de Gestión Integral en el proceso de Verificación
Independiente.
2.Recursos
considerados
•Recursos materiales
•Equipo de Auditoria y responsable del equipo
•Horas de auditoria
•Cronograma general del Plan

Presentación del Plan Anual de Auditoría al
Comité de Auditoria para su aprobación

Determinación de indicadores y metas para
evaluar y controlar el avance del Plan

Nivel de Priorización en la Matriz de Riesgos y
Controles por Proceso
MATRIZ CONSOLIDADA PRIORIZACION PLAN DE AUDITORIA
RANKING DE PRIORIZACIÓN
CRONOGRAMA DE TRABAJO 2011

¿Inquietudes?