documento n° 24 - programaciÓn de auditorÍa. v.0.4

PROGRAMACIÓN EN AUDITORÍA

EN BASE A RIESGOS

MMAARRZZOO 22000088

PROGRAMA MARCO

DOCUMENTO TÉCNICO Nº 24 – VERSIÓN 0.4

PROGRAMACIÓN ESPECÍFICA DE AUDITORÍA

Programación o Planificación Específica de Auditoría

____________________________________________________________________________________________

______________________________________________________________________________ 1

TABLA DE CONTENIDOS _______________________________________________________________________________ MATERIAS PÁGINA I.- INTRODUCCIÓN 2

II.- OBJETIVO DEL DOCUMENTO 3 III.- CONCEPTOS GENERALES SOBRE PROGRAMACIÓN O PLANIFICACIÓN ESPECÍFICA 3 IV.- ELEMENTOS DEL PROGRAMA DE AUDITORÍA 4 1.- Documentación del programa de auditoría 4 2.- Identificación del programa, versión, fecha de emisión y periodo de vigencia 4 3.- Aprobación del programa de auditoría 4 4.- Tipo de Objetivo de Control 4 5.- Proceso a auditar y materia de auditoría 4 6.- Equipo de auditores y responsable del equipo 4 7.- Objetivos generales de la auditoría 5 8.- Alcance de la auditoría 5 9.- Método para determinar las muestras de auditoría 5 10.- Oportunidad y periodo 5 11.- Horas de auditoría 6 12.- Fuentes de información para formular el programa de auditoría 6 13.- Cronograma específico para realizar la auditoría 7 14.- Uso de Técnicas de Auditoría Asistidas por Computador 7 15.- Identificación de los puntos críticos en el programa de auditoría 7

15.1- Escenarios para la Etapa de Programación o Planificación Específica 7 15.2.-Definición del alcance de las fuentes de información a utilizar para la identificación

de puntos críticos en la programación de auditoría 9

15.3.-Nivel de la información a complementar para la identificación de los puntos críticos en el programa de auditoría 11

15.4.- Resultado del análisis de la información 11 15.5.- Identificación de puntos críticos 12

16.- Definición de objetivos específicos en el programa de auditoría 12 17.- Formulación de procedimientos de trabajo para cumplir con los objetivos específicos de

auditoría 12

V.- RESUMEN DEL ANÁLISIS 13 VI.- EJEMPLO DE DETERMINACIÓN DE PUNTOS CRÍTICOS PARA EL PROGRAMA DE

AUDITORÍA 14

VII.- ESQUEMA GRÁFICO DEL ANÁLISIS PARA DETERMINAR PUNTOS CRÍTICOS EN EL PROGRAMA DE AUDITORÍA, AL MOMENTO DE SU FORMULACIÓN 23

VIII.- BIBLIOGRAFÍA 24 ANEXO Nº 1 25 ANEXO Nº 2 27 ANEXO Nº 3 29 ANEXO Nº 4 35 ANEXO Nº 5 41 ANEXO Nº 6 42


____________________________________________________________________________________________

______________________________________________________________________________ 2

I.- INTRODUCCIÓN El Consejo de Auditoría en cumplimiento de la Política de Auditoría Interna General de Gobierno implementada y propiciada por el Ejecutivo para el fortalecimiento y desarrollo de los organismos, sistemas y metodologías que permitan resguardar los recursos públicos y apoyar la gestión de la Administración y los actos de Gobierno ha formulado la versión 0.4 del Documento Técnico Nº 24 – Programación o Planificación Específica de Auditoría. El auditor interno es responsable de determinar para cada trabajo los objetivos de la auditoría, el alcance, definir los procedimientos para realizar el trabajo de auditoría e identificar y analizar los riesgos relevantes que le permitan priorizar y definir el alcance de su trabajo al momento de realizar la auditoría. Las referidas actividades, entre otras, deben estar aprobadas y documentadas en un programa de auditoría para su utilización posterior al realizar la auditoría en terreno. El presente documento contiene una descripción general de los principales elementos que deben contener los programas de auditoría que utilicen las unidades de auditoría interna del Sector Gubernamental. En forma especial, se describe un enfoque metodológico propuesto para determinar los puntos críticos, los objetivos específicos de auditoría y los procedimientos de auditoría. Finalmente, en anexos adjuntos se presenta una serie de conceptos y elementos complementarios.


____________________________________________________________________________________________

______________________________________________________________________________ 3

II.- OBJETIVO DEL DOCUMENTO Entregar una propuesta metodológica para formular el programa de auditoría por las unidades de auditoría interna del Sector Público. III.- CONCEPTOS GENERALES SOBRE PROGRAMACIÓN O PLANIFICACIÓN

ESPECÍFICA La planificación específica consiste en el trabajo que el auditor realiza para determinar en base al conocimiento integral del proceso a auditar; cuáles, cómo, por quién, con qué extensión y cuándo se ejecutarán los procedimientos de trabajo, que permitan satisfacer adecuadamente los objetivos de auditoría generales y específicos propuestos. Entre los beneficios que se pueden obtener destacan:

Facilitar la organización de las actividades respecto de los objetivos de auditoría. Concentración en la identificación y evaluación de lo importante, en base a los riesgos y

controles existentes. Contribuir a la racionalización de los recursos humanos, técnicos y financieros. Fijar líneas de acción para ejecutar programadamente las labores en terreno. Guiar la obtención de evidencia de auditoría adecuada y suficiente para respaldar el

contenido del informe. Presentar evidencia objetiva de la programación de las actividades en terreno. Justificar la labor del auditor frente a cuestionamientos externos. Documentar los procedimientos utilizados para dar aseguramiento a la Jefatura del Servicio

respecto del Proceso de Gestión de Riesgos. En diversos cuerpos normativos de la disciplina de auditoría existen normas que contienen requisitos a cumplir dentro de esta etapa y que obligan a programar rigurosamente cada trabajo, considerando entre otros los siguientes elementos:

Los auditores internos deben programar cada auditoría, incluyendo su registro, el alcance, los objetivos, el tiempo y la asignación de recursos.

Al planificar el trabajo, los auditores internos deben considerar: o Los objetivos de la actividad que está siendo auditada y los medios con los cuales la

actividad controla su desempeño. o Los riesgos significativos de los procesos, sus objetivos, recursos y operaciones, y los

medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable. o La adecuación y eficacia de los sistemas de gestión de riesgos y control de la actividad

comparados con un cuadro o modelo de control relevante. o Las oportunidades de introducir mejoras significativas en los sistemas de gestión de

riesgos y control del proceso. El auditor interno es el responsable de planificar y conducir el trabajo asignado, sujeto a la

revisión y aprobación del jefe de la unidad de auditoría interna. Los auditores internos deben preparar programas de auditoría que cumplan con los

objetivos de trabajo. Estos programas deben estar registrados.


____________________________________________________________________________________________

______________________________________________________________________________ 4

IV.- ELEMENTOS DEL PROGRAMA DE AUDITORÍA En base a los requerimientos señalados en el punto III, el Consejo de Auditoría ha relevado los principales elementos que al menos debe contener el programa de auditoría1. El orden de presentación de estos elementos en el cuerpo del programa de auditoría puede variar en cada Servicio. 1.- Documentación del programa de auditoría Sin perjuicio de lo señalado en este documento técnico, será necesario que cada unidad de auditoría documente la metodología y acompañe los formatos utilizados para documentar la formulación del programa de auditoría. Para este efecto, es recomendable utilizar los instrumentos que se entregan en el del Marco Avanzado del Programa de Mejoramiento de la Gestión. - Sistema de Auditoría Interna.

2.- Identificación del programa, versión, fecha de emisión y periodo de vigencia Cada programa de auditoría debe contar con una identificación que incluya elementos tales como; un número o código de referencia única, el o los autores de su formulación, la fecha de emisión, el periodo de vigencia y el número de versión que tiene el respectivo programa, ya que cada vez que se utilice se debe actualizar su contenido. 3.- Aprobación del programa de auditoría El Jefe de la Unidad de Auditoría debe aprobar el programa antes de iniciarse su aplicación en la etapa de ejecución en terreno. Lo mismo ocurre con las modificaciones que deban realizarse durante la ejecución. En estas aprobaciones formales se requiere al menos, la fecha y firma del Jefe de Auditoría. 4.- Tipo de Objetivo de Control Se debe consignar si la auditoría es Gubernamental (G), Ministerial (M) o Institucional (I). 5.- Proceso a auditar y materia de auditoría Corresponde a la identificación del proceso - subproceso - etapa consignada en el Plan Anual correspondiente y la materia o tema específico que será auditada en éste. 6.- Equipo de auditores y responsable del equipo Se debe señalar nombre y profesión de las personas que realizarán la auditoría, incluyendo su cargo o función, las áreas y temas tratados por cada uno de ellos, cuando corresponda. Además se debe identificar el profesional que estará a cargo del equipo en la auditoría.

1 Documento que contiene los procedimientos a seguir durante el trabajo de auditoría, diseñado para cumplir con el plan de trabajo específico.


____________________________________________________________________________________________

______________________________________________________________________________ 5

7.- Objetivos generales de la auditoría Los objetivos generales corresponden a los propósitos globales que se pretende alcanzar al auditar un proceso, subproceso o etapa crítica que se va a auditar. En consecuencia, los objetivos generales aquí señalados, deben ser coherentes con los señalados previamente en el Plan Anual de Auditoría. Los objetivos generales deben ser cumplidos en la ejecución de la auditoría. El resultado y las conclusiones finales de esta actividad deben estar contenidos en el informe de auditoría. Por otra parte, los objetivos específicos de auditoría (que serán analizados más adelante en este documento) se deben relacionar directamente con los objetivos generales definidos en el programa de auditoría y con los riesgos operativos identificados como puntos críticos. En anexo Nº 1 se presenta un ejemplo de relaciones básicas entre los objetivos generales y otros elementos relevantes en la fase de programación en auditoría. 8.- Alcance de la auditoría El alcance dependerá de la estructura, complejidad y características del proceso o sistema que se auditará: período de tiempo que abarca la revisión; tamaño de la muestra auditada respecto al universo total (cantidad de personas, registros, etc.); profundidad o amplitud de análisis de los temas auditados. En el caso de auditar transferencias u otros recursos medibles en dinero, el alcance se puede expresar como el porcentaje que representa la muestra auditada respecto al total del ítem del presupuesto. En el programa debe señalarse además del alcance en términos cualitativos y/o cuantitativos, los criterios utilizados para determinar las muestras de auditoría. 9.- Método para determinar las muestras de auditoría En relación con las muestras de auditoría seleccionadas, cuando no es posible realizar una verificación total de las transacciones o hechos de una población, en consideración al tiempo y costo, éstas pueden ser determinadas usando métodos estadísticos, tales como: muestreo aleatorio simple, muestreo estratificado, muestreo por conglomerados (muestreo sistemático o muestreo por áreas) o métodos no estadísticos, tales como: muestreo por conveniencia, muestreo por juicio o muestreo por cuotas, entre otros. La muestra seleccionada debe ser representativa de acuerdo con la población en estudio, de esta forma se dará suficiente respaldo a las conclusiones obtenidas en la auditoría. Cualquiera sea el caso, el método de muestreo a utilizar en la auditoría deberá quedar descrito en el programa. 10.- Oportunidad y periodo Se refiere a la fecha de comienzo de realización de la auditoría y a la estimación del período de tiempo que se empleará en la programación, ejecución e informe de auditoría. Aquí deberá consignarse el tiempo proyectado desde el diseño de la programación hasta la elaboración del


____________________________________________________________________________________________

______________________________________________________________________________ 6

Informe final de auditoría. El período de tiempo aquí consignado debe guardar coherencia con la utilización del tiempo indicada en el informe por el auditor. 11.- Horas de auditoría Corresponde señalar y relacionar el número de horas hombre estimadas para la realización de la auditoría para cada etapa, desde la programación hasta el informe final. 12.- Fuentes de información para formular el programa de auditoría Identificar a través de un estudio preliminar cuales son las principales fuentes de información de donde obtener antecedentes para la programación de la auditoría, tales como leyes, decretos, reglamentos, normas específicas, manuales, e instructivos que regulan las operaciones en carácter general, como específicas para cada Ministerio y Servicio. Adicionalmente cuando existe un Proceso de Gestión de Riesgos formal en la entidad, una de las fuentes de información para formular el programa de auditoría es la Matriz de Riesgos Estratégica generada en dicho Proceso, sin prejuicio de esto, el auditor debería considerar adicionalmente otras fuentes de información con la finalidad de enriquecer dicha información, a modo de ejemplo:

Los papeles de trabajo y sus informes de auditoría correspondientes a revisiones anteriores, que contienen información útil sobre las características, fortalezas y riesgos de los procesos y áreas auditadas anteriormente, las transacciones que puedan requerir un análisis especial y el nivel de eficiencia del sistema de control interno de la organización y de cada proceso en particular.

Los resultados de las auditorías de aseguramiento del Proceso de Gestión del Riesgo, en

particular la calidad del levantamiento.

También podrían constituirse en una adecuada fuente de información, los resultados de la participación de empresas de auditoría externa, especialmente en casos de auditoría a los estados financieros, en asesorías a casos particulares o los resultados de la participación de algún experto en la entidad o en otras entidades del sector público, que pueda considerarse interesante como benchmarking para el Servicio.

Otra fuente de información que debe considerarse en la planificación son los informes de

fiscalización emitidos por la Contraloría General de la República en sus revisiones habituales y especiales en el Servicio y, los emitidos por otros organismos supervisores y reguladores en el uso de sus facultades.

Los informes de seguimiento, tanto los de auditoría interna, auditorías externas y

Contraloría General de la República.

Los resultados de las evaluaciones de entidades y programas que realiza la Dirección de Presupuestos (Balance de Gestión Integral, Evaluación Comprehensiva del Gasto, etc.) y las bases de datos para consulta de jurisprudencia, normas contables para el sector gubernamental de la Contraloría General de la República.


____________________________________________________________________________________________

______________________________________________________________________________ 7

Las investigaciones y procesos sumariales administrativos que se han realizado en la entidad.

Finalmente, siempre es importante considerar como fuente de información los cambios

significativos en el negocio y los nuevos procesos, programas, sistemas o sistemas de control.

Todas estas fuentes de información podrían ser usadas para analizar los puntos críticos a considerar en la formulación del programa de auditoría. 13.- Cronograma específico para realizar la auditoría Es recomendable adjuntar al programa, un cronograma estimado de actividades, confeccionado en base a los antecedentes que conforman los puntos 10 y 11 anteriores. En este cronograma se podría incluir el tiempo requerido para realizar algunos hitos que en su mayoría son comunes a toda auditoría. A modo de ejemplo:

Planificación General para determinar los elementos básicos del programa de auditoría. Programación o planificación específica para formular los procedimientos específicos de

auditoría, indicando la tarea. Tiempos de viaje y traslado de los auditores Reunión de inicio con las unidades involucradas. Levantamiento y análisis de la Información recopilada. Selección de las muestras. Aplicación de los procedimientos de auditoría. Supervisión del equipo en terreno Registro de observación señalando riesgo e implicancia y recomendación. Corrección de papeles de trabajo Entrevistas con el personal de las Unidades involucradas. Elaboración de la propuesta de Informe detallado e informe ejecutivo. Entrevista con Unidades relacionadas para analizar hallazgos y debilidades de control. Confección del informe final. Entrega de informe a la Jefatura del Servicio.

14.- Uso de Técnicas de Auditoría Asistidas por Computador En el caso que en la auditoría sea necesario utilizar aplicaciones o software de auditoría para analizar cualitativamente o cuantitativamente la información, debe dejarse constancia del software específico, su versión y cuál es el objetivo para su utilización. Sin perjuicio que en la determinación de procedimientos de auditoría aparezcan adecuadamente relacionados los objetivos específicos de auditoría, los procedimientos y la funcionalidad del software que se aplicará. 15.- Identificación de los puntos críticos en el programa de auditoría

15.1- Escenarios para la Etapa de Programación o Planificación Específica De acuerdo con normas de auditoría para realizar la programación específica se deben considerar los riesgos existentes en la organización y en particular en el proceso que se vaya a realizar la auditoría, por lo tanto en términos generales se puede dar las siguientes situaciones:


____________________________________________________________________________________________

______________________________________________________________________________ 8

a.- La Entidad Gubernamental no cuenta con un Proceso de Gestión de Riesgos En este escenario el programa de auditoría debe basarse en alguna metodología para la identificación y evaluación de riesgos relevantes, adecuadas a la naturaleza propia de cada entidad. Para llevar a cabo las actividades de programación en este escenario se recomienda considerar el modelo presentado en el Documento Técnico Nº 24 versión 0.3 del año 2006. En la práctica se trata de que la auditoría interna a través de un estudio formule una matriz preliminar para análisis que le permita definir los puntos críticos en el programa de auditoría, realizando para tal efecto una desagregación de procesos, subprocesos y etapas, identificando y valorizando riesgos y controles y definiendo finalmente la exposición al riesgo. Posteriormente en base a esa información, puede proceder a priorizar los puntos críticos que auditará. En el caso anterior, la señalada matriz es formulada sólo para efectos de sistematizar el análisis, y priorizar las actividades de auditoría en la programación y no es parte de un Proceso de Gestión de Riesgos, por lo tanto no contribuye al tratamiento de los riesgos y podría no considerar las orientaciones estratégicas de la Dirección de la entidad. b.- Existencia de un Proceso de Gestión de Riesgos formal en la Entidad

Gubernamental En este escenario destaca el hecho de que el auditor debe dar aseguramiento permanente a la Jefatura del Servicio respecto del Proceso de Gestión de Riesgos que se lleva a cabo. Una de las fuentes para formular el Plan Anual de Auditoría es la información que está en la Matriz de Riesgos Estratégica generada en el Proceso de Gestión de Riesgos en la entidad. Sin embargo, en la oportunidad de programar la auditoría será necesario evaluar si se debe enriquecer la información para el análisis y determinación de los puntos críticos para el programa de auditoría, mediante el uso de otros antecedentes provenientes de fuentes de información confiables, asociadas directamente con el trabajo del auditor. En el contexto descrito se pueden presentar dos situaciones amplias2:

Considerar fundadamente como fuente de información para la determinación de los puntos críticos en el programa de auditoría sólo la información contenida en el Plan Anual de Auditoría, que se basa principalmente en la identificación y valuación de las etapas y riesgos operativos de los subprocesos y procesos obtenidos de la Matriz de Riesgos Estratégica.

Considerar fundadamente, al momento de la programación, complementar y mejorar (sólo

para efectos del programa de auditoría) la información contenida en el Plan Anual de Auditoría, que se basa principalmente en la identificación y valuación de las etapas y riesgos operativos de los subprocesos y procesos obtenidos de la Matriz de Riesgos Estratégica, sobre la base de fuentes de información confiables.

2 En ambos casos, se debe fundamentar adecuadamente el criterio a utilizar para priorizar los puntos críticos en el programa de auditoría


____________________________________________________________________________________________

______________________________________________________________________________ 9

Este procedimiento implica que es posible agregar3, a la información de las etapas y riesgos operativos de los procesos y subprocesos considerados en el Plan Anual de Auditoría4, otras etapas y/o riesgos operativos que no han sido levantados en la Matriz de Riesgos Estratégica y, que a juicio del auditor interno enriquecerán el análisis para la formulación del programa de trabajo. Para determinar los puntos críticos en el programa de auditoría en esta última situación, se debe considerar el modelo presentado en este Documento Técnico Nº 24 versión 0.4 del año 2008. 15.2.- Definición del alcance de las fuentes de información a utilizar para la

identificación de puntos críticos en la programación de auditoría En cualquiera de los dos casos descritos en la letra anterior, se requerirá realizar un estudio preliminar que debería entregar una adecuada justificación, es decir, definir y describir fundadamente cuál es el procedimiento que se utilizará para determinar los puntos críticos en el programa de auditoría. Entre las justificaciones que puede dar el auditor para esa definición se pueden considerar, entre otras, las siguientes alternativas:

En el momento de formular el programa de auditoría, el proceso a auditar individualizado en el Plan Anual de Auditoría está levantado en la Matriz de Riesgo Estratégica en forma adecuada a nivel de etapas, identificación y valuación de los riesgos y controles en el Servicio.

En el momento de formular el programa de auditoría, el proceso a auditar individualizado

en el Plan Anual de Auditoría no está levantado en la Matriz de Riesgo Estratégica en forma adecuada a nivel de etapas, identificación y valuación de los riesgos y controles en el Servicio o tiene algunas deficiencias importantes que dificultan trabajar la información directamente a ese nivel.


en el Plan Anual de Auditoría no está levantado en la Matriz de Riesgo Estratégica en forma adecuada a nivel de etapas, ya que existen algunas de ellas, a juicio del auditor, que no se consideran o sólo se consideran parcialmente.


en el Plan Anual de Auditoría no está levantado en la Matriz de Riesgo Estratégica en forma adecuada a nivel de riesgos operativos, ya que existen algunos de ellos, a juicio del auditor, que no se consideran o sólo se consideran parcialmente.

En el momento de formular el programa de auditoría se observa que desde la formulación

del Plan Anual de Auditoría aprobado en la Entidad el subproceso priorizado en dicho Plan se ha reformulado, identificándose etapas y/o riesgos nuevos que deberían ser analizados para definir los puntos críticos en el programa de auditoría.

3 Sólo para efectos de mejorar la información para análisis y determinación de los puntos críticos. No se trata ni corresponde al auditor cambiar directamente la Matriz de Riesgos Estratégica 4 La información proviene de la Matriz de Riesgos Estratégica o del levantamiento realizado por el auditor en subprocesos que no estaban considerados en dicha matriz al momento de formular el Plan.


____________________________________________________________________________________________

______________________________________________________________________________ 10

A continuación, se presenta en el cuadro Nº 1, un ejemplo de posibles acciones a seguir por el auditor interno, de acuerdo a la situación que presente la información contenida en el Plan Anual de Auditoría en relación con la Matriz de Riesgos Estratégica formulada en el Proceso de Gestión de Riesgos, al momento de programar la auditoría. Cuadro Nº 1. Ejemplo de posibles acciones a seguir por el auditor interno

Situación del proceso considerado en el Plan Anual al momento de programar la auditoría V5 F Acción posible

X Utilice directamente información del Plan Anual de Auditoría (etapas/riesgos)

En el momento de formular el programa de auditoría, el proceso a auditar individualizado en el Plan Anual de Auditoría está levantado en la Matriz de Riesgo Estratégica en forma adecuada a nivel de etapas, identificación y valuación de los riesgos y controles en el Servicio X

Complemente etapas y/o riesgos operativos de la información dispuesta en el Plan Anual de Auditoría


En el momento de formular el programa de auditoría, el proceso a auditar individualizado en el Plan Anual de Auditoría no está levantado en la Matriz de Riesgo Estratégica en forma adecuada a nivel de etapas, identificación y valuación de los riesgos y controles en el Servicio o tiene algunas deficiencias importantes que dificultan trabajar la información directamente a ese nivel

X



En el momento de formular el programa de auditoría, el proceso a auditar individualizado en el Plan Anual de Auditoría no está levantado en la Matriz de Riesgo Estratégica en forma adecuada a nivel de etapas, ya que existen algunas de ellas, a juicio del auditor, que no se consideran o sólo se consideran parcialmente X



En el momento de formular el programa de auditoría, el proceso a auditar individualizado en el Plan Anual de Auditoría no está levantado en la Matriz de Riesgo Estratégica en forma adecuada a nivel de riesgos operativos, ya que existen algunos de ellos, a juicio del auditor, que no se consideran o sólo se consideran parcialmente X


X

Complemente etapas y/o riesgos operativos de la información dispuesta en el Plan Anual de Auditoría Desde la formulación del Plan Anual de Auditoría

aprobado en la Entidad se ha reformulado el subproceso priorizado en dicho Plan

X

Utilice directamente información del Plan Anual de Auditoría (etapas/riesgos)

5 V= Verdadero, F=Falso


____________________________________________________________________________________________

______________________________________________________________________________ 11

15.3.- Nivel de la información a complementar para la identificación de los puntos críticos en el programa de auditoría

En el caso que el auditor interno decida fundadamente que para identificar los puntos críticos en el programa de auditoría debe necesariamente enriquecer la información a nivel de etapas y riesgos operativos dispuesta en el Plan Anual de Auditoría, el complemento de información que puede realizar el auditor interno, será sólo a nivel de etapas y/o riesgos operativos del proceso, ya que en la Etapa de Planificación General de Auditoría, se hicieron, si correspondía, los ajustes a nivel de Procesos y Subprocesos. Lo antes descrito requerirá considerar lo siguiente:

Para las nuevas etapas identificadas por el auditor (que no están contenidas en el Plan de Auditoría ni desagregadas en la Matriz de Riesgos Estratégica) se requiere realizar un levantamiento y desagregación de información adicional para identificar los objetivos, los riesgos, controles mitigantes y, su posterior valuación y análisis6 que permita determinar, para efectos de análisis comparativos, el nivel de exposición al riesgo para las nuevas etapas y para los nuevos riesgos operativos.

Para todos los nuevos riesgos de las etapas que ya habían sido identificadas en el Plan Anual de Auditoría será necesario identificar y valuar los riesgos, controles y determinar el nivel de exposición al riesgo de acuerdo al mismo método utilizado en el punto anterior.

En ambos casos, una vez calculada la exposición al riesgo para todos los riesgos operativos, se utilizará para determinar los puntos críticos, la información a nivel de etapas y riesgos operativos dispuesta en el estudio realizado, basándose por lo tanto, en la información sobre los niveles de severidad, probabilidad, impacto o exposición al riesgo o una combinación de ellas.

Como puede derivarse de lo antes descrito, el auditor puede considerar que deben identificarse nuevos riesgos dentro de las etapas que se señalan en el Plan Anual de Auditoría, o bien que deben identificarse nuevas etapas con sus respectivos riesgos. En el caso que el auditor decida fundadamente, no complementar la información para la identificación de los puntos críticos en el programa de auditoría, entonces no debe usar el método presentado en este punto. Por consiguiente, en ese caso sólo utilizará para determinar los puntos críticos la información a nivel de etapas y riesgos operativos dispuesta en el Plan Anual de Auditoría7, basándose en la información que entrega sobre los niveles de severidad, probabilidad, impacto o exposición al riesgo o una combinación de ellas. 15.4.- Resultado del análisis de la información Como resultado del estudio preliminar desarrollado en el punto anterior, deben identificarse claramente los puntos críticos a incluir en el programa de auditoría. Estos deben considerar lo siguiente:

Identificación a nivel de riesgo (s) operativo (s) Identificación a nivel de etapa (s). En este caso se deben incluir todos los riesgos

operativos identificados en la etapa (s) específica (s) de un subproceso.

6 Se debe utilizar las tablas de valuación para riesgos, controles y exposición del anexo Nº 3. 7 La información proviene de la Matriz de Riesgos Estratégica y/o del levantamiento realizado por el auditor en subprocesos que no estaban considerados en dicha matriz al momento de formular el Plan Anual de Auditoría.


____________________________________________________________________________________________

______________________________________________________________________________ 12

15.5.- Identificación de puntos críticos Para identificar los puntos críticos debe utilizarse algún criterio específico, que puede ser por ejemplo el nivel de impacto, probabilidad, severidad, exposición o una combinación de ellas. Es fundamental que en el programa de auditoría se señale cuál fue el criterio que optó el auditor para identificar los puntos críticos. 16.- Definición de objetivos específicos en el programa de auditoría Una vez identificados los puntos críticos, idealmente al nivel de riesgos operativos relevantes que podrían impedir el logro de los objetivos definidos por el Servicio para cada etapa e identificados los controles asociados a cada riesgo, es oportuno y necesario definir los objetivos específicos de auditoría que se incorporarán en el programa de trabajo. Los objetivos específicos de auditoría corresponden a la finalidad del trabajo del auditor, fijada en relación a los objetivos generales de auditoría y al nivel y tipo de riesgo detectado. Permiten orientar el trabajo para evaluar y determinar cuál es el nivel del riesgo residual efectivo que presenta un riesgo específico o el proceso completo. En definitiva, los objetivos específicos deben guardar estrecha relación con los objetivos generales definidos en el Plan Anual y en el programa, debiéndose procurar que el resultado de la auditoría permita cumplirlos adecuadamente. Deben ser coherentes con la descripción de los riesgos operativos identificados, puesto que al cumplir un objetivo de auditoría específico exitosamente, debe concluirse, en términos descriptivos con observaciones precisas y detalladas sobre el nivel de exposición al riesgo y la adecuación del sistema de control interno, de tal forma que la administración pueda tomar esta información como un insumo esencial en la evaluación cuantitativa de los riesgos y controles, modificando, actualizando o definiendo estos aspectos en la Matriz de Riesgos Estratégica. En anexo Nº 1 se presenta un ejemplo de relaciones básicas entre los objetivos generales y otros elementos relevantes en la fase de programación en auditoría. 17.- Formulación de procedimientos de trabajo para cumplir con los objetivos

específicos de auditoría Para satisfacer o alcanzar los objetivos específicos de auditoría mediante la obtención de información suficiente, competente, relevante y útil, se deben diseñar y aplicar procedimientos de auditoría para obtener información y evidencia que corrobore, entre otros, el nivel de efectividad y calidad de los controles mitigantes asociados al riesgo identificado. Es necesario tener presente que en el diseño de estos procedimientos de auditoría, se debe considerar el tiempo estimado que se requiere para su aplicación. Este elemento debe ser coherente con lo señalado en los puntos 7, 8, 9 y 10 de este documento. Estos elementos del programa se sugieren presentar y listar por escrito, en un formato similar al ejemplo dispuesto en anexo Nº 2. La información y datos pueden estar sólo o principalmente disponibles en formato electrónico y por lo tanto, pueden existir en un determinado momento, por lo que el auditor al elegir los procedimientos de auditoría debe tener en cuenta que la evidencia puede resultar imposible de conseguir después de un cierto periodo.


____________________________________________________________________________________________

______________________________________________________________________________ 13

Con la finalidad de definir adecuadamente la naturaleza, extensión y oportunidad de los procedimientos de auditoría el auditor interno debe enfocarse a los riesgos más relevantes. Una variable importante en la definición de la naturaleza y extensión de los procedimientos a aplicar, es el nivel de Riesgo de Auditoría que determine el auditor previamente (en anexo Nº 5 se incluyen conceptos básicos sobre Riesgo de Auditoría). Una vez que se han diseñado completamente los procedimientos de auditoría, tanto en su naturaleza, extensión y oportunidad, se ha concluido la formulación del programa de auditoría, que será el documento guía que utilizará el auditor para efectuar su revisión y obtener información y evidencia adecuada en cantidad y calidad de los hallazgos de auditoría que se informarán posteriormente al Jefe de Servicio. Finalmente, la aplicación del programa de auditoría debe ser supervisada rigurosamente durante su aplicación y hasta el final de la auditoría, con el propósito de alcanzar exitosamente los objetivos generales y específicos de auditoría dispuestos en el programa. Producto de estas supervisiones, es probable que dicho programa pueda ser ajustado en el transcurso de la auditoría, con la finalidad de adecuarlo a nuevas necesidades. V.- RESUMEN DEL ANÁLISIS De acuerdo a lo detallado en el presente documento, al momento de formular el programa de auditoría y determinar los puntos críticos a auditar, el auditor debe realizar el siguiente estudio preliminar, siguiendo los pasos que a continuación se indican:

Determinar fundadamente si la información del Plan Anual de Auditoría a nivel de etapas y riesgos operativos, debe ser complementada con un estudio preliminar basado en fuentes de información confiables para una mejor identificación de los puntos críticos.

En caso que fundadamente no se requiera lo anterior, deben seleccionarse los puntos críticos utilizando criterios de severidad, impacto, probabilidad, exposición o una combinación de ellos. La base para realizar este análisis será la información dispuesta en el Plan Anual de Auditoría al momento de la programación.

En caso que se requiera complementar la información para análisis de los puntos críticos, debe acudirse a fuentes de información confiables, tales como las señaladas en el punto 12 de este documento. Adicionalmente, siempre debe documentarse el uso de fuentes de información y variables que sustentan la incorporación de puntos críticos.

Con base en la información anterior, será posible adicionar nuevas etapas y/o riesgos operativos a los identificados en el Plan Anual de Auditoría.

Para las nuevas etapas se debe usar la misma metodología utilizada en la Matriz de Riesgos Estratégica, es decir, identificar el objetivo, identificar y valuar los riesgos que lo afectan y los controles mitigantes asociados a los riesgos. Para los nuevos riesgos considerados en etapas ya incluidas en el Plan Anual de Auditoría, debe utilizarse la metodología antes señalada para valuar los riesgos, identificar los controles mitigantes, determinar su valorización y obtener el nivel de exposición al riesgo.

Toda la información de las etapas y riesgos operativos (identificados en el Plan Anual de Auditoría y, las nuevas, determinadas por el auditor al momento de la programación) será la base para priorizar la selección de los puntos críticos en el programa de auditoría8.

Para la determinación de los puntos críticos en el programa de auditoría debe analizarse la información a nivel de etapas y riesgos operativos dispuesta en el estudio realizado,

8 Matriz preliminar para análisis


____________________________________________________________________________________________

______________________________________________________________________________ 14

basándose entonces en los niveles de severidad, probabilidad, impacto o exposición al riesgo o una combinación de ellas.

A continuación se deben determinar los objetivos específicos de auditoría que se perseguirán en el desarrollo de la labor y que permitirán orientar la evaluación del nivel de riesgo residual operativo y del sistema de control interno, para cada punto crítico.

Posteriormente se deben formular los procedimientos de auditoría para evaluar la efectividad de los controles mitigantes existentes. Estos procedimientos deben formularse con la finalidad de satisfacer los objetivos de auditoría específicos definidos en el programa de trabajo y obtener evidencia suficiente y competente.

Finalmente, se deben presentar y listar por escrito en el programa de auditoría; los puntos críticos, los objetivos específicos de auditoría y las actividades y procedimientos de trabajo que se aplicarán para cumplir con ellos (en anexo Nº 2 se presenta un formato similar al utilizado en el ejemplo siguiente).

VI.- EJEMPLO DE DETERMINACIÓN DE PUNTOS CRÍTICOS PARA EL PROGRAMA DE

AUDITORÍA 1.- Antecedentes del ejemplo En el ejemplo que se presenta a continuación, la unidad de auditoría interna ha determinado emplear una serie de fuentes de información confiables para formular el programa de auditoría y mejorar el análisis y determinación de los puntos críticos. Esto debido a que en el transcurso del año y después de la auditoría de aseguramiento se han recogido antecedentes que no otorgan confianza razonable para el auditor, respecto de la desagregación y análisis de los riesgos dispuesta en la Matriz de Riesgos Estratégica, que fue la base principal para formular el Plan Anual de Auditoría. Las siguientes fuentes de información se han utilizado para definir los puntos críticos en el programa de auditoría:

Plan Anual de Auditoría aprobado. Última versión de la Matriz de Riesgos Estratégica de la entidad, construida como resultado

del Proceso de Gestión de Riesgos. Informes externos de organismos fiscalizadores y supervisores emitidos durante el periodo. Informes de la unidad de auditoría interna emitidos durante el periodo. Informes de seguimiento de origen interno y externos a la entidad del periodo.

En las próximas páginas del documento se presentan los antecedentes y elementos que se han utilizado para determinar los puntos críticos en este ejemplo: 2.- Matriz de Riesgos Estratégica (simplificada) construida en el Proceso de Gestión de

Riesgos de la entidad. Ver página 17. Corresponde a la información de los procesos, subprocesos, etapas, objetivos, riesgos, controles y exposiciones levantadas y analizadas por la Administración en la última Matriz de Riesgos Estratégica. En el ejemplo se trata de una Matriz de Riesgos Estratégica simplificada, que presenta información del proceso “Abastecimiento” y del subproceso “Planificación”, que ha sido desagregado en la etapa “Definiciones de compra”, en la cual se ha identificado y analizado un


____________________________________________________________________________________________

______________________________________________________________________________ 15

riesgo operativo y en la etapa “Definiciones técnicas”, en la cual se han identificado y analizado dos riesgos operativos. 3.- Plan Anual de Auditoría (simplificado). Ver página 18. Corresponde a la información de cuáles serán las actividades de auditoría a realizar durante el año. En este caso se hace el supuesto que el Plan de Auditoría fue formulado utilizando la versión disponible de la Matriz de Riesgos Estratégica en esa oportunidad. En el ejemplo se ha priorizado para el Plan Anual de Auditoría, el proceso “Abastecimiento” y el subproceso “Planificación” y las dos etapas, de las cuales se han seleccionado un riesgo operativo para cada una. Esta selección fue en base al criterio de una combinación entre las mayores severidades y exposiciones. 4.- Anexo: Fundamentación de las nuevas etapas y/o riesgos adicionados para el

análisis de puntos críticos9. Ver página 19. Corresponde a la justificación de cuáles serán los nuevos riesgos y/o nuevas etapas y sus riesgos correspondientes, que a juicio del auditor se utilizarán para complementar el análisis de los puntos críticos en el programa de trabajo. Debe realizarse utilizando un formato donde además de señalarse los nuevos riesgos y/o etapas, se debe describir la fuente utilizada para su identificación y una justificación global de su impacto en el subproceso y proceso. Cuando se utiliza este anexo es obligatorio acompañarlo con el programa de auditoría. 5.- Información en anexo con matriz preliminar para análisis (simplificada), incluye los

nuevos riesgos y/o etapas identificadas por el auditor. Ver página 20. Corresponde al conjunto de información que está en el Plan Anual de Auditoría y a la información levantada por el auditor interno10 en base a las fuentes de información señaladas en el formato dispuesto en el punto anterior. En el ejemplo, se trata de una matriz preliminar para análisis (simplificada) que presenta información del proceso “Abastecimiento” y del subproceso “Planificación”, que ha sido desagregado en la etapa “definiciones de necesidades de compra por producto”, en la cual se ha adicionado sólo para efectos del análisis, un riesgo (asociándosele en total dos riesgos) y, en la etapa definiciones técnicas, a la cual se le ha adicionado sólo para efectos del análisis, un riesgo (asociándosele en total dos riesgos).

9 Corresponde a las etapas y riesgos no considerados en el Plan Anual de Auditoría a la fecha del programa. 10 La metodología utilizada para la matriz preliminar para análisis, debe ser la misma con la cual se construye la Matriz de Riesgos Estratégica.


____________________________________________________________________________________________

______________________________________________________________________________ 16

6.- Esquema de análisis para determinar los puntos críticos. Ver página 21. Para efectos de una mejor explicación, se presenta un esquema que muestra la necesaria coherencia que debe existir desde la identificación de puntos críticos, hasta la formulación de los procedimientos de auditoría, y cuyo flujo corresponde al siguiente:

En el Plan Anual de Auditoría, se han identificado como actividades de auditoría los proceso (s) y subproceso (s) desagregados hasta el nivel de riesgos operativos. Por otra parte, se ha agregado información sobre nuevos riesgos y/o sobre nuevas etapas y riesgos operativos identificados por el auditor en base a fuentes confiables, que tienen la finalidad de enriquecer el análisis de los puntos críticos.

Deberá definirse el criterio que se utilizará para identificar los puntos críticos. El criterio puede ser la severidad, la probabilidad, el impacto, exposición o una combinación entre ellos.

El análisis se inicia con la selección de los riesgos operativos que se han priorizado como puntos críticos. Los riesgos deben ser eventos que afectan en forma negativa el cumplimiento de los objetivos de las etapas a los cuales corresponden. Para su selección se deben utilizar los criterios y la metodología previamente descrita, utilizando como universo todos los riesgos operativos identificados previamente en el Plan Anual de Auditoría y los identificados al momento de programar la auditoría por el auditor (matriz preliminar para análisis).

Continúa el análisis con la definición de objetivos específicos de auditoría que orientarán el propósito del trabajo. Estos objetivos deben relacionarse directamente con la naturaleza de los riesgos operativos antes identificados.

Finalmente se realiza la formulación de los procedimientos de auditoría (sustantivos, de cumplimiento, analíticos, etc.) para obtener información relevante, completa y útil que permita satisfacer los objetivos y obtener la evidencia suficiente y competente sobre la efectividad de los controles mitigantes y sobre el sistema de control interno en general.

7.- Programa de auditoría (simplificado). Ver página 22. Corresponde a la documentación formal de los puntos críticos obtenidos en base al esquema previamente descrito, de los objetivos específicos de auditoría y de los procedimientos de auditoría a aplicar para realizar el trabajo. Dicho programa debe cumplir los requisitos y contener los elementos señalados en este documento.


____________________________________________________________________________________________

________________________________________________________________________________ 17

1.- MATRIZ DE RIESGOS ESTRATÉGICA (SIMPLIFICADA) CONSTRUIDA EN EL PROCESO DE GESTIÓN DE RIESGOS

RIESGOS OPERATIVOS IDENTIFICADOS

CONTROLES CLAVES EXISTENTES

CLASIFICACIÓN DE EXPOSICIÓN AL

RIESGO

PROBABILIDAD

IMPACTO NIVEL

EFECTIVIDAD

PROCESO

SUBPROCESO

ETAPAS

OBJETIVO OPERATIVO

DE LA ETAPA

DESCRIPCIÓN DEL

RIESGO

CLASIFIC

VALOR

CLASIFIC

VALOR

SEVERIDAD

DEL RIESGO

VALOR

DESCRIPCIÓN DEL CONTROL

PD

O

A

VALOR

NIVEL

VALOR

Definición de necesidades

de compra por producto

(Cantidades)

N.E.= Media (4)

Asegurar que se adquieren las cantidades por producto necesarias para abastecer las necesidades de la Institución.

Deficiencias y errores en la definición de cantidades de compra de productos, en relación a las necesidades de la organización.

Probable 4 Mayores 4 Extremo 16

Existe un sistema de información informático que entrega información histórica y proyectada, cada 4 meses, la que se utiliza como base para la programación de compras para productos.

Pd Pv At 4 4 Mayor

Otros… Otros… Otros… x x X x x x Otros... x x x x x x Faltan capacidades técnicas del personal para definir especificaciones

Moderado 3 Moderado 3 Alto 9

La empresa realiza capacitaciones al personal encargado cada 6 meses en materias técnicas.

Pd Dt Ma 3 3 Media

Planificación

N.E. = Media

(3,4)

Definición de especificaciones técnicas (Característi

cas y calidades)

N.E.= Menor

(3)

Asegurar que las especificaciones técnicas de los bienes que se adquieren, satisfacen las necesidades de la Institución.

No se encuentran Proveedores de bienes en el Mº de acuerdo a las especificaciones técnicas Moderado 3 Moderado 3 Alto 9

Cada 6 meses se hace un estudio de los proveedores que existen en el mercado y que productos y condiciones técnicas ofrecen. Pd Dt Ma 3 3 Media

Abastecimiento

N.E = Media (3,0)

Otros… Otros… Otros… Otros… x x x x x x Otros… x x x x x x (*) N.E. = Nivel de Exposición Promedio


____________________________________________________________________________________________

________________________________________________________________________________ 18

2.- PLAN ANUAL DE AUDITORÍA (SIMPLIFICADO)

Número: 1

Código: A-21 Nombre del Servicio: Gubernamental

Versión: 01

Páginas: 2

Ministerio Plan Anual de Auditoría período 2008 Fecha de Emisión: 15.12.2007

…

Objetivo de Control: Objetivos Institucionales

Actividad de auditoría Nº 1: Auditoría a al proceso Abastecimiento Objetivo General de auditoría: Evaluar los niveles de eficiencia obtenidos en el ciclo de adquisición de productos, en términos de calidad, cantidad y oportunidad, en base a requerimientos organizacionales. Alcance General:…………

Proceso Subproceso Etapas Riesgos Nivel de

severidad o exposición

Criterio utilizado …

Definición denecesidades decompra por producto (Cantidades)


Mayor (4)

Extremo (16)

Exposición

Severidad …

Abastecimiento

Planificación

Definición de especificaciones técnicas (Características y calidades)

Faltan capacidades técnicas del personal para definir especificaciones

Media (3)

Alto (9)

Exposición

Severidad

…

Actividad de auditoría Nº 2:…………………………………………………. … … … … … … … …

Actividad de auditoría Nº n:…………………………………………………. … … … … … … … …

Obtenido de la información proveniente de la Matriz de Riesgos Estratégica


____________________________________________________________________________________________

________________________________________________________________________________ 19

3.- INFORMACIÓN EN ANEXO PARA FUNDAMENTACIÓN DE LAS NUEVAS ETAPAS Y/O RIESGOS ADICIONADOS PARA EL ANÁLISIS DE PUNTOS CRÍTICOS11 (CUANDO SE UTILIZA ESTE ANEXO12 ES OBLIGATORIO ACOMPAÑARLO CON EL PROGRAMA DE AUDITORÍA)

En este ejemplo sólo se han adicionado al análisis nuevos riesgos para etapas ya identificadas en el Plan Anual de Auditoría. También habría sido posible identificar nuevas etapas del subproceso y analizar sus respectivos riesgos.

Nombre del riesgo identificado por auditoría interna

Objetivo de la Etapa que

afecta

Nombre de la etapa al que corresponde el riesgo identificado

Nombre del subproceso

identificado en el Plan Anual de Auditoría al

que corresponde

Fuente de

información utilizada

Justificación global de su impacto en el subproceso y

proceso

Sistemas de información no entregan información actualizada y oportuna sobre niveles de stock.

Asegurar que se adquieren las

cantidades por producto necesarias para abastecer las necesidades de la

Institución.

Definición de

necesidades de compra por producto (Cantidades)

Planificación

Informe de auditoría externa

CI Nº 5 del 03.04.08

Este riesgo es relevante debido a que en el informe se ha detectado algunos problemas recurrentes que implican $ xx, y cuyo origen es la falta de definición de necesidades por producto.

Deficiencias y errores en la definición de requisitos técnicos para compra de productos, en relación a las necesidades de la organización.


Definición de especificaciones

técnicas (Características y

calidades)

Planificación

Informe de seguimiento de auditoría interna

Nº 7 del 02.05.08

Este riesgo es relevante debido a que en el informe se detectó que pese a que se han implementado las medidas comprometidas, los problemas persisten. La causa detectada es que las especificaciones técnicas tienen déficit.

11 Corresponde a las etapas y riesgos no considerados en el Plan Anual de Auditoría a la fecha de formulación del programa de trabajo. 12 En anexo Nº 6 de este documento se presenta el formato para la fundamentación de las nuevas etapas y/o riesgos en el análisis de la programación.

Obtenido en base a fuentes de información confiables para la auditoría interna con la finalidad de mejorar el análisis de los puntos críticos


____________________________________________________________________________________________

________________________________________________________________________________ 20

4.- ANEXO: INFORMACIÓN EN MATRIZ PRELIMINAR PARA ANÁLISIS (SIMPLIFICADA), INCLUYE LOS NUEVOS RIESGOS

ANALIZADOS POR EL AUDITOR – SE DESTACAN EN COLOR ROJO. (CUANDO SE UTILIZA ESTE ANEXO ES OBLIGATORIO ACOMPAÑARLO EN EL PROGRAMA DE AUDITORÍA)

RIESGOS OPERATIVOS IDENTIFICADOS

CONTROLES CLAVES EXISTENTES CLASIFICACION

DE EXPOSICIÓN AL RIESGO

PROBABILIDAD

IMPACTO

NIVEL EFECTIVIDAD

PROCESO

SUBPROCESO

ETAPAS

(PUNTOS

CRITICOS)

OBJETIVO

OPERATIVO DE LA ETAPA

DESCRIPCION DEL RIESGO

CLASIFIC

VALOR

CLASIFIC

VALOR

SEVERIDAD

DEL RIESGO

VALOR

DESCRIPCION DEL

CONTROL

PD

O

A

VALOR

NIVEL

VALOR


Probable 4 Mayores 4 Extremo 16

Existe un sistema de información informático que entrega información histórica y proyectada, cada 4 meses, la que se utiliza como base para la programación de compras para productos.

Pd Pv At 4 4 Mayor

Definición de necesidades

de compra por producto

(Cantidades)

N.E.= Media (3,5)

Asegurar que se adquieren las cantidades por producto necesarias para abastecer las necesidades de la Institución.

Sistemas de información no entregan información actualizada y oportuna sobre niveles de stock.

Improb. 2 Moderado 3 Moderado 6

Existe contrato con una empresa externa para mantención y protección de los sistemas. En el ámbito físico y lógico. El Jefe de finanzas monitorea este contrato

Oc Pv Sa 2 3 Media

Otros… Otros… Otros… x x X x x x Otros... x x x x x x Faltan capacidades técnicas del personal para definir especificaciones

Moderado 3 Moderado 3 Alto 9

La empresa realiza capacitaciones al personal encargado cada 6 meses en materias técnicas,

Pd Dt Ma 3 3 Media

Planificación

Definición de especificaciones técnicas (Característi

cas y calidades)

N.E.= Menor

(2,8)



Probable 4 Moderado 3 Alto 12

Existe Comité técnico que una vez al año analiza los productos y los avances tecnológicos con el fin de adecuar y actualizar los requerimientos técnicos que se solicitan. Para cada adquisición, se reúne un Comisión que analiza la compra específica a la luz de los criterios del Comité

Pe Pv Ma 5 2.4 Menor

Abastecimiento

Otros… Otros… Otros… Otros… x x x x x x Otros… x x x x x x


____________________________________________________________________________________________

________________________________________________________________________________ 21

5.- ESQUEMA DE ANÁLISIS PARA DETERMINAR LOS PUNTOS CRÍTICOS EN EL PROGRAMA DE AUDITORÍA

Objetivo General de Auditoría:

PROCESOS

SUBPROCESOS

ETAPAS

OBJETIVOS OPERATIVOS DE LA ETAPA

RIESGOS

OPERATIVOS

PUNTOS CRÍTICOS

OBJETIVOS ESPECÍFICOS DE AUDITORÍA

PROCEDIMIENTOS DE AUDITORÍA

PARA DETERMINAR LA EFECTIVIDAD DE

LOS CONTROLES EXISTENTES.

Desagregación

Relación directa

Desagregación

Desagregación

Información proveniente del Plan Anual de Auditoría

Información proveniente del Plan Anual de Auditoría y/o del levantamiento realizado por el auditor interno al momento de programar la auditoría

Información generada a partir de la identificación de los puntos críticos

Relación directa

Relación directa


____________________________________________________________________________________________

________________________________________________________________________________ 22

6.- PROGRAMA DE AUDITORÍA (SIMPLIFICADO)

… … Descripción de puntos críticos, objetivos específicos de auditoría y procedimientos de auditoría a aplicar

Puntos críticos:

A nivel de riesgos operativos

Objetivos específicos de

auditoria

Detalle actividades y procedimientos auditoria

…


Examinar si las adquisiciones por producto efectuadas por el Depto. de Adquisiciones, se ajustan a las necesidades de la organización.

- Determinar la existencia de sistemas de información que entreguen información

oportuna, completa y veraz, sobre niveles de existencia disponibles por productos.

- Determinar la existencia de procedimientos que consideren aprobaciones de adquisiciones por producto antes de la orden de compra.

- Evaluar y analizar la información de compra establecida en el Plan de Compras por producto, en relación con las necesidades de la Institución.

- Comparar cantidades de compra por producto contempladas en planes de compra originales con los correspondientes ajustes solicitados y realizados, durante el periodo por las unidades operativas.

Otros.....

,,,


Calificar la calidad y pertinencia de los mecanismos y técnicas utilizadas para definir especificaciones técnicas por las unidades operativas.

- Determinar la existencia de instancias de control formales para evaluar las

especificaciones técnicas respecto de los productos insertos en el Plan de Compras.

- Determinar la existencia de aprobaciones previas a la entrega de requerimientos técnicos.

- Determinar la existencia de sistemas de información que permitan controlar las características del producto recepcionado en relación con los requerimientos técnicos.

- Examinar y evaluar las especificaciones existentes, mediante el concurso de personal técnico especialista.

- Examinar origen, periodo y frecuencia de problemas de producción, relacionados con deficiencias en especificaciones técnicas de productos adquiridos.

Otros....

,,,

… … …

Obtenido de la información proveniente del Plan de Auditoría que se basó en la Matriz de Riesgos Estratégica

Obtenido de la información proveniente del análisis de fuentes de información confiables, al momento de formular el programa de auditoría


____________________________________________________________________________________________

_____________________________________________________________________________ 23

VII.- ESQUEMA GRÁFICO DEL ANÁLISIS PARA DETERMINAR PUNTOS CRÍTICOS EN EL PROGRAMA DE AUDITORÍA, AL MOMENTO DE SU FORMULACIÓN (En el caso que se complemente la información de las etapas y/o riesgos contenida en el Plan Anual de Auditoría)

PLAN ANUAL DE AUDITORIA MATRIZ PRELIMINAR PARA ANÁLISIS

Lo anterior implica que el auditor puede fundadamente identificar y analizar nuevas etapas con sus respectivos riesgos y/o identificar y analizar nuevos riesgos en etapas ya priorizadas en el Plan Anual de Auditoría.

Proceso

Subproceso

Etapa(s)

Riesgo (s) Operativo (s)

Etapa(s)



La información a nivel de etapas y riesgos operativos es utilizada para determinar los puntos críticos en el programa de auditoría, en base a criterios de severidad, exposición, etc. o una combinación de ellas.

Potencialmente, podrían agregarse nuevas etapas y sus correspondientes riesgos a los subprocesos identificados en el Plan de Auditoría y/o nuevos riesgos de etapas ya identificadas en el Plan de Auditoría

Se mantiene la información a nivel de procesos y subprocesos, de lo contrario implicaría un cambio del Plan de Auditoría


____________________________________________________________________________________________

_____________________________________________________________________________ 24

VIII.- BIBLIOGRAFÍA

The Institute of Internal Auditors - Normas para el ejercicio profesional de la auditoría interna – EEUU, 2001.

Instituto de Auditores Internos de España - Concepto Moderno de la Auditoría, Eduardo Hevia Vásquez, Madrid, 1999.

Sponsoring Organizations for The Treadway Commission – Informe COSO – Marco Integrado de Control.

Internacional Auditing Assurance Standards Board – Procedimientos de auditoría en respuesta a los riesgos valorados, 2002.

American Institute of Certified Public Accountants (AICPA) – Procedimientos de auditoría – SAS, 1997.

Organización Internacional de las Entidades Fiscalizadoras Superiores – Directrices para las Normas de Control Interno, 1992.


____________________________________________________________________________________________

_____________________________________________________________________________ 25

ANEXO Nº 1 EJEMPLO DE RELACIONES BÁSICAS EN LA ETAPA DE PROGRAMACIÓN EN AUDITORIA A objeto de describir una relación global entre riesgos y objetivos generales y específicos, procedimientos generales, medios para obtener evidencia y elementos a considerar en la obtención de evidencia, a continuación se presenta el siguiente esquema:

Esquema para relaciones entre objetivos generales y específicos.

OBJETIVO GENERAL DE AUDITORIA PARA EL PROCESO CRITICO INCLUIDO EN EL PLAN ANUAL

Conocer Comprender Explicar Sintetizar Interpretar Deducir Analizar Evaluar Otros...

Objetivos operativos de la etapa

Identificación de riesgos operativos, asociados a los objetivos operativos

Objetivos específicos de auditoría asociados al riesgo operativo y al objetivo general

Procedimientos generales para satisfacer los objetivos de auditoría

Medios para obtener evidencia de auditoría en base a muestras o población

Elementos a considerar en la obtención de la evidencia de auditoría

Categorizar... Clasificar...

Deficiencias o errores en la... Falta de transparencia...

Examinar... Conocer...

Transferir... Vincular...

Transferencia incompleta.... Falta de autorización...

Deducir... Medir...

Establecer... Estructurar...

Falta de coherencia de.... Falta de claridad en los...

Interrelacionar... Vincular...

Identificar... Ordenar...

Omisión de... Desconocimiento de...

Relacionar... Inferir...

Originar... Pronosticar...

Inexistencia de... Falta de oportunidad del...

Analizar... Comparar...

Resolver... Sintetizar...

Incumplimiento de... Procesamiento incompleto...

Distinguir... Validar... Relacionar

Desarrollar... Diseñar...

Seguridad insuficiente... Falta de recursos...

Identificar... Evaluar... Medir...

Organizar... Realizar...

Falta de claridad en la comunicación... Calidad insuficiente...

Distinguir... Comparar...

Reconocer... Sintetizar...

Inexistencia de información.. Déficit en competencias...

Calificar... Evaluar...

- Analíticos - Cumplimiento- Sustantivos - Otros

• Examen físico • Confirmación • Cálculo • Documentación • Observación • Entrevista • Otros…

• Naturaleza y

Fuente • Integridad • Disponibilidad y

accesibilidad • Autorizaciones • Formatos • Completitud • Firmas • Almacenamiento • Otros...


____________________________________________________________________________________________

_____________________________________________________________________________ 26

Obtener... Adquirir...

Seguimiento inadecuado... Cláusulas deficientes...

Analizar... Determinar....

Producir... Procesar...

Deficiencias en el control... Ineficiencias en producción...

Revisar... Chequear...

Otros...

Otros...

Otros...


____________________________________________________________________________________________

_____________________________________________________________________________ 27

ANEXO Nº 2

EJEMPLO FORMATO BÁSICO PARA PRESENTAR Y LISTAR EN EL PROGRAMA DE AUDITORÍA; PUNTOS CRÍTICOS, OBJETIVOS ESPECÍFICOS DE AUDITORIA Y ACTIVIDADES Y PROCEDIMIENTOS A APLICAR

Número :… Código: …. Versión :….

Nombre del documento: Procedimiento de auditoría para….

Página :…. de….

1.- TIPO DE OBJETIVO DE CONTROL 2.- PROCESO, SUBPROCESO, ETAPA Y RIESGOS A AUDITAR 3.- EQUIPO DE AUDITORES Y RESPONSABLE DEL EQUIPO 4.- OBJETIVOS GENERALES DE AUDITORÍA 5.- ALCANCE DE LA AUDITORÍA 6.- OPORTUNIDAD Y PERIODO 7.- HORAS DE AUDITORÍA 8.- CRONOGRAMA ESPECÍFICO PARA REALIZAR LA AUDITORÍA 9- FUENTES DE INFORMACIÓN OPERACIONAL Y LEGAL UTILIZADAS 10.- CRITERIO (S) UTILIZADO PARA DEFINIR LA BASE PARA DETERMINAR LOS PUNTOS CRÍTICOS A

AUDITAR ( información del Plan Anual de Auditoría a nivel de etapas y riesgos o complementada en base a fuentes de información)

11.- ANEXO CON FUNDAMENTACIÓN DE LAS ETAPAS Y RIESGOS ADICIONADOS PARA EL ANÁLISIS DE PUNTOS CRÍTICOS13

12.- ANEXO CON MATRIZ PRELIMINAR PARA ANÁLISIS PARA TODAS LAS ETAPAS Y/O RIESGOS, EXISTENTES Y NUEVAS, CUANDO CORRESPONDA (objetivos, riesgos, controles y exposición al riesgo)

13- CRITERIO UTILIZADO PARA PRIORIZAR LOS PUNTOS CRÍTICOS (severidad, impacto, exposición al riesgo, etc.)

14.- Descripción de puntos críticos, objetivos específicos de auditoría y procedimientos de

auditoría a aplicar

Puntos críticos

Objetivos

específicos de auditoria

Detalle actividades y

procedimientos auditoria

Ref. P/T14

Tiempo (hrs.) estimado

aplicación de procedimiento

CONTROL DE AUDITORES PARTICIPANTES EN EL PROGRAMA

AUDITOR (S) QUE ELABORÓ AUDITOR (S) QUE REVISÓ AUDITOR (S) QUE AUTORIZÓ

Nombre: Nombre: Nombre: Firma: Firma: Firma: Fecha: Fecha: Fecha:

13 Corresponde a las etapas y/o riesgos no considerados en el Plan Anual de Auditoría al momento de formular el programa de auditoría. 14 REF. P/T = Referencia a papeles de trabajo


____________________________________________________________________________________________

_____________________________________________________________________________ 28

EXPLICACIÓN DE LOS ELEMENTOS DEL PROGRAMA

Nº

DESCRIPCIÓN

1 Identificar si se trata de una Auditoría Gubernamental, Ministerial o Institucional.

2 Identificar el proceso, subproceso, etapa y riesgos a auditar.

3 Señalar el equipo de auditores y responsable del equipo.

4 Describir los objetivos generales de auditoría.

5 Describir el alcance de la auditoría.

6 Señalar la oportunidad y periodo de la auditoría.

7 Señalar las horas de auditoría que se utilizarán en el trabajo.

8 Presentar el cronograma específico para realizar la auditoría.

9 Describir las fuentes de información operacional y legal utilizadas. Se debe incluir aquellas empleadas para agregar nuevos riesgos y/o nuevas etapas.

10 Describir el criterio (s) u opción utilizada para definir la base para determinar los puntos críticos a auditar (información del Plan Anual de Auditoría a nivel de etapas y/o riesgos o complementado en base a fuentes de información confiables para el auditor).

11 Se debe hacer referencia cuando corresponda, al anexo con fundamentación de las etapas y/o riesgos adicionados para el análisis de puntos críticos.

12 Se debe hacer referencia cuando corresponda, al anexo con matriz preliminar para análisis para todas las etapas y riesgos, existentes y nuevas (objetivos, riesgos, controles y exposición al riesgo).

13 Describir el criterio utilizado para priorizar los puntos críticos (severidad, impacto, exposición al riesgo o una combinación de ellas).

14 Describir los puntos críticos, objetivos específicos de auditoría y procedimientos de auditoría a aplicar.


____________________________________________________________________________________________

_____________________________________________________________________________ 29

ANEXO Nº 3

ESCALAS DE VALORACIÓN SUGERIDAS PARA CONSTRUIR MATRIZ DE RIESGOS

1.- SEVERIDAD DEL RIESGO 1.1.- Esquema Nº 1. Categorías de probabilidad

Categoría

Valor

Descripción

Casi certeza

5

Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado de seguridad que éste se presente. (90% a 100%)

Probable

4

Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89% de seguridad que éste se presente.

Moderado

3

Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a 65% de seguridad que éste se presente.

Improbable

2 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene

entre 11% a 30% de seguridad que éste se presente.

Muy improbable

1 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se

tiene entre 1% a 10% de seguridad que éste se presente.

1.2.- Esquema Nº 2. Categorías de Impacto

CCaatteeggoorrííaa

Valor

Descripción

Catastróficas

5 Riesgo cuya materialización influye gravemente en el desarrollo de la etapa y en el cumplimiento de sus objetivos, impidiendo finalmente que ésta se desarrolle.

Mayores

4

Riesgo cuya materialización dañaría significativamente el desarrollo de la etapa y el cumplimiento de sus objetivos, impidiendo que ésta se desarrolle en forma normal.

Moderadas

3

Riesgo cuya materialización causaría un deterioro en el desarrollo de la etapa dificultando o retrasando el cumplimiento de sus objetivos, impidiendo que ésta se desarrolle en forma adecuada.

Menores

2 Riesgo que causa un daño menor en el desarrollo de la etapa y que

no afecta mayormente el cumplimiento de sus objetivos.

Insignificantes

1 Riesgo que puede tener un pequeño o nulo efecto en el desarrollo de

la etapa y que no afecta el cumplimiento de sus objetivos.


____________________________________________________________________________________________

_____________________________________________________________________________ 30

1.3.- Esquema Nº 3. Nivel de Severidad del riesgo

NIVEL PROBABILIDAD (P)

NIVEL IMPACTO (I)

SEVERIDAD DEL RIESGO S = (P x I)

Casi Certeza (5) Catastróficas (5) EXTREMO ( 25) Casi Certeza (5) Mayores (4) EXTREMO (20 ) Casi Certeza (5) Moderadas (3) EXTREMO (15 ) Casi Certeza (5) Menores (2) ALTO (10) Casi Certeza (5) Insignificantes (1) ALTO (5) Probable (4) Catastróficas (5) EXTREMO (20) Probable (4) Mayores (4) EXTREMO (16 ) Probable (4) Moderadas (3) ALTO (12) Probable (4) Menores (2) ALTO (8) Probable (4) Insignificantes (1) MODERADO (4) Moderado (3) Catastróficas (5) EXTREMO (15 ) Moderado (3) Mayores (4) EXTREMO (12 ) Moderado (3) Moderadas (3) ALTO (9) Moderado (3) Menores (2) MODERADO (6) Moderado (3) Insignificantes (1) BAJO (3) Improbable (2) Catastróficas (5) EXTREMO (10 ) Improbable (2) Mayores (4) ALTO (8) Improbable (2) Moderadas (3) MODERADO (6) Improbable (2) Menores (2) BAJO (4) Improbable (2) Insignificantes (1) BAJO (2) muy improbable (1) Catastróficas (5) ALTO (5) muy improbable (1) Mayores (4) ALTO (4) muy improbable (1) Moderadas (3) MODERADO (3) muy improbable (1) Menores (2) BAJO (2) muy improbable (1) Insignificantes (1) BAJO (1)

En el esquema se muestra el resultado de la combinación entre las categorías del nivel de impacto del riesgo y las categorías del nivel de probabilidad de ocurrencia del riesgo, es decir, el nivel de severidad. De este esquema se puede observar que las categorías de impacto tienen una mayor incidencia en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia sea menor, al tratarse de riesgos con impactos altos, cualquier materialización del riesgo (aunque sea en sólo una oportunidad) tendrá una consecuencia significativa en el cumplimiento de los objetivos del proceso examinado. Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de ejemplo se presentan las siguientes relaciones:

NIVEL PROBABILIDAD (P)

NIVEL IMPACTO (I)

SEVERIDAD DEL RIESGO S = (P x I)

muy improbable (1) Mayores (4) ALTO (4) Probable (4) Insignificantes (1) MODERADO (4) Probable (4) Moderadas (3) ALTO (12) Moderado (3) Mayores (4) EXTREMO (12 )


____________________________________________________________________________________________

_____________________________________________________________________________ 31

2.- CLASIFICACIÓN DEL CONTROL CLAVE 2.1.- DISEÑO DEL CONTROL • Esquema Nº 4. Oportunidad de la acción del control (O)

Clasificación

Descripción

Preventivo (Pv)

Controles claves que actúan antes o al inicio de una actividad.

Correctivo (Cr)

Controles claves que actúan durante la actividad y que permiten corregir las deficiencias.

Detectivo (Dt)

Controles claves que sólo actúan una vez que la actividad ha terminado.

• Esquema Nº 5. Periodicidad en la acción del control (PD)

Clasificación

Descripción

Permanente (Pe)

Controles claves aplicados durante toda la actividad, es decir, en cada operación.

Periódico (Pd)

Controles claves aplicados en forma constante sólo cuando ha transcurrido un periódico específico de tiempo.

Ocasional (Oc)

Controles claves que se aplican sólo en forma ocasional en una actividad.

• Esquema Nº 6. Automatización en la aplicación del control (A)

Clasificación

Descripción

100% automatizado (At) Controles claves incorporados en la actividad, cuya aplicación es completamente informatizada. Están incorporados en los sistemas informatizados.

Semi – automatizado (Sa)

Controles claves incorporados en la actividad, cuya aplicación es parcialmente desarrollada mediante sistemas informatizados.

Manual (Ma)

Controles claves incorporados en la actividad, cuya aplicación no considera uso de sistemas informatizados.


____________________________________________________________________________________________

_____________________________________________________________________________ 32

2.2.- Esquema Nº 7. Escala de clasificación de la efectividad de los controles

CARACTERÍSTICAS DISEÑO CONTROL CLAVE/FUNDAMENTAL

CUMPLIMIENTO CON NORMAS O

REQUISITOS DE CONTROL PERIODICIDAD

(PD) OPORTUNIDAD

(O) AUTOMATIZACIÓN

(A)

CLASIFICACIÓN VALOR DEL DISEÑO DEL

CONTROL

CUMPLIMIENTO ADECUADO

PERMANENTE PERMANENTE PERMANENTE

PREVENTIVO PREVENTIVO PREVENTIVO

INFORMATIZADO SEMI INFORMAT

MANUAL



CORRECTIVO CORRECTIVO CORRECTIVO


MANUAL

OPTIMO 5



DETECTIVO DETECTIVO DETECTIVO


MANUAL


PERIODICO PERIODICO PERIODICO



MANUAL

BUENO 4





MANUAL





MANUAL

MMAASS QQUUEE RREEGGUULLAARR 3


OCASIONAL OCASIONAL OCASIONAL



MANUAL





MANUAL

REGULAR 2





MANUAL DEFICIENTE

1

Insuficiente NO

DETERMINADO

NO DETERMINADO

NO DETERMINADO

INEXISTENTE

1

En el esquema anterior se señala que en primer lugar, se debe evaluar si el control mitigante asociado a un riesgo tiene un nivel de cumplimiento adecuado respecto de las normas o requisitos de control básicos que en este modelo se han relevado para dar razonable seguridad de cumplimiento de los objetivos y metas. Esto implica realizar un análisis integral de las referidas normas o requisitos (segregación, autorización, formalización, etc.) y determinar si éstas se cumplen para un control examinado en particular. Producto de este análisis, se puede dar que los referidos requisitos se cumplan satisfactoriamente, es decir, que el control esté sustentado en una estructura básica sólida. Posteriormente, se debe seguir con el análisis del diseño del control, este aspecto es relevante, ya que los riesgos son por naturaleza dinámicos y requieren que los controles tengan una estructura que se oriente a la prevención de la materialización del efecto de los riesgos dinámicos. Finalmente, se debe clasificar el nivel de efectividad del control examinado, de acuerdo con el esquema presentado, asignándole el valor respectivo según la escala. En caso que esto no ocurra, es decir, los requisitos no presentan un cumplimiento suficiente en el control examinado, debe entenderse que su nivel de cumplimiento es insuficiente y


____________________________________________________________________________________________

_____________________________________________________________________________ 33

corresponde clasificarlo como si se tratara de un control inexistente, con valoración de 1, sin que ya sea necesario evaluar la efectividad en el diseño del control respecto de la ocurrencia del riesgo. En caso que no exista control, obviamente no será necesario probarlo mediante procedimientos y pruebas de auditoría, ni verificar si su diseño está orientado a mitigar el riesgo. Por consiguiente debe clasificarse como inexistente, con nivel de efectividad del control examinado de 1, de acuerdo con la escala contenida en el esquema presentado. Para ver mayores detalles de las normas o requisitos de control básicos considerados en este modelo ver anexo Nº 4. Posteriormente, en la etapa de formulación del informe, debe describirse la situación de inexistencia de control y los efectos reales o potenciales para la organización. Debiendo adicionalmente el auditor, aportar a la disminución del nivel de exposición determinado mediante propuestas de medidas correctivas y preventivas, que contribuyan a un adecuado control y administración del riesgo (por ejemplo mediante sugerencias de diseño e implementación de controles con características apropiadas de periodicidad, oportunidad y automatización en relación al riesgo asociado). Ante inconsistencias entre la medición y la opinión profesional del auditor prevalece esta última, debidamente fundada. 3.- NIVELES DE CLASIFICACIÓN DEL NIVEL DE EXPOSICIÓN AL RIESGO La exposición al riesgo está determinada por la severidad del riesgo dividida por efectividad del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas en el Esquema Nº 3 (nivel de severidad del riesgo) y Esquema Nº 7 (nivel de efectividad del control). A continuación se presenta la escala de nivel de exposición al riesgo que los califica: Esquema Nº 8. Escala del nivel de exposición al riesgo

INDICADOR DE EXPOSICIÓN AL

RIESGO

VALOR

NIVEL DE EXPOSICIÓN AL

RIESGO

8,0 – 25,0

NO ACEPTABLE (Na)

4,0 – 7,99

MAYOR (Ma)

3,0 – 3,99

MEDIA (Md)

NIVEL SEVERIDAD DEL RIESGO NIVEL EFECTIVIDAD DEL CONTROL

0,2 - 2,99

MENOR (Me)

Tal como se señaló, la escala previamente presentada, ha sido construida en base a la relación entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de efectividad del control asociado a ese riesgo (Deficiente, Regular, Más que regular, Bueno, Óptimo). Dicha relación se presenta en el esquema Nº 9.


____________________________________________________________________________________________

_____________________________________________________________________________ 34

Un primer análisis de dicha escala observaría que los niveles de exposición al riesgo Mayor y No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos respectivamente, pero al realizar un análisis más riguroso, se debería observar que en realidad los niveles de exposición al riesgo con valores más altos, corresponden en general a las combinaciones entre los niveles de riesgo más severos y los niveles de efectividad del control más bajos, o a las combinaciones entre los riesgos con severidad más altas y con controles que tienen un nivel de efectividad sólo de regular. Por otra parte, los niveles de exposición al riesgo más bajos están conformados en general por las combinaciones entre los niveles de riesgos menos severas y los niveles de efectividad del control más altos, o por las combinaciones entre riesgos con severidades bajas y controles con niveles de efectividad deficiente o regular, o por las combinaciones entre riesgos con severidad altas, pero con controles con nivel de efectividad óptimo o bueno. Por ejemplo, en el esquema Nº 9 se observa que el nivel de exposición al riesgo E1 = 10, (Nivel de exposición al riesgo No Aceptable) está conformado por un nivel de severidad del riesgo, Extremo = 20 y un nivel de efectividad de control, Regular = 2. En el caso del nivel de exposición E2 = 4 (Nivel de exposición al riesgo Mayor), está conformado por un nivel de severidad del riesgo, Alto = 12 y un nivel de efectividad de control, Más que Regular = 3. Finalmente, el nivel de exposición E3 = 1 (Nivel de exposición al riesgo Menor), está conformado por un nivel de severidad del riesgo, Alto = 5 y un nivel de efectividad de control, Óptimo = 5. Esquema Nº 9. Relaciones entre severidad del riesgo y efectividad del control que determinan la escala del nivel de exposición al riesgo


____________________________________________________________________________________________

_____________________________________________________________________________ 35

ANEXO Nº 4

CONCEPTOS GENERALES SOBRE REQUISITOS O NORMAS DE CONTROL BÁSICOS

CONSIDERADOS EN EL MODELO 1.- Definición de control El Control es un proceso que permite medir el desempeño individual y organizacional para asegurar que razonablemente las actividades se ajusten a los planes y metas y, mitiguen adecuadamente los riesgos. 2.- Secuencia típica de control

Fijación de estándares. Selección de puntos críticos de control. Comparación y verificación contra los estándares. Determinación si el desempeño es satisfactorio. Reporte de desviaciones significativas al nivel jerárquico correspondiente. Determinación si la acción tomada es efectiva para corregir las desviaciones tomadas. Revisión y modificación de los estándares si corresponde.

3.- Requisitos o normas básicas de control consideradas en el modelo Son los medios, mecanismos o procedimientos que permiten alcanzar los objetivos de control. Comprenden las políticas específicas, los procedimientos, los planes de la organización (incluida la división de las tareas) y los dispositivos físicos (tales como cerraduras o alarmas contra incendio), si bien no se limitan exclusivamente a estos aspectos. Los controles deben proporcionar una seguridad razonable de que se logren continuamente los objetivos del control interno. Para ello, deben ser eficaces y estar diseñados de forma que operen como un sistema integrado y no individualmente. Los controles, para que sean eficaces, deben cumplir con el propósito previsto en la aplicación real. Es posible que los controles diseñados para funcionar en un ambiente manual no sean eficaces en uno automatizado. Por consiguiente, los controles seleccionados deben cumplir el propósito previsto y funcionar siempre que el caso lo requiera. En cuanto a su eficiencia, los controles deben estar diseñados para poder obtener el máximo beneficio con un esfuerzo adecuado. Los controles que se examinen para verificar su eficacia y suficiencia deben ser los que se utilizan en la práctica y deben ser evaluados periódicamente para asegurar su aplicación constante en la prevención de riesgos. Los controles que se presentan a continuación son los que se utilizan generalmente en una estructura de control interno ordenada y eficaz. Los métodos y procedimientos específicos que se describen en relación a cada uno de ellos, no pretenden ser exhaustivos sino que deben ser considerados como ejemplos. Entre otros se cuentan: la organización, la documentación, el registro oportuno y adecuado de las transacciones y hechos, autorización y ejecución de las transacciones y hechos, división de las tareas, supervisión y acceso a los recursos y registros y responsabilidad ante los mismos.


____________________________________________________________________________________________

_____________________________________________________________________________ 36

a) Documentación en papel y medios electrónicos Deben documentarse las estructuras de control interno y todas las transacciones y hechos internos, incluyendo sus objetivos y procedimientos de control, y todos los aspectos pertinentes de las transacciones y hechos significativos. Asimismo, la documentación en papel y electrónica debe estar disponible y ser fácilmente accesible para su verificación por el personal apropiado y los auditores. La documentación relativa a las estructuras de control interno debe incluir aspectos sobre la estructura y políticas de una institución, sobre sus categorías operativas, objetivos y procedimientos de control. Esta información debe figurar en documentos tales como planes o guías, las políticas administrativas y los manuales de operación y de contabilidad. La documentación sobre transacciones y hechos significativos debe ser completa y exacta y facilitar el seguimiento de la transacción o hecho, antes, durante y después de su realización. La documentación de las estructuras de control interno, de las transacciones y de hechos importantes debe tener un propósito claro, ser apropiada para alcanzar los objetivos de la institución y servir a los directivos para controlar sus operaciones y a los auditores para analizar dichas operaciones. En los casos en que existen sistemas informáticos integrados en la institución, que generen como soporte respaldatorio de las operaciones, documentos electrónicos con existencia legal, se deberá obtener evidencia electrónica respecto del origen, firmas, integridad, completitud, archivo o registro, accesibilidad y disponibilidad y no-repudio de la información. b) Registro oportuno y adecuado de las transacciones y hechos Las transacciones y hechos importantes deben registrarse inmediatamente y debidamente clasificados. Las transacciones deben registrarse en el mismo momento en que ocurren a fin de que la información siga siendo relevante y útil para los directivos que controlan las operaciones y adoptan las decisiones pertinentes. Ello es válido para todo el proceso o ciclo de vida de una transacción; abarcando el inicio y la autorización, todos los aspectos de la transacción mientras se realiza y su anotación final en los registros. También conviene actualizar rápidamente toda la documentación con objeto de mantener su validez. Se requiere, asimismo, una clasificación pertinente de las transacciones y hechos a fin de garantizar que la dirección disponga continuamente de una información fiable. Una clasificación pertinente significa organizar y procesar la información a partir de la cual se elaboran los informes, los planes y los estados financieros y presupuestarios. El registro inmediato y pertinente de la información es un factor esencial para asegurar la oportunidad y fiabilidad de toda la información que la institución maneja en sus operaciones y en la adopción de decisiones. En los casos en que existen sistemas informáticos integrados en la institución, que generan como soporte respaldatorio de las operaciones, documentos electrónicos con existencia legal,


____________________________________________________________________________________________

_____________________________________________________________________________ 37

se deberá obtener evidencia electrónica respecto de la firma, integridad, completitud y archivo o registro. c) Autorización y ejecución de las transacciones y hechos Las transacciones y hechos relevantes solo podrán ser autorizados en papel o electrónicamente y ejecutados por aquellas personas que actúen dentro del ámbito de sus competencias. La dirección es quien decide el canje, la transferencia, la utilización o la asignación de fondos para atender metas específicas en condiciones particulares. La autorización es la principal forma de asegurar que sólo se efectúen transacciones y hechos válidos de conformidad con lo previsto por la dirección. La autorización debe estar documentada física o electrónicamente y ser comunicada explícitamente a los directivos y a los empleados, incluyendo los términos y condiciones específicos conforme a los cuales se concede una autorización. La conformidad con los términos de una autorización significa que los empleados ejecutan las tareas que les han sido asignadas de acuerdo con las directrices y dentro del ámbito de competencias establecido por la dirección o la legislación. En los casos en que existen sistemas informáticos integrados en la institución, que generan como soporte respaldatorio de las operaciones, documentos electrónicos con existencia legal, se deberá obtener evidencia electrónica respecto del origen, firmas e integridad de la información. d) División de las tareas Las tareas y responsabilidades principales ligadas a la autorización, tratamiento, registro y revisión de las transacciones y hechos deben ser asignadas a personas diferentes. Con el fin de reducir el riesgo de errores, despilfarros o actos ilícitos, o la probabilidad de que no se detecten este tipo de problemas, es preciso evitar que todos los aspectos fundamentales de una transacción u operación se concentren en manos de una sola persona o sección. Las funciones y responsabilidades deben asignarse sistemáticamente a varias personas para asegurar un equilibrio eficaz entre los poderes. Entre las funciones claves figuran la autorización y el registro de las transacciones, la emisión y el recibo de los haberes, los pagos y la revisión o fiscalización de las transacciones. Sin embargo, la colusión puede reducir o eliminar la eficacia de esta técnica de control interno. Una pequeña organización puede que no tenga suficientes empleados para aplicar esta técnica plenamente. En tal caso, la dirección debe ser consciente del riesgo que ello implica y compensar el defecto con otros controles. La rotación del personal contribuye a que los aspectos centrales de las transacciones o hechos contables no se concentren en una sola persona por un espacio de tiempo prolongado. Debe promoverse e incluso exigirse también el uso del período vacacional anual para ayudar a reducir estos riesgos. e) Supervisión Debe existir una supervisión para garantizar el logro de los objetivos de control interno. Los supervisores deben examinar y aprobar cuando proceda, el trabajo encomendado a sus subordinados. Asimismo, deben proporcionar al personal las directrices y la capacitación


____________________________________________________________________________________________

_____________________________________________________________________________ 38

necesarias para minimizar los errores, el despilfarro y los actos ilícitos y asegurar la comprensión y cumplimiento de las directrices especificas de la dirección. La asignación, revisión y aprobación del trabajo del personal exige:

Indicar claramente las funciones y responsabilidades del trabajo del empleado.

Examinar sistemáticamente el trabajo de cada empleado, en la medida que sea necesario.

Aprobar el trabajo en puntos críticos del desarrollo para asegurarse de que avanza según lo previsto.

La asignación, revisión y aprobación del trabajo del personal debe tener como resultado el control apropiado de sus actividades. Ello incluye: la observancia de los procedimientos y requisitos aprobados, la constatación y eliminación de los errores, los malentendidos y las prácticas inadecuadas, la reducción de las probabilidades de que ocurran o se repitan actos ilícitos y el examen de la eficiencia y eficacia de las operaciones. La delegación del trabajo de los supervisores no exime a estos de la obligación de rendir cuentas de sus responsabilidades y tareas. f) Acceso a los recursos y registros y responsabilidades ante los mismos El acceso a los recursos y registros debe limitarse a las personas autorizadas para ello, quienes están obligadas a rendir cuentas de la custodia o utilización de los mismos. Para garantizar dicha responsabilidad, se debe cotejar periódicamente los recursos con los registros y verificar si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad y relevancia de los activos. La restricción del acceso físico y lógico a los recursos permite reducir el riesgo de una utilización no autorizada o de pérdida y contribuir al cumplimiento de las directrices de la dirección. El grado de limitación depende de la vulnerabilidad de los recursos y del riesgo potencial de pérdida. Ambos deben evaluarse periódicamente. Por ejemplo, el acceso a los documentos sumamente vulnerables y la responsabilidad ante los mismos, tales como cheques en blanco, puede restringirse:

Manteniéndolos en una caja fuerte.

Asignando a cada documento un número de serie.

Encargando su custodia a personas responsables.

Al determinarse la vulnerabilidad de un activo, debe considerarse también su costo, la facilidad de transporte y el riesgo de pérdida o de utilización indebida.

En los casos en que existen sistemas informáticos integrados en la institución, que generan como soporte respaldatorio de las operaciones, documentos electrónicos con existencia legal, se deberá obtener evidencia electrónica respecto del origen, firmas, integridad y accesibilidad y disponibilidad. Además de deberá evaluar los niveles de seguridad de los accesos lógicos a las base de datos de la organización.


____________________________________________________________________________________________

_____________________________________________________________________________ 39

4.- Estructura general del Marco Integrado de Control Interno – Modelo C.O.S.O. La estructura genérica que se presenta es sólo a modo explicativo, puesto que su existencia y características dependen del tipo de control y de la estructura del proceso, entre otras variables. El lector puede encontrar suficiente literatura del Modelo C.O.S.O., incluida la Internet.

Normas relativas al ambiente de control

• Ambiente propicio para el control. • Actitud de apoyo superior al control interno. • Valores de integridad y ética. • Administración eficaz del potencial humano. • Estructura organizativa formal y conocida. • Delegación formal y adecuada. • Coordinación de acciones organizacionales. • Participación del personal en el control interno. • Adhesión a las políticas institucionales.

Normas relativas a la evaluación de riesgos

• Identificación y evaluación de riesgos. • Planificación formal. • Indicadores de desempeño mensurables. • Divulgación de los planes. • Definición y comunicación de políticas de apoyo a los objetivos. • Revisión de los objetivos. • Cuestionamiento periódico de los supuestos de planificación.

Normas relativas a las actividades de control

• Prácticas y medidas de control formales. • Control integrado. • Análisis de costo/beneficio. • Responsabilidad delimitada. • Instrucciones por escrito. • Separación de funciones incompatibles. • Autorización y aprobación de transacciones y operaciones. • Documentación de procesos y transacciones. • Supervisión constante. • Registro oportuno. • Sistema contable y presupuestario. • Acceso a activos y registros. • Revisiones de control permanentes. • Conciliación periódica de registros. • Inventarios periódicos. • Arqueos independientes. • Formularios uniformes.


____________________________________________________________________________________________

_____________________________________________________________________________ 40

• Rotación de labores. • Toma oportuna de vacaciones. • Garantías a favor de la institución. • Dispositivos de control y seguridad lógicos y físicos.

Normas relativas a información y comunicación

• Obtención y comunicación de información efectivas. • Calidad y suficiencia de la información. • Sistemas de información. • Controles sobre sistemas de información. • Canales de comunicación abiertos. • Archivo institucional formal.

Normas relativas al monitoreo

• Monitoreo constante del control interno en operación. • Monitoreo de las actividades. • Monitoreo constante del ambiente de control. • Evaluación del desempeño institucional. • Informes de seguimiento a responsables. • Rendición de cuentas. • Reporte de deficiencias. • Toma de acciones correctivas. • Asesoría externa para monitoreo del control interno.


____________________________________________________________________________________________

_____________________________________________________________________________ 41

ANEXO Nº 5

CONCEPTOS BÁSICOS SOBRE RIESGO DE AUDITORÍA

Definición El Riesgo de auditoría es la posibilidad de que la información o actividad sujeta a examen contenga errores o irregularidades significativas y no sean detectados en la ejecución. El riesgo de auditoría está compuesto por: a) Riesgo inherente: Es la posibilidad de que existan errores o irregularidades en la gestión administrativa y financiera, antes de verificar la efectividad del control interno diseñado y aplicado por el ente a ser auditado. Este riesgo tiene relación directa con el contexto global de una institución e incluso puede afectar a su gestión. b) Riesgo de control: Es la posibilidad de que los procedimientos de control interno incluyendo a la unidad de auditoría interna, no puedan prevenir o detectar los errores significativos de manera oportuna. Este riesgo si bien no afecta a la entidad como un todo, incide de manera directa en los componentes. c) Riesgo de detección: Se origina al aplicar procedimientos que no son suficientes para lograr descubrir errores o irregularidades que sean significativos, es decir, que no detecten una debilidad de control o hallazgo que pudiera ser importante. Como producto del conocimiento de la entidad y la evaluación del control interno, el supervisor y jefe de equipo elaborará un reporte para aprobación del jefe de la unidad de auditoría que emitió la orden de trabajo que permita determinar el enfoque final del examen a ejecutar. Como ya se vio antes, el auditor debe diseñar y desempeñar procedimientos de auditoría adicionales cuya naturaleza, oportunidad y extensión sean adecuados al nivel del riesgo de auditoría. El propósito de este requerimiento es proveer un vínculo claro entre la naturaleza, oportunidad y extensión de los procedimientos de auditoría adicionales que realiza el auditor y la valoración de riesgos. Al diseñar procedimientos de auditoría adicionales, el auditor considera asuntos tales como el significado del riesgo; la probabilidad de que ocurrirá una declaración equivocada material; las características de la clase de transacciones, balance de cuenta o revelación implicada; la naturaleza de los controles específicos usados por la entidad incluyendo el uso que la entidad de a la tecnología de la información (TI); y si el auditor espera obtener evidencia de auditoría para determinar si los controles de la entidad son efectivos para prevenir, o detectar y corregir, declaraciones equivocadas materiales. La naturaleza de los procedimientos de auditoría es de la mayor importancia para responder a los riesgos valorados. La valoración que realiza el auditor sobre los riesgos provee una base para considerar lo apropiado del enfoque de auditoría para diseñar y desempeñar procedimientos de auditoría adicionales. En algunos casos, el auditor puede determinar que solamente las pruebas de la efectividad de operación de los controles son respuesta al riesgo valorado. En otros casos, el auditor puede determinar que solamente son apropiados los procedimientos sustantivos. Pero en general se realiza una combinación de ambos procedimientos.


____________________________________________________________________________________________

_____________________________________________________________________________ 42

ANEXO Nº 6 a.- FORMATO PARA FUNDAMENTAR LA INCLUSIÓN DE NUEVOS RIESGOS DE UNA ETAPA

CONSIDERADA EN EL PLAN ANUAL DE AUDITORÍA, QUE NO HAN SIDO LEVANTADOS EN LA MATRIZ DE RIESGOS ESTRATÉGICA, AL MOMENTO DE FORMULAR EL PROGRAMA DE AUDITORÍA

Nombre del riesgo

identificado por auditoría interna

(1)

Objetivo

de la Etapa que

afecta

(2)

Nombre de la etapa al que corresponde el riesgo identificado

(3)


identificado en el Plan Anual de

Auditoría

(4)

Fuente de información

utilizada

(5)


proceso

(6)

(1) Identificar individualmente los nuevos riesgos operativos a incluir en el análisis. (2) Obtener el objetivo operativo de la etapa a la cual corresponde el nuevo riesgo identificado. Esta información debe ser obtenida de la Matriz de Riesgos Estratégica. (3) En base al riesgo operativo identificado, asociar la etapa señalada en el Plan Anual de

Auditoría a la cual corresponde el nuevo riesgo. (4) Identificar el subproceso contemplado en el Plan Anual de Auditoría, al cual corresponde la

etapa previamente identificada. (5) Señalar la fuente de información utilizada para identificar el riesgo del cual se está

informando. Al menos debe señalarse el origen del informe o estudio, el número si corresponde y la fecha del documento.

(6) Señalar el fundamento técnico o estratégico en el cual el auditor se basa para destacar su relevancia en el subproceso o proceso.


____________________________________________________________________________________________

_____________________________________________________________________________ 43

b.- FORMATO PARA FUNDAMENTAR LA INCLUSIÓN DE NUEVAS ETAPAS Y RIESGOS DE UN

SUBPROCESO CONSIDERADO EN EL PLAN ANUAL DE AUDITORÍA, QUE NO HAN SIDO LEVANTADOS EN LA MATRIZ DE RIESGOS ESTRATÉGICA, AL MOMENTO DE FORMULAR EL PROGRAMA DE AUDITORÍA

Nombre de la nueva etapa identificada por el auditor interno

(1)

Objetivo

de la nueva Etapa

(2)

Nombre de los

riesgos identificados en

la etapa

(3)


identificado en el Plan Anual de

Auditoría

(4)

Fuente de información

utilizada

(5)


proceso

(6)

(1) Identificar la o las nuevas etapas a incluir en el análisis. (2) Identificar el objetivo operativo de la nueva etapa. (3) Identificar los riesgos operativos asociados a los objetivos de la (s) nueva etapa

identificada. (4) Identificar el subproceso que está contemplado en el Plan Anual de Auditoría, al cual

corresponde la nueva etapa previamente identificada. (5) Señalar la fuente de información utilizada para identificar la nueva etapa de la cual se está

informando. Al menos debe señalarse el origen del informe o estudio, el número si corresponde y la fecha del documento.

(6) Señalar el fundamento técnico o estratégico en el cual el auditor se basa para destacar su relevancia en el subproceso o proceso.

documento n° 24 - programaciÓn de auditorÍa. v.0.4

Documents